信息系统审计系统的建立方法和系统技术方案

本发明专利技术公开一种信息系统审计策略的建立方法，该建立方法包含：审计对象信息系统现状评估；信息系统审计策略制定；信息化审计组织保障体系制定；实施信息化内控和审计。本发明专利技术编制了一套适合审计对象信息化特点的内控、审计管理体系及开展相关管理机制的顶层设计；完成对审计对象信息化项目需求和可行性研究报告开展包括需求、可行性、概算等的项目评估，结合审计管理体系规范要求，评估其优先级和合理性，对于提升审计对象内部管控水平，满足业务和管理对信息系统建设的要求以及满足外部监管的要求，促进信息系统符合外部规范的要求都具有指导意义和实用价值。

Method and system for establishing information system auditing system

The invention discloses a method for establishing the information system audit strategy, the method includes: audit status information system evaluation; formulates audit strategy information system; establish information audit organization system; the implementation of internal control and audit information. The present invention developed top-level design a suitable audit object information characteristics of internal control and audit management system and carry out the relevant management mechanism; implement include the requirement, feasibility, budget and other projects to assess the audit object information needs of the project and feasibility study report, combined with the audit management system requirements, evaluate its priority and rationality, to promote the internal audit object management level, to meet the requirements of business and management of the information system construction and meet the requirements of external supervision, promote information system with external standard has guiding significance and practical value.

【技术实现步骤摘要】
信息系统审计系统的建立方法和系统
本专利技术涉及信息审计技术，具体涉及一种信息系统的审计系统及建立方法和系统。
技术介绍
IT审计业务在国外已经有比较成熟的发展，各大跨国企业除了内部会设置“IT审计控制”的岗位外，还会请专业机构进行独立IT审计工作，以确保IT投资、IT建设、IT运行的有效性和安全性。国内由于企业信息化起步较晚，基础较薄弱，因此IT审计开展和发展也比较缓慢。最近几年，随着企业信息化在我国的飞速发展，信息系统日益复杂化和核心化，企业对于信息系统建设和运行的有效性和安全性越来越重视，因此IT审计的业务势必成为行业的新宠，在这个领域的投入，不论对企业还是个人，都可能会有较好的前景和收益。随着国内企业信息技术和网络技术的广泛应用，公司信息系统的应用渗透到生产经营管理的方方面面，公司对信息系统的依赖也越来越强，公司的生产管理、经营管理、财务管理、人力资源管理等各个方面都通过信息系统进行数据处理和信息传递，信息系统日渐成为企业生产、运营、管理活动中不可缺少的“基础设施”。就在信息系统为整个工作提供便利，满足企业社会服务需求的同时，信息系统自身的结构、功能复杂度越来越高，使得信息系统本身由于复杂度增大导致的系统脆弱性隐患变得越发严重。对信息系统进行错误操作、滥用、不正当使用导致的严重问题的风险越来越凸显，因此，信息系统的安全性愈来愈为社会所关注，研究和开发适合国内大型企业的IT审计体系显得迫切而必要。
技术实现思路
本专利技术提供一种信息系统的审计系统及建立方法和系统，实现电网系统的信息系统的控制与审计评估。为实现上述目的，本专利技术提供一种信息系统审计策略的建立方法，其特点是，该建立方法包含：S1、审计对象信息系统现状评估；S2、信息系统审计策略制定；S3、信息化审计组织保障体系制定；S4、实施信息化内控和审计。上述信息系统现状评估包含：评估分析审计对象信息技术治理机制的运行绩效；评估分析信息系统的基本情况；评估审计对象信息化控制情况；识别审计涉及的区域和系统的优先级。上述评估分析审计对象信息技术治理机制的运行绩效包含：分析审计对象现有的信息化特点，进行信息化建设的IT治理模型分析；分析现有IT治理模型的推进的关键成功因素、IT治理成熟度模型、关键目标指标、关键绩效指标；依据IT治理成熟度模型评估审计对象IT治理机制的运行绩效，评估公司的信息化的规范状况和运行绩效。上述评估审计对象信息化控制情况包含：根据审计对象的范围和环境，对信息系统内控审计的一般控制和应用控制进行评估；通过内控制度的审计，实现对系统的预防性控制，检查性控制和纠正性控制；预防性控制通常用于正常业务流程的每一项交易，以防止错报的发生；建立检查性控制的目的是发现流程中可能发生的错报，审计对象通过检查性控制，监督其流程和相应的预防性控制能否有效地发挥作用；评估审计对象的质量管理体系，若不合格则采用纠正措施消除不合格产生的原因，并审查所采取的纠正措施是否有效。上述一般控制包含组织控制、操作控制、硬件及系统软件控制和系统安全控制。上述信息系统审计策略制定方法包含：以CobiT的IT处理过程为模版，结合审计对象的业务流程和信息系统的具体情况，建立基于审计对象要求的若干IT流程；提出每个IT流程的控制目标，并将其细化到任务活动的控制目标，使得每一个IT活动都有具体的控制标准；建立审计对象信息化审计策略。上述信息系统审计策略指定包含：信息系统建设实施计划和信息化运维计划；信息系统建设实施计划包含：计划工作和建设工作，结合现有的信息化建设的工作流程、工作节点和审计要点，定义各个阶段和工作节点的事前、事中、事后的审计管理操作标准；信息化运维计划细分为对运行阶段的审计和对维护阶段的审计。上述信息化审计组织保障体系制定方法包含：建立并形成内部单位参与审计的入围标准；在入围标准基础上，以内部单位为主、外部资源为辅的信息化审计组织保障体系方案；研究并参照分析现有的内部审计部门结构与岗位设置，保障信息系统审计。上述实施信息化内控和审计包含：设计信息系统建设监理机制并实施；研究并推行风险导向，设计合理的信息系统审计管理模式；在信息化投资管理领域按照信息化审计体系进行评估工作。一种信息系统审计策略的建立系统，其特点是，该系统包含：现状评估模块，其审计对象信息系统现状评估；审计策略指定模块，其连接现状评估模块的输出，制定信息系统审计策略；保障体系制定模块，其连接审计策略指定模块的输出，制定信息化审计组织保障体系；审计策略实施模块，其连接保障体系制定模块的输出，实施信息化内控和审计。本专利技术信息系统审计系统的建立方法和系统和现有技术相比，其优点在于，本专利技术研究和编制了一套完整的、适合审计对象信息化特点的内控、审计管理体系及开展相关管理机制的顶层设计；完成了对审计对象信息化项目需求和可行性研究报告开展包括需求、可行性、概算等的项目评估，结合审计管理体系规范要求，评估其优先级和合理性，对于提升审计对象内部管控水平，满足业务和管理对信息系统建设的要求以及满足外部监管的要求，促进信息系统符合外部规范的要求两个方面都具有指导意义和实用价值。附图说明图1为本专利技术信息系统审计系统的建立方法的流程图。具体实施方式以下结合附图，进一步说明本专利技术的具体实施例。如图1所示，为本专利技术公开的一种信息系统审计策略的建立方法的实施例。该方法包含：S1、信息系统现状评估，包含：评估分析审计对象信息治理机制的运行绩效、评估分析信息系统的基本情况、评估审计对象信息化控制情况、识别审计涉及的区域和系统的优先级。S1.1、评估分析审计对象（例如企业等）信息技术治理机制的运行绩效。信息技术治理最主要就是使参与信息化过程的各方利益最大化的制度措施。明确有关信息技术决策权的归属机制和有关信息技术责任的承担机制，以鼓励信息技术应用的期望行为的产生，以联接战略目标、业务目标和信息技术目标，从而使审计对象从信息技术中获得最大的价值。针对审计对象的特点，信息系统包含例如SAP、ERP、PMS、CMS等大规模系统，分析现有审计对象统建多系统的信息化特点，结合审计对象SG-ERP模型的具体要求，进行审计对象信息化建设的IT治理模型分析。研究现有信息技术（IT）治理模式的推进是否按照追截实践开展，如关键成功因素、成熟度模型、关键目标指标、关键绩效指标。依据IT治理成熟度模型评估审计对象IT治理机制的运行绩效，评估审计对象的信息化相关工作的规范状况和运行绩效。其中，IT治理成熟度是测量发展程度的一种方法，按照审计对象信息化管理发展需求，评估现有的IT治理成熟度等级。通过对IT治理成熟度模型等级的评估，有助于研究和分析现有IT管理存在的缺陷，并把他们组织的控制惯例与最佳惯例对照起来，从而确定组织的发展目标。S1.2、评估分析系统的基本情况。调研审计对象信息在用及在建包括了自建、成熟套装软件等在内的系统基本情况，分析信息系统的主要子系统组成、运营环境、运行年限、已经采用的主要控制手段等，初步评估相应系统是否需要在后期进行必要审计和内控管理，明确开展IT审计的难度，所需时间以及人员配备情况等。对现有在用、在建系统的复杂性评估、评估现有管理层对审计的态度、内部控制的状况、以前内控和审计的状况、审计难点与重点。形成审计对象在用信息系统评估属本文档来自技高网...

【技术保护点】
一种信息系统审计策略的建立方法，其特征在于，该建立方法包含：S1、审计对象信息系统现状评估；S2、信息系统审计策略制定；S3、信息化审计组织保障体系制定；S4、实施信息化内控和审计。

【技术特征摘要】
1.一种信息系统审计策略的建立方法，其特征在于，该建立方法包含：S1、审计对象信息系统现状评估；S2、信息系统审计策略制定；S3、信息化审计组织保障体系制定；S4、实施信息化内控和审计。2.如权利要求1所述的信息系统审计策略的建立方法，其特征在于，所述信息系统现状评估包含：评估分析审计对象信息技术治理机制的运行绩效；评估分析信息系统的基本情况；评估审计对象信息化控制情况；识别审计涉及的区域和系统的优先级。3.如权利要求2所述的信息系统审计策略的建立方法，其特征在于，所述评估分析审计对象信息技术治理机制的运行绩效包含：分析审计对象现有的信息化特点，进行信息化建设的IT治理模型分析；分析现有IT治理模型的推进的关键成功因素、IT治理成熟度模型、关键目标指标、关键绩效指标；依据IT治理成熟度模型评估审计对象IT治理机制的运行绩效，评估公司的信息化的规范状况和运行绩效。4.如权利要求2所述的信息系统审计策略的建立方法，其特征在于，所述评估审计对象信息化控制情况包含：根据审计对象的范围和环境，对信息系统内控审计的一般控制和应用控制进行评估；通过内控制度的审计，实现对系统的预防性控制，检查性控制和纠正性控制；预防性控制通常用于正常业务流程的每一项交易，以防止错报的发生；建立检查性控制的目的是发现流程中可能发生的错报，审计对象通过检查性控制，监督其流程和相应的预防性控制能否有效地发挥作用；评估审计对象的质量管理体系，若不合格则采用纠正措施消除不合格产生的原因，并审查所采取的纠正措施是否有效。5.如权利要求3所述的信息系统审计策略的建立方法，其特征在于，所述一般控制包含组织控制、操作控制、硬件及系统软件控制和系统安全控制。6.如权利要求1所述的信息系统审计策略...

【专利技术属性】
技术研发人员：朱玺，杨柳，崔颖，陈韬，裴翾，
申请(专利权)人：国网上海市电力公司，
类型：发明
国别省市：上海,31