1.信息系統(tǒng)審計(jì)的定義

　　信息系統(tǒng)審計(jì)是一個(gè)獲取并評價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整，以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過程。由于信息技術(shù)在經(jīng)營、管理領(lǐng)域的廣泛運(yùn)用，信息系統(tǒng)審計(jì)已經(jīng)貫穿在各種審計(jì)之中，成為審計(jì)全過程的一部分。

　　信息系統(tǒng)審計(jì)是一種控制信息系統(tǒng)風(fēng)險(xiǎn)的有效方式，它是從獨(dú)立的、第三方的角度來審視信息化過程中的各種風(fēng)險(xiǎn)，合理地鑒證被審計(jì)單位信息系統(tǒng)及其處理、生產(chǎn)的信息的真實(shí)性、完整性、可靠性，以及政策遵循的一貫性，并可對IT的績效進(jìn)行審計(jì)，以發(fā)現(xiàn)偏離，促進(jìn)及時(shí)進(jìn)行調(diào)整。

　　信息系統(tǒng)審計(jì)作為新興的職業(yè)和學(xué)科體系，近年來逐漸升溫，獲得信息系統(tǒng)審計(jì)師資質(zhì)認(rèn)證的專業(yè)人員也在快速增加，顯示了信息系統(tǒng)審計(jì)的發(fā)展需求，美國等發(fā)達(dá)國家很早就開展有獨(dú)立資格的第三方進(jìn)行的信息系統(tǒng)審計(jì)，建立了完善的信息審計(jì)制度。從國內(nèi)信息化建設(shè)的現(xiàn)狀及對信息安全的實(shí)際需要來看，我國企業(yè)也開始接受信息系統(tǒng)審計(jì)理論。

　　中國人民銀行支付與科技司司長陳靜指出：“信息安全越來越成為銀行信息化建設(shè)與管理中需要密切關(guān)注的問題。企業(yè)對信息安全的重視程度和資金投入，將逐漸從單一的產(chǎn)品和技術(shù)向整體解決方案過渡，同時(shí)從封閉式的設(shè)計(jì)、實(shí)施與管理，不斷與完善的、具有適當(dāng)資質(zhì)的、獨(dú)立的第三方審計(jì)相結(jié)合，這是未來發(fā)展的一個(gè)趨勢。

2.信息系統(tǒng)審計(jì)的內(nèi)容

對銀行信息系統(tǒng)進(jìn)行審計(jì)的內(nèi)容主要集中在以下幾個(gè)方面：

 ·對信息系統(tǒng)的管理、規(guī)劃與組織的審計(jì)--評價(jià)組織信息系統(tǒng)的管理、計(jì)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。

  ·對信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)的審計(jì)--評價(jià)組織在技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)的管理和實(shí)施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標(biāo)。

   ·對信息資產(chǎn)的保護(hù)的審計(jì)--對邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評價(jià)，確保其支持組織保護(hù)信息資產(chǎn)的需要，防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。

   ·對災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃的審計(jì)--這些計(jì)劃是在發(fā)生災(zāi)難時(shí)，能夠使組織持續(xù)進(jìn)行業(yè)務(wù)，對這種計(jì)劃的建立和維護(hù)流程需要進(jìn)行評價(jià)。

    ·對應(yīng)用系統(tǒng)開發(fā)、獲得、實(shí)施與維護(hù)的審計(jì)--對組織業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)、獲取、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評價(jià)，以確保其滿足組織的業(yè)務(wù)目標(biāo)。

    ·對IT相關(guān)業(yè)務(wù)流程的審計(jì)--評估組織業(yè)務(wù)系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務(wù)目標(biāo)對相應(yīng)風(fēng)險(xiǎn)實(shí)施管理。

    ·與信息安全相關(guān)的人力資源管理的審計(jì)--評估與安全相關(guān)的人力資源管理政策、程序、實(shí)務(wù)，以及“信息安全，人人有責(zé)“的企業(yè)文化。

　　信息系統(tǒng)審計(jì)工作可以分為兩大類：一種是組織自行完成的內(nèi)部審計(jì)，內(nèi)部審計(jì)的主要目的是檢查組織各部門對安全保障制度的遵守情況，要保證內(nèi)部審計(jì)師在他們能自由地和客觀地進(jìn)行工作時(shí)是獨(dú)立的，獨(dú)立性可使內(nèi)部審計(jì)師提出公正和不偏不倚的判斷意見。信息系統(tǒng)審計(jì)執(zhí)行主管應(yīng)該對審計(jì)委員會、董事會或其他治理機(jī)構(gòu)報(bào)告業(yè)務(wù)工作，向機(jī)構(gòu)的首席執(zhí)行官報(bào)告行政工作。另一種是由會計(jì)師事務(wù)所或?qū)�業(yè)技術(shù)服務(wù)提供商完成的外部審計(jì)。外部審計(jì)通常是因?yàn)樯鲜�、并購、年終檢查或其他法規(guī)的要求而進(jìn)行，一般都很正規(guī)，也非常深入。進(jìn)行信息審計(jì)的受托方應(yīng)當(dāng)獨(dú)立于委托方，以保證信息系統(tǒng)審計(jì)的客觀性與公正性。

3.信息系統(tǒng)審計(jì)的過程

    1）調(diào)查

　　該審計(jì)步驟用來將控制目標(biāo)下的相關(guān)活動用文檔記錄下來，對組織聲稱已實(shí)施的控制措施與程序進(jìn)行識別，并且確認(rèn)其存在。

    與相關(guān)的管理者和員工進(jìn)行會見，以理解：
    ·業(yè)務(wù)需求好相關(guān)的風(fēng)險(xiǎn)。
    ·組織結(jié)構(gòu)。
    ·角色和職責(zé)。
    ·政策和程序。
    ·法律和法規(guī)。
    ·已有的控制措施。
    ·管理報(bào)告（狀態(tài)、性能、行動項(xiàng)目）。

    用文檔記錄與過程相關(guān)的IT資源，特別是那些被審計(jì)的IT流程所影響的IT資源。確認(rèn)理解了審核的過程、過程的關(guān)鍵性能指標(biāo)（KPI）、實(shí)際的控制狀況。例如，可以通過對過程的抽查來進(jìn)行了解。

   2）評價(jià)控制
    該審計(jì)步驟用來評估當(dāng)前已有控制措施的有效性或達(dá)到控制目標(biāo)的程度，主要是決定測試什么、是否測試及如何測試的問題。

    通過對比已確定的標(biāo)準(zhǔn)及行業(yè)最佳實(shí)踐、控制方法的關(guān)鍵成功要素（CSF）和利用審計(jì)師的職業(yè)判斷，來評價(jià)待審核過程所應(yīng)用的控制措施的適宜性。

    ·存在已文檔化的過程。
    ·存在適宜的輸出。
    ·職責(zé)和責(zé)任是明確的、有效的。
    ·在必要時(shí)，存在補(bǔ)償控制。
    ·對實(shí)現(xiàn)控制目標(biāo)的程度做出結(jié)論。

    3）評估符合性

    該審計(jì)步驟用來確定已建立的控制措施是按組織規(guī)定的方式，持續(xù)地、一致地在起作用，并且對控制環(huán)境的適宜性做出結(jié)論。

    ·得到所選項(xiàng)目和階段的直接或間接的證據(jù)，使用直接和間接的證據(jù)來保證待審核的項(xiàng)目和階段一直遵守相關(guān)控制程序的要求。
    ·對過程輸出結(jié)果的充分性進(jìn)行有限的審核。
    ·為了證明IT流程是分的，確定需要進(jìn)行實(shí)質(zhì)性測試的程度和其他需要進(jìn)行的工作。

    4）證實(shí)風(fēng)險(xiǎn)
    該審計(jì)步驟通過使用分析技術(shù)和可選的咨詢資源，證實(shí)控制目標(biāo)沒有被實(shí)現(xiàn)時(shí)所帶來的風(fēng)險(xiǎn)。目標(biāo)是支持其審計(jì)判斷，并督促管理者采取行動。審計(jì)師要?jiǎng)?chuàng)造性地尋找和提出通常是敏感的和機(jī)密的信息。

    ·用文檔記錄下控制弱點(diǎn)及其引起的威脅和漏洞。
    ·識別并記錄實(shí)際的影響和潛在的影響，例如，利用因果分析的方法。
    ·提供比較信息。例如，通過基準(zhǔn)比較的方法。