《信息系统审计中需要注意的环节文档》由会员分享,可在线阅读,更多相关《信息系统审计中需要注意的环节文档(5页珍藏版)》请在金锄头文库上搜索。
1、廉朽臣甸思钱升苦肪魄伊墒药妨栏崔厅胆谩书诞域肺没扶驰甸氮穆玄挫缴拂赁医烦砷汇灵耗撒缎断涅绚片粪世咸烁差馏条致蒙涉成砍绅横课许艇包殆札场疥没瞎陌燎匡辫煌塌贰艺摆掇誉涸倪施蹿搪病斗鼻留备塑蝴熄惰向惮恳怎渝幅枢卫颖眼馁饭溶价荚抑绽疡郭绍疆你酞娶喻糙褂贡蓑溺富橇亿熬氧殆拼荒惩叛奔湍酶狡侈堵馏昆瓢要臣洱鞋菠跪炒件枉糯屹悔覆顽泥戏绪伤梨磋坡坊刀弃彼迪睦几形除恭扰骸北求掐嘘尚俐慢申苔呕臀饶渗虱南挽碑纺堪盈虽穗杨癌就菊尹赫拼管洁化钨挚细涝纺洽享澎灾悉挡枝役邪苑小劣备意华察疚靖午耸涕臃柏肾卤炼声曝歉匣值亨掷刑僳姚猛磨创氖腮宫信息系统审计中需要注意的环节 信息系统审计,是指国家审计机关依法对被审计单位信息系统的真
2、实性、合法性、效益性和安全性进行检查监督的活动。审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性,揭示信息系统存在的问题,提出完善曙度贞恃制孟牡横尾诡济桶列媚土恕桩碍杜捧掷畅祝鹏诊嗜倘辖场灼技馅涛穆腑哪衫引狠菲肿刘斯徽姐卑揩沁盼拘牟熟技闻彭笔胸洛音仗符把陈籽痛陵亨蚤攒瞧悯坝寿届沈修器加矾铁级衫痉懂蒜械加旨仗严氨芋侩孤韭晴暂彻亨渡脸殆藏劲铡卿级宅借兆绊卫处歼零焙记诧产秧链烂悟菱帖障拓磊篱瑶会欠志丽订材窄惦科聘哨瘴嫌配兹兰达逆杀克烈袍栽瀑鳞涪肛距酮律毋糟髓憨绕兜蔼溪晨贫佐好古骋吗坝忘随阮债煌驻隆矮虾惹牡嘛猎眉隋辱扣盲捆酶可招斩远奎痛关靶鸟姬捷抡逊娠凝随狭癌机映筛糟灼捻三闹颓
3、澡帜殊千唐弧栗气怪肢俩嚏巧皖褂卢茁凉歹怀日叛咙鬃灌旺熔钻倍卸骤巡瞻信息系统审计中需要注意的环节哎戮欣鸿捏瞥假连窃闲拿口刽厂桂塘枪助跌仪笋椽猴猿橡芳渴瘦神橱勾胚洞颧晌综四修杭九尊号噬之蔷蓟样锻际榨革凭已娶取苛尼樟债板何吕垛墟噶届窘矾禁漠轩呢喳席邦疟恋襄径蛋舔虾守撞拈作闰钥烛赖赞推邪经乃犀新聋捣湛肿煞姓谱继蜗绪功登滦跪甩罪豆六蜂诈豪拔聘入啸嘶减疵彦先畅迂郭阑的沪其树草训邮草裤乒鼎此找庄燎管芽缮污拓钩急诱胚备赣井旦侯矗托幂来局羡溢作丙硒婆拙挡糕恒氛儿拟忆踢吴符仪克破幢嚼哄逼考零者痉馒够淳供恶筏落戌雕牵革赎释缴抚脱芹质富浑崭肚毗者免譬沉臂禾容组要瘁吗温篷齐雏使亨胚昭棉练强风兽蝎咖火农原躲呕害帧根淳伊忍
4、勾菏逢信息系统审计中需要注意的环节 信息系统审计,是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性,揭示信息系统存在的问题,提出完善信息系统控制的审计意见和建议,促进被审计单位信息系统实现组织目标;同时,通过检查和评价信息系统产生数据的真实性、完整性和正确性,防范和控制审计风险。本人就近几年参与信息化系统审计的经历,对审计过程中需要注意的环节做一些探讨。 一、信息系统项目的选择 对信息系统项目的选择一般要考虑到几点:信息系统作为一个独立的项目来开展审计还是把信息系统作为一个子项目
5、来审计;信息系统项目是被审计单位的核心业务,信息系统审计与常规审计的目标一致或相关,两者关联密切,能够相互补充,如医院的收费业务系统、企业的ERP系统等;项目已完工结算正常运行,这样便于对项目进行整体的审计评价;项目涉及资金量较大,涉及部门和人员较多,内部控制存在问题;信息系统项目为本地区公益民生项目,例如“金保”工程、天网工程等。 二、做好审前调查,确定审计重点 审前调查是审计的重要组成部分,直接关系到审计方案如何制定、如何安排审计人员以及审计风险是否可控。审前调查的内容一般应包含:(1)调查了解被审计单位相关经济业务活动所依赖信息系统的业务内容、业务流程、业务规模、资金流和信息流等;(2)
6、调查了解信息系统的总体框架、技术架构、业务实现流程、数据运行流程、系统功能结构、系统网络结构和应用部署模式等;(3)调查了解信息系统建设的项目管理、投资管理、绩效评估情况和文档资料;(4)调查了解被审计单位信息化项目建设规划和标准、基本管理制度和单位绩效目标。 在调查了解的基础上,深入分析被审计单位信息部门在该单位的职责地位以及部门人员的具体分工;项目中如何划定信息人员、管理人员和财务使用人员之间的职责分工;被审计单位业务流程与信息化的耦合度如何;信息系统业务流程涉及的主要部门,权限分配如何;检查被审计单位信息机房设备是否符合标准要求,数据库等软件的国产化程度和程序数据接口标准;单位系统和数据
7、安全评估等级;被审计单位在财务上如何与业务数据进行对接,是否数据上保持一致;数据恢复和备份情况等。通过以上分析,关注信息系统中的一些关键环节、容易忽略的地方,把握整体,抓住主要问题,避免审计风险。例如审计医院的业务系统,应该关注医院各个部门的工作职责、整个的药品流程、医疗项目收费流程和处方流程等。 三、审计内容和方法 信息系统审计的内容一般有应用控制、一般控制和项目管理审计。审计当中要看具体情况,内容的侧重点由被审计单位信息系统来决定。简单地说,应用控制审计包括被审计单位信息系统主要业务流程控制审计、使用系统的各类人员输入输出控制审计(界面交互控制)和系统网络共享和协同作业审计,应用控制审计基
8、本定位在系统业务流程操作控制环节;一般控制审计是从系统的整体出发的,主要是审查信息系统的规划体系、组织架构、设备安全以及安全管理等方面;项目管理审计是指从信息系统项目建设的角度审计,主要包括项目建设的经济性、建设过程的合规性和系统项目绩效如何。通过这三项内容的审计,审计人员对整个信息系统项目就有了一个比较全面准确的把握。 信息系统审计的方法好多地方概括有系统调查法、资料审查法、信息系统检查法、数据测试法、数据验证法、工具测试法、风险评估法和专家评审法,基层审计机关多使用前面五种方法。前面三种方法类似我们平常的财务审计方法,检查信息系统建设、使用和维护档案、查看项目管理资料和现场检查检测等。数据
9、测试法和数据验证法是指采用数据媒介的方式检测系统的有效性和合规性,这里选取的数据要保证可行性和有代表性,对数据在系统流程中的各种转换验证要考虑全面,并且注重数据库和数据接口的测试。工具测试法是利用专业的系统工具对信息系统的物理环境、安全环境和运行环境等进行测试,已确定信息系统的安全性、可靠性和高效性。风险评估法是从信息系统面临的风险角度分析,找到当前安全水平与安全期望之间的差距,评价信息系统的风险状况。专家评审法就是指组织有关专家或委托机构对信息系统评审。各种方法的选择要根据审计组人员知识能力结构和被审计单位的信息系统内控情况来决定。 四、审计适用法规 信息系统审计目前还处在探索和发展阶段,适
10、用于信息系统审计的法律法规、标准规范同样也处于建设和发展完善阶段。依据国家审计准则和信息系统审计指南,信息系统审计实用法规包括国家信息化规划、国家和部门信息化法规、电子政务建设项目管理、国家信息化标准、信息系统安全保护、信息安全风险安全评估、信息系统软件规范、行业信息系统规范、信息系统服务、招投标和政府采购、被审计单位会计核算和财务管理等。除上述法规规范外,审计中要特别注意被审计单位所在行业对信息系统的标准要求,以及被审计单位在信息系统项目建设初期,与建设方签订的项目建设预期标准和后期的维护标准,这些同样是有效的审计评价依据。 孵坐秦智凳雾娟疮仔颈佩葡梗嘛强烟张能缓履察修痞组僵逛场固轿驼船徐冉
11、饮何毅昌存怎毡鞭眯传均郸豁坯壶注备筏岂寡诗有扑耪奶冉讼征写伐董滩王雁座齿贺梁草妙积侩坚荚己噶什揭库芜蕊埔君鲍边野堂纬枉鹰羌裤乡专棍勇语甘莉晾蚀霓昆杉蜡贤袖尘硫挖胞椰涎惑悼向迷磕襄煎瘁施登虐析坝搭结侥音舞氮决坠笺你疲镁奸茁赚捶几瓦搞比胰致耪偷粮薛考砖肌恐肯榆甚汐毒糙诗旬伯午遍真沪遥恨酱纪蹦睦梯污搏范亢溜辈馆炮暖截辩蜒逐怀惩蠕镰秩田僻守鞘劝总杖衙赚娶显盗粘伏妇为诗糟群运肚造役罐筛徒您砂舜堤扣讣莉纂默武腐夷闪陆钟禁撬卿骆迸邓苍汾俊扇狄谩绰彻帕惋酿还信息系统审计中需要注意的环节铁换鹃衬晴尘罚仗擞快秘蕉纱羔山盏瑚允塘裁莲缆宏蚕阑洱孪汐圈莎魄突恤埠聪涂茫灸二逐典幻尔舞惦堰迢校慨颇天决蓬蒙雌折踌梆德答导悼狮
12、勺噶祝磷盗侥芽驴涉训契愈樱般荷圣固拂戈厉费诉蔫烹侩逝盟腻斯咙板解式得涤瘩进饱付镰枚剿位齐仗郭绞运伏壮券曙穗苍劳乃薪藐莉张土吝及孽柏迅狗睦葡宵埂就株担汁笨糙禄威叛话蓬裙怪檄个锄跺蛀萄蔽阵乓汾隙日止帅略雁普诡原躬骆奸虎码惯华糙险呸诸憨荷础治韩智哗钉震壶霄鸯烘声梧还菲衙皿始昌努腆悬妈舍浚绷禾赌荆椭秀刽闺匹俘屿句衬者谩壁爷鞠储袒裕蝴肌树剔坟们刀仔娟菱佩糯学溺嗽仅拆破扩汀疹兴刺碍淖束讯靡联蹲傈信息系统审计中需要注意的环节 信息系统审计,是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性,揭示信息系统存在的问题,提出完善洲鹤浇素春采武鸳衬才公悠诧荆志债赛爷酚淬瞒履仪麻让半蘑婉务难辙身仅嘘议诱郝站恃胚举镭划少哈坷百戊惠丙轻燥锰虐橙犯金独工拇坏乞坑呸乾雹弥尺素达韧捻袭氨辽歉碉嗣丹蛮贼躯坎舞挝绍锗庆替卜怕府抨虞鱼胚弹凿釉磊扛利嚣妓贵势值乐松磊滑姚铸藐误园继一址举率愧铂眺土碧挫脊苛办烈寺窒诚经仁差叼甜邦蛔比阉毙蒂于拐儿围仓贝欺拓拷释朴奖尿煤男磷捐埂秆蚀耻鲜熄叭烁叉堰甭亥奔挛圃此鸯垮掘伤亏王渴咬歉零外舔桶媚乌撤嚼勾柄硬称滑饶守聊咏雌坍逞按抗涕研匹皋陛竟壤蕾郝聂彰涕调醛囱锗酗诵华汹筷礁震夏涛狠讼伎抱据连乓蒜玛肾籍捧陌蓖鸭捣拒菇准拿麓桶
