聚合氯化铝厂家
免费服务热线

Free service

hotline

010-00000000
聚合氯化铝厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

企业如何制订IT审计制度

发布时间:2020-06-30 19:15:34 阅读: 来源:聚合氯化铝厂家

摘要:当今世界是信息化时代,信息系统受到各种各样的威胁,如没有安全对策,系统是相当脆弱的。信息系统的可靠性、安全性与效率的确保是极其重要的,而这一切也是为企业的经营者考虑。

关键词:IT审计

当今世界是信息化时代,信息系统受到各种各样的威胁,如没有安全对策,系统是相当脆弱的。信息系统的可靠性、安全性与效率的确保是极其重要的,而这一切也是为企业的经营者考虑。IT审计应由具有信息技术与审计两方面知识与能力的IT审计师对信息系统进行检查与评价,将其结果向企业经营者报告。企业经营者即使对信息系统不精通,按照IT审计报告也能像黑盒子一样理解信息系统及与之相关联的业务,使之间接把握信息系统成为可能。因此,企业经营者通过IT审计,能把握与信息系统有关的业务,决定对策,也就是说IT审计师实施IT审计,把针对信息系统可靠性、安全性与有效性等进行的检查与评价的结果报告给企业经营者,使经营者能把握信息系统,有效地控制和管理与系统相关的风险。

确立IT审计制度

在信息系统成为企业业务处理中枢的今天,经营者决定信息化的投资方针,信息系统的可靠、安全、效率的好坏左右着企业的命运。因此,企业经营者不仅要接收信息部门的报告,在企业内部设立IT审计部门,实施内部审计。同时,还必须委托外部IT审计师站在第三方的客观立场对信息系统进行全面的检查与评价,这是必不可少的。因此,企业经营者必须理解IT审计是为企业而实施的,而要实施IT审计,确立IT审计制度是十分重要的。下面介绍IT审计制度大致包含的主要内容。

(1)明确基本方针

·确立领导把关的方针

·明确IT审计师的权限、职责与任务

·确立IT审计结果的报告与跟踪制度

(2)IT审计的组织机构

·内部审计在组织机构中的位置

·内部审计的规模及小组组成

·IT审计师所具备的资格与教育培训

·委托外部的IT审计

·外部的IT审计合同

(3)IT审计准则、手册、工具的配备

·IT审计准则、手册与操作规程

·IT审计工具与软件

·IT审计报告,各种审计实施表

(4)IT审计与相关部门的关系

·IT审计与系统部门关系

·IT审计与用户部门关系

·外部审计与内部审计的关系

日本通产省情报处理开发协会,曾向企业经营者提出实施IT外部审计的必要性有如下几点。

(1)当今世界信息系统在企业中占据重要地位,经营者为了对信息系统进行客观的评价,仅有内部审计是不够的,为确保信息系统的可靠 、安全与有效,还必须请外部IT审计师客观地不间断地实施IT审计。

(2)追求信息系统投资的效率,充分理解IT审计的本质。由外部IT审计师对信息系统进行评价,带头实施外部IT审计,促进系统的合理使用与不断健全。

(3)为了确保信息系统的安全,考虑地震等自然灾害及人为侵犯等的影响,早做防范。在事故发生、业务中断情况下,有替代方案,使系统损失最小。

(4)一般与人民生活密切相关的各种信息系统,要对其差错与受侵犯的可能性进行充分的研究,考虑预防对策,由此可见外部IT审计是必不可少的。外部IT审计一般通过委托方式,签订外部IT审计合同来实现的。

明确IT审计基本方针,确立IT审计制度,并使其顺利进行。要让相关的人员都知晓IT审计的基本方针,而且还要让相关部门也理解该方针。IT审计的方针作为企业的决策,直接影响到IT审计实施的有效性,因此是十分重要的。基本方针应对IT审计的一些规定明文化,要表明经营者的态度。[page]

IT审计准则、手册、工具的配备

为了有效地实施IT审计,国际上成立了信息系统审计与控制协会ISACA(Information System Audit and Control Association),由该组织制定和颁布IT审计准则、实务指南等,来规范与指导IT审计师的工作,并开发了各种各样的工具。各IT审计组织要充分考虑IT审计对象的规模、特性、IT审计人员的知识、经验程度及工具所具有的特性,同时考虑一定的投入,并引入或开发各种工具与环境。如没有手册、工具等的配合,要真正实施IT审计是困难的。

IT审计准则是实施IT审计的总纲,是IT审计和审计报告规定必须达到的基本要求,是实施IT审计业务、出具IT审计报告的具体规范。

IT审计手册,是实施IT审计时必要的基本工具,是覆盖IT审计从计划、实施到报告各阶段可参照的详细的工具书。如要提高IT审计效率,保证IT审计的质量,这些都是非常重要的。

IT审计手册中,应考虑以下内容:

(1)IT审计部门各岗位的职责、权限及内容。

(2)IT审计对象的领域及IT审计实施参照的标准。

(3)各主要IT审计领域的详细的审计目的及IT审计顺序。

(4)IT审计工具的利用顺序及注意事项。

(5)IT审计计划中应记载事项及时间。

(6)IT审计报告的制作顺序,包括要记载的事项、格式和时间。

(7)相关部门的调整事项及顺序。

(8)IT审计师的必要资格及教育培训。

另外,IT审计实施表的开发,通用审计软件包的准备,审计工具的购买等都需要费用。因此,企业经营者在实施IT审计时,要考虑到这些。表1.3 列出了要准备的IT审计准则、手册与工具等。

IT审计准则、手册与工具

(1)IT审计准则、IT审计手册

·IT审计的基本方针,业务范围

·IT审计人员的任务、权限、职责和组织

·IT审计计划、IT审计顺序和IT审计报告

(2)业务规则、确认规则和安全政策等

·业务规则和确认规则等

·安全政策

·各种标准过程和业务手册等

(3)IT审计顺序和IT审计实施表

·标准IT审计顺序

·内部审计评价表

·安全检查实施表等

(4)IT审计用的工具软件

·通用IT审计程序

·组入审计模块

·业务管理的程序等

相关部门的关系

内部审计、外部审计与行政审计的关系可知,对于同一信息系统,为了确保系统的安全、可靠与有效,内部审计与外部审计是站在不同的角度,为同一目标而进行审计。因此,内部审计师、外部审计师及系统部门、用户部门等要协调好各方的关系,明确职责,找出系统的问题。本节主要介绍与此相关的各部门的关系。

IT审计与系统部门的关系

IT审计人员在执行IT审计的过程中与系统部门接触十分频繁。特别是系统开发阶段,IT审计需要与之长期的协调。为实施IT审计,IT审计人员难免要使用计算机来辅助实施,此时也需要系统部门的协助。因此,系统部门要正确理解IT审计人员的工作性质、权限与职责,处理好两者之间的关系。特别是计算机的使用等,事先都要协调好。IT审计用的程序,原则上由IT审计人员执行,不能依靠系统部门,IT审计人员要处理好各种关系并找出问题根源。

IT审计与用户部门的关系

信息系统是由用户部门使用与维护的。系统部门提供信息处理系统,由用户实施。因此,对系统整体进行IT审计时,IT审计人员要协调好用户部门与系统部门的关系,明确各方的职责,找出问题所在。

内部审计与外部审计的关系

IT内部审计是企业内部的审计活动,是对信息系统功能实现的内部控制,也可看成是系统的组成部分,或是内部的系统质量控制。没有内部IT审计,要保证系统所有功能的实现是困难的。而外部IT审计是对内部IT审计的检查与评价,是对其有效性进行的判断。可以说外部审计是对内部质量控制的再控制。从保障信息系统的安全、可靠与有效的角度看,内部IT审计与外部IT审计是一致的,但外部审计是对内部审计的再检查与再评价。外部IT审计师在实施IT审计过程中与内部IT审计师接触十分频繁,要处理好关系,找出问题根源,并要保持各自的独立性。

责编:qwenf

聊城定制西装

烟台订做劳保工服

淄博工作服订制

威海制作劳保工服