IT審計專欄（一）－概念篇

    　IT審計是獨立于信息系統本身、信息系統相關開發、使用人員的第三方-IT審計師采用客觀的標準對信息系統的策劃、開發、使用維護等相關活動和產物進行完整地、有效地檢查和評估。

　　由上面的定義我們可以看出，IT審計設計整個信息系統的生命周期，IT審計不是單純強調對軟硬件的審計。它的審計對象涵蓋整個信息系統所有活動和中間產物，并包括信息系統實施相關的外部環境。

　　IT審計按照信息系統的生命周期分為業務計劃審計，業務開發審計、業務執行審計和業務維護審計以及涵蓋整個信息系統周期的共通業務審計。

　　業務計劃審計主要面向信息系統的企劃，對信息系統的投資可行性，系統規劃與公司戰略的相關性，系統開發計劃的可行性以及系統需求的完整性和正確性進行審核和驗證。

　　業務開發審計對信息系統開發的各個階段的相關人員的活動、信息、中間產物進行審核，確認這些活動、信息和中間產物的規范性、有效性和對于信息系統目標的針對性。

　　業務執行審計確認與信息系統運行相關的數據、軟硬件、安裝環境等是否符合信息系統的運營要求，同時對信息系統的功能、性能、易用度、可操作性等進行評估。

　　業務維護審計對信息系統的維護活動和維護結果實施審核和評價。發現在維護中可能出現的各種漏洞和信息系統維護中急待改善的問題。

　　共通業務審計涉及文檔管理、進度管理、人員管理、采購管理、風險管理等，檢查這些過程的規范性和有效性，并提出改良建議。

　　IT審計的任務在于站在客觀公正的角度上，收集審計信息，生成審計報告，通過審計報告促成信息系統生命周期活動和成果物的改善。

　　實施IT審計能夠強化IT投資效果，提高信息系統的安全性，能夠客觀評價信息系統及信息系統開發，從社會經濟和企業、國家信息化投資、安全等方面都具有極大的意義。

　　4 IT審計制度

　　一般來說，對企業實施IT審計的對象有：本企業內的IT審計師、外部IT審計事務所委托審計師和國家審計機構。

　　作為企業，建立一個完善的IT審計制度需要做到以下幾點：

　　(1)IT審計師是跨信息技術和審計技術的復合型人才，要實施企業的IT審計制度，必須重視和培養合格的IT審計師;

　　(2)企業應該建立相應的IT審計部門或審計崗位，確定其部門和崗位職責，并將之置于企業經營者的直接管理之內;

　　(3)企業應該制定相應的IT審計準則、實施報表、報告等進行IT審計所必須的憑據;

　　只得一提的是，企業在建立IT審計制度時應當遵循國家相關IT審計的法規并結合本企業的業務實際進行。企業的IT審計制度不是一成不變的，根據具體企業的營運情況可以在每個審計年度終結后新的審計年度開始前做相應的修改和增刪。

　　5 IT審計計劃

　　IT審計的實施需要制定相應的計劃，明確IT審計的任務、采用的方法和預期應當達到的效果。該計劃在提交經營層確認后得以實施。

　　IT審計的審計計劃分為兩種類型：基本計劃和詳細計劃(又稱分期計劃)。

　　基本計劃是一個審計年度內相關IT審計活動的計劃，確認年度內IT審計的各項任務及其大致時間安排�；�本計劃需要提交經營層批準。它是對整個IT審計年度的活動指引方針。內容包括：審計對象、審計場所、審計原則、日程安排等。

　　詳細計劃(分期計劃)針對具體項目(系統)或任務，得到IT審計部門領導的許可即可，詳細計劃需要告知被審計對象。詳細計劃的內容包括：審計對象、目的、審計流程、審計要點、審計時間、相關人員、審計報告提交事項等內容。

　　【作者介紹】 zhanghua

　　張華，國家系統分析員，CSAI高級顧問。先后從事過企業信息管理，項目管理和應用系統分析與設計等工作，能熟練運用多門外語，并在自動化軟件生成頗有建樹�！　�個人熟諳PMI項目管理體系、富士通SDEM方法、IT審計和軟件企業信息事業推進，熟悉多種建模方法、設計工具，具有豐富的多種業務領域建模經驗。個人目前熱切關注的對象有：軟件哲學、軟件思維工程和知識管理。

文章來源于領測軟件測試網 http://www.kjueaiud.com/