内部审计人员如何开展信息系统风险评估与控制工作,本文主要内容关键词为:信息系统论文,内部审计论文,风险评估论文,人员论文,工作论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、在企业治理中管理信息技术及控制风险,实现信息技术的价值。
企业治理要解决的主要问题通常分散在企业内部各项不同的业务活动中,信息技术作为业务活动不可分割的组成部分,是支持并发展业务活动的基础。信息系统的失败将会导致企业治理的失败。进行信息系统审计管理信息技术及控制风险,实现信息技术的价值成为企业治理中重要的组成部分。在企业内部,特定的制度安排通常表现为一定的权责利的分配(即特定的组织结构形式),这正是IT系统构建和运行的基础,企业所有的业务活动、信息系统、管理活动都必须建立在这一特定的组织结构之上。日益增加的信息系统灾难问题的披露和电子舞弊行为,要求企业应该注重管理IT资源、IT过程及与IT相关的风险,新环境下关注IT治理将有助于解决企业治理问题。
二、对信息系统的安全性和可靠性进行控制,提高信息系统的合法、合规性及效率性。
信息流以及它对企业价值链的影响使信息技术成为商业活动中的价值创造者。由于普遍使用大型的管理信息系统,企业要对信息系统的安全性和可靠性进行控制,提高信息系统的合法、合规性及效率性。
包括首席信息官(CIO)数据处理过程(EDP)部门经理、信息技术IT咨询人员在内的信息技术和系统战略实施人员都应对其负责。内部信息系统审计师则围绕组织目标开展工作,其职责是分析并仔细检查计算机在系统硬件、软件、数据集成、信息技术内部结构方面的有效性和效率性。
内部信息系统审计师的主要任务是建立控制并对每一商业活动实施控制,将控制程式化有助于减少或消除错误和意外情况的发生。由于数据丢失是主要的信息系统风险,因此允许内部信息系统审计师参与信息系统的计划、开发和实施是非常必要的。这种内部审计功能增强了系统内部控制,进而提高了系统的质量和运行能力。
三、通过对信息技术处理过程进行评估,帮助企业控制信息技术环境。
审计离不开控制,如何能保证系统开发或实施过程正确,控制措施是否足够,是否可行有效,将对系统设计与实施的质量和发展前景起到重要的作用。
内部控制一般而言是指组织管理者为了维护财产物资的安全、完整、保证会计信息的真实、可靠,保证经营管理活动的经济性、效率性和效果性以及各项法律和规范的遵守,而对经营管理活动进行调整、检查和制约所形成的内部管理机制,是组织为实现管理目标而形成的自律系统。内部审计师在审计过程中要对被审计单位内控制度进行评价,包括计算机系统的内控制度。为了对系统的内控制度进行评价,内部审计师必须验证内部控制系统是否存在,并能提供令人满意的证据证明它正在有效的发挥作用。