信息系统审计的意义

1. 定义
   • 收集并评估证据以决定一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源。
2. 目的
   • 评估并提供反馈、保证及建议。
3. 关注点
   1. 可用性
      • 商业高度依赖地信息系统能否在任何需要的时候提供服务？信息系统是否被完好保护以应对各种损失和灾难？
   2. 保密性
      • 系统保存的信息是否仅对需要这些信息的人员开放，而不对其他任何人开放？
   3. 完整性
      • 信息系统提供的信息是否始终正确、可信、及时？能否防止未授权的对系统数据和软件的修改？
4. 基本业务
   1. 系统开发审计
   2. 主要数据中心、网络、通信设施的结构审计
   3. 支持其他审计人员的工作
   4. 为组织提供增值服务
   5. 软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符
   6. 灾难恢复和业务持续计划审计
   7. 对系统运营效能、投资回报率及应用开发测试审计
   8. 系统的安全审计
   9. 网络的信誉审计
   10. 全面控制审计
5. 主要组成部分
   1. 信息系统的管理、规划与组织
   2. 信息系统技术基础设施与操作实务
   3. 资产的保护
   4. 灾难恢复与业务持续计划
   5. 应用系统开发、获得、实施与维护
   6. 业务流程评价与风险管理

信息系统审计的基本方法

1. 审计流程
   1. 审计工作预备工作
   2. 了解内部控制结构
   3. 评价控制风险
   4. 内部控制测试
   5. 实质性测试
   6. 形成审计意见出具审计报告
2. 基于风险的审计方法
   1. 编制组织使用的信息系统清单并对其进行分类
   2. 决定哪些系统影响关键功能和资产
   3. 评估哪些风险影响这些系统及对商业运作的冲击
   4. 在上述评估的基础上对系统分级，决定审计优先值、资源进度和频率。