定义
整个公司的任何信息传输最终都会使信息模糊。这就是为什么尽管有很强的信息处理能力,但将来公司仍需要很少的管理层。
为此,我们需要具有更新知识的专业人员,因为众所周知,信息以惊人的速度变得过时。
彼得·德鲁克
正如彼得·德鲁克(Peter Drucker)所提到的,信息在到达最终用户的过程中常常会变得模糊,这就是为什么进行信息系统审核的原因。信息系统审核支持我们验证公司信息系统的当前状态:但是,为了更好地理解其功能,有必要深入了解其用语,从而对其进行更好的定义,下图向我们展示了:代表其每个部分的定义:
因此,信息系统是一组有组织的元素,通常可以是人,数据,活动或物质资源,它们相互交互以生成信息,并且可以作为知识的基础。
信息系统的审核基于获取这些元素的方式及其在系统中的安全性。
在信息时代中期,公司已经意识到信息在组织中发挥的重要性,这就是为什么他们将寻求最佳方法来保护它们并验证其真实性并正确执行报告功能。给合适的人 这就是为什么通用审核专门针对计算机化审核而让其进行,而更专注于信息系统的审核,即所有在组织中相互作用并影响组织的信息。
审核分类
如果所有信息都连接到另一个,则很重要。
翁贝托生态
审计被理解为一个系统的过程,包括获取和客观评估有关相对确认,行为和经济事件的证据;为了确定这些陈述与既定标准之间的对应程度,即验证所陈述内容的准确性。审计的开始主要是财务会计,因为这是公司所有者最感兴趣的。工业时代的资本主义社会非常关注这个经济方面,忘记了组织中包含的其他方面,但是随着时间的流逝和技术的进步,审计的后果变得十分必要,这一般以下方式:
基于这种通用分类,我们可以说财务审计是起源,后来由于审计报告的用户在公司的某些运营领域所需要的范围和重要性而重新开始了审计工作。更专业。
因此,财务审计根据公认的国际审计标准,记录和相应的操作来检查财务报表,以确定是否符合公认的会计原则,从而给财务带来可靠性。
另一方面,运营管理是对组织(或其规定的部门)与特定目标相关的活动的系统检查,以评估行为,指出改进机会并产生:
- 有关改善或增强目标实现的建议
信息系统审计属于运营审计的分支。并负责评估他们在公司中建立的标准,技术控制和程序,以实现通过信息系统处理的信息的可靠性,及时性,安全性和机密性。
由于大多数信息系统是由技术监管或支持的,因此这是一个重点突出的主要领域,它与审计师赖以实现正确评估并依靠的计算机科学专业人士进行协调。因此,一份好的报告可以为感兴趣的人提供必要的信息。
信息系统类型:
有一个抵制所有信息的原则,抵制所有调查的原则,永不使人永远处于愚昧无知的状态。这是消除未调查内容的原则。
赫伯特·斯宾塞
为了更好地理解各种类型的信息系统,必须了解组成信息系统的元素,下图中将对其进行详细说明:
因此,我们可以看到,信息系统可以根据组成信息系统的人员,所持有信息的类型及其来源以及创建信息的资源或方式进行分类。
根据我们拥有的人员,除了以下形式外,还可以按内部和外部进行分组。
它们也可以按提供给决策的信息级别进行分组。
我们也不能忘记,信息系统内部或外部使用的手段千差万别,可能是以下几种:
先进的信息系统
您拥有的信息越多,您建立的思维联系就越多,结果,您的记忆就越牢固。
托尼·布赞(Tony Buzan)
在本章中,通过高级信息系统,我们将引用所有通过不同过程从公司各个领域收集信息的计算机系统,以确保它们在某些系统中的正确应用,这些系统是专用软件体系结构的一部分在每个领域的决策。
下图显示了这些高级信息系统的方案示例:
我们将发现自己的系统是由相互重叠的几层或几层组成的,某些风险可能会发生,在分析中必须予以考虑,我们将在后面看到。这些层是:
- 第一层由物理基础结构组成。
它主要包含物质元素,硬件:大型机,外围系统,服务器,通信系统,pc等。在上一层,使物理元素和其余软件工作中型和大型实体使用的主要OS是:UNIX-Linux(具有不同版本),MS Windows Server(也具有多个版本)和工作站上的Windows XP-Vista。在操作系统上工作的下一层,我们将其称为基础IT系统
该术语包括支持下一级别应用程序的各种可能的平台。数据库管理系统-DBMS(最常用的是Oracle Database,DB2,MS-SQL Server),集成的应用程序基础组件和更多技术系统,例如中间件(SAP Basis,NetWeaver, Oracle Fusion,IBM WebSphere),它允许集成许多不同的应用程序和系统业务应用程序或管理应用程序此级别包含实体流程的自动化元素,支持业务流程的计算机应用程序本身以及主要实体的活动范围
在这里,您可以找到市场上可用的许多应用程序,最常见的是基于Oracle E-Business Suite,SAP R / 3,SAP ERP 6.0或Microsoft Dynamics。
所有这些都以标准配置以及经过改编或作为其自己的开发而来,它们都在上一层中包含的DBMS和基础组件上工作。业务流程或管理流程:实体的主要流程,由活动区域表示,并细分为子流程和单个活动。
上一级的计算机应用程序支持它们。
从对信息系统结构的示意图和简要说明中可以清楚地看出,不同的层次或级别是相互关联的,其中之一的风险和弱点会影响整个系统,从而对年度账目产生影响。这反映了一个实体在一个会计年度中的经济和金融活动。
为了将这些风险降到最低,审核员必须使用适当的方法(例如本工作中提出的方法)彻底分析整个信息系统。
以更图形的方式,尽管基本上相似,但与图中所示的图方式相似
信息系统审计的目的
信息是一门艺术。如何捕捉。如何丢弃。因为在新闻,谣言和所有这些事情中都有您必须决定的行动。有必要隔离不方便的东西,只发送方便到达的东西,因为否则会导致错误和错误的欣赏。
胡安·多明戈·佩隆
系统审核员的最终目标是向高级管理层提出建议,以改善或实现信息技术环境中的内部控制,从而实现更高的运营和管理效率。所有这些都通过以下特定目标实现
参与新系统的开发;寻求与新技术及其保护和效率支持相协调的发展
计算机领域的安全评估;从数据输入到信息集中,梨为用户带来了知识。
应急计划的充分性评估:基于其能力和反应以及适应能力。
备份,试图预测如果发生故障将发生的情况。
使用计算机资源的意见。根据公司政策和审核员标准
保护和保护资产。验证该区域中场所和管理者的分配
对现有应用程序的修改控制。
舞弊
控制程序修改。
参与与供应商的合同谈判。
审查操作系统和
实用程序的使用。
控制操作系统的使用
应用程序。
数据库审核。
开发应用程序的结构…
系统审核的特定目标
远程处理网络的审核。
开发审计软件。实施良好的系统审核的最终目标是开发能够连续控制数据处理区域操作的软件。
目标在哪里
实施系统审核的步骤
交流不涉及理解。如果信息能够很好地传递和理解,则它具有可理解性,这是理解的第一个必要条件,但还不够。
埃德加·莫林
像财务审计一样,它必须有一个基于通用审计的计划,并且为了简化步骤,以下是:
但是作为标准,我们将分析审查过程的四个基本阶段:
- 初步研究审查和评估控制与证券关键区域的详细检查结果通报
- 初步研究。-包括定义工作组,审核程序,访问计算机部门以了解其详细信息,准备调查表以获取信息以初步评估内部控制,请求活动计划,政策手册,法规,
与PAD主要官员的访谈;对控制和保证的审查和评估;-包括对过程流程图的审查,对保证的遵从性测试,对关键领域应用的审查,对历史过程的审查。 (备份),文档和文件审查以及其他活动。关键区域的详细检查。-在先前的阶段中,审核员发现了关键区域,并在其上进行了研究和深入分析,在此期间他将具体定义其工作组及其负载分配,确定原因,目标,范围将使用的资源将定义工作方法,审核时间,它将提出工作计划并详细分析每个发现的问题以及之前进行过的所有分析。结果通报。-准备与公司高管讨论报告草稿,直到最终报告为止,并以示意图形式进行介绍矩阵,表格或简洁明了的措辞突出了所发现的问题,影响和审计的建议。
该报告应包含以下内容:
- 审核原因目标范围IT领域的有机功能结构硬件配置和已安装软件内部控制审核结果
信息系统的控制
当组织信息时,就会产生想法。
吉姆·罗恩
在计算机化环境中进行应用程序控制的目的是为业务应用程序建立特定的控制程序,以合理地确保所有交易都得到授权和记录,并充分,适当和及时地处理它们。
因此,要根据每个活动所涉及的风险或需要信息的速度以及对以下知识的了解,寻求对每个区域实施适当的控制措施,以及每个控制措施所应具备的安全性和严格性。它应该是公共的或私人的。
通过以下示例,我们可以直观地看到良好的信息控制和另一种类型的控制的效果
将系统的控件与呈现的图像进行比较,可以说我们正在寻找控件的正确实现,这种实现并不繁琐,以保护我们拥有的信息。
科比特
对于计算机工程师来说,好的设计对于与系统无关的人可能并不那么好。许多工程师没有意识到这一点,并且出现了问题。
雅各布·尼尔森(Jakob Nielsen)
CobiT(信息和相关技术的控制目标)是信息技术良好治理的概念框架,最初由ISACA于1994年开发。
CobiT 4.1版由IT管治学院(ITGI)于2005年发布。CobiT是计算机程序内部控制的国际公认参考。
它用作定义和监视与实体信息系统相关的内部控制的方法,也用作审计方法。
它定义了与计算机功能有关的过程,以及控制,良好实践,管理和审核员的要素。
从实际的角度来看,必须根据组织的规模和使命对其进行“调整”。法院
下图以图形方式显示了通用的CobiT框架,其中CobiT流程模型由包含34个通用流程的四个域组成,可管理IT资源以根据业务和业务需求向业务提供信息。政府和其他任何用户。
参考书目
- DE,D.(sf)。的定义。于2011年9月20日从DEFINICION.DE检索:http://definicion.de/
GARCIA,JA(sf)。计算机审计。MC GRAW HILL.GARCIA,JR和URAN,ME(2003)。从信息管理到知识管理。图书馆调查,54-69。化学工业学院。(sf)。化工学院。从2011年10月10日从www.itchetumal.edu.mx/ROY,AM(2010)检索。集成在财务审计中的信息系统的审计,是公共部门的观点。瓦伦西亚:GENERALITAT VALENCIANA。
