《信息系统组织层面审计.docx》由会员分享,可在线阅读,更多相关《信息系统组织层面审计.docx(26页珍藏版)》请在第壹文秘上搜索。
1、信息系统组织层面审计一、信息系统治理审计(-)业务概述信息系统治理是组织治理的重要组成部分,专注于信息技术体系及其绩效和风险管理的治理规则。信息系统治理应当确保信息系统战略与组织战略的一致性、信息系统目标与业务目标一致、信息系统资源的统一管理和优化,风险的有效控制、信息技术业务活动符合法律法规规定和行业规范要求,以促进组织价值最大化。信息系统治理是指组织中信息系统管理的治理架构、流程活动方式和运行关系,是治理主体以组织章程、监管职责、利益相关方期望、业务压力和业务要求为驱动力,建立评估、指导、监督的治理过程。信息系统治理审计是指对信息系统治理中的体系、制度、方案、评估、指导与监督等过程进行审查
2、和评价。(二)审计目标和内容信息系统治理审计目标是评价信息系统治理是否满足组织战略需求、使其与业务目标保持一致、信息系统资源得以统一管理和优化,风险得到有效控制、信息技术业务活动符合法律法规和行业规范要求,促进组织价值最大化。信息系统治理审计的主要内容:包括信息系统的战略规划、信息系统治理的组织架构设置、治理的职责权限分工、治理资源的合理分配、信息系统的考核及监督机制。(三)常见问题和风险1.信息系统治理与组织治理脱节。2 .职责分工不清,未建立制衡机制。3 .内部控制监督机制失效。4信息与沟通机制失效。5 .信息系统资源配置不合理。6 .信息系统审计机构缺乏独立性。7信息系统用户的信息技术教
3、育和培训不足等问题。(四)审计的主要方法和程序1 .访谈组织管理层中关于信息系统的主管人员,收集组织章程、收集信息系统管理的组织机构设置图,了解组织的战略布局、组织主营业务构成,从而评价信息系统架构与组织架构的一致性,信息系统战略与组织战略和业务需求的一致性。2 .访谈管理人员,评估决策对组织信息系统风险及应对措施,评估决策及管理层对信息系统治理的支持程度。应当关注组织的风险评估的总体架构中信息技术风险管理的框架、流程和执行情况,信息资产的分类以及信息资产所有者的职责等方面。3 .检查信息系统架构,包括但不限于:基础设施架构、应用架构、数据架构,评估治理架构和机制对设计与实施、服务与支持、监控
4、与评估的闭环管理的有效性。4 .查阅组织相关内部控制手册、权限指引,评估信息系统治理职权与责任分配以及制衡机制的合理性。5 .查阅组织文件、会议纪要等流转处理记录,评估信息系统相关问题信息沟通机制的及时性、有效性。6 .查阅组织内控审计报告、信息系统审计报告,评估内部监督机构设置、职责、权限、独立性及监督机制作用发挥情况。二、信息系统与业务目标一致性审计(-)业务概述信息系统与业务目标一致性审计是根据组织发展战略和业务发展规划,将信息系统目标和内容的整体规划与组织业务目标进行比对评价,保证信息系统战略规划围绕组织的战略意图展开,将战略意图转化为目标和任务,并且评估达成目标和完成任务所需要的信息
5、系统能力需求,根据信息系统能力的需求进行信息系统战略规划。(二)审计目标和内容审计目标:通过比较组织信息系统战略规划与业务目标一致性,保障信息系统战略规划制定及实施过程得到合理的控制、监督并持续改进,保持与业务目标的一致性。审计内容:内部审计机构通过与信息系统决策层、管理层访谈,查阅组织章程、中长期战略规划、发展计划、年度计划、管理流程等文件对下列内容进行审计:1.信息系统决策和管理层对信息系统战略规划过程的重视和参与程度。2 .审计信息系统战略规划文件规范。3 .审计信息系统目标相关内容的可操作性。4 .审计对目标进行更新和沟通的需求。5 .审计监督和评价需求。6 .审计战略规划流程或框架是
6、否完善。7 .审计信息系统目标与其管理控制流程符合度。(三)常见问题和风险1 .缺少信息系统战略规划目标。2 .信息系统目标与组织战略规划不一致或更新不及时。3 .信息系统目标与组织信息系统能力不符、缺乏实用性。4信息系统目标与其他管理控制流程不符、缺乏操作性。5 .信息系统目标缺少保障措施。(四)审计的主要方法和程序1 .访谈组织管理人员,了解信息系统目标和业务目标是否一致。2 .检查信息系统的建设方案、规划内容、实施内容与组织各主要业务的需要是否相符。3 .审阅信息系统的可行研究报告设定目标,评估组织信息系统的能力是否能够支持信息系统设定的目标。4 .对比分析信息系统建设与应用的内容与组织
7、的主营业务目标是否一致,是否能够有效支撑主要业务目标。三、信息系统投资与绩效审计(一)业务概述信息系统投资及绩效审计,是指对信息系统投资过程、价值、回报、投入信息系统资源对实现业务目标、战略的影响能力的评价。(二)审计目标和内容审计目标:通过对信息系统投资及绩效的评价,向管理层提供信息系统投资立项、决策、实施、监督、考核过程的合规性、合理性、合法性、经济性以及对业务目标影响的评估,以促进组织持续改善信息系统投资过程管理、提升信息系统投资价值。审计内容:1.信息系统投资决策、监控、考核机制的健全性。2 .信息系统投资审批流程。3 .信息系统投资的预算、执行、节点报告、验收管理程序。4信息系统投资
8、项目的项目评估和绩效评价。(三)常见问题和风险1.信息系统投资立项与信息系统战略规划、业务目标不符。2 .信息系统投资项目未经信息系统决策部门批准。3 .信息系统投资项目流程控制不足。4信息系统投资项目缺少后评价和绩效评价。(四)审计的主要方法和程序1 .访谈高层管理人员,了解信息系统投资战略规划和年度计划,评估信息系统投资项目与战略规划和投资计划的一致性。2 .检查信息系统投资管理制度,审核投资决策、监督、考核机制的执行情况。3 .检查信息系统项目管理文件,年度投资计划文件等,审核信息系统项目授权审批情况。4 .获取信息系统项目流程文件、管理文档等相关资料,审核信息系统投资预算、支付、进度报
9、告、验收管理等关键流程的合规性、合法性、准确性。5 .获取信息系统项目管理文件,绩效考核记录,审核是否对信息系统项目进行了项目评估和绩效考核。四、信息系统组织与制度审计(-)业务概述组织应设置信息系统管理机构,规定相应的职责和权限,建立相关制度,规范业务流程运转机制。信息系统组织机构一般包括:1.信息系统决策与规划机构。2 .信息系统执行与实施机构。3 .信息系统风险管理机构。4 .信息系统监督机构。(二)审计目标和内容审计目标:通过对信息系统决策与规划、执行与实施、风险管理、监督机构的评价,向管理层提供信息系统组织工作得到控制、监督、持续优化的合理保证。审计内容:1 .信息系统决策与规划机构
10、(1)制定的信息系统战略目标和信息系统的应用是否符合业务目标的要求,是否有效保证信息技术战略方针目标、绩效、自我评价等体系的持续有效性等。(2)信息系统治理是否纳入决策层、管理层的议事日程,并定期讨论、定期出具信息系统治理工作的报告。2信息系统执行与实施机构(1)信息系统组织架构与相关职责是否符合组织信息系统现状,是否得到及时更新等。(2)是否明确了信息系统部门和岗位职责。(3)是否存在职责不明确或不相容职责分离控制未能落实的情况,是否采取了有效的控制措施防止岗位职责冲突。3.信息系统风险管理机构(1)是否建立信息系统风险管理机构,并明确职能,是否设置信息系统风险管理岗位,是否建立向风险管理委
11、员会报告工作的机制。(2)是否制定了风险管理的策略制度及流程、实施持续信息系统风险评估、监控信息安全威胁和不合规事件的发生,并跟踪整改意见的落实等。4信息系统监督机构(1)是否明确信息系统监督职能,在信息系统监督部门设立信息系统监督岗位。(2)是否建立了信息系统审计制度,是否按照组织的要求开展信息系统审计。(三)常见问题和风险1.未建立信息系统治理组织架构、信息系统的战略规划、未统一管理。2 .信息系统决策层与管理层职责权限不清。3 .信息系统组织架构、职责、权限分工、流程机制缺少必要的制度规范。4 .重大信息系统决策未通过信息系统决策层审批。5 .信息系统决策和管理层未发挥应有作用。(四)审
12、计的主要方法和程序内部审计人员通过访谈决策层、管理层、相关机构,查阅相关治理工作报告,对信息系统组织架构进行评价。1.访谈相关人员,了解决策层的相关工作机制,检查相关文件、资料,确认决策层在信息系统治理中的作用等,取得相关文件,检查信息系统管理层成员的构成及工作机制的建立情况。2 .审核信息系统治理采用的报告路线,核对信息系统治理方面的问题是否向组织最高管理层报告,获取信息系统工作年度报告,了解信息系统工作开展情况,检查信息系统工作报告的收发记录,检查管理层对信息系统工作报告的审阅记录,取得并检查决策层及管理层的会议纪要等资料,确认管理层在信息系统治理中的作用。3 .获取、审核信息系统组织架构
13、图、信息系统部门工作职责资料,审核信息系统组织架构是否建立,信息系统部门的职责划分情况,是否采取了有效的控制措施防止岗位职责冲突。4 .访谈决策层和管理层相关人员、了解风险管理机构职能的报告路线,访谈信息系统风险管理相关人员,获取信息系统风险管理职责等相关文件,获取信息系统风险管理相关记录,检查风险管理工作开展情况。5 .访谈决策层、监督层及管理层相关人员,了解信息系统监督职能的确定及报告路线,访谈信息系统监督机构相关人员,获取信息系统监督管理相关记录,检查信息系统监督工作的开展情况。6 .检查人力资源管理制度、信息系统人才选拔、培训、储备等关键岗位职责:绩效考核等制度,评价人力资源管理对信息
14、系统架构的支持程度。7 .检查主要业务流程如采购管理、资产管理、财务管理等制度,评价相关制度对信息系统架构的支持程度。五、信息系统风险管理审计(一)业务概述信息系统风险是指潜在影响业务的信息系统相关事件构成,包括不确定的频率以及重要性、符合业务目的和目标的挑战以及追求机会的不确定性。信息系统风险管理是组织在实现目标过程中,将不确定产生的与信息系统有关的影响,控制在可接受范围内的过程。(二)审计目标和内容审计目标:根据组织战略目标、风险管理策略及相应的固有风险,评价组织如何实施信息系统风险管理,将与信息系统有关的风险因素控制在实现组织目标可接受的范围内。审计内容:包括但不限于系统风险的制度和流程
15、符合性、有效性;风险管理的全面性、合理性、适用性;风险管理职责及人员分工的合理性;风险管理的监控、评估及应对等。(三)常见问题和风险1.信息系统风险管理机制未建立或不完善,导致组织风险缺乏管理。2 .组织未开展风险识别和评估,未收集和建立信息系统风险清单,导致风险应对缺乏针对性和适用性。3 .信息系统风险管理与组织的业务流程不匹配导致组织资源配置不合理,与管理层风险偏好发生偏离。(四)审计的主要方法和程序1 .访谈决策层及信息系统风险管理部门及相关人员,了解组织信息系统风险管理机制建立健全的情况;了解风险管理工作的开展及人员配备等情况。2 .获取信息系统风险管理相关资料,了解管理层风险偏好及风险容忍程度、风险管理目标、风险管理策略和原则、风险管理制度及流程、监控、评估及应对等。3 .获取组织信息系统风险管理清单(风险描述,发生条件,发生可能性),选取组织的重点业务流程与风险清单对比,检查风险评估计划、风险评估实施记录、风险评估报告、风险处置计划,评价组织风险识别、评估的准确性、适当性、士敕性UZE.IJXo4 .获取组织信息系统的测试及运行数据,获取组织的重点业务领域及重点工作环节,获取对应的数据,根据数据的内在联系,利用平行模拟法,查找异常点及可能存在舞弊的动机及机会,从而发现问题和