IT审计:为信息系统保驾护航

来源 :中国计算机报 | 被引量 : 0次 | 上传用户:zxqqqzxq
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  信息系统已成为现代社会中不可缺少的基础设施。在为人们提供便利、满足社会服务需求的同时,信息系统自身的结构和功能也越来越复杂。对信息系统的错误操作、滥用和不正当使用,给社会带来了巨大的经济损失。为应对信息系统风险,确保其服务价值得以体现,必须对信息系统的安全性、投资效果、实施进程和实施效果进行评估、指导和改进,即IT审计(Information Technology Audit,或称IT监查)。
  IT审计:
  本世纪最重要的审计领域
  从财务审计到IT审计
  IT审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方——IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整、有效检查和评估。
  从企业经营和管理角度来看,审计包括:财务审计,指针对于企业财务问题的审计;管理审计,指针对企业管理行为的审计;IT审计,指针对企业信息系统进行的审计。IT审计并非独立于财务审计和管理审计之外,而是与后两者密切相关的第三大审计领域。在财务审计中,既要保证会计报表等财务信息真实可靠,还要保证软、硬件系统同时可靠,这就涉及IT审计的内容。同样,在管理审计中,如对环境管理的审计,同时要求对企业的生产工艺与生产技术进行审计,也涉及IT审计的范畴。
  可以说,审计领域经过了财务审计一统天下,到管理审计与财务审计并存,再到IT审计与前两者并驾齐驱的过程。随着信息系统的广泛应用,IT审计将成为21世纪最重要的审计领域。
  五类审计涵盖生命周期
  IT审计强调对信息系统软、硬件的审计,注重对信息系统整个生命周期的审计,包括信息系统的所有活动和中间产物,以及信息系统实施相关的外部环境等。按照信息系统的生命周期,可将IT审计分为业务计划审计、业务开发审计、业务执行审计、业务维护审计和共通业务审计五类。
  1.业务计划审计
  对信息系统的设计规划、投资可行性、信息系统与公司战略的相关性、计划可行性、系统完整性和正确性等进行审核和验证。
  2.业务开发审计
  注重对信息系统开发环节的审查,包括对开发人员的活动、信息、中间产物进行审核,确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。
  3.业务执行审计
  确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求,同时对信息系统的功能、性能、易用度、可操作性等进行评估。
  4.业务维护审计
  对信息系统的维护活动和维护结果实施审核和评价,发现在维护中可能出现的各种漏洞和信息系统维护中亟待改善的问题。
  5.共通业务审计
  涉及文档管理、进度管理、人员管理、采购管理、风险管理等,检查这些过程的规范性和有效性,并提出改良建议。
  IT审计的内容
  按国际上通行的规范,信息系统审计有6个方面主要内容:评估信息系统计划、管理及组织架构的战略、政策、标准及相应的实践过程;评估技术基础设施及运行实践的效能和效率;评估信息资源在逻辑访问、运行环境以及IT基础设施各方面的安全性;评估系统灾难恢复及保证业务连续性的能力;评估业务应用系统开发、实施与维护的方法和过程;评估业务流程的风险管理水平。
  IT审计不仅对技术基础设施、业务应用系统的安全性、可靠性进行全面的监测,同时也对信息系统的组织结构进行审查,并以确保系统的安全性和灾难恢复能力为基础。因此,IT审计对IT审计从业人员提出相当高的要求,IT审计师必须具备相当广泛的基础知识、专业技巧和实践经验。
  重视并稳步推进IT审计
  IT审计在我国才刚刚起步
  目前,我国IT审计的发展尚属初期。20世纪90年代后期,信息系统控制与审计思想传播到我国,2002年6月,国际信息系统审计与控制协会(Information System Audit and Control Association,简称ISACA)在我国举办了首次注册信息系统审计师(CISA)资格考试,与信息系统控制与审计相关的概念、技术、实践才慢慢引入我国。
  从近年情况看,我国的信息系统审计制度建设工作才刚起步,主要包括:1993年审计署发布的《审计署关于计算机审计的暂行规定》,1994年国务院出台的《中华人民共和国计算机信息系统安全保护条例》,1996年审计署制定的《审计机关计算机辅助审计办法》,1999年中国注册会计师协会颁布的《中国独立审计准则第20号——计算机信息系统环境下的审计》,2007年1月1日起施行的《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》等。
  由于信息系统控制与审计在国际上尚属新兴领域,国内很多研究还不够成熟,但是一些行业和领域已逐步引进了IT审计来确保相关行业的信息安全。如金融、电信、航空航天、国家安全、电子商务和电子政务等领域。
  不能片面追求规模和速度
  当前,在全力推进“两化融合”工程的大背景下,我国信息化事业已发展到一个新的阶段。政府、金融机构、企业均开始整合与升级各自的信息化系统,信息化系统的应用范围将更加广泛,社会经济活动对信息化系统的依赖将更为明显,更需保证信息系统的安全。
  在信息化推进过程中,难免会出现片面追求规模和速度,不顾质量和安全的情形。信息系统规划制定不够深思熟虑,项目管理不够严格,系统运行效益不够明显,会导致相当一部分信息化项目失败,浪费大量资源。这与各级政府和企业对信息化风险认识不足,规避风险措施不力有直接关系。为此,在未来的发展中,必须重视IT审计,切实建立IT审计制度和规则,加大人才培养和技术开发力度,稳步推进IT审计工作。
  三项对策推进IT审计发展
  IT审计是一项程序性较为明显的系统性工作。要确保IT审计的公正性和客观性必须具备以下前提:一是要有一批专业化的第三方审计机构以及经过资格认证的注册IT审计师队伍;二是必须有一套公认的审计标准、过程规范及职业道德,并有相应的非赢利行业协会负责制定及监督执行;还需要以适时、适宜的IT审计技术创新为支撑。
  完善IT审计准则和制度
  国家有关部门要尽快召集IT行业及财务审计领域的专家学者,借鉴国际IT审计经验,研究起草我国IT审计的基本标准和具体准则。IT审计主要考虑IT审计合同、独立性、职业道德、能力等方面。
  作为企业也应建立完善的IT审计制度。要重视和培养合格的IT审计师,IT审计师是跨信息技术和审计技术的复合型人才;要建立相应的IT审计部门或审计岗位,明确职责;应制定IT审计准则、实施报表、报告等进行IT审计所必需的凭据;遵循国家相关法律、结合企业实际建立IT审计制度,并根据企业运营情况在审计年度结束时进行调整。
  培养IT审计人才
  大量合格的IT审计人才是我国IT审计事业得以顺利发展的基础。要重视软件供应商、管理咨询机构、会计师事务所等行业的IT审计师的培养,发挥IT审计师在产品、规划、检测、监控客户信息系统风险和运营风险等环节中的作用。要对现有的审计人员和IT从业人员进行相关技能培训,使他们掌握审计知识,并有能力通过IT审计师认证考试。要充分利用高校、企业和社会团体资源,通过联合培养、集中实践、统一选拔的方式提升IT审计师的数量和质量。
  加强审计技术研发工作
  IT审计经历了40多年的发展,目前已趋于成熟,但国内发展缓慢。为此,我们有必要借鉴国外先进经验,加强对新型审计技术和度量工具的研究,要真正把握信息技术发展的脉搏,紧跟IT审计技术的发展步伐,结合国内实际,遵循审计工作的基本原则,改进国内审计技术,不断消化和创新IT审计技术和方法。要加大对IT审计软件开发、工具开发的扶持力度,促使企业加大投入,增加国家直接资金支持。同时,要在成果鉴定的基础上,加大IT审计软件的推广和应用力度,提高审计精度和效率。
其他文献
10月9日,瑞典皇家科学院会议厅,瑞典皇家科学院常任秘书诺尔马克宣布将2012年诺贝尔物理学奖授予法国物理学家塞尔日·阿罗什(Serge Haroche)和美国物理学家戴维·瓦恩兰(David J. Wineland)。随后,诺尔马克阐述了“f突破性的实验方法使得测量和操纵单个量子系统成为可能”的获奖理由。他们的科学成果不仅开启了量子物理新时代的大门,同时也预示着速度超快超可靠的量子计算机的创造之
继2010年4月惠普推出惠商计划之后,惠普又联手慧聪推出了中小企业交流平台——惠商联盟,此平台致力于帮助中小企业跑赢大市。在当前严峻的形势下,物价上涨带来成本上升,中小企业的发展又一次面临着重大挑战。慧商联盟将针对广大中小企业用户推出惠商聚益堂沙龙,多角度、多维度,帮助中小企业在逆境中发展。  惠普惠商系列高性能商用喷墨打印产品一直致力于帮助中小企业降低企业成本,提升企业形象,实现飞跃式发展。20
在2012中国信息产业经济年会会场,《中国计算机报》对参会的部分ICT企业展开调查,收集了有代表性的89家企业对ICT产业热点问题的看法以及它们对“创新融合驱动经济发展”模式的探索方法,并依据调查过程中获得的信息,结合本报记者长期对产业的观察和认识,为业界提供一些分析结论。  / 企业未来三年主要关注的领域 /  调查结果显示,有80%的受访ICT企业将在未来三年内关注云计算领域,74%的企业
2011年5月,中美首次举行战略安全对话,将网络安全的重要性提升到了国家政策层面。安全问题,尤其是政企行业的安全问题已经成为了全民、全行业乃至全球的重要关注点。  《瑞星2010中国企业安全报告》数据指出,2010年,高达90%的传统企业内网(仅计算與互联网连通的企业网络)曾被成功入侵。  对于与互联网有大量信息交互的政企部门来说,瑞星防毒墙与杀毒软件“强强联合”,能够为其提供专门、专业、一体化的
虽然苹果早已靠iPad和iPad2占据了全球平板电脑的霸主地位,虽然三星、摩托罗拉、联想、爱国者、万利达等国内外厂商的平板电脑产品已上市多时,但面对错失先机的质疑,Acer全球副总裁及中国区总经理艾仁思坚持认为,Acer此时推出平板电脑并不晚。在他看来,“没有搭载Android 3.0系统的平板电脑就是摆设”。    率先搭载Android 3.0    4月15日,Acer在北京正式发布了自己的
Strategic Research Corporation(战略研究公司)和SNIA (全球网络存储工业协会)的研究结果显示,仅文件管理一项就占总体存储管理成本的47% 。因此,简化文件和内容管理对企业实现可持续、可扩展的存储发展和长期总体拥有成本(TCO)最小化的目标来说至关重要。  HDS公司提出了优化存储管理的“ABC”原则:A代表先归档(Archive First),B代表少备份(Bac
>>利用DB2深度压缩技术,核心历史数据库现有8TB数据,而不是60TB。DB2与Power服务器、WAS中间件搭配,性能更优,支持数据大集中后日均1000万笔交易。  >>广东农信每天生成2000多张报表,Cognos让报表生成和修改更轻松。  >>广东农信较早前就尝试用Guardium进行数据库审计,审计系统让误操作无所遁形。  >>通过虚拟化,广东农信有效降低了开发设施环境对硬件的需求,实现
无论对于企业还是个人来说,入门打印机选购的要点就是性价比,而性价比则包括了产品性能和总体拥有成本。    总体拥有成本最关键    众所周知,购买一台打印机要看总体拥有成本(TCO),即购买成本 使用成本,也就是说除了首次购买的成本之外,还要预料并计算出日后的使用成本。  就不少家庭还在使用的喷墨打印机来说,打印机价格非常便宜,但喷墨打印机的总体拥有成本却是相当高,原因就在于喷墨打印机的耗材价格甚
当各种样式精致、设计创新的产品不断涌现在消费者眼前时,人们的消费动机不再是单一的功能诉求。从产品到服务,从外观到功能,“用户体验至上”的原则在今天已经深入人心。  湖北美术学院教授、硕士生导师李梁军认为,工业设计的核心是围绕“人”的一切因素而寻求解决问题的方法论的探讨,从而提高人们的生活品质,从而推动社会生产中整个产业链的发展。  “感性工学”融入设计  在今天,电子产品已经成为与消费者日常生活密
IDC中国PC市场季度跟踪报告显示,2011年中国PC市场出货量同比增长10.8%,4~6级城市同比增长14.3%。在一二线城市电脑需求日益饱和的今天,广大农村市场成为各PC厂商争夺的蓝海。如何挖掘农民的需求?如何快速打开农村市场?戴尔的答案是送知识下乡。  在10省实现知识下乡   戴尔在一项调查研究中发现,很多农村消费者都是在该活动中第一次接触电脑产品,不会用电脑是农民没有购买电脑需求的最主