【信息系统审计】是一种针对组织的信息技术(IT)系统进行独立评估的过程,旨在确认这些系统是否有效地保护了组织资产,高效利用资源,确保数据安全性和一致性,以及是否有助于达成组织的业务目标。它由INTOSAI定义为通过获取和评估证据来判断IT系统是否符合这些标准的活动。
【为什么需要信息系统审计】?随着计算机技术在各级政府和企业中的广泛应用,IT系统已经成为处理交易、生成财务报表、支持决策和数据挖掘的关键工具。审计人员需要理解和适应这些变化,因为它们影响了审计方法和测试技术。同时,随着内部控制环境的改变、网络匿名性可能导致的责任问题、潜在的数据篡改、审计证据形式的转变,以及欺诈和错误的新途径,信息系统审计变得至关重要。
【信息系统审计的类型】包括但不限于:
1. **信息系统控制检查**:评估IT系统的内部控制有效性。
2. **财务信息系统审计**:关注财务数据的准确性和完整性。
3. **绩效审计或VFM(价值-for-money)审计**:审查IT系统的效率和效果。
4. **开发中信息系统的审计**:在系统构建阶段介入,确保设计和实施符合规定。
5. **信息系统舞弊审计**:查找和防止欺诈行为。
6. **信息系统安全审计**:检查数据保护措施。
7. **计算机辅助审计技术(CAATs)**:利用软件工具提高审计效率和准确性。
【信息系统审计的发展历程】可以追溯到社会审计与财务报告审计的早期结合。1954年,通用电气公司引入了第一套计算机化会计系统,随后在六十年代,通用审计软件(GAS)出现。AICPA和八大事务所在1968年开始EDP审计,同年成立了EDPAA,后发展为ISACA,推出了CobiT框架。1977年IIA的SAC研究报告发布,1994年EDPAA更名为ISACA,1996年推出COBIT。CISA认证自1978年以来为信息系统审计师提供专业认可。
【政府审计中的信息系统审计】始于1959年GAO对政府自动化数据处理系统的首次评估。GAO后续发布了针对联邦信息系统控制和安全审计的指导文件,反映了政府对IT治理和风险控制日益增长的关注。
在实际操作中,信息系统审计涉及对IT环境的深入理解,识别关键控制点,应用适当的审计技术和方法,如询问、观察、测试和分析性程序,以确定系统是否满足合规性要求,是否有效地支持业务流程,以及是否存在潜在风险。通过这样的审计,组织可以改进其IT治理,增强对技术投资的信心,降低风险,并提高整体业务绩效。
