伴隨着大數據時代的到來,企業的信息系統越來越系統化,呈現出與企業目標有機融合的整體性,隨着信息技術和企業業務發展而不斷髮展的動態性,包含子系統眾多的複雜性等特性,一句話,信息系統越來越複雜了。下面是yjbys小編為大家帶來的關於內部審計中的信息系統審計的內容的知識,歡迎閲讀。
劃分責任方
定義審計邊界、確定審計範圍的責任方有以下兩個層面:
決策層面
決策層面即董事會、管理層根據企業發展的戰略需求或者管理需求提出對IT相關項目的審計要求。這種要求是宏觀性的,是大的方向。例如保護企業信息安全是大數據時代企業生存和發展面臨的一個非常重要的問題,一旦董事會、管理層決定加強這方面的保護力度,或者發現了問題的隱患,就會提出對信息系統數據、信息安全控制方面的審計。
執行層面
執行層面即審計部門要根據企業計劃的安排,根據決策層授權提出的方向,定義具體審計的範圍和內容。如根據決策層關於數據、信息安全的大方向,需要審計信息系統中的哪些子系統、一般控制的哪些內容、哪些管理制度,都要一一詳細、具體定義。
視情況而定
在對信息系統開展的審計中,可能存在以下三種情況:
生命週期審計
第一種情況是對信息系統生命週期進行同步審計,對每一個流程都開展詳細審計。這種情況作為企業內部審計都會遇到,也是企業內部審計的一項職責。儘管如此,對每一個治理和管理流程開展審計時,也要明確的定義好每個流程的邊界。
系統審計
第二種情況是對已經開發好、並投入運行的系統開展審計。這類審計的目的是評估信息系統的功能是否達到了企業需要,是否需要更新。這類系統是企業整個信息系統的一個部分,是其中的一個或者幾個子系統。開展這種情況的審計時要明確審計的是什麼?是哪一個或者哪幾個子系統,把需要審計的對象摘取出來,與審計目的無關的不要涉及。
業務審計
第三種情況常常是和企業業務審計結合在一起的,如檢查企業對供應商管理的審計中,要檢查到信息系統中供應商子系統;檢查企業人力資源管理時,涉及到人力資源管理子系統。在開展這類審計時,要明確業務涉及到的信息系統是什麼系統,範圍是什麼,系統的邊界如何劃分,審計應該審計的內容。處理好上述三種情況,就能在制定審計計劃時列出明確的範圍,在實施審計時突出重點,有條不紊。
伴隨着大數據時代的到來,企業的信息系統越來越系統化,呈現出與企業目標有機融合的整體性,隨着信息技術和企業業務發展而不斷髮展的動態性,包含子系統眾多的複雜性等特性,一句話,信息系統越來越複雜了。如現在在很多企業推行的ERP、SAP系統,包含的子系統動輒以千計,涵蓋企業的供應商、進貨、庫存、生產、銷售、銷售商、財務會計、管理會計、人力資源等各個方面,包含的數據表更是數以萬計。企業內部審計對如此複雜的系統開展審計,在實務中,會感覺十分迷茫。那麼在內部審計中信息系統的審計究竟審什麼呢,我們有必要對其進行一些深入討論。
信息系統的審計首先要考慮的問題是定義審計什麼,也就是審計信息系統的哪一個部分,審計的範圍如何界定。在安排審計計劃時都要科學劃定審計的邊界,而不能籠統地對企業整個信息系統都開展全面的.審計,因為那樣做,會超越審計的實際需要,造成力不從心,無法實施或無力勝任的困境。在企業內部審計實務中還常常會遇到根據企業面臨的風險或特殊需要,而安排信息系統審計專項審計的情況,如信息和數據安全專項審計、信息系統建設投資專項審計、外包專項審計、內部控制合規性專項審計等等,遇到這類情況,也要首先定義審計的內容和範圍。
劃分責任方
定義審計邊界、確定審計範圍的責任方有以下兩個層面:
決策層面
決策層面即董事會、管理層根據企業發展的戰略需求或者管理需求提出對IT相關項目的審計要求。這種要求是宏觀性的,是大的方向。例如保護企業信息安全是大數據時代企業生存和發展面臨的一個非常重要的問題,一旦董事會、管理層決定加強這方面的保護力度,或者發現了問題的隱患,就會提出對信息系統數據、信息安全控制方面的審計。
執行層面
執行層面即審計部門要根據企業計劃的安排,根據決策層授權提出的方向,定義具體審計的範圍和內容。如根據決策層關於數據、信息安全的大方向,需要審計信息系統中的哪些子系統、一般控制的哪些內容、哪些管理制度,都要一一詳細、具體定義。
視情況而定
在對信息系統開展的審計中,可能存在以下三種情況:
生命週期審計
第一種情況是對信息系統生命週期進行同步審計,對每一個流程都開展詳細審計。這種情況作為企業內部審計都會遇到,也是企業內部審計的一項職責。儘管如此,對每一個治理和管理流程開展審計時,也要明確的定義好每個流程的邊界。
系統審計
第二種情況是對已經開發好、並投入運行的系統開展審計。這類審計的目的是評估信息系統的功能是否達到了企業需要,是否需要更新。這類系統是企業整個信息系統的一個部分,是其中的一個或者幾個子系統。開展這種情況的審計時要明確審計的是什麼?是哪一個或者哪幾個子系統,把需要審計的對象摘取出來,與審計目的無關的不要涉及。
業務審計
第三種情況常常是和企業業務審計結合在一起的,如檢查企業對供應商管理的審計中,要檢查到信息系統中供應商子系統;檢查企業人力資源管理時,涉及到人力資源管理子系統。在開展這類審計時,要明確業務涉及到的信息系統是什麼系統,範圍是什麼,系統的邊界如何劃分,審計應該審計的內容。處理好上述三種情況,就能在制定審計計劃時列出明確的範圍,在實施審計時突出重點,有條不紊。
