我们所熟知的企业治理整合框架COSO建立了一套成熟的可以应用于企业内部的控制模式。我们都知道企业实施内部控制的根本目的在于对企业的财务报告的可靠性、经营的效率和效果以及法律和法规的符合性提供必要的保证。由此可见财务报告的可靠性是内控的最为基本的要素之一,信息系统审计的最初目的也主要是针对企业的财务信息系统的安全性和有效性进行检查。
目前基于IT的信息系统的审计范围逐步扩展到对被审计单位的重要信息系统进行单独审计。在审计的过程中主要检查和评价信息系统的安全性、可靠性和经济性,并揭示系统本身存在的问题,提出后期待完善的审计意见和建议。而针对信息系统的安全性审计,更加强调实施信息安全工作的充分性、有效性和适宜性。所谓充分性就是看针对信息安全工作是否考虑全面,有效性关注的是预期结果是否达成,适应性是看被审计单位是否能够针对组织所面临的信息安全内外部环境变化做出适应性调整的能力。
审计的基本流程步骤包括计划、现场工作和文件、问题发现和验证、开发解决方案、报告起草和执行、问题跟踪等。计划过程的首要目的是明确本次审计的目标和执行范围,并切实制定一系列可操作性的步骤。审计团队需要积极引导被审计组织的相关高层主动参与到具体计划的制定中来。现场工作和文件是指审计团队在被审计组织的现场通过访谈、问卷调查和文件分析等形式获得第一手数据,并进行充分的资料分析和工作记录。在问题发现和验证环节,审计人员需要制定在本次审计过程中发现的问题清单,并试图验证问题所关联风险是否非常重要。必要时可以通过风险评估等方式来评估风险可能带来的实际影响。在发现和验证每个现实存在的问题和可能的风险后,必要的针对问题和风险处置的解决方案的开发就变得非常有必要。审计团队需要针对本次审计的最终结果撰写最终的审计报告,并制定必要的审计后跟踪机制,确保审计所发现的问题被纳入被审计组织的问题管理流程,直至问题的最终解决。
以上是关于信息系统审计工作的典型活动的解读。在审计过程中,可以应用一些审计技术或工具来配合审计所需的历史数据的采集。比如日志审查技术就是检查系统日志文件以发现安全事件或验证安全控制有效性的审计技术。审计工作任重而道远,我们要坚定的相信:“必要的审计工作的定期执行能够为被审计组织在其实现业务战略过程中保驾护航”。