介绍
本文讨论了信息系统审核的主题。本主题首先定义什么是审核以及存在的某些类型。稍后,将讨论组织中的信息系统,它们的特征,它们遵循的过程以及它们所管理的分类。
一旦建立了这两部分的基础,它们就会一起创建组织中信息系统审核的定义。提到了此过程所追求的目标,以及在公司中实施该过程的原因。
提及已经标准化该过程的生物,最后提出了实现该过程的通用方法。
信息系统审计
在开始讨论什么是组织信息系统审核之前,我认为有必要分别定义概念,这样我们将从一般入手,开始最具体的工作,并对主题有更清晰的了解。
审计
要定义的第一个术语是审计。根据ISO 19011,审计是:“系统的,独立的,有文件记录的过程,以获取证据并对其进行客观评估,以确定满足既定标准的程度”(ISO,2012年)。
有适用于公司的不同类型的审核,每种审核都按地区定期进行。例如,其中包括税收,会计,财务,社会,质量,运营审核等。
组织信息系统
要提及的第二个定义是信息系统的定义,其首字母缩写为SI。信息系统是一组相互关联的要素,用于处理数据,这些要素在组织的活动中可能有用。
在SI中,人员,数据,软件,硬件之间存在交互。如果没有可用的物理数据库,则除了其他通信和技术手段外,还可以充当注册机构,并附带公司规章制度。
信息系统执行的过程包括四个阶段:
- 输入存储存储输出
记录所需的数据时,将发生数据输入。存储是指以物理方式或电子方式(计算机)将数据存储在数据库中的活动。下一阶段是数据处理,其中数据被转换为有用的信息。最终找到出口,需要此阶段来获取将用于决策的信息。
除非对数据进行分析和处理,否则数据本身对公司没有任何价值,所获得的信息会产生重要的知识。因此,信息系统必须是高质量的。
信息在业务支持系统中必须具有的主要特征如下:
- 它是指这样的事实,即信息必须在期望的时间之前或之后都可用,以便能够不延迟地使用它,这意味着信息必须始终是真实的,没有更改且没有错误。信息受保护,并由受信任的人管理。
由于信息系统的巨大用途,它们在公司内部以不同的目标实施。
它们存在于商业,生产,财务和行政目的。每种示例如下:
- 业务系统:用于计划采购,销售和库存控制;生产系统:材料采购,与供应商联系,订单计划,制造成本;会计系统:制定预测,预算,财务原因,财务控制。工资单:集成工资单,IMSS,之前的保险。
组织信息系统审计
该活动的定义为:“验证信息处理,系统开发和安装中的控件,以评估其有效性并向管理层提出建议”(Naranjo,2005年)。
它包括验证和评估控制,还包括用于处理公司信息的系统和过程。
目标
该审核的目标是:
- 通过在公司中处理信息的贡献,保护有用的资产以进行数据处理,避免被盗,破坏,不当使用,维护数据的完整性,从而达到组织目标。
进行审核的理由
可能表明需要进行审核的情况是(Ynfante,2010年):
- PAD(数据处理部门)预算的大幅增加和不合理的增加公司区域内缺乏信息,全部或部分缺乏逻辑和物理保障措施,无法保证人员,设备和信息的完整性。由于缺乏及时的信息,计算机缺乏计划;由于期限和结果质量较差,导致客户不满意。
负责SI的控制和审核的机构
用作进行审核的标准来源的一些主要机构是:
- ISACA-信息系统审核和控制协会ISO-国际标准化组织NIST-美国国家标准技术研究所。
方法
当前共有三种审计方法,即ROA。(以风险为导向的方法,清单或调查表以及产品审核)。
下面介绍的方法是最广泛使用和通用的方法。整个过程分为三个部分:计划,执行和意见。
公司信息系统审核的计划包括确定审核的来源,也就是说,从何处开始审核,然后对该区域进行初步访问。然后,我们继续建立我们要实现的目标,确定将在审计中评估的要点,并为实施这些目标准备计划,计划和预算。然后,必须确定和选择审计所必需的方法,工具,工具和程序,并且必须分配对审计有用的资源和系统。
第二部分包括执行,此处将执行为审计制定的行动,应用已建立的工具和工具,并在需要时准备发现的改进机会的文件,并继续分析所获得的信息。
可以使用的技术和工具包括:观察,访谈,问卷,调查,清单和库存控制。
第三部分也是最后一部分。在此阶段,将介绍获得的结果。
结论
组织信息系统的审核非常重要,不幸的是,许多公司将这一过程视为一项强制性要求,这使他们浪费时间和金钱,而事实是该过程有助于组织朝着正确的方向前进。目标。系统提供的信息是公司计划未来,控制现在和评估过去的关键资源。
信息系统审核可以由公司外部人员或内部雇员进行,只要符合客观性即可。
重要的是,在审核结束时,应对获得的结果进行跟踪,因为如果不寻求解决问题,将无法实现执行该目标的目的。
一些跨国公司(例如Toyota)会定期使用审核过程,因为他们有兴趣保持其信息系统的正常运行,因此失败将意味着客户的流失和所获得的良好声誉。
参考文献
- ASF。 (2014)。检索自联邦高级审计署,2015年9月7日:http://www.asf.gob.mx/INCAP。 (2011)。于2015年9月7日从INCAP检索:http://www.incap.int/sisvan/index.php/es/acerca-de-san/conceptos/sistema-de-vigilanciaISO。 (2012)。检索自2015年9月7日,来自西班牙质量协会:http://www.aec.es/web/guest/centro-conocimiento/une-en-iso-19011López,A.(2013)。于2015年9月7日从UV检索:http://www.uv.mx/personal/artulopez/files/2012/10/07-Auditoria-de-SI.pdfNaranjo,A.(2005)。系统审核。于2015年9月7日从galeon.com检索:http://anaranjo.galeon.com/Solarte,F.(2011)。于2015年9月6日从系统审核员那里检索:http://auditordesistemas.blogspot.mx/Yañez,C.(2011年10月)。2015年9月7日从OLACEFS检索:http://www.olacefs.com/wp-content/uploads/2014/08/1erlugar.pdfYnfante,R.(2010)。于2015年9月7日从monografía.com检索:http://www.monografias.com/trabajos70/auditoria-interna-informacion/auditoria-interna-informacion2.shtml