IT审计实务

IT审计实务作者：中科院计算所高明协助：北京时代新威信息技术有限公司北京时代新威信息技术有限公司协助简介在当今社会飞速发展的背景下，IT审计已经引领潮流，向时代进发。为了确保信息系统的安全、可靠和有效，需要开展由独立的具有资格的IT审计师对以计算机为核心的信息系统进行的IT审计。全文全面透彻地介绍了IT审计的基本原理、发展与任务；深入浅出地介绍了IT审计准则的框架、职责和前景。为力求本文做到既有理论深度，又有较强的实务性，在整理本文的过程中，受到了IT审计行业的权威机构北京时代新威信息技术有限公司的大力协助，并为本文提供了案例和数据的支持。北京时代新威信息技术有限公司协助IT审计目录•IT审计原理基础•IT审计历史发展•IT审计前景•IT审计师•IT审计职责北京时代新威信息技术有限公司协助IT审计原理基础IT审计定义IT审计对象范围IT审计生命周期北京时代新威信息技术有限公司协助ITIT审计定义审计定义•IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方－IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。北京时代新威信息技术有限公司协助ITIT审计的对象和范围审计的对象和范围•IT审计涉及整个信息系统的生命周期，IT审计不是单纯强调对软硬件的审计。•它的审计对象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境。北京时代新威信息技术有限公司协助IT审计——生命周期按照信息系统，IT审计的生命周期分为：业务计划审计业务开发审计业务执行审计业务维护审计共通业务审计北京时代新威信息技术有限公司协助北京时代新威信息技术有限公司协助（IT审计示意图1）业务计划审计•业务计划审计主要面向信息系统的企划，对信息系统的投资可行性，系统规划与公司战略的相关性，系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。北京时代新威信息技术有限公司协助【根据IT审计——时代新威资料PT-P-04】显示：☆实时记录并审计各种数据库操作行为☆旁路部署方式对系统性能零影响☆及时发现针对数据库的违规和错误操作时代新威采用清华大学软件学院研发的数据库操作行为审计技术，结合信息系统审计工作特点，通过旁路部署方式，对网络流量中的数据库操作数据实时记录、分析和审计，帮助数据库管理员、信息系统审计人员以及相关IT运维人员实时掌握数据库运行现状，及时发现违规和错误操。北京时代新威信息技术有限公司协助北京时代新威信息技术有限公司协助（IT审计示意图2）业务开发审计•业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核，确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。北京时代新威信息技术有限公司协助北京时代新威信息技术有限公司协助（IT审计示意图3）业务执行审计•业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求，同时对信息系统的功能、性能、易用度、可操作性等进行评估。北京时代新威信息技术有限公司协助北京时代新威信息技术有限公司协助（IT审计示意图4）业务维护审计•业务维护审计对信息系统的维护活动和维护结果实施审核和评价。发现在维护中可能出现的各种漏洞和信息系统维护中急待改善的问题。北京时代新威信息技术有限公司协助【根据IT审计——时代新威资料PT-P-05】显示：•☆先于黑客之前发现应用系统安全漏洞☆将这些漏洞解决在应用系统上线之前☆应用安全的必由之路时代新威源代码安全审计以发现应用程序编码过程中造成的安全漏洞为目的，通过源代码静态分析工具，对已有的代码进行扫描、分析，并对导致安全漏洞的错误代码进行定位和验证，然后提供补救建议。北京时代新威信息技术有限公司协助北京时代新威信息技术有限公司协助（IT审计示意图5）共通业务审计•共通业务审计涉及文档管理、进度管理、人员管理、采购管理、风险管理等，检查这些过程的规范性和有效性，并提出改良建议。北京时代新威信息技术有限公司协助IT审计的历史发展六十年代八十年代九十年代北京时代新威信息技术有限公司协助北京时代新威信息技术有限公司协助（IT审计示意图6）六十年代六十年代IT审计的出处源自60年代IBM出《AuditencountersElectronicDataProcessing》等有关在EDI环境下进行审核和组织的论述。不久后有关该方面的研究结果不断涌现，IT审计的雏形初步形成。但是由于信息系统在社会上尚未得到较为广泛的应用，因此IT审计并未在社会上形成意识。北京时代新威信息技术有限公司协助八十年代八十年代初由于计算机在发达国家的企业初步普及，利用计算机犯罪和计算机系统失效的事件频频出现，使得IT审计日益得到社会重视，美国、日本先后成立了IT审计方面的协会组织。值得注意的是1985年日本政府出台了《IT审计标准》并根据美国劳工部的《SkillStart》和NorthwestCenterforEmergingTechnologies（NCET）对IT信息人员的从业技能的要求制订了IT审计师（系统监查员）的技能标准并以之作为新的IT审计师（系统监查员）级考试的参考标准。北京时代新威信息技术有限公司协助九十年代九十年代是IT审计的普及期，这主要归功于互联网的普及。互联网的普及是利用计算机犯罪的人员温床，此外日益严重的软件项目失败问题引发了是否要对信息系统的投资和开发进行审计的深思。IT审计得到了前所未有的重视。北京时代新威信息技术有限公司协助IT审计的前景北京时代新威信息技术有限公司协助随着经济管理与科学技术的不断结合与日益渗透，现代审计已经远远超出了仅对财务会计进行审查的狭窄范围，不断向管理领域和技术领域渗透，IT审计的时代来临。（注：IT审计前景是由本人向IT审计权威机构北京时代新威信息技术有限公司专业人士请教总结出的前景方向。)北京时代新威信息技术有限公司协助北京时代新威信息技术有限公司协助近3年来，单单北京时代新威帮助企业完成IT审计的就多达15例！足以证明，IT审计时代来临了！北京时代新威信息技术有限公司协助如今，IT审计已经不再陌生，现在各行业都在实施IT审计，比如：北京时代新威信息技术有限公司协助在电力行业，以国家电网为代表的大型企业，早就开始实施IT审计北京时代新威信息技术有限公司协助在金融行业中，IT审计也成为各大银行的主流：北京时代新威信息技术有限公司协助还有其他行业，例如：IT审计是技术审计的一个典型。IT审计实质上是对计算机软件和硬件及整个信息系统的审计，否则，就不能称为IT审计。由于计算机的广泛普及，审计环境发生了巨大变化。假如审计人员只懂传统审计，不懂对计算机软硬件的审计，必然面临可怕的潜在审计风险。北京时代新威信息技术有限公司协助IT审计的重要程度•在无纸办公条件下，会计及其他信息资料被存入计算机信息系统，审计人员如不考虑被审单位计算机软件和硬件的安全程度，对被审单位的系统与设备盲目信任，即使懂得计算机的简单应用，也极有可能误入计算机陷讲，后果相当危险。北京时代新威信息技术有限公司协助只有对计算机审计风险进行正确估计，根据实际情况决定是否采取相应的信息系统审计对策，并能够在风险较大的情况下针对计算机信息系统（包括硬件与软件）实施必要的技术性审计，才能最终保证审计结果的正确性，防止和降低信息技术条件下的审计风险。IT审计的重要程度由此可以想见。北京时代新威信息技术有限公司协助IT审计师北京时代新威信息技术有限公司协助（IT审计示意图7）信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中，传统的财务审计服务所占收入比例正在迅速下降，风险控制服务和管理咨询服务收入的比重大大提高，而这些收入增长的部分往往又和IT环境审计、信息系统安全审计服务等技术性审计有关。北京时代新威信息技术有限公司协助IT审计是技术审计的一个典型，IT审计师标志着一个新的审计时代——“技术审计时代”的到来。IT审计是技术审计的一个典型，IT审计师标志着一个新的审计时代——“技术审计时代”的到来。北京时代新威信息技术有限公司协助可以断言：在整个社会信息化程度迅速提高的今天，如果我国的会计师事务所不及早作好IT审计技术方面的人才准备，不仅谈不上和五大著名的国际会计师事务所竞争，而且连国内的市场也会丧失殆尽。北京时代新威信息技术有限公司协助•显然，网络时代的到来已对审计人员提出了掌握过硬信息技术的要求。IT审计师不仅从事对财务会计、经济管理活动的审计，更重要更关键的是对被审单位信息系统进行技术审计。•IT审计师的产生是审计领域进一步扩大化的重要标志，代表着新的审计时代——技术审计时代的到来。北京时代新威信息技术有限公司协助北京时代新威信息技术有限公司协助信息系统审计类型有：1.(ISC)²注册信息系统安全师CISSP2.国家注册信息安全专业人员CISP3.(ISC)²注册软件生命周期安全CSSLP4.(ISC)²注册网络取证师CCFP国家注册信息系统审计师5.国家注册信息安全审计师CISA6.信息安全管理体系审核员（ISMS-Auditor）7.国际注册信息系统审计师（CISA）8.注册软件成本估算专家（CCEP）IT审计的职责北京时代新威信息技术有限公司协助（IT审计示意图8）北京时代新威信息技术有限公司协助（IT审计示意图9）北京时代新威信息技术有限公司协助（IT审计示意图10）IT审计制度北京时代新威信息技术有限公司协助（IT审计示意图11）IT审计制度•对企业实施IT审计的对象有：本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计机构。北京时代新威信息技术有限公司协助作为企业，建立一个完善的IT审计制度需要做到以下几点：•1）IT审计师是跨信息技术和审计技术的复合型人才，要实施企业的IT审计制度，必须重视和培养合格的IT审计师；•（2）企业应该建立相应的IT审计部门或审计岗位，确定其部门和岗位职责，并将之置于企业经营者的直接管理之内；•（3）企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据；北京时代新威信息技术有限公司协助北京时代新威信息技术有限公司协助（IT审计示意图12）IT审计的任务IT审计的任务在于站在客观公正的角度上，收集审计信息，生成审计报告，通过审计报告促成信息系统生命周期活动和成果物的改善。北京时代新威信息技术有限公司协助IT审计的计划北京时代新威信息技术有限公司协助（IT审计示意图13）IT审计的计划•IT审计的实施需要制定相应的计划，明确IT审计的任务、采用的方法和预期应当达到的效果。该计划在提交经营层确认后得以实施。•IT审计的审计计划分为两种类型：基本计划和详细计划（又称分期计划）。北京时代新威信息技术有限公司协助IT审计基本计划：•IT审计基本计划是一个审计年度内相关IT审计活动的计划，确认年度内IT审计的各项任务及其大致时间安排。基本计划需要提交经营层批准。它是对整个IT审计年度的活动指引方针。北京时代新威信息技术有限公司协助IT审计基本计划内容包括：审计对象审计场所审计原则日程安排北京时代新威信息技术有限公司协助IT审计详细计划IT审计详细计划（分期计划）针对具体项目（系统）或任务，得到IT审计部门领导的许可即可，详细计划需要告知被审计对象。IT审计详细计划的内容包括：审计对象、目的、审计流程、审计要点、审计时间、相关人员、审计报告提交事项等内容。北京时代新威信息技术有限公司协助IT审计计划流程计划阶段是整个审计过程的起点。其主要工作包括：（1）了解被审系统基本情况（2）初步评价被审单位系统的内部控制及外部控制（3）识别重要性（4）编制审计计划北京时代新威信息技术有限公司协助北京时代新威信息技术有限公司协助（IT审计示意图14）（1）了解IT审计被审系统基本情况了解被审系统基本情况是实施任何信息系统审计的必经程序，对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象，以决定是否对该系统进行审计，明确审计的难度，所需时间以及人员配备情