信息技术审核
资讯科技稽核(information technology audit, ITA)或资讯系统稽核(information system audit, ISA)是指检查或验查资讯系统设施的控制。资讯科技稽核是检查和评核机构内的资讯系统的日常运作和惯例。评审会得出数据来检核该系统是会符合机构的要求,包括安全性、资料完整性、运作效率等。
资讯科技稽核在过去曾被称为自动资料处理稽核、电脑稽核或电子资料处理稽核。
目的
资讯科技稽核与财务审计并不相同。两者虽然有些相似之处,但其目的和程序并不相同。财务审计主要目的是评核机构是否符合会计守则,而资讯科技稽核主要目的是评核系统安全协定或系统效力,评核企业保护资讯科技资产和分配给认可的一方的能力。
资讯科技稽核可以归为以下数个问题:
- 机构的电脑系统是否有效地、每时每刻地提供企业所需?
- 资讯系统是否只向相关和认可人士披露有关资讯?
- 资讯系统是否能够快速地提供准确、可靠的资讯?
资讯科技稽核员主要针对决定资讯财产的风险,并进行控制和评估以减低相关风险。
资讯科技稽核类型
主要分为以下类型[1]
- 技术创新处理稽核
- 创新比较稽核
- 技术定位稽核
五类资讯科技稽核的范畴
- 系统应用
- 资讯处理设施
- 系统开发
- 资讯科技管理及企业架构
- 伺服器与工作台、通讯、内联网和外联网
亦可被统一称为‘一般控制评估’和‘应用控制评估’稽核。
资讯科技稽核过程
资讯科技稽核基本过程包括
- 计划
- 研究与评核控制
- 测试与评核控制
- 报告
- 定期复查
安全
稽核资讯安全在所有资讯科技稽核类型中均是必要的。稽核资讯安全的范畴包括数据中心、网络及应用安全。与其他技术行业一样,这些范畴会不断地改进和更新,资讯稽核员需透过不断地学习和更新他们所学的知识,来追上系统发展的步伐。
CAATs电脑稽核辅助工具
“电脑稽核辅助技术”(Computer-aided audit tools,缩写作CAAT),或作“资讯科技稽核专案”,一般会使用电脑稽核辅助工具来进行。这些工具可以协助稽核人员快速的找出相关的交易资料或是资讯系统轨迹资料(log)上的异常或违规行为。专业的CAATs工具提供了对大量资料进行资料分析的能力,因此有了这个工具的帮助下,资讯稽核师、审计师和会计师将能够提供全面性的查核分析结果,而不必如之前使用审计抽样的高风险查核方式。稽核人员要成功的使用CAATs工具,其重点是学习一个使用CAATs工具执行资料分析与查核的方法论,要记住“工具是死的”,重点是如何活用它。因此学习使用电脑稽核辅助工具来进行查核的技术(称为Computer Auditing [2])就变成相对的重要。
参考文献
- ^ (Goodman & Lawless 1994,§8)
- ^ Studying Computer Auditing,ICAEA-国际电脑稽核教育协会,加拿大, http://www.iacae.org/ (页面存档备份,存于互联网档案馆)