企业如何进行信息系统的审计

1.信息系统审计的定义

信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整，以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用，信息系统审计已经贯穿在各种审计之中，成为审计全过程的一部分。　　

信息系统审计是一种控制信息系统风险的有效方式，它是从独立的、第三方的角度来审视信息化过程中的各种风险，合理地鉴证被审计单位信息系统及其处理、生产的信息的真实性、完整性、可靠性，以及政策遵循的一贯性，并可对IT的绩效进行审计，以发现偏离，促进及时进行调整。　　

信息系统审计作为新兴的职业和学科体系，近年来逐渐升温，获得信息系统审计师资质认证的专业人员也在快速增加，显示了信息系统审计的发展需求，美国等发达国家很早就开展有独立资格的第三方进行的信息系统审计，建立了完善的信息审计制度。从国内信息化建设的现状及对信息安全的实际需要来看，我国企业也开始接受信息系统审计理论。　　

中国人民银行支付与科技司司长陈静指出：“信息安全越来越成为银行信息化建设与管理中需要密切关注的问题。企业对信息安全的重视程度和资金投入，将逐渐从单一的产品和技术向整体解决方案过渡，同时从封闭式的设计、实施与管理，不断与完善的、具有适当资质的、独立的第三方审计相结合，这是未来发展的一个趋势。

2.信息系统审计的内容

对银行信息系统进行审计的内容主要集中在以下几个方面：　　

对信息系统的管理、规划与组织的审计--评价组织信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。　　

对信息系统技术基础设施与操作实务的审计--评价组织在技术基础设施与操作实务的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标。　　

对信息资产的保护的审计--对逻辑、环境与信息技术基础设施的安全性进行评价，确保其支持组织保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。　　

对灾难恢复与业务持续计划的审计--这些计划是在发生灾难时，能够使组织持续进行业务，对这种计划的建立和维护流程需要进行评价。　　

对应用系统开发、获得、实施与维护的审计--对组织业务应用系统的开发、获取、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。　　

对IT相关业务流程的审计--评估组织业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。　　

与信息安全相关的人力资源管理的审计--评估与安全相关的人力资源管理政策、程序、实务，以及“信息安全，人人有责“的企业文化。　　

信息系统审计工作可以分为两大类：一种是组织自行完成的内部审计，内部审计的主要目的是检查组织各部门对安全保障制度的遵守情况，要保证内部审计师在他们能自由地和客观地进行工作时是独立的，独立性可使内部审计师提出公正和不偏不倚的判断意见。信息系统审计执行主管应该对审计委员会、董事会或其他治理机构报告业务工作，向机构的首席执行官报告行政工作。另一种是由会计师事务所或专业技术服务提供商完成的外部审计。外部审计通常是因为上市、并购、年终检查或其他法规的要求而进行，一般都很正规，也非常深入。进行信息审计的受托方应当独立于委托方，以保证信息系统审计的客观性与公正性。　

3.信息系统审计的过程

1)调查　

该审计步骤用来将控制目标下的相关活动用文档记录下来，对组织声称已实施的控制措施与程序进行识别，并且确认其存在。　　

与相关的管理者和员工进行会见，以理解：　　

业务需求好相关的风险。　　

组织结构。　　

角色和职责。