資訊科技稽核
資訊科技稽核(information technology audit, ITA)或資訊系統稽核(information system audit, ISA)是指檢查或驗查資訊系統設施的控制。資訊科技稽核是檢查和評核機構內的資訊系統的日常運作和慣例。評審會得出數據來檢核該系統是會符合機構的要求,包括安全性、資料完整性、運作效率等。
資訊科技稽核在過去曾被稱為自動資料處理稽核、電腦稽核或電子資料處理稽核。
目的
資訊科技稽核與財務審計並不相同。兩者雖然有些相似之處,但其目的和程序並不相同。財務審計主要目的是評核機構是否符合會計守則,而資訊科技稽核主要目的是評核系統安全協定或系統效力,評核企業保護資訊科技資產和分配給認可的一方的能力。
資訊科技稽核可以歸為以下數個問題:
- 機構的電腦系統是否有效地、每時每刻地提供企業所需?
- 資訊系統是否只向相關和認可人士披露有關資訊?
- 資訊系統是否能夠快速地提供準確、可靠的資訊?
資訊科技稽核員主要針對決定資訊財產的風險,並進行控制和評估以減低相關風險。
資訊科技稽核類型
主要分為以下類型[1]
- 技術創新處理稽核
- 創新比較稽核
- 技術定位稽核
五類資訊科技稽核的範疇
- 系統應用
- 資訊處理設施
- 系統開發
- 資訊科技管理及企業架構
- 伺服器與工作檯、通訊、內聯網和外聯網
亦可被統一稱為『一般控制評估』和『應用控制評估』稽核。
資訊科技稽核過程
資訊科技稽核基本過程包括
- 計劃
- 研究與評核控制
- 測試與評核控制
- 報告
- 定期復查
安全
稽核資訊安全在所有資訊科技稽核類型中均是必要的。稽核資訊安全的範疇包括數據中心、網絡及應用安全。與其他技術行業一樣,這些範疇會不斷地改進和更新,資訊稽核員需透過不斷地學習和更新他們所學的知識,來追上系統發展的步伐。
CAATs電腦稽核輔助工具
「電腦稽核輔助技術」(Computer-aided audit tools,縮寫作CAAT),或作「資訊科技稽核專案」,一般會使用電腦稽核輔助工具來進行。這些工具可以協助稽核人員快速的找出相關的交易資料或是資訊系統軌跡資料(log)上的異常或違規行為。專業的CAATs工具提供了對大量資料進行資料分析的能力,因此有了這個工具的幫助下,資訊稽核師、審計師和會計師將能夠提供全面性的查核分析結果,而不必如之前使用審計抽樣的高風險查核方式。稽核人員要成功的使用CAATs工具,其重點是學習一個使用CAATs工具執行資料分析與查核的方法論,要記住「工具是死的」,重點是如何活用它。因此學習使用電腦稽核輔助工具來進行查核的技術(稱為Computer Auditing [2])就變成相對的重要。
參考文獻
- ^ (Goodman & Lawless 1994,§8)
- ^ Studying Computer Auditing,ICAEA-國際電腦稽核教育協會,加拿大, http://www.iacae.org/ (頁面存檔備份,存於網際網路檔案館)