第一篇:COBIT在工商銀行信息系統審計工作中應用的探討
COBIT在工商銀行信息系統審計工作中應用的探討
作者:時間:2006-06-06
Hits: 1193
COBIT在工商銀行信息系統審計工作中應用的探討
在商業銀行數據大集中的形勢下,銀行信息系統面臨著兩種威脅:一是利用計算機舞弊,二是災難性破壞。計算機舞弊現象不僅存在于系統開發階段,更容易發生在維護階段。總行數據中心一旦發生災難性破壞,受到影響的將是全行范圍的所有分支機構和所有業務,經濟%信譽和法律的損失將無法估量。為此,工商銀行的行領導非常重視,除了進一步加強信息科技部門自身的內部控制和采取必要的措施之外,還于2002年在內審部門成立了專職的IT 審計處,重點對IT風險進行檢查和控制,在IT審計方面做了一些有益的探索,取得了一些經驗。
商業銀行在應用COBIT的具體過程中,要注意以下幾點:
1.從審計目的看,IT審計不僅包含對信息系統安全運行的狀況提出評價,規
避操作風險,更應該使組織中的IT戰略符合企業的戰略目標,規避由于信息技術發展給企業帶來的戰略風險。在這一方面,COBIT的審計范圍幾乎涵蓋了所有與IT相關的活動。而其他幾個國際標準則各有不同,BS7799 側重于與信息系統安全相關的活動,COSO 則側重于企業自身內部控制,ITIL則是著重IT系統的交付和支持。更為重要的是,COBIT就如何進行IT審計,給出了詳盡的指導性建議。就其適用的對象而言,只有COBIT的適用用戶包含審計師,是從審計人員的角度來全面闡述了如何對企業面臨的IT戰略風險和操作運行風險進行審計和規避。因此,應該按照COBIT要求的控制目標,盡早對銀行相關的IT過程進行審計。2.在應用COBIT標準時,應以COBIT為主,還要參照其他國際標準。COBIT
作為一個IT治理的通用標準和信息系統審計的框架體系,與其他的國際IT標準并不沖突。審計師在以COBIT作為主要參照標準的同時,針對信息系統審計的不同方面,可以借鑒不同的國際標準。如在對商業銀行數據中心安全方面進行審計時,可以參照BS7799中的相應內容,也可以參照SSE—CMM的標準來進行;在涉及信息系統的交付和支持時,則可以采用
ITIL 中的內容來對數據中心的相關活動進行評價和審計;在對數據中心內控機制的建設情況進行評價時,就可參照COSO中的相應條款來比照評估。
3.對COBIT標準的采用,應結合商業銀行自身的實際情況有選擇地實施。
COBIT作為一個國際標準,比較強調其通用性,而對企業的具體情況有所忽視。在具體運用過程中,可依據自身特點,結合信息系統生命周期各個階段的不同特點,有選擇分階段地來實施COBIT中所要求的內容。
4.在運用COBIT實施IT審計時,可從COBIT有關過程中的控制目標入手,進行風險分析,得出與該過程相關的風險控制目標,再從風險控制目標中導出與該目標相關的風險控制點。針對每個風險控制點,結合商業銀行自身的技術特色,找出其所包含的風險檢查點,風險檢查點又可以組成對相關部分的檢查表。針對檢查的結果,與COBIT相關部分中的要求相比照,找出相關的薄弱點,并就此提出相應的改進意見。風險控制目標和風險檢查點之間的推導方式主要有兩種,一種是自下而上,即從具體的管理過程或技術實施措施入手,從中得出相應的風險控制點,對相應的風險控制點進行提煉,最后得到風險控制目標;一種是自上而下,從風險控制目標出發,將其進行分解,得到相應的風險控制點并對其進行細分,直到能夠直接得出檢查點為止。最后將得到的風險控制目標與COBIT相關過程的控制目標相比較,以確保整個信息系統審計目標的完整性。
七、我國商業銀行IT審計發展的幾點思考
商業銀行IT 審計應審時度勢, 緊密聯系經營的新形勢、新特點, 遵循先進的國際審計標準, 突出技術特色和風險導向, 大力開展非現場IT 審計。
1.緊密圍繞銀行的經營需求, 推動銀行的公司治理及IT 治理。目前金融市場的競爭進一步加劇, 需要進行全面的風險管理, 對內部控制和內部治理也應進行徹底性的變革。IT 審計在這場變革中, 要把握方向, 加快體系建設, 提高審計層次, 促進IT 治理, 推動公司治理。因此,一方面,商業銀行要切實落實《金融機構計算機安全保護工作暫行規定》要求,合理安排基礎設施和安全防范措施。要充分重視IT內部審計的作用,發揮審計對安全管理的內控作用,在引入IT 審計后,加快完善公司治理機制,并保證內審的獨立性。成立信息系統
風險控制委員會,定期對信息系統風險管理情況進行研究,推進IT審計中的故障發現、評估和風險控制措施的落實,督促指導IT 審計組的工作。另一方面,監管部門應加強對金融企業的IT 審計的監管,將IT 安全作為監管的重要內容,將IT 審計作為評價其安全性的重要因素,通過現場及非現場檢查對商業銀行等金融企業進行督促。同時,國家審計在金融計算機審計方面發展迅速,電子數據的采集分析等方面已有相當高的水平,但在對針對金融企業信息技術本身的審計方面,還應予以加強。
2.建立商業銀行IT 審計規劃。恰當的IT 審計方案與規劃是IT 審計工作的核心基礎,是保證審計目標實現,以及達到相關審計效果的關鍵。商業銀行在引入IT 審計后,應對全系統信息系統建設設計整體的專業審計規劃,制定年度工作目標及三年、五年風險控制目標,并與信息化建設發展相適應,形成IT 審計標準方案和計劃。商業銀行IT 審計方案與計劃應包括:商業銀行的信息系統現狀分析、商業銀行的內部控制現狀初步評價、IT 審計的性質與范圍、審計工作的組織安排、審計風險評估、審計費用與成本、實施時間計劃、IT 審計方法、審計協調與溝通機制等。IT 審計實施的過程要求對審計計劃確定的范圍、要點、步驟、方法等內容,進行取證、測試與評價,最終形成IT 審計報告。
3.遵循國際通行準則, 建立國際標準框架下具有各行特色的標準和規范體系。從國際同業的實踐看, 國際大型商業銀行大多都在自己的IT 審計體系下, 遵循國際標準或規范, 按照國際通行的做法, 結合實際情況, 確立自己的IT 審計標準和規范。因而, 我國商業銀行也可應把目前國際上公認的最先進、最權威的IT 審計標準———COBIT 作為核心標準, 同時借鑒《巴塞爾協議》、BS7799、COSO(Committee of Sponsoring Organizations of the Treadway Commision)、《薩班斯—奧克斯利法案》等其他國際標準和原則, 進而確立適合各行的IT 審計目標、對象、范圍、方法、流程等, 具體指導IT 審計工作。同時,應進一步明確IT 審計的技術角色,突出IT 審計的技術特色,根據商業銀行信息系統的技術架構和特點,結合審計資源條件,確立IT 審計對應的技術角色架構。可以考慮將IT 審計的技術角色劃分為應用、系統、網絡及硬件三個大類。不同的技術角色分別負責信息系統生命周期中不同階段的不同技術領域的控
制、分析和評價,確立控制風險分布和控制重點,建立相應的風險評估指標,制定有效的控制檢查表和檢查點,提高商業銀行IT 審計的專業化水平。
4.建立合理的IT 審計管理模式。現階段,商業銀行開展IT 審計應將現場審計與非現場審計有效結合,并利用好不同審計模式下取得的成果,形成互補。通過考察國際銀行業界的IT 審計技術和手段,可以斷定,借助先進技術實施非現場審計已是大勢所趨。IT 審計可以通過采用靈活的、可配置的審計模型及數據分析探測工具,構筑起科學、有效的風險分析、監測、評價體系,進一步加強商業銀行IT 審計的非現場審計,推動商業銀行的審計信息化建設。但在審計開展過程中,要注意加強風險管理,規避IT 審計風險。在關注重要性的同時,要力求效益性,防止因審計不當導致銀行新的風險發生。
5.加強注冊信息系統審計師(Certified Information System Auditor,簡稱CISA)和IT 審計專業人才的培養。從當前商業銀行審計人員素質來看,還不大適應IT 審計的要求。這主要歸結于在IT 環境下商業銀行內部審計人員工作發生的一系列重大變化,對內部審計人員素質要求進一步提高。首先,內部審計人員需要以內部控制專家的身份參與開發小組并監督計算機信息系統開發過程中的各項活動。其次,內部審計人員應及早參與到計算機系統的實施過程,提出寶貴意見和建議。因此,內部審計人員必須不斷地注視信息技術的發展,掌握新方法與新技能,了解現代信息技術的用途及其對企業管理與信息處理的影響,使信息技術成為實施審計監督和加強控制的有力工具,并在現有的基礎上掌握經營方面的重要知識和技能,以增強在經營領域的運作。目前雖然外包IT 內審的條件不成熟,但IT 業務外包是社會化分工的趨勢,從長遠來看,商業銀行應增加IT技術尤其是通用技術的外包,將各系統行大批內部IT 開發人員適當轉化為固定的IT 內部審計人員,從而進一步提高內審質量。
6.進行IT 審計人員的技術角色劃分, 突出IT 審計的技術特色。根據各商業銀行自己的信息系統技術體系及IT 審計資源, 劃分不同的IT 審計技術角色, 突出IT審計的技術特色, 提升IT 審計層次。首先應分析掌握信息系統的技術和管理架構的特點, 然后結合現有的審計資源, 根據一般控制、應用控制和信息安全審計的要求,確立IT 審計對應的技術角色架構。可以初步將技術角色劃分
為三個大類, 即應用類技術角色、系統類技術角色、信息和網絡安全類技術角色。不同角色審計人員負責對信息系統中不同技術領域進行審計, 建立各自的控 制風險分布和重點的模型, 并制定相應的風險評估指標, 確定有效的風險控制檢查表和檢查點。形成以三大技術分類為主線, 全面覆蓋全行信息系統各個部門和信息系統發展生命周期全過程的IT 審計的技術體系。
7.推行風險管理, 突出IT 審計的風險導向。現階段, 在復雜的信息系統技術和管理環境下的IT 審計無疑是有一定審計風險的。因此, IT 審計更要重視風險管理, 規避審計風險, 在注重重要性的同時, 要講究效益性, 這也是在今后相當長的時間里要充分重視的。
在目前商業銀行的環境下, 信息系統的審計應該是以風險管理為基礎, 按照重要性原則, 對信息系統進行的一般控制審計和應用控制審計,并且貫穿了信息系統生命周期的全過程。商業銀行IT審計工作應該按照先進的國際標準的要求, 本著科學、獨立、審慎的精神, 依據各商業銀行的實際情況來進行,只有這樣, 才能達到IT 審計真正目的。通過信息系統審計(IT 審計),及時識別風險,完善控制措施,是商業銀行構建全面風險管理體系的現實需求.實施IT 審計有力于商業銀行信息系統項目的風險控制。加強對商業銀行業務運營風險的防范。促進商業銀行業務流程再造BPR(Business Process Reengineering,)。總之,在銀行系統開展信息系統審計工作,是銀行控制風險的的重要手段,在新形勢下,銀行要健康發展,就要積極迎接挑戰、應對不斷出現的新風險,防患于未然,才能抓住網絡經濟時代給銀行帶來的新機遇, 迎來銀行業的新發展。
第二篇:移動護理信息系統在臨床護理工作中的應用及意義
移動護理信息系統在臨床護理工作中的應用及意義
隨著移動護理信息系統在臨床護理工作中的應用,越來越被管理者所接受,它方便、快捷、小巧、便于攜帶、操作性和實用性強,保證了護理安全,規范了護理行為,增強了護理人員法制意識。雖然具有上述優點,但在我國醫療行業起步較晚,在發展、普及過程中還存在一些有待解決的問題,當前國內各種文摘總結最多的只是對它的應用,而沒有明確提出通過移動護理信息系統對醫療體系做出的巨大變革是改變護理過程中簡單的一對一的服務,通過移動護理信息系統的多端口輸入,達到所有信息在整個護理過程中的共享,從而整合整個醫療護理資源,達到整體護理的目的。本文就移動護理信息系統國內外發展情況、主要功能、對護理工作的作用、目前存在的不足及發展遠景進行了分析。
移動護理信息系統是護士工作站在患者床邊的擴展和延伸,其解決方案以醫院信息系統為支撐基礎,以掌上電腦(PDA)為平臺,以無線局域網為傳輸交換信息平臺,充分利用HIS的數據資源,實現了HIS向病房的擴展和數據的及時交換,極大地推動了醫院的信息化建設和數字化發展趨勢[1]。近年來,隨著無線通信技術在國內醫療機構逐步得到推廣應用,移動護理信息系統在臨床護理工作中也發揮出顯著的作用。現介紹如下。國內外移動護理信息系統的應用
2002年,北京協和醫院開始在呼吸科試用臨床移動護理信息系統,2004年底開始全院推行;2005年,解放軍總醫院開始在幾個病區試用臨床移動護理信息系統;此外,北京同仁醫院、天壇醫院、無錫市中醫醫院、解放軍第302醫院等單位也相繼在臨床使用了移動護理信息系統。臨床移動護理信息系統的成功實施,提高了醫護人員的工作效率。
在國外,PDA應用開始得比較早,但造價高昂[3]。PDA體積小巧、攜帶方便、價格低廉、功能性強,滿足了護士隨時隨地獲取患者信息的需求,越來越受到人們的重視[4]。歐美國家將掌上電腦大量應用于HIS的醫學大全和藥典參考,也應用于臨床患者的跟蹤系統。美國的Bicomerica公司為醫生配備的ReadyScript解決方案,是一個保健現場無線手持設備開具處方和解決藥物治療管理方案。醫生利用無線手持PDA,可以經因特網或其他電子連接將處方以電子方式傳送到患者選擇的藥房,此外ReadyScript還為醫生提供了一系列可提高他們工作效率與能力的工具和資料,從而使他們能夠為患者提供更好的治療及更大的便利[5]。有關資料報道,PDA在臺灣數家醫院的應用效果顯著,且有些醫院在移動式醫療信息管理建設方面已超過歐美等國家,臺灣的新光醫院和長庚醫院都實施了移動醫療整合系統[6]。2 移動護士工作站功能
2.1 確認患者身份、查詢與統計患者信息 患者入院后,打印以住院號編碼的條形碼腕帶,佩帶于患者腕部作為身份標識。護士在床旁為患者進行治療護理時,用PDA對患者手上的腕帶掃描進行患者身份識別與確認。同時可確認患者給藥單的條形碼與患者腕帶上的身標識條形碼的信息均相關聯。通過無線護士工作站可查看患者的基本信息,包括患者的住院號、床號、姓名、性別、年齡、入科時間、臨床科室、診斷情況、主治醫生、疾病狀態、飲食情況、護理級別、體重、身高、手術時間、過敏史、費用等基本信息;利用在院患者的入院評估單與護理記錄單,可隨時獲得患者的病情信息。
2.2 生命體征的實時采集 PDA 自動提示生命體征信息采集時間,護士隨身攜帶PDA,將采集的護理數據即時在床頭錄入,保存后信息直接呈現于醫生及護士工作站,HIS系統即時生成體溫單、生命體征觀察單、護理記錄單等記錄,同時將采集的時間和采集人等相關信息記錄到數據庫。當多次錄入生命體征時,計算機可以自動篩選最靠近體溫單記錄點的各項生命體征數據繪制到體溫單上,并自動識別與生命體征正常值差異最大的數據繪制至體溫單上。與PC機上的HIS系統相比,PDA還能顯示正在發熱患者,以便醫護人員及時發現患者病情變化,采取相應的措施。
2.3 出入量的錄入、累加和查詢 PDA 明確設置可錄入的項目有體重、腹圍、大便次數、尿量、嘔吐物,各種出入量可隨時錄入。如果需要記錄的項目在PDA里沒有設置,可在“補充項目”中自行添加所需項目,并輸入相應數據,添加的補充項目會在系統中自動保存,記錄用戶所輸入的項目名稱和單位,再次輸入此項目時,只需要在“項目名稱”中選擇該項目即可。各種出入量錄入后將自動累加,24
h累加結果自動記錄在體溫單上。
2.4 醫囑查詢、執行與統計 無線護士工作站的設置使醫囑的分時處理成為可能,系統將醫囑按臨床路徑進行拆分,PDA 上只顯示當前班次需要執行的醫囑,并提醒護士需要執行醫囑的時間,在當前班次尚未執行的醫囑可選擇性地交到下一班,交班后的醫囑在當前班次將不再顯示,從而使護理工作程序更為清晰、明了。醫生下達醫囑后,信息自動轉移到PDA上,PDA會提示有新醫囑,提醒提取,護士可以隨時隨地在PDA上提取和轉抄醫囑。經校對后護士可即時進行讀取、查詢、查對與執行。執行醫囑時,執行者只需在指定位置點擊,即可自動生成該條醫囑的實際執行人和真正的執行時間。另外,護士可利用PDA上的遠紅外線,掃描患者的腕帶和輸液袋上的條形碼,然后簡單點擊PDA上的觸屏,就可將醫囑執行時間和執行人等信息直接保存到數據庫中。護士長可隨時查看全天的醫囑執行情況、各種護理記錄的完成情況、病區護理量統計及護士工作量的權重。
2.5 患者護理過程的記錄及護理工作量的統計 責任護士隨身攜帶PDA,特殊的時間治療與護理可設置提示音,可在病房內隨時以點擊的方式將對患者測量到的結果、所執行的操作、觀察到的病情、治療和護理等情況以精確的時間記錄于PDA 上,信息直接回傳到HIS系統,呈現于醫生及護士工作站。工作中的細節問題可以短信方式及時發送于醫生PDA上,保持有效暢通的工作聯系。床旁即時書寫護理病歷,包括記錄單首頁、一般護理記錄單與危重護理記錄單,PDA內設常用醫學術語及護理記錄單模板,錄入過程簡化,護士可點擊選擇或利用手寫板功能稍加修改即可形成記錄,工作效率增加。該系統還設有科主任查房移動記錄功能,利用手寫功能,查房時護士長可在床旁即時完成查房記錄。移動護士工作站充分體現出護理記錄的即時性與真實性。系統還可對護理工作項目進行統計,根據護士上班的時間、所執行各項操作簽名的護理工作,統計出護士個人、病區或者全院某時間段內護理的危重人數、一級護理人數以及具體護理操作數量,通過科學加權使護理工作達到了量化,為科室建立二級考評制度提供了數據基礎。
2.6 護理質量查房移動記錄 移動護士工作站有護理質量檢查記錄模塊,分為本病區質量檢查與院質量檢查記錄,其中院質量查房包括護理部聯查和夜值班護士長查房。護理管理者行質量檢查時,持PDA在病區發現問題時,選擇檢查內容,點擊不合格項,當場由責任人口令確認,信息記錄于數據庫,即時上傳到護理部,并自動匯總個人、病區、全院合格率。護理部助理只有查看權,無修改權。用PDA 進行移動護理質量檢查,保證了記錄的即時、真實;由管理者與當事人共同簽名確認,保證了檢查結果的公正、透明。同時,責任到人,為年底病區、個人考評提供了依據。另外,自動匯總功能也使護理部助理減少了以往文件輸入及人工匯總時間。
2.7 條碼掃描檢驗標本 無論是傳統的手工檢驗單模式還是標本容器條碼化,都不能解決床旁標本采集容易出錯的問題。引入PDA以后,抽血前護士在床旁先用PDA掃描患者腕帶識別身份,提取檢驗醫囑,然后根據提示在試管架中選擇所需試管,掃描試管條碼后即可進行采血,省去了人工對照的麻煩,同時保證了試管與患者信息的一致性。
2.8 耗材的錄入及費用顯示 在護理過程中所使用的耗材,可隨時點擊耗材對話框,選擇相應的耗材名稱、規格,即完成錄入,可有效避免遺漏。同時,自動顯示患者住院費用,便于通知患者繳納治療費用和解釋費用支出。現有的系統是在醫囑轉抄階段就對其分解的醫囑項目進行了收費,如果患者因某種原因終止醫囑流程后,護士需通過退藥、退單等手段將已收的費用再退給患者,易出現差錯,移動護士工作站實現了確認醫囑執行后再收費。
2.9 字典庫與護理工具庫 無線護士工作站中設立了護理計劃中常用的護理診斷等字典庫,包括目前北美護理診斷協會(north America nursing associa-tion,NANDA)正式通過的148個護理診斷和相關的護理措施等用詞,將各種疾病與其主要的護理診斷與措施呈對應關系排列,避免了護理記錄中繁冗重復。護理工具庫內設置護士工作中常用的計算公式、各種評估表等,方便護士隨時使用。
2.10 實時與信息傳遞 醫護人員工作的流動性比較大,PDA提供VOAP方式的小區電話、短信功能,更適合移動工作的特點,當有緊急情況時,可與醫生護士及時聯系。移動護士工作站對護理工作的作用
3.1 優化工作流程,提高工作效率 因移動護士工作站與HIS資源共享,信息一經錄入,多終端讀取,簡化護理記錄程序,減少護士重復勞動,優化工作流程,使護士有更多時間護理患者,提高了患者的滿意度。同時記錄的準確性和及時性增強,提高了護理質量和工作效率。
3.2 建立標識系統,減少護理差錯 目前護理工作中患者的查對有許多不確定性,如同姓名、換床、患者意識障礙等,加上護士查對工作量大,人為出錯的幾率較大。基于患者標識系統的條碼或射頻識別技術,護士在床旁為患者進行操作時,用PDA對患者進行確認,極大地提高了患者身份識別的準確性,為臨床管理路徑提供了輔助手段,確保了治療過程中患者、時間、診療行為的準確性。快捷、方便、有效的醫囑查詢,也能最大限度地防止醫囑漏執行。用PDA床旁掃描檢驗標本,保證了采樣信息的實時性與正確性,徹底解決了標本采集在源頭出錯而造成醫療糾紛的問題。
3.3 解決簽字問題,規范文書書寫 長期以來醫囑執行的簽字問題沒有得到較好的解決,特別是長期醫囑,HIS系統中不能實現,而移動護士工作站中醫囑的拆分實現了所有醫囑執行后即可簽名的功能。簽名方法可直接點擊,簽名時間為服務器提取數據時的時間。移動護士工作站的使用實現了醫囑全程跟蹤,滿足了衛生部和中醫藥管理局《病歷書寫基本規范(試行)》長期醫囑執行后應簽署執行時間和執行人姓名的要求。另外,使用PDA后,無需再打印各種分類執行單,隨著電子病歷歸檔,護理工作真正實現了“無紙化”辦公。
3.4 加強質量控制,杜絕護理差錯 移動護士工作站使護理質控深入到醫療護理過程的每個環節,實現了實時環節控制,使終末式管理變為環節控制。即時的信息存取,降低了錯誤率。護士長能夠很方便地隨時掌握全科的護理工作動態,加大了對工作過程的監控及管理,及時發現醫療護理過程中各環節的問題,可及時采取相應的措施,將事后管理變成事前管理,增加了護理管理的深度。
3.5 規范護理行為,增強法制觀念 由于每條醫囑與實際執行人形成一對一的關系,記錄醫囑的執行時間、用藥途徑,對病情觀察的時間、觀察數據即時進行錄入,不但規范了護士的行為,同時為護理工作提供了可靠的數據資料,避免了在醫囑執行過程中責任區分不清。
3.6 提供法律證據,避免護患糾紛 基于HIS系統的安全機制,移動護士工作站準確、實時、完整地記錄醫囑執行時間和執行人,并且永久保存醫囑記錄,為醫療舉證倒置提供了法律依據。
3.7 加強醫護配合,提高患者滿意度 PDA的醫囑提示音、短信功能等為繁忙的臨床護理工作提供了科學有效的保障,減少了醫護語言溝通中的信息傳遞失誤,同時責任護士能及時有效地為患者提供各種治療與護理信息,有利建立良好的護患關系,使患者滿意度上升。
3.8 促進管理創新,樹立護理品牌 移動護士工作站的應用,使護理管理更加嚴謹規范,由定量管理向定性管理轉變、由經驗管理向科學管理轉變,以數據資料為依據,實行對個人、科室、全院護理工作績效考評、合理調配人力資源,促進了醫院護理管理科學化、正規化的進程。實施移動化的醫院,降低了人力資源投入和耗材成本的同時,提高了工作效率,提高了醫院的管理水平,樹立了“精美護理品牌”意識,增加了醫院的競爭力。移動護理信息系統存在不足
(1)由于存儲容量大,每次切換模塊時速度較慢,有待進一步研發。(2)由于我國醫療信息化程度低,無線網絡仍然存在一定的安全隱憂,如何保護移動用戶的合法信息(賬戶、密碼等),使患者的隱私不受侵犯,是一項迫切需要解決的問題。(3)移動醫療的需求還未完全成熟、醫療行業的復雜性、供方技術不成熟、產業鏈沒完全做好準備等都在一定程度上影響其規模和全面發展[7]。(4)醫療信息化的成本不菲,而中國的醫療信息化投入較低,醫院的信息化主要靠自力更生,邊積累邊發展。由于患者涌向大型醫院,很多小醫院門可羅雀,收入都是問題,信息化投入自然更要打個問號了。其次是來自醫院的障礙,包括管理、觀念因素等。(5)特殊的領域,存在著二次開發的現實需求。不同醫院、不同用戶勢必需要適應各自工作環境和工作任務的移動辦公、治療或護理的要求。(6)但繁忙的護理操作中,會發生PDA跌落和碰撞的事情,對無線終端設備造成損壞。(7)國內大多數中小醫院還沒有建立HIS系統,導致HIS市場分化。
綜上所述,如何實現移動護理信息系統,在現階段并不是購買硬件就能達到,只能在現有基礎上進行有效整合,在硬件和軟件功能逐步提升中進行改進。
病人床邊移動護理系統
醫學教育網
將一個腕帶套在病人手腕上,護士手持一個手掌大小的掌上電腦,在病人床旁,對病人腕帶上的條形碼掃描后,掌上電腦里即出現了病人的所有醫囑等信息。護士將醫囑執行情況和病人的體征等情況,逐項記錄在電腦中。這個由北京協和醫院信息中心和北京遠卓科技有限公司共同合作研發的,能跟蹤醫囑全過程的國內首個“病人床邊移動護理系統”,經過兩年多的研制,近日在協和醫院正式投入使用。這一系統的運行,填補了我國醫療信息技術在臨床護理工作領域應用的空白,為臨床護理和管理工作,提供了新式“武器” 醫學 教育網搜集整理。
近年來,信息技術已廣泛應用到了醫院臨床,主要是醫生工作站和護士工作站。這些系統的應用,雖然使醫院病房醫護工作實現了計算機操作,提高了工作效率,但仍有因無法跟蹤醫囑全過程等而產生的許多問題。如原有的HIS系統只跟蹤到醫囑轉抄,即把醫囑分解成為可操作的執行項目,按照這些項目,系統執行收費,不再全程跟蹤醫囑的實際執行。這就使得一些重要的醫療信息在實際執行中無法電子化,因而在醫療質量監控和病人費用跟蹤等方面會產生一些無法解決的問題。而“病人床邊移動護理系統”實現了對醫囑實際執行的全過程跟蹤,具有原有的HIS系統無法替代的優勢:
首先,它能夠完整地閉合醫囑的生命周期,使護理質量監控和護理工作量的量化成為可能,對提高醫院整體的護理水平起到很大的促進作用。
醫學教育網
其次,移動護理系統通過對條碼技術的使用,能夠用電子化的手段來幫助醫護人員盡可能地減少醫囑執行過程中可能產生的醫療差錯,確保對病人能夠在正確的時間得到正確的治療。
再者,它能完整準確的確認病人已使用的材料和產生的治療費用。既能節省時間又可最大限度地保證數據的準確性。
醫學 教育網搜集整理
該系統投入使用后還會帶來很多其他的便利。例如,通過移動設備PDA對病人體征信息進行記錄后,今后的體征記錄將能夠實現脫紙的電子化記錄,體征單也可以被打印出來供醫生參考,這樣就減少了護士手動記錄體征數據和描點畫圖的煩瑣過程,護士可以得到更多的時間和精力去關注病人。在此系統基礎上,實現對護士工作量和護理人力資源的科學化計算機管理也將能夠變為現實。
“病人床邊移動護理系統”的硬件采用的是掌上電腦PDA和病房護士工作站計算機相結合的硬件架構。經過培訓,該系統近日將在內科、外科的8個病房中開始使用,每10張床配一臺掌上電腦。
移動護理信息系統存在問題:
一、因醫療行業的復雜性,因觀念因素護理人員還沒有對過去的模式中脫離出來,造成接受難度
第三篇:信息系統審計
1、信息系統審計的概念,內容,流程?
答:(1)概念信息系統審計是指根據公認的標準和指導規范,對信息系統從規劃、實施到運行維護各個環節進行審查評價,對信息系統及其業務的完整性、有效性、效率性、安全性等進行監測、評估和控制的過程,以確定預定的業務目標得以實現,斌提出一系列改進建議的管理活動。
(2)內容:主要包括內部控制系統審計、系統開發審計、應用程序審計、數據文件審計等。a.內部控制系統審計。信息系統的內部控制系統由兩個子系統構成:一是一般控制系統,它是系統運行環境方面的控制,為應用程序的正常運行提供外圍保障。另一子系統是應用控制系統,它是針對具體的應用系統和程序而設置的各種控制措施。
b.系統開發審計。是指對信息系統開發過程所進行的審計,這是一種事前審計。
c.應用程序審計。其決定了數據處理的合規性、正確性。對應用程序的審計,可以對程序直接進行審查,也可以通過數據在程序上的運行進行間接測試。
d.數據文件審計。在信息系統中,各種憑證、賬簿及報表中的數據均以數據文件的形式存儲在硬盤或軟盤等存儲介質中,對數據文件進行審計,可以將該文件打印出來進行檢查,也可以在計算機內直接進行審查。
(3)流程:主要的分為準備階段、實施階段、終結階段。
a.準備階段:
1、明確審計任務。
2、組成信息系統審計小組。
3、了解被審計系統的基本情況。
4、制定信息系統審計方案;
b.實施方案:
1、對被審計系統的內部控制制度進行健全性調查和符合性測試。
2、對帳表單證或數據文件的實質性審查;
c.終結階段:
1、整理歸納審計資料。
2、撰寫審計報告。
3、發出審計結論和決定。
4、審計資料的歸檔和管理。
2、常見的IT治理標準有哪些,各自的作用是什么?
答:常見的IT治理標準有ITIL,COBIT,BS 7799,PRINCE2。
(1)ITIL(Information Technology Infrastructure Library),即信息技術基礎構架庫,一套被廣泛承認的用于有效IT服務管理的時間準則。1980年以來,英國政府商務辦公室為解決“IT服務質量不佳”的問題,逐步提出和完善了一整套對IT服務的質量進行評估的方法體系。
(2)COBIT,(Control Objectives for Information and related Technology):信息和相關技術的控制目標。它是由信息系統審計與控制協會,于1996年推出的用于IT審計的知識體系。作為IT治理的核心模型,其包括34個信息技術過程控制,并歸集為IT規劃和組織、系統獲得和實施、交付與支持以及信息系統運行性能監控4個領域。目前COBIT是國際上公認的IT管理與控制標準。
(3)BS 7799(ISO/IEC17799):國際信息安全管理標準體系。該標準包括信息系統安全管理和安全認證兩大部分,是參照英國國家標準BS 7799而來的。它是一個詳細的安全標準,包括安全內容的所有準則,由10個獨立的部分組成,每一節都覆蓋了不同的主題和區域。該體系主要解決企業的信息安全管理上的問題,為企業提供了一個完整的管理框架,不斷改進信息安全管理水平,使機構或企業的信息安全以最小代價達到需要的水準。
(4)PRINCE2(Projects In Controlled Environments)是一種對項目管理的某些特定方面提供支持的方法。PRINCE2描述了一個項目如何被切分成一些可供管理的階段,以便高效地控制資源的使用和在整個項目周期執行常規的監督流程。PRINCE2的視野并不僅僅限于對具體項目的管理,還覆蓋了在組織范圍對項目的管理。
3、常見的信息系統開發方法,對其中的一到兩種展開說明?
答:常見的信息系統開發方法有軟件開發生命周期法、原型法、面向對象法、計算機輔助開發方法、基于組件的開發方法、基于Web應用開發方法。以下對軟件開發生命周期法進行
說明。
軟件開發生命周期法(Software Development Life Cycle,SDLC)是系統分析員和系統開發者常用的軟件開發方法。軟件開發生命周期法能夠生產高質量的軟件,滿足業務和用戶的需求,在開發進度和成本控制下進行軟件開發生產,是一種有效保證成本,提高效益的軟件開發方法。通過應用傳統的SDLC方法,已經成功開發出了大量的業務應用系統。其各個階段及其基本內容如下:
1、第一階段——可行性研究。確定實施系統在提高生產效率或未來降低成本方面的戰略利
益,確定和量化新系統可以節約的成本,評價新系統的成本回收期。
2、第二階段——需求定義。一是定義需要解決的問題,二是定義所需的解決方案及方案應
當具有的功能和質量要求。該階段還要確定是采用定制開發的方法還是供應商提供的軟件包。
3、第三階段A——系統設計(當決定自行開發軟件時)。以需求定義為基礎,建立一個系
統基線和子系統的規格說明,以描述系統功能如何實現,各個部分之間接口如何定義,系統如何使用已選擇的硬件、軟件和網絡設施等。
4、第三階段B——系統獲取(當決定購買現成軟件包時)。以需求定義為基礎,向軟件供
應商發出請求建議書(RFP)。商品軟件的選擇要從多方面進行考慮。
5、第四階段A——系統開發(當決定自行開發軟件時)。使用系統設計說明書來設計編程
和實現系統過程。在這個階段,要進行各個層次的測試,以驗證和確認開發的系統。
6、第四階段B——系統配置(當決定購買現成軟件包時)。如果決定選用商品化的軟件包
時,需要按照企業的需求進行系統客戶化工作,對系統進行剪裁。這種剪裁最好是通過配置系統參數來實現,而不是通過修改程序源代碼。
7、第五階段——系統實施。這個階段是在最終用戶驗收測試完成、用戶簽署正式文件后進
行。系統還需要通過一些認證和鑒定過程,來評價應用系統的有效性。
8、第六階段——實施后維護。隨著一個新系統或徹底修改的系統的成功實施,應當建立正
式的程序來評估系統的充分性和評價成本效益或投資回報。這樣可為后續的系統開發項目管理提供改進意見。
當一個項目的需求穩定、定義準確時,生命周期法使用起來最有效,改方法適用于在開發工作的早期建立總體的系統構架。
4、IT服務管理的定義,包括哪些內容?
答:(1)IT服務管理(IT Service Management,ITSM)有以下兩種使用比較廣泛的定義:
1、IT服務管理是一種以流程為導向、以客戶為中心的方法。它通過整合IT服務于企業業
務,提高了企業的IT服務提供和服務支持的能力和水平。
2、IT服務管理是一套通過SLA(服務級別協議)來保證IT服務質量的協同流程。它融合了系統管理、網絡管理、系統開發管理等管理活動以及變更管理、資產管理、問題管理等許多流程理論和實踐。
(2)ITIL主題框架包括6個主要模塊,即服務管理、業務管理、ICT(信息與通信技術)基礎設施管理、貫穿業務和IT基礎設施的應用管理、IT服務管理實施規劃和集中的安全管理。
08信息2班0804100229徐怡
第四篇:信息系統審計重點
信息系統審計
電子計算機在數據處理的發展過程可分為三個階段:數據的單項處理階段、數據的綜合處理階段、數據的系統處理階段。
數據處理電算化以后,對傳統的審計產生了巨大的影響,主要表現在:
1、對審計線索的影響~~~~
2、對審計方法和技術的影響~~~~~~
3、對審計人員的影響~~~~~
4、對審計準則的影響~~~~~~ 信息系統審計的定義:信息系統審計是根據公認的標準和指導規范,對信息系統從規劃、實施到運行維護各個環節進行審查評價,對信息系統及其業務應用的完整性、有效性、效率性、安全性等進行檢測、評估和控制的過程,以確認預訂的業務目標得以實現,并提出一系列改進建議的管理活動。
信息系統的主體:有勝任能力的信息系統獨立審計機構或人員 信息系統審計的對象:被審計的信息系統
信息系統審計工作的核心:客觀地收集和評估證據
信息系統審計的目的是評估并提供反饋、保證及建議。關注之處被分為三類:可用性、保密性、完整性。
信息系統審計的特點:審計范圍的廣泛性、審計線索的隱蔽性、易逝性、審計取證的動態性、審計技術的復雜性。(真是為一道簡答題。在P6,詳細看一下各段內容,概括下再答題)信息系統審計目標:
1、保護資產的完整性
2、保證數據的準確性
3、提高系統的有效性
4、提高系統的效率性
5、保證信息系統的合規性與合法性
信息系統的主要內容:內部控制系統審計(分為一般控制系統、應用控制系統,對信息系統的內部控制系統進行審計的目的是在內部控制審計的基礎上對信息系統的處理結果進行審計、加強內部控制,完善內部控制系統)系統開發審計(信息系統開發審計是對信息系統開發過程進行的審計,審計目的一是要檢查開發的方法、程序是否科學,是否含有恰當的控制;二是要檢查開發過程中產生的系統文檔資料是否規范。)應用程序審計(審查應用程序有兩個目的,意識測試應用控制系統的符合性,二是通過檢查程序運算和邏輯的正確性達到實質性測試目的)數據文件審計(審計目的一是對數據文件進行實質性測試,二是通過數據文件的審計,測試一般控制或應用控制的符合性,但主要是為了實質性測試)(這是道簡答題,在P8各個小概括下)
信息系統審計的基本方法:繞過信息系統審計、通過信息系統審計 信息系統審計的步驟(大題P11):
準備階段:明確審計任務,組成信息系統審計小組,了解被審計系統的基本情況,指定信息系統審計方案,發出審計通知書 實施階段:對被審計系統的內部控制制度進行健全性調查和符合性測試,對賬表單證或數據文件的實質性審查
終結階段:整理歸納審計資料,撰寫審計報告,發出審計結論和決定,審計資料的歸檔和管理
國際信息系統審計準則:由信息系統審計與控制協會(ISACA)頒布和實施的。ISACA是國際上唯一的信息系統審計專業組織,通過制定和頒布信息系統審計標準、指南和程序來規范審計師的工作,它由三個層次構成: 審計標準(審計標準是整個信息系統準則體系的總綱,是制定審計指南和作業程序的基礎和依據)審計指南(審計指南為審計標準的應用提供了指引,信息系統審計師在審計過程中應考慮如何應用指南以實現審計標準的要求,在應用過程中靈活運用專業判斷并糾正任何偏離準則的行為)
作業程序(作業程序提供了信息系統審計師在審計過程中可能遇到的審計程序的示例)信息系統審計師應具備的素質(大題P18-19)
應具備的理論知識:傳統審計理論、信息系統管理理論、計算機科學、行為科學理論
應具有的實踐技能:參加過不同類別的工作培訓、參與專業的機構或廠商組織的研討會,動態掌握信息技術的新發展對審計實踐的影響、具有理解信息處理活動的各種技術、理解并熟悉操作環境,評估內部控制的有效性、理解現有與未來系統的技術復雜性,以及它們對各級操作與決策的影響、能使用技術的方法去識別系統的完整性、要參與評估與使用信息技術相關的有效性、效率、風險等、能夠提供審計集成服務并為審計員工提供指導,與財務審計師一起對公司財務狀況做出說明、具備系統開發方法論、安全控制設計、實施后評估等、掌握網絡相關的安全實踐、信息安全服務、災難恢復與業務持續計劃、異步傳輸模式等通信技術。IT治理定義:德勒定義:IT治理是一個含義廣泛的概念,包括信息系統、技術、通信、商業、所有利益相關者、合法性和其他問題。其主要任務是保持IT與業務目標一致,推動業務發展,促使收益最大化,合理利用IT資源,IT相關風險的適當管理。
IT治理必須與企業戰略目標一致,IT對于企業非常關鍵,也是戰略規劃的組成,影響戰略競爭;IT治理和其他治理主體一樣,是管理執行人員和利益相關者的責任(以董事會為代表);IT治理保護利益相關者的權益,使風險透明化,指導和控制IT投資、機遇、利益、風險;IT治理包括管理層、組織結構、過程,以確保IT維護和拓展組織戰略目標;應該合理利用企業的信息資源,有效的集成與協調;確保IT及時按照目標交付,有合適的功能和期望的收益,是一個一致性和價值傳遞的基本構建模塊,有明確的期望值和衡量手段;引導IT戰略平衡系統的投資,支持企業,變革企業,或者創建一個信息基礎架構,保證業務增長,并在一個新的領域競爭。
IT治理和IT管理的關系:IT管理是在既定的IT治理模式下,管理層為實現公司的目標二采取的行動,IT治理規定了整個企業IT運作的基本框架,IT管理則是在這個既定的框架下駕馭企業奔向目標。缺乏良好IT治理模式的公司,即使有很好的IT管理體系,就想一座地基不牢固的大廈;同時,沒有公司IT管理體系的流暢,單純的治理模式也只能是一個美好的藍圖,而缺乏實際的內容。
公司治理和IT治理:公司治理,驅動和調整IT治理。同時,IT能夠提供關鍵的輸入,形成戰略計劃的一個重要組成部分,即IT影響企業的戰略競爭機遇。IT治理標準:ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型:不存在、初始級、可重復級、已定義級、已管理級、已優化級(主要內容及其作用在P47-48)
信息系統內部控制:是一個單位在信息系統環境下,為了保證業務活動的有效進行,保護資產的安全與完整,防止、發現、糾正錯誤與舞弊、確保信息系統提供信息的真實、合法、完整,而制定和實施的一系列政策與程序措施。凡是與信息系統的建立、運作維護、管理和業務處理有關的部門、人員和活動,都屬于信息系統內部控制的對象,可分為一般控制和應用控制。
信息系統一般控制是應用于一個單位信息系統全部或較大范圍的內部控制,其基本目標為保證數據安全、保護計算機應用程序、防止系統被非法侵入、保證在意外中斷情況下的繼續運行等。
信息系統應用控制是用于對具體應用系統的控制,一個應用系統一般由多個相關計算機程序組成,有些應用系統可能是復雜的綜合系統,牽涉到多個計算機程序和組織單元,與此相對應,應用控制包括包含在計算機編碼中的日常控制及與用戶活動相關的政策和流程。良好的一般控制是應用控制的基礎,可以為應用控制的有效性提供有力的保障,某些應用控制的有效性取決于計算機整體環境控制的有效性。當計算機整體環境控制薄弱時,應用控制就無法真正提供合理保障。如果一般控制審計結果很差,應用控制審計結果很差,應用控制審計就沒有進行的必要。
審計邏輯訪問安全策略:知所必需原則
審查離職員工的訪問控制:請辭、聘用合同期滿和非自愿離職 數據庫加密:一般采用公開密鑰加密方法 系統訪問控制及其審計:系統訪問就是利用計算機資源達到一定目的的能力,對計算機化的信息資源的訪問可以基于邏輯方式,也可以基于物理方式。物理訪問控制可以限制人員進出敏感區域。對計算機信息的物理訪問與邏輯訪問應當建立在“知所必需”的基礎上,按照最小授權原則和職責分離原則來分配系統訪問權限,并把這些訪問規則與訪問授權通過正式書面文件記錄下來,作為信息安全的重要文件加以妥善管理。身份識別與驗證(簡答題P65-66):邏輯訪問控制中的身份識別與驗證是一種提供用戶身份證明的過程,在這個過程中,用戶向系統提交有效的身份證明,系統驗證這個身份證明后向用戶授予訪問系統的能力。可分為三類:“只有你知道的事情”“只有你擁有的東西”“只有你具有的特征” 例子:賬號與口令、令牌設備、生物測定技術與行為測定技術。邏輯訪問授權:一般情況下邏輯訪問控制基于最小授權原則,支隊因工作需要訪問信息系統的人員進行必要的授權。當用戶在組織變換工作角色時,在賦予他們新訪問權限時,一般沒有及時取消舊的訪問權限,這就會產生訪問控制上的風險。所以當員工職位有變動時,信息系統審計師就要及時審核訪問控制列表是否做了有效變更。災難恢復控制及其審計:信息系統的災難恢復和業務持續計劃是組織中總的業務持續計劃和災難恢復計劃的重要組成部分。恢復策略與恢復類型:熱站、溫站、冷站、冗余信息處理設施、移動站點、組織間互惠協議。BCP中多個計劃文件:業務持續性計劃(BCP)、業務恢復計劃(BRP)、連續作業計劃(COOP)連續支持計劃、IT應急計劃、危機通信計劃、事件響應事件、災難恢復計劃(DRP)、場所緊急計劃(OEP)
異地備份:完全備份、增量備份、差分備份
災難恢復與業務持續計劃的審計:主要任務是理解與評價組織的業務連續性策略,及其組織業務目標的符合性;參考相應的標準和法律法規,評估該計劃的充分性和時效性;審核信息系統及終端用戶對計劃所做的測試的結果,驗證計劃的有效性;審核異地存儲設施機器內容、安全和環境控制,以評估異地存儲站點的適當性;通過審核應急措施、員工培訓、測試結果,評估信息系統及其終端用戶在緊急情況下的有效反應能力;確認組織對業務持續性計劃的維護措施存在并有效。
應用控制概念:應用控制是為適應各種數據處理的特殊控制要求,保證數據處理完整、準確地完成而建立的內部控制。應用控制涉及各種類型的業務,每種業務及其數據處理尤其特殊流程的要求,這決定了具體的應用控制的設計需結合具體的業務。單另一方面。由于數據處理過程一般都是由輸入、處理和輸出三個階段構成,從這一共性出發,可將應用控制劃分為輸入控制、處理控制和輸出控制。應用控制也是由手工控制和程序化控制構成,但以程序化控制為主。
軟件維護的種類:糾錯行為化、適應性維護、完善性維護、預防性維護 服務管理:面向IT基礎設施管理的服務支持、面向業務管理的服務提供
IT服務提供流程主要面對付費的機構和個人客戶,負責為客戶提供高質量、低成本的IT服務。任務:根據組織的業務需求,對服務能力、持續性、可用性等服務級別目標進行規劃和設計,同時還必須考慮到這些服務目標所需要耗費的成本。主要包括服務水平管理、IT服務財務管理、能力管理、IT服務持續性管理和可用性管理5個服務管理流程。
IT服務的服務支持主要面向終端用戶,負責確保IT服務的穩定性與靈活性,用于確保終端用戶得到適當的服務,以支持組織的業務功能。服務支持流程包括體現服務接觸和溝通的服務臺職能和5個運作層次的流程,即配置管理、事務管理、問題管理、變更管理、發布管理。應用程序審計的內容:
審查程序控制是否健全有效:程序中輸入控制的審計、程序中處理控制的審計、程序中輸出控制的審計。
審查程序的合法性P168 簡單論述
審查程序編碼的正確性:目標和任務不明確、系統設計差錯、程序設計說明書錯誤、程序語法或邏輯錯誤
審查程序的有效性:在具體編寫程序前應簡化算術表達式及邏輯表達式、細心的分析多層嵌套循環,以確定能否把一些語句或表達式轉移到循環體制外、盡量避免采用多維數組、盡量避免采用指針及復雜的表、采用“快”的算法;不要把不同的數據類型混在一起;只要可能就采用整形數的算法運算和布爾表達式。應用程序審計方法:對應用程序進行審計,往往是計算機輔助審計方法與手工審計方法的結合。
檢測數據法:是指審計人員把一批預先設計好的監測數據,利用被審程序加以處理,并把處理的結果與預期的結果作比較,以確定被審程序的控制與處理功能是否恰當、有效的一種方法。
平行模擬法:是指審計人員自己或請計算機專業人員編寫的具有和被審計程序相同處理和控制的模擬程序,用這種程序處理當期的實際數據,并以處理的結果與被審計程序的處理結果進行比較,以評價被審程序的處理和控制功能是否可靠的一種方法 嵌入審計程序法:是指被審計信息系統的設計和開發階段,在被審的應用程序中嵌入為執行特定的審計功能而設計的程序段,這些程序段可以用來收集審計人員感興趣的資料,并且建立一個審計控制文件,用來存儲這些資料,審計人員通過這些資料的審核來確定被審程序的處理和控制功能的可靠性。
程序追蹤法:是一種對給定的業務,跟蹤被審程序處理步驟的審查技術。一般可由追蹤軟件來完成,也可利用某些高級語言或數據庫管理系統中的跟蹤指令被審查程序的處理。
第五篇:信息系統審計工作制度
信息系統審計工作
今天,信息系統已成為企業業務處理的中樞,信息系統的可靠、安全、效率左右著企業的命運。企業不僅要在內部設立信息系統審計部門,實施內部審計,還必須委托外部信息系統審計師站在第三方的客觀立場對信息系統進行全面的檢查與評價。要實施獨立的信息系統審計,確立信息系統審計制度是十分重要的。
因此,為了規范部門內部工作流程和質量控制,協助其他部門了解信息系統審計部門的業務支持范圍、工作內容及工作流程,促進部門間就項目中設計的信息系統審計業務范圍進行有效溝通,協調項目工作計劃的界定和質量管理,避免因項目中工作職責和工作范圍界定不明確而降低審計工作的效率和效果,特制訂此信息系統審計制度。
本制度主要內容包括信息系統審計部門應何時介入企業進行信息系統審計工作,為財務審計團隊提供信息系統審計業務支持的工作范圍及本部門其他的工作職責范圍,信息系統審計的工作程序及方法,以及信息系統審計對客戶能夠達成的效果等,特作以下介紹說明。
一、信息系統審計何時介入
信息系統審計(IT Audit)是信息系統鑒證業務中的一種。信息系統審計是根據業務和信息控制目標,針對信息系統環境內設定的控制,通過搜集和評估審計證據,對信息系統控制的有效性發表結論或意見的過程。
信息系統審計有四個層面:
1.它的目的是對信息系統控制的有效性發表評估結論或審計意見。有效性包括控制設計的有效性和執行有效性;
2.它的對象是信息系統環境中的各種控制流程或機制,包括IT 一般控制和應用控制;3)
3.它的內容是搜集和評估審計證據;
4.它的依據是業務控制目標,比如系統是否有效實施控制保證財務軟件計算的固定資產折舊程序是否準確。通過執行信息系統審計,可以協助財務審計團隊了解和評價信息系統的可靠性和安全性及財務數據的完整性和準確性。
財務審計團隊在財務審計業務計劃階段,需對客戶的信息系統環境進行調查,若客戶的信息系統環境評估結果為復雜時,需邀請信息系統審計人員介入共同探討審計計劃,根據業務系統的復雜度、實體業務性質、財務審計團隊人員的技能和知識、業務處理本質(如:是否為高度自動化)、交易數量及信息系統的管理方式(如:若信息系統由第三方管理,則需考慮是否需要SAS70或者相關的報告)確定信息系統審計業務支持服務范圍,并在信息系統審計計劃中以書面的形式記錄業務約定。若客戶的信息系統環境評估結果為不復雜時,信息系統審計工作可由審計團隊完成,必要時信息系統審計團隊可以提供知識和技術的支持和咨詢服務。
其中,若在計劃審計程序階段或者審計過程中了解到客戶業務處理過程高度自動化(如:銀行,保險,電信,和零售業等高度依賴電算化的企業環境和特定行業高度依賴信息系統處理業務),僅僅執行實質性程序無法提供足夠的審計證據時,在約定信息系統審計業務服務范圍時,需考慮同時包括應用控制審計及其他可以輔助財務審計團隊確認交易的真實性、完整性、準確性、截止性的審計程序。
在約定信息系統審計是否介入時,需要考慮如下因素:
?系統的復雜性;
? ?業務的本質;
? ?財務審計團隊的技能和知識;
? ?系統的位置(例如,如果包含一個服務組織,SAS70或相關的報告能否被使用);
? ?處理的本質(例如高度自動化)和交易的數量。
在評估信息系統是否復雜時,我們認為以下特征是復雜信息系統的指標:
?客戶實施編程和/或開發;
?信息系統處理過程高度自動化,很少或者沒有人工干預;
?不同的系統接口;
?信息系統使用批處理(計劃任務);
?實施了新系統或者系統間進行了轉換;
?使用了單點登錄(SSO)或者集中權限管理(CRM)系統。
二、信息系統審計業務范圍
信息系統審計是一個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面作出判斷的過程。信息系統審計業務范圍包括:
(一)為財務審計團隊提供信息系統審計業務支持;
(二)支持企業內部控制審計;
(三)開展獨立的信息系統審計業務;
(四)對信息系統控制及安全方面提供獨立建議的咨詢服務。
(一)為財務審計團隊提供信息系統審計業務支持
信息系統審計業務為財務審計提供合理保證,其提供的支持服務內容包括:
1.信息系統一般控制:
?IT控制環境/關鍵職責分離;
?主要業務和財務系統的開發以及程序變更管理;
?IT系統運維管理,如數據批處理、數據備份、數據中心維護;
?業務和財務系統環境中關鍵的信息安全和權限控制管理,包括用戶賬戶和授權管理、應用系統安全、數據庫系統安全、操作系統安全、和網絡安全。
2.應用控制:
支持重要業務流程的各應用和接口系統中固化在程序中的關鍵控制點。這要根據財務審計團隊確定的業務流程而定。比如銷售、采購、庫存、應收、應付、總賬、資金、電子商務、銀行存貸等。
3.根據業務復雜性確定的其他控制:
如根據重大賬戶余額,交易類型或披露事項的重大錯報風險的評估結果,對依賴于計算機生成的信息執行信息(CGI)控制測試,計算機輔助審計(CAATs)測試,會計分錄測試(JET)等。
(二)支持企業內部控制審計
信息系統審計對企業的內部控制審計提供支持,對特定基準日內部控制設計與運行的有效性進行審計,其主要內容包括:
1.恰當地計劃內部控制審計工作;
2.實施審計工作,評價內部控制是否可以應對舞弊風險,測試內部控制設計與運行的有效性;
3.評價企業內部控制缺陷,按其影響程度分為重大缺陷、重要缺陷和一般缺陷;
4.獲取充分、適當的證據,為在內部控制審計中對內部控制有效性發表意見和對控制風險結果評估提供支持。
(三)開展獨立的信息系統審計業務
獨立的信息系統審計業務是通過實施信息系統審計工作,對公司、機構或組織是否達成信息技術管理目標進行綜合評價,并基于評價意見提出管理建議,協助組織信息技術管理人員有效地履行其受托責任以達成公司、機構或組織的信息技術管理目標。
獨立的信息系統審計業務也可通過實施信息系統審計工作來對公司、機構或組織所提供的專業化服務(如電子商務、人力資源與薪酬管理外包、在線數據備份等)進行綜合評價從而達到以下目標:
1.判斷一切與該公司、機構或組織所提供的專業化服務相關的流程、操作及管理是否合乎行業標準;
2.保障使用此類專業服務的公司或個人的信息安全性;
3.基于評價意見提出整改建議,從而幫助此類專業服務提供商更好地拓展市場與開放客戶群體。
信息系統審計部門能夠為客戶提供的獨立的信息系統審計業務內容包括:
?企業信息系統控制合規審計報告;
?企業信息系統運行和控制系統設計及評估;
?企業薩班斯法案審計服務;
?其他。
其目的是保證其信息技術戰略充分反映該組織的業務戰略目標,提高公司、機構或組織所依賴的信息系統的可靠性、穩定性、安全性及數據處理的完整性和準確性,提高信息系統運行的效果與效率,合理保證信息系統的運行符合法律法規及監管的相關要求。
(四)對信息系統控制及安全方面提供獨立建議的咨詢服務
信息系統咨詢業務是指結合信息系統安全、企業內部控制管理與外部審計等多方面的專業知識,提供與信息安全相關的信息化建設、信息安全診斷、信息技術認證及ERP系統相關的咨詢業務。
信息系統審計部門能夠為客戶提供的獨立的信息系統咨詢業務內容包括:
?企業信息系統戰略策劃和評估;
?企業信息系統執行及項目管理監理咨詢;
?企業信息系統安全評估;
?企業薩班斯法案咨詢服務;
?企業專業服務系統的行業評估;
?其他。
三、信息系統審計程序
(一)信息系統審計一般程序
審計程序一般可分為四個階段,即準備階段、實施階段、審計結論和執行階段、異議和復審階段。信息系統審計也可分為這四個階段,同時結合自身的特殊要求,運用本身特有的方法,對信息系統進行評價。
1.準備階段
初步調查被審計單位信息系統基本狀況,擬定科學合理的計劃,一般應包括以下主要工作:
(1)調查了解被審計單位信息系統的基本情況,如信息系統的硬件配置、系統軟件的選用、應用軟件的范圍、網絡結構、系統的管理結構和職能分工、文檔資料等,調查完成后將審前調查情況記錄下來。
(2)提前三天送達審計通知書,要求被審計單位對所提供資料的真實性、完整性作出書面承諾,明確彼此的責任、權利和義務。
(3)初步評價被審計單位的內部控制制度,以便確定符合性測試的范圍和重點。
(4)確定審計重要性、確定審計范圍。
(5)分析審計風險。
(6)制定審計實施方案。在審計實施方案中除了對時間、人員、工作步驟及任務分配等方面作出安排以外,還要合理確定符合性測試、實質性測試的時間和范圍,以及測試時的審計方法和測試數據。
在安排利用計算機輔助審計時,還需列出所選用的通用軟件或專用軟件。對于復雜的信息系統,也可聘請專家,但必須明確審計人員的責任。
2.實施階段
實施階段是審計工作的核心,也是信息系統審計的核心。主要工作是根據準備階段確定的范圍、要點、步驟、方法,進行取證、評價,綜合審計證據,借以形成審計結論,發表審計意見。實施階段的主要工作應包括以下兩個方面的內容:
(1)符合性測試。進行符合性測試應以系統安全可靠性的檢查結果為前提。如果系統安全可靠性非常差,不值得審計人員信賴,則應當根據實際情況決定是否取消內控制度的符合性測試,而直接進行實質性測試并加大實質性測試的樣本量。在信息系統的符合性測試項目中,主要內容應該是確認輸入資料是否正確完整,計算機處理過程是否符合要求。如果系統安全可靠性比較高,則應對該系統給予較高的信賴,在實質性測試時,就可以相應地減少實質性測試的樣本量。
(2)實質性測試。實質性測試應該是對被審計單位信息系統的程序、數據、文件進行測試,并根據測試結果進行評價和鑒定。進行實質性測試須依賴于符合性測試的結果,如果符合性測試結果得出的審計風險偏高,而且被審計單位有利用信息系統進行舞弊的動機與可能,并且被審計單位又不能提供完整的會計文字資料,此時審計人員應考慮對會計報表發表保留意見或拒絕表示意見的審計報告。進行實質性測試時,可考慮采用通過計算機和利用計算機進行審計的方法,具體包括:
①測試數據法:就是將測試數據或模擬數據分別由審計人員進行手工核算和被審計單位信息系統進行處理,比較處理結果,作出評價;
②受控處理法:就是選擇被審計單位一定時期(最好是12月份)實際業務的數據分別由審計人員和會計電算化系統同時處理,比較結果,作出評價。
(3)利用輔助審計軟件直接審查信息系統的數據文件。審計人員可利用現場審計實施系統軟件(AO)直接對數據進行數據轉換,數據查詢,抽樣審計,查賬,賬務分析等測試,得出結論,作出評價。
3.審計結論和執行階段
審計人員對信息系統進行符合性測試和實質性測試后,整理審計工作底稿,編制審計報告時,除對被審單位會計報表的合理性、公允性發表意見,作出審計結論外,還要對被審單位信息系統的處理功能和內部控制進行評價,并提出改進意見。
審計報告完成后,先要征求被審單位的意見,并報送審計機關和有關部門。審計報告一經審定,所作的審計結論和決定需通知并監督被審單位執行。
4.異議和復審階段
被審單位對審計結論和決定若有異議,可提出復審要求,審計部門可組織復審并作出復審結論和決定。特別是被審單位信息系統有了新的改進時,還需組織后續審計。
(二)信息系統審計協調程序
為財務審計團隊提供信息系統審計業務支持服務前,為了合理安排信息系統審計工作計劃,財務審計項目負責人與信息系統審計部門應執行下列協調程序:
1.財務審計項目負責人在制定當年審計計劃時應考慮所需信息系統審計部門進行審計支持的內容與實行時間;
2.財務審計項目負責人提前在9月底將所需信息系統審計時間告知信息系統審計部門,與信息系統審計部門討論確定服務內容,預約部門成員;
3.信息系統審計部門搜集所有信息系統審計需求,按照項目時間安排信息系統審計人員工作計劃,并與財務審計項目團隊、客戶協調;
4.信息系統審計部門及時完成外勤工作、底稿編制和底稿審核,并把結論書面告知財務審計項目團隊,并與財務審計團隊對信息系統審計部門的最后結論達成口頭或書面共識;
5.信息系統審計部門將按照事務所要求歸檔、保管底稿。
其他信息系統項目的工作計劃參照上述信息系統審計業務支持服務,與相關方及時溝通制定審計計劃,在制定的項目時間內完成工作。
(三)信息系統審計結果報告程序
信息系統審計部門實施信息系統審計的計劃、程序、證據、結論等底稿都會按照相應的審計準則進行記錄和保存。
1.在財務審計系統審計風險評估當中,信息系統審計部門不會出具某種審計報告,而是出具評估結論,一般以底稿備忘錄的形式提交給財務審計團隊。該備忘錄總結信息系統審計中評估的范圍、方法、時間/區間、結論、重大控制缺陷或風險點等內容。
2.在獨立的信息系統審計業務和咨詢業務中,會出具獨立的審計報告。報告將以事務所名義簽發。
點擊咨詢 