如何开展IT审计项目,IT审计的实施过程是什么 什么是It审计?
近年来,随着企业信息系统的不断完善,企业对于信息系统的依赖日益加强,信息系统审计也随之成了审计中不可或缺的一部分。今天,时代新威和大家聊一聊信息系统审计的过程。
1)调查
该审计步骤用来将控制目标下的相关活动用文档记录下来,对组织声称已实施的控制措施与程序进行识别,并且确认其存在。
与相关的管理者和员工进行会见,以理解:
·业务需求好相关的风险。
·组织结构。
·角色和职责。
·政策和程序。
·法律和法规。
·已有的控制措施。
·管理报告(状态、性能、行动项目)。
用文档记录与过程相关的IT资源,特别是那些被审计的IT流程所影响的IT资源。确认理解了审核的过程、过程的关键性能指标(KPI)、实际的控制状况。例如,可以通过对过程的抽查来进行了解。
2)评价控制
该审计步骤用来评估当前已有控制措施的有效性或达到控制目标的程度,主要是决定测试什么、是否测试及如何测试的问题。
通过对比已确定的标准及行业最佳实践、控制方法的关键成功要素(CSF)和利用审计师的职业判断,来评价待审核过程所应用的控制措施的适宜性。
·存在已文档化的过程。
·存在适宜的输出。
·职责和责任是明确的、有效的。
·在必要时,存在补偿控制。
·对实现控制目标的程度做出结论。
3)评估符合性
该审计步骤用来确定已建立的控制措施是按组织规定的方式,持续地、一致地在起作用,并且对控制环境的适宜性做出结论。
·得到所选项目和阶段的直接或间接的证据,使用直接和间接的证据来保证待审核的项目和阶段一直遵守相关控制程序的要求。
·对过程输出结果的充分性进行有限的审核。
·为了证明IT流程是分的,确定需要进行实质性测试的程度和其他需要进行的工作。
4)证实风险
该审计步骤通过使用分析技术和可选的咨询资源,证实控制目标没有被实现时所带来的风险。目标是支持其审计判断,并督促管理者采取行动。审计师要创造性地寻找和提出通常是敏感的和机密的信息。
·用文档记录下控制弱点及其引起的威胁和漏洞。
·识别并记录实际的影响和潜在的影响,例如,利用因果分析的方法。
·提供比较信息。例如,通过基准比较的方法。
在信息高速爆炸的时代,进行信息系统审计,确保在线、实时的信息的可靠性,有助于整个市场经济的发展。以上就是时代新威为您科普的信息系统审计的过程,更多精彩内容,欢迎持续关注我们哦。
计划阶段是整个审计过程的起点。其主要工作包括:
(1)了解被审系统基本情况
了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。
了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。
(2)初步评价被审搜索单位系统的内部控制及外部控制
传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。
一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。
应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。
(3)识别重要性
为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。
(4)编制审计计划
经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。
总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。
具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。 做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容:
(1)对信息系统计划开发阶段的审计
对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计,可以采用事中审计,也可以是事后审计。比较而言事中审计更有意义,审计结果的得出利于故障、问题的及早发现,利于调整计划,利于开发顺序的改进。
信息系统计划阶段的关键控制点有:计划是否有明确的目的,计划中是否明确描述了系统的效果,是否明确了系统开发的组织,对整体计划进程是否正确预计,计划能否随经营环境改变而及时修正,计划是否制定有可行性报告,关于计划的过程和结果是否有文档记录等等。
系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计,用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试,是系统开发完毕,进入试运行之前的必经程序。其关键控制点有:
分析控制点:是否己细致分析企业组织结构;是否确定用户功能和性能需求;是否确定用户的数据需求等。
设计控制点:设计界面是否方便用户使用;设计是否与业务内容相符;性能能否满足需要,是否考虑故障对策和安全保护等。
编程控制点:是否有程序说明书,并按照说明书进行编写;编程与设计是否相符,有无违背编程原则;程序作者是否进行自测;是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。
测试控制点:测试数据的选取是否按计划及需要进行,是否具有代表性;测试是否站在公正客观的立场进行,是否有用户参与测试;测试结果是否正确记录等。
(2)对信息系统运行维护阶段的审计
对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段,针对信息系统是否被正确操作和是否有效地运行,从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。
输入审计的关键控制点有:是否制定并遵守输入管理规则,是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。
通信系统实施的是实际数据的传输,通信系统中,审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键控制点有:是否制定并遵守通信规则,对网络存取控制及监控是否有效等。
处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程,此时的审计主要针对数据输入系统后是否被正确处理。关键控制点有:被处理的数据,数据处理器,数据处理时间,数据处理后的结果,数据处理实现的目的,系统处理的差错率,平均无故障时间,可恢复性和平均恢复时间等。
数据库审计是保障数据库正确行使了其职能,如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失,数据回滚以保证数据的一致性)。其关键控制点有:对数据的存取控制及监视是否有效,是否记录数据利用状况,并定期分析,是否考虑数据的保护功能,是否有防错、保密功能,防错、保密功能是否有效等。
输出审计不同于测试阶段的输出审计,此时的输出是在实际数据的基础上进行的,对其进行审计可以对系统输出进行再控制,结合用户需求进行评价。关键控制点有:输出信息的获取及处理时是否有防止不正当行为和机密保护措施,输出信息是否准确、及时,输出信息的形式是否被客户所接受,是否记录输出出错情况并定期分析等。
运行管理审计是对人机系统中人的行为的审计。关键控制点有:操作顺序是否标准化,作业进度是否有优先级,操作是否按标准进行,人员交替是否规范,能否对预计于实际运行的差异进行分析,遇问题时能否相互沟通,是否有经常性培训与教育等。
维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键控制点有:维护组织的规模是否适应需要,人员分工是否明确,是否有一套管理机制和协调机制,维护过程发现的可改进点,维护是否得到维护负责人同意,是否对发现问题作了修正,维护记录是否有文档记载,是否定期分析,旧系统的废除是否在授权下进行等。 完成阶段是实质性的整个信息系统审计工作的结束,主要工作有:
整理、评价执行审计业务过程中收集到的证据。在信息系统审计的现代化管理时期,收集到的数据己存储在管理系统中,审计人员只需对其进行分析和调用即可。
复核审计底稿,完成二级复核。传统审计的三级复核制度对信息系统审计同样适用,它是保证审计质量、降低审计风险的重要措施。一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核,这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论;二级复核是在外勤工作结束时,由审计部门领导对工作底稿进行的重点复核。在审计工作办公自动化的今天,二级复核制度同样可以通过网上报送及调用得以实现。
评价审计结果,形成审计意见,完成三级复核,编制审计报告。评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进行最终的评价。这是审计人员决定发表何种类型审计意见的必要过程,所确定的可接受审计风险一定要有足够充分适当的审计证据支持。签发审计报告之前,应当随工作底稿进行最终(三级)复核,三级复核由审计部门的主任进行,主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。三级复核制度的坚持是控制审计风险的重要手段。审计报告是审计工作的最终成果,审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见,同时提出改进建议。
什么是It审计?~
IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方-IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估(例如北京时代新威信息技术有限公司服务于IT审计),由上面的定义我们可以看出,IT审计涉及整个信息系统的生命周期,IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物,并包括信息系统实施相关的外部环境。
IT审计按照信息系统的生命周期分为业务计划审计,业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。
业务计划审计主要面向信息系统的企划,对信息系统的投资可行性,系统规划与公司战略的相关性,系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。
业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核,确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。
业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求,同时对信息系统的功能、性能、易用度、可操作性等进行评估。
业务维护审计对信息系统的维护活动和维护结果实施审核和评价。发现在维护中可能出现的各种漏洞和信息系统维护中急待改善的问题。
共通业务审计涉及文档管理、进度管理、人员管理、采购管理、风险管理等,检查这些过程的规范性和有效性,并提出改良建议。
IT审计的任务在于站在客观公正的角度上,收集审计信息,生成审计报告,通过审计报告促成信息系统生命周期活动和成果物的改善。
实施IT审计能够强化IT投资效果,提高信息系统的安全性,能够客观评价信息系统及信息系统开发,从社会经济和企业、国家信息化投资、安全等方面都具有极大的意义。
随着信息技术推动审计质量的提高。信息技术改变着我们的生活,审计人员为了保证审计质量,必须确保流程和系统能够有效安全运营保持安全性和符合法规的要求。IT审计员负责分析和评估组织的技术基础设施,以发现效率、风险管理和遵从性方面的问题。IT审计员作为风险评估的重要角色,时代新威带你更深入的了解他们。
什么是IT审计员?IT审计员负责分析和评估公司的技术基础设施,以确保流程和系统能够准确有效地运行,同时保持安全性和符合法规要求。IT审计员还需要确定审计范围内的任何IT问题,特别是那些与安全和风险管理相关的问题。如果发现了问题,IT审计员需要负责将他们的发现传达给组织中的其他人,并提供改进或更改流程和系统的解决方案,以确保安全性和遵从性。
IT审计员的角色IT审计员的角色包括开发、实施、测试和评估审核程序。你将负责使用组织中已建立的IT审计标准进行IT和IT相关的审计项目。审计过程可以扩展到网络、软件、程序、通信系统、安全系统和任何其他依赖于公司技术基础设施的服务。对于依赖于技术的组织而言,这是一个至关重要的角色,因为一个小小的技术错误或失误就可能会波及并影响整个公司。IT审计对于评估内部控制和流程非常重要,其最终目的是确保组织及其数据免受来自外部或内部的威胁。
IT审计员的职责作为一名IT审计员,你将负责对组织的技术和流程进行多次审核。IT审计也称为自动数据处理(ADP)审计和计算机审计。在过去,IT审计也被称为电子数据处理(EDP)审计。公司还可以运行信息安全(IS)审计来评估组织的安全流程和风险管理。IT审计过程通常用于评估数据的完整性、安全性、开发和IT治理。
IT审计有几种类型,包括:
•技术创新过程:为当前和未来的项目创建风险概要的审计过程,重点关注公司在这些技术方面的经验及其在市场中的地位•创新性比较审计:考察组织与竞争对手相比的创新能力,并评估公司生产新产品的质量•技术岗位审计:审查组织中当前和未来需要采用的技术的审计•系统和应用:专门评估系统和应用程序是否受控、可靠、高效、安全和有效的审计过程•信息处理:评估组织即使在破坏性条件下也能生成应用程序的能力的审计•系统开发:审核正在开发的系统是否适合组织并符合开发标准•IT和企业架构的管理:对IT管理的组织结构进行信息处理的审计•客户端、服务器、电信、内部网和外联网:审核对客户端连接的服务器和网络的控制
IT审计员的薪水Robert Half将薪资水平在第25个百分位的群体定义为新入职的求职者,他们仍处于培养技能的阶段,或者在竞争较弱的市场或较小的公司工作。根据Robert Half的说法,第50和75个百分位的群体则包括了从一般的经验和技能到拥有更强技能、专长和证书的求职者。这两类群体在公司中通常都扮演着更为复杂的角色,或者在竞争更激烈的市场中工作。Robert Half的第95百分位则包括了那些拥有高度相关技能、经验和专业知识的人,他们在竞争激烈的市场中扮演着高度复杂的角色。
IT审计员的技能作为一名IT审计员,其所需要的技能将根据具体角色和行业而有所不同,但所有IT审计员都需要掌握一整套相应的技能才能获得成功。IT审计员候选人最常寻求的一些技能包括:
•IT安全和基础设施•内部审计•IT风险•数据分析•数据分析和可视化工具(ACL,MS Excel,SAS,Tableau)•安全风险管理•安全测试和审计•计算机安全•内部审计标准,包括SOX,MAR,COSO和COBIT•分析和批判性思维能力•沟通技巧
IT审计员的工作要求初级IT审计职位要求至少具有计算机科学、管理信息系统、会计或财务学士的相关学位。你需要IT或IS方面的背景知识,以及公共会计或内部审计方面的经验。这份工作需要很强的技术技能,并且非常注重安全技能,但你也需要像沟通这样的软技能。你不仅要负责在IT审计过程中发现问题,还要向IT外部的领导者解释什么是错误的,哪些是需要改变的。另外,分析和批判性思维技能也很重要,因为你需要评估数据来发现当下的趋势和模式,从而识别IT安全和基础设施方面的问题。
IT审计员的认证如果你想获得IT审计员的认证,Robert Half Technology也给出了两个对IT审计员有用的特定认证。包括:
•认证信息系统审计员(CISA):CISA认证由ISACA提供,专为IS专业人员和IT审计员设计。在你获得CISA认证之前,你需要至少5年该领域的专业经验。•认证信息安全经理(CISM):CISM认证是为信息安全经理设计的,专注于设计、构建和维护IS程序。要获得CISM认证,你需要至少五年的IS经验和三年的安全经理经验。
时代新威认为审计员应该是一个会读故事、懂故事、讲故事的人,利用好大数据工具,能够更好的“读”出每个风险事件成因,“懂”得业务流程的薄弱环节,“讲”出企业存在风险,为董事会及利益相关者披露风险,减少损失,这是内部审计人员的职责所在,更是内部审计这个职业的魅力所在。
相关要点总结:
18667421301:IT审计的对象和范围
冀放答:IT审计的对象涵盖整个信息系统所有的活动和中间产物,并包括信息系统实施的相关外部环境,其范围主要包括对业务计划内容、业务开发状况、业务执行情况、业务维护情况以及共通业务内容的审查监督。IT审计也称为“IT监查”,是独立于信息系统本身、信息系统相关开发以及使用人员的第三方(即IT审计师)采用客观的...
18667421301:...IT审计对我们的能力的要求是什么 IT审计如何规划职业
冀放答:否则财务体系根本无从信赖,内控流程根本无法控制。这也就是你所说的这些部门建立的主要初衷和他们的工作内容。2.工作强度 工作强度其实是根据项目而定的,所以不能一概而论。但从我了解来看,相比审计部门,IT相关的这些部门普遍轻松一些,相对加班较少,没有那么可怕的加班熬夜,呵呵(视情况而定,个别...
18667421301:什么是IT审计
冀放答:IT审计是为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价,向被审计对象的最高领导提出问题与建议的一连串活动。数字化时代的IT审计某种意义上也是数据式的尽职调查,对企业的数据质量进行评估,用真实可靠的数据说话,展现企业...
18667421301:通过CISA后,如何做信息系统审计
冀放答:而谷安作为国内最早的CISA培训机构之一,也经常接到学员类似的问题。为了解决这个问题,2013年谷安依托已经实施过的众多信息系统审计项目实践经验,推出信息系统审计(IT审计)实务培训方案。考虑到信息系统审计是新生的事件,特别是信息技术从业人员对此还较为陌生,培训方案从内部审计的概念、原理出发,一步步...
18667421301:IT审计的意义
冀放答:IT审计站在客观公正的角度上,收集审计信息,生成审计报告,通过审计报告促成了信息系统生命周期活动和成果物的改善,强化了IT投资效果,提高信息系统的安全性,能够客观评价信息系统及信息系统开发,在社会经济和企业、国家信息化投资、安全等方面都具有极大的意义。与此同时,IT审计通过以审促建的方式,推动...
18667421301:银行it审计是什么意思
冀放答:银行IT审计是指以信息技术为主要对象的银行内部审计。随着计算机信息技术的不断发展,银行对于信息技术的应用也越来越广泛,涉及的业务范围也越来越广,这就给银行信息安全带来了更多威胁,因此进行IT审计更显得必要。IT审计主要包括系统开发、系统应用、总体运行、安全和风险管理等方面的检查。银行IT审计是对...
18667421301:信息安全审计的主要内容有哪些
冀放答:信息系统审计(又称IT审计)是为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导层,提出问题与建议的一连串的活动。IT审计所关注的内容不单纯是对数据的处理,更不仅仅是财务信息,而是对组织整个...
18667421301:IT审计的发展趋势是什么?
冀放答:IT审计的定义:就是信息系统审计,也称IT监查,是独立于信息系统本身、信息系统相关开发、使用人员的第三方-IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。IT审计的发展趋势:我们从IT技术发展来看,随着IT技术在企业业务和管理中的广泛运用,IT逐渐...
18667421301:IT审计需要哪些IT方面的知识技能
冀放答:商务写作能力,包括但不限于底稿、审计报告、咨询报告、管理建议书、标书、服务建议书等的编写;演讲能力:竞标、项目启动会、项目离场会、证监会沟通等都要用到。项目管理能力:商业谈判、竞标、业务约定书签订、人员排班、项目整体计划、测试计划、访谈计划、项目内成员沟通、重大事项解决、质量复核沟通、...
18667421301:什么是信息系统审计
冀放答:内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。