信息系统的审计
为保证信息系统能够支持企业的业务和目标,要对其进行审计,也就是通常所说的信息系统审计。信息系统审计要求收集并评价审计证据,以判断被审计对象与信息系统有关的资源与资产的保全、资料与系统的完整性维护等;判断信息系统是否可以提供值得信赖的资料,并有效实现组织的目标;判断信息系统的内部控制是否能够有效地实现控制目标和经营目标。
信息系统审计主要包括以下7个方面的工作。
1.系统开发审计
系统开发审计包括开发过程的审计、开发方法的审计等。主要的工作是审查系统开发方法是否合理,是否存在缺陷和问题,检查开发过程中的各种文档 (例如,系统设计报告、程序说明书、各种开发记录等)是否符合规范。
2.结构审计
结构审计包括主要数据中心的结构审计,网络、通信设施的结构审计等。审查数据中心的可靠性,网络、通信设施的可靠性,其结构是否能满足信息系统支持企业业务和目标的实现。
3.软硬件审计
软硬件审计主要是考察软件和硬件供应商及外包服务商提供的方案、产品及服务质量是否达到了企业的要求,是否满足了用户需求,是否与信息化项目合同相符合。
4.系统安全审计
系统安全审计主要是审计信息系统的安全可靠性,如自身运行的可靠性、抵御外来侵入的能力、防止内部破坏的能力以及灾难恢复的能力等。
5.系统运营效能审计
系统运营效能审计主要是考察信息系统的运行效率是否满足用户需求以及信息系统的投资回报率的高低等。
6.程序和数据审计
程序审计的主要工作是检查开发信息系统时所编制的程序是否正确、可靠,程序审计类似于系统测试,可分为黑盒审计和白盒审计。黑盒审计是利用精心选择的数据在系统上运行,检查运行结果是否正确,而不直接审查程序代码。白盒审计是直接检查程序代码,发现并纠正可能存在的错误和隐患。
数据审计是要检查信息系统内涉及的各种数据,包括系统输出数据和存储在各种介质上的数据。检查的目的是保证各种数据的正确性和真实性,保证对数据存取控制的安全有效性,保证对数据文件控制功能的可靠性。
程序和数据审计是信息系统审计的重要工作内容。
7.内部控制制度审计
对信息系统进行内部控制是保证信息系统安全可靠运行的一个关键。一个好的内部控制必须有好的控制制度来保障。信息系统的内部控制制度可以有效防止系统运行过程中由于错误操作所带来的种种风险,避免内部人员的舞弊和犯罪行为等。对内部控制制度的审计涉及的工作有操作权限控制、软硬件控制、安全控制、文件资料访问和修改控制等。
信息系统审计不但要对信息系统的开发过程进行审计,还要对信息系统的运营进行审计,涉及的范围相当广。信息系统审计注重审查信息系统是否与企业的实际业务模型一致,能否如实反映信息系统的客观性能。