審計署重慶辦以安全性有效性為目標積極開展信息系統(tǒng)審計
近年來,審計署駐重慶特派辦積極開展以信息系統(tǒng)安全性、有效性為主要目標的信息系統(tǒng)計算機審計,取得較好成效。
一是著力揭示信息系統(tǒng)的缺陷與風險。信息系統(tǒng)審計是信息化條件下項目審計的基礎性工作,該辦組織信息系統(tǒng)審計方面的專業(yè)人員與審計業(yè)務人員組成信息系統(tǒng)審計組,積極開展信息系統(tǒng)審計,不斷推進信息系統(tǒng)審計常態(tài)化。在審計過程中,審計人員以信息系統(tǒng)安全性、有效性為目標,重點關注信息系統(tǒng)的物理安全和應用安全,對信息系統(tǒng)的網(wǎng)絡部署、安全管理、權限控制、輸入控制、處理控制和輸出控制進行審查,驗證系統(tǒng)業(yè)務授權與審批是否正確,系統(tǒng)業(yè)務處理流程是否完備合理,業(yè)務數(shù)據(jù)存儲和輸出是否準確和完整,數(shù)據(jù)的生成、存儲、傳輸、處理是否存在有效的控制記錄,從而審查評價系統(tǒng)的安全性、有效性,揭示由于信息系統(tǒng)缺陷而導致的信息和經(jīng)濟安全風險。
二是有效促進被審計單位提高信息系統(tǒng)的安全性、有效性。該辦根據(jù)審計發(fā)現(xiàn)的問題,如信息系統(tǒng)數(shù)據(jù)輸入控制、數(shù)據(jù)處理邏輯和數(shù)據(jù)輸出控制存在缺陷,部分業(yè)務流程信息處理存在安全隱患不利于風險控制等,提出審計建議和整改意見,得到被審計單位積極采納,促進被審計單位從管理制度、系統(tǒng)功能設計和操作規(guī)范方面進一步整改和完善,提高了系統(tǒng)的安全性和有效性。
三是不斷積累信息系統(tǒng)審計的經(jīng)驗。隨著信息系統(tǒng)審計工作的逐步深入,該辦注重積累信息系統(tǒng)審計經(jīng)驗和方式方法,并不斷完善。如某國企信用保險綜合業(yè)務信息系統(tǒng)業(yè)務流程應用控制審計、某國企壽險信息系統(tǒng)業(yè)務流程及數(shù)據(jù)處理控制審計分別被審計署評為2009和2010年優(yōu)秀信息系統(tǒng)審計案例,相關審計人員應邀在署信息系統(tǒng)審計案例研討班上作了經(jīng)驗交流。(肖敏)
一是著力揭示信息系統(tǒng)的缺陷與風險。信息系統(tǒng)審計是信息化條件下項目審計的基礎性工作,該辦組織信息系統(tǒng)審計方面的專業(yè)人員與審計業(yè)務人員組成信息系統(tǒng)審計組,積極開展信息系統(tǒng)審計,不斷推進信息系統(tǒng)審計常態(tài)化。在審計過程中,審計人員以信息系統(tǒng)安全性、有效性為目標,重點關注信息系統(tǒng)的物理安全和應用安全,對信息系統(tǒng)的網(wǎng)絡部署、安全管理、權限控制、輸入控制、處理控制和輸出控制進行審查,驗證系統(tǒng)業(yè)務授權與審批是否正確,系統(tǒng)業(yè)務處理流程是否完備合理,業(yè)務數(shù)據(jù)存儲和輸出是否準確和完整,數(shù)據(jù)的生成、存儲、傳輸、處理是否存在有效的控制記錄,從而審查評價系統(tǒng)的安全性、有效性,揭示由于信息系統(tǒng)缺陷而導致的信息和經(jīng)濟安全風險。
二是有效促進被審計單位提高信息系統(tǒng)的安全性、有效性。該辦根據(jù)審計發(fā)現(xiàn)的問題,如信息系統(tǒng)數(shù)據(jù)輸入控制、數(shù)據(jù)處理邏輯和數(shù)據(jù)輸出控制存在缺陷,部分業(yè)務流程信息處理存在安全隱患不利于風險控制等,提出審計建議和整改意見,得到被審計單位積極采納,促進被審計單位從管理制度、系統(tǒng)功能設計和操作規(guī)范方面進一步整改和完善,提高了系統(tǒng)的安全性和有效性。
三是不斷積累信息系統(tǒng)審計的經(jīng)驗。隨著信息系統(tǒng)審計工作的逐步深入,該辦注重積累信息系統(tǒng)審計經(jīng)驗和方式方法,并不斷完善。如某國企信用保險綜合業(yè)務信息系統(tǒng)業(yè)務流程應用控制審計、某國企壽險信息系統(tǒng)業(yè)務流程及數(shù)據(jù)處理控制審計分別被審計署評為2009和2010年優(yōu)秀信息系統(tǒng)審計案例,相關審計人員應邀在署信息系統(tǒng)審計案例研討班上作了經(jīng)驗交流。(肖敏)
【關閉】 【打印】 |