谈谈企业信息系统审计

    信息系统审计是通过审计，督促信息技术管理人员有效地履行职责，保证信息技术符合企业的战略目标，提高信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性，提高信息系统运行的效果与效率，保证信息系统的运行符合法律法规以及相关监管要求。
    一、制定审计计划
    内部审计人员在实施信息系统审计前，确定重点审计范围及审计活动的优先次序，明确审计成员的职责，编制信息系统审计方案。必要时，信息系统审计可利用外部专家的服务。
    二、信息系统审计的内容
    1、组织层面应当考虑下列控制要素：环境、风险评估、信息与沟通、内部监督。
    2、对信息技术一般性控制的审计应当考虑下列控制活动：
    （1）信息安全管理。企业的信息安全管理政策，物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制，系统设置的职责分离控制等。
    （2）系统变更管理。企业的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批，变更测试，变更移植到业务环境的流程控制等。
    （3）系统开发和采购管理。企业的应用系统及相关系统基础架构的开发和采购的授权审批，系统开发的方法，系统的测试、审核等环节。
    （4）系统运行管理。企业的信息技术资产管理、系统容量管理、系统物理环境控制、系统和数据备份及恢复管理、问题管理和系统的日常运行管理等。
    3、业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应当考虑下列与数据输入、数据处理以及数据输出环节相关的控制活动：
    （1）授权与批准；（2）系统配置控制；（3）异常情况报告和差错报告；（4）接口/转换控制；（5）一致性核对；（6）职责分离；（7）系统访问权限。
    三、信息系统审计的方法
    内部审计人员在进行信息系统审计时，可以单独或者综合运用下列审计方法获取相关、可靠和充分的审计证据，以评估信息系统内部控制的设计合理性和运行有效性：
    1、询问相关控制人员；
    2、观察特定控制的运用；
    3、审阅文件和报告及计算机文档或者日志；
    4、根据信息系统的特性进行穿行测试，追踪业务在信息系统中的处理过程；
    5、验证系统控制和计算逻辑；
    6、登录信息系统进行系统查询；
    7、利用计算机辅助审计工具和技术；
    8、利用其他专业机构的审计结果或者组织对信息技术内部控制的自我评估结果。
    四、审计报告
    在信息系统审计实施结束后，应以充分、可靠及相关的审计证据为依据得出审计结论与提出建议，出具审计报告，形成审计结果，并追踪审计建议的落实并执行相应的后续审计程序。
                                 （总经理办公室 高明之）