新闻资讯
信息系统审计定义
信息系统审计在不同发展时期内涵有所不同,不同国家各个发展阶段的定义也略有不同,目前尚无一个统一的定义。信息系统审计领域的权威专家Ron Weber将其定义为“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产安全、数据完整以及高效地利用组织的资源,有效地实现组织目标的过程”。日本通产省认为IT审计是“为了信息系统的安全、可靠和有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导层,提出问题与建议的一连串的活动”。
我国国家审计署发布的《信息系统审计指南》认为,信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动,具体审计时应当考虑应用控制、一般控制和项目管理的审计。中国内部审计师协会发布的《第2203号内部审计具体准则——信息系统审计》认为,信息系统审计是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动;具体审计时应当考虑组织层面的信息技术、一般性控制层面的信息技术、业务流程层面的信息技术等。中国注册会计师协会发布的《独立审计具体准则第20号——计算机信息系统环境下的审计》认为,计算机信息系统环境下的内部控制包括一般控制和应用控制,评价一般控制时应当考虑组织与管理控制、应用系统开发和维护控制、计算机操作控制、系统软件控制、数据和程序控制等;评价应用控制时应当考虑输入控制、计算机处理与数据文件控制、输出控制。
综上所述,简言之:信息系统审计是审计机构对被审计单位的信息系统管理控制、应用控制、网络控制、安全控制进行检查,确保信息系统可靠性、安全性、经济性组织目标实现的监督活动。简言广义定义为:信息系统审计是指了解和掌握信息系统的专业知识、法规知识、技术知识和审计知识的机构和人员,依据国家对信息系统的法规类、标准类、规则类控制的规定,对信息系统的管理控制、应用控制、网络控制、安全控制进行检查,提出意见和建议,促进信息系统可靠性、安全性、经济性组织目标实现的监督活动。
本定义对信息系统审计作出了三项规则:
一是信息系统审计是一项复合型知识体系。包括信息系统的专业知识,即信息系统承载的财政、金融、投资、企业等的专业知识,并保障承载的专业能够得到健康安全运行;信息系统的法规知识,即国家的法律法规、标准规范、工作规则对信息系统的规划、建设、运维作出了具体的规定;信息系统的技术知识,即信息系统的管理类、应用类、网络类、安全类方面的知识;信息系统的审计知识,即对信息系统的审计就要了解和掌握信息系统的审计程序、审计方法、审计判断、审计质量控制。
二是信息系统审计的对象。包括:信息系统管理控制的项目组织、项目立项、项目实施、项目投资、项目验收、项目绩效的控制执行情况;信息系统应用控制的应用规划、应用能力、数据资源、分析模型、新技术应用的控制执行情况;信息系统网络控制的网络系统、计算系统、存储系统、备份系统、机房系统的控制执行情况;信息系统安全控制的网络安全、等级保护、风险评估、应急预案的控制执行情况。
三是信息系统审计的目标。包括:管理控制、应用控制、网络控制、安全控制所体现的可靠性、安全性、经济性。
摘自:1、《信息系统审计》 中国计算机用户协会政务信息化分会 组织编写
2、 T/CCUA 007-2023团体标准《信息系统审计师专业能力等级评价规范》