IT治理——信息系统审计与控制
信息系统审计是指审计人员接受委托或授权,收集并评估证据以判断一个计算机系统是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴定目标,即对被审计单位的
信息系统审计是指审计人员接受委托或授权,收集并评估证据以判断一个计算机系统是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴定目标,即对被审计单位的信息系统保护资产安全及数据完整的鉴定,又包含内部审计的管理目标,即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。
信息系统审计是随着计算机在财务会计领域的应用而产生的,作为传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理,延伸到对计算机系统的可靠性、安全性进行了解和评价。
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计业务等电子商务审计。
信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其关注的核心是资产保护与信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计报告,鉴定信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行,审计活动一直存在。
另外,信息系统工程监理的过程是可见的,即对项目成本、进度和质量与目标出现的偏差是可见的,及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性,这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕,这仅仅是信息化的开始,大量的问题将出现在信息系统运营维护阶段,因此,从这个角度而言,信息系统审计是保证信息系统质量的行之有效的方法。
信息系统审计的鉴定价值是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。在市场经济条件下,被审计单位输出的信息资料对该单位的存在与发展及其业务经营活动非常重要,对一些利益相关者而言也非常重要。例如,在电子商务中,交易双方在虚拟的空间进行交易活动,信息的真实性、可靠性、完整性,双方声明的商业政策能否一贯的遵循直接影响到交易是否顺利实现或公平实现。这种情况下,不仅被审计单位自己关注其信息系统对信息资产的安全、完整、真实的作用,同时交易的另一方也非常关心。由于技术、商业机密以及距离上的限制,信息的使用者不可能亲自对信息的质量做出审查,因此需要一个可信赖的一方为此提供鉴定。
信息系统审计可以促进被审计单位更有效地融入到社会经济生活中,可以促进被审计单位改进内部控制,加强管理,提高信息系统实现组织目标的效率、效果。信息系统审计师在完成审计后,出具审计证明,即审计报告,以证明被审计单位信息的真实、完整、可靠。审计师的证明可以增强人们对其信息的信任程度。随着网络技术的普及,商业信息的在线和实时披露都是不可扭转的必然趋势。信息系统审计师能够以在线、实时的信息为基础提供鉴定,对使用信息的所有相关体而言是具有巨大价值的。这样会给被审计单位带来更多的资金、更多的业务及合作伙伴。同时,信息的使用者也可以借助这些信息,加强被审计单位的管理决策,提高其经济效益。
信息系统审计在审计过程中发现的控制缺陷或漏洞,可以审计报告、管理建议书等形式报告给委托人或被审计单位管理当局,并提出解决问题的建议,从而促进被审计单位提高管理水平,提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位信息系统进行全面的审视,可以发现从内部看不到的问题。信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察企业,分析其存在的问题及原因,也表现在以科学的态度和创新精神,去设计解决问题的方案。
为了减少信息化风险,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在信息化过程中帮助企业或政府部门建立健全内部控制制度,进行系统诊断,根据企业需要,确定信息化的目标和内容,选择合适的软件产品,帮助企业或政府部门调整现有的管理架构和流程或修改软件产品使其更好地服务于管理的需要。
由美国IT 治理研究院开发与推广的”信息及相关技术的控制目标”(Control Objectives For Information and Related Technology,COBIT)标准由34 个高层控制目标和318 个细节控制目标组成,已成为国际上公认的最先进、最权威的信息技术管理和控制的标准,已在世界100 多个国家的重要组织与企业中运用。
COBIT 模型使得信息技术目标和战略目标之间实现互动。COBIT 考虑了企业或政府部门自身的战略规划,对业务环境和企业或政府部门总的业务战略进行分析定位,并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,并由此确定IT 准则。在IT 准则的指导下,利用控制目标模型,分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。
COBIT 实现可跟踪的业绩衡量,通过平衡记分卡可以在财务、客户、流程、学习等方面维持平衡,评价企业或政府部门目标的实现情况以及IT 绩效,并调整业务目标和IT 战略,进行持续的IT 管理。COBIT 采用成熟度模型,可以定位自己企业或政府部门的IT 管理目前在业界所处的位置,以及未来努力的方向。COBIT 还提供了目前最佳案例和关键成功因素,供企业或政府部门借鉴。
COBIT 覆盖了从分析与设计到开发与实施,再到运营与维护的整个过程。对于分析与设计,重点目标是IT 与业务需求的结合,根据业务目标细化IT 战略,确定待开放的IT 系统,进行相应的系统分析和设计。在分析与设计这样一个流程范围中,比传统所说的信息系统的分析与设计要宽广得多,它强调的是IT 的战略要符合业务的战略,任何信息系统的开发都应该与业务战略保持精确的校准。
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞