大數據信息系統(tǒng)審計現狀與發(fā)展建議,審計論文

大數據信息系統(tǒng)審計現在狀況與發(fā)展建議,審計論文隨著信息技術在企業(yè)管理中的廣泛運用,傳統(tǒng)的控制、管理、檢查和審計技術都遭到了宏大的挑戰(zhàn)。信息化目的的實現、信息基礎構架的安全穩(wěn)定高效運行,均需要通過IT審計手段予以保障。通過IT審計,能夠確保企業(yè)的各項IT風險得到合理的、有效的控制,使得企業(yè)IT資源更好地為運營目的服務,實現信息系統(tǒng)價值的最大化。一、企業(yè)IT風險分類隨著信息技術在當代企業(yè)運營中的廣泛使用,企業(yè)的業(yè)務和管理活動越來越依靠于信息系統(tǒng)開展。企業(yè)IT風險綜合存在于企業(yè)戰(zhàn)略、操作、合規(guī)和財務四大風險領域。一旦關鍵的IT風險得不到有效控制,就可能導致企業(yè)遭受宏大損失。結合IT活動的分類,通常將企業(yè)的IT風險劃分為如下五類:1.IT戰(zhàn)略風險。IT戰(zhàn)略是企業(yè)整體發(fā)展戰(zhàn)略的重要組成部分,也是實現企業(yè)整體戰(zhàn)略的必要支撐及手段。IT戰(zhàn)略風險是由于信息技術戰(zhàn)略、行動計劃或IT活動偏離企業(yè)的業(yè)務目的,進而導致企業(yè)的IT投入沒有能為企業(yè)運行或發(fā)展創(chuàng)造應有的價值以及由于IT戰(zhàn)略的制定及更新沒有能與企業(yè)整體發(fā)展戰(zhàn)略相適應,根據滯后的IT戰(zhàn)略所做出的IT決策和投資無法適應企業(yè)發(fā)展的要求、甚至會阻礙企業(yè)目的實現等風險。2.IT項目風險。IT項目生命周期包括規(guī)劃、需求分析、系統(tǒng)設計、編程與實現、測試、運維與下線多個階段,在任何階段都存在導致項目失敗的因素及風險,如交付的信息系統(tǒng)偏離用戶需求、IT項目沒有能根據預定時間表交付等。存在有效的IT審計機制,能夠促使IT項目施行規(guī)劃得到必要的分析及評估,能夠在項目施行之初就發(fā)現照搬外方形式所帶來的風險,并對項目規(guī)劃階段的藍圖設計提出獨立的審計意見,也就能最大限度保證系統(tǒng)施行的方案與本地用戶的實際需求相符合,進而避免錯誤的投入和對企業(yè)發(fā)展進程的影響。3.IT安全風險。信息安全風險指在信息系統(tǒng)整個生命周期中面臨的人為或自然的威脅、利用系統(tǒng)存在的脆弱性導致信息安全事件發(fā)生的可能性及其造成影響的風險。威脅信息安全的因素,包括網絡攻擊、數據篡改或竊取、信息系統(tǒng)的非受權訪問等。有效的IT審計機制能夠監(jiān)督企業(yè)能否針對信息安全已經建立了充分的保衛(wèi)機制并得到有效執(zhí)行。4.IT服務風險。IT服務風險是IT服務組織提供的IT服務無法知足用戶預期水平的風險,如服務器宕機、備份恢復失敗、信息系統(tǒng)運行效率低下、系統(tǒng)數據錯誤等。5.IT合規(guī)風險。IT合規(guī)風險是企業(yè)的IT運營與管理不能知足內外部的合規(guī)要求,進而導致企業(yè)蒙受損失的風險。企業(yè)內外部多樣化的IT安全威脅,本身復雜且不斷發(fā)展的IT應用環(huán)境,國內外越來越多、越來越復雜的法律法規(guī)要求,都使得企業(yè)面臨相當程度的IT風險,亟待開展IT審計辨別、控制和躲避,穩(wěn)固信息化在企業(yè)發(fā)展中的戰(zhàn)略地位,真正發(fā)揮信息技術的核心價值。二、企業(yè)IT審計IT審計是指客觀獨立的第三方對信息系統(tǒng)從計劃、研發(fā)、施行到運行維護各個經過進行審查與評價的活動,以審查企業(yè)信息系統(tǒng)能否有效、安全、可靠,能否有效的保衛(wèi)資產、完成組織目的、保證數據完好,保證信息系統(tǒng)得出準確可靠的數據。IT風險是企業(yè)管理層亟待關注與控制的重要領域,而IT審計正是幫助企業(yè)辨別IT風險與相關控制、評價控制的效果,進而發(fā)現內部控制缺乏并及時改善、躲避IT風險的活動。企業(yè)需要對IT風險有一套行之有效的控制體系進而將IT風險降低到能夠容忍的范圍,通過施行相應的IT審計,有效躲避和消除IT風險。(一)IT審計內容1.IT系統(tǒng)建設審計。通過開展系統(tǒng)施行前審計、施行中審計和施行后審計,能夠在系統(tǒng)設計時驗證系統(tǒng)的功能與用戶需求的一致性,監(jiān)督系統(tǒng)的開發(fā)或施行經過能否遭到良好的控制(時間、成本與目的/質量可控)以及系統(tǒng)安全性,確保施行后的培訓工作充分到位。2.業(yè)務流程控制審計。通過施行業(yè)務流程的IT應用控制審計,梳理業(yè)務流程中的風險點與對應控制點,發(fā)現華而不實缺失的關鍵IT控制,能對已有的IT控制的有效性做出評估,進而就當前業(yè)務流程中的IT應用控制對風險的控制程度情況做出整體評價,并提出可能的改良建議。3.系統(tǒng)控制效果審計。通過對IT一般控制審計,檢查及驗證IT一般控制層面的管理設計能否合理、有效,進而保障信息系統(tǒng)具備良好的基本控制和安全環(huán)境。結合關鍵應用層面IT控制的審計,如賬單處理流程中的系統(tǒng)自動控制、系統(tǒng)生成財務報表經過中的自動計算等,以保證關鍵IT應用中的控制有效。(二)IT審計標準為了保證審計結果的客觀性和權威性,IT審計人員必須采用一套公認的、權威的審計標準作為施行IT審計的基本準則和施行根據。IT審計標準應包括兩方面:一是關于IT審計本身怎樣開展,如審計對象、審計方式、審計流程等。二是IT審計時斷定審計對象能否符合要求的標準,應包含國家規(guī)定、行業(yè)規(guī)定、企業(yè)內部制度規(guī)范等。在諸多的國際和國內IT審計標準中,一般以COSO為IT管控的主要框架,將IT控制環(huán)境分為控制、技術、流程、組織架構和角色、人員和指標體系六個控制層面。而IT審計也一般根據COSO的IT管控體系,對每個層面采用不同的標準來建立IT審計框架,如此圖1所示。COSO框架牽涉ITIL、COBIT和ISO27001三個標準,這三個標準所強調的目的不同。固然這些標準中存在重疊之處,但是它們更多的是互補和穿插關系,而非重復。在實際工作中,需要根據企業(yè)的實際情況,根據IT審計工作的重點,分階段采用不同的標準。(三)IT審計范圍在COSO對內部控制框架從層次和要素定義的基礎上,參考結合在IT管理界被廣泛使用的其他內部控制評估標準后,業(yè)界制定的IT內部控制體系總的來講分為組織層面的IT控制、IT一般控制和應用系統(tǒng)控制。華而不實IT一般控制是IT內部控制框架中企業(yè)層面和應用層面重要的銜接點,IT審計范圍如此圖2所示。1.組織層面的IT審計。組織層面的IT審計是檢查企業(yè)內部關于IT方面的控制設計及施行能否有效,為企業(yè)管理層最終發(fā)表內部控制有效性聲明提供支持證據。根據企業(yè)組織策略的不同,IT審計每年關注的重點有所不同,因而需要基于風險分析和評估的結果進行組織層面的審計。2.一般控制層面的IT審計。IT一般控制是指為保證在一段時期內應用控制的持續(xù)有效性,而在變更管理、邏輯訪問和IT操作管理等方面的系統(tǒng)控制,是支持應用程序控制和依靠IT的手工控制持續(xù)運行的控制。由于這些控制對一個以上的應用程序和數據集都有效,所以被稱為IT一般控制。3.應用控制層面的IT審計。一般而言,控制會或多或少地依靠企業(yè)的應用程序,應用程序控制是在應用系統(tǒng)中由程序執(zhí)行的控制,用以替代很多由人工完成的基礎性檢查工作,是指在業(yè)務流程層面為了合理保證應用系統(tǒng)準確、完好,及時完成業(yè)務數據的生成、記錄、處理、報告等功能而設計、執(zhí)行的信息技術控制。由于應用程序控制普遍適用于各種交易的處理,所以應用程序控制能否有效對于財務報表的完好性、正確性以及企業(yè)內部控制的有效性有著重要影響。應用程序控制能夠分為系統(tǒng)自動控制與人工干涉系統(tǒng)控制兩類。圖1COSOIT管控框架下載原圖圖2IT審計范圍下載原圖圖3IT審計流程下載原圖(四)IT審計方式方法IT審計方式方法應當由審計部門的管理人員制定和批準,在審計經過中一貫使用。施行IT審計首先要了解企業(yè)的IT環(huán)境,使用基于風險的審計方式方法確定審計范圍、制定審計目的和審計工作計劃。IT審計流程如此圖3所示。對于IT組織層面、一般控制層面和應用程序控制層面的審計方式方法分別如下:1.IT組織層面的審計方式方法。結合COSO控制體系和公司情況設計調查問卷,主要包括控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控五個方面。根據問卷,與公司領導或IT管理層訪談。根據文檔審閱結果,評價公司層面IT控制的有效性。填寫問題發(fā)現匯總表、提出整改建議。2.一般控制層面和應用程序控制層面的IT審計方式方法。施行IT審計的典型審計流程是:確定審計目的和審計范圍,獲取并記錄對審計對象的了解情況;進行風險評估和總體審計計劃布置;制訂具體的審計計劃;選擇審計方式方法;檢查并評估審計對象;進行穿行測試和控制測試,找出控制設計和執(zhí)行方面