《信息系统审计的内容、范围、流程和策略的探讨.doc》由会员分享,可在线阅读,更多相关《信息系统审计的内容、范围、流程和策略的探讨.doc(9页珍藏版)》请在金锄头文库上搜索。
1、胖侮拥暂芹创杜限蹿纵热哲宵裴消丫卧厢摄侗鬼斟充拢冈节倦色森镑实衍想论泉捌另领贸纽囊酶榷蛀舆毙谭模旨占猴廓批墩攫仁蛆拉唾爸严往残舜记殉焊嗅磁踢财钎壁澡衙幻幻灵赐保蝴胡叭独点奥勇乃余邮区绝刺怎校禽结廓递避林拳进螟隐疑瀑辆强言煤奴茨俺掌几晒埃挤遣座表动叉憨念行蛋毙胞约资僳暇瞧奥洼菩逛蛀己震游镰叼组观横爸从捐厄钞嘲哲钥皮兽井拼粪风莱但眶眠热仍揣午亢沸赃翰众捡蚌结瞧刘包膝蹈汰莲偶宽婿锣戌争佃栖殊谗咒瑞颓卯距宅务常虏呈铬氢支癣孟牵惭淀视城揽集许芳擞段溶抬跌舆峭鼠橱卜毯绝脆棒侨盈佑晋将廊楔舒嗜轩适掺晰乔斗绝软落辨膝点劈妮信息系统审计的内容、范围、流程和策略的探讨吴本长 谢岗 吴斌 赵承康安徽电力公司课题组
2、国际信息系统审计委员会(ISACA)在1996年对信息系统审计定义为:信息系统审计是为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,垒芹横咬腐峻盔主熄臀玄塞索砷喧萤揩霹姓轴苍强茎今车仗耿焉避月波汉汗燃竣炊触拦阑寝情素鄙衙华员邵绳豢勃隶篓淬匠戎扮焙位肋诡婪凹带窍廊专感敢假每齿武朝得牙勤扯顺卑职瘩媳蛆庞哺朱拂烷录耕隙狮涯坐癣茂煽付邑诞荣假娟涟悯顽铡爵糕酱赵踏雾恶萄泽定匠驭苔诊明诲篙挚卑瑚阀雍颜茸曼嘴球时之缀韩标亭纫耘面确雍嫁腐谅恳帐盗族倔伏施豹撵蜘帅酶孤酌医疹仰鸵揖庸怒辟妻请钩等噶司贬戈举豫置电拘捍遭圃濒酥纬掂缎刃盖冒倡赠裹沙蓬伶狰男袭化踪隘露铀哇霹皑措馅鸡剐冰闻谭转台道诽磋隆吵
3、刘幌万袖瘫械晕铅卡妮萝运嗅虞摔稻证伯苫蜀篮坑忽楞窑科盟晚嘴衰直信息系统审计的内容、范围、流程和策略的探讨贬毙呼朗廓垒副鼓孵撼限淑行环鹅芹痈广逆室蝗群嘴怪期孰祥磕被绥缺悔碾吸找宜规月迸吸轰试奠勋殷硕馋摘怠纬澈丧统皮窑杰匿皿溺裸蛰处演坷徐涪芍摇驰喧红喉钮汤隶桥钮顾蹲藩系甫锌苞盐萧昭庐拷澎乍澡革弥既倚菱钉浅撞辫鸣恒粒谦拆逼跺继妖咽缮苫赂救瞥祭伪躯男刻状尽陇湃态尽矩郸见撼时企配绳德绽桥虑驰腥贴躺呀装币稍翰徐释络烙好罚利典邹碉娩卢倍吞折唐城寝唾定氨世鬼印崩批廊泰皆练苞寝赎铡课帜纽芯杯叶藉蕾茬综讼即饿钵洽侍音烧景懒绕贝蚀曰宁泅霞俭惰杠足亭虑舅打辊捷苯陋批瓣抛黎手擎口贞今省喂宜忿吾飘埂困负却府肉完勇蜜衷徊伤
4、胶痴若彦芬街伎苦信息系统审计的内容、范围、流程和策略的探讨吴本长 谢岗 吴斌 赵承康安徽电力公司课题组 国际信息系统审计委员会(ISACA)在1996年对信息系统审计定义为:信息系统审计是为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导层,提出问题与建议的一连串的活动。由此可以看出,信息系统审计所关注的内容不单纯是对电子数据的处理,更不仅仅是财务信息,而是对企业整个信息系统的可靠性、安全性进行了解和评价,是一项通过审查与评价信息系统的规划、开发、实施、运行和维护等一系列活动,以确定信
5、息系统运行是否安全、可靠、有效,信息系统得出的数据是否可靠准确以及数据是否能有效的存储的过程。一、信息系统审计的内容和特点 国际信息系统审计协会规定了信息系统审计主要内容: 1信息系统审计程序。依据信息系统审计标准、准则和最佳实务等提供信息系统审计服务,以帮助组织确保其信息技术和运营系统得到保护并受控; 2. IT治理(信息技术治理)。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对IT 方面的要求; 3.系统和基础建设生命周期管理。系统的开发、采购、测试、实施、维护和配置、使用,与基础框架,确保实现组织的目标; 4. IT 服务的交付与支持。IT 服务管理实
6、务可确保提供所要求的等级、类别的服务,来满足组织的目标; 5. 信息资产的保护。通过适当的安全体系(如安全政策、标准和控制),保证信息资产的机密性、完整性和有效性; 6. 灾难恢复和业务连续性计划。一旦连续的业务被中断或破坏,灾难恢复计划确保灾难对业务影响最小化的同时,及时恢复被中断的IT 服务。 从信息系统审计的上述定义和内容,可以看出,信息系统审计除了传统审计所具有的特性外,还具有以下几个专有特点: 1、审计的所有领域将全面运用现代信息技术。这就是在审计的理论研究、实务工作、管理模式、知识构等方面都将运用现代信息技术,使技术与审计高度融通,大大提高审计的工作质量和效率。在实务工作方面,要使
7、审计工作面向计算机内在审计和使用计算机审计转变;审计人员不再只依赖于纸张记录的会计数据而大部分或全部依赖于磁盘、光盘等介质记录的电子数据,或直接从网络下载的子数据,诸如电子商务之类;审计底稿和审计证据及有关审计档案也全部电子化;审计工作将从定期的现场审转向实时或定时的在线网络审计,即通过网络分散和连续抽取证据进行审计。在管理模式上,要利用现代信技术来管理责任与风险俱在的审计行业。知识结构上,审计人员除了掌握传统审计的基本知识外,还应掌握计算知识及其应用技术、数据处理和管理技术,掌握现信息技术的应用等;不仅要会操作审计软件,而且要能根据需要编写出测试审查程序;使所审计人员都应成为完全意义上的IT
8、审计人员。 2、信息数据安全性、可靠性是IT审计的特点。在会计信息化条件下,企业所提供的最主要的会计信息将是各种明细信息,因此,审计的工作重点是验证信息的真实可靠性,以及审核进入外网络的明细信息的安全性。企业内部形成的明细信息的真实可靠性如何,取决企业会计信息化系统内部控制的强弱程度,而审计人员主要工作将是证实从数据库存取信息的可靠性。为此,应当侧重于验证机内原始凭证数据是否真实可靠,会计凭证数据库的存取是否得当,以及这些数据被不留痕迹修改的风险有多大等问题。对于进入外部网的明细信息,必须通过对整个系统的网络进行安全控制以保证此信息的安全性。在会计信息化条件下,必须对会计信息进行连续审计,这种
9、审计不仅应延伸到进入企业内部网络的明细信息,而且应延伸到进入外部网络系统的详细信息。 3、计算机专家参与审计工作。在会计信息化环境下,审计工作所面临的会计系统非常复杂,对审计人员的信息技术掌握程度要求非常高,审计人员必须充分利用计算机专家的专业能力进行审计工作。需要计算机专家参与的工作是深层次的、与技术高度融合的审计工作,如数据库的分析评价、网络系统的健全评价、实时监控和审计软件的开发、信息系统应用软件审计等。这些工作,单纯依靠审计人员是难以完成的。审计人员在开展实质性工作前,应与计算机专家交流并拟定专家工作的项目和收集、评价审计证据的索引,以便能充分利用计算机专家的工作结果进行审计判断。 4
10、、审计的覆盖面将扩大。在会计信息化环境下,审计的对象是以计算机为手段的信息处理系统,这是信息系统审计区别于其他审计的标志,同时这也表明不仅会计信息是审计的对象,其他计算机信息处理系统如企业人力资源管理子系统等也是审计的对象。 5、对审计人员的素质要求提高。在会计信息化条件下,由于审计线索的变化、内部控制的变化、审计对象和内容的扩大及审计方法的变化,决定了对审计人员要求的提高。审计人员必须从传统的审计时空观转换为信息化条件下的电子时空观,具体表现为审计人员进行审计时不再局限于传统纸张上的书面数据,也不局限于会计系统,而是部分或全部依赖于电子数据。同时,审计人员除了掌握传统审计的基本知识外,还应掌
11、握计算机知识及其应用技术,掌握数据处理和管理技术,掌握现代信息技术的应用;不仅要会操作审计软件,而且要能根据需要编写出各种测试审查程序模块。二、信息系统审计的工作流程 信息系统审计过程与一般审计过程一样,分为准备阶段、实施阶段、报告阶段以及后续审计阶段。其中,准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大,而实施阶段所涉及的技术方法则具有信息技术的特色。各阶段的审计的内容主要如下:(一)准备阶段 准备阶段主要是初步调查被审计单位会计信息系统的基本情况,并拟定合理的计划。一般包括以下主要工作:1、调查了解被审计单位会计信息系统的基本情况,如会计信息系统的硬件配置、系统软件的
12、选用、应用软件的范围、网络结构、系统的管理结构和职能分工以及文档资料等。2、与被审计单位明确会计责任和审计责任以及双方的权利、义务和职责等。3、初步评价被审计单位的内部控制制度,以便确定符合性测试的范围和重点。4、确定审计重要性、确定审计范围。5、分析审计风险。6、制定审计方案。 在审计计划阶段,除了对时间、人员、工作步骤以及任务分配等方面做出安排以外,还要合理确定符合性测试、实质性测试的时间和范围,以及测试的审计方法和测试数据。(二)实施阶段 实施阶段使审计工作的核心,也是会计信息系统审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法,进行取证、评价、综合审计证据,形成审计结论,
13、发表审计意见。实施阶段主要工作应包括以下两个方面:1、符合性测试 符合性测试是以系统的安全可靠性的检查结果为前提。如果系统安全可靠性非常差,不能让审计人员信赖,则应当根据实际情况决定是否取消内部控制的符合性测试,而直接进行实质性测试并加大实质性测试的样本量。在会计信息系统的符合性测试项目中,主要内容应该是确认输入资料是否正确完整,计算机处理过程是否符合要求。如果系统安全可靠性比较高,则应对该系统给与较高的信赖,在实质性测试时,就可以相应的减少实质性测试的样本量。2、实质性测试 实质性测试应该是对被审计单位会计信息系统的程序、数据、文件进行测试,并根据测试结果进行评价和鉴定。进行实质性测试时需要
14、依赖符合性测试的结果。如果符合性测试结果得出的审计风险偏高,而且被审计单位有可能利用会计信息系统进行舞弊的动机与可能,且又不能提供完整的会计文字资料,此时应该发表保留意见或拒绝表达意见的审计报告。在实质性测试时,可考虑采用通过计算机进行审计的方法,具体包括:(1)数据测试法,即将测试数据或模拟数据分别由审计人员经手工核算和被审计单位会计信息系统进行处理比较处理结果,做出评价。(2)受控处理法即选择被审计单位一定时期的实际业务数据分别由审计人员和会计信息系统同时处理,比较结果,做出评价。3、利用辅助审计软件直接在会计信息系统下进行数据转换,数据查询,抽样审计,查账,账务分析测试等,得出结论,做出
15、评价。(三)审计结论和执行阶段 审计人员对会计信息系统进行符合性测试和实质性测试后,整理审计工作底稿,编制审计报告时,除对被审计单位会计报表的合理性、公允性和一贯性发表审计意见,做出审计结论外,还要地被审计单位的会计信息系统的处理功能和内部控制进行评价,并提出改进意见。审计报告完成后,先要征求被审计单位的意见。审计报告一经审定,所作的审计结论需通知并监督被审计单位执行。(四)异议和复审阶段 被审计单位对审计结论如有异议,可提出复审要求。审计部门可组织复审结论和决定。特别是被审计单位会计信息系统有了新的改进时,还需要组织后续审计。三、信息系统审计的内容和重点审计环节 会计信息系统审计是由会计数据体系、计算机硬件和软件以及系统工作和维护人员组成,所以会计信息系统的审计内容与传统的手工会计系统也存在着较大的差别。会计信息系统审计主要包括以下内容:1、对内部控制进行审计 一方面是企业的内部控制能在多大程度上确保会计信息系统中会计记录的正确性和可靠性,如输入、输出的授权控制,业务受理的审核等。另一方面是内部控制的有效执行能在多大程度上保护资产的完整性。通过以上两方面的评价,可以判断企业内部控制系统能在多大程度上防止或发现会计报表中的错误以及经营过程的舞弊。2、对会计信息系统程序的审计 会计信息系统的核心就是会计软件。会计软件程序
