大数据信息系统审计现状与发展建议,审计论文.docx

大数据信息系统审计现在状况与发展建议,审计论文随着信息技术在企业管理中的广泛运用, 传统的控制、管理、检查和审计技术都遭到了宏大的挑战。信息化目的的实现、信息基础构架的安全稳定高效运行, 均需要通过IT审计手段予以保障。通过IT审计, 能够确保企业的各项IT风险得到合理的、有效的控制, 使得企业IT资源更好地为运营目的服务, 实现信息系统价值的最大化。 一、企业IT风险分类 随着信息技术在当代企业运营中的广泛使用, 企业的业务和管理活动越来越依靠于信息系统开展。企业IT风险综合存在于企业战略、操作、合规和财务四大风险领域。一旦关键的IT风险得不到有效控制, 就可能导致企业遭受宏大损失。结合IT活动的分类, 通常将企业的IT风险划分为如下五类: 1.IT战略风险。IT战略是企业整体发展战略的重要组成部分, 也是实现企业整体战略的必要支撑及手段。IT战略风险是由于信息技术战略、行动计划或IT活动偏离企业的业务目的, 进而导致企业的IT投入没有能为企业运行或发展创造应有的价值以及由于IT战略的制定及更新没有能与企业整体发展战略相适应, 根据滞后的IT战略所做出的IT决策和投资无法适应企业发展的要求、甚至会阻碍企业目的实现等风险。 2.IT项目风险。IT项目生命周期包括规划、需求分析、系统设计、编程与实现、测试、运维与下线多个阶段, 在任何阶段都存在导致项目失败的因素及风险, 如交付的信息系统偏离用户需求、IT项目没有能根据预定时间表交付等。存在有效的IT审计机制, 能够促使IT项目施行规划得到必要的分析及评估, 能够在项目施行之初就发现照搬外方形式所带来的风险, 并对项目规划阶段的蓝图设计提出独立的审计意见, 也就能最大限度保证系统施行的方案与本地用户的实际需求相符合, 进而避免错误的投入和对企业发展进程的影响。 3.IT安全风险。信息安全风险指在信息系统整个生命周期中面临的人为或自然的威胁、利用系统存在的脆弱性导致信息安全事件发生的可能性及其造成影响的风险。威胁信息安全的因素, 包括网络攻击、数据篡改或窃取、信息系统的非受权访问等。有效的IT审计机制能够监督企业能否针对信息安全已经建立了充分的保卫机制并得到有效执行。 4.IT服务风险。IT服务风险是IT服务组织提供的IT服务无法知足用户预期水平的风险, 如服务器宕机、备份恢复失败、信息系统运行效率低下、系统数据错误等。 5.IT合规风险。IT合规风险是企业的IT运营与管理不能知足内外部的合规要求, 进而导致企业蒙受损失的风险。企业内外部多样化的IT安全威胁, 本身复杂且不断发展的IT应用环境, 国内外越来越多、越来越复杂的法律法规要求, 都使得企业面临相当程度的IT风险, 亟待开展IT审计辨别、控制和躲避, 稳固信息化在企业发展中的战略地位, 真正发挥信息技术的核心价值。 二、企业IT审计 IT审计是指客观独立的第三方对信息系统从计划、研发、施行到运行维护各个经过进行审查与评价的活动, 以审查企业信息系统能否有效、安全、可靠, 能否有效的保卫资产、完成组织目的、保证数据完好, 保证信息系统得出准确可靠的数据。IT风险是企业管理层亟待关注与控制的重要领域, 而IT审计正是帮助企业辨别IT风险与相关控制、评价控制的效果, 进而发现内部控制缺乏并及时改善、躲避IT风险的活动。企业需要对IT风险有一套行之有效的控制体系进而将IT风险降低到能够容忍的范围, 通过施行相应的IT审计, 有效躲避和消除IT风险。 (一) IT审计内容 1. IT系统建设审计。 通过开展系统施行前审计、施行中审计和施行后审计, 能够在系统设计时验证系统的功能与用户需求的一致性, 监督系统的开发或施行经过能否遭到良好的控制 (时间、成本与目的/质量可控) 以及系统安全性, 确保施行后的培训工作充分到位。 2. 业务流程控制审计。 通过施行业务流程的IT应用控制审计, 梳理业务流程中的风险点与对应控制点, 发现华而不实缺失的关键IT控制, 能对已有的IT控制的有效性做出评估, 进而就当前业务流程中的IT应用控制对风险的控制程度情况做出整体评价, 并提出可能的改良建议。 3. 系统控制效果审计。 通过对IT一般控制审计, 检查及验证IT一般控制层面的管理设计能否合理、有效, 进而保障信息系统具备良好的基本控制和安全环境。结合关键应用层面IT控制的审计, 如账单处理流程中的系统自动控制、系统生成财务报表经过中的自动计算等, 以保证关键IT应用中的控制有效。 (二) IT审计标准 为了保证审计结果的客观性和权威性, IT审计人员必须采用一套公认的、权威的审计标准作为施行IT审计的基本准则和施行根据。IT审计标准应包括两方面:一是关于IT审计本身怎样开展, 如审计对象、审计方式、审计流程等。二是IT审计时断定审计对象能否符合要求的标准, 应包含国家规定、行业规定、企业内部制度规范等。 在诸多的国际和国内IT审计标准中, 一般以COSO为IT管控的主要框架, 将IT控制环境分为控制、技术、流程、组织架构和角色、人员和指标体系六个控制层面。而IT审计也一般根据COSO的IT管控体系, 对每个层面采用不同的标准来建立IT审计框架, 如此图1所示。 COSO框架牵涉ITIL、COBIT和ISO 27001三个标准, 这三个标准所强调的目的不同。固然这些标准中存在重叠之处, 但是它们更多的是互补和穿插关系, 而非重复。在实际工作中, 需要根据企业的实际情况, 根据IT审计工作的重点, 分阶段采用不同的标准。 (三) IT审计范围 在COSO对内部控制框架从层次和要素定义的基础上, 参考结合在IT管理界被广泛使用的其他内部控制评估标准后, 业界制定的IT内部控制体系总的来讲分为组织层面的IT控制、IT一般控制和应用系统控制。华而不实IT一般控制是IT内部控制框架中企业层面和应用层面重要的衔接点, IT审计范围如此图2所示。 1. 组织层面的IT审计。 组织层面的IT审计是检查企业内部关于IT方面的控制设计及施行能否有效, 为企业管理层最终发表内部控制有效性声明提供支持证据。根据企业组织策略的不同, IT审计每年关注的重点有所不同, 因而需要基于风险分析和评估的结果进行组织层面的审计。 2. 一般控制层面的IT审计。 IT一般控制是指为保证在一段时期内应用控制的持续有效性, 而在变更管理、逻辑访问和IT操作管理等方面的系统控制, 是支持应用程序控制和依靠IT的手工控制持续运行的控制。由于这些控制对一个以上的应用程序和数据集都有效, 所以被称为IT一般控制。 3. 应用控制层面的IT审计。 一般而言, 控制会或多或少地依靠企业的应用程序, 应用程序控制是在应用系统中由程序执行的控制, 用以替代很多由人工完成的基础性检查工作, 是指在业务流程层面为了合理保证应用系统准确、完好, 及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。由于应用程序控制普遍适用于各种交易的处理, 所以应用程序控制能否有效对于财务报表的完好性、正确性以及企业内部控制的有效性有着重要影响。应用程序控制能够分为系统自动控制与人工干涉系统控制两类。 图1 COSO IT管控框架 下载原图 图2 IT审计范围 下载原图 图3 IT审计流程 下载原图 (四) IT审计方式方法 IT审计方式方法应当由审计部门的管理人员制定和批准, 在审计经过中一贯使用。施行IT审计首先要了解企业的IT环境, 使用基于风险的审计方式方法确定审计范围、制定审计目的和审计工作计划。IT审计流程如此图3所示。 对于IT组织层面、一般控制层面和应用程序控制层面的审计方式方法分别如下: 1. IT组织层面的审计方式方法。 结合COSO控制体系和公司情况设计调查问卷, 主要包括控制环境、风险评估、控制活动、信息与沟通、监控五个方面。根据问卷, 与公司领导或IT管理层访谈。根据文档审阅结果, 评价公司层面IT控制的有效性。填写问题发现汇总表、提出整改建议。 2. 一般控制层面和应用程序控制层面的IT审计方式方法。 施行IT审计的典型审计流程是:确定审计目的和审计范围, 获取并记录对审计对象的了解情况;进行风险评估和总体审计计划布置;制订具体的审计计划;选择审计方式方法;检查并评估审计对象;进行穿行测试和控制测试, 找出控制设计和执行方面存在的问题;将测试结果与管理层进行沟通, 协助管理层制订缺陷整改计划;准备审计报告;针对审计报告指出的问题进行后续跟踪。 (五) IT审计制度 企业应建立健全统一的IT审计制度, 宏观规划IT审计频率和范围, 设计IT审计工作的各层级执行、分工和汇报条线。各分 (子) 公司可在总部IT审计制度的框架内, 开创建立合适本身业务特点和工作要求的IT审计工作细则。