❶ 信息系統審計應當採用的審計方法是以什麼為基礎
信息系統審計是一個獲取並評價證據,以判斷計算機系統是否能夠保證資產的安全、數據的完整,以及有效率地利用組織的資源並有效果地實現組織目標的過程。由於信息技術在經營、管理領域的廣泛運用,信息系統審計已經貫穿在各種審計之中,成為審計全過程的一部分。信息系統審計的內容:對銀行信息系統進行審計的內容主要集中在以下幾個方面:·對信息系統的管理、規劃與組織的審計--評價組織信息系統的管理、計劃與組織方面的策略、政策、標准、程序和相關實務。·對信息系統技術基礎設施與操作實務的審計--評價組織在技術基礎設施與操作實務的管理和實施方面的有效性及效率,以確保其充分支持組織的商業目標。·對信息資產的保護的審計--對邏輯、環境與信息技術基礎設施的安全性進行評價,確保其支持組織保護信息資產的需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。·對災難恢復與業務持續計劃的審計--這些計劃是在發生災難時,能夠使組織持續進行業務,對這種計劃的建立和維護流程需要進行評價。·對應用系統開發、獲得、實施與維護的審計--對組織業務應用系統的開發、獲取、實施與維護方面所採用的方法和流程進行評價,以確保其滿足組織的業務目標。·對IT相關業務流程的審計--評估組織業務系統與處理流程,確保根據組織的業務目標對相應風險實施管理。·與信息安全相關的人力資源管理的審計--評估與安全相關的人力資源管理政策、程序、實務,以及「信息安全,人人有責「的文化。信息系統審計工作可以分為兩大類:一種是組織自行完成的內部審計,內部審計的主要目的是檢查組織各部門對安全保障制度的遵守情況,要保證內部審計師在他們能自由地和客觀地進行工作時是獨立的,獨立性可使內部審計師提出公正和不偏不倚的判斷意見。信息系統審計執行主管應該對審計委員會、董事會或其他治理報告業務工作,向的首席執行官報告行政工作。另一種是由會計師事務所或專業技術服務提供商完成的外部審計。外部審計通常是因為上市、並購、年終檢查或其他法規的要求而進行,一般都很正規,也非常深入。進行信息審計的受託方應當獨立於委託方,以保證信息系統審計的客觀性與公正性。
❷ 什麼是信息系統審計
審計信息化是指內部審計組織以信息技術為手段,組織計劃審計項目、實施審計的全過程,以及以確認審計風險或評價企業信息戰略、優化組織運營為目標,對組織營運所依賴的信息系統進行獨立的、客觀的確認和咨詢活動。
基本原則:
1.客觀性原則。各地有各地的情況,每個審計機關也都有各自的情況,搞審計信息化要從客觀實際和現實需求出發,當前最重要的是要防止貪大求全和「一窩蜂」。要做人力、物力和財力范圍內的事,做到立足現實和長遠打算相結合。
2.重在應用原則。走審計信息化之路、目的是適應信息化社會的發展,更好的發揮審計免疫系統的功能,只有充分將其應用到審計實踐中才能達到這一目的,否則搞再多的軟硬體設施、裝備都是擺設。
3.開放性原則。金審工程的成果目前正在全面推廣,這是審計信息化工作的統一要求,但各地審計機關在審計信息化工作中形成的有特色的工作方法、經驗和成果應當予以繼承和發展,不應輕易放棄,要鼓勵「八仙過海、各顯神通」。
4.全員參與原則。審計信息化涉及全部審計人員,在這場審計技術變革中,沒有人可以作壁上觀,否則就將失去審計的資格。
必然性:
1.審計信息化是審計技術創新的最重要方面。從免疫過程看,發揮免疫作用的前提條件是免疫識別。審計要發揮「免疫系統」功能,首先要進行審計「免疫識別」。而審計「免疫識別」離不開先進的審計技術方法。就如同傳統「望、聞、問、切」診療方法發展到各種高科技診療方法一樣。隨著信息技術的快速發展,傳統手工條件下的審計技術遇到了來自計算機技術的嚴竣挑戰。審計對象的信息化要求審計手段必須信息化,否則審計人員面臨進不了門、打不開賬的無奈局面。
2.信息化審計手段的固有優勢與「免疫系統」功能的特點相吻合。審計真正發揮「免疫系統」功能,其產生的作用與常規監督性審計的作用是有區別的,集中體現在「三性」上,一是宏觀性,傳統審計關注的都是某個具體的受託責任關系,而審計免疫系統論關注的則是整個社會經濟系統中的受託責任關系。
❸ 誰能提供一份信息系統審計案例
信息系統審計是一個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面作出判斷的過程。我們是前年是找北京時代新威信息技術有限公司做的,可以到網站看哈,應該能找到信息系統審計案例。信息系統審計過程與一般審計過程一樣,分為准備階段、實施階段和報告階段。
其中,准備階段和報告階段所涉及的技術方法與財務審計所運用的技術方法區別不大,而實施階段所涉及的技術方法則具有信息技術的特色。在實施階段,針對被審計的信息系統,審計人員所開展的工作可以分為三個層次,即了解、描述和測試。
計算機信息系統環境下審計技術方法與手工環境下傳統的審計技術方法相比,相應增加了計算機技術的內容。對信息系統審計的方法既包括一般方法即手工方法,也包括應用計算機審計的方法。
信息系統審計的一般方法主要用於對信息系統的了解和描述,包括:面談法、系統文檔審閱法、觀察法、計算機系統文字描述法、表格描述法、圖形描述法等。
應用計算機的方法一般用於對信息系統的控制測試,包括:測試數據法、平行模擬法、在線連續審計技術(通過嵌入審計模塊實現)、綜合測試法、受控處理法和受控再處理法等。應用計算機技術的審計方法主要是指計算機輔助審計技術與工具的運用。
但不能把計算機輔助審計技術與工具的使用過程與信息系統審計等同起來。在信息系統審計的過程中,仍然需要運用大量的手工審計技術。
❹ 信息系統審計方法了解嗎
計算機信息系統環境下審計技術方法與手工環境下傳統的審計技術方法相比,相應增加了計算機技術的內容。對信息系統審計的方法既包括一般方法即手工方法,也包括應用計算機審計的方法。例如,北京時代新威信息技術有限公司以信息系統審計服務、信息系統審計工具研發和信息系統審計師培訓為核心業務是信息系統審計解決方案提供商,信息系統審計的一般方法主要用於對信息系統的了解和描述,包括:面談法、系統文檔審閱法、觀察法、計算機系統文字描述法、表格描述法、圖形描述法等。應用計算機的方法一般用於對信息系統的控制測試,包括:測試數據法、平行模擬法、在線連續審計技術(通過嵌入審計模塊實現)、綜合測試法、受控處理法和受控再處理法等。應用計算機技術的審計方法主要是指計算機輔助審計技術與工具的運用。但不能把計算機輔助審計技術與工具的使用過程與信息系統審計等同起來。在信息系統審計的過程中,仍然需要運用大量的手工審計技術。
❺ 哪家機構可以做信息系統審計
取得CISA認證的國際注冊信息系統審計師,可以做信息系統審計。
擴展閱讀:
信息系統審計是一個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面作出判斷的過程。
信息系統審計過程與一般審計過程一樣,分為准備階段、實施階段和報告階段。其中,准備階段和報告階段所涉及的技術方法與財務審計所運用的技術方法區別不大,而實施階段所涉及的技術方法則具有信息技術的特色。在實施階段,針對被審計的信息系統,審計人員所開展的工作可以分為三個層次,即了解、描述和測試。
計算機信息系統環境下審計技術方法與手工環境下傳統的審計技術方法相比,相應增加了計算機技術的內容。對信息系統審計的方法既包括一般方法即手工方法,也包括應用計算機審計的方法。信息系統審計的一般方法主要用於對信息系統的了解和描述,包括:面談法、系統文檔審閱法、觀察法、計算機系統文字描述法、表格描述法、圖形描述法等。應用計算機的方法一般用於對信息系統的控制測試,包括:測試數據法、平行模擬法、在線連續審計技術(通過嵌入審計模塊實現)、綜合測試法、受控處理法和受控再處理法等。應用計算機技術的審計方法主要是指計算機輔助審計技術與工具的運用。但不能把計算機輔助審計技術與工具的使用過程與信息系統審計等同起來。在信息系統審計的過程中,仍然需要運用大量的手工審計技術。
❻ 為什麼要對信息系統應用程序進行審計
信息系統審計是一個獲取並評價證據,以判斷計算機系統是否能夠保證資產的安全、數據的完整,以及有效率地利用組織的資源並有效果地實現組織目標的過程。由於信息技術在經營、管理領域的廣泛運用,信息系統審計已經貫穿在各種審計之中,成為審計全過程的一部分。信息系統審計的內容:對銀行信息系統進行審計的內容主要集中在以下幾個方面:·對信息系統的管理、規劃與組織的審計--評價組織信息系統的管理、計劃與組織方面的策略、政策、標准、程序和相關實務。·對信息系統技術基礎設施與操作實務的審計--評價組織在技術基礎設施與操作實務的管理和實施方面的有效性及效率,以確保其充分支持組織的商業目標。·對信息資產的保護的審計--對邏輯、環境與信息技術基礎設施的安全性進行評價,確保其支持組織保護信息資產的需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。·對災難恢復與業務持續計劃的審計--這些計劃是在發生災難時,能夠使組織持續進行業務,對這種計劃的建立和維護流程需要進行評價。·對應用系統開發、獲得、實施與維護的審計--對組織業務應用系統的開發、獲取、實施與維護方面所採用的方法和流程進行評價,以確保其滿足組織的業務目標。·對IT相關業務流程的審計--評估組織業務系統與處理流程,確保根據組織的業務目標對相應風險實施管理。·與信息安全相關的人力資源管理的審計--評估與安全相關的人力資源管理政策、程序、實務,以及「信息安全,人人有責「的企業文化。信息系統審計工作可以分為兩大類:一種是組織自行完成的內部審計,內部審計的主要目的是檢查組織各部門對安全保障制度的遵守情況,要保證內部審計師在他們能自由地和客觀地進行工作時是獨立的,獨立性可使內部審計師提出公正和不偏不倚的判斷意見。信息系統審計執行主管應該對審計委員會、董事會或其他治理機構報告業務工作,向機構的首席執行官報告行政工作。另一種是由會計師事務所或專業技術服務提供商完成的外部審計。外部審計通常是因為上市、並購、年終檢查或其他法規的要求而進行,一般都很正規,也非常深入。進行信息審計的受託方應當獨立於委託方,以保證信息系統審計的客觀性與公正性。
❼ 如何開展信息系統審計
該審計步驟用來將控制目標下的相關活動用文檔記錄下來,對組織聲稱已實施的控制措施與程序進行識別,並且確認其存在。
與相關的管理者和員工進行會見,以理解:
業務需求好相關的風險;
組織結構;
角色和職責;
政策和程序;
法律和法規;
已有的控制措施;
管理報告(狀態、性能、行動項目)。
用文檔記錄與過程相關的IT資源,特別是那些被審計的IT流程所影響的IT資源。確認理解了審核的過程、過程的關鍵性能指標(KPI)、實際的控制狀況。例如,可以通過對過程的抽查來進行了解。
該審計步驟用來評估當前已有控制措施的有效性或達到控制目標的程度,主要是決定測試什麼、是否測試及如何測試的問題。
通過對比已確定的標准及行業最佳實踐、控制方法的關鍵成功要素(CSF)和利用審計師的職業判斷,來評價待審核過程所應用的控制措施的適宜性。
存在已文檔化的過程
存在適宜的輸出
職責和責任是明確的、有效的
在必要時,存在補償控制
對實現控制目標的程度做出結論。
該審計步驟用來確定已建立的控制措施是按組織規定的方式,持續地、一致地在起作用,並且對控制環境的適宜性做出結論。 ·得到所選項目和階段的直接或間接的證據,使用直接和間接的證據來保證待審核的項目和階段一直遵守相關控製程序的要求。
對過程輸出結果的充分性進行有限的審核。
為了證明IT流程是分的,確定需要進行實質性測試的程度和其他需要進行的工作。
該審計步驟通過使用分析技術和可選的咨詢資源,證實控制目標沒有被實現時所帶來的風險。目標是支持其審計判斷,並督促管理者採取行動。審計師要創造性地尋找和提出通常是敏感的和機密的信息。
用文檔記錄下控制弱點及其引起的威脅和漏洞。
識別並記錄實際的影響和潛在的影響,例如,利用因果分析的方法。 ·提供比較信息。例如,通過基準比較的方法。
❽ 信息系統功能審計主要有哪些方法,工作原理如何
信息系統審計是一個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面作出判斷的過程。
信息系統審計的方法
信息系統審計過程與一般審計過程一樣,分為准備階段、實施階段和報告階段。其中,准備階段和報告階段所涉及的技術方法與財務審計所運用的技術方法區別不大,而實施階段所涉及的技術方法則具有信息技術的特色。在實施階段,針對被審計的信息系統,審計人員所開展的工作可以分為三個層次,即了解、描述和測試。
計算機信息系統環境下審計技術方法與手工環境下傳統的審計技術方法相比,相應增加了計算機技術的內容。對信息系統審計的方法既包括一般方法即手工方法,也包括應用計算機審計的方法。信息系統審計的一般方法主要用於對信息系統的了解和描述,包括:面談法、系統文檔審閱法、觀察法、計算機系統文字描述法、表格描述法、圖形描述法等。應用計算機的方法一般用於對信息系統的控制測試,包括:測試數據法、平行模擬法、在線連續審計技術(通過嵌入審計模塊實現)、綜合測試法、受控處理法和受控再處理法等。應用計算機技術的審計方法主要是指計算機輔助審計技術與工具的運用。但不能把計算機輔助審計技術與工具的使用過程與信息系統審計等同起來。在信息系統審計的過程中,仍然需要運用大量的手工審計技術。
信息系統審計應關注的重點環節
1.數據環節
在審計中,必須使用一種方法能夠向前、向後追蹤單個交易和資產記錄,以便使審計人員選擇一些交易對其進行詳細檢查,確認交易記錄是否符合一般的審計目標。如對會計事項信息的檢查,要檢查它的完整性、時效性、合規性和信息披露等方面,檢查內容包括與本會計年度有關的交易是否全部記錄在冊;所有記錄的交易是否都是合理發生的並與本會計年度有關;記錄的交易是否數據准確,計算無誤:記錄的交易是否符合基本的和輔助的法律規定,符合特定權威機構的要求;對記錄的交易是否進行正確的分類,並符合信息對外披露的要求等。對財務報表信息的檢查,要檢查完整性、存在性、會計計量、所有權以及信息披露等方面,檢查內容包括是否記錄了所有的資產和負債:所有記錄的資產和負債是否都是存在的;對資產和負債的計量是否精確,計算方法是否符合按合理性、一致的標准制定的會計政策的要求:確認資產是被審主體所有的、負債是被審主體應該承擔的,並且資產和負債是否由合法的經濟活動產生的;資產、負債、資本和存貨是否都得到正確的披露。同時對信息系統提供的業務信息也要進行分析,例如每月的工資總數、某階段的付款清單和訂貨信息等,要弄清基本的交易情況,並一直追蹤到信息源。對上述信息的分析可以採用計算機輔助審計技術,按照特定的標准對數據進行匯總、分類、排序、比較和選擇,並進行各種運算。
2.內部控制環節
內部控制一般而言是指組織經營管理者為了維護財產物資的安全、完整,保證會計信息的真實、可靠,保證經營管理活動的經濟性、效率性和效果性以及各項法律和規范的遵守,而對經營管理活動進行調整、檢查和制約所形成的內部管理機制,是組織為實現管理目標而形成的自律系統。計算機系統的內部控制主要分為應用控制、一般控制和管理控制等三個方面,在審計過程中要對被審計單位內控制度進行評價,包括電算化系統的內控制度。為了對系統的內控制度進行評價,審計人員必須驗證內部控制系統是否存在,並能提供令人滿意的證據,證明它正在有效地發揮作用。在計算機系統中,應檢查以下方面來證明內控制度的有效性:(1)控制系統資源的存取。包括物理資源,例如終端、伺服器、連接盒、相關文檔等;還包括邏輯資源,如軟體、系統文件和表、數據等。(2)控制系統資源的使用。用戶應該只能對授權給他們的那些資源進行操作。(3)建立按用戶職能分配資源的制度。把重要的任務功能按用戶或用戶組進行分離,以減少無意的誤操作、濫用系統資源和對數據的非授權修改。(4)記錄系統的使用情況。按時間順序建立一個使用記錄,記錄內容應包括例外事例和與安全有關的事件是由誰觸發的,財務信息的創建、修改和刪除是由誰完成的。(5)確認處理過程的准確性。用產生財務控制信息,確認處理過程的准確完成。(6)管理人員對財務信息系統的修改。應該保證財務信息系統的所有修改都是經過授權、有文檔記錄、經過徹底(獨立地)測試的,確認最後以一種有控制的方式投入使用。(7)保護財務信息系統免遭計算機病毒的襲擊。必須建立一套控制措施,檢測病毒,防止病毒感染財務信息系統。
3.數據傳輸轉移環節
在信息系統中,有些數據需要在兩個財務信息系統或財務信息系統與業務信息系統之間相互轉移,在此過程中可能會出現一些問題,尤其是在需要手工重新錄入時。因此在審計時要重點關注以下方面:在轉移過程中數據可能會發生變化;新的科目代碼表與老的可能不一樣,需要在兩個財務信息系統之間建立復雜的對應關系:中心資料庫可能被一些地理上分散的伺服器取代;當前財務信息系統中的數據質量不佳;當用一個總的信息系統取代一個預定財務信息系統時,需要補充許多新的數據。在檢查這一環節時,一定要保證輸出的消息是經過批准、完整和精確的,保證輸出的消息在約定時間內准確地發送給指定的接收者,保證流人的消息是完整、准確和真實可靠的。
信息系統審計案例分析
2006年,在對某酒店開展的審計中,對酒店信息系統的安全性、可靠性進行了測試。測試結果發現信息系統在數據傳輸和運算上存在錯誤,通過數據驗證,證明錯誤產生的原因是由信息系統本身缺陷造成的。上述審計結果得到了被審計單位的認可,促使被審計單位更換了信息系統,提高了計算機管理水平。
這次審計之所以能取得一定的效果,主要是注意從數據和內控制度入手,利用計算機輔助審計技術和手工審計技術相結合開展信息系統審計。(1)在數據環節上,信息系統審計和數據審計對系統數據的利用角度是不一樣的。數據審計側重於數據之間的關聯,是審計數據的結果;而信息系統審計側重於數據的真實完整性,是通過測試數據的真實完整性來審計信息系統的安全性和可靠性。在審計中,通過詳細了解信息系統的資料庫結構,對比資料庫中表文件的記錄數量大小和欄位完整程度,確定需要查詢的資料庫表文件,把主表的數據完整性作為重點的測試目標。(2)在內部控制和數據傳輸環節,通過繪制組織機構圖、系統流程圖和現場走訪等方式,全面了解酒店的業務流程和工作特點。通過摸清酒店的業務流程,跟蹤基礎數據流在業務流程中的走向,鎖定數據的大量運算點,是確定審計方向的關鍵。信息系統中所有業務活動的發生都集中體現在基礎數據流上,基礎數據流是一個信息系統的重要構成要素,數據的大量運算點是測試系統運行安全性和可靠性的關鍵點。在此基礎上,確定了年審日報匯總、會議團體客房轉賬和業務系統與財務核算系統手工傳輸數據三個系統模塊,作為對信息系統進行安全性、可靠性測試的重點。這三個模塊是信息系統內數據大量運算和系統間傳輸數據的關鍵點,由於基礎數據在運算、自動傳輸和手工傳輸過程中存在發生錯誤和被調整修改的可能性,因此利用計算機輔助審計技術進行驗證。
在驗證過程中,通過分步驟編寫查詢語句和程序,調出數據生成中間表進行比對,發現疑點,根據疑點特徵繼續比對,直到發現錯誤點。在SQL語句不能保證完成大批量查詢和比對任務的情況下,採用計算能力更強、運算速度更快的JAVA來編寫查詢程序,起到了事半功倍的效果。
❾ 管理信息系統審計的現狀和發展趨勢
管理信息系統審計的現狀和發展趨勢:
管理信息系統審計即IT審計,我們從IT技術發展來看,隨著IT技術在企業業務和管理中的廣泛運用,IT逐漸從傳統的後台支持而步入前台,成為企業競爭的重要支撐,企業憑借信息系統的強大功能優勢,完成其業務的自動化,但與此同時,從信息系統安全性、效率性、合規性方面都存在風險,傳統的控制、管理、檢查和審計技術都受到了巨大的挑戰。其次,從應用企業類型來看,目前IT審計主要集中在信息化程度要求較高、生產安全緊密相關的單位。比如電信運營商、各大銀行金融機構、中央企業等,中小企業用戶還比較少。企業對於IT審計人才的培養也處於初級階段,目前的狀況是懂IT的人才不少,但是這些專業人才往往缺少對企業的業務、審計的相關知識。
審計管理信息系統具有四個基本功能:即確定信息的需要,收集和加工信息,提供信息,系統管理。
審計管理信息系統首要的功能在於確定整個審計管理需要的信息的范圍、內容、數量、質量、時間等。
收集和加工管理信息審計管理信息系統的收集與加工,包括收集、檢核、加工、編制索引、傳遞和存貯等工作。其目的在於提高信息的質量,保證提供的信息准確、及時。
審計管理信息的提供過程,由分析、檢索、再加工和輸出等環節組成。
為了使審計管理信息系統的工作與審計管理工作相適應且緊密配合,還要對有關信息工作進行管理。具體包括:設計、運行和評價。
審計管理信息系統的運行:
審計信息的獲取
這是審計管理系統運行的第一步,在信息的採集上必須堅持真實、准確、完整、及時、保證信息加工的需要。
審計信息的加工
信息的加工是審計管理信息系統運行的第二步,是關鍵環節。它要求對收集到的大量的原始信息有針對性地篩選、分析、歸類,提煉出審計管理工作中的指令信息,提出校正政策法規執行中的偏差疏漏信息,提煉出宏觀方面失控的信息,微觀方面違規違紀信息,確立新政策信息。
審計信息的存貯
審計信息經過加工以後,它的價值有兩部分:一部分信息只能起暫時作用,反映出及時性,另一部分信息具有時間上的價值,它不僅僅是一次性的價值。而且具有價值的多次性,必須加以存貯。通過存貯來研究審計管理活動規律,把握審計工作發展趨勢,提高審計管理水平。
審計信息的傳輸
就是審計信息靠通暢的傳輸系統送達需要有關信息的地方。一般而言,管理的組織機構和體系,決定著信息系統的傳輸通道。
❿ 如何對企業信息化系統建設進行審計調研
信息系統審計是一個獲取並評價證據,以判斷計算機系統是否能夠保證資產的安全、數據的完整,以及有效率地利用組織的資源並有效果地實現組織目標的過程。由於信息技術在經營、管理領域的廣泛運用,信息系統審計已經貫穿在各種審計之中,成為審計全過程的一部分。
信息系統審計的內容:
對銀行信息系統進行審計的內容主要集中在以下幾個方面:
·對信息系統的管理、規劃與組織的審計--評價組織信息系統的管理、計劃與組織方面的策略、政策、標准、程序和相關實務。
·對信息系統技術基礎設施與操作實務的審計--評價組織在技術基礎設施與操作實務的管理和實施方面的有效性及效率,以確保其充分支持組織的商業目標。
·對信息資產的保護的審計--對邏輯、環境與信息技術基礎設施的安全性進行評價,確保其支持組織保護信息資產的需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。
·對災難恢復與業務持續計劃的審計--這些計劃是在發生災難時,能夠使組織持續進行業務,對這種計劃的建立和維護流程需要進行評價。
·對應用系統開發、獲得、實施與維護的審計--對組織業務應用系統的開發、獲取、實施與維護方面所採用的方法和流程進行評價,以確保其滿足組織的業務目標。
·對IT相關業務流程的審計--評估組織業務系統與處理流程,確保根據組織的業務目標對相應風險實施管理。·與信息安全相關的人力資源管理的審計--評估與安全相關的人力資源管理政策、程序、實務,以及「信息安全,人人有責「的企業文化。信息系統審計工作可以分為兩大類:一種是組織自行完成的內部審計,內部審計的主要目的是檢查組織各部門對安全保障制度的遵守情況,要保證內部審計師在他們能自由地和客
觀地進行工作時是獨立的,獨立性可使內部審計師提出公正和不偏不倚的判斷意見。信息系統審計執行主管應該對審計委員會、董事會或其他治理機構報告業務工作,向機構的首席執行官報告行政工作。另一種是由會計師事務所或專業技術服務提供商完成的外部審計。外部審計通常是因為上市、並購、年終檢查或其他法規的要求而進行,一般都很正規,也非常深入。進行信息審計的受託方應當獨立於委託方,以保證信息系統審計的客觀性與公正性。