信息系統審計的內容:
對銀行信息系統進行審計的內容主要集中在以下幾個方面:
·對信息系統的管理、規劃與組織的審計--評價組織信息系統的管理、計劃與組織方面的策略、政策、標準、程序和相關實務。
·對信息系統技術基礎設施與操作實務的審計--評價組織在技術基礎設施與操作實務的管理和實施方面的有效性及效率,以確保其充分支持組織的商業目標。
·對信息資產的保護的審計--對邏輯、環境與信息技術基礎設施的安全性進行評價,確保其支持組織保護信息資產的需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。
·對災難恢復與業務持續計劃的審計--這些計劃是在發生災難時,能夠使組織持續進行業務,對這種計劃的建立和維護流程需要進行評價。
·對應用系統開發、獲得、實施與維護的審計--對組織業務應用系統的開發、獲取、實施與維護方面所采用的方法和流程進行評價,以確保其滿足組織的業務目標。
·對IT相關業務流程的審計--評估組織業務系統與處理流程,確保根據組織的業務目標對相應風險實施管理。·與信息安全相關的人力資源管理的審計--評估與安全相關的人力資源管理政策、程序、實務,以及“信息安全,人人有責“的企業文化。信息系統審計工作可以分為兩大類:壹種是組織自行完成的內部審計,內部審計的主要目的是檢查組織各部門對安全保障制度的遵守情況,要保證內部審計師在他們能自由地和客
觀地進行工作時是獨立的,獨立性可使內部審計師提出公正和不偏不倚的判斷意見。信息系統審計執行主管應該對審計委員會、董事會或其他治理機構報告業務工作,向機構的首席執行官報告行政工作。另壹種是由會計師事務所或專業技術服務提供商完成的外部審計。外部審計通常是因為上市、並購、年終檢查或其他法規的要求而進行,壹般都很正規,也非常深入。進行信息審計的受托方應當獨立於委托方,以保證信息系統審計的客觀性與公正性。