第一篇:關(guān)于企業(yè)信息系統(tǒng)審計的幾點認(rèn)識
關(guān)于企業(yè)信息系統(tǒng)審計的幾點認(rèn)識
來源:CIO時代網(wǎng)
審計署劉家義審計長提出了“信息系統(tǒng)應(yīng)用責(zé)任審計是經(jīng)濟責(zé)任審計7個組成方面之一”的觀點,為企業(yè)信息系統(tǒng)審計指明了方向和目標(biāo)。我有幸參加了審計署組織的第一次與經(jīng)濟責(zé)任審計相結(jié)合的企業(yè)信息系統(tǒng)審計項目,下面結(jié)合工作實際談一下我對企業(yè)信息系統(tǒng)審計的幾點認(rèn)識:
一、企業(yè)信息系統(tǒng)審計是實現(xiàn)評價領(lǐng)導(dǎo)人信息系統(tǒng)應(yīng)用責(zé)任的重要方法
目前,大型企業(yè)在組織形態(tài)走向分散化的同時其管理的集約化程度不斷提高,依靠集中的信息管理,很多大企業(yè)建立了比較發(fā)達(dá)的“神經(jīng)系統(tǒng)”,不僅基本實現(xiàn)了財務(wù)統(tǒng)一管理,在業(yè)務(wù)領(lǐng)域也實現(xiàn)了分布式應(yīng)用、集中化管理,信息系統(tǒng)的復(fù)雜度和數(shù)據(jù)量隨之迅速增長。因此,現(xiàn)在依靠傳統(tǒng)的計算機審計思路和方法,很難對信息化程度較高的大型企業(yè)的領(lǐng)導(dǎo)人的信息系統(tǒng)應(yīng)用責(zé)任做出評價,但我們通過信息系統(tǒng)審計可以從一定程度上回答企業(yè)全面的內(nèi)控和管理情況,從而達(dá)到評價企業(yè)領(lǐng)導(dǎo)人的信息系統(tǒng)應(yīng)用責(zé)任的目的。雖然目前通過信息系統(tǒng)審計方法較難查出大案要案,與當(dāng)前審計環(huán)境和要求有一定矛盾,但從長遠(yuǎn)看,企業(yè)信息系統(tǒng)審計一定有生命力和發(fā)展前途。
二、企業(yè)信息系統(tǒng)審計的方法步驟及主要內(nèi)容
在國內(nèi)信息系統(tǒng)審計指南還未發(fā)布的情況下,我們本次企業(yè)信息系統(tǒng)審計主要參照2009年美國聯(lián)邦政府責(zé)任辦公室發(fā)布的《聯(lián)邦信息系統(tǒng)控制審計手冊》(以下簡稱FISCAM)提供的方法步驟和主要內(nèi)容,結(jié)合中國企業(yè)審計的實際情況開展。具體情況是:
(一)企業(yè)信息系統(tǒng)審計的方法步驟
FISCAM提供了一種依據(jù)在政府審計標(biāo)準(zhǔn)中提及的“一般公認(rèn)的政府審計標(biāo)準(zhǔn)(GAGAS)”來執(zhí)行信息系統(tǒng)控制審計的方法,結(jié)合本次審計,我認(rèn)為企業(yè)信息系統(tǒng)的基本方法步驟為:一是了解審計的總體目標(biāo)和信息系統(tǒng)控制審計的范圍,二是了解被審計單位的運營情況和關(guān)鍵業(yè)務(wù)流程,三是全面了解被審計單位的網(wǎng)絡(luò)架構(gòu),四是識別審計關(guān)注的關(guān)鍵審計域,五是初步評價信息系統(tǒng)風(fēng)險,六是識別關(guān)鍵控制點,七是進(jìn)行符合性測試,八是根據(jù)符合性測試結(jié)果進(jìn)行實質(zhì)性測試,最后是形成審計報告。
(二)企業(yè)信息系統(tǒng)審計的主要內(nèi)容
我認(rèn)為企業(yè)信息系統(tǒng)審計主要基于內(nèi)部控制開展,信息系統(tǒng)內(nèi)部控制是為了保證信息系統(tǒng)的有效性、可靠性和安全性,提高信息系統(tǒng)運營效率,確保信息準(zhǔn)確、完整、可靠,有效保護信息資產(chǎn),利用各種手段和技術(shù),對信息系統(tǒng)實施的管理和控制過程。信息系統(tǒng)內(nèi)部控制可以劃分為一般控制和應(yīng)用控制。
一般控制是對信息系統(tǒng)的開發(fā)、實施、維護和運行所進(jìn)行的控制,主要目標(biāo)為數(shù)據(jù)安全,保護應(yīng)用程序,并確保計算機在異常中斷情況下能持續(xù)運行。一般控制所采用的控制措施普遍適用于所有的應(yīng)用系統(tǒng),為應(yīng)用系統(tǒng)提供了環(huán)境上的保證。
應(yīng)用控制即業(yè)務(wù)流程應(yīng)用程序級的控制,是指與被審計單位具體業(yè)務(wù)活動相關(guān)的控制,與一般控制相對應(yīng)。應(yīng)用控制既可以在信息系統(tǒng)內(nèi)實現(xiàn),也可以以手工方式實現(xiàn)。FISCAM定義應(yīng)用控制為:對交易的完整性,準(zhǔn)確性,有效性,機密性和可用性以及在應(yīng)用處理中的數(shù)據(jù)的控制,通常分為應(yīng)用程序級一般控制、業(yè)務(wù)流程控制、接口控制、數(shù)據(jù)管理系統(tǒng)控制等四類控制。
三、企業(yè)信息系統(tǒng)審計的知識能力要求
企業(yè)信息系統(tǒng)審計涉及多學(xué)科,需要高素質(zhì)的綜合型審計人員,審計人員必須具備開展信息系統(tǒng)審計所需要的審計、內(nèi)部控制與信息技術(shù)專業(yè)能力,應(yīng)當(dāng)取得審計署計算機審計資格和信息系統(tǒng)審計資格,掌握信息系統(tǒng)基本知識,如具備財務(wù)會計、大型數(shù)據(jù)庫、網(wǎng)絡(luò)安全、內(nèi)部控制等方面的知識,同時具備一定的計算機輔助審計能力,能熟練運用外部資源進(jìn)行信
息系統(tǒng)審計測試。必要時,我們還需從外部聘請專家解決專業(yè)能力不足的問題。
FISCAM中對信息系統(tǒng)審計人員的專業(yè)能力也提出了具體要求,如業(yè)務(wù)流程控制審計就需具備以下專業(yè)知識和能力:一是有關(guān)應(yīng)用數(shù)據(jù)完整性、準(zhǔn)確性、有效性和機密性的實務(wù)、策略和技術(shù)的知識;二是每個業(yè)務(wù)流程處理周期中的典型應(yīng)用的知識;三是使用通用審計軟件包對應(yīng)用程序數(shù)據(jù)進(jìn)行數(shù)據(jù)分析和測試,以及計劃、提取與評價數(shù)據(jù)樣本分析和評價組織的應(yīng)用控制,并界定其優(yōu)缺點的能力。
第二篇:企業(yè)信息系統(tǒng)審計的研究
企業(yè)信息系統(tǒng)審計的研究
來源:CIO時代網(wǎng)
實現(xiàn)工業(yè)化仍然是我國現(xiàn)代化進(jìn)程中艱巨的歷史性任務(wù)。信息化是我國加快實現(xiàn)工業(yè)化和現(xiàn)代化的必然選擇。近年來,企業(yè)對信息技術(shù)的投入逐年加大,信息化程度也越來越高。信息化的蓬勃發(fā)展,促進(jìn)了其經(jīng)營管理水平的提高,特別是在提高管理創(chuàng)新、集中管控能力、執(zhí)行力和市場反應(yīng)能力等方面,信息技術(shù)的應(yīng)用確實帶來意想不到的效率和成果。但是,信息系統(tǒng)給社會帶來的危害主要體現(xiàn)在以下幾方面:突發(fā)事件的影響,由于1993年紐約世界貿(mào)易大廈爆炸事件,使得當(dāng)時入住的多數(shù)企業(yè)的商業(yè)數(shù)據(jù)如數(shù)喪失,導(dǎo)致在企業(yè)這一年內(nèi)的很多商業(yè)活動無法進(jìn)行;錯誤操作、不正當(dāng)使用和濫用信息技術(shù),1998年發(fā)生的CIH病毒,導(dǎo)致全球數(shù)百萬臺計算機硬件損壞,導(dǎo)致近百億美元的經(jīng)濟損失。信息系統(tǒng)開發(fā)失敗。1994年,Standish Group對IT行業(yè)8400個項目(投資250億美元)的研究結(jié)果表明有34%的項目徹底失敗,50%的項目在補救后完成,預(yù)算平均超出90%,進(jìn)度平均超出120%。這些失敗和補救的項目中、不少未經(jīng)過投資風(fēng)險評估便匆匆上馬,超成了極大的社會資源浪費,對信息系統(tǒng)投資方面起到了極其惡劣的影響。因此,迫切需要對正在使用或即將投產(chǎn)的信息系統(tǒng)的安全性、真實性、完整性、有效性進(jìn)行鑒證。通過對信息系統(tǒng)的審計,保證信息系統(tǒng)的可信度,促進(jìn)內(nèi)控體系的規(guī)范建設(shè),信息系統(tǒng)審計已成為擺在企業(yè)管理人員案頭迫切需要開展的重要工作。在我國信息化推進(jìn)過程中,存在不同程度上的一些問題,主要表現(xiàn)在規(guī)劃制訂不夠科學(xué),項目管理不夠嚴(yán)格,監(jiān)理機制不夠健全,系統(tǒng)運行效益不夠明顯。致使相當(dāng)一部分信息化項目失敗或未能實現(xiàn)預(yù)期目標(biāo),浪費了大量資源。究其根源主要原因之一是信息化建設(shè)第三方監(jiān)管機制的缺失和標(biāo)準(zhǔn)的不健全。
一、審計信息系統(tǒng)
信息系統(tǒng)審計是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測、評估和控制的過程,以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實現(xiàn)。
審計信息系統(tǒng)最早稱為計算機審計,計算機審計業(yè)務(wù)主要關(guān)注對被審計單位電子數(shù)據(jù)的取得、分析、計算等數(shù)據(jù)處理業(yè)務(wù),還稱不上信息系統(tǒng)審計。隨著計算機技術(shù)應(yīng)用范圍的不斷擴展,計算機審計所關(guān)注的內(nèi)容也從單純的對電子的處理延伸到對計算機系統(tǒng)的可靠性、安全性進(jìn)行了解和評價。在制度基礎(chǔ)審計的模式下,計算機審計的業(yè)務(wù)內(nèi)容已經(jīng)擴展到了符合性測試領(lǐng)域。信息系統(tǒng)的安全性、可靠性與其所服務(wù)的組織所面臨的各種風(fēng)險的聯(lián)系越來越緊密,對被審計單位風(fēng)險的評估必須將計算機信息系統(tǒng)納入考慮范圍。計算機審計的業(yè)務(wù)范圍已經(jīng)覆蓋了一項審計業(yè)務(wù)的全過程,信息系統(tǒng)審計的概念隨之出現(xiàn)。
在建立信息系統(tǒng)審計制度,開展信息系審計研究方面,美國走在了前面。早在計算機進(jìn)入實用階段時,美國就開始提出系統(tǒng)審計(SYSTEM AUDIT)。1969年在洛杉磯成立了電子數(shù)據(jù)處理審計師協(xié)會(EDPAA),1994年該協(xié)會更名為信息系統(tǒng)審計與控制協(xié)會(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)即ISACA,總部設(shè)在美國芝加哥。目前該組織在世界上100多個國家設(shè)有160多個分會,現(xiàn)有會員兩萬多人,它是從事信息系統(tǒng)審計的專業(yè)人員唯一的國際性組織,CISA(Certified Information System Auditor)也是這一領(lǐng)域的唯一職業(yè)資格。
在很多大型公司內(nèi)部,信息系統(tǒng)審計部門已經(jīng)成為一個獨立的對外提供多種服務(wù)的部門。尤其是互聯(lián)網(wǎng)和電子商務(wù)的興起,更是為信息系統(tǒng)審計業(yè)務(wù)帶來了無盡的商機。為財務(wù)報表審計提供服務(wù)只占信息系統(tǒng)審計部門業(yè)務(wù)內(nèi)容很小的一部分。與信息安全相關(guān)的防火墻審計、安全診斷、信息技術(shù)認(rèn)證以及ERP相關(guān)的新型咨詢業(yè)務(wù)也不斷涌現(xiàn)。”未來審計行業(yè)和審計技術(shù)的發(fā)展動力將主要來自于信息系統(tǒng)審計的發(fā)展“,這一觀點已經(jīng)逐漸成為國外會計、審計界的一個共識。信息系統(tǒng)審計師的地位也在不斷提高。在國外的一些大型會計公司中已經(jīng)出現(xiàn)了沒有CPA資格的合伙人,他們持有的專業(yè)資格就是CISA.據(jù)專家介紹,國際信息系統(tǒng)
審計師(簡稱IT審計師)目前已經(jīng)成為全球范圍最搶手的高級人才。
在初期,信息系統(tǒng)審計是作為傳統(tǒng)審計業(yè)務(wù)的一部分,在審計師對由計算機系統(tǒng)處理的數(shù)據(jù)的質(zhì)量進(jìn)行判斷時提供技術(shù)支持。有信息系統(tǒng)審計技能的審計師被看作是會計師事務(wù)所的技術(shù)資源,在必要時為同事提供技術(shù)支持。對于信息系統(tǒng)審計,需求領(lǐng)域很廣。如對組織的信息系統(tǒng)審計(主要集中在對信息技術(shù)的管理控制)、技術(shù)方面的信息系統(tǒng)審計(包括架構(gòu)、數(shù)據(jù)中心、數(shù)據(jù)通信等)、應(yīng)用的信息系統(tǒng)審計(包括經(jīng)營、財務(wù))、開發(fā)實施信息系統(tǒng)審計(包括需求識別、設(shè)計、開發(fā)以及實施后階段)和信息系統(tǒng)是否符合國家或國際標(biāo)準(zhǔn)的審計等等。
二、構(gòu)建信息系統(tǒng)審計
信息系統(tǒng)審計的建立是一項復(fù)雜的系統(tǒng)工程,所以應(yīng)制訂長遠(yuǎn)的開發(fā)規(guī)劃,由簡到繁分階段逐步實現(xiàn)。它的功能應(yīng)該是:實現(xiàn)審計信息的收集、處理和共享;實現(xiàn)審計日常管理的自動化;通過計算機建立程序化的標(biāo)準(zhǔn)審計方法和統(tǒng)一的審計標(biāo)準(zhǔn),從而提高審計工作的效率和質(zhì)量。實現(xiàn)審計管理規(guī)范化;保證審計作業(yè)規(guī)范化;促進(jìn)審計文檔規(guī)范化;審計質(zhì)量監(jiān)督規(guī)范化;提高審計結(jié)論的層次。基于上述的系統(tǒng)目標(biāo),信息系統(tǒng)審計當(dāng)前應(yīng)由審計證據(jù)管理子系統(tǒng)、信息系統(tǒng)安全標(biāo)準(zhǔn)子系統(tǒng)、信息系統(tǒng)安全評估子系統(tǒng)、項目管理審計子系統(tǒng)和信息系統(tǒng)審計法律標(biāo)準(zhǔn)子系統(tǒng)等五個子系統(tǒng)組成。
(一)審計證據(jù)管理子系統(tǒng)
1。審計證據(jù)收集
(1)傳統(tǒng)方法收集審計證據(jù)
(2)通過數(shù)據(jù)接口直接向計算機會計信息系統(tǒng)獲取審計證據(jù)
(3)在線系統(tǒng)審計證據(jù)收集
(4)計算機網(wǎng)絡(luò)系統(tǒng)審計證據(jù)收集
2.審計證據(jù)評價
(1)真實性。查明審計證據(jù)的來源、形成的時間、地點、制作過程及設(shè)備情況,有無偽造和刪改的可能性。一般說來,由第三方(如中間商或網(wǎng)絡(luò)服務(wù)商)來儲存記錄或轉(zhuǎn)存的證據(jù)具有較高的證據(jù)效力;被審計事項的事實和行為發(fā)生時留下的證據(jù)的效力較以后專為訴訟的目的而形成的證據(jù)更為真實;對于自相矛盾、內(nèi)容前后不一致或不符合情理的審計證據(jù),應(yīng)小心對待,不可輕信,對不能排除合理懷疑的審計證據(jù)不得采納。
(2)合法性。包括收集手段是否合法和形式條件是否合理兩部分。有些審計證據(jù)其本身也有證據(jù)力,但在收集過程中,違背了規(guī)定的手續(xù)和程序,因而也就不具有法律效力,也不能用來證實問題,為此,鑒定分析審計證據(jù)時,要了解證據(jù)是以什么方法、在什么情況下取得的,是否違背了法定的程序和要求,是否符合法律規(guī)定的形式要件,這樣有利于判明審計證據(jù)的真?zhèn)纬潭群托ЯΑ?/p>
(3)相關(guān)性。查明審計證據(jù)反映的事實與被審計事項有無關(guān)系,只有與被審計事項的事實或邏輯上是相關(guān)的事實才能被認(rèn)為是證據(jù)。
(4)結(jié)合其他證據(jù)進(jìn)行鑒定分析。將審計過程中收集的全部證據(jù)綜合起來加以分析、判斷。如審查計算機審計證據(jù)中有無數(shù)據(jù)、圖表等反映的事實,同有關(guān)書證、物證、證人證言進(jìn)行分析,明確是否互相一致,是否有矛盾。如果與其他證據(jù)相一致,共同指向同一事實,就可以認(rèn)定其效力,可以作為審計證據(jù)。反之則不能作為審計證據(jù)。
(二)信息系統(tǒng)安全標(biāo)準(zhǔn)子系統(tǒng)
構(gòu)建通用的信息系統(tǒng)安全標(biāo)準(zhǔn),作為信息系統(tǒng)審計工作中的參考標(biāo)準(zhǔn)。信息系統(tǒng)安全標(biāo)準(zhǔn)是由高級管理人員制定的最小標(biāo)準(zhǔn)、規(guī)則構(gòu)成的集合,所以必須加以實現(xiàn),以確保信息系統(tǒng)安全政策的實現(xiàn)。信息系統(tǒng)安全標(biāo)準(zhǔn)需要指明每個信息系統(tǒng)控制的詳細(xì)要求。它為管理人員提供一個基準(zhǔn)或底線,可以照此對單個信息系統(tǒng)控制的適當(dāng)性進(jìn)行評估。信息系統(tǒng)審計是
一個獲取并評價證據(jù),以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標(biāo)的過程。它是立足于組織的戰(zhàn)略目標(biāo),為有效的實現(xiàn)組織戰(zhàn)略目標(biāo)而采取的一切活動過程都在審計師的業(yè)務(wù)之內(nèi)。
(三)信息系統(tǒng)安全評估子系統(tǒng)
信息系統(tǒng)審計集中反映了企業(yè)的戰(zhàn)略目標(biāo),主要從質(zhì)量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性; 信息系統(tǒng)審計資源維主要包括以信息、應(yīng)用系統(tǒng)、設(shè)施及人在內(nèi)的信息相關(guān)的資源,這是信息系統(tǒng)審計治理過程的主要對象;信息系統(tǒng)審計過程則是在信息系統(tǒng)審計準(zhǔn)則的指導(dǎo)下,對信息及相關(guān)資源進(jìn)行規(guī)劃與處理,從信息技術(shù)的規(guī)劃與組織、獲取與實施、交付與支持、監(jiān)督與評估等方面確定了信息技術(shù)處理過程,每個處理過程還包括更加詳細(xì)的控制目標(biāo)和審計方針以對信息系統(tǒng)審計處理過程進(jìn)行評估。
(四)項目管理審計子系統(tǒng)
項目管理系統(tǒng)是對審計過程進(jìn)行全面指導(dǎo)、幫助和控制的軟件,它通過對標(biāo)準(zhǔn)審計方法的各個工作流程的合理細(xì)分,使每個子流程都對應(yīng)相應(yīng)的計算機處理模塊。從而使一個完整的審計項目可通過計算機輔助而完成,并產(chǎn)生各個工作環(huán)節(jié)應(yīng)該生成的底稿和報告。有利于提高工作效率,為進(jìn)行審計質(zhì)量考核提供了極大的方便。
(五)信息系統(tǒng)審計法律標(biāo)準(zhǔn)子系統(tǒng)
此系統(tǒng)主要是實現(xiàn)信息資料的收集和共享。內(nèi)容定期進(jìn)行更新,包括:審計工作所需要的各類法律、法規(guī)、規(guī)章制度等。一般來講,按不同層次設(shè)立,信息的共享通過系統(tǒng)內(nèi)互聯(lián)的企業(yè)網(wǎng)實現(xiàn),還可根據(jù)信息的保密要求,設(shè)定不同的信息訪問權(quán)限。
三、規(guī)范信息系統(tǒng)審計范圍
其業(yè)務(wù)范圍包括與信息系統(tǒng)有關(guān)的所有領(lǐng)域,例如對組織的信息系統(tǒng)審計(主要集中在對信息技術(shù)的管理控制)、技術(shù)方面的信息系統(tǒng)審計(包括架構(gòu)、數(shù)據(jù)中心、數(shù)據(jù)通信等)、應(yīng)用的信息系統(tǒng)審計(包括經(jīng)營、財務(wù))、開發(fā)實施信息系統(tǒng)審計(包括需求識別、設(shè)計、開發(fā)以及實施后階段)和信息系統(tǒng)是否符合國家或國際標(biāo)準(zhǔn)的審計以及網(wǎng)譽審計、電子簽名審計業(yè)務(wù)等電子商務(wù)審計。
1.信息系統(tǒng)開發(fā)計劃、管理及組織架構(gòu)的戰(zhàn)略、政策、標(biāo)準(zhǔn)及相應(yīng)實踐過程的評估;
2.技術(shù)基礎(chǔ)設(shè)施及運行實踐的效能和效率的評估;
3.信息資源在邏輯訪問、運行環(huán)境以及IT基礎(chǔ)設(shè)施各方面的安全性的評估;
4.系統(tǒng)災(zāi)難恢復(fù)及保證業(yè)務(wù)連續(xù)性的能力的評估;
5.業(yè)務(wù)應(yīng)用系統(tǒng)開發(fā)、實施與維護的方法和過程的評估;
6.業(yè)務(wù)流程的風(fēng)險管理水平的評估;
7.財務(wù)系統(tǒng)的評估。
第一,鑒證作用。信息系統(tǒng)審計的鑒證價值是指通過審計,合理地保證被審計單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實性、完整性與可靠性,政策遵循的一貫性。
第二促進(jìn)作用。促進(jìn)價值體現(xiàn)在兩個方面,一是指信息系統(tǒng)審計可以促進(jìn)被審計單位更有效地融入到社會經(jīng)濟生活中;二是指審計可以促進(jìn)被審計單位改進(jìn)內(nèi)部控制,加強管理,提高信息系統(tǒng)實現(xiàn)組織目標(biāo)的效率、效果。
第三咨詢作用。信息技術(shù)的發(fā)展為組織的管理變革提供了技術(shù)手段,組織扁平化、工作豐富化等管理變革都要信息技術(shù)來實現(xiàn)。信息化已是大勢所趨。
四、創(chuàng)建行業(yè)標(biāo)準(zhǔn)與實務(wù)指南
如同開展業(yè)務(wù)審計要具有相關(guān)法律法規(guī)作為審計依據(jù)一樣,開展信息系統(tǒng)審計同樣需要審計依據(jù)。國內(nèi)信息系統(tǒng)審計方面的工作近幾年才剛剛開始,基本仍處于摸索階段,而在國家審計中更是如此。目前,由于國內(nèi)關(guān)于信息系統(tǒng)審計方面的標(biāo)準(zhǔn)尚處于空白狀態(tài)。
國際上關(guān)于信息系統(tǒng)審計方面可以參考的標(biāo)準(zhǔn)主要有信息及相關(guān)技術(shù)控制目標(biāo)COBIT(Control Objectives for Information and related Technology)、ISO17799、能力成熟度集成模型CMMI(Capability Maturity Model Integration)和IT基礎(chǔ)架構(gòu)庫ITIL(Information Technology Infrastructure Library)等。
信息系統(tǒng)審計與控制協(xié)會ISACA(Information System Audit and Control Association)于1996年公布的目前國際上通用的信息系統(tǒng)審計的標(biāo)準(zhǔn)。它將IT 過程,IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來,形成一個三維的體系結(jié)構(gòu)。它是一個在國際上公認(rèn)為最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。
英國國家標(biāo)準(zhǔn)局制定的BS7799-1《信息安全管理實踐規(guī)范》,該規(guī)范于2000年12月被國際標(biāo)準(zhǔn)化組織采納,成為ISO17799。ISO/IEC17799標(biāo)準(zhǔn)最初于1993年由英國貿(mào)易工業(yè)部立項,由標(biāo)準(zhǔn)化協(xié)會籌備起草并作為英國的標(biāo)準(zhǔn)。1995年,首次發(fā)布BS 7799-1:1995《信息安全管理業(yè)務(wù)規(guī)范》,它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則,其目的是作為確定各類信息系統(tǒng)通用控制范圍的唯一參考基準(zhǔn),并且適用于大、中、小組織以及政府部門;1998年,標(biāo)準(zhǔn)化協(xié)會發(fā)表標(biāo)準(zhǔn)的第二部分BS 7799-2《信息安全管理體系規(guī)范》,它規(guī)定信息安全管理體系與信息安全控制要求,是一個組織的全面或部分信息安全管理體系評估的基礎(chǔ),它還可以作為一個正式認(rèn)證方案的根據(jù);BS 7799-1與BS 7799-2經(jīng)過修訂于1999年重新予以發(fā)布,此次考慮了信息處理技術(shù),尤其是考慮了在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的最新發(fā)展情況;2000年12月,BS 7799-1:1999《信息安全管理業(yè)務(wù)規(guī)范》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可,正式成為國際標(biāo)準(zhǔn),即ISO/IEC17799-1:2000《信息技術(shù)--信息安全管理業(yè)務(wù)規(guī)范》標(biāo)準(zhǔn)。
2005年,ISO發(fā)布了新版的信息安全管理實施細(xì)則,即ISO/IEC17799-2005,對2000年版的標(biāo)準(zhǔn)進(jìn)行了修訂,更加注重標(biāo)準(zhǔn)的通用性和實用性。
日本的系統(tǒng)審計是從八十年代開始,1983年通產(chǎn)省公開發(fā)表了《系統(tǒng)審計標(biāo)準(zhǔn)》,并在全國軟件水平考試中增加了”系統(tǒng)審計師“一級的考試,著手培養(yǎng)從事信息系統(tǒng)審計的骨干隊伍。近幾年東南亞各國也開始制定電子商務(wù)法規(guī),成立專門機構(gòu)開展信息系統(tǒng)審計業(yè)務(wù),并制定技術(shù)標(biāo)準(zhǔn)。
國內(nèi)目前關(guān)于信息系統(tǒng)審計的依據(jù)主要有修訂后的《中華人民共和國審計法》、國辦發(fā)
【2001】88號文件《國務(wù)院辦公廳關(guān)利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》、1999年頒布了獨立審計準(zhǔn)則第20號--計算機信息系統(tǒng)環(huán)境下的審計等,同時可以主要參考COBIT和ISO17799標(biāo)準(zhǔn)。
但是我國信息系統(tǒng)審計才剛起步,審計技術(shù)、審計規(guī)范、制度等都有待研究。隨著我國信息化水平的提高,對信息系統(tǒng)的有效控制與審計將逐漸成為研究熱點。
五、開展信息系統(tǒng)審計的意義
1.信息系統(tǒng)審計是未來審計發(fā)展的必然
未來審計行業(yè)和審計技術(shù)的發(fā)展動力將主要來自于信息系統(tǒng)審計的發(fā)展。
2.維護信息時代的市場經(jīng)濟秩序
市場經(jīng)濟是建立在信用基礎(chǔ)上的,信息系統(tǒng)審計應(yīng)當(dāng)充當(dāng)信息時代經(jīng)濟生活中公正的鑒證人起著維護市場經(jīng)濟穩(wěn)定的作用。信息時代競爭的加劇,信息流的電子傳播方式等,使市場對及時和相關(guān)信息的需求越來越多,現(xiàn)有財務(wù)報告模式的局限性性日漸突出。現(xiàn)有財務(wù)報告是以歷史成本為計量基礎(chǔ)的、周期性的向利益相關(guān)者報告。在新經(jīng)濟環(huán)境中,信息系統(tǒng)審計師應(yīng)能夠以在線、實時的信息為基礎(chǔ)提供鑒證,通過多種方式來保護公眾利益、提供鑒證服務(wù)并滿足投資公眾對決策有用信息的訪問需要。提供實時報告鑒證對保護公眾利益和保護資本市場的有序發(fā)展是非常有意義的。
3.為信息化建設(shè)保駕護航
以信息化帶動工業(yè)化,推進(jìn)電子政務(wù)及電子商務(wù),許多企業(yè)也已著手整合與升級其信息化應(yīng)用系統(tǒng)。可以預(yù)計,全國將有更多、更大的信息系統(tǒng)建設(shè)項目展開。但是,信息化是有風(fēng)險的,信息系統(tǒng)規(guī)模越大,功能越復(fù)雜,風(fēng)險也就越大。信息系統(tǒng)審計師的出現(xiàn),可以從項目計劃開始介入信息系統(tǒng)建設(shè)的每個環(huán)節(jié),以他們的專業(yè)素養(yǎng),從項目的初始階段一直到運營的全過程,給予項目投資者風(fēng)險控制的評估與建議,提高信息系統(tǒng)的投資效益。
第三篇:信息系統(tǒng)審計
1、信息系統(tǒng)審計的概念,內(nèi)容,流程?
答:(1)概念信息系統(tǒng)審計是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范,對信息系統(tǒng)從規(guī)劃、實施到運行維護各個環(huán)節(jié)進(jìn)行審查評價,對信息系統(tǒng)及其業(yè)務(wù)的完整性、有效性、效率性、安全性等進(jìn)行監(jiān)測、評估和控制的過程,以確定預(yù)定的業(yè)務(wù)目標(biāo)得以實現(xiàn),斌提出一系列改進(jìn)建議的管理活動。
(2)內(nèi)容:主要包括內(nèi)部控制系統(tǒng)審計、系統(tǒng)開發(fā)審計、應(yīng)用程序?qū)徲嫛?shù)據(jù)文件審計等。a.內(nèi)部控制系統(tǒng)審計。信息系統(tǒng)的內(nèi)部控制系統(tǒng)由兩個子系統(tǒng)構(gòu)成:一是一般控制系統(tǒng),它是系統(tǒng)運行環(huán)境方面的控制,為應(yīng)用程序的正常運行提供外圍保障。另一子系統(tǒng)是應(yīng)用控制系統(tǒng),它是針對具體的應(yīng)用系統(tǒng)和程序而設(shè)置的各種控制措施。
b.系統(tǒng)開發(fā)審計。是指對信息系統(tǒng)開發(fā)過程所進(jìn)行的審計,這是一種事前審計。
c.應(yīng)用程序?qū)徲嫛F錄Q定了數(shù)據(jù)處理的合規(guī)性、正確性。對應(yīng)用程序的審計,可以對程序直接進(jìn)行審查,也可以通過數(shù)據(jù)在程序上的運行進(jìn)行間接測試。
d.數(shù)據(jù)文件審計。在信息系統(tǒng)中,各種憑證、賬簿及報表中的數(shù)據(jù)均以數(shù)據(jù)文件的形式存儲在硬盤或軟盤等存儲介質(zhì)中,對數(shù)據(jù)文件進(jìn)行審計,可以將該文件打印出來進(jìn)行檢查,也可以在計算機內(nèi)直接進(jìn)行審查。
(3)流程:主要的分為準(zhǔn)備階段、實施階段、終結(jié)階段。
a.準(zhǔn)備階段:
1、明確審計任務(wù)。
2、組成信息系統(tǒng)審計小組。
3、了解被審計系統(tǒng)的基本情況。
4、制定信息系統(tǒng)審計方案;
b.實施方案:
1、對被審計系統(tǒng)的內(nèi)部控制制度進(jìn)行健全性調(diào)查和符合性測試。
2、對帳表單證或數(shù)據(jù)文件的實質(zhì)性審查;
c.終結(jié)階段:
1、整理歸納審計資料。
2、撰寫審計報告。
3、發(fā)出審計結(jié)論和決定。
4、審計資料的歸檔和管理。
2、常見的IT治理標(biāo)準(zhǔn)有哪些,各自的作用是什么?
答:常見的IT治理標(biāo)準(zhǔn)有ITIL,COBIT,BS 7799,PRINCE2。
(1)ITIL(Information Technology Infrastructure Library),即信息技術(shù)基礎(chǔ)構(gòu)架庫,一套被廣泛承認(rèn)的用于有效IT服務(wù)管理的時間準(zhǔn)則。1980年以來,英國政府商務(wù)辦公室為解決“IT服務(wù)質(zhì)量不佳”的問題,逐步提出和完善了一整套對IT服務(wù)的質(zhì)量進(jìn)行評估的方法體系。
(2)COBIT,(Control Objectives for Information and related Technology):信息和相關(guān)技術(shù)的控制目標(biāo)。它是由信息系統(tǒng)審計與控制協(xié)會,于1996年推出的用于IT審計的知識體系。作為IT治理的核心模型,其包括34個信息技術(shù)過程控制,并歸集為IT規(guī)劃和組織、系統(tǒng)獲得和實施、交付與支持以及信息系統(tǒng)運行性能監(jiān)控4個領(lǐng)域。目前COBIT是國際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)。
(3)BS 7799(ISO/IEC17799):國際信息安全管理標(biāo)準(zhǔn)體系。該標(biāo)準(zhǔn)包括信息系統(tǒng)安全管理和安全認(rèn)證兩大部分,是參照英國國家標(biāo)準(zhǔn)BS 7799而來的。它是一個詳細(xì)的安全標(biāo)準(zhǔn),包括安全內(nèi)容的所有準(zhǔn)則,由10個獨立的部分組成,每一節(jié)都覆蓋了不同的主題和區(qū)域。該體系主要解決企業(yè)的信息安全管理上的問題,為企業(yè)提供了一個完整的管理框架,不斷改進(jìn)信息安全管理水平,使機構(gòu)或企業(yè)的信息安全以最小代價達(dá)到需要的水準(zhǔn)。
(4)PRINCE2(Projects In Controlled Environments)是一種對項目管理的某些特定方面提供支持的方法。PRINCE2描述了一個項目如何被切分成一些可供管理的階段,以便高效地控制資源的使用和在整個項目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對具體項目的管理,還覆蓋了在組織范圍對項目的管理。
3、常見的信息系統(tǒng)開發(fā)方法,對其中的一到兩種展開說明?
答:常見的信息系統(tǒng)開發(fā)方法有軟件開發(fā)生命周期法、原型法、面向?qū)ο蠓ā⒂嬎銠C輔助開發(fā)方法、基于組件的開發(fā)方法、基于Web應(yīng)用開發(fā)方法。以下對軟件開發(fā)生命周期法進(jìn)行
說明。
軟件開發(fā)生命周期法(Software Development Life Cycle,SDLC)是系統(tǒng)分析員和系統(tǒng)開發(fā)者常用的軟件開發(fā)方法。軟件開發(fā)生命周期法能夠生產(chǎn)高質(zhì)量的軟件,滿足業(yè)務(wù)和用戶的需求,在開發(fā)進(jìn)度和成本控制下進(jìn)行軟件開發(fā)生產(chǎn),是一種有效保證成本,提高效益的軟件開發(fā)方法。通過應(yīng)用傳統(tǒng)的SDLC方法,已經(jīng)成功開發(fā)出了大量的業(yè)務(wù)應(yīng)用系統(tǒng)。其各個階段及其基本內(nèi)容如下:
1、第一階段——可行性研究。確定實施系統(tǒng)在提高生產(chǎn)效率或未來降低成本方面的戰(zhàn)略利
益,確定和量化新系統(tǒng)可以節(jié)約的成本,評價新系統(tǒng)的成本回收期。
2、第二階段——需求定義。一是定義需要解決的問題,二是定義所需的解決方案及方案應(yīng)
當(dāng)具有的功能和質(zhì)量要求。該階段還要確定是采用定制開發(fā)的方法還是供應(yīng)商提供的軟件包。
3、第三階段A——系統(tǒng)設(shè)計(當(dāng)決定自行開發(fā)軟件時)。以需求定義為基礎(chǔ),建立一個系
統(tǒng)基線和子系統(tǒng)的規(guī)格說明,以描述系統(tǒng)功能如何實現(xiàn),各個部分之間接口如何定義,系統(tǒng)如何使用已選擇的硬件、軟件和網(wǎng)絡(luò)設(shè)施等。
4、第三階段B——系統(tǒng)獲取(當(dāng)決定購買現(xiàn)成軟件包時)。以需求定義為基礎(chǔ),向軟件供
應(yīng)商發(fā)出請求建議書(RFP)。商品軟件的選擇要從多方面進(jìn)行考慮。
5、第四階段A——系統(tǒng)開發(fā)(當(dāng)決定自行開發(fā)軟件時)。使用系統(tǒng)設(shè)計說明書來設(shè)計編程
和實現(xiàn)系統(tǒng)過程。在這個階段,要進(jìn)行各個層次的測試,以驗證和確認(rèn)開發(fā)的系統(tǒng)。
6、第四階段B——系統(tǒng)配置(當(dāng)決定購買現(xiàn)成軟件包時)。如果決定選用商品化的軟件包
時,需要按照企業(yè)的需求進(jìn)行系統(tǒng)客戶化工作,對系統(tǒng)進(jìn)行剪裁。這種剪裁最好是通過配置系統(tǒng)參數(shù)來實現(xiàn),而不是通過修改程序源代碼。
7、第五階段——系統(tǒng)實施。這個階段是在最終用戶驗收測試完成、用戶簽署正式文件后進(jìn)
行。系統(tǒng)還需要通過一些認(rèn)證和鑒定過程,來評價應(yīng)用系統(tǒng)的有效性。
8、第六階段——實施后維護。隨著一個新系統(tǒng)或徹底修改的系統(tǒng)的成功實施,應(yīng)當(dāng)建立正
式的程序來評估系統(tǒng)的充分性和評價成本效益或投資回報。這樣可為后續(xù)的系統(tǒng)開發(fā)項目管理提供改進(jìn)意見。
當(dāng)一個項目的需求穩(wěn)定、定義準(zhǔn)確時,生命周期法使用起來最有效,改方法適用于在開發(fā)工作的早期建立總體的系統(tǒng)構(gòu)架。
4、IT服務(wù)管理的定義,包括哪些內(nèi)容?
答:(1)IT服務(wù)管理(IT Service Management,ITSM)有以下兩種使用比較廣泛的定義:
1、IT服務(wù)管理是一種以流程為導(dǎo)向、以客戶為中心的方法。它通過整合IT服務(wù)于企業(yè)業(yè)
務(wù),提高了企業(yè)的IT服務(wù)提供和服務(wù)支持的能力和水平。
2、IT服務(wù)管理是一套通過SLA(服務(wù)級別協(xié)議)來保證IT服務(wù)質(zhì)量的協(xié)同流程。它融合了系統(tǒng)管理、網(wǎng)絡(luò)管理、系統(tǒng)開發(fā)管理等管理活動以及變更管理、資產(chǎn)管理、問題管理等許多流程理論和實踐。
(2)ITIL主題框架包括6個主要模塊,即服務(wù)管理、業(yè)務(wù)管理、ICT(信息與通信技術(shù))基礎(chǔ)設(shè)施管理、貫穿業(yè)務(wù)和IT基礎(chǔ)設(shè)施的應(yīng)用管理、IT服務(wù)管理實施規(guī)劃和集中的安全管理。
08信息2班0804100229徐怡
第四篇:信息系統(tǒng)審計重點
信息系統(tǒng)審計
電子計算機在數(shù)據(jù)處理的發(fā)展過程可分為三個階段:數(shù)據(jù)的單項處理階段、數(shù)據(jù)的綜合處理階段、數(shù)據(jù)的系統(tǒng)處理階段。
數(shù)據(jù)處理電算化以后,對傳統(tǒng)的審計產(chǎn)生了巨大的影響,主要表現(xiàn)在:
1、對審計線索的影響~~~~
2、對審計方法和技術(shù)的影響~~~~~~
3、對審計人員的影響~~~~~
4、對審計準(zhǔn)則的影響~~~~~~ 信息系統(tǒng)審計的定義:信息系統(tǒng)審計是根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范,對信息系統(tǒng)從規(guī)劃、實施到運行維護各個環(huán)節(jié)進(jìn)行審查評價,對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整性、有效性、效率性、安全性等進(jìn)行檢測、評估和控制的過程,以確認(rèn)預(yù)訂的業(yè)務(wù)目標(biāo)得以實現(xiàn),并提出一系列改進(jìn)建議的管理活動。
信息系統(tǒng)的主體:有勝任能力的信息系統(tǒng)獨立審計機構(gòu)或人員 信息系統(tǒng)審計的對象:被審計的信息系統(tǒng)
信息系統(tǒng)審計工作的核心:客觀地收集和評估證據(jù)
信息系統(tǒng)審計的目的是評估并提供反饋、保證及建議。關(guān)注之處被分為三類:可用性、保密性、完整性。
信息系統(tǒng)審計的特點:審計范圍的廣泛性、審計線索的隱蔽性、易逝性、審計取證的動態(tài)性、審計技術(shù)的復(fù)雜性。(真是為一道簡答題。在P6,詳細(xì)看一下各段內(nèi)容,概括下再答題)信息系統(tǒng)審計目標(biāo):
1、保護資產(chǎn)的完整性
2、保證數(shù)據(jù)的準(zhǔn)確性
3、提高系統(tǒng)的有效性
4、提高系統(tǒng)的效率性
5、保證信息系統(tǒng)的合規(guī)性與合法性
信息系統(tǒng)的主要內(nèi)容:內(nèi)部控制系統(tǒng)審計(分為一般控制系統(tǒng)、應(yīng)用控制系統(tǒng),對信息系統(tǒng)的內(nèi)部控制系統(tǒng)進(jìn)行審計的目的是在內(nèi)部控制審計的基礎(chǔ)上對信息系統(tǒng)的處理結(jié)果進(jìn)行審計、加強內(nèi)部控制,完善內(nèi)部控制系統(tǒng))系統(tǒng)開發(fā)審計(信息系統(tǒng)開發(fā)審計是對信息系統(tǒng)開發(fā)過程進(jìn)行的審計,審計目的一是要檢查開發(fā)的方法、程序是否科學(xué),是否含有恰當(dāng)?shù)目刂疲欢且獧z查開發(fā)過程中產(chǎn)生的系統(tǒng)文檔資料是否規(guī)范。)應(yīng)用程序?qū)徲嫞▽彶閼?yīng)用程序有兩個目的,意識測試應(yīng)用控制系統(tǒng)的符合性,二是通過檢查程序運算和邏輯的正確性達(dá)到實質(zhì)性測試目的)數(shù)據(jù)文件審計(審計目的一是對數(shù)據(jù)文件進(jìn)行實質(zhì)性測試,二是通過數(shù)據(jù)文件的審計,測試一般控制或應(yīng)用控制的符合性,但主要是為了實質(zhì)性測試)(這是道簡答題,在P8各個小概括下)
信息系統(tǒng)審計的基本方法:繞過信息系統(tǒng)審計、通過信息系統(tǒng)審計 信息系統(tǒng)審計的步驟(大題P11):
準(zhǔn)備階段:明確審計任務(wù),組成信息系統(tǒng)審計小組,了解被審計系統(tǒng)的基本情況,指定信息系統(tǒng)審計方案,發(fā)出審計通知書 實施階段:對被審計系統(tǒng)的內(nèi)部控制制度進(jìn)行健全性調(diào)查和符合性測試,對賬表單證或數(shù)據(jù)文件的實質(zhì)性審查
終結(jié)階段:整理歸納審計資料,撰寫審計報告,發(fā)出審計結(jié)論和決定,審計資料的歸檔和管理
國際信息系統(tǒng)審計準(zhǔn)則:由信息系統(tǒng)審計與控制協(xié)會(ISACA)頒布和實施的。ISACA是國際上唯一的信息系統(tǒng)審計專業(yè)組織,通過制定和頒布信息系統(tǒng)審計標(biāo)準(zhǔn)、指南和程序來規(guī)范審計師的工作,它由三個層次構(gòu)成: 審計標(biāo)準(zhǔn)(審計標(biāo)準(zhǔn)是整個信息系統(tǒng)準(zhǔn)則體系的總綱,是制定審計指南和作業(yè)程序的基礎(chǔ)和依據(jù))審計指南(審計指南為審計標(biāo)準(zhǔn)的應(yīng)用提供了指引,信息系統(tǒng)審計師在審計過程中應(yīng)考慮如何應(yīng)用指南以實現(xiàn)審計標(biāo)準(zhǔn)的要求,在應(yīng)用過程中靈活運用專業(yè)判斷并糾正任何偏離準(zhǔn)則的行為)
作業(yè)程序(作業(yè)程序提供了信息系統(tǒng)審計師在審計過程中可能遇到的審計程序的示例)信息系統(tǒng)審計師應(yīng)具備的素質(zhì)(大題P18-19)
應(yīng)具備的理論知識:傳統(tǒng)審計理論、信息系統(tǒng)管理理論、計算機科學(xué)、行為科學(xué)理論
應(yīng)具有的實踐技能:參加過不同類別的工作培訓(xùn)、參與專業(yè)的機構(gòu)或廠商組織的研討會,動態(tài)掌握信息技術(shù)的新發(fā)展對審計實踐的影響、具有理解信息處理活動的各種技術(shù)、理解并熟悉操作環(huán)境,評估內(nèi)部控制的有效性、理解現(xiàn)有與未來系統(tǒng)的技術(shù)復(fù)雜性,以及它們對各級操作與決策的影響、能使用技術(shù)的方法去識別系統(tǒng)的完整性、要參與評估與使用信息技術(shù)相關(guān)的有效性、效率、風(fēng)險等、能夠提供審計集成服務(wù)并為審計員工提供指導(dǎo),與財務(wù)審計師一起對公司財務(wù)狀況做出說明、具備系統(tǒng)開發(fā)方法論、安全控制設(shè)計、實施后評估等、掌握網(wǎng)絡(luò)相關(guān)的安全實踐、信息安全服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃、異步傳輸模式等通信技術(shù)。IT治理定義:德勒定義:IT治理是一個含義廣泛的概念,包括信息系統(tǒng)、技術(shù)、通信、商業(yè)、所有利益相關(guān)者、合法性和其他問題。其主要任務(wù)是保持IT與業(yè)務(wù)目標(biāo)一致,推動業(yè)務(wù)發(fā)展,促使收益最大化,合理利用IT資源,IT相關(guān)風(fēng)險的適當(dāng)管理。
IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致,IT對于企業(yè)非常關(guān)鍵,也是戰(zhàn)略規(guī)劃的組成,影響戰(zhàn)略競爭;IT治理和其他治理主體一樣,是管理執(zhí)行人員和利益相關(guān)者的責(zé)任(以董事會為代表);IT治理保護利益相關(guān)者的權(quán)益,使風(fēng)險透明化,指導(dǎo)和控制IT投資、機遇、利益、風(fēng)險;IT治理包括管理層、組織結(jié)構(gòu)、過程,以確保IT維護和拓展組織戰(zhàn)略目標(biāo);應(yīng)該合理利用企業(yè)的信息資源,有效的集成與協(xié)調(diào);確保IT及時按照目標(biāo)交付,有合適的功能和期望的收益,是一個一致性和價值傳遞的基本構(gòu)建模塊,有明確的期望值和衡量手段;引導(dǎo)IT戰(zhàn)略平衡系統(tǒng)的投資,支持企業(yè),變革企業(yè),或者創(chuàng)建一個信息基礎(chǔ)架構(gòu),保證業(yè)務(wù)增長,并在一個新的領(lǐng)域競爭。
IT治理和IT管理的關(guān)系:IT管理是在既定的IT治理模式下,管理層為實現(xiàn)公司的目標(biāo)二采取的行動,IT治理規(guī)定了整個企業(yè)IT運作的基本框架,IT管理則是在這個既定的框架下駕馭企業(yè)奔向目標(biāo)。缺乏良好IT治理模式的公司,即使有很好的IT管理體系,就想一座地基不牢固的大廈;同時,沒有公司IT管理體系的流暢,單純的治理模式也只能是一個美好的藍(lán)圖,而缺乏實際的內(nèi)容。
公司治理和IT治理:公司治理,驅(qū)動和調(diào)整IT治理。同時,IT能夠提供關(guān)鍵的輸入,形成戰(zhàn)略計劃的一個重要組成部分,即IT影響企業(yè)的戰(zhàn)略競爭機遇。IT治理標(biāo)準(zhǔn):ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型:不存在、初始級、可重復(fù)級、已定義級、已管理級、已優(yōu)化級(主要內(nèi)容及其作用在P47-48)
信息系統(tǒng)內(nèi)部控制:是一個單位在信息系統(tǒng)環(huán)境下,為了保證業(yè)務(wù)活動的有效進(jìn)行,保護資產(chǎn)的安全與完整,防止、發(fā)現(xiàn)、糾正錯誤與舞弊、確保信息系統(tǒng)提供信息的真實、合法、完整,而制定和實施的一系列政策與程序措施。凡是與信息系統(tǒng)的建立、運作維護、管理和業(yè)務(wù)處理有關(guān)的部門、人員和活動,都屬于信息系統(tǒng)內(nèi)部控制的對象,可分為一般控制和應(yīng)用控制。
信息系統(tǒng)一般控制是應(yīng)用于一個單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制,其基本目標(biāo)為保證數(shù)據(jù)安全、保護計算機應(yīng)用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的繼續(xù)運行等。
信息系統(tǒng)應(yīng)用控制是用于對具體應(yīng)用系統(tǒng)的控制,一個應(yīng)用系統(tǒng)一般由多個相關(guān)計算機程序組成,有些應(yīng)用系統(tǒng)可能是復(fù)雜的綜合系統(tǒng),牽涉到多個計算機程序和組織單元,與此相對應(yīng),應(yīng)用控制包括包含在計算機編碼中的日常控制及與用戶活動相關(guān)的政策和流程。良好的一般控制是應(yīng)用控制的基礎(chǔ),可以為應(yīng)用控制的有效性提供有力的保障,某些應(yīng)用控制的有效性取決于計算機整體環(huán)境控制的有效性。當(dāng)計算機整體環(huán)境控制薄弱時,應(yīng)用控制就無法真正提供合理保障。如果一般控制審計結(jié)果很差,應(yīng)用控制審計結(jié)果很差,應(yīng)用控制審計就沒有進(jìn)行的必要。
審計邏輯訪問安全策略:知所必需原則
審查離職員工的訪問控制:請辭、聘用合同期滿和非自愿離職 數(shù)據(jù)庫加密:一般采用公開密鑰加密方法 系統(tǒng)訪問控制及其審計:系統(tǒng)訪問就是利用計算機資源達(dá)到一定目的的能力,對計算機化的信息資源的訪問可以基于邏輯方式,也可以基于物理方式。物理訪問控制可以限制人員進(jìn)出敏感區(qū)域。對計算機信息的物理訪問與邏輯訪問應(yīng)當(dāng)建立在“知所必需”的基礎(chǔ)上,按照最小授權(quán)原則和職責(zé)分離原則來分配系統(tǒng)訪問權(quán)限,并把這些訪問規(guī)則與訪問授權(quán)通過正式書面文件記錄下來,作為信息安全的重要文件加以妥善管理。身份識別與驗證(簡答題P65-66):邏輯訪問控制中的身份識別與驗證是一種提供用戶身份證明的過程,在這個過程中,用戶向系統(tǒng)提交有效的身份證明,系統(tǒng)驗證這個身份證明后向用戶授予訪問系統(tǒng)的能力。可分為三類:“只有你知道的事情”“只有你擁有的東西”“只有你具有的特征” 例子:賬號與口令、令牌設(shè)備、生物測定技術(shù)與行為測定技術(shù)。邏輯訪問授權(quán):一般情況下邏輯訪問控制基于最小授權(quán)原則,支隊因工作需要訪問信息系統(tǒng)的人員進(jìn)行必要的授權(quán)。當(dāng)用戶在組織變換工作角色時,在賦予他們新訪問權(quán)限時,一般沒有及時取消舊的訪問權(quán)限,這就會產(chǎn)生訪問控制上的風(fēng)險。所以當(dāng)員工職位有變動時,信息系統(tǒng)審計師就要及時審核訪問控制列表是否做了有效變更。災(zāi)難恢復(fù)控制及其審計:信息系統(tǒng)的災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計劃是組織中總的業(yè)務(wù)持續(xù)計劃和災(zāi)難恢復(fù)計劃的重要組成部分。恢復(fù)策略與恢復(fù)類型:熱站、溫站、冷站、冗余信息處理設(shè)施、移動站點、組織間互惠協(xié)議。BCP中多個計劃文件:業(yè)務(wù)持續(xù)性計劃(BCP)、業(yè)務(wù)恢復(fù)計劃(BRP)、連續(xù)作業(yè)計劃(COOP)連續(xù)支持計劃、IT應(yīng)急計劃、危機通信計劃、事件響應(yīng)事件、災(zāi)難恢復(fù)計劃(DRP)、場所緊急計劃(OEP)
異地備份:完全備份、增量備份、差分備份
災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃的審計:主要任務(wù)是理解與評價組織的業(yè)務(wù)連續(xù)性策略,及其組織業(yè)務(wù)目標(biāo)的符合性;參考相應(yīng)的標(biāo)準(zhǔn)和法律法規(guī),評估該計劃的充分性和時效性;審核信息系統(tǒng)及終端用戶對計劃所做的測試的結(jié)果,驗證計劃的有效性;審核異地存儲設(shè)施機器內(nèi)容、安全和環(huán)境控制,以評估異地存儲站點的適當(dāng)性;通過審核應(yīng)急措施、員工培訓(xùn)、測試結(jié)果,評估信息系統(tǒng)及其終端用戶在緊急情況下的有效反應(yīng)能力;確認(rèn)組織對業(yè)務(wù)持續(xù)性計劃的維護措施存在并有效。
應(yīng)用控制概念:應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求,保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。應(yīng)用控制涉及各種類型的業(yè)務(wù),每種業(yè)務(wù)及其數(shù)據(jù)處理尤其特殊流程的要求,這決定了具體的應(yīng)用控制的設(shè)計需結(jié)合具體的業(yè)務(wù)。單另一方面。由于數(shù)據(jù)處理過程一般都是由輸入、處理和輸出三個階段構(gòu)成,從這一共性出發(fā),可將應(yīng)用控制劃分為輸入控制、處理控制和輸出控制。應(yīng)用控制也是由手工控制和程序化控制構(gòu)成,但以程序化控制為主。
軟件維護的種類:糾錯行為化、適應(yīng)性維護、完善性維護、預(yù)防性維護 服務(wù)管理:面向IT基礎(chǔ)設(shè)施管理的服務(wù)支持、面向業(yè)務(wù)管理的服務(wù)提供
IT服務(wù)提供流程主要面對付費的機構(gòu)和個人客戶,負(fù)責(zé)為客戶提供高質(zhì)量、低成本的IT服務(wù)。任務(wù):根據(jù)組織的業(yè)務(wù)需求,對服務(wù)能力、持續(xù)性、可用性等服務(wù)級別目標(biāo)進(jìn)行規(guī)劃和設(shè)計,同時還必須考慮到這些服務(wù)目標(biāo)所需要耗費的成本。主要包括服務(wù)水平管理、IT服務(wù)財務(wù)管理、能力管理、IT服務(wù)持續(xù)性管理和可用性管理5個服務(wù)管理流程。
IT服務(wù)的服務(wù)支持主要面向終端用戶,負(fù)責(zé)確保IT服務(wù)的穩(wěn)定性與靈活性,用于確保終端用戶得到適當(dāng)?shù)姆?wù),以支持組織的業(yè)務(wù)功能。服務(wù)支持流程包括體現(xiàn)服務(wù)接觸和溝通的服務(wù)臺職能和5個運作層次的流程,即配置管理、事務(wù)管理、問題管理、變更管理、發(fā)布管理。應(yīng)用程序?qū)徲嫷膬?nèi)容:
審查程序控制是否健全有效:程序中輸入控制的審計、程序中處理控制的審計、程序中輸出控制的審計。
審查程序的合法性P168 簡單論述
審查程序編碼的正確性:目標(biāo)和任務(wù)不明確、系統(tǒng)設(shè)計差錯、程序設(shè)計說明書錯誤、程序語法或邏輯錯誤
審查程序的有效性:在具體編寫程序前應(yīng)簡化算術(shù)表達(dá)式及邏輯表達(dá)式、細(xì)心的分析多層嵌套循環(huán),以確定能否把一些語句或表達(dá)式轉(zhuǎn)移到循環(huán)體制外、盡量避免采用多維數(shù)組、盡量避免采用指針及復(fù)雜的表、采用“快”的算法;不要把不同的數(shù)據(jù)類型混在一起;只要可能就采用整形數(shù)的算法運算和布爾表達(dá)式。應(yīng)用程序?qū)徲嫹椒ǎ簩?yīng)用程序進(jìn)行審計,往往是計算機輔助審計方法與手工審計方法的結(jié)合。
檢測數(shù)據(jù)法:是指審計人員把一批預(yù)先設(shè)計好的監(jiān)測數(shù)據(jù),利用被審程序加以處理,并把處理的結(jié)果與預(yù)期的結(jié)果作比較,以確定被審程序的控制與處理功能是否恰當(dāng)、有效的一種方法。
平行模擬法:是指審計人員自己或請計算機專業(yè)人員編寫的具有和被審計程序相同處理和控制的模擬程序,用這種程序處理當(dāng)期的實際數(shù)據(jù),并以處理的結(jié)果與被審計程序的處理結(jié)果進(jìn)行比較,以評價被審程序的處理和控制功能是否可靠的一種方法 嵌入審計程序法:是指被審計信息系統(tǒng)的設(shè)計和開發(fā)階段,在被審的應(yīng)用程序中嵌入為執(zhí)行特定的審計功能而設(shè)計的程序段,這些程序段可以用來收集審計人員感興趣的資料,并且建立一個審計控制文件,用來存儲這些資料,審計人員通過這些資料的審核來確定被審程序的處理和控制功能的可靠性。
程序追蹤法:是一種對給定的業(yè)務(wù),跟蹤被審程序處理步驟的審查技術(shù)。一般可由追蹤軟件來完成,也可利用某些高級語言或數(shù)據(jù)庫管理系統(tǒng)中的跟蹤指令被審查程序的處理。
第五篇:信息系統(tǒng)審計工作制度
信息系統(tǒng)審計工作
今天,信息系統(tǒng)已成為企業(yè)業(yè)務(wù)處理的中樞,信息系統(tǒng)的可靠、安全、效率左右著企業(yè)的命運。企業(yè)不僅要在內(nèi)部設(shè)立信息系統(tǒng)審計部門,實施內(nèi)部審計,還必須委托外部信息系統(tǒng)審計師站在第三方的客觀立場對信息系統(tǒng)進(jìn)行全面的檢查與評價。要實施獨立的信息系統(tǒng)審計,確立信息系統(tǒng)審計制度是十分重要的。
因此,為了規(guī)范部門內(nèi)部工作流程和質(zhì)量控制,協(xié)助其他部門了解信息系統(tǒng)審計部門的業(yè)務(wù)支持范圍、工作內(nèi)容及工作流程,促進(jìn)部門間就項目中設(shè)計的信息系統(tǒng)審計業(yè)務(wù)范圍進(jìn)行有效溝通,協(xié)調(diào)項目工作計劃的界定和質(zhì)量管理,避免因項目中工作職責(zé)和工作范圍界定不明確而降低審計工作的效率和效果,特制訂此信息系統(tǒng)審計制度。
本制度主要內(nèi)容包括信息系統(tǒng)審計部門應(yīng)何時介入企業(yè)進(jìn)行信息系統(tǒng)審計工作,為財務(wù)審計團隊提供信息系統(tǒng)審計業(yè)務(wù)支持的工作范圍及本部門其他的工作職責(zé)范圍,信息系統(tǒng)審計的工作程序及方法,以及信息系統(tǒng)審計對客戶能夠達(dá)成的效果等,特作以下介紹說明。
一、信息系統(tǒng)審計何時介入
信息系統(tǒng)審計(IT Audit)是信息系統(tǒng)鑒證業(yè)務(wù)中的一種。信息系統(tǒng)審計是根據(jù)業(yè)務(wù)和信息控制目標(biāo),針對信息系統(tǒng)環(huán)境內(nèi)設(shè)定的控制,通過搜集和評估審計證據(jù),對信息系統(tǒng)控制的有效性發(fā)表結(jié)論或意見的過程。
信息系統(tǒng)審計有四個層面:
1.它的目的是對信息系統(tǒng)控制的有效性發(fā)表評估結(jié)論或?qū)徲嬕庖姟S行园刂圃O(shè)計的有效性和執(zhí)行有效性;
2.它的對象是信息系統(tǒng)環(huán)境中的各種控制流程或機制,包括IT 一般控制和應(yīng)用控制;3)
3.它的內(nèi)容是搜集和評估審計證據(jù);
4.它的依據(jù)是業(yè)務(wù)控制目標(biāo),比如系統(tǒng)是否有效實施控制保證財務(wù)軟件計算的固定資產(chǎn)折舊程序是否準(zhǔn)確。通過執(zhí)行信息系統(tǒng)審計,可以協(xié)助財務(wù)審計團隊了解和評價信息系統(tǒng)的可靠性和安全性及財務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性。
財務(wù)審計團隊在財務(wù)審計業(yè)務(wù)計劃階段,需對客戶的信息系統(tǒng)環(huán)境進(jìn)行調(diào)查,若客戶的信息系統(tǒng)環(huán)境評估結(jié)果為復(fù)雜時,需邀請信息系統(tǒng)審計人員介入共同探討審計計劃,根據(jù)業(yè)務(wù)系統(tǒng)的復(fù)雜度、實體業(yè)務(wù)性質(zhì)、財務(wù)審計團隊人員的技能和知識、業(yè)務(wù)處理本質(zhì)(如:是否為高度自動化)、交易數(shù)量及信息系統(tǒng)的管理方式(如:若信息系統(tǒng)由第三方管理,則需考慮是否需要SAS70或者相關(guān)的報告)確定信息系統(tǒng)審計業(yè)務(wù)支持服務(wù)范圍,并在信息系統(tǒng)審計計劃中以書面的形式記錄業(yè)務(wù)約定。若客戶的信息系統(tǒng)環(huán)境評估結(jié)果為不復(fù)雜時,信息系統(tǒng)審計工作可由審計團隊完成,必要時信息系統(tǒng)審計團隊可以提供知識和技術(shù)的支持和咨詢服務(wù)。
其中,若在計劃審計程序階段或者審計過程中了解到客戶業(yè)務(wù)處理過程高度自動化(如:銀行,保險,電信,和零售業(yè)等高度依賴電算化的企業(yè)環(huán)境和特定行業(yè)高度依賴信息系統(tǒng)處理業(yè)務(wù)),僅僅執(zhí)行實質(zhì)性程序無法提供足夠的審計證據(jù)時,在約定信息系統(tǒng)審計業(yè)務(wù)服務(wù)范圍時,需考慮同時包括應(yīng)用控制審計及其他可以輔助財務(wù)審計團隊確認(rèn)交易的真實性、完整性、準(zhǔn)確性、截止性的審計程序。
在約定信息系統(tǒng)審計是否介入時,需要考慮如下因素:
?系統(tǒng)的復(fù)雜性;
? ?業(yè)務(wù)的本質(zhì);
? ?財務(wù)審計團隊的技能和知識;
? ?系統(tǒng)的位置(例如,如果包含一個服務(wù)組織,SAS70或相關(guān)的報告能否被使用);
? ?處理的本質(zhì)(例如高度自動化)和交易的數(shù)量。
在評估信息系統(tǒng)是否復(fù)雜時,我們認(rèn)為以下特征是復(fù)雜信息系統(tǒng)的指標(biāo):
?客戶實施編程和/或開發(fā);
?信息系統(tǒng)處理過程高度自動化,很少或者沒有人工干預(yù);
?不同的系統(tǒng)接口;
?信息系統(tǒng)使用批處理(計劃任務(wù));
?實施了新系統(tǒng)或者系統(tǒng)間進(jìn)行了轉(zhuǎn)換;
?使用了單點登錄(SSO)或者集中權(quán)限管理(CRM)系統(tǒng)。
二、信息系統(tǒng)審計業(yè)務(wù)范圍
信息系統(tǒng)審計是一個通過收集和評價審計證據(jù),對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。信息系統(tǒng)審計業(yè)務(wù)范圍包括:
(一)為財務(wù)審計團隊提供信息系統(tǒng)審計業(yè)務(wù)支持;
(二)支持企業(yè)內(nèi)部控制審計;
(三)開展獨立的信息系統(tǒng)審計業(yè)務(wù);
(四)對信息系統(tǒng)控制及安全方面提供獨立建議的咨詢服務(wù)。
(一)為財務(wù)審計團隊提供信息系統(tǒng)審計業(yè)務(wù)支持
信息系統(tǒng)審計業(yè)務(wù)為財務(wù)審計提供合理保證,其提供的支持服務(wù)內(nèi)容包括:
1.信息系統(tǒng)一般控制:
?IT控制環(huán)境/關(guān)鍵職責(zé)分離;
?主要業(yè)務(wù)和財務(wù)系統(tǒng)的開發(fā)以及程序變更管理;
?IT系統(tǒng)運維管理,如數(shù)據(jù)批處理、數(shù)據(jù)備份、數(shù)據(jù)中心維護;
?業(yè)務(wù)和財務(wù)系統(tǒng)環(huán)境中關(guān)鍵的信息安全和權(quán)限控制管理,包括用戶賬戶和授權(quán)管理、應(yīng)用系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全、操作系統(tǒng)安全、和網(wǎng)絡(luò)安全。
2.應(yīng)用控制:
支持重要業(yè)務(wù)流程的各應(yīng)用和接口系統(tǒng)中固化在程序中的關(guān)鍵控制點。這要根據(jù)財務(wù)審計團隊確定的業(yè)務(wù)流程而定。比如銷售、采購、庫存、應(yīng)收、應(yīng)付、總賬、資金、電子商務(wù)、銀行存貸等。
3.根據(jù)業(yè)務(wù)復(fù)雜性確定的其他控制:
如根據(jù)重大賬戶余額,交易類型或披露事項的重大錯報風(fēng)險的評估結(jié)果,對依賴于計算機生成的信息執(zhí)行信息(CGI)控制測試,計算機輔助審計(CAATs)測試,會計分錄測試(JET)等。
(二)支持企業(yè)內(nèi)部控制審計
信息系統(tǒng)審計對企業(yè)的內(nèi)部控制審計提供支持,對特定基準(zhǔn)日內(nèi)部控制設(shè)計與運行的有效性進(jìn)行審計,其主要內(nèi)容包括:
1.恰當(dāng)?shù)赜媱潈?nèi)部控制審計工作;
2.實施審計工作,評價內(nèi)部控制是否可以應(yīng)對舞弊風(fēng)險,測試內(nèi)部控制設(shè)計與運行的有效性;
3.評價企業(yè)內(nèi)部控制缺陷,按其影響程度分為重大缺陷、重要缺陷和一般缺陷;
4.獲取充分、適當(dāng)?shù)淖C據(jù),為在內(nèi)部控制審計中對內(nèi)部控制有效性發(fā)表意見和對控制風(fēng)險結(jié)果評估提供支持。
(三)開展獨立的信息系統(tǒng)審計業(yè)務(wù)
獨立的信息系統(tǒng)審計業(yè)務(wù)是通過實施信息系統(tǒng)審計工作,對公司、機構(gòu)或組織是否達(dá)成信息技術(shù)管理目標(biāo)進(jìn)行綜合評價,并基于評價意見提出管理建議,協(xié)助組織信息技術(shù)管理人員有效地履行其受托責(zé)任以達(dá)成公司、機構(gòu)或組織的信息技術(shù)管理目標(biāo)。
獨立的信息系統(tǒng)審計業(yè)務(wù)也可通過實施信息系統(tǒng)審計工作來對公司、機構(gòu)或組織所提供的專業(yè)化服務(wù)(如電子商務(wù)、人力資源與薪酬管理外包、在線數(shù)據(jù)備份等)進(jìn)行綜合評價從而達(dá)到以下目標(biāo):
1.判斷一切與該公司、機構(gòu)或組織所提供的專業(yè)化服務(wù)相關(guān)的流程、操作及管理是否合乎行業(yè)標(biāo)準(zhǔn);
2.保障使用此類專業(yè)服務(wù)的公司或個人的信息安全性;
3.基于評價意見提出整改建議,從而幫助此類專業(yè)服務(wù)提供商更好地拓展市場與開放客戶群體。
信息系統(tǒng)審計部門能夠為客戶提供的獨立的信息系統(tǒng)審計業(yè)務(wù)內(nèi)容包括:
?企業(yè)信息系統(tǒng)控制合規(guī)審計報告;
?企業(yè)信息系統(tǒng)運行和控制系統(tǒng)設(shè)計及評估;
?企業(yè)薩班斯法案審計服務(wù);
?其他。
其目的是保證其信息技術(shù)戰(zhàn)略充分反映該組織的業(yè)務(wù)戰(zhàn)略目標(biāo),提高公司、機構(gòu)或組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準(zhǔn)確性,提高信息系統(tǒng)運行的效果與效率,合理保證信息系統(tǒng)的運行符合法律法規(guī)及監(jiān)管的相關(guān)要求。
(四)對信息系統(tǒng)控制及安全方面提供獨立建議的咨詢服務(wù)
信息系統(tǒng)咨詢業(yè)務(wù)是指結(jié)合信息系統(tǒng)安全、企業(yè)內(nèi)部控制管理與外部審計等多方面的專業(yè)知識,提供與信息安全相關(guān)的信息化建設(shè)、信息安全診斷、信息技術(shù)認(rèn)證及ERP系統(tǒng)相關(guān)的咨詢業(yè)務(wù)。
信息系統(tǒng)審計部門能夠為客戶提供的獨立的信息系統(tǒng)咨詢業(yè)務(wù)內(nèi)容包括:
?企業(yè)信息系統(tǒng)戰(zhàn)略策劃和評估;
?企業(yè)信息系統(tǒng)執(zhí)行及項目管理監(jiān)理咨詢;
?企業(yè)信息系統(tǒng)安全評估;
?企業(yè)薩班斯法案咨詢服務(wù);
?企業(yè)專業(yè)服務(wù)系統(tǒng)的行業(yè)評估;
?其他。
三、信息系統(tǒng)審計程序
(一)信息系統(tǒng)審計一般程序
審計程序一般可分為四個階段,即準(zhǔn)備階段、實施階段、審計結(jié)論和執(zhí)行階段、異議和復(fù)審階段。信息系統(tǒng)審計也可分為這四個階段,同時結(jié)合自身的特殊要求,運用本身特有的方法,對信息系統(tǒng)進(jìn)行評價。
1.準(zhǔn)備階段
初步調(diào)查被審計單位信息系統(tǒng)基本狀況,擬定科學(xué)合理的計劃,一般應(yīng)包括以下主要工作:
(1)調(diào)查了解被審計單位信息系統(tǒng)的基本情況,如信息系統(tǒng)的硬件配置、系統(tǒng)軟件的選用、應(yīng)用軟件的范圍、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)的管理結(jié)構(gòu)和職能分工、文檔資料等,調(diào)查完成后將審前調(diào)查情況記錄下來。
(2)提前三天送達(dá)審計通知書,要求被審計單位對所提供資料的真實性、完整性作出書面承諾,明確彼此的責(zé)任、權(quán)利和義務(wù)。
(3)初步評價被審計單位的內(nèi)部控制制度,以便確定符合性測試的范圍和重點。
(4)確定審計重要性、確定審計范圍。
(5)分析審計風(fēng)險。
(6)制定審計實施方案。在審計實施方案中除了對時間、人員、工作步驟及任務(wù)分配等方面作出安排以外,還要合理確定符合性測試、實質(zhì)性測試的時間和范圍,以及測試時的審計方法和測試數(shù)據(jù)。
在安排利用計算機輔助審計時,還需列出所選用的通用軟件或?qū)S密浖τ趶?fù)雜的信息系統(tǒng),也可聘請專家,但必須明確審計人員的責(zé)任。
2.實施階段
實施階段是審計工作的核心,也是信息系統(tǒng)審計的核心。主要工作是根據(jù)準(zhǔn)備階段確定的范圍、要點、步驟、方法,進(jìn)行取證、評價,綜合審計證據(jù),借以形成審計結(jié)論,發(fā)表審計意見。實施階段的主要工作應(yīng)包括以下兩個方面的內(nèi)容:
(1)符合性測試。進(jìn)行符合性測試應(yīng)以系統(tǒng)安全可靠性的檢查結(jié)果為前提。如果系統(tǒng)安全可靠性非常差,不值得審計人員信賴,則應(yīng)當(dāng)根據(jù)實際情況決定是否取消內(nèi)控制度的符合性測試,而直接進(jìn)行實質(zhì)性測試并加大實質(zhì)性測試的樣本量。在信息系統(tǒng)的符合性測試項目中,主要內(nèi)容應(yīng)該是確認(rèn)輸入資料是否正確完整,計算機處理過程是否符合要求。如果系統(tǒng)安全可靠性比較高,則應(yīng)對該系統(tǒng)給予較高的信賴,在實質(zhì)性測試時,就可以相應(yīng)地減少實質(zhì)性測試的樣本量。
(2)實質(zhì)性測試。實質(zhì)性測試應(yīng)該是對被審計單位信息系統(tǒng)的程序、數(shù)據(jù)、文件進(jìn)行測試,并根據(jù)測試結(jié)果進(jìn)行評價和鑒定。進(jìn)行實質(zhì)性測試須依賴于符合性測試的結(jié)果,如果符合性測試結(jié)果得出的審計風(fēng)險偏高,而且被審計單位有利用信息系統(tǒng)進(jìn)行舞弊的動機與可能,并且被審計單位又不能提供完整的會計文字資料,此時審計人員應(yīng)考慮對會計報表發(fā)表保留意見或拒絕表示意見的審計報告。進(jìn)行實質(zhì)性測試時,可考慮采用通過計算機和利用計算機進(jìn)行審計的方法,具體包括:
①測試數(shù)據(jù)法:就是將測試數(shù)據(jù)或模擬數(shù)據(jù)分別由審計人員進(jìn)行手工核算和被審計單位信息系統(tǒng)進(jìn)行處理,比較處理結(jié)果,作出評價;
②受控處理法:就是選擇被審計單位一定時期(最好是12月份)實際業(yè)務(wù)的數(shù)據(jù)分別由審計人員和會計電算化系統(tǒng)同時處理,比較結(jié)果,作出評價。
(3)利用輔助審計軟件直接審查信息系統(tǒng)的數(shù)據(jù)文件。審計人員可利用現(xiàn)場審計實施系統(tǒng)軟件(AO)直接對數(shù)據(jù)進(jìn)行數(shù)據(jù)轉(zhuǎn)換,數(shù)據(jù)查詢,抽樣審計,查賬,賬務(wù)分析等測試,得出結(jié)論,作出評價。
3.審計結(jié)論和執(zhí)行階段
審計人員對信息系統(tǒng)進(jìn)行符合性測試和實質(zhì)性測試后,整理審計工作底稿,編制審計報告時,除對被審單位會計報表的合理性、公允性發(fā)表意見,作出審計結(jié)論外,還要對被審單位信息系統(tǒng)的處理功能和內(nèi)部控制進(jìn)行評價,并提出改進(jìn)意見。
審計報告完成后,先要征求被審單位的意見,并報送審計機關(guān)和有關(guān)部門。審計報告一經(jīng)審定,所作的審計結(jié)論和決定需通知并監(jiān)督被審單位執(zhí)行。
4.異議和復(fù)審階段
被審單位對審計結(jié)論和決定若有異議,可提出復(fù)審要求,審計部門可組織復(fù)審并作出復(fù)審結(jié)論和決定。特別是被審單位信息系統(tǒng)有了新的改進(jìn)時,還需組織后續(xù)審計。
(二)信息系統(tǒng)審計協(xié)調(diào)程序
為財務(wù)審計團隊提供信息系統(tǒng)審計業(yè)務(wù)支持服務(wù)前,為了合理安排信息系統(tǒng)審計工作計劃,財務(wù)審計項目負(fù)責(zé)人與信息系統(tǒng)審計部門應(yīng)執(zhí)行下列協(xié)調(diào)程序:
1.財務(wù)審計項目負(fù)責(zé)人在制定當(dāng)年審計計劃時應(yīng)考慮所需信息系統(tǒng)審計部門進(jìn)行審計支持的內(nèi)容與實行時間;
2.財務(wù)審計項目負(fù)責(zé)人提前在9月底將所需信息系統(tǒng)審計時間告知信息系統(tǒng)審計部門,與信息系統(tǒng)審計部門討論確定服務(wù)內(nèi)容,預(yù)約部門成員;
3.信息系統(tǒng)審計部門搜集所有信息系統(tǒng)審計需求,按照項目時間安排信息系統(tǒng)審計人員工作計劃,并與財務(wù)審計項目團隊、客戶協(xié)調(diào);
4.信息系統(tǒng)審計部門及時完成外勤工作、底稿編制和底稿審核,并把結(jié)論書面告知財務(wù)審計項目團隊,并與財務(wù)審計團隊對信息系統(tǒng)審計部門的最后結(jié)論達(dá)成口頭或書面共識;
5.信息系統(tǒng)審計部門將按照事務(wù)所要求歸檔、保管底稿。
其他信息系統(tǒng)項目的工作計劃參照上述信息系統(tǒng)審計業(yè)務(wù)支持服務(wù),與相關(guān)方及時溝通制定審計計劃,在制定的項目時間內(nèi)完成工作。
(三)信息系統(tǒng)審計結(jié)果報告程序
信息系統(tǒng)審計部門實施信息系統(tǒng)審計的計劃、程序、證據(jù)、結(jié)論等底稿都會按照相應(yīng)的審計準(zhǔn)則進(jìn)行記錄和保存。
1.在財務(wù)審計系統(tǒng)審計風(fēng)險評估當(dāng)中,信息系統(tǒng)審計部門不會出具某種審計報告,而是出具評估結(jié)論,一般以底稿備忘錄的形式提交給財務(wù)審計團隊。該備忘錄總結(jié)信息系統(tǒng)審計中評估的范圍、方法、時間/區(qū)間、結(jié)論、重大控制缺陷或風(fēng)險點等內(nèi)容。
2.在獨立的信息系統(tǒng)審計業(yè)務(wù)和咨詢業(yè)務(wù)中,會出具獨立的審計報告。報告將以事務(wù)所名義簽發(fā)。
點擊咨詢 