何谓信息系统审计
来源:中程在线 更新时间:2012-04-15

 
 
1.  企业信息化与信息系统审计
  随着企业实施信息化进程的不断深入。从信息系统安全性方面我们看到硬件故障、程序故障、操作系统错误、计算机犯罪,设备灾害以及保密数据泄漏等现象发生的可能性愈来愈高。此外,从投资的角度上看,我们看到随着信息化投资成本的不断增加,投资效果反而不明显。还有还会出现信息系统用户不满以及信息化产品落后于竞争对手、无法在市场上立足等问题。
  信息系统审计(又称IT审计)正是为了解决上述问题,提高信息系统的安全性、可靠性和开发、运营效率,使企业信息化得到健康、全面的发展而引入的预防机制。

2.  信息系统审计是什么 
  对信息系统进行审计的人员称为IT审计师,信息系统审计便是IT审计师对信息系统生命周期进行审计的一系列的活动。这些活动包括:
   (1)对信息系统的可靠性、安全性、开发和运营效率进行检查和评估;
   (2)将检查和评估结果向上级主管报告;
   (3)上级主管根据评估报告,指示信息化担当人员对信息系统进行相应的改善、IT审计师对改善情况进行追踪;

3. 信息系统审计的对象
  信息系统审计的对象包括:由计算机硬件和软件结合而成的信息系统以及与信息系统的输入、输出相关的活动。广义的讲,即信息系统以及信息系统生命周期的所有活动;
  因此,信息系统审计并不局限于业务运营时期,与信息系统相关的开发活动,包括企业信息化战略企划、信息系统计划、开发、实施和维护等相关的开发方面的活动也是信息系统审计的内容之一。

4.  IT审计部门的位置
  为了保证信息系统审计能够客观、公正并有效的得以执行。IT审计部门在企业内是独立的,不隶属于信息化部门和用户部门。
  有些公司可能因为规模、人才等原因没有IT审计师,在这样的情况下,信息系统审计可以雇用专门从事信息系统审计的审计公司来实施企业内部的IT审计。

5.  IT审计师的知识和能力要求
  为了有效地实施信息系统审计,作为一个IT审计师,应具备待审计对象所要求的业务知识和丰富的信息系统开发经验。
  知识方面的要求如下:

  信息系统计划、开发和运营相关的知识:

  ·信息系统构成相关的知识;
  ·信息化战略、构想、提案、立项等相关的知识;
  ·系统设计、程序设计、软件测试等相关知识;
  ·系统操作、数据管理等相关知识;

  信息系统审计实施相关的知识:

  ·信息安全相关的知识;
  ·经营管理方面的相关知识;
  ·业务对象相关知识;
  ·相关法律和法规;

  能力方面的要求如下:

  ·系统审计的相关能力;
  ·审计的立项、分析、评价相关的能力;
  ·信息收集、审核、审计方法掌握、技巧运用方面的能力;
  ·审计报告制作能力;

6.  信息系统审计效果之一 —— 信息系统可靠性的提高
  实施信息系统审计,可以从如下几方面着手提高信息系统的可靠性
  对信息系统的计划、开发、实施和运营各方面进行审计、可以提高信息系统的品质;
  通过信息系统审计,能在早期发现信息系统的设计缺陷、程序错误等、最终防止系统当机或是用户误操作现象的发生;
  万一信息出现故障,通过信息系统审计可以使故障影响控制到最小,还能迅速地进行系统恢复;

7.  信息系统审计效果之二 —— 信息系统安全性的提高
  实施信息系统审计,可以从如下几方面着手提高信息系统的安全性
  对自然灾害及不可抗拒灾害的应对措施进行审核和评价、一旦发生时能使损失和影响降至最低;
  从安全方面对信息系统进行审核和评价、防止数据的外泄、破坏或修改、非法入侵等情况发生,保证企业机密不外泄;

8.  信息系统审计效果之三 —— 信息系统效率的提高
  实施信息系统审计,可以从如下几方面着手提高信息系统的效率
  从信息系统的资源是否最大限度地被利用为落脚点进行核查、评价,实现信息系统在业务和负载方面的均衡;
  对信息系统的计划、开发、实施和运营各阶段的(费用/效果)指标进行定性或定量的核查、评价,确保信息系统利益最大化。