Resumen: Con el desarrollo de la informatización global y la teoría de la auditoría, la auditoría de sistemas de información ha atraído gradualmente la atención de la gente. Este artículo comenzará con los conceptos internacionales y el contenido de la auditoría de sistemas de información, discutirá las características más destacadas de la auditoría de sistemas de información y analizará las diferencias y conexiones con la auditoría tradicional. Su objetivo es atraer la atención de la gente hacia la auditoría de sistemas de información y establecer un sistema de auditoría de sistemas de información que se ajuste a la realidad de mi país lo antes posible.
Palabras clave: Auditoría de sistemas de información
1. Definición de auditoría de sistemas de información
Con el desarrollo de la informatización global y la teoría de la auditoría, la auditoría de sistemas de información ha atraído gradualmente la atención de la gente. Pero hasta ahora no existe una definición fija y unificada de auditoría de sistemas de información a nivel internacional. El Comité Internacional de Auditoría de Sistemas de Información (ISACA) lo define como "La auditoría de sistemas de información es el proceso de obtener y evaluar evidencia para determinar si los sistemas informáticos pueden garantizar la seguridad de los activos, la integridad de los datos, el uso eficiente de los recursos organizacionales y el logro efectivo de los objetivos". objetivos organizacionales". "Proceso", definido por Ron Weber, experto de la asociación, como "recopilar y evaluar evidencia para determinar si un sistema informático (sistema de información) es eficaz para proteger los activos, mantener la integridad de los datos, lograr los objetivos organizacionales y hacer el uso más económico de los recursos"; en 1985, el Comité de Auditoría de Sistemas de Información de la Asociación de Desarrollo y Procesamiento de Información del Ministerio de Industria y Comercio Internacional de Japón lo definió como "La llamada auditoría de sistemas de información se refiere a la revisión integral de los sistemas de información centrados en computadora por parte de auditores de sistemas de información que son independientes del objeto de la auditoría desde un punto de vista objetivo, inspeccionar y evaluar, plantear preguntas y asesorar al personal relevante, buscar el uso eficaz del sistema y la resolución de problemas, y hacer que el sistema sea más sólido. " Once años después, en 1996, el comité redefinió la auditoría de sistemas de información como "para la seguridad y protección de los sistemas de información, los auditores de sistemas de información que son independientes del objeto de la auditoría realizan una inspección y evaluación integrales de los sistemas informáticos". sistema de información desde un punto de vista objetivo de terceros, y plantear dudas y sugerencias al liderazgo del objeto de auditoría del sistema de información. Una serie de actividades”. Por lo tanto, el contenido de la auditoría del sistema de información no es simplemente el procesamiento de datos electrónicos, no solo la información financiera, sino la comprensión y evaluación de la confiabilidad y seguridad de todo el sistema de información de la empresa. Es un proceso de revisión y evaluación. evaluar la información una serie de actividades como la planificación, el desarrollo, la implementación, la operación y el mantenimiento del sistema para determinar si la operación del sistema de información es segura, confiable y efectiva, si los datos generados por el sistema de información son confiables y precisos, y si los datos. se puede almacenar de manera efectiva.
La persona que implementa la auditoría de sistemas de información (ISA) se llama auditor de sistemas de información (IS Auditor), y en mi país se llama auditor de TI. La Asociación Internacional de Auditoría y Control de Sistemas de Información (ISACA) es una organización autorizada en el mundo que puede autorizar a los auditores de sistemas de información. Al aprobar el examen, se puede obtener el certificado de Auditor Certificado de Sistemas de Información (CISA), que es ampliamente reconocido por países de todo el mundo.
2. Contenidos y características de la auditoría de sistemas de información
La Asociación Internacional de Auditoría de Sistemas de Información (ISACA) estipula los principales contenidos de la auditoría de sistemas de información: 1. Procedimientos de auditoría de sistemas de información. Proporcionar servicios de auditoría de sistemas de información de acuerdo con las normas, directrices y prácticas de auditoría de sistemas de información para ayudar a las organizaciones a garantizar que su tecnología de la información y sus sistemas operativos estén protegidos y controlados. 2. Gobernanza de TI (gobernanza de la tecnología de la información); Asegurar que la organización tenga estructuras, políticas, responsabilidades laborales, mecanismos de gestión operativa y prácticas de supervisión apropiadas para cumplir con los requisitos de TI del gobierno corporativo. 3. Gestión del ciclo de vida de la infraestructura y el sistema. El desarrollo, adquisición, prueba, implementación (entrega), mantenimiento y uso (configuración) de sistemas y marcos básicos garantizan el logro de los objetivos organizacionales. 4. Entrega y soporte de servicios de TI; Las prácticas de gestión de servicios de TI pueden garantizar que se proporcionen los niveles y categorías de servicios requeridos para cumplir con los objetivos de la organización. 5. Protección de los activos de información. Garantizar la confidencialidad, integridad y eficacia de los activos de información a través de sistemas de seguridad adecuados (como políticas, estándares y controles de seguridad). 6. Recuperación ante desastres y planes de continuidad del negocio;
Una vez que el negocio continuo se interrumpe (o destruye) (inesperadamente), el plan de recuperación ante desastres garantiza que el servicio de TI (interrumpido) pueda restaurarse de manera oportuna y, al mismo tiempo, minimiza el impacto del (desastre) en el negocio.
A partir de la definición y el contenido anteriores de la auditoría de sistemas de información, se pueden resumir a grandes rasgos varias características de la auditoría de sistemas de información: Primero, independencia Para garantizar la imparcialidad y eficacia de la auditoría de sistemas de información, los auditores de sistemas de información deben. Inspección y evaluación integrales de sistemas de información centrados en computadoras desde un punto de vista objetivo de terceros; en segundo lugar, la auditoría de sistemas de información incluye no solo la auditoría de las instalaciones físicas que operan el sistema de información, sino también el entorno operativo y los controles internos, en tercer lugar, las características de gestión; : La auditoría de sistemas de información permite a las empresas utilizar eficientemente los recursos organizacionales y lograr eficazmente los objetivos organizacionales mediante la evaluación de la seguridad, confiabilidad y efectividad de los sistemas de información.
3. La diferencia y la conexión entre la auditoría de sistemas de información y la auditoría tradicional
La auditoría de sistemas de información es parte de la auditoría tradicional y se basa en la teoría de la auditoría tradicional. Existen estrechas conexiones entre ellas. , pero también hay ciertas diferencias. La conexión entre los dos es: la auditoría de sistemas de información hereda las teorías y métodos básicos de la auditoría tradicional y es la misma que la auditoría tradicional. En términos de postura, los auditores de sistemas de información deben adoptar una postura independiente y obtener evidencia de auditoría objetiva seleccionando objetos de auditoría específicos y utilizando métodos como investigación, inspección, análisis, simulación y pruebas para juzgar su cumplimiento con los estándares establecidos. En términos de procedimientos, la auditoría del sistema de información generalmente también necesita pasar por las etapas principales del plan de auditoría, prueba de cumplimiento y prueba sustantiva, informe de auditoría, etc. para realizar el trabajo de auditoría y lograr los objetivos de la auditoría. La diferencia entre los dos también es obvia. reflejado principalmente en: primero, el objeto de auditoría de los sistemas de información es diferente del campo financiero de la auditoría tradicional, pero los sistemas de información, incluida la infraestructura, la gestión de software y hardware, la seguridad de la información, la gestión de redes y comunicaciones, etc. En segundo lugar, la auditoría de sistemas de información propone Más métodos de auditoría y procedimientos de auditoría, estos no están disponibles en las auditorías tradicionales. Por ejemplo, cuando se audita un determinado software, se debe utilizar una prueba altamente técnica y cuando se audita la seguridad de la red, se debe utilizar una prueba de penetración (simulando a un hacker). realizar varios ataques para verificar su seguridad); en tercer lugar, la auditoría del sistema de información no es solo una auditoría posterior al evento, sino que se centra principalmente en el estado operativo actual del sistema. En algunos casos, participa directamente en el proceso de desarrollo o cambio del mismo. proyecto para garantizar que se implementen controles suficientes sin problemas, finalmente, el sistema de información El valor de consultoría de la auditoría parece ser mayor y los riesgos de la informatización son muy altos. Los auditores de sistemas de información pueden confiar en su conocimiento profesional y experiencia práctica; Servir activamente a los gerentes de las unidades auditadas o su personal comercial en el proceso de informatización empresarial, ayudar a las empresas a establecer y mejorar los sistemas de control interno, realizar diagnósticos de sistemas, determinar los objetivos y el contenido de la informatización de acuerdo con las necesidades de la empresa y seleccionar los sistemas de información apropiados. .
4. Establecer un sistema de auditoría de sistemas de información que se ajuste a la realidad de mi país lo antes posible.
Nuestro país aún no ha formado un sistema completo para la auditoría de sistemas de información. Sin embargo, en los últimos años, basándose en el aprendizaje de la experiencia relevante en auditorías de sistemas de información extranjeros, la Oficina Nacional de Auditoría ha logrado ciertos resultados en el uso de sistemas de información computarizados para realizar trabajos de auditoría: (1) Llevar a cabo auditorías integrales de datos electrónicos, incluyendo datos electrónicos contables y datos electrónicos de gestión empresarial. Los métodos específicos adoptados son: 1. Revisión precisa. Utilice computadoras para revisar con precisión diversos datos. No solo puede revisar de manera integral los estados contables y los estados resumidos de las instituciones consolidadas bajo su jurisdicción, sino que también puede verificar paso a paso desde el diario contable hasta el libro mayor. con datos de estados contables; realizar revisión; 2. Preparar programas informáticos para ayudar en los cálculos. Se pueden compilar programas de computadora para calcular elementos con relaciones proporcionales y luego compararlos con registros reales para descubrir los registros que causan diferencias. 3. Examinar y consultar algunos registros y transacciones contables anormales para proporcionar a los auditores pistas de auditoría, principalmente realizar análisis de detección basados en; sobre una determinada característica y analizar pistas de problemas sospechosos desde diferentes ángulos. (2) Realizar una evaluación preliminar de la confiabilidad y control interno del sistema de información de la unidad auditada.
Principalmente: 1. Investigar principalmente el alcance del uso del sistema de información, la seguridad de la red y el respaldo de datos para garantizar la seguridad e integridad de los datos financieros del sistema de información; 2. Realizar una investigación preliminar y una evaluación del control interno del sistema de información; , centrándose en si la gestión de autoridad, la configuración de la tabla de parámetros y el control de modificaciones son efectivos, si los usuarios del sistema de información y los desarrolladores del sistema están separados, si la unidad auditada implementa el control correspondiente sobre los datos originales ingresados en la transacción, el flujo de datos y negocios del sistema de información Si el proceso es consistente 3. Analizar las causas de algunos eventos importantes a través de registros del sistema y otros archivos, y analizar el impacto en el sistema de información general; Sin embargo, nuestro país aún se encuentra en la etapa exploratoria para llevar a cabo una auditoría integral del sistema de información con el fin de proporcionar sugerencias de auditoría más valiosas para las unidades auditadas, servir mejor a las unidades a auditar y garantizar que el sistema de información pueda alcanzar efectivamente los objetivos. de la empresa (unidad) El objetivo es establecer un sistema de auditoría de sistemas de información acorde a la realidad de mi país lo más pronto posible en nuestro país.