첫째, 정보 시스템 감사의 정의
글로벌 정보화 및 감사 이론이 발달하면서 정보 시스템 감사는 점차 사람들의 관심을 끌고 있다. 그러나 지금까지, 국제적으로 정보 시스템 감사에 대한 고정적이고 통일된 정의는 없다. ISACA 는 "정보 시스템 감사는 컴퓨터 시스템이 자산의 보안, 데이터 무결성, 조직 자원의 효율적인 활용 및 조직 목표 달성을 보장할 수 있는지 여부를 판단하는 증거 수집 및 평가 프로세스입니다" 라고 정의합니다.
론 웨버
컴퓨터 시스템 (정보 시스템) 이 자산을 효과적으로 보호하고, 데이터 무결성을 유지하고, 조직 목표를 달성하며, 자원을 가장 경제적으로 사용할 수 있는지를 판단하는 증거를 수집하고 평가하는 것으로 정의됩니다. 1985 에서 일본 통산성 정보처리개발협회 정보시스템 감사위원회는 이를' 정보시스템 감사란 감사대상과는 별개인 정보시스템 감사원이 컴퓨터 중심 정보시스템을 종합적으로 검사하고 평가하고, 관련자에게 문제와 건의를 제기하고, 시스템의 효과적인 사용과 문제 해결을 추구하며, 시스템을 더욱 건전하게 만드는 것을 말한다. 1 1 년 후 위원회는 정보 시스템 감사를 "정보 시스템 감사자가 감사 대상과는 별도로 제 3 자의 객관적인 입장에서 컴퓨터 중심 정보 시스템을 종합적으로 검토하고 평가하며 정보 시스템 감사 대상의 최고 지도부에 질문과 건의를 하는 일련의 활동" 으로 재정의했다. 따라서 정보 시스템 감사의 내용은 전자 데이터 처리뿐 아니라 재무 정보뿐 아니라 기업 전체의 정보 시스템의 신뢰성과 보안에 대한 이해와 평가도 포함됩니다. 정보 시스템의 계획, 개발, 구현, 운영 및 유지 관리를 검토하고 평가하여 정보 시스템이 안전하고 안정적이며 유효한지, 정보 시스템에서 얻은 데이터가 신뢰할 수 있고 정확한지, 데이터를 효과적으로 저장할 수 있는지 확인하는 프로세스입니다.
정보 시스템 감사 (ISA) 를 수행하는 사람을 정보 시스템 감사원 (IS) 이라고 합니다
감사원) 은 중국에서 IT 감사관이라고 불린다. ISACA 는 정보 시스템 검토자를 승인할 수 있는 세계 유일의 권위 있는 조직입니다. 시험에 합격하면 세계 각국에서 널리 인정받는 등록 정보 시스템 감사원 (CISA) 인증서를 받을 수 있다.
둘째, 정보 시스템 감사의 내용과 특성
ISACA 는 정보 시스템 감사의 주요 내용을 규정하고 있습니다: 1. 정보 시스템 감사 절차. 정보 시스템 감사 기준, 지침 및 모범 사례에 따라 정보 시스템 감사 서비스를 제공하여 기업이 정보 기술 및 운영 체제를 보호하고 통제할 수 있도록 지원합니다. 2.
IT 거버넌스 (정보 기술 거버넌스). 해당 조직이 IT 에서 기업 지배 구조를 실현할 수 있도록 적절한 구조, 정책, 직무 책임, 경영 관리 메커니즘 및 감독 관행을 갖추고 있는지 확인합니다.
요구 사항 3. 시스템 및 인프라 수명주기 관리. 시스템 개발, 조달, 테스트, 구현 (제공), 유지 관리 및 (구성) 사용, 조직의 목표 달성을 보장하는 기본 프레임워크 4. 정보 기술
서비스 제공 및 지원. IT 서비스 관리 관행은 조직의 목표를 충족시키는 데 필요한 서비스 수준과 범주를 제공합니다. 5.
정보 자산의 보호. 적절한 보안 시스템 (예: 보안 정책, 표준 및 통제 조치) 을 통해 정보 자산의 기밀성, 무결성 및 효율성을 보장합니다. 6.
재해 복구 및 무중단 업무 운영 계획. 무중단 업무 운영 (예상치 못한) 중단 (또는 파괴) 이 이루어지면 재해 복구 계획은 업무에 미치는 영향을 최소화하고 (재해) IT 서비스를 적시에 복구 (중단) 합니다.
위의 정보 시스템 감사의 정의와 내용에서 정보 시스템 감사의 몇 가지 특징을 대략적으로 요약합니다. 첫째, 독립성, 정보 시스템 감사의 공정성과 유효성을 보장하기 위해서는 정보 시스템 감사원이 제 3 자의 객관적인 입장에서 컴퓨터 중심 정보 시스템을 종합적으로 검사하고 평가해야 합니다. 두 번째는 전면적이다. 정보 시스템 감사에는 감사 정보 시스템이 운영하는 물리적 시설뿐만 아니라 운영 환경 및 내부 통제도 포함됩니다. 셋째, 관리 특성 정보 시스템 감사는 정보 시스템의 보안, 신뢰성 및 효율성을 평가하여 기업이 조직의 자원을 효율적으로 활용하고 조직 목표를 효과적으로 달성할 수 있도록 합니다.
셋째, 정보 시스템 감사와 전통적인 감사의 차이점과 연계
정보 시스템 감사는 전통적인 감사의 일부이며 전통적인 감사 이론에 기반을 두고 있다. 양자는 관계가 밀접하지만 약간의 차이가 있다. 이들 사이의 연결은 정보 시스템 감사가 전통적인 감사와 마찬가지로 전통적인 감사의 기본 이론과 방법을 계승한다는 것입니다. 입장에서는 정보 시스템 감사원이 독립적인 입장에서 특정 감사 대상을 선택하도록 요구하고, 문의, 검사, 분석, 시뮬레이션, 테스트 등의 수단을 통해 객관적인 감사 증거를 얻어서 정해진 기준에 부합되는 정도를 판단할 것을 요구한다. 절차상 정보 시스템 감사는 일반적으로 감사 계획, 준수 테스트 및 실질적인 테스트, 감사 보고서 등의 주요 단계를 거쳐야만 감사 목표를 달성할 수 있습니다. 이 둘의 차이점도 분명합니다. 첫째, 정보 시스템의 감사 대상은 기존의 금융 분야와는 다르지만 인프라, 하드웨어 및 소프트웨어 관리, 정보 보안, 네트워크 관리 및 통신을 포함한 정보 시스템입니다. 둘째, 정보 시스템 감사는 전통적인 감사에서는 볼 수 없는 더 많은 감사 방법과 절차를 제시합니다. 예를 들어, 소프트웨어를 감사하려면 상당한 첨단 기술 테스트, 네트워크 보안 감사, 침투 테스트 (해커의 다양한 공격 시뮬레이션, 보안 검증) 가 필요합니다. 다시 한 번, 정보 시스템 감사는 사후 감사뿐만 아니라 시스템의 운영 상태에 초점을 맞추고 있습니다. 경우에 따라 프로젝트 개발 또는 변경 프로세스에 직접 참여하여 완벽하게 통제되는 원활한 구현을 보장합니다. 마지막으로, 정보 시스템 감사의 컨설팅 가치는 더 높고 정보화의 위험은 크다. 정보 시스템 감사인은 자신의 전문 지식과 실무 경험을 바탕으로 감사 대상 기관의 경영진 또는 업무 인력에게 의뢰하거나 적극적으로 서비스를 제공할 수 있으며, 기업이 내부 통제 제도를 수립하고 보완하고 시스템 진단을 수행할 수 있도록 지원합니다. 기업의 요구에 따라 정보화의 목표와 내용을 결정하고 적절한 정보 시스템을 선택하다.
넷째, 가능한 한 빨리 우리나라의 실제 상황에 부합하는 정보 시스템 감사 제도를 수립한다.
우리나라는 정보시스템 감사 방면에서 아직 완전한 체계를 형성하지 못했다. 그러나 최근 몇 년 동안, 외국 감사 정보 시스템의 경험을 바탕으로, 감사 위원회는 감사 작업을 수행 하기 위해 컴퓨터 정보 시스템을 사용 하 여 몇 가지 업적을 만들었습니다: (1) 회계 전자 데이터 및 관리 전자 데이터를 포함 한 전자 데이터의 포괄적인 감사: (1). 구체적인 방법은 1 입니다. 정확한 검토. 컴퓨터를 사용하여 모든 종류의 데이터를 정확하게 확인할 수 있습니다. 관할 통합 기관의 회계 보고서 및 요약 보고서, 회계 분개에서 총계정 원장에 이르기까지 모든 종류의 데이터를 전체적으로 확인할 수 있을 뿐만 아니라 업무 관리 데이터 및 회계 보고 데이터도 확인할 수 있습니다. 2. 보조 계산을 위한 컴퓨터 프로그램을 준비합니다. 컴퓨터 프로그램을 컴파일하고 비례 항목을 계산한 다음 실제 레코드와 비교하여 차이를 발생시킨 레코드를 찾을 수 있습니다. 3. 감사인에게 감사 추적을 제공하기 위해 비정상적인 회계 기록과 거래를 필터링하고 질의합니다. 주로 특정 특성에 따라 의심스러운 단서를 다른 각도에서 분석합니다. (b) 감사 대상 단위 정보 시스템의 신뢰성과 내부 통제에 대한 예비 평가를 한다. 주로 1 입니다.
주로 정보 시스템의 사용 범위, 네트워크 보안, 데이터 백업 등을 조사합니다. , 정보 시스템 재무 데이터의 안전과 무결성을 보장합니다. 2. 권한 관리, 매개변수 테이블 설정 및 수정 제어가 유효한지 여부, 정보 시스템 사용자가 시스템 개발자와 분리되어 있는지 여부, 감사 단위가 거래에 입력된 원본 데이터를 적절히 통제할지 여부, 정보 시스템의 데이터 흐름이 비즈니스 프로세스와 일치하는지 여부에 초점을 맞춘 정보 시스템 내부 통제에 대한 예비 조사 및 평가를 수행합니다. 3. 시스템 로그와 같은 파일을 통해 주요 사건의 원인을 분석하고 전체 정보 시스템에 미치는 영향을 분석합니다. 그러나, 우리나라가 전면적으로 정보 시스템 감사를 전개하는 것은 여전히 탐사 단계에 있다. 감사 기관에 더 가치 있는 감사 건의를 제기하고, 감사 기관에 더 잘 봉사하고, 정보 시스템이 기업 (단위) 의 목표를 효과적으로 달성할 수 있도록 하기 위해, 우리 나라는 가능한 한 빨리 우리나라의 실제 상황에 부합하는 정보 시스템 감사 체계를 세워야 한다.