企业信息系统审计工作实施的难点及解决措施_第1页
企业信息系统审计工作实施的难点及解决措施_第2页
企业信息系统审计工作实施的难点及解决措施_第3页
企业信息系统审计工作实施的难点及解决措施_第4页
企业信息系统审计工作实施的难点及解决措施_第5页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、企业信息系统审计工作实施的难点及解决措施【摘要】:p :随着信息化建设的深入推进,企业管理层越来越重视信息系统的审计,但由于信息系统构成要素多,运行环境复杂等原因,使得审计工作的实施面l陆不少难题,通过对信息系统审计特点和实际困难的归纳分析p ,提出应当采取的解决措施。【关键词】:p :信息系统审计;信息化;企业企业信息化程度的提高,给企业管理带来了许多便利与效益,而在当今信息安全问题突出的环境中,企业管理者越来越清晰地认识到审计工作必须充分考虑信息系统本身的安全性和可靠性,评价信息系统运营与组织目标的一致性。但传统审计的理论和方法已经不能满足需要,如何有效地开展信息系统审计成为不容回避的现实

2、问题。一、信息系统审计的内涵及特点信息系统审计是专业审计人员根据标准,针对信息系统的安全性、可靠性和有效性实施审计并发表意见,向信息系统对象的最高领导提出一系列建议的活动。其核心是强化企业内部控制,实现信息系统运作与组织目标的一致性。信息系统审计在目标、对象、内容和方法方面,与传统审计相比有如下特点:1.信息系统审计目标更宽,除了传统审计的目标之外,还包括信息资产的安全性、系统的可靠性及有效性等。2.信息系统审计的对象更复杂,从系统生命周期看,审计的对象涵盖了信息系统从开发、运行、维护到停用的全生命周期的各种业务;从横向角度看,它包含了软硬件的获取审计、应用程序审计、安全审计等。因此,信息系统

3、审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。3.信息系统审计通过获取证据来判断信息系统是否能保证资产安全和组织目标的实现,是一种基于风险的理论和方法,其内容包括企业风险管理的整体框架,内部环境的控制,风险识别、评估与处置等。二、信息系统审计的工作难点由信息系统审计的内涵和特点可以看出,由于信息系统构成要素的复杂性以及信息系统所处的生命周期不同等原因,使得信息系统审计工作的实施存在不少难点。1.缺乏复合型专业人员。由于信息系统的技术性较强和现实的信息系统种类繁多,层次不一,对从业人员来说,需要具备复合型的专业要求。具体地说,信息系统审计人员要有足够的信息系统的运维经验,要经过多

4、方面岗位的锻炼才能培养起来。而一般的财务审计人员难以对信息系统进行了解和评价。在不少企业,之前没有专门的信息系统运维和风险评估人员,实施信息系统审计的基础薄弱,现有人员难胜任,专业人员培养需要较长周期,从而造成工作人员比较缺乏的状况。2.计算机处理环境复杂。信息系统的构成要素包括硬件支持,系统软件,网络和数据库以及应用系统等多个方面,审计工作与繁杂的业务流程紧密相连,为了有效开展信息系统审计,需要摸清其中的许多环节,要有科学完整的证据采集体系,需要设计以风险导向的企业级的控制反馈系统,还必须验证这个控制系统的有效,而在复杂的处理环境中做到这些无疑是比较困难的。3.电子数据安全风险较高。在传统手

5、工信息处理占较大比重的环境下,数据的安全性问题不是审计的重要内容,而如今信息系统的数据安全却面临越来越多来自内部和外部的威胁,电子数据的安全关系到多方切身利益,成为审计的首要问题。另外,在手工环境下,审计线索的来关系较为清晰,安全属性明确,而电子数据记录在磁盘等肉眼无法直接辨别的介质上,还存在易修改特性,从而其安全风险更高,给审计工作开展带来挑战。三、解决措施由上述可知,信息系统审计工作的组织实施面临来自主观和客观多种因素的影响。根据难点分析p ,结合信息系统审计的要求,我们认为应从以下几点人手采取措施。1.培养专业人才队伍。可以说,信息系统审计工作急需一大批复合型的专业人才,我们采取多种措施

6、,既做好现有在职人员针对性的选拔提高培训,也在高校的相关专业培养计划中加入信息技术等新内容的教学,直接培养专业所需的复合型人才。同时注意人才队伍的多层次性,操作层面上工作人员与高层次审计人才的培养都要抓好。2.建立基本数据采集和保障体系。根据企业长期的经营战略,确定应用系统的开发服务及维护需求,进而制定信息系统的运作监督规则,定义数据的所有者,确定不同数据的安全级别,在不同部门负责的原始电子数据形成的同时做好确认保存,形成完善的数据库关联体系,提供审计所需的线索和证据。此外,对系统资的使用做好授权管理,所有修改都经过授权,记录系统的使用情况,确认处理过程的准确性,实现过程可控。3.开展信息系统

7、安全测评。依据信息系统等级保护国家标准,检查评价企业的各项技术和管理方面的安全指标是否做到。技术要求主要包括:在网络安全方面检查网络访问控制,设备防护,网络入侵防范等内容,主机安全方面检查身份鉴别,访问控制,乘0余信息保护,资控制等,数据安全方面检查数据完整性、保密性、备份与恢复等。管理方面的基本要求包括:设立或明确信息安全领导机构,针对信息系统的各类管理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等,规范安全管理人员或操作人员的操作规程,对关键岗位的人员进行全面、严格的安全审查和技能考核,对外部人员允许访问的区域、系统、设备、信息等进行控制。以上这些措施一般采取实地查验和检测,调取日志等档案材料,深度访谈等方式进行。四、结语在信息化蓬勃发展的今天,企业信息系统的审计倍受重视,国际上也有不少成功实践,但

人人文库> 全部分类> 应用文书 > 研究报告

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论