信息系统审核的专业性质以及执行此类审核所需的技能,要求制定和颁布信息系统审核的通用标准。
信息系统审核被定义为包括对自动信息处理系统的所有方面(或其任何部分)进行审核和评估的任何审核,包括与之相关的非自动程序以及相应的接口。
为了对信息学审计进行充分的计划,有必要遵循一系列先前的步骤,以允许确定要审计的生物体内区域,系统,组织和设备的大小和特征。
接下来,描述系统审核的两个主要目标,即评估数据过程和计算机设备以及控制,类型和安全性。
审计的定义
它被定义为一个系统的过程,包括获取和客观评估有关经济行为和事件的证据;为了确定这些陈述与既定标准之间的对应程度,然后将结果传达给相关方。
审核类型
在某些类型的审核中,Systems Audit集成了一个并行但又不同且独特的世界,从而突出了其对计算功能的使用方法。
作为对该表的分析,有必要强调,系统审核与财务审核不同。
在主要审核方法中,我们具有以下内容:
信息审核
- 它是对信息处理,系统开发和安装中的控件的验证,旨在评估其有效性并向管理层提出建议;对自动数据处理区域(PAD)和利用其中涉及的资源,确定公司中计算机化系统的效率,有效性和经济性,并提出旨在纠正现有缺陷和改善缺陷的结论和建议。评估公司建立的标准,控制,技术和程序,以实现通过信息系统处理的信息的可靠性,及时性,安全性和机密性。
信息审计是审计的一个专门分支,它在信息系统领域推广和应用审计概念。审计师的最终目标是向高级管理层提出建议,以改善或实现信息技术环境中的内部控制,从而实现更高的运营和管理效率。
信息审核是确定组织满足其目标并正常运行所需的信息的系统过程。其目的是确保将通过系统传播的信息最适合组织。通过信息审核,组织仅希望接收与其利益相关的信息,从而减少沉默(不获取相关信息)和噪音(获取不相关信息)和信息需求。组织(即组织正常运作所需的信息)。
进行信息审核之前要记住的先前步骤之一是了解组织的目标和优先级,组织的结构,所执行的管理方式以及相互之间的关系与环境。
当审核是从组织外部进行时,至关重要的是组织的管理必须支持其工作。没有这种支持,任何措施都将无可救药地失败。主要的问题是信息往往被组织的成员所ho积,好像它是一种宝贵的资源。
鉴于此,应该设计信息交换策略,以便以某种方式补偿促进信息流通。
审核应确定信息的用途,资源和流向。为此,我们必须知道组织拥有哪些信息资源,如何使用它们以及获得的结果,有哪些可用的设备以及拥有的设备,成本,为组织贡献的价值。以及什么类型的人员执行这些功能。
此外,至关重要的是,公司成员必须了解他们所做的一切,以便他们能够充分合作。
与传统审计的异同
相似之处:
- 不需要新的审计准则,它们是相同的;良好的内部会计控制系统的基本要素保持不变;内部会计控制研究和评估的主要目的是获得支持意见的证据,并确定未来审计证据的基础,时机和范围。
差异:
- 建立了一些新的审计程序,维持适当的内部会计控制所采用的技术存在差异,对内部会计控制的研究和评估方法也存在差异。一个重要的区别是某些流程使用程序,对手动系统的评估重点是对交易的评估,而对计算机系统的重点则是对内部控制的评估。
- 寻求由PAD设计和实施的自动或计算机系统的更好的成本效益比;提高计算机系统用户的满意度;通过推荐安全性和控制措施,确保信息的完整性,机密性和可靠性。了解计算领域的当前状况以及实现拟议目标所需的活动和努力。人员,数据,硬件,软件和设施的安全性支持IT功能以实现组织目标的安全性,实用性,信任,计算机环境中的隐私和可用性将使用信息技术的风险最小化投资决策和不必要的支出信息系统控制方面的培训和教育。
1.参与新系统的开发:
- 评估控制方法的合规性。
2.在计算机区域进行安全评估。
3.应急计划中的充足性评估。
- 备份提供了发生故障时将发生的情况。
4.对计算机资源使用的意见。
- 保护和保护资产。
5.对现有应用程序的修改控制。
- FraudesControl进行程序修改。
6.参与与供应商的合同谈判。
7.审查操作系统和程序的使用
- 实用程序。控制对操作系统使用的实用程序。
8.审核数据库。
- 开发应用程序的结构…
9.审核远程处理网络。
10.开发审计软件。
实施良好的系统审核的最终目标是开发能够连续控制数据处理区域操作的软件。
信息审计功能存在的原因
1.信息是公司的主要资源,可以:
- 计划未来,控制现在并评估过去。
2.公司的运营越来越依赖于系统化。
3.由于以下原因,风险趋于增加:
- 信息丢失资产丢失服务/销售损失。
4.系统化为
- 该公司在:硬件,软件和人员方面。
5.仅在最后确定问题。
6.永久性的技术进步。
- PAD(数据处理部门)预算的大幅增加和不合理的增加缺乏对公司计算机状况的管理水平的知识,全部或部分缺乏逻辑和物理保证,无法保证人员,设备和信息的完整性。使用计算机进行欺诈;缺乏计算机计划;组织工作不正常;缺乏政策,目标,标准,方法,任务分配和人力资源管理;由于不遵守截止日期和质量低劣,导致用户普遍不满意从结果来看。
- 对业务,业务要点,关键领域,经济,社会和政治环境有全面全面的了解;了解系统对组织的影响;了解审计的目标;了解公司的计算资源。系统项目知识。
信息审核控制
在信息审核中,还必须建立控制和验证过程。
这些过程的结果可以由报告或什至证书组成,以确认一切正确或包含改进建议。应当牢记,信息资源图或文档图可能构成信息审核过程的主要结果之一。
对于文件地图,它详细说明了组织中的哪些文件,它们链接和响应的功能类型,谁负责和访问这些文件,它们以何种介质可用,在何处以及如何使用。它们是可访问的,以及它们与组织的其余信息系统之间的关系或集成级别。还确定了组织标准和程序中所有文件的位置,以及它们对公司知识的价值。
控件的一般分类
它们是降低风险原因发生频率的方法,从而允许一定程度的违规行为。
示例:“禁止吸烟”标志以保护设施
访问关键系统。
它们是不能阻止发生风险的原因,但是可以在发生风险后将其检测出来的那些。对于审核员来说,它们是最重要的。从某种意义上说,它们有助于评估预防控制的效率。
示例:用作审核跟踪的文件和过程
验证程序
它们有助于调查和纠正风险原因。正确的纠正可能是困难且效率低下的,需要对纠正性控件实施检测性控件,因为错误纠正本身就是一个高度容易出错的活动。
物理和逻辑部分的特定控件在下面详细介绍
真实性:他们允许验证身份
- 密码数字签名
准确性:确保数据的一致性
- 字段验证超出部分验证
全面性:它们避免了遗漏记录,并保证了运输过程的完成
- 记录计数控制图
冗余:避免数据重复
- 批量取消序列验证
隐私:他们确保数据保护
- 加密压缩
存在:它们确保数据的可用性
- 状态日志资产维护
资产保护:破坏或破坏信息或硬件
- 密码灭火器
有效性:它们确保实现目标
- 满意度调查服务水平的衡量
效率:它们确保资源的最佳利用
- 监控计划成本效益分析
访问密码的更改频率
必须定期对程序的访问代码进行更改。
通常,用户习惯于保留最初分配的相同密钥。
不能定期更改密钥会增加未授权人员知道和使用计算机系统用户密钥的可能性。
因此,建议至少每季度更改一次密码。
访问代码中的字母数字组合
密钥由员工代码组成是不方便的,因为未经授权的人可以通过简单的测试或推论找到该密钥。
要重新定义密钥,必须考虑存在的密钥类型:
- 单打
他们属于单个用户,因此是个人和个人。使用此密钥可以在进行交易时注册负责任何更改的人员。
- 机密
秘密地,必须正式指导用户有关密码的使用。
- 不重要
键不得与序列号或名称或日期相对应。
- 在微型计算机上使用安全软件
安全软件允许您限制对微型计算机的访问,以便只有授权人员才能使用它。
此外,该软件通过控件加强了功能隔离和信息的机密性,因此用户只能访问授权的程序和数据。
此类程序包括:WACHDOG,LATTICE,SECRET DISK等。
信息审计方法
我们必须说,今天没有进行信息审核的标准方法,但是我们可以开发一系列活动和技术来帮助我们执行这些活动和技术:
实物库存
这是系统地识别和分类信息资源的过程。这样,就可以提供给定时间组织在信息资源方面拥有的照片。
信息大众化
它是表示组织中存在的信息资源及其之间的相互关系的图形方式。资源图指示信息资源的基本程度,如何定位(从技术角度来看在地理上,部门上,如何相互作用,谁使用它们,谁负责)等。
信息需求分析
其主要目的是确定员工和组织的管理层需要哪些信息来发展其角色并实现目标。
流程和工作流程的图形。
流程图与工作流一起可以成为信息审计领域的良好工具。
审计在信息控制中的作用
审计在任何实体的信息系统中的主要作用是至关重要的,下面我们提到其中一些更为重要的方面。
当前的计算机系统为我们提供了访问大量信息和处理大量文档的巨大可能性,在大多数专业公司的生产力方面,总不能总是产生同等的反应,它们也无法转化为可观的改进。组织的文件管理。
发生这种情况的原因是,在大多数情况下,对信息系统(计算机以及通信硬件和软件)的投资没有对专业咨询或办公室的实际信息需求进行必要的事先分析。很少有公司雇用文件和文档专家或聘请训练有素的专业人员来确定:
- 咨询机构的专业人员或关键部门的信息需求;组织本身生成的文档;市场中存在的外部信息的资源或来源;文档流或回路;由代理机构承担的功能和责任的趋势文档管理分布在不同的人员或部门之间,他们中的任何一个都不承担充分利用受影响的每个职能之间产生的协同作用的使命。
必须通过感知哪些问题具有更紧迫的兴趣,并且通常是最接近的兴趣来开始对问题进行分析。通常会检测到一系列迹象:
- 在不正确的时间段内对文件请求的响应缺乏响应(找不到文件,或者在响应出现时,响应延迟太长)。使用的信息未达到要求的质量级别(使用的文件不足,不可靠或显示不佳),无论是在文件存储库中还是在工作表上,文档的累积量都很高(文档分散在整个办公室,不知道在哪里找到)。因为文档管理无法正常工作,并且有必要纠正这种情况。
一些管理文档管理问题可能在于:
- 行政传统。行政文件的管理是由不同的人进行的,他们每个人都以自己的方式进行管理。更换部门负责人或业务部门负责人通常会导致文档处理发生巨大变化,而缺乏对文档管理是行政管理的另一部分的意识。这种缺乏导致文件处理流程的不一致,共享文件处理人员之间缺乏协调,工作量不平等,工作重点欠佳,这些不足反映在解决紧迫问题的特殊和迫切需要中。不利于对包括所有咨询服务的文档进行整体管理(在我日常组织工作中)。
影响信息系统的趋势
当将信息系统视为一组规则和给定规则的一般流程时,应考虑一些直接影响系统的消极和积极方面,例如:
它是指必须定期审查任何公司的信息系统的事实;建议不要定期更新,而应每两年进行一次间隔检查(不建议在公司中逐步进行更新,例如软件,统计表,建议在一年内进行更改,所有机器和软件;因为如果我们不这样做,则将更改其整个组织结构)。
(它可以是具有相同职位的重组)。与任何公司进行的组织重组都意味着总是为了寻求更好的运营,避免官僚主义,简化程序或流程而进行更改,例如,重组可以是各种类型。增加或减少部门,职位,目标重组等 重组始终会影响公司的信息系统。
(这不是好事,也是坏事)
排名的修订和重估预计将有利于公司的信息系统,如果效果相反,审计师应向抵制以下信息的员工(特别是部门)发布员工报告。公司。
(信息系统的数据)
它指的是仅在计算机区域中数据流的变化,这直接影响计算机系统,进而影响信息系统。对于IT审核,效果可能是正面的,也可能是负面的,具体取决于在数据处理方面获得的结果(安全性较低,安全性更高,备份)。例如:
会计区域中的信息流已更改,以生成每月的角色(从担任角色的秘书开始,由秘书输入库存,缺陷,欠款等;确定要折现的金额。总金额然后将最终薪金转给会计人员,以便特别证明罚款的合理性,在某些情况下更正后,将纸张送去打印,这被认为是新的信息流,其中数据输入到计算机系统中,并根据公司的参数和规定,系统给出要收取的流动工资,自动生成报告,进行检查,而会计师仅批准此报告。
(例如,当进行数据迁移时,信息将迁移或更改为另一个更复杂的系统)。
概念基础
在信息系统的基础上,审核员将按照任何工作方法进行研究和分析,但不背离被审核公司信息系统的概念基础。
如果审核员出于某种原因而意识到并且至少认为自己采用了信息系统中不存在的参数,则必须重新开始。
从概念上讲,信息系统基于任何公司内部的一些重要方面:
- 经济方面
,应考虑企业,危机,控制的资源,etc.Aspectos技术
指的是硬件公司内部,您应考虑增加的变化,无论是软件还是社会hardware.Aspectos
是指针对公司员工的改进,例如课程,培训等。法律政治方面是
指对公司有效的规范(包括内部和外部),法律方面必须得到重视,特别是在管理方面
是指在管理级别上的关系,对担任职位,决策或财富有更大的信心,总是对公司有利。
结论
主要是,随着这项工作的完成,我们能够得出的主要结论是,任何具有中等复杂信息系统的公司(无论是公共公司还是私有公司)都必须接受对有效性和效率评估的严格控制。如今,90%的公司将所有信息组织在计算机系统中,因此,信息系统正确运行至关重要。
今天的公司必须计算机化。公司的成功取决于其信息系统的效率。
公司可能有一批一流的员工,但它的计算机系统容易出错,运行缓慢,易受攻击且不稳定。如果这两件事之间没有平衡,那么公司将永远无法前进。
关于审计本身的工作,我们可以指出,需要对信息技术,严肃性,能力,彻底性和责任感有充分的了解;信息审计必须由训练有素的人员完成,审计工作不当可能对被审计的公司产生严重的后果,主要是经济方面的后果。
