通过对信息系统风险审计的概念、审计的主要程序、审计的具体内容、审计的方法等方面进行较为深入的探讨,以期能够实现对企业信息系统风险审计提供借鉴和参考。
信息系统 风险 审计
一、基本概念
信息系统审计:是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。
信息系统风险审计:是指企业信息系统审计师利用专业方法和手段,对信息系统物理和逻辑的管理控制风险进行查证、分析和评价,对信息安全性、完整性、可靠性、可用性做出签证的保证工作。依据信息技术的功能和信息系统风险的特点,对信息系统风险防范的最好措施就是对其进行适时的监控。
二、审计计划阶段需要掌握的企业信息
1、了解和描述企业信息系统内部控制制度,可使用文字说明法和流程图表示法等。
(1)了解信息系统的基本情况,包括:中央处理器(CPU)、操作系统和应用系统;
(2)了解系统环境,包括计算机硬件、设施安排及摆放、外部环境等;
(3)了解系统安全管理员的权限及职责。
2、分析企业信息系统决策管理及运行现状,收集以下重要信息。
(1)高度依赖信息技术、信息系统的关键业务流程及相关的组织战略目标;
(2)信息技术管理的组织架构;
(3)信息系统框架和信息系统的长期发展规划及近期发展计划;
(4)信息系统及其支持的业务流程的变更情况;
(5)信息系统的复杂程度;
(6)以前年度信息系统内、外部审计等相关的审计发现及后续审计情况;
3、信息系统风险识别
进行信息系统审计时,审计人员应当识别组织所面临的与信息技术相关的内、外部风险,并采用适当的风险评估技术与方法,分析及评价其发生的可能性及影响程度,为确定审计目标、范围和方法提供依据。
4、确定信息系统内控、风险审计目标与审计范围。
5、成立独立的信息系统审计组
根据审计任务的要求,信息系统审计组一般应该由信息系统审计师、IT系统专家、业务专家、风险管理专家或某专业咨询师等人员构成,主要的审计师必须具备IT审计资质。
三、审计实施阶段需要审查的主要内容
(一)信息系统审计通常包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。
1、组织层面信息技术控制。是指管理层及治理层对信息技术治理职能及内部控制的重要性的态度、认识和措施,审计人员应考虑以下控制要素中与信息技术相关的内容:
(1)控制环境。审计人员应关注该组织的信息技术战略规划对业务战略规划的契合度、信息技术治理制度体系的建设、信息技术部门的组织结构和关系、信息技术治理相关职权与责任的分配、信息技术人力资源管理、对用户的信息技术教育和培训等方面;
(2)风险评估。审计人员应关注组织的风险评估的总体架构中信息技术风险管理的框架、流程和执行情况、信息资产的分类以及信息资产所有者的职责等方面;
(3)信息与沟通。审计人员应关注组织的信息系统架构及其对财务、业务流程的支持度、管理层及治理层的信息沟通模式、信息技术政策/信息安全制度的传达与沟通等方面;
(4)监控。审计人员应关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及组织对信息技术内部控制的自我评估机制等方面。
(5)信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定的运行,支持应用控制的有效性。
2、对信息技术一般性控制的审计应考虑以下控制活动:
(1)信息安全管理。审计人员应关注组织的信息安全管理政策,物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制,系统设置的职责分离控制等;
(2)系统变更管理。审计人员应关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批,变更测试,变更移植到生产环境的流程控制等;
(3)系统开发和采购管理。审计人员应关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发的方法论,开发环境、测试环境、生产环境严格分离情况,系统的测试、审核、移植到生产环境等环节;
(4)系统运行管理。审计人员应关注组织的信息技术资产管理、系统容量管理、系统物理环境控制,系统和数据备份及恢复管理,问题管理和系统的日常运行管理等。
3、业务流程层面应用控制。是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应考虑以下与数据输入、数据处理以及数据输出环节相关的控制活动:授权与批准;系统配置控制;异常情况报告和差错报告;接口/转换控制;一致性核对;职责分离;系统访问权限;系统计算;其他。
4、其他。审计人员还可以根据组织当前面临的特殊风险或需求,设计专项审计以满足审计战略,具体包括但不限于下列领域:信息系统开发实施项目的专项审计;信息系统安全专项审计;信息技术投资专项审计;业务连续性计划的专项审计;外包条件下的专项审计;法律法规、行业规范要求的内部控制的合规性的专项审计;其他专项审计。
(二)从信息系统的组成以及风险成因角度,可把信息系统风险分成不同的种类。按照风险性质,可把信息系统风险分为安全风险和数据质量风险;从安全风险的生成机理,可把安全风险分为物理安全风险和逻辑安全风险;按照数据功能特点和质量特征,可把数据质量风险分为保密性风险、真实性风险、完整性风险、精确性风险、及时性风险。
1、信息系统安全风险审计
(1)物理与逻辑安全审计:①安全考量管理;②信息接触者身份识别、鉴别,用户账号管理;用户账号管理分析;用户账号的自我控制;③安全监视;在线数据的访问安全问题;集中识别访问权限管理;侵犯行为报告;资格鉴定;信任渠道;④安全功能的保护;交易授权;⑤密码技术管理的关键;⑥恶意软件的预防、检查和纠正;事故处理;⑦防火墙架构及与公共网络的连接;⑧电子资产价值的保护。
(2)设备管理风险审计:IT网络设施是否作到低成本控制;参观者陪同设计是否全面、适当;个人健康与安全情况;环境风险因素防范的充分性。
(3)运营管理风险审计:对用户进行调查,确定运营执行与其持续活动和服务协议吻合程度;对非正常结束工作的情况展开调查,查询问题发生的原因;运营培训、替换轮换、节假日等环节总结的经验;控制台登录的准确性测试,对出现问题趋势进行分析;用户对服务的满意度;根据客户建议改进的预防性维护的完整性。
2、数据质量管理风险审计
(1)获取数据库管理、控制相关资料:系统功能和用户数据及相关流程图;数据起始点、批处理、编辑职责;输入、处理、输出、分析、纠正、重新递交、传送给用户的关键点;系统资源单据、证明的批准授权程序;数据收集、跟踪和发送程序;保证信息完整性、准确性、可计量性和可传送性程序。
(2)对数据库的内部控制设计执行测试
(3)数据库控制遵守性测试和评估:选择样本,证明数据输入的授权、批准、准确性、完整性和数据输入的及时性;负责信息输入、转换的职员了解、知晓数据准备控制的内容;对输入错误的保持、决定及完整性进行分析;错误处理程序和行动与已建立的政策和控制相符;错误数据纠正程序和行动遵照已建立的程序和控制。
四、信息系统审计的方法
审计人员在进行审计与信息技术相关内部控制及流程中可以单独或综合应用下列的审计方法来获取充分、适当的审计证据以评估信息技术内部控制的设计有效性和执行有效性:询问相关的控制人员;观察特定控制的运用;审阅文件和报告;根据信息系统的特性,进行穿行测试,追踪交易在信息系统中的处理过程;验证系统控制和计算逻辑;登录信息系统进行系统查询;利用计算机辅助审计工具和技术;保证独立性、客观性及职业技能的质量控制前提下,利用其他专业机构的审计结果或组织对信息技术内部控制的自我评估结果。其他:信息系统审计人员可以根据需要利用计算机辅助审计工具和技术进行数据的验证、关键系统控制/计算的逻辑的验证、审计样本选取等;审计人员在充分考虑安全的前提下,可以利用可靠的信息安全侦测工具进行渗透性测试等。
五、审计过程中应予以关注的事项
1、审计人员在对信息技术内部控制进行评估时,应获得充分、可靠及相关的审计证据以支持审计结论完成审计目标,并应充分考虑系统自动控制的控制效果的一致性及可靠性的特点,在选取审计样本时可根据情况适当减少样本量。在系统未发生变更的情况下,可考虑适当降低审计频率。
2、在审计过程中进行风险评估,并在此基础上依据信息技术内部控制评估的结果重新评估审计风险,并根据剩余风险来进一步设计审计程序。
3、审计工作底稿应以正式的书面或电子形式进行记录,其中应包含审计程序、审计发现和审计结论以及支持审计结论的审计工作细节及审计证据。审计过程中获取的电子数据应建立严格的电子数据归档措施,并对敏感数据进行严格的保密管理。
推荐访问: 信息系统 审计 风险 企业