财务审计的核心任务是检查机构是否遵循会计准则,确保财务报告的准确性和合规性。然而,信息技术审核的焦点则在于评估系统的安全性以及其效能,具体来说,是考察企业保护信息技术资产的能力,以及确保数据仅限于授权人员访问的机制。
信息技术审核,也称为信息技术审计(ITA)或信息系统审计(ISA),是一项关键的业务活动,其目的是通过检查和评估组织内部的信息系统设施来确保其正常运作和遵循既定要求。这项审核重点关注的是信息系统在安全性、数据完整性以及效率等方面的表现,以验证其是否符合机构设定的标准。
目的:信息技术审核与财务审计并不相同。两者虽然有些相似之处,但其目的和程序并不相同。财务审计主要目的是评核机构是否符合会计守则,而信息技术审核主要目的是评核系统安全协定或系统效力,评核企业保护信息技术资产和分配给认可的一方的能力。
技术定位审核是对信息技术在企业中的角色和定位进行评估,以确保其与组织业务流程和战略目标的一致性。系统应用信息处理设施审核,包括对系统开发、维护和使用的审查,确保其稳定运行并满足业务需求。这可能涵盖服务器与工作台、通信、内部网和外联网的管理,这些通常被统称为一般控制评估或应用控制评估。
组织结构和管理:审核人员会对企业的信息技术管理组织结构和管理流程进行评估,包括信息技术部门的设置、人员配备、职责分工等方面。同时,还会评估企业的信息技术管理政策和流程,包括信息技术战略、规划、决策等方面。
银行IT审计是指以信息技术为主要对象的银行内部审计。随着计算机信息技术的不断发展,银行对于信息技术的应用也越来越广泛,涉及的业务范围也越来越广,这就给银行信息安全带来了更多威胁,因此进行IT审计更显得必要。IT审计主要包括系统开发、系统应用、总体运行、安全和风险管理等方面的检查。
一般IT审计是分为信息技术一般控制审计(ITGC)和应用层面控制审计(ITAC)。ITGC顾名思义,就是针对所有的信息系统和软件的控制,例如公司的信息安全政策,IT用户权限管理,IT程序变更,程序开发政策,系统管理员账户和权限管理,系统备份和还原,系统灾难和数据恢复以及IT问题管理等方面。
IT审计的定义:就是信息系统审计,也称IT监查,是独立于信息系统本身、信息系统相关开发、使用人员的第三方-IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。
不过应用系统千变万化,比如银行里面比较大的应用系统就有综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等等等等。但万变不离其综,这些系统做ITGC思路都是一样的,就看安全配置和用户权限。
如果对某审计项目需要特殊的审计软件,还必须组成一个专门小组预先开发好所需要的软件,以保障审计工作顺利开展。 内部控制的初步审查。初步审查的目标是使审计人员了解计算机信息系统在会计工作中的 应用 程度,初步熟悉电算化会计系统的业务流程和内部控制的基本结构,包括从原始凭证的编制到各种会计报表输出的整个过程。
一)开展信息系统审计是控制审计风险的要求。近几年,审计纸质账目时,内部控制也要审计,不能假账真审。
计划阶段:在这个阶段,审计师需要了解被审计系统的业务和技术环境,评估风险,并制定审计计划。审计计划应该包括审计的范围、目标、方法和时间表。评估控制环境:在这个阶段,审计师需要评估被审计系统的控制环境,包括管理控制、安全控制、应用程序控制和信息技术基础设施控制。
所以,要想出色完成一个计算机审计项目,必须依靠每个审计人员的团结协作,没有每个审计人员的团结协作作保障,计算机审计就难以实现。总之,要想做好计算机审计,必须同时做好以上四个方面的工作。当前,面对被审计单位办公信息化,我们必须要懂得计算机审计,不懂得计算机审计,真的会失去审计资格。
所谓内部控制,是指由企业董事会、管理者和其他员工实施的,为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循等目的而提供合理保证的过程。内部控制涉及企业生产经营的控制环境、风险评估、监督决策、信息与传递以及自我检测等方面,从总体上透视了企业生产的各个环节。
信息系统审计(又称IT审计)是为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导层,提出问题与建议的一连串的活动。
第四条 县级以上人民政府审计机关(以下简称审计机关)负责本级信息系统审计工作。上级审计机关可以依法将其管辖范围内的信息系统审计项目授权下级审计机关进行审计,对下级审计机关管辖范围内的信息系统可以直接审计。
在实施阶段,针对被审计的信息系统,审计人员所开展的工作可以分为三个层次,即了解、描述和测试。 计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比,相应增加了计算机技术的内容。对信息系统审计的方法既包括一般方法即手工方法,也包括应用计算机审计的方法。
