it审计论文(合集7篇)

第第页it审计论文(合集7篇)

时间：2023-03-3011:34:56

it审计论文第2篇

目前，现代企业经营越来越依赖信息系统，信息系统管理信息、处理业务以及存储大量的数据。也迫切需要对信息化管理现状进行全面的审计，以分析评估存在的问题，提出解决方案，完善IT风险控制，保障各信息系统的规范运作，降低信息化风险，提高业务运营的经济性和有效性。IT审计虽然区别于财务审计，运营审计等常规审计，但其审计方法论仍不可能脱离常规审计所用的方法论。也就是必须对审计目标，审计范围，审计计划等等均需进行清晰阐述，并在实施IT审计后，出具具有充分、适当的审计证据支持的IT审计报告。

一般来说，实现全面的IT审计，应当从审计对象的整个生命周期领域、审计对象及组织层次来开展。

一.IT审计范围

进行IT审计的对象包括但不限于以下领域：1.管理组织与制度；2.项目管理流程规范性，包括应用系统的开发、测试与上线管理；3.基础设施及运维管理；4.信息安全管理；

IT审计涉及的应用系统包括但不限于以下领域：1.生产系统；2.营销系统；3.办公自动化系统；

IT审计涉及的组织层次包括但不限于以下领域：1.高层决策者；2.中层管理者；3.技术部门员工；4.业务部门员工。

二.IT审计具体实施

ELC（entitylevelcontrol）控制。关注客户在IT治理方面的相关组织架构是否合理，管理制度是不是健全，具体的审计程序就是获取客户的组织结构图，及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。

系统开发和变更。关注系统开发和系统后续变更实施中的控制，具体的审计程序首先就是获取系统开发及变更相关的管理制度，该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http：//总第522期2023年第39期转载须注名来源如调阅《系统开发制度》《系统变更管理制度》，二是关注系统开发过程的合理性，如是否经过了需求提出、可行性研究、领导层审批，系统上线之前是否经过了充分的测试，获取一些内控痕迹和表单，如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》，《变更审批单》，采取抽样后穿行测试。

操作系统及数据库控制。关注操作系统和数据库的控制，如登录时密码控制强度、敏感操作的权限分配、日志的保存。

应用系统控制。关注应用系统控制的合理性。如银行使用的综合业务系统（有的叫核心业务系统）、国际结算系统、大小额系统、信贷管理系统等等，关注其安全配置和用户权限。

接口控制与信息安全。关注其数据准确性、完整性、以及组织级的网络管理的相关制度，如防火墙的架构，内外网分离程度等。

三.IT审计依据

IT审计依据的来源基本上业界都有很充分的理论依据以及最佳实践，以下IT控制标准、法律法规、行业最佳实践都可作为IT审计的依据。

IT标准、规范及最佳实践；企业内控框架-COSO；IT治理-COBIT、ISO38500；IT规划与架构设计-Zachman、TOGAF、FEA；IT应用系统开发与运维-软件开发规范、CMMI、ISO9126；IT基础设施生命周期管理-网络、主机、安全等设备管理规范；IT服务管理-ITIL、ISO20000；IT项目控制-PMP、Prince2、项目监理规范；信息安全管理-ISO27001、ISO27002；业务连续性计划-BS25999、ANSI/NFPA1600；IT应用控制-输入控制、处理控制及输出控制；IT资源协同-EAI、SOA、共享中心等……

目前，信息系统的正常运行已经成为银行业务正常运营的最基本条件之一，信息科技在有力提升银行核心竞争力的同时，信息科技风险也愈发突出和集中，信息科技风险控制已成为银行业风险管理的重要内容，而IT审计作为银行业风险管理体系的重要组成部分，其重要性和必要性已经日益得到银行业管理层的关注。

IT与其他如财务审计等不同之处，主要在于审计框架是否全面。审计过程仍遵循常规审计步骤，包括审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通