《信息系统审计的内容范围作业流程和策略的探讨.doc》由会员分享,可在线阅读,更多相关《信息系统审计的内容范围作业流程和策略的探讨.doc(9页珍藏版)》请在金锄头文库上搜索。
1、信息系统审计内容、范围、步骤和策略探讨吴本长 谢岗 吴斌 赵承康安徽电力企业课题组 国际信息系统审计委员会(ISACA)在1996年对信息系统审计定义为:信息系统审计是为了信息系统安全、可靠和有效,由独立于审计对象信息系统审计师,以第三方客观立场对以计算机为关键信息系统进行综合检验和评价,向信息系统审计对象最高领导层,提出问题和提议一连串活动。由此能够看出,信息系统审计所关注内容不单纯是对电子数据处理,更不仅仅是财务信息,而是对企业整个信息系统可靠性、安全性进行了解和评价,是一项经过审查和评价信息系统计划、开发、实施、运行和维护等一系列活动,以确定信息系统运行是否安全、可靠、有效,信息系统得出
2、数据是否可靠正确和数据是否能有效存放过程。一、信息系统审计内容和特点 国际信息系统审计协会要求了信息系统审计关键内容: 1信息系统审计程序。依据信息系统审计标准、准则和最好实务等提供信息系统审计服务,以帮助组织确保其信息技术和运行系统得到保护并受控; 2. IT治理(信息技术治理)。确保组织拥有合适结构、政策、工作职责、运行管理机制和监督实务,以达成企业治理中对IT 方面要求; 3.系统和基础建设生命周期管理。系统开发、采购、测试、实施、维护和配置、使用,和基础框架,确保实现组织目标; 4. IT 服务交付和支持。IT 服务管理实务可确保提供所要求等级、类别服务,来满足组织目标; 5. 信息资
3、产保护。经过合适安全体系(如安全政策、标准和控制),确保信息资产机密性、完整性和有效性; 6. 灾难恢复和业务连续性计划。一旦连续业务被中止或破坏,灾难恢复计划确保灾难对业务影响最小化同时,立即恢复被中止IT 服务。 从信息系统审计上述定义和内容,能够看出,信息系统审计除了传统审计所含有特征外,还含有以下多个专有特点: 1、审计全部领域将全方面利用现代信息技术。这就是在审计理论研究、实务工作、管理模式、知识构等方面全部将利用现代信息技术,使技术和审计高度融通,大大提升审计工作质量和效率。在实务工作方面,要使审计工作面向计算机内在审计和使用计算机审计转变;审计人员不再只依靠于纸张统计会计数据而大
4、部分或全部依靠于磁盘、光盘等介质统计电子数据,或直接从网络下载子数据,诸如电子商务之类;审计底稿和审计证据及相关审计档案也全部电子化;审计工作将从定时现场审转向实时或定时在线网络审计,即经过网络分散和连续抽取证据进行审计。在管理模式上,要利用现代信技术来管理责任和风险俱在审计行业。知识结构上,审计人员除了掌握传统审计基础知识外,还应掌握计算知识及其应用技术、数据处理和管理技术,掌握现信息技术应用等;不仅要会操作审计软件,而且要能依据需要编写出测试审查程序;使所审计人员全部应成为完全意义上IT审计人员。 2、信息数据安全性、可靠性是IT审计特点。在会计信息化条件下,企业所提供最关键会计信息将是多
5、种明细信息,所以,审计工作关键是验证信息真实可靠性,和审核进入外网络明细信息安全性。企业内部形成明细信息真实可靠性怎样,取决企业会计信息化系统内部控制强弱程度,而审计人员关键工作将是证实从数据库存取信息可靠性。为此,应该侧重于验证机内原始凭证数据是否真实可靠,会计凭证数据库存取是否适当,和这些数据被不留痕迹修改风险有多大等问题。对于进入外部网明细信息,必需经过对整个系统网络进行安全控制以确保此信息安全性。在会计信息化条件下,必需对会计信息进行连续审计,这种审计不仅应延伸到进入企业内部网络明细信息,而且应延伸到进入外部网络系统具体信息。 3、计算机教授参与审计工作。在会计信息化环境下,审计工作所
6、面临会计系统很复杂,对审计人员信息技术掌握程度要求很高,审计人员必需充足利用计算机教授专业能力进行审计工作。需要计算机教授参与工作是深层次、和技术高度融合审计工作,如数据库分析评价、网络系统健全评价、实时监控和审计软件开发、信息系统应用软件审计等。这些工作,单纯依靠审计人员是难以完成。审计人员在开展实质性工作前,应和计算机教授交流并确定教授工作项目和搜集、评价审计证据索引,方便能充足利用计算机教授工作结果进行审计判定。 4、审计覆盖面将扩大。在会计信息化环境下,审计对象是以计算机为手段信息处理系统,这是信息系统审计区分于其它审计标志,同时这也表明不仅会计信息是审计对象,其它计算机信息处理系统如
7、企业人力资源管理子系统等也是审计对象。 5、对审计人员素质要求提升。在会计信息化条件下,因为审计线索改变、内部控制改变、审计对象和内容扩大及审计方法改变,决定了对审计人员要求提升。审计人员必需从传统审计时空观转换为信息化条件下电子时空观,具体表现为审计人员进行审计时不再局限于传统纸张上书面数据,也不局限于会计系统,而是部分或全部依靠于电子数据。同时,审计人员除了掌握传统审计基础知识外,还应掌握计算机知识及其应用技术,掌握数据处理和管理技术,掌握现代信息技术应用;不仅要会操作审计软件,而且要能依据需要编写出多种测试审查程序模块。二、信息系统审计工作步骤 信息系统审计过程和通常审计过程一样,分为准
8、备阶段、实施阶段、汇报阶段和后续审计阶段。其中,准备阶段和汇报阶段所包含技术方法和财务审计所利用技术方法区分不大,而实施阶段所包含技术方法则含有信息技术特色。各阶段审计内容关键以下:(一)准备阶段 准备阶段关键是初步调查被审计单位会计信息系统基础情况,并确定合理计划。通常包含以下关键工作:1、调查了解被审计单位会计信息系统基础情况,如会计信息系统硬件配置、系统软件选择、应用软件范围、网络结构、系统管理结构和职能分工和文档资料等。2、和被审计单位明确会计责任和审计责任和双方权利、义务和职责等。3、初步评价被审计单位内部控制制度,方便确定符合性测试范围和关键。4、确定审计关键性、确定审计范围。5、
9、分析审计风险。6、制订审计方案。 在审计计划阶段,除了对时间、人员、工作步骤和任务分配等方面做出安排以外,还要合理确定符合性测试、实质性测试时间和范围,和测试审计方法和测试数据。(二)实施阶段 实施阶段使审计工作关键,也是会计信息系统审计关键。关键工作是依据准备阶段确定范围、关键点、步骤、方法,进行取证、评价、综合审计证据,形成审计结论,发表审计意见。实施阶段关键工作应包含以下两个方面:1、符合性测试 符合性测试是以系统安全可靠性检验结果为前提。假如系统安全可靠性很差,不能让审计人员信赖,则应该依据实际情况决定是否取消内部控制符合性测试,而直接进行实质性测试并加大实质性测试样本量。在会计信息系
10、统符合性测试项目中,关键内容应该是确定输入资料是否正确完整,计算机处理过程是否符合要求。假如系统安全可靠性比较高,则应对该系统给和较高信赖,在实质性测试时,就能够对应降低实质性测试样本量。2、实质性测试 实质性测试应该是对被审计单位会计信息系统程序、数据、文件进行测试,并依据测试结果进行评价和判定。进行实质性测试时需要依靠符合性测试结果。假如符合性测试结果得出审计风险偏高,而且被审计单位有可能利用会计信息系统进行舞弊动机和可能,且又不能提供完整会计文字资料,此时应该发表保留心见或拒绝表示意见审计汇报。在实质性测试时,可考虑采取经过计算机进行审计方法,具体包含:(1)数据测试法,立即测试数据或模
11、拟数据分别由审计人员经手工核实和被审计单位会计信息系统进行处理比较处理结果,做出评价。(2)受控处理法即选择被审计单位一定时期实际业务数据分别由审计人员和会计信息系统同时处理,比较结果,做出评价。3、利用辅助审计软件直接在会计信息系统下进行数据转换,数据查询,抽样审计,查账,账务分析测试等,得出结论,做出评价。(三)审计结论和实施阶段 审计人员对会计信息系统进行符合性测试和实质性测试后,整理审计工作底稿,编制审计汇报时,除对被审计单位会计报表合理性、公允性和一贯性发表审计意见,做出审计结论外,还要地被审计单位会计信息系统处理功效和内部控制进行评价,并提出改善意见。审计汇报完成后,先要征求被审计
12、单位意见。审计汇报一经审定,所作审计结论需通知并监督被审计单位实施。(四)异议和复审阶段 被审计单位对审计结论如有异议,可提出复审要求。审计部门可组织复审结论和决定。尤其是被审计单位会计信息系统有了新改善时,还需要组织后续审计。三、信息系统审计内容和关键审计步骤 会计信息系统审计是由会计数据体系、计算机硬件和软件和系统工作和维护人员组成,所以会计信息系统审计内容和传统手工会计系统也存在着较大差异。会计信息系统审计关键包含以下内容:1、对内部控制进行审计 首先是企业内部控制能在多大程度上确保会计信息系统中会计统计正确性和可靠性,如输入、输出授权控制,业务受理审核等。其次是内部控制有效实施能在多大
13、程度上保护资产完整性。经过以上两方面评价,能够判定企业内部控制系统能在多大程度上预防或发觉会计报表中错误和经营过程舞弊。2、对会计信息系统程序审计 会计信息系统关键就是会计软件。会计软件程序质量高和低直接决定了会计信息系统整体水平高低。审计关键内容是审计会计软件程序对数据进行处理和控制立即性、正确性和可靠性,和程序纠错能力和容错能力。会计软件程序审计可经过计算机审计方法和利用计算机辅助审计数据转换功效来完成。3、对会计数据审计 会计数据处理真实性、正确性、可靠性直接影响会计信息真实性、正确性、可靠性,所以会计数据审计是至关关键。审计人员可采取抽查原始凭证和机内凭证相对比,抽查打印日志账和机内日
14、志账相查对等方法,同时也可采取利用计算机辅助审计软件功效来完成审计,从而降低审计风险4、对会计信息系统开发质量审计 会计信息系统是一项系统工程,关键包含系统分析、系统设计、系统实施和系统维护等。会计信息系统纸来、运行水平,首先依靠于日常管理和维护,其次也取决于会计信息系统开发过程质量。 对会计信息系统审计,应关注三个关键步骤: 1.数据步骤 在审计中,必需使用一个方法能够向前、向后追踪单个交易和资产统计,方便使审计人员选择部分交易对其进行具体检验,确定交易统计是否符合通常审计目标。如对会计事项信息检验,要检验它完整性、时效性、合规性和信息披露等方面,检验内容包含和本会计年度相关交易是否全部统计
15、在册;全部统计交易是否全部是合剪发生并和本会计年度相关;统计交易是否数据正确,计算无误:统计交易是否符合基础和辅助法律要求,符合特定权威机构要求;对统计交易是否进行正确分类,并符合信息对外披露要求等。对财务报表信息检验,要检验完整性、存在性、会计计量、全部权和信息披露等方面,检验内容包含是否统计了全部资产和负债:全部统计资产和负债是否全部是存在;对资产和负债计量是否正确,计算方法是否符合按合理性、一致标准制订会计政策要求:确定资产是被审主体全部、负债是被审主体应该负担,而且资产和负债是否由正当经济活动产生;资产、负债、资本和存货是否全部得到正确披露。同时对信息系统提供业务信息也要进行分析,比如每个月工资总数、某阶段付款清单和订货信息等,要搞清基础交易情况,并一直追踪到信息源。对上述信息分析能够采取计算机辅助审计技术,根据特定标准对数据进行汇总、分类、排序、比较和选择,并进行多种运算。 2.内部控制步骤 内部控制通常而言是指组织经营管理者为了维护财产物资安全、完整,确保会计信息真实、可靠,确保经营管理活动经济性、效率性和效果性和各项法律和规范遵守,而对经营管理活动进行调整、检验和制约所形成内部管理机制,是组织为实现管理目标而形成自律系统。计算机系统内部控制关键分为应用控制、通常
