24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

談企業(yè)信息化過程中的IT審計(jì)

來源: 趙曙光 朱永良 編輯: 2009/03/23 16:13:06  字體:

  內(nèi)容摘要:企業(yè)信息化可以提高組織的工作效率和經(jīng)濟(jì)效益,但風(fēng)險(xiǎn)控制不當(dāng),也會(huì)給企業(yè)帶來巨大的損失。因此,必須對(duì)企業(yè)信息化過程進(jìn)行風(fēng)險(xiǎn)評(píng)估和IT審計(jì)。適當(dāng)?shù)倪\(yùn)用IT審計(jì)方法、技術(shù)和工具,進(jìn)行企業(yè)信息系統(tǒng)的綜合評(píng)價(jià),幫助企業(yè)控制信息化風(fēng)險(xiǎn),實(shí)現(xiàn)信息系統(tǒng)的高效運(yùn)作。

  關(guān)鍵詞:企業(yè)信息化 IT審計(jì) 信息系統(tǒng)

  在當(dāng)今競(jìng)爭(zhēng)激烈和快速變化的商業(yè)環(huán)境中,企業(yè)面臨嚴(yán)峻的挑戰(zhàn),傳統(tǒng)的企業(yè)管理模式產(chǎn)生變革,信息技術(shù)正在滲透到企業(yè)業(yè)務(wù)環(huán)境的各個(gè)環(huán)節(jié),信息化已經(jīng)成為企業(yè)的中樞,影響到企業(yè)的生存與發(fā)展。但是,企業(yè)信息化在改善企業(yè)運(yùn)作管理水平、提高工作效率的同時(shí),也產(chǎn)生了巨大的風(fēng)險(xiǎn)。除了傳統(tǒng)意義上的經(jīng)營(yíng)風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和財(cái)務(wù)風(fēng)險(xiǎn)外,企業(yè)信息系統(tǒng)的安全問題,諸如系統(tǒng)的低效使用和頻繁故障,程序的漏洞和黑客的侵犯等都會(huì)給企業(yè)以重創(chuàng)。而企業(yè)信息化又使得企業(yè)內(nèi)部控制環(huán)節(jié)發(fā)生改變,傳統(tǒng)的控制手段失去意義。信息技術(shù)對(duì)企業(yè)的挑戰(zhàn)是空前的,企業(yè)決策層需要采用IT審計(jì),進(jìn)行企業(yè)信息系統(tǒng)的綜合評(píng)價(jià),幫助企業(yè)進(jìn)行風(fēng)險(xiǎn)管理,迎接信息化的挑戰(zhàn)。

  企業(yè)信息系統(tǒng)的IT審計(jì)

 ?。ㄒ唬┢髽I(yè)信息系統(tǒng)IT審計(jì)的產(chǎn)生

  為了保證企業(yè)信息化過程中的安全,要對(duì)信息系統(tǒng)進(jìn)行IT審計(jì),將信息系統(tǒng)的風(fēng)險(xiǎn)降到最低。“審計(jì)”(Audit)起源于會(huì)計(jì)審計(jì)和帳目稽查。隨著第二代晶體管計(jì)算機(jī)的出現(xiàn)和計(jì)算機(jī)技術(shù)的日益成熟與普及,特別是會(huì)計(jì)電算化之后,開始出現(xiàn)了IT審計(jì)。IT審計(jì)是指獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師,站在客觀立場(chǎng),對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng),從計(jì)劃、設(shè)計(jì)、編程、運(yùn)行、維護(hù)以至淘汰的整個(gè)生命周期實(shí)施審計(jì),對(duì)信息系統(tǒng)的可靠性、安全性和有效性進(jìn)行檢查和評(píng)價(jià),將結(jié)果報(bào)告給企業(yè)的最高領(lǐng)導(dǎo),并提出問題和建議。IT審計(jì)的目的是使企業(yè)信息系統(tǒng)有效利用及去除弊病,使信息系統(tǒng)能夠真正為經(jīng)營(yíng)者服務(wù),為企業(yè)創(chuàng)造價(jià)值。

 ?。ǘ┢髽I(yè)信息系統(tǒng)IT審計(jì)的內(nèi)容

  企業(yè)信息系統(tǒng)的IT審計(jì)一般分為信息系統(tǒng)開發(fā)過程的審計(jì)、信息系統(tǒng)運(yùn)行維護(hù)過程的審計(jì)和信息系統(tǒng)生命周期共同業(yè)務(wù)的審計(jì)。一個(gè)大型信息系統(tǒng)的開發(fā)需要花費(fèi)企業(yè)大量的人力、物力和財(cái)力,如果開發(fā)不當(dāng),投入運(yùn)行后需要的維護(hù)費(fèi)用通常要超過開發(fā)費(fèi)用,因此,對(duì)待系統(tǒng)開發(fā)必須慎重。對(duì)信息系統(tǒng)開發(fā)過程的每個(gè)環(huán)節(jié)跟蹤審計(jì),及時(shí)發(fā)現(xiàn)并修正每個(gè)階段發(fā)生的錯(cuò)誤,從而減輕開發(fā)過程中軟件錯(cuò)誤的積累放大效應(yīng),保障整個(gè)信息系統(tǒng)的質(zhì)量。

  

  對(duì)信息系統(tǒng)開發(fā)過程的審計(jì)是伴隨著系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、編碼、測(cè)試和系統(tǒng)試運(yùn)行這幾個(gè)階段同步進(jìn)行的。在信息系統(tǒng)運(yùn)行維護(hù)階段,信息系統(tǒng)已經(jīng)建立起來,但是一個(gè)信息系統(tǒng)的成功不僅包括成功的系統(tǒng)開發(fā),同時(shí)也包括對(duì)信息系統(tǒng)正確良好的操作和維護(hù),使其保持最佳的運(yùn)行狀態(tài),只有對(duì)信息系統(tǒng)進(jìn)行正確操作和維護(hù)才能保證信息系統(tǒng)真正實(shí)現(xiàn)其最初的設(shè)計(jì)目標(biāo),以最高的效率提供服務(wù)。與系統(tǒng)開發(fā)階段不同,運(yùn)行維護(hù)階段更加側(cè)重于從系統(tǒng)的實(shí)際運(yùn)行、維護(hù)狀況和用戶對(duì)系統(tǒng)的運(yùn)行管理方面進(jìn)行IT審計(jì)。

  信息系統(tǒng)運(yùn)行過程中的審計(jì)包括系統(tǒng)輸入審計(jì)、通信過程審計(jì)、處理過程審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、系統(tǒng)輸出審計(jì)和運(yùn)行管理審計(jì);信息系統(tǒng)維護(hù)過程中的審計(jì)包括維護(hù)組織審計(jì)、維護(hù)順序?qū)徲?jì)、維護(hù)計(jì)劃審計(jì)、維護(hù)實(shí)施審計(jì)、維護(hù)確認(rèn)審計(jì)、改良系統(tǒng)試運(yùn)行審計(jì)和舊信息系統(tǒng)報(bào)廢審計(jì)。

  IT審計(jì)還需要按照信息系統(tǒng)的生命周期展開,作為一種外部監(jiān)督和控制手段,在系統(tǒng)開發(fā)之初參與進(jìn)來,并貫穿于系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)開發(fā)、系統(tǒng)測(cè)試、系統(tǒng)運(yùn)行和維護(hù)各個(gè)階段。而這些階段有一些相同的業(yè)務(wù),如人員的管理、文檔的管理、進(jìn)度的管理、委托業(yè)務(wù)的管理和災(zāi)難對(duì)策等,都需要對(duì)這些業(yè)務(wù)進(jìn)行IT審計(jì)。按照共同業(yè)務(wù)審計(jì)的內(nèi)容和原則,生命周期共同業(yè)務(wù)審計(jì)分為文檔管理審計(jì)、信息系統(tǒng)進(jìn)度管理審計(jì)、信息系統(tǒng)人員管理審計(jì)、信息系統(tǒng)委托業(yè)務(wù)管理審計(jì)、災(zāi)難恢復(fù)審計(jì)等內(nèi)容如圖1所示。

  IT審計(jì)的方法、技術(shù)和工具

  IT審計(jì)方法、技術(shù)和工具是IT審計(jì)的重要組成部分。企業(yè)信息系統(tǒng)從功能、應(yīng)用環(huán)境、規(guī)模到開發(fā)方式等方面存在多樣性和復(fù)雜性,IT審計(jì)難度很大,對(duì)審計(jì)師提出了嚴(yán)峻的挑戰(zhàn),面對(duì)錯(cuò)綜復(fù)雜的信息系統(tǒng)和審計(jì)環(huán)境,審計(jì)師常常要用到許多種方法、技術(shù)和工具來幫助他們完成審計(jì)工作。常規(guī)的審計(jì)方法包括面談法、問卷調(diào)查法、系統(tǒng)評(píng)審會(huì)、流程圖檢查、程序代碼檢查、程序代碼比較和測(cè)試等。但在高度計(jì)算機(jī)化的信息系統(tǒng)中,只采用常規(guī)審計(jì)法顯然是不夠的,無論是審計(jì)證據(jù)的收集、評(píng)價(jià),還是實(shí)現(xiàn)審計(jì)工作的現(xiàn)代化,都需要借助計(jì)算機(jī)來高效完成。計(jì)算機(jī)輔助審計(jì)技術(shù)與工具CAAT(Computer Assisted Audit Techniques & Tools)使審計(jì)人員有了一種能有效地提高審計(jì)效率的工具,即審計(jì)人員可以使用各種CAAT軟件進(jìn)行符合性測(cè)試和實(shí)質(zhì)性測(cè)試。CAAT軟件大致上可以分為三類:項(xiàng)目測(cè)試輔助軟件、系統(tǒng)測(cè)試輔助軟件和系統(tǒng)模擬軟件。

  項(xiàng)目測(cè)試輔助軟件是審計(jì)人員為完成個(gè)別的審計(jì)項(xiàng)目的測(cè)試而編制使用的CAAT軟件,幫助審計(jì)人員進(jìn)行抽樣審計(jì)的樣本抽取、計(jì)算、分析和評(píng)價(jià)等。

  系統(tǒng)測(cè)試輔助軟件是審計(jì)人員為完成的企業(yè)信息系統(tǒng)而編制使用的CAAT軟件。這些軟件一般包括兩種類型,一種是對(duì)比測(cè)試軟件,即審計(jì)人員從企業(yè)信息系統(tǒng)中的原始數(shù)據(jù)中抽取一個(gè)樣本數(shù)據(jù),將樣本數(shù)據(jù)輸入到與企業(yè)信息系統(tǒng)類似的CAAT軟件中進(jìn)行處理,把CAAT軟件的結(jié)果與企業(yè)信息系統(tǒng)產(chǎn)生的結(jié)果進(jìn)行對(duì)比分析,以判定企業(yè)信息系統(tǒng)的可靠性、安全性;另一種是將用于測(cè)試的CAAT軟件鏈接到企業(yè)信息系統(tǒng)中,審計(jì)人員輸入一些特別準(zhǔn)備的測(cè)試數(shù)據(jù),由企業(yè)信息系統(tǒng)進(jìn)行處理,并將處理結(jié)果轉(zhuǎn)移到CAAT軟件的一個(gè)測(cè)試文件中去,審計(jì)人員檢查這一測(cè)試文件是否符合預(yù)期的結(jié)果,從而判斷企業(yè)信息系統(tǒng)的可靠性、安全性。系統(tǒng)測(cè)試輔助軟件也可以把兩種類型的CAAT軟件結(jié)合在一起使用。

  系統(tǒng)模擬軟件是審計(jì)人員運(yùn)用已建立的數(shù)學(xué)模型在計(jì)算機(jī)上對(duì)企業(yè)的經(jīng)營(yíng)活動(dòng)進(jìn)行模擬,以判斷企業(yè)經(jīng)營(yíng)活動(dòng)可能應(yīng)產(chǎn)生的結(jié)果,從而審查企業(yè)各項(xiàng)措施、決策的有效性和合理性。審計(jì)人員也可以模擬企業(yè)日常經(jīng)營(yíng)活動(dòng),并將模擬結(jié)果與企業(yè)實(shí)際成果進(jìn)行比較分析,找出存在的差異,分析差異產(chǎn)生的原因。系統(tǒng)模擬軟件一般用于經(jīng)濟(jì)效益審計(jì)或企業(yè)內(nèi)部審計(jì)。

  在實(shí)際工作中,審計(jì)師可以根據(jù)被審計(jì)組織及信息系統(tǒng)的實(shí)際情況,結(jié)合審計(jì)目標(biāo)、成本效益、審計(jì)小組的人員和設(shè)備配置情況、工作能力或工作習(xí)慣等,來選擇合適的IT審計(jì)方法、技術(shù)和工具,同時(shí)盡可能綜合應(yīng)用,優(yōu)勢(shì)互補(bǔ),提高審計(jì)效率。

  IT審計(jì)在企業(yè)信息系統(tǒng)中的應(yīng)用

  IT審計(jì)為企業(yè)信息系統(tǒng)的有效管理提供了一系列詳細(xì)的審計(jì)方法,對(duì)企業(yè)信息系統(tǒng)進(jìn)行審計(jì)時(shí),審計(jì)師需要對(duì)信息系統(tǒng)的整體效能進(jìn)行綜合評(píng)估,進(jìn)一步整體全面地評(píng)價(jià)企業(yè)信息系統(tǒng)目標(biāo)實(shí)現(xiàn)的充分程度以及企業(yè)的收益程度。

  對(duì)信息系統(tǒng)整體效能進(jìn)行綜合評(píng)估的主要評(píng)價(jià)項(xiàng)有:信息系統(tǒng)是否實(shí)現(xiàn)其設(shè)計(jì)目標(biāo),是否需要廢置或繼續(xù),是否需要進(jìn)行某些方面的修改以便更好地實(shí)現(xiàn)目標(biāo);信息系統(tǒng)開發(fā)過程是否合理,是否需要借此改善系統(tǒng)開發(fā)標(biāo)準(zhǔn),系統(tǒng)開發(fā)人員可以獲得更好的開展工作的反饋;信息系統(tǒng)是否能使管理更新,形成信息時(shí)代的經(jīng)營(yíng)管理;信息系統(tǒng)是否使管理組織體系發(fā)生根本改觀,即高度集中又機(jī)動(dòng)靈活,提高了合理性和科學(xué)性;信息系統(tǒng)是否能使組織真正面向市場(chǎng)并組織生產(chǎn)和經(jīng)營(yíng),并使規(guī)模生產(chǎn)轉(zhuǎn)變?yōu)槊艚萆a(chǎn)成為可能;信息系統(tǒng)是否能使組織交流靈活,使原本僵化的部分劃分得到改善,跨越傳統(tǒng)部門界限形成團(tuán)隊(duì)合力;信息系統(tǒng)是否提高了組織員工的工作效率和質(zhì)量,提供了員工的向心力;信息系統(tǒng)是否改善了組織與市場(chǎng)和客戶緊密相連的手段和可能;信息系統(tǒng)是否成為組織核心競(jìng)爭(zhēng)力的主要組成,是組織獲得競(jìng)爭(zhēng)優(yōu)勢(shì)的工具;信息系統(tǒng)是否有效降低了企業(yè)成本(尤其是時(shí)間成本),提高了企業(yè)效益。

  信息化時(shí)代,企業(yè)運(yùn)營(yíng)需要依賴各種信息系統(tǒng),IT審計(jì)可以避免信息系統(tǒng)的盲目開發(fā)和頻發(fā)故障給企業(yè)帶來的巨大損失。IT審計(jì)作為企業(yè)信息化過程中的重要環(huán)節(jié),可以高效管理與企業(yè)信息系統(tǒng)開發(fā)、運(yùn)行、維護(hù)及在整個(gè)生命周期中共同業(yè)務(wù)的相關(guān)風(fēng)險(xiǎn),確保信息系統(tǒng)的安全。企業(yè)信息系統(tǒng)進(jìn)行IT審計(jì),客觀評(píng)價(jià)系統(tǒng)實(shí)現(xiàn)其目標(biāo)的完成程度和企業(yè)的收益程度,并對(duì)系統(tǒng)的實(shí)施和風(fēng)險(xiǎn)加以控制。IT審計(jì)對(duì)企業(yè)信息系統(tǒng)整體效能提升影響顯著,是企業(yè)信息化的可靠保證。

  參考文獻(xiàn):

  1.胡克瑾.IT審計(jì)[M].電子工業(yè)出版社,2004

  2.郭順利,楊小虎.COBIT控制目標(biāo)體系研究及在電子政務(wù)中的應(yīng)用[J].計(jì)算機(jī)工程與設(shè)計(jì),2004

  3.胡克瑾.IT治理在電子政務(wù)中的應(yīng)用[J].中國(guó)計(jì)算機(jī)用戶,2006

責(zé)任編輯:小奇
回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - 8riaszlp.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)