第一篇:某市人民醫(yī)院信息系統(tǒng)審計(jì)案例
某市人民醫(yī)院信息系統(tǒng)審計(jì)案例 【點(diǎn)擊數(shù): 1271 】【時(shí)間:2011-12-07 17:13:00.0】
一、案例摘要
(一)審計(jì)項(xiàng)目基本情況
1.案例名稱:某市人民醫(yī)院信息系統(tǒng)審計(jì)案例
2.所屬審計(jì)項(xiàng)目名稱:某市人民醫(yī)院信息系統(tǒng)審計(jì) 3.審計(jì)實(shí)施單位:某市審計(jì)局
4.主要審計(jì)人員:張慶紅(組長(zhǎng))、徐曉東(主審)、葛玉玲。5.審計(jì)實(shí)施的時(shí)間:2010年4月26日至2010年5月31日。
(二)具體審計(jì)事項(xiàng)類別及名稱 1.一般控制審計(jì)(GC):
(1)總體IT控制環(huán)境審計(jì)—IT規(guī)劃和計(jì)劃審計(jì)(GC-1)、IT組織結(jié)構(gòu)審計(jì)(GC-2)、IT管理政策審計(jì)(GC-3)(2)基礎(chǔ)設(shè)施控制審計(jì)—機(jī)房物理環(huán)境控制審計(jì)(GC-4)、硬件設(shè)備采購(gòu)管理控制審計(jì)(GC-5)、系統(tǒng)軟件采購(gòu)管理控制審計(jì)(GC-6)
(3)信息系統(tǒng)生命周期控制審計(jì)—系統(tǒng)開(kāi)發(fā)控制審計(jì)(GC-7)、系統(tǒng)采購(gòu)控制審計(jì)(GC-8)、系統(tǒng)變更控制審計(jì)(GC-9)(4)信息安全控制審計(jì)—邏輯訪問(wèn)控制審計(jì)(GC-10)、網(wǎng)絡(luò)安全控制審計(jì)(GC-11)、操作系統(tǒng)安全控制審計(jì)(GC-12)、數(shù)據(jù)庫(kù)系統(tǒng)安全控制審計(jì)(GC-13)、最終用戶控制審計(jì)(GC-14)(5)信息系統(tǒng)運(yùn)營(yíng)維護(hù)控制審計(jì)—系統(tǒng)維護(hù)控制審計(jì)(GC-15)、系統(tǒng)變更管理控制審計(jì)(GC-16)、系統(tǒng)災(zāi)難恢復(fù)控制審計(jì)(GC-17)2.應(yīng)用控制審計(jì)(AC):
(1)業(yè)務(wù)流程控制審計(jì)—業(yè)務(wù)授權(quán)與審批控制審計(jì)(AC-1)、數(shù)據(jù)輸入控制審計(jì)(AC-2)、數(shù)據(jù)輸出控制審計(jì)(AC-4)(2)數(shù)據(jù)控制審計(jì)—對(duì)主數(shù)據(jù)的審計(jì)(AC-5)、對(duì)業(yè)務(wù)參數(shù)的審計(jì)(AC-6)、對(duì)重要信息的審計(jì)(AC-7)(3)接口控制審計(jì)—數(shù)據(jù)接口審計(jì)(AC-9)
(4)系統(tǒng)外控制審計(jì)—補(bǔ)償性控制審計(jì)(AC-11)
(三)采用的審計(jì)技術(shù)和方法
本次審計(jì),我們?cè)趯徢罢{(diào)查時(shí)所采用的技術(shù)方法主要有:?jiǎn)柧碚{(diào)查表法、會(huì)議座談法、實(shí)地查看法。掌握某市人民醫(yī)院信息系統(tǒng)基本概況。
對(duì)HIS系統(tǒng)分析時(shí)采用的技術(shù)方法主要有:資料審閱法、流程圖檢查法、數(shù)據(jù)核對(duì)法、模擬操作法。對(duì)信息系統(tǒng)的安全性、可靠性和健壯性進(jìn)行評(píng)估。
對(duì)數(shù)據(jù)庫(kù)業(yè)務(wù)數(shù)據(jù)分析時(shí)采用的技術(shù)方法主要有:SQL語(yǔ)句查詢法、鉤稽關(guān)系效驗(yàn)法、橫縱向比較法、量本利分析法等。重點(diǎn)審查業(yè)務(wù)數(shù)據(jù)的真實(shí)性、完整性和效益性。
(四)審計(jì)發(fā)現(xiàn)和建議情況
此次信息系統(tǒng)審計(jì)是與人民醫(yī)院績(jī)效審計(jì)相結(jié)合的一次嘗試,通過(guò)審計(jì),我們出具審計(jì)移送處理書1份,將人民醫(yī)院信息科科長(zhǎng)潘某移送市紀(jì)委,目前案件已偵察結(jié)束,法院最后判決:潘某犯受賄、貪污和挪用公款罪,處以12年有期徒刑并沒(méi)收非法所得5萬(wàn)元。
完成信息系統(tǒng)審計(jì)報(bào)告1份,反映該院信息系統(tǒng)在安全性、可靠性方面存在的4個(gè)問(wèn)題;在相關(guān)性方面存在的2個(gè)問(wèn)題;在合法性、合規(guī)性方面存在的2個(gè)問(wèn)題;在數(shù)據(jù)的真實(shí)性、準(zhǔn)確性等方面存在的3個(gè)問(wèn)題。提出了3條具有針對(duì)性的審計(jì)建議。
完成了績(jī)效審計(jì)報(bào)告1份,報(bào)告得到充分肯定,分管韓市長(zhǎng)批示:“該審計(jì)報(bào)告內(nèi)容全面,反映問(wèn)題準(zhǔn)確,希望市人民醫(yī)院認(rèn)真落實(shí)審計(jì)建議,不斷提高醫(yī)院管理水平。”該項(xiàng)目在省廳2010年度全省優(yōu)秀審計(jì)項(xiàng)目評(píng)選中榮獲表彰獎(jiǎng)。
出具審計(jì)決定書1份,對(duì)醫(yī)院超標(biāo)準(zhǔn)加價(jià)、藥品調(diào)價(jià)滯后等違規(guī)收費(fèi)XX萬(wàn)元進(jìn)行處罰。
市人民醫(yī)院按照審計(jì)報(bào)告的要求,建立健全了《信息系統(tǒng)管理制度》、《醫(yī)療設(shè)備采購(gòu)管理制度》、《成本核算管理制度》等9條內(nèi)部控制制度。
二、被審計(jì)單位信息系統(tǒng)基本情況
(一)被審計(jì)單位信息系統(tǒng)建設(shè)和管理情況
市人民醫(yī)院使用的醫(yī)院信息管理系統(tǒng)(HIS)是由市某軟件開(kāi)發(fā)公司1999年開(kāi)發(fā)的,系統(tǒng)于2002年進(jìn)行測(cè)試,2003年4月正式運(yùn)行使用。系統(tǒng)采用PowerBuilder進(jìn)行開(kāi)發(fā),后臺(tái)數(shù)據(jù)庫(kù)為SQL2005。
醫(yī)院信息管理系統(tǒng)采用了c/s結(jié)構(gòu)模式,服務(wù)器端操作系統(tǒng)為windows2003,客戶端操作系統(tǒng)為windows2000/XP。該院每年都投入資金對(duì)其硬件環(huán)境進(jìn)行升級(jí)改造,目前共有服務(wù)器7臺(tái)、計(jì)算機(jī)220臺(tái)、交換機(jī)26臺(tái)、硬件防火墻2臺(tái),打印機(jī)115臺(tái)。醫(yī)院中心機(jī)房放置了溫度、濕度探測(cè)器,同時(shí)配備了UPS不間斷電源和自動(dòng)滅火系統(tǒng),為系統(tǒng)正常運(yùn)行提供了保障。
(二)被審計(jì)單位對(duì)信息系統(tǒng)業(yè)務(wù)依賴程度
人民醫(yī)院信息管理系統(tǒng)(HIS)根據(jù)功能的要求,分為十三大子模塊:門診掛號(hào)、門診劃價(jià)收費(fèi)、藥庫(kù)管理、門診藥房管理、病區(qū)藥房管理、住院管理、病區(qū)醫(yī)囑管理、人事工資管理、病案管理、物資管理、院長(zhǎng)查詢、經(jīng)濟(jì)核算、公費(fèi)醫(yī)療等,基本包括了醫(yī)院的主要業(yè)務(wù)和管理需求。
(三)被審計(jì)單位信息系統(tǒng)組織管理情況
人民醫(yī)院設(shè)置了信息科,專職進(jìn)行軟件開(kāi)發(fā)、系統(tǒng)維護(hù)和設(shè)備維修等。
(四)被審計(jì)單位信息系統(tǒng)運(yùn)行情況
從維護(hù)日志來(lái)看,該院醫(yī)院信息管理系統(tǒng)在不斷地進(jìn)行系統(tǒng)升級(jí)和功能完善,數(shù)據(jù)庫(kù)出現(xiàn)異常的情況越來(lái)越少。在審計(jì)組現(xiàn)場(chǎng)審計(jì)期間,該信息系統(tǒng)運(yùn)行正常,未發(fā)現(xiàn)服務(wù)器宕機(jī)等異常現(xiàn)象。
(五)被審計(jì)單位信息系統(tǒng)總體業(yè)務(wù)數(shù)據(jù)流程情況
該系統(tǒng)業(yè)務(wù)流程主要分為,患者就醫(yī)、就診,藥庫(kù)采購(gòu)藥品入庫(kù)、發(fā)出藥品出庫(kù),掛號(hào)費(fèi)用、門診(住院)費(fèi)用和采購(gòu)費(fèi)用的結(jié)算等方面。
(六)被審計(jì)單位信息系統(tǒng)電子數(shù)據(jù)情況
本次審計(jì)我們?nèi)〉昧私刂沟?010年3月10日的數(shù)據(jù)庫(kù)備份數(shù)據(jù)。HIS系統(tǒng)全庫(kù)業(yè)務(wù)數(shù)據(jù)總量約32.6G,其中:2008年約有1240萬(wàn)條記錄,數(shù)據(jù)大小為4.8G;2009年約有1650萬(wàn)條記錄,數(shù)據(jù)大小6.4G。目前數(shù)據(jù)量年增長(zhǎng)率為15%左右。
三、被審計(jì)單位信息系統(tǒng)控制情況
人民醫(yī)院重視該院對(duì)信息系統(tǒng)維護(hù)的投入,也制定了相應(yīng)的管理制度,實(shí)現(xiàn)了對(duì)信息化管理過(guò)程的控制。HIS系統(tǒng)的運(yùn)行正常,基本滿足了人民醫(yī)院的主要業(yè)務(wù)需求。
(一)一般控制方面
在一般控制方面總體情況較好,但是也存在著設(shè)備采購(gòu)管理不合規(guī),系統(tǒng)安全性和可靠性有待加強(qiáng)。
(二)應(yīng)用控制方面
在應(yīng)用控制方面人民醫(yī)院做了大量工作,對(duì)業(yè)務(wù)流程進(jìn)行了控制。其數(shù)據(jù)處理邏輯和輸入、輸出控制較好。通過(guò)對(duì)系統(tǒng)操作人員權(quán)限管理,實(shí)現(xiàn)了對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)、修改等操作進(jìn)行控制。數(shù)據(jù)接口方面也能保證該系統(tǒng)與市醫(yī)保系統(tǒng)、農(nóng)保系統(tǒng)進(jìn)行日常的業(yè)務(wù)數(shù)據(jù)交換。但存在業(yè)務(wù)數(shù)據(jù)的真實(shí)性和準(zhǔn)確性欠缺的問(wèn)題,系統(tǒng)使用效率性和效益性有待提高。
四、信息系統(tǒng)審計(jì)總體目標(biāo)
通過(guò)審計(jì),對(duì)人民醫(yī)院信息系統(tǒng)架構(gòu)與流程的合法性和合規(guī)性,系統(tǒng)的安全性和可靠性,運(yùn)行的效率性和效益性,重點(diǎn)數(shù)據(jù)的真實(shí)性和完整性進(jìn)行檢查,了解我市人民醫(yī)院信息系統(tǒng)的運(yùn)行狀況,發(fā)現(xiàn)該系統(tǒng)在使用和管理過(guò)程中存在的問(wèn)題,促進(jìn)被審計(jì)單位信息系統(tǒng)的完善,使之在業(yè)務(wù)活動(dòng)中發(fā)揮更加有效的作用。
五、審計(jì)重點(diǎn)內(nèi)容及審計(jì)事項(xiàng)
(一)一般控制審計(jì)
重點(diǎn)審計(jì)總體IT環(huán)境、基礎(chǔ)設(shè)施控制、信息系統(tǒng)生命周期控制、信息安全控制、信息系統(tǒng)運(yùn)營(yíng)維護(hù)控制等方面的情況。
1.審計(jì)目標(biāo)
通過(guò)一般控制審計(jì),對(duì)信息系統(tǒng)的基本情況、合法合規(guī)性、真實(shí)完整性、安全可靠性、效率效益性等情況有全面的了解和掌握。
2.審計(jì)測(cè)試過(guò)程
在審前準(zhǔn)備階段,審計(jì)組搜集了醫(yī)院收費(fèi)的相關(guān)文件和資料,采集了數(shù)據(jù)庫(kù)業(yè)務(wù)數(shù)據(jù),獲取了數(shù)據(jù)字典。發(fā)放問(wèn)卷調(diào)查表來(lái)了解情況:一是發(fā)放信息系統(tǒng)控制矩陣的調(diào)查表,這個(gè)表有9張,針對(duì)的是醫(yī)院信息系統(tǒng),我們要求人民醫(yī)院信息科填寫。二是給醫(yī)院的使用信息系統(tǒng)的醫(yī)生、門診病人和住院病人發(fā)放滿意度調(diào)查表。表里有信息信息系統(tǒng)使用情況,有醫(yī)院收費(fèi)情況,有醫(yī)生服務(wù)態(tài)度等內(nèi)容。還通過(guò)在院長(zhǎng)辦公室舉行座談交流,了解財(cái)務(wù)情況以及信息系統(tǒng)使用情況,并且還對(duì)機(jī)房、設(shè)備和業(yè)務(wù)窗口進(jìn)行了實(shí)地查看,了解和掌握市中醫(yī)院信息管理系統(tǒng)運(yùn)行的基本情況。再匯總調(diào)查情況擬訂具體的、可操作的審計(jì)實(shí)施方案。
在審計(jì)實(shí)施階段,審計(jì)組參照《醫(yī)院信息系統(tǒng)軟件基本功能規(guī)范》對(duì)其內(nèi)部控制機(jī)制進(jìn)行了初步評(píng)估,確定了審計(jì)重點(diǎn)。具體審計(jì)以下五個(gè)事項(xiàng):(1)總體IT控制環(huán)境審計(jì)
A.具體審計(jì)目標(biāo):主要查看信息系統(tǒng)的組織結(jié)構(gòu)和管理政策是否健全。
B.審計(jì)測(cè)試過(guò)程:通過(guò)會(huì)議座談、問(wèn)卷調(diào)查和資料查閱等方法,審計(jì)組取得了關(guān)于醫(yī)院信息系統(tǒng)建設(shè)的會(huì)議紀(jì)要、科室職能等資料,了解到人民醫(yī)院對(duì)信息系統(tǒng)建設(shè)十分重視,成立了濟(jì)仁軟件公司對(duì)醫(yī)院信息系統(tǒng)進(jìn)行開(kāi)發(fā)、維護(hù)。每年醫(yī)院都投入大量資金對(duì)設(shè)備和系統(tǒng)進(jìn)行更新,信息系統(tǒng)由信息科設(shè)專人負(fù)責(zé),系統(tǒng)的建設(shè)有計(jì)劃、有規(guī)劃。C.發(fā)現(xiàn)問(wèn)題和建議:在審計(jì)中我們也發(fā)現(xiàn),只有2名技術(shù)人員掌握HIS系統(tǒng)關(guān)鍵技術(shù),且未簽定保密協(xié)議。建議市人民醫(yī)院加強(qiáng)信息系統(tǒng)方面的學(xué)習(xí),培養(yǎng)信息管理業(yè)務(wù)骨干。
(2)基礎(chǔ)設(shè)施控制審計(jì)
A.具體審計(jì)目標(biāo):查看機(jī)房物理環(huán)境是否有效控制;對(duì)硬件設(shè)備、系統(tǒng)軟件采購(gòu)管理是否控制;硬件、軟件管理制度有無(wú)建立健全和執(zhí)行到位。
B.審計(jì)測(cè)試過(guò)程:通過(guò)實(shí)地查看的方法,審計(jì)發(fā)現(xiàn),人民醫(yī)院的新機(jī)房正在興建,原有機(jī)房還在使用中。新機(jī)房按照《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》(GB50174-2008)、《電子信息系統(tǒng)機(jī)房施工及驗(yàn)收規(guī)范》(GB50462-2008)、《電子信息系統(tǒng)機(jī)房工程設(shè)計(jì)與安裝》(GJBT1093)等國(guó)家標(biāo)準(zhǔn)和規(guī)定進(jìn)行操作,機(jī)房建設(shè)比較規(guī)范,相關(guān)水、火災(zāi)探測(cè)設(shè)備,滅火裝置、續(xù)電設(shè)備、空調(diào)等設(shè)施齊全。市人民醫(yī)院也制定了《機(jī)房管理制度》,對(duì)機(jī)房安全和維護(hù)進(jìn)行管理。
在設(shè)備采購(gòu)管理控制方面,人民醫(yī)院計(jì)算機(jī)等設(shè)備采購(gòu)數(shù)量多、金額較大,我們將此作為重點(diǎn)進(jìn)行審計(jì)。具體步驟:
一是采集轉(zhuǎn)換人民醫(yī)院的財(cái)務(wù)數(shù)據(jù)。市人民醫(yī)院財(cái)務(wù)軟件使用的是會(huì)稽山AC.NET標(biāo)準(zhǔn)會(huì)計(jì)軟件,我們將2007-2009年數(shù)據(jù)轉(zhuǎn)換到AO中。二是運(yùn)用SQL語(yǔ)句進(jìn)行查詢。
三是對(duì)得出的近3年的電腦采購(gòu)情況進(jìn)行分析。審計(jì)發(fā)現(xiàn),市人民醫(yī)院電腦設(shè)備采購(gòu)金額越來(lái)越大,但設(shè)備采購(gòu)未納入政府集中采購(gòu),也未執(zhí)行招投標(biāo)管理。
四是審計(jì)中發(fā)現(xiàn),有部分電腦供貨單位為某濟(jì)仁軟件開(kāi)發(fā)公司。該公司是醫(yī)院的下屬公司,總經(jīng)理由醫(yī)院信息科科長(zhǎng)擔(dān)任。
C.發(fā)現(xiàn)問(wèn)題和建議:審計(jì)人員決定對(duì)采購(gòu)電腦的票據(jù)進(jìn)行延伸審查,最終發(fā)現(xiàn)有2筆票據(jù)存在疑點(diǎn),經(jīng)過(guò)分析核實(shí),決定作移送處理。同時(shí)建議市人民醫(yī)院建立健全《醫(yī)療設(shè)備采購(gòu)管理制度》,按照要求將電腦等設(shè)備納入政府集中采購(gòu)。
(3)信息系統(tǒng)生命周期控制審計(jì)
A.具體審計(jì)目標(biāo):查看信息系統(tǒng)開(kāi)發(fā)是否規(guī)范,系統(tǒng)變更是否在可控范圍內(nèi)。
B.審計(jì)測(cè)試過(guò)程:通過(guò)資料查閱法,對(duì)照《醫(yī)院信息系統(tǒng)軟件評(píng)審管理辦法》、《醫(yī)院信息系統(tǒng)軟件基本功能規(guī)范》的要求,重點(diǎn)查看了《系統(tǒng)設(shè)計(jì)方案書》、《分析說(shuō)明書》、《數(shù)據(jù)要求說(shuō)明書》、《維護(hù)手冊(cè)》等資料。審計(jì)發(fā)現(xiàn),醫(yī)院信息管理系統(tǒng)為自主設(shè)計(jì)、開(kāi)發(fā),開(kāi)發(fā)資料基本齊全,數(shù)據(jù)要求規(guī)范,系統(tǒng)也進(jìn)行過(guò)初步測(cè)試。
C.發(fā)現(xiàn)問(wèn)題和建議:該信息系統(tǒng)使用后多次進(jìn)行開(kāi)發(fā)和完善,缺乏相應(yīng)變更方案的審核控制,雖然系統(tǒng)運(yùn)行正常,但是無(wú)相關(guān)的客戶驗(yàn)收?qǐng)?bào)告或第三方驗(yàn)收?qǐng)?bào)告,信息系統(tǒng)至今未經(jīng)過(guò)驗(yàn)收,穩(wěn)定性無(wú)法保證。(4)信息安全控制審計(jì)
A.具體審計(jì)目標(biāo):網(wǎng)絡(luò)、操作系統(tǒng)數(shù)據(jù)庫(kù)是否安全,有無(wú)防災(zāi)措施。
B.審計(jì)測(cè)試過(guò)程:(1)通過(guò)實(shí)地查看、資料查閱等方法,審計(jì)發(fā)現(xiàn),人民醫(yī)院進(jìn)行了IP地址管理和用戶權(quán)限分配,用戶端安裝了瑞星殺毒軟件和硬件還原卡,部分用戶操作系統(tǒng)漏洞安裝了補(bǔ)丁。
(2)通過(guò)上機(jī)查看、模擬操作,利用組建的局域網(wǎng)和基于備份數(shù)據(jù)還原模擬的HIS系統(tǒng)核對(duì)用戶權(quán)限,未發(fā)現(xiàn)系統(tǒng)模塊控制問(wèn)題。利用SQL語(yǔ)句,對(duì)備份數(shù)據(jù)進(jìn)行查找,找到數(shù)據(jù)庫(kù)存放用戶權(quán)限管理的表格(ryqx人員權(quán)限表),分析權(quán)限分配情況,具體步驟:一是查看系統(tǒng)管理員身份用戶。二是對(duì)用戶密碼進(jìn)行查詢分析。
C.發(fā)現(xiàn)問(wèn)題和建議:①人民醫(yī)院內(nèi)、外網(wǎng)未完全物理隔離,局域網(wǎng)內(nèi)部分電腦可以訪問(wèn)因特網(wǎng),可以下載資料到電腦中,內(nèi)、外網(wǎng)連接也未通過(guò)任何設(shè)備或程序加以控制。②可登陸用戶522位,其中72位用戶的密碼為空。
③“系統(tǒng)管理員”權(quán)限的用戶有8位,存在數(shù)據(jù)安全隱患。
(5)信息系統(tǒng)運(yùn)營(yíng)維護(hù)控制審計(jì)
A.具體審計(jì)目標(biāo):查看系統(tǒng)操作管理控制和災(zāi)難恢復(fù)控制功能是否完善。
B.審計(jì)測(cè)試過(guò)程:通過(guò)組建局域網(wǎng),進(jìn)行模擬操作的方法,測(cè)試了HIS系統(tǒng)的系統(tǒng)管理、住院管理、掛號(hào)系統(tǒng)、門診收費(fèi)、病區(qū)藥房等模塊功能,查看系統(tǒng)的硬件和軟件是否支持HIS系統(tǒng)的正常運(yùn)行。通過(guò)現(xiàn)場(chǎng)觀察的方法,查閱系統(tǒng)日志、運(yùn)行維護(hù)記錄等資料,對(duì)系統(tǒng)操作管理控制和系統(tǒng)災(zāi)難恢復(fù)控制制度進(jìn)行審計(jì)。市人民醫(yī)院建立了《網(wǎng)絡(luò)管理員及其主要工作關(guān)鍵設(shè)備的管理》的制度,完善了《操作手冊(cè)》的內(nèi)容,能夠?qū)?shù)據(jù)庫(kù)數(shù)據(jù)備份完整。
C.發(fā)現(xiàn)問(wèn)題和建議:系統(tǒng)存在維護(hù)日志不完整;業(yè)務(wù)數(shù)據(jù)都通過(guò)服務(wù)器磁盤進(jìn)行存儲(chǔ)、備份,磁盤數(shù)據(jù)容易被刪除、修改,存在數(shù)據(jù)丟失的風(fēng)險(xiǎn)。
(二)應(yīng)用控制審計(jì)
重點(diǎn)審計(jì)信息系統(tǒng)業(yè)務(wù)授權(quán)與審批失控等方面的情況;數(shù)據(jù)的真實(shí)性、完整性情況;業(yè)務(wù)數(shù)據(jù)的合法性、合規(guī)性、效益性情況。1.審計(jì)目標(biāo)
通過(guò)對(duì)業(yè)務(wù)流程控制、數(shù)據(jù)控制、接口控制、補(bǔ)償性控制審計(jì),主要檢查信息系統(tǒng)業(yè)務(wù)流程是否合法合規(guī),數(shù)據(jù)是否真實(shí)完整。
2.審計(jì)測(cè)試過(guò)程
(1)業(yè)務(wù)流程控制審計(jì)
A.具體審計(jì)目標(biāo):通過(guò)對(duì)信息系統(tǒng)業(yè)務(wù)流程的分析,查出系統(tǒng)在安全性和可靠性等方面存在的薄弱環(huán)節(jié)。B.審計(jì)測(cè)試過(guò)程:通過(guò)流程圖分析法,繪制業(yè)務(wù)流程圖,對(duì)業(yè)務(wù)流程圖中關(guān)鍵控制點(diǎn)進(jìn)行分析,查看是否存在漏洞。通過(guò)業(yè)務(wù)流程分析,審計(jì)發(fā)現(xiàn)在藥品價(jià)格調(diào)整控制點(diǎn)上,存在漏洞。
C.發(fā)現(xiàn)問(wèn)題和建議:調(diào)價(jià)記錄共有5894條,其中4904條記錄編制、審核為同一人。醫(yī)院未建立《崗位職責(zé)分離制度》,使得藥品調(diào)價(jià)管理環(huán)節(jié)上存在漏洞。(2)數(shù)據(jù)控制審計(jì)
A.具體審計(jì)目標(biāo):對(duì)主數(shù)據(jù)的審計(jì)主要是:對(duì)業(yè)務(wù)收入的真實(shí)性審計(jì);藥品價(jià)格、特殊醫(yī)療器材價(jià)格的審查;對(duì)重復(fù)、超范圍、超標(biāo)準(zhǔn)收取醫(yī)療服務(wù)費(fèi)情況的審計(jì)等。對(duì)業(yè)務(wù)參數(shù)的審計(jì)主要是檢查藥品價(jià)格、收費(fèi)項(xiàng)目等重要參數(shù)的合規(guī)性和準(zhǔn)確性。對(duì)重要信息的審計(jì)主要是對(duì)業(yè)務(wù)數(shù)據(jù)的重要字段合理性進(jìn)行檢查,分析系統(tǒng)在設(shè)計(jì)、錄入、存儲(chǔ)上存在的問(wèn)題。B.審計(jì)測(cè)試過(guò)程:
①對(duì)業(yè)務(wù)參數(shù)的審計(jì)。我們將收費(fèi)項(xiàng)目編碼和藥品編碼作為重要的業(yè)務(wù)數(shù)據(jù)參數(shù),具體審計(jì)步驟:
一是采用數(shù)據(jù)核對(duì)法,核對(duì)數(shù)據(jù)庫(kù)中收費(fèi)項(xiàng)目和藥品名稱。對(duì)照蘇價(jià)費(fèi)[2005]213號(hào)文件內(nèi)容,未發(fā)現(xiàn)可疑的項(xiàng)目編碼以及藥品名稱的問(wèn)題。
二是采用鉤稽關(guān)系效驗(yàn)法。①將費(fèi)用表中的收費(fèi)情況和收費(fèi)項(xiàng)目進(jìn)行關(guān)聯(lián),查找出住院病人和門診病人費(fèi)用表中藥品和醫(yī)療服務(wù)價(jià)格異常的數(shù)據(jù)。分析疑點(diǎn)發(fā)現(xiàn),造成數(shù)據(jù)異常的原因是藥品價(jià)格調(diào)整。②根據(jù)調(diào)價(jià)文件,查找調(diào)價(jià)時(shí)間大于調(diào)價(jià)文件規(guī)定時(shí)間。審計(jì)發(fā)現(xiàn),藥品價(jià)格未及時(shí)調(diào)整。2009年度,系統(tǒng)未嚴(yán)格執(zhí)行蘇價(jià)工[2009]320號(hào)、揚(yáng)價(jià)工[2009]147號(hào)等相關(guān)規(guī)定,有XX種藥品延期1-5天調(diào)價(jià),涉及相關(guān)記錄1145條,金額X.XX萬(wàn)元。初步認(rèn)為該系統(tǒng)對(duì)重要業(yè)務(wù)參數(shù)缺乏嚴(yán)格控制。
②對(duì)重要信息的審計(jì)。主要是對(duì)人民醫(yī)院的核心表中重要字段進(jìn)行檢查,查看系統(tǒng)在控制上是否存在不夠嚴(yán)謹(jǐn)?shù)膯?wèn)題。
具體步驟:一是完整性審查。通過(guò)SQL查詢分析的方法,對(duì)病人信息表等核心表進(jìn)行分析,發(fā)現(xiàn)代表病人唯一的ID字段長(zhǎng)度不一致,存在為空、句號(hào)、加號(hào)的現(xiàn)象。病人的姓名、性別存在數(shù)字等現(xiàn)象。同時(shí)還存在同一個(gè)住院號(hào),病人入院時(shí)間晚于出院時(shí)間等異常現(xiàn)象。
二是冗余性審查。審計(jì)發(fā)現(xiàn)“費(fèi)用表”等重要的業(yè)務(wù)數(shù)據(jù)表中還存在測(cè)試數(shù)據(jù)。醫(yī)院信息管理系統(tǒng)中208張表有61張是無(wú)記錄的空表。
我們對(duì)醫(yī)院人員信息進(jìn)行核對(duì),發(fā)現(xiàn)離崗超過(guò)1年的人員,仍可以登陸系統(tǒng),系統(tǒng)人員信息未及時(shí)清理。
經(jīng)過(guò)分析,初步認(rèn)為該系統(tǒng)基本信息不完整,對(duì)業(yè)務(wù)數(shù)據(jù)錄入未嚴(yán)格進(jìn)行控制,存在冗余數(shù)據(jù)影響系統(tǒng)安全。③對(duì)主數(shù)據(jù)的審計(jì)。
①我們結(jié)合SQL語(yǔ)句查詢并編寫了計(jì)算機(jī)審計(jì)方法,對(duì)數(shù)據(jù)的真實(shí)性和準(zhǔn)確性方面進(jìn)行審計(jì)分析。a.真實(shí)性審計(jì)。
具體步驟為:一是通過(guò)SQL查詢,統(tǒng)計(jì)出各個(gè)年度業(yè)務(wù)收入。審計(jì)中我們抽查了2009年門診掛號(hào)收入。二是通過(guò)AO系統(tǒng)對(duì)財(cái)務(wù)數(shù)據(jù)進(jìn)行分析,得出2009年門診掛號(hào)收入。
三是比較業(yè)務(wù)數(shù)據(jù)與財(cái)務(wù)數(shù)據(jù),分析得出2009年門診掛號(hào)收入一致,初步認(rèn)為系統(tǒng)對(duì)業(yè)務(wù)數(shù)據(jù)真實(shí)性方面進(jìn)行了控制。b.準(zhǔn)確性審計(jì)。
套用編碼收費(fèi)審計(jì)步驟:一是查找出藥庫(kù)記賬表中,采購(gòu)、庫(kù)存藥品的編碼。
二是查找出病人繳納的費(fèi)用編碼。
三是將藥品編碼和費(fèi)用編碼進(jìn)行關(guān)聯(lián),查出無(wú)采購(gòu)、無(wú)庫(kù)存,但是在使用的編碼作為審計(jì)疑點(diǎn)。
四是進(jìn)一步分析審計(jì)疑點(diǎn),求出套用編碼收費(fèi)的金額。
審計(jì)最終發(fā)現(xiàn),一次性巾單(編碼N058)2009年度采購(gòu)數(shù)量為0,庫(kù)存數(shù)量為0,但是銷售給住院病人XXXXX條,涉及金額XX.XX萬(wàn)元。
對(duì)醫(yī)療器械加價(jià)情況進(jìn)行審計(jì),發(fā)現(xiàn)可吸收縫線(編碼o001200)采購(gòu)價(jià)XX.X元/根,銷售給病人XX元/根,2009年度共計(jì)銷售XXXX根,涉及金額XX萬(wàn)元。
住院床位費(fèi)用審計(jì)步驟:一是根據(jù)住院病人基本信息表,計(jì)算出入院日期和出院日期的時(shí)間差。按照入院當(dāng)天計(jì)算,出院當(dāng)天不計(jì)算的規(guī)定,更新當(dāng)天入院又出院的數(shù)據(jù)。
二是不同的病床有不一樣的收費(fèi)標(biāo)準(zhǔn),我們?cè)陧?xiàng)目收費(fèi)表中查找出不同病床的不同收費(fèi)標(biāo)準(zhǔn)。
三是由于每個(gè)病人的每條收費(fèi)記錄對(duì)應(yīng)每個(gè)收費(fèi)編碼,我們根據(jù)住院病人費(fèi)用表,統(tǒng)計(jì)出病人住院的天數(shù)。四是求出病人住院的天數(shù)與入院日期和出院日期的時(shí)間差不一致的數(shù)據(jù),作為審計(jì)疑點(diǎn)。
查詢得出:2007年1月至2009年8月有XXXX人次住院病人多計(jì)病人床位天數(shù)XXXX天,多收床位費(fèi)用X.XX萬(wàn)元。經(jīng)過(guò)抽查核對(duì)住院檔案,我們發(fā)現(xiàn)多收住院費(fèi)為醫(yī)保處結(jié)帳和系統(tǒng)更新造成數(shù)據(jù)庫(kù)時(shí)間差異,實(shí)際未多收。初步認(rèn)為信息系統(tǒng)在數(shù)據(jù)準(zhǔn)確性方面有待加強(qiáng)。
②結(jié)合人民醫(yī)院績(jī)效項(xiàng)目審計(jì),對(duì)業(yè)務(wù)數(shù)據(jù)中設(shè)備產(chǎn)生的效益分析。采用量本利分析法對(duì)醫(yī)用直線加速器進(jìn)行盈虧平衡分析。
分析得出:該設(shè)備保本點(diǎn)為年放療XXXX人次,而2009年實(shí)際放療人次為XXXX人次,故該設(shè)備一直處于虧損狀態(tài)。采用橫縱向比較法,對(duì)數(shù)據(jù)進(jìn)行分析。通過(guò)橫向比較得出:(1)資產(chǎn)負(fù)債率控制較好,雖高于全市,但2008年低于揚(yáng)州其他縣(市);(2)藥品周轉(zhuǎn)天數(shù)逐年減少,并低于全市及揚(yáng)州其他縣(市),資金使用效率進(jìn)一步顯現(xiàn);(3)床位使用率、床位周轉(zhuǎn)次數(shù)逐年提高,并高于全市,與業(yè)務(wù)收入逐年增長(zhǎng)相匹配。與揚(yáng)州其他縣(市)相比,2008年床位使用率高于高郵、寶應(yīng),床位周轉(zhuǎn)次數(shù)高于江都;(4)管理費(fèi)用占業(yè)務(wù)支出比率逐年遞減,并低于高郵、寶應(yīng),支出結(jié)構(gòu)趨于合理。
通過(guò)縱向比較得出:藥品收入占醫(yī)藥收入比重在逐年增大,且2008年超過(guò)了50%(2009年達(dá)53.5%)。說(shuō)明市人民醫(yī)院業(yè)務(wù)收入呈過(guò)多依賴藥品收入的趨勢(shì),醫(yī)療機(jī)構(gòu)“以藥養(yǎng)醫(yī)”的現(xiàn)象短期仍難改變。藥占比變化情況如下圖:(3)接口控制審計(jì)
A.具體審計(jì)目標(biāo):對(duì)接口控制的審計(jì)主要是:對(duì)邏輯層接口標(biāo)準(zhǔn)的審計(jì);對(duì)傳輸層數(shù)據(jù)傳輸、轉(zhuǎn)換實(shí)現(xiàn)的審計(jì);對(duì)控制層差錯(cuò)控制、無(wú)效傳輸?shù)膶徲?jì)。
B.審計(jì)測(cè)試過(guò)程:我們采用模擬測(cè)試等方法對(duì)HIS系統(tǒng)與醫(yī)療保險(xiǎn)專線接口進(jìn)行分析,系統(tǒng)按日進(jìn)行匯總對(duì)賬,經(jīng)過(guò)抽查,數(shù)據(jù)能準(zhǔn)確、完整的傳輸?shù)叫畔⑾到y(tǒng)中。C.發(fā)現(xiàn)問(wèn)題和建議:未發(fā)現(xiàn)審計(jì)疑點(diǎn)。(4)系統(tǒng)外控制審計(jì)
A.具體審計(jì)目標(biāo):關(guān)注系統(tǒng)外的補(bǔ)償性控制措施。
B.審計(jì)測(cè)試過(guò)程:通過(guò)人為操作對(duì)系統(tǒng)進(jìn)行補(bǔ)償性控制。
審計(jì)發(fā)現(xiàn),市人民醫(yī)院通過(guò)病區(qū)工作站、醫(yī)務(wù)管理等55個(gè)不同的應(yīng)用程序,對(duì)信息系統(tǒng)操作管理進(jìn)行了有效控制。
六、對(duì)案例的自我分析與評(píng)價(jià)
(一)案例亮點(diǎn)
一是圍繞“安全性、有效性和經(jīng)濟(jì)性”的總體目標(biāo),服務(wù)了績(jī)效審計(jì)項(xiàng)目的開(kāi)展。在本次信息系統(tǒng)審計(jì)項(xiàng)目的實(shí)施過(guò)程中,我們強(qiáng)調(diào)了信息系統(tǒng)的效益性審計(jì)和分析。重點(diǎn)關(guān)注成本收益分析,審查其信息系統(tǒng)的硬件投入及可衡量收益;關(guān)注風(fēng)險(xiǎn)控制分析,審查其系統(tǒng)的軟件投入與保障力;關(guān)注可持續(xù)性發(fā)展能力分析,審查其系統(tǒng)的可擴(kuò)展性和升級(jí)跟進(jìn)能力,充分體現(xiàn)了績(jī)效審計(jì)的鮮明特色。
二是構(gòu)建了系統(tǒng)模擬環(huán)境,降低了審計(jì)的風(fēng)險(xiǎn)。在此次審計(jì)過(guò)程中,我們搭建了一個(gè)3人的小型域網(wǎng),組建了客戶端和服務(wù)器,安裝了醫(yī)院的HIS系統(tǒng),對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行移植,最后進(jìn)行了程序的調(diào)試。通過(guò)組建模擬環(huán)境,一方面可以對(duì)應(yīng)用程序進(jìn)行破壞性測(cè)試,查看系統(tǒng)的可靠性,另一方面,也可以減少在對(duì)方服務(wù)器上的操作,杜絕誤操作的出現(xiàn),降低審計(jì)風(fēng)險(xiǎn)。
三是嘗試編寫審計(jì)方法,提高了審計(jì)效率。在對(duì)該院業(yè)務(wù)數(shù)據(jù)的測(cè)試過(guò)程中,審計(jì)組對(duì)床位費(fèi)用、套用編碼收費(fèi)等審計(jì)內(nèi)容進(jìn)行科學(xué)的歸納總結(jié),梳理出有規(guī)律性的東西,在此基礎(chǔ)上編寫了審計(jì)方法,對(duì)相關(guān)業(yè)務(wù)數(shù)據(jù)進(jìn)行批量處理,達(dá)到了高效便捷的目的,同時(shí),有益于日后醫(yī)院審計(jì)項(xiàng)目中類似事項(xiàng)的推廣與使用。
(二)體會(huì)與啟發(fā)
本次信息系統(tǒng)審計(jì)結(jié)合了績(jī)效審計(jì),圓滿完成了審計(jì)任務(wù)。審計(jì)結(jié)果及建議得到被審單位的重視和采納,收到了很好的審計(jì)效果,也為今后開(kāi)展信息系統(tǒng)審計(jì)工作提供了一個(gè)成功的范例。這次審計(jì)不但使得我們積累了信息系統(tǒng)審計(jì)經(jīng)驗(yàn),還開(kāi)拓了我們信息系統(tǒng)審計(jì)的思路,給了我們很多啟發(fā):
一是要收集大量資料。信息系統(tǒng)不同于財(cái)務(wù)收支審計(jì),它的審計(jì)范圍大,覆蓋面廣。我們不能僅僅依靠被審計(jì)單位提供的資料,還需要從其他渠道獲得資料。在本案例中,我們不但收集了人民醫(yī)院的財(cái)務(wù)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、內(nèi)控制度,還從病人手中獲得問(wèn)卷反饋信息。大量的資料使得我們審計(jì)報(bào)告充實(shí),審計(jì)評(píng)價(jià)內(nèi)容更加準(zhǔn)確,審計(jì)風(fēng)險(xiǎn)大幅降低。
二是要注重審前調(diào)查。審前調(diào)查是確定審計(jì)重點(diǎn)、實(shí)施現(xiàn)場(chǎng)審計(jì)的基礎(chǔ)。在本審計(jì)項(xiàng)目中,我們運(yùn)用資料查閱法、座談法、現(xiàn)場(chǎng)觀察法、問(wèn)卷調(diào)查法等四種方法對(duì)醫(yī)院進(jìn)行了審前調(diào)查,例如,我們調(diào)查了群眾滿意度,調(diào)查業(yè)務(wù)流程,調(diào)查信息系統(tǒng)安全情況。全面、細(xì)致的調(diào)查,使得我們?cè)撔畔⑾到y(tǒng)審計(jì)項(xiàng)目事半功倍。
三是要轉(zhuǎn)變審計(jì)方式。在這次信息系統(tǒng)審計(jì)的過(guò)程中,我們積極轉(zhuǎn)變傳統(tǒng)的財(cái)務(wù)收支審計(jì)思路,打破以查找違法違紀(jì)問(wèn)題為主的思維框框,找準(zhǔn)信息系統(tǒng)審計(jì)的切入點(diǎn),堅(jiān)持以排查可能存在的異常現(xiàn)象,分析產(chǎn)生問(wèn)題原因,提出針對(duì)性的審計(jì)建議為主線,切實(shí)發(fā)揮信息系統(tǒng)審計(jì)的“系統(tǒng)免疫”功能。
四是要?jiǎng)?chuàng)新審計(jì)方法。審計(jì)方法不但影響了審計(jì)效率,還影響審計(jì)報(bào)告的質(zhì)量。在信息系統(tǒng)審計(jì)中,我們拋棄以前財(cái)務(wù)收支的核算法、復(fù)對(duì)法、統(tǒng)計(jì)法等方法,運(yùn)用繪制流程圖法、數(shù)據(jù)核對(duì)法、模擬操作法、橫縱向比較法、量本利分析法、SQL語(yǔ)句查詢法、鉤稽關(guān)系效驗(yàn)法、會(huì)議座談法、問(wèn)卷調(diào)查等方法,提高信息系統(tǒng)審計(jì)的廣度和深度。
第二篇:信息系統(tǒng)審計(jì)
1、信息系統(tǒng)審計(jì)的概念,內(nèi)容,流程?
答:(1)概念信息系統(tǒng)審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范,對(duì)信息系統(tǒng)從規(guī)劃、實(shí)施到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審查評(píng)價(jià),對(duì)信息系統(tǒng)及其業(yè)務(wù)的完整性、有效性、效率性、安全性等進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過(guò)程,以確定預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn),斌提出一系列改進(jìn)建議的管理活動(dòng)。
(2)內(nèi)容:主要包括內(nèi)部控制系統(tǒng)審計(jì)、系統(tǒng)開(kāi)發(fā)審計(jì)、應(yīng)用程序?qū)徲?jì)、數(shù)據(jù)文件審計(jì)等。a.內(nèi)部控制系統(tǒng)審計(jì)。信息系統(tǒng)的內(nèi)部控制系統(tǒng)由兩個(gè)子系統(tǒng)構(gòu)成:一是一般控制系統(tǒng),它是系統(tǒng)運(yùn)行環(huán)境方面的控制,為應(yīng)用程序的正常運(yùn)行提供外圍保障。另一子系統(tǒng)是應(yīng)用控制系統(tǒng),它是針對(duì)具體的應(yīng)用系統(tǒng)和程序而設(shè)置的各種控制措施。
b.系統(tǒng)開(kāi)發(fā)審計(jì)。是指對(duì)信息系統(tǒng)開(kāi)發(fā)過(guò)程所進(jìn)行的審計(jì),這是一種事前審計(jì)。
c.應(yīng)用程序?qū)徲?jì)。其決定了數(shù)據(jù)處理的合規(guī)性、正確性。對(duì)應(yīng)用程序的審計(jì),可以對(duì)程序直接進(jìn)行審查,也可以通過(guò)數(shù)據(jù)在程序上的運(yùn)行進(jìn)行間接測(cè)試。
d.數(shù)據(jù)文件審計(jì)。在信息系統(tǒng)中,各種憑證、賬簿及報(bào)表中的數(shù)據(jù)均以數(shù)據(jù)文件的形式存儲(chǔ)在硬盤或軟盤等存儲(chǔ)介質(zhì)中,對(duì)數(shù)據(jù)文件進(jìn)行審計(jì),可以將該文件打印出來(lái)進(jìn)行檢查,也可以在計(jì)算機(jī)內(nèi)直接進(jìn)行審查。
(3)流程:主要的分為準(zhǔn)備階段、實(shí)施階段、終結(jié)階段。
a.準(zhǔn)備階段:
1、明確審計(jì)任務(wù)。
2、組成信息系統(tǒng)審計(jì)小組。
3、了解被審計(jì)系統(tǒng)的基本情況。
4、制定信息系統(tǒng)審計(jì)方案;
b.實(shí)施方案:
1、對(duì)被審計(jì)系統(tǒng)的內(nèi)部控制制度進(jìn)行健全性調(diào)查和符合性測(cè)試。
2、對(duì)帳表單證或數(shù)據(jù)文件的實(shí)質(zhì)性審查;
c.終結(jié)階段:
1、整理歸納審計(jì)資料。
2、撰寫審計(jì)報(bào)告。
3、發(fā)出審計(jì)結(jié)論和決定。
4、審計(jì)資料的歸檔和管理。
2、常見(jiàn)的IT治理標(biāo)準(zhǔn)有哪些,各自的作用是什么?
答:常見(jiàn)的IT治理標(biāo)準(zhǔn)有ITIL,COBIT,BS 7799,PRINCE2。
(1)ITIL(Information Technology Infrastructure Library),即信息技術(shù)基礎(chǔ)構(gòu)架庫(kù),一套被廣泛承認(rèn)的用于有效IT服務(wù)管理的時(shí)間準(zhǔn)則。1980年以來(lái),英國(guó)政府商務(wù)辦公室為解決“IT服務(wù)質(zhì)量不佳”的問(wèn)題,逐步提出和完善了一整套對(duì)IT服務(wù)的質(zhì)量進(jìn)行評(píng)估的方法體系。
(2)COBIT,(Control Objectives for Information and related Technology):信息和相關(guān)技術(shù)的控制目標(biāo)。它是由信息系統(tǒng)審計(jì)與控制協(xié)會(huì),于1996年推出的用于IT審計(jì)的知識(shí)體系。作為IT治理的核心模型,其包括34個(gè)信息技術(shù)過(guò)程控制,并歸集為IT規(guī)劃和組織、系統(tǒng)獲得和實(shí)施、交付與支持以及信息系統(tǒng)運(yùn)行性能監(jiān)控4個(gè)領(lǐng)域。目前COBIT是國(guó)際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)。
(3)BS 7799(ISO/IEC17799):國(guó)際信息安全管理標(biāo)準(zhǔn)體系。該標(biāo)準(zhǔn)包括信息系統(tǒng)安全管理和安全認(rèn)證兩大部分,是參照英國(guó)國(guó)家標(biāo)準(zhǔn)BS 7799而來(lái)的。它是一個(gè)詳細(xì)的安全標(biāo)準(zhǔn),包括安全內(nèi)容的所有準(zhǔn)則,由10個(gè)獨(dú)立的部分組成,每一節(jié)都覆蓋了不同的主題和區(qū)域。該體系主要解決企業(yè)的信息安全管理上的問(wèn)題,為企業(yè)提供了一個(gè)完整的管理框架,不斷改進(jìn)信息安全管理水平,使機(jī)構(gòu)或企業(yè)的信息安全以最小代價(jià)達(dá)到需要的水準(zhǔn)。
(4)PRINCE2(Projects In Controlled Environments)是一種對(duì)項(xiàng)目管理的某些特定方面提供支持的方法。PRINCE2描述了一個(gè)項(xiàng)目如何被切分成一些可供管理的階段,以便高效地控制資源的使用和在整個(gè)項(xiàng)目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對(duì)具體項(xiàng)目的管理,還覆蓋了在組織范圍對(duì)項(xiàng)目的管理。
3、常見(jiàn)的信息系統(tǒng)開(kāi)發(fā)方法,對(duì)其中的一到兩種展開(kāi)說(shuō)明?
答:常見(jiàn)的信息系統(tǒng)開(kāi)發(fā)方法有軟件開(kāi)發(fā)生命周期法、原型法、面向?qū)ο蠓ā⒂?jì)算機(jī)輔助開(kāi)發(fā)方法、基于組件的開(kāi)發(fā)方法、基于Web應(yīng)用開(kāi)發(fā)方法。以下對(duì)軟件開(kāi)發(fā)生命周期法進(jìn)行
說(shuō)明。
軟件開(kāi)發(fā)生命周期法(Software Development Life Cycle,SDLC)是系統(tǒng)分析員和系統(tǒng)開(kāi)發(fā)者常用的軟件開(kāi)發(fā)方法。軟件開(kāi)發(fā)生命周期法能夠生產(chǎn)高質(zhì)量的軟件,滿足業(yè)務(wù)和用戶的需求,在開(kāi)發(fā)進(jìn)度和成本控制下進(jìn)行軟件開(kāi)發(fā)生產(chǎn),是一種有效保證成本,提高效益的軟件開(kāi)發(fā)方法。通過(guò)應(yīng)用傳統(tǒng)的SDLC方法,已經(jīng)成功開(kāi)發(fā)出了大量的業(yè)務(wù)應(yīng)用系統(tǒng)。其各個(gè)階段及其基本內(nèi)容如下:
1、第一階段——可行性研究。確定實(shí)施系統(tǒng)在提高生產(chǎn)效率或未來(lái)降低成本方面的戰(zhàn)略利
益,確定和量化新系統(tǒng)可以節(jié)約的成本,評(píng)價(jià)新系統(tǒng)的成本回收期。
2、第二階段——需求定義。一是定義需要解決的問(wèn)題,二是定義所需的解決方案及方案應(yīng)
當(dāng)具有的功能和質(zhì)量要求。該階段還要確定是采用定制開(kāi)發(fā)的方法還是供應(yīng)商提供的軟件包。
3、第三階段A——系統(tǒng)設(shè)計(jì)(當(dāng)決定自行開(kāi)發(fā)軟件時(shí))。以需求定義為基礎(chǔ),建立一個(gè)系
統(tǒng)基線和子系統(tǒng)的規(guī)格說(shuō)明,以描述系統(tǒng)功能如何實(shí)現(xiàn),各個(gè)部分之間接口如何定義,系統(tǒng)如何使用已選擇的硬件、軟件和網(wǎng)絡(luò)設(shè)施等。
4、第三階段B——系統(tǒng)獲取(當(dāng)決定購(gòu)買現(xiàn)成軟件包時(shí))。以需求定義為基礎(chǔ),向軟件供
應(yīng)商發(fā)出請(qǐng)求建議書(RFP)。商品軟件的選擇要從多方面進(jìn)行考慮。
5、第四階段A——系統(tǒng)開(kāi)發(fā)(當(dāng)決定自行開(kāi)發(fā)軟件時(shí))。使用系統(tǒng)設(shè)計(jì)說(shuō)明書來(lái)設(shè)計(jì)編程
和實(shí)現(xiàn)系統(tǒng)過(guò)程。在這個(gè)階段,要進(jìn)行各個(gè)層次的測(cè)試,以驗(yàn)證和確認(rèn)開(kāi)發(fā)的系統(tǒng)。
6、第四階段B——系統(tǒng)配置(當(dāng)決定購(gòu)買現(xiàn)成軟件包時(shí))。如果決定選用商品化的軟件包
時(shí),需要按照企業(yè)的需求進(jìn)行系統(tǒng)客戶化工作,對(duì)系統(tǒng)進(jìn)行剪裁。這種剪裁最好是通過(guò)配置系統(tǒng)參數(shù)來(lái)實(shí)現(xiàn),而不是通過(guò)修改程序源代碼。
7、第五階段——系統(tǒng)實(shí)施。這個(gè)階段是在最終用戶驗(yàn)收測(cè)試完成、用戶簽署正式文件后進(jìn)
行。系統(tǒng)還需要通過(guò)一些認(rèn)證和鑒定過(guò)程,來(lái)評(píng)價(jià)應(yīng)用系統(tǒng)的有效性。
8、第六階段——實(shí)施后維護(hù)。隨著一個(gè)新系統(tǒng)或徹底修改的系統(tǒng)的成功實(shí)施,應(yīng)當(dāng)建立正
式的程序來(lái)評(píng)估系統(tǒng)的充分性和評(píng)價(jià)成本效益或投資回報(bào)。這樣可為后續(xù)的系統(tǒng)開(kāi)發(fā)項(xiàng)目管理提供改進(jìn)意見(jiàn)。
當(dāng)一個(gè)項(xiàng)目的需求穩(wěn)定、定義準(zhǔn)確時(shí),生命周期法使用起來(lái)最有效,改方法適用于在開(kāi)發(fā)工作的早期建立總體的系統(tǒng)構(gòu)架。
4、IT服務(wù)管理的定義,包括哪些內(nèi)容?
答:(1)IT服務(wù)管理(IT Service Management,ITSM)有以下兩種使用比較廣泛的定義:
1、IT服務(wù)管理是一種以流程為導(dǎo)向、以客戶為中心的方法。它通過(guò)整合IT服務(wù)于企業(yè)業(yè)
務(wù),提高了企業(yè)的IT服務(wù)提供和服務(wù)支持的能力和水平。
2、IT服務(wù)管理是一套通過(guò)SLA(服務(wù)級(jí)別協(xié)議)來(lái)保證IT服務(wù)質(zhì)量的協(xié)同流程。它融合了系統(tǒng)管理、網(wǎng)絡(luò)管理、系統(tǒng)開(kāi)發(fā)管理等管理活動(dòng)以及變更管理、資產(chǎn)管理、問(wèn)題管理等許多流程理論和實(shí)踐。
(2)ITIL主題框架包括6個(gè)主要模塊,即服務(wù)管理、業(yè)務(wù)管理、ICT(信息與通信技術(shù))基礎(chǔ)設(shè)施管理、貫穿業(yè)務(wù)和IT基礎(chǔ)設(shè)施的應(yīng)用管理、IT服務(wù)管理實(shí)施規(guī)劃和集中的安全管理。
08信息2班0804100229徐怡
第三篇:信息系統(tǒng)審計(jì)重點(diǎn)
信息系統(tǒng)審計(jì)
電子計(jì)算機(jī)在數(shù)據(jù)處理的發(fā)展過(guò)程可分為三個(gè)階段:數(shù)據(jù)的單項(xiàng)處理階段、數(shù)據(jù)的綜合處理階段、數(shù)據(jù)的系統(tǒng)處理階段。
數(shù)據(jù)處理電算化以后,對(duì)傳統(tǒng)的審計(jì)產(chǎn)生了巨大的影響,主要表現(xiàn)在:
1、對(duì)審計(jì)線索的影響~~~~
2、對(duì)審計(jì)方法和技術(shù)的影響~~~~~~
3、對(duì)審計(jì)人員的影響~~~~~
4、對(duì)審計(jì)準(zhǔn)則的影響~~~~~~ 信息系統(tǒng)審計(jì)的定義:信息系統(tǒng)審計(jì)是根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范,對(duì)信息系統(tǒng)從規(guī)劃、實(shí)施到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審查評(píng)價(jià),對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整性、有效性、效率性、安全性等進(jìn)行檢測(cè)、評(píng)估和控制的過(guò)程,以確認(rèn)預(yù)訂的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn),并提出一系列改進(jìn)建議的管理活動(dòng)。
信息系統(tǒng)的主體:有勝任能力的信息系統(tǒng)獨(dú)立審計(jì)機(jī)構(gòu)或人員 信息系統(tǒng)審計(jì)的對(duì)象:被審計(jì)的信息系統(tǒng)
信息系統(tǒng)審計(jì)工作的核心:客觀地收集和評(píng)估證據(jù)
信息系統(tǒng)審計(jì)的目的是評(píng)估并提供反饋、保證及建議。關(guān)注之處被分為三類:可用性、保密性、完整性。
信息系統(tǒng)審計(jì)的特點(diǎn):審計(jì)范圍的廣泛性、審計(jì)線索的隱蔽性、易逝性、審計(jì)取證的動(dòng)態(tài)性、審計(jì)技術(shù)的復(fù)雜性。(真是為一道簡(jiǎn)答題。在P6,詳細(xì)看一下各段內(nèi)容,概括下再答題)信息系統(tǒng)審計(jì)目標(biāo):
1、保護(hù)資產(chǎn)的完整性
2、保證數(shù)據(jù)的準(zhǔn)確性
3、提高系統(tǒng)的有效性
4、提高系統(tǒng)的效率性
5、保證信息系統(tǒng)的合規(guī)性與合法性
信息系統(tǒng)的主要內(nèi)容:內(nèi)部控制系統(tǒng)審計(jì)(分為一般控制系統(tǒng)、應(yīng)用控制系統(tǒng),對(duì)信息系統(tǒng)的內(nèi)部控制系統(tǒng)進(jìn)行審計(jì)的目的是在內(nèi)部控制審計(jì)的基礎(chǔ)上對(duì)信息系統(tǒng)的處理結(jié)果進(jìn)行審計(jì)、加強(qiáng)內(nèi)部控制,完善內(nèi)部控制系統(tǒng))系統(tǒng)開(kāi)發(fā)審計(jì)(信息系統(tǒng)開(kāi)發(fā)審計(jì)是對(duì)信息系統(tǒng)開(kāi)發(fā)過(guò)程進(jìn)行的審計(jì),審計(jì)目的一是要檢查開(kāi)發(fā)的方法、程序是否科學(xué),是否含有恰當(dāng)?shù)目刂疲欢且獧z查開(kāi)發(fā)過(guò)程中產(chǎn)生的系統(tǒng)文檔資料是否規(guī)范。)應(yīng)用程序?qū)徲?jì)(審查應(yīng)用程序有兩個(gè)目的,意識(shí)測(cè)試應(yīng)用控制系統(tǒng)的符合性,二是通過(guò)檢查程序運(yùn)算和邏輯的正確性達(dá)到實(shí)質(zhì)性測(cè)試目的)數(shù)據(jù)文件審計(jì)(審計(jì)目的一是對(duì)數(shù)據(jù)文件進(jìn)行實(shí)質(zhì)性測(cè)試,二是通過(guò)數(shù)據(jù)文件的審計(jì),測(cè)試一般控制或應(yīng)用控制的符合性,但主要是為了實(shí)質(zhì)性測(cè)試)(這是道簡(jiǎn)答題,在P8各個(gè)小概括下)
信息系統(tǒng)審計(jì)的基本方法:繞過(guò)信息系統(tǒng)審計(jì)、通過(guò)信息系統(tǒng)審計(jì) 信息系統(tǒng)審計(jì)的步驟(大題P11):
準(zhǔn)備階段:明確審計(jì)任務(wù),組成信息系統(tǒng)審計(jì)小組,了解被審計(jì)系統(tǒng)的基本情況,指定信息系統(tǒng)審計(jì)方案,發(fā)出審計(jì)通知書 實(shí)施階段:對(duì)被審計(jì)系統(tǒng)的內(nèi)部控制制度進(jìn)行健全性調(diào)查和符合性測(cè)試,對(duì)賬表單證或數(shù)據(jù)文件的實(shí)質(zhì)性審查
終結(jié)階段:整理歸納審計(jì)資料,撰寫審計(jì)報(bào)告,發(fā)出審計(jì)結(jié)論和決定,審計(jì)資料的歸檔和管理
國(guó)際信息系統(tǒng)審計(jì)準(zhǔn)則:由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)頒布和實(shí)施的。ISACA是國(guó)際上唯一的信息系統(tǒng)審計(jì)專業(yè)組織,通過(guò)制定和頒布信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、指南和程序來(lái)規(guī)范審計(jì)師的工作,它由三個(gè)層次構(gòu)成: 審計(jì)標(biāo)準(zhǔn)(審計(jì)標(biāo)準(zhǔn)是整個(gè)信息系統(tǒng)準(zhǔn)則體系的總綱,是制定審計(jì)指南和作業(yè)程序的基礎(chǔ)和依據(jù))審計(jì)指南(審計(jì)指南為審計(jì)標(biāo)準(zhǔn)的應(yīng)用提供了指引,信息系統(tǒng)審計(jì)師在審計(jì)過(guò)程中應(yīng)考慮如何應(yīng)用指南以實(shí)現(xiàn)審計(jì)標(biāo)準(zhǔn)的要求,在應(yīng)用過(guò)程中靈活運(yùn)用專業(yè)判斷并糾正任何偏離準(zhǔn)則的行為)
作業(yè)程序(作業(yè)程序提供了信息系統(tǒng)審計(jì)師在審計(jì)過(guò)程中可能遇到的審計(jì)程序的示例)信息系統(tǒng)審計(jì)師應(yīng)具備的素質(zhì)(大題P18-19)
應(yīng)具備的理論知識(shí):傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、計(jì)算機(jī)科學(xué)、行為科學(xué)理論
應(yīng)具有的實(shí)踐技能:參加過(guò)不同類別的工作培訓(xùn)、參與專業(yè)的機(jī)構(gòu)或廠商組織的研討會(huì),動(dòng)態(tài)掌握信息技術(shù)的新發(fā)展對(duì)審計(jì)實(shí)踐的影響、具有理解信息處理活動(dòng)的各種技術(shù)、理解并熟悉操作環(huán)境,評(píng)估內(nèi)部控制的有效性、理解現(xiàn)有與未來(lái)系統(tǒng)的技術(shù)復(fù)雜性,以及它們對(duì)各級(jí)操作與決策的影響、能使用技術(shù)的方法去識(shí)別系統(tǒng)的完整性、要參與評(píng)估與使用信息技術(shù)相關(guān)的有效性、效率、風(fēng)險(xiǎn)等、能夠提供審計(jì)集成服務(wù)并為審計(jì)員工提供指導(dǎo),與財(cái)務(wù)審計(jì)師一起對(duì)公司財(cái)務(wù)狀況做出說(shuō)明、具備系統(tǒng)開(kāi)發(fā)方法論、安全控制設(shè)計(jì)、實(shí)施后評(píng)估等、掌握網(wǎng)絡(luò)相關(guān)的安全實(shí)踐、信息安全服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃、異步傳輸模式等通信技術(shù)。IT治理定義:德勒定義:IT治理是一個(gè)含義廣泛的概念,包括信息系統(tǒng)、技術(shù)、通信、商業(yè)、所有利益相關(guān)者、合法性和其他問(wèn)題。其主要任務(wù)是保持IT與業(yè)務(wù)目標(biāo)一致,推動(dòng)業(yè)務(wù)發(fā)展,促使收益最大化,合理利用IT資源,IT相關(guān)風(fēng)險(xiǎn)的適當(dāng)管理。
IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致,IT對(duì)于企業(yè)非常關(guān)鍵,也是戰(zhàn)略規(guī)劃的組成,影響戰(zhàn)略競(jìng)爭(zhēng);IT治理和其他治理主體一樣,是管理執(zhí)行人員和利益相關(guān)者的責(zé)任(以董事會(huì)為代表);IT治理保護(hù)利益相關(guān)者的權(quán)益,使風(fēng)險(xiǎn)透明化,指導(dǎo)和控制IT投資、機(jī)遇、利益、風(fēng)險(xiǎn);IT治理包括管理層、組織結(jié)構(gòu)、過(guò)程,以確保IT維護(hù)和拓展組織戰(zhàn)略目標(biāo);應(yīng)該合理利用企業(yè)的信息資源,有效的集成與協(xié)調(diào);確保IT及時(shí)按照目標(biāo)交付,有合適的功能和期望的收益,是一個(gè)一致性和價(jià)值傳遞的基本構(gòu)建模塊,有明確的期望值和衡量手段;引導(dǎo)IT戰(zhàn)略平衡系統(tǒng)的投資,支持企業(yè),變革企業(yè),或者創(chuàng)建一個(gè)信息基礎(chǔ)架構(gòu),保證業(yè)務(wù)增長(zhǎng),并在一個(gè)新的領(lǐng)域競(jìng)爭(zhēng)。
IT治理和IT管理的關(guān)系:IT管理是在既定的IT治理模式下,管理層為實(shí)現(xiàn)公司的目標(biāo)二采取的行動(dòng),IT治理規(guī)定了整個(gè)企業(yè)IT運(yùn)作的基本框架,IT管理則是在這個(gè)既定的框架下駕馭企業(yè)奔向目標(biāo)。缺乏良好IT治理模式的公司,即使有很好的IT管理體系,就想一座地基不牢固的大廈;同時(shí),沒(méi)有公司IT管理體系的流暢,單純的治理模式也只能是一個(gè)美好的藍(lán)圖,而缺乏實(shí)際的內(nèi)容。
公司治理和IT治理:公司治理,驅(qū)動(dòng)和調(diào)整IT治理。同時(shí),IT能夠提供關(guān)鍵的輸入,形成戰(zhàn)略計(jì)劃的一個(gè)重要組成部分,即IT影響企業(yè)的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇。IT治理標(biāo)準(zhǔn):ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型:不存在、初始級(jí)、可重復(fù)級(jí)、已定義級(jí)、已管理級(jí)、已優(yōu)化級(jí)(主要內(nèi)容及其作用在P47-48)
信息系統(tǒng)內(nèi)部控制:是一個(gè)單位在信息系統(tǒng)環(huán)境下,為了保證業(yè)務(wù)活動(dòng)的有效進(jìn)行,保護(hù)資產(chǎn)的安全與完整,防止、發(fā)現(xiàn)、糾正錯(cuò)誤與舞弊、確保信息系統(tǒng)提供信息的真實(shí)、合法、完整,而制定和實(shí)施的一系列政策與程序措施。凡是與信息系統(tǒng)的建立、運(yùn)作維護(hù)、管理和業(yè)務(wù)處理有關(guān)的部門、人員和活動(dòng),都屬于信息系統(tǒng)內(nèi)部控制的對(duì)象,可分為一般控制和應(yīng)用控制。
信息系統(tǒng)一般控制是應(yīng)用于一個(gè)單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制,其基本目標(biāo)為保證數(shù)據(jù)安全、保護(hù)計(jì)算機(jī)應(yīng)用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的繼續(xù)運(yùn)行等。
信息系統(tǒng)應(yīng)用控制是用于對(duì)具體應(yīng)用系統(tǒng)的控制,一個(gè)應(yīng)用系統(tǒng)一般由多個(gè)相關(guān)計(jì)算機(jī)程序組成,有些應(yīng)用系統(tǒng)可能是復(fù)雜的綜合系統(tǒng),牽涉到多個(gè)計(jì)算機(jī)程序和組織單元,與此相對(duì)應(yīng),應(yīng)用控制包括包含在計(jì)算機(jī)編碼中的日常控制及與用戶活動(dòng)相關(guān)的政策和流程。良好的一般控制是應(yīng)用控制的基礎(chǔ),可以為應(yīng)用控制的有效性提供有力的保障,某些應(yīng)用控制的有效性取決于計(jì)算機(jī)整體環(huán)境控制的有效性。當(dāng)計(jì)算機(jī)整體環(huán)境控制薄弱時(shí),應(yīng)用控制就無(wú)法真正提供合理保障。如果一般控制審計(jì)結(jié)果很差,應(yīng)用控制審計(jì)結(jié)果很差,應(yīng)用控制審計(jì)就沒(méi)有進(jìn)行的必要。
審計(jì)邏輯訪問(wèn)安全策略:知所必需原則
審查離職員工的訪問(wèn)控制:請(qǐng)辭、聘用合同期滿和非自愿離職 數(shù)據(jù)庫(kù)加密:一般采用公開(kāi)密鑰加密方法 系統(tǒng)訪問(wèn)控制及其審計(jì):系統(tǒng)訪問(wèn)就是利用計(jì)算機(jī)資源達(dá)到一定目的的能力,對(duì)計(jì)算機(jī)化的信息資源的訪問(wèn)可以基于邏輯方式,也可以基于物理方式。物理訪問(wèn)控制可以限制人員進(jìn)出敏感區(qū)域。對(duì)計(jì)算機(jī)信息的物理訪問(wèn)與邏輯訪問(wèn)應(yīng)當(dāng)建立在“知所必需”的基礎(chǔ)上,按照最小授權(quán)原則和職責(zé)分離原則來(lái)分配系統(tǒng)訪問(wèn)權(quán)限,并把這些訪問(wèn)規(guī)則與訪問(wèn)授權(quán)通過(guò)正式書面文件記錄下來(lái),作為信息安全的重要文件加以妥善管理。身份識(shí)別與驗(yàn)證(簡(jiǎn)答題P65-66):邏輯訪問(wèn)控制中的身份識(shí)別與驗(yàn)證是一種提供用戶身份證明的過(guò)程,在這個(gè)過(guò)程中,用戶向系統(tǒng)提交有效的身份證明,系統(tǒng)驗(yàn)證這個(gè)身份證明后向用戶授予訪問(wèn)系統(tǒng)的能力。可分為三類:“只有你知道的事情”“只有你擁有的東西”“只有你具有的特征” 例子:賬號(hào)與口令、令牌設(shè)備、生物測(cè)定技術(shù)與行為測(cè)定技術(shù)。邏輯訪問(wèn)授權(quán):一般情況下邏輯訪問(wèn)控制基于最小授權(quán)原則,支隊(duì)因工作需要訪問(wèn)信息系統(tǒng)的人員進(jìn)行必要的授權(quán)。當(dāng)用戶在組織變換工作角色時(shí),在賦予他們新訪問(wèn)權(quán)限時(shí),一般沒(méi)有及時(shí)取消舊的訪問(wèn)權(quán)限,這就會(huì)產(chǎn)生訪問(wèn)控制上的風(fēng)險(xiǎn)。所以當(dāng)員工職位有變動(dòng)時(shí),信息系統(tǒng)審計(jì)師就要及時(shí)審核訪問(wèn)控制列表是否做了有效變更。災(zāi)難恢復(fù)控制及其審計(jì):信息系統(tǒng)的災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃是組織中總的業(yè)務(wù)持續(xù)計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的重要組成部分。恢復(fù)策略與恢復(fù)類型:熱站、溫站、冷站、冗余信息處理設(shè)施、移動(dòng)站點(diǎn)、組織間互惠協(xié)議。BCP中多個(gè)計(jì)劃文件:業(yè)務(wù)持續(xù)性計(jì)劃(BCP)、業(yè)務(wù)恢復(fù)計(jì)劃(BRP)、連續(xù)作業(yè)計(jì)劃(COOP)連續(xù)支持計(jì)劃、IT應(yīng)急計(jì)劃、危機(jī)通信計(jì)劃、事件響應(yīng)事件、災(zāi)難恢復(fù)計(jì)劃(DRP)、場(chǎng)所緊急計(jì)劃(OEP)
異地備份:完全備份、增量備份、差分備份
災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃的審計(jì):主要任務(wù)是理解與評(píng)價(jià)組織的業(yè)務(wù)連續(xù)性策略,及其組織業(yè)務(wù)目標(biāo)的符合性;參考相應(yīng)的標(biāo)準(zhǔn)和法律法規(guī),評(píng)估該計(jì)劃的充分性和時(shí)效性;審核信息系統(tǒng)及終端用戶對(duì)計(jì)劃所做的測(cè)試的結(jié)果,驗(yàn)證計(jì)劃的有效性;審核異地存儲(chǔ)設(shè)施機(jī)器內(nèi)容、安全和環(huán)境控制,以評(píng)估異地存儲(chǔ)站點(diǎn)的適當(dāng)性;通過(guò)審核應(yīng)急措施、員工培訓(xùn)、測(cè)試結(jié)果,評(píng)估信息系統(tǒng)及其終端用戶在緊急情況下的有效反應(yīng)能力;確認(rèn)組織對(duì)業(yè)務(wù)持續(xù)性計(jì)劃的維護(hù)措施存在并有效。
應(yīng)用控制概念:應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求,保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。應(yīng)用控制涉及各種類型的業(yè)務(wù),每種業(yè)務(wù)及其數(shù)據(jù)處理尤其特殊流程的要求,這決定了具體的應(yīng)用控制的設(shè)計(jì)需結(jié)合具體的業(yè)務(wù)。單另一方面。由于數(shù)據(jù)處理過(guò)程一般都是由輸入、處理和輸出三個(gè)階段構(gòu)成,從這一共性出發(fā),可將應(yīng)用控制劃分為輸入控制、處理控制和輸出控制。應(yīng)用控制也是由手工控制和程序化控制構(gòu)成,但以程序化控制為主。
軟件維護(hù)的種類:糾錯(cuò)行為化、適應(yīng)性維護(hù)、完善性維護(hù)、預(yù)防性維護(hù) 服務(wù)管理:面向IT基礎(chǔ)設(shè)施管理的服務(wù)支持、面向業(yè)務(wù)管理的服務(wù)提供
IT服務(wù)提供流程主要面對(duì)付費(fèi)的機(jī)構(gòu)和個(gè)人客戶,負(fù)責(zé)為客戶提供高質(zhì)量、低成本的IT服務(wù)。任務(wù):根據(jù)組織的業(yè)務(wù)需求,對(duì)服務(wù)能力、持續(xù)性、可用性等服務(wù)級(jí)別目標(biāo)進(jìn)行規(guī)劃和設(shè)計(jì),同時(shí)還必須考慮到這些服務(wù)目標(biāo)所需要耗費(fèi)的成本。主要包括服務(wù)水平管理、IT服務(wù)財(cái)務(wù)管理、能力管理、IT服務(wù)持續(xù)性管理和可用性管理5個(gè)服務(wù)管理流程。
IT服務(wù)的服務(wù)支持主要面向終端用戶,負(fù)責(zé)確保IT服務(wù)的穩(wěn)定性與靈活性,用于確保終端用戶得到適當(dāng)?shù)姆?wù),以支持組織的業(yè)務(wù)功能。服務(wù)支持流程包括體現(xiàn)服務(wù)接觸和溝通的服務(wù)臺(tái)職能和5個(gè)運(yùn)作層次的流程,即配置管理、事務(wù)管理、問(wèn)題管理、變更管理、發(fā)布管理。應(yīng)用程序?qū)徲?jì)的內(nèi)容:
審查程序控制是否健全有效:程序中輸入控制的審計(jì)、程序中處理控制的審計(jì)、程序中輸出控制的審計(jì)。
審查程序的合法性P168 簡(jiǎn)單論述
審查程序編碼的正確性:目標(biāo)和任務(wù)不明確、系統(tǒng)設(shè)計(jì)差錯(cuò)、程序設(shè)計(jì)說(shuō)明書錯(cuò)誤、程序語(yǔ)法或邏輯錯(cuò)誤
審查程序的有效性:在具體編寫程序前應(yīng)簡(jiǎn)化算術(shù)表達(dá)式及邏輯表達(dá)式、細(xì)心的分析多層嵌套循環(huán),以確定能否把一些語(yǔ)句或表達(dá)式轉(zhuǎn)移到循環(huán)體制外、盡量避免采用多維數(shù)組、盡量避免采用指針及復(fù)雜的表、采用“快”的算法;不要把不同的數(shù)據(jù)類型混在一起;只要可能就采用整形數(shù)的算法運(yùn)算和布爾表達(dá)式。應(yīng)用程序?qū)徲?jì)方法:對(duì)應(yīng)用程序進(jìn)行審計(jì),往往是計(jì)算機(jī)輔助審計(jì)方法與手工審計(jì)方法的結(jié)合。
檢測(cè)數(shù)據(jù)法:是指審計(jì)人員把一批預(yù)先設(shè)計(jì)好的監(jiān)測(cè)數(shù)據(jù),利用被審程序加以處理,并把處理的結(jié)果與預(yù)期的結(jié)果作比較,以確定被審程序的控制與處理功能是否恰當(dāng)、有效的一種方法。
平行模擬法:是指審計(jì)人員自己或請(qǐng)計(jì)算機(jī)專業(yè)人員編寫的具有和被審計(jì)程序相同處理和控制的模擬程序,用這種程序處理當(dāng)期的實(shí)際數(shù)據(jù),并以處理的結(jié)果與被審計(jì)程序的處理結(jié)果進(jìn)行比較,以評(píng)價(jià)被審程序的處理和控制功能是否可靠的一種方法 嵌入審計(jì)程序法:是指被審計(jì)信息系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)階段,在被審的應(yīng)用程序中嵌入為執(zhí)行特定的審計(jì)功能而設(shè)計(jì)的程序段,這些程序段可以用來(lái)收集審計(jì)人員感興趣的資料,并且建立一個(gè)審計(jì)控制文件,用來(lái)存儲(chǔ)這些資料,審計(jì)人員通過(guò)這些資料的審核來(lái)確定被審程序的處理和控制功能的可靠性。
程序追蹤法:是一種對(duì)給定的業(yè)務(wù),跟蹤被審程序處理步驟的審查技術(shù)。一般可由追蹤軟件來(lái)完成,也可利用某些高級(jí)語(yǔ)言或數(shù)據(jù)庫(kù)管理系統(tǒng)中的跟蹤指令被審查程序的處理。
第四篇:信息系統(tǒng)審計(jì)工作制度
信息系統(tǒng)審計(jì)工作
今天,信息系統(tǒng)已成為企業(yè)業(yè)務(wù)處理的中樞,信息系統(tǒng)的可靠、安全、效率左右著企業(yè)的命運(yùn)。企業(yè)不僅要在內(nèi)部設(shè)立信息系統(tǒng)審計(jì)部門,實(shí)施內(nèi)部審計(jì),還必須委托外部信息系統(tǒng)審計(jì)師站在第三方的客觀立場(chǎng)對(duì)信息系統(tǒng)進(jìn)行全面的檢查與評(píng)價(jià)。要實(shí)施獨(dú)立的信息系統(tǒng)審計(jì),確立信息系統(tǒng)審計(jì)制度是十分重要的。
因此,為了規(guī)范部門內(nèi)部工作流程和質(zhì)量控制,協(xié)助其他部門了解信息系統(tǒng)審計(jì)部門的業(yè)務(wù)支持范圍、工作內(nèi)容及工作流程,促進(jìn)部門間就項(xiàng)目中設(shè)計(jì)的信息系統(tǒng)審計(jì)業(yè)務(wù)范圍進(jìn)行有效溝通,協(xié)調(diào)項(xiàng)目工作計(jì)劃的界定和質(zhì)量管理,避免因項(xiàng)目中工作職責(zé)和工作范圍界定不明確而降低審計(jì)工作的效率和效果,特制訂此信息系統(tǒng)審計(jì)制度。
本制度主要內(nèi)容包括信息系統(tǒng)審計(jì)部門應(yīng)何時(shí)介入企業(yè)進(jìn)行信息系統(tǒng)審計(jì)工作,為財(cái)務(wù)審計(jì)團(tuán)隊(duì)提供信息系統(tǒng)審計(jì)業(yè)務(wù)支持的工作范圍及本部門其他的工作職責(zé)范圍,信息系統(tǒng)審計(jì)的工作程序及方法,以及信息系統(tǒng)審計(jì)對(duì)客戶能夠達(dá)成的效果等,特作以下介紹說(shuō)明。
一、信息系統(tǒng)審計(jì)何時(shí)介入
信息系統(tǒng)審計(jì)(IT Audit)是信息系統(tǒng)鑒證業(yè)務(wù)中的一種。信息系統(tǒng)審計(jì)是根據(jù)業(yè)務(wù)和信息控制目標(biāo),針對(duì)信息系統(tǒng)環(huán)境內(nèi)設(shè)定的控制,通過(guò)搜集和評(píng)估審計(jì)證據(jù),對(duì)信息系統(tǒng)控制的有效性發(fā)表結(jié)論或意見(jiàn)的過(guò)程。
信息系統(tǒng)審計(jì)有四個(gè)層面:
1.它的目的是對(duì)信息系統(tǒng)控制的有效性發(fā)表評(píng)估結(jié)論或?qū)徲?jì)意見(jiàn)。有效性包括控制設(shè)計(jì)的有效性和執(zhí)行有效性;
2.它的對(duì)象是信息系統(tǒng)環(huán)境中的各種控制流程或機(jī)制,包括IT 一般控制和應(yīng)用控制;3)
3.它的內(nèi)容是搜集和評(píng)估審計(jì)證據(jù);
4.它的依據(jù)是業(yè)務(wù)控制目標(biāo),比如系統(tǒng)是否有效實(shí)施控制保證財(cái)務(wù)軟件計(jì)算的固定資產(chǎn)折舊程序是否準(zhǔn)確。通過(guò)執(zhí)行信息系統(tǒng)審計(jì),可以協(xié)助財(cái)務(wù)審計(jì)團(tuán)隊(duì)了解和評(píng)價(jià)信息系統(tǒng)的可靠性和安全性及財(cái)務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性。
財(cái)務(wù)審計(jì)團(tuán)隊(duì)在財(cái)務(wù)審計(jì)業(yè)務(wù)計(jì)劃階段,需對(duì)客戶的信息系統(tǒng)環(huán)境進(jìn)行調(diào)查,若客戶的信息系統(tǒng)環(huán)境評(píng)估結(jié)果為復(fù)雜時(shí),需邀請(qǐng)信息系統(tǒng)審計(jì)人員介入共同探討審計(jì)計(jì)劃,根據(jù)業(yè)務(wù)系統(tǒng)的復(fù)雜度、實(shí)體業(yè)務(wù)性質(zhì)、財(cái)務(wù)審計(jì)團(tuán)隊(duì)人員的技能和知識(shí)、業(yè)務(wù)處理本質(zhì)(如:是否為高度自動(dòng)化)、交易數(shù)量及信息系統(tǒng)的管理方式(如:若信息系統(tǒng)由第三方管理,則需考慮是否需要SAS70或者相關(guān)的報(bào)告)確定信息系統(tǒng)審計(jì)業(yè)務(wù)支持服務(wù)范圍,并在信息系統(tǒng)審計(jì)計(jì)劃中以書面的形式記錄業(yè)務(wù)約定。若客戶的信息系統(tǒng)環(huán)境評(píng)估結(jié)果為不復(fù)雜時(shí),信息系統(tǒng)審計(jì)工作可由審計(jì)團(tuán)隊(duì)完成,必要時(shí)信息系統(tǒng)審計(jì)團(tuán)隊(duì)可以提供知識(shí)和技術(shù)的支持和咨詢服務(wù)。
其中,若在計(jì)劃審計(jì)程序階段或者審計(jì)過(guò)程中了解到客戶業(yè)務(wù)處理過(guò)程高度自動(dòng)化(如:銀行,保險(xiǎn),電信,和零售業(yè)等高度依賴電算化的企業(yè)環(huán)境和特定行業(yè)高度依賴信息系統(tǒng)處理業(yè)務(wù)),僅僅執(zhí)行實(shí)質(zhì)性程序無(wú)法提供足夠的審計(jì)證據(jù)時(shí),在約定信息系統(tǒng)審計(jì)業(yè)務(wù)服務(wù)范圍時(shí),需考慮同時(shí)包括應(yīng)用控制審計(jì)及其他可以輔助財(cái)務(wù)審計(jì)團(tuán)隊(duì)確認(rèn)交易的真實(shí)性、完整性、準(zhǔn)確性、截止性的審計(jì)程序。
在約定信息系統(tǒng)審計(jì)是否介入時(shí),需要考慮如下因素:
?系統(tǒng)的復(fù)雜性;
? ?業(yè)務(wù)的本質(zhì);
? ?財(cái)務(wù)審計(jì)團(tuán)隊(duì)的技能和知識(shí);
? ?系統(tǒng)的位置(例如,如果包含一個(gè)服務(wù)組織,SAS70或相關(guān)的報(bào)告能否被使用);
? ?處理的本質(zhì)(例如高度自動(dòng)化)和交易的數(shù)量。
在評(píng)估信息系統(tǒng)是否復(fù)雜時(shí),我們認(rèn)為以下特征是復(fù)雜信息系統(tǒng)的指標(biāo):
?客戶實(shí)施編程和/或開(kāi)發(fā);
?信息系統(tǒng)處理過(guò)程高度自動(dòng)化,很少或者沒(méi)有人工干預(yù);
?不同的系統(tǒng)接口;
?信息系統(tǒng)使用批處理(計(jì)劃任務(wù));
?實(shí)施了新系統(tǒng)或者系統(tǒng)間進(jìn)行了轉(zhuǎn)換;
?使用了單點(diǎn)登錄(SSO)或者集中權(quán)限管理(CRM)系統(tǒng)。
二、信息系統(tǒng)審計(jì)業(yè)務(wù)范圍
信息系統(tǒng)審計(jì)是一個(gè)通過(guò)收集和評(píng)價(jià)審計(jì)證據(jù),對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過(guò)程。信息系統(tǒng)審計(jì)業(yè)務(wù)范圍包括:
(一)為財(cái)務(wù)審計(jì)團(tuán)隊(duì)提供信息系統(tǒng)審計(jì)業(yè)務(wù)支持;
(二)支持企業(yè)內(nèi)部控制審計(jì);
(三)開(kāi)展獨(dú)立的信息系統(tǒng)審計(jì)業(yè)務(wù);
(四)對(duì)信息系統(tǒng)控制及安全方面提供獨(dú)立建議的咨詢服務(wù)。
(一)為財(cái)務(wù)審計(jì)團(tuán)隊(duì)提供信息系統(tǒng)審計(jì)業(yè)務(wù)支持
信息系統(tǒng)審計(jì)業(yè)務(wù)為財(cái)務(wù)審計(jì)提供合理保證,其提供的支持服務(wù)內(nèi)容包括:
1.信息系統(tǒng)一般控制:
?IT控制環(huán)境/關(guān)鍵職責(zé)分離;
?主要業(yè)務(wù)和財(cái)務(wù)系統(tǒng)的開(kāi)發(fā)以及程序變更管理;
?IT系統(tǒng)運(yùn)維管理,如數(shù)據(jù)批處理、數(shù)據(jù)備份、數(shù)據(jù)中心維護(hù);
?業(yè)務(wù)和財(cái)務(wù)系統(tǒng)環(huán)境中關(guān)鍵的信息安全和權(quán)限控制管理,包括用戶賬戶和授權(quán)管理、應(yīng)用系統(tǒng)安全、數(shù)據(jù)庫(kù)系統(tǒng)安全、操作系統(tǒng)安全、和網(wǎng)絡(luò)安全。
2.應(yīng)用控制:
支持重要業(yè)務(wù)流程的各應(yīng)用和接口系統(tǒng)中固化在程序中的關(guān)鍵控制點(diǎn)。這要根據(jù)財(cái)務(wù)審計(jì)團(tuán)隊(duì)確定的業(yè)務(wù)流程而定。比如銷售、采購(gòu)、庫(kù)存、應(yīng)收、應(yīng)付、總賬、資金、電子商務(wù)、銀行存貸等。
3.根據(jù)業(yè)務(wù)復(fù)雜性確定的其他控制:
如根據(jù)重大賬戶余額,交易類型或披露事項(xiàng)的重大錯(cuò)報(bào)風(fēng)險(xiǎn)的評(píng)估結(jié)果,對(duì)依賴于計(jì)算機(jī)生成的信息執(zhí)行信息(CGI)控制測(cè)試,計(jì)算機(jī)輔助審計(jì)(CAATs)測(cè)試,會(huì)計(jì)分錄測(cè)試(JET)等。
(二)支持企業(yè)內(nèi)部控制審計(jì)
信息系統(tǒng)審計(jì)對(duì)企業(yè)的內(nèi)部控制審計(jì)提供支持,對(duì)特定基準(zhǔn)日內(nèi)部控制設(shè)計(jì)與運(yùn)行的有效性進(jìn)行審計(jì),其主要內(nèi)容包括:
1.恰當(dāng)?shù)赜?jì)劃內(nèi)部控制審計(jì)工作;
2.實(shí)施審計(jì)工作,評(píng)價(jià)內(nèi)部控制是否可以應(yīng)對(duì)舞弊風(fēng)險(xiǎn),測(cè)試內(nèi)部控制設(shè)計(jì)與運(yùn)行的有效性;
3.評(píng)價(jià)企業(yè)內(nèi)部控制缺陷,按其影響程度分為重大缺陷、重要缺陷和一般缺陷;
4.獲取充分、適當(dāng)?shù)淖C據(jù),為在內(nèi)部控制審計(jì)中對(duì)內(nèi)部控制有效性發(fā)表意見(jiàn)和對(duì)控制風(fēng)險(xiǎn)結(jié)果評(píng)估提供支持。
(三)開(kāi)展獨(dú)立的信息系統(tǒng)審計(jì)業(yè)務(wù)
獨(dú)立的信息系統(tǒng)審計(jì)業(yè)務(wù)是通過(guò)實(shí)施信息系統(tǒng)審計(jì)工作,對(duì)公司、機(jī)構(gòu)或組織是否達(dá)成信息技術(shù)管理目標(biāo)進(jìn)行綜合評(píng)價(jià),并基于評(píng)價(jià)意見(jiàn)提出管理建議,協(xié)助組織信息技術(shù)管理人員有效地履行其受托責(zé)任以達(dá)成公司、機(jī)構(gòu)或組織的信息技術(shù)管理目標(biāo)。
獨(dú)立的信息系統(tǒng)審計(jì)業(yè)務(wù)也可通過(guò)實(shí)施信息系統(tǒng)審計(jì)工作來(lái)對(duì)公司、機(jī)構(gòu)或組織所提供的專業(yè)化服務(wù)(如電子商務(wù)、人力資源與薪酬管理外包、在線數(shù)據(jù)備份等)進(jìn)行綜合評(píng)價(jià)從而達(dá)到以下目標(biāo):
1.判斷一切與該公司、機(jī)構(gòu)或組織所提供的專業(yè)化服務(wù)相關(guān)的流程、操作及管理是否合乎行業(yè)標(biāo)準(zhǔn);
2.保障使用此類專業(yè)服務(wù)的公司或個(gè)人的信息安全性;
3.基于評(píng)價(jià)意見(jiàn)提出整改建議,從而幫助此類專業(yè)服務(wù)提供商更好地拓展市場(chǎng)與開(kāi)放客戶群體。
信息系統(tǒng)審計(jì)部門能夠?yàn)榭蛻籼峁┑莫?dú)立的信息系統(tǒng)審計(jì)業(yè)務(wù)內(nèi)容包括:
?企業(yè)信息系統(tǒng)控制合規(guī)審計(jì)報(bào)告;
?企業(yè)信息系統(tǒng)運(yùn)行和控制系統(tǒng)設(shè)計(jì)及評(píng)估;
?企業(yè)薩班斯法案審計(jì)服務(wù);
?其他。
其目的是保證其信息技術(shù)戰(zhàn)略充分反映該組織的業(yè)務(wù)戰(zhàn)略目標(biāo),提高公司、機(jī)構(gòu)或組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準(zhǔn)確性,提高信息系統(tǒng)運(yùn)行的效果與效率,合理保證信息系統(tǒng)的運(yùn)行符合法律法規(guī)及監(jiān)管的相關(guān)要求。
(四)對(duì)信息系統(tǒng)控制及安全方面提供獨(dú)立建議的咨詢服務(wù)
信息系統(tǒng)咨詢業(yè)務(wù)是指結(jié)合信息系統(tǒng)安全、企業(yè)內(nèi)部控制管理與外部審計(jì)等多方面的專業(yè)知識(shí),提供與信息安全相關(guān)的信息化建設(shè)、信息安全診斷、信息技術(shù)認(rèn)證及ERP系統(tǒng)相關(guān)的咨詢業(yè)務(wù)。
信息系統(tǒng)審計(jì)部門能夠?yàn)榭蛻籼峁┑莫?dú)立的信息系統(tǒng)咨詢業(yè)務(wù)內(nèi)容包括:
?企業(yè)信息系統(tǒng)戰(zhàn)略策劃和評(píng)估;
?企業(yè)信息系統(tǒng)執(zhí)行及項(xiàng)目管理監(jiān)理咨詢;
?企業(yè)信息系統(tǒng)安全評(píng)估;
?企業(yè)薩班斯法案咨詢服務(wù);
?企業(yè)專業(yè)服務(wù)系統(tǒng)的行業(yè)評(píng)估;
?其他。
三、信息系統(tǒng)審計(jì)程序
(一)信息系統(tǒng)審計(jì)一般程序
審計(jì)程序一般可分為四個(gè)階段,即準(zhǔn)備階段、實(shí)施階段、審計(jì)結(jié)論和執(zhí)行階段、異議和復(fù)審階段。信息系統(tǒng)審計(jì)也可分為這四個(gè)階段,同時(shí)結(jié)合自身的特殊要求,運(yùn)用本身特有的方法,對(duì)信息系統(tǒng)進(jìn)行評(píng)價(jià)。
1.準(zhǔn)備階段
初步調(diào)查被審計(jì)單位信息系統(tǒng)基本狀況,擬定科學(xué)合理的計(jì)劃,一般應(yīng)包括以下主要工作:
(1)調(diào)查了解被審計(jì)單位信息系統(tǒng)的基本情況,如信息系統(tǒng)的硬件配置、系統(tǒng)軟件的選用、應(yīng)用軟件的范圍、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)的管理結(jié)構(gòu)和職能分工、文檔資料等,調(diào)查完成后將審前調(diào)查情況記錄下來(lái)。
(2)提前三天送達(dá)審計(jì)通知書,要求被審計(jì)單位對(duì)所提供資料的真實(shí)性、完整性作出書面承諾,明確彼此的責(zé)任、權(quán)利和義務(wù)。
(3)初步評(píng)價(jià)被審計(jì)單位的內(nèi)部控制制度,以便確定符合性測(cè)試的范圍和重點(diǎn)。
(4)確定審計(jì)重要性、確定審計(jì)范圍。
(5)分析審計(jì)風(fēng)險(xiǎn)。
(6)制定審計(jì)實(shí)施方案。在審計(jì)實(shí)施方案中除了對(duì)時(shí)間、人員、工作步驟及任務(wù)分配等方面作出安排以外,還要合理確定符合性測(cè)試、實(shí)質(zhì)性測(cè)試的時(shí)間和范圍,以及測(cè)試時(shí)的審計(jì)方法和測(cè)試數(shù)據(jù)。
在安排利用計(jì)算機(jī)輔助審計(jì)時(shí),還需列出所選用的通用軟件或?qū)S密浖?duì)于復(fù)雜的信息系統(tǒng),也可聘請(qǐng)專家,但必須明確審計(jì)人員的責(zé)任。
2.實(shí)施階段
實(shí)施階段是審計(jì)工作的核心,也是信息系統(tǒng)審計(jì)的核心。主要工作是根據(jù)準(zhǔn)備階段確定的范圍、要點(diǎn)、步驟、方法,進(jìn)行取證、評(píng)價(jià),綜合審計(jì)證據(jù),借以形成審計(jì)結(jié)論,發(fā)表審計(jì)意見(jiàn)。實(shí)施階段的主要工作應(yīng)包括以下兩個(gè)方面的內(nèi)容:
(1)符合性測(cè)試。進(jìn)行符合性測(cè)試應(yīng)以系統(tǒng)安全可靠性的檢查結(jié)果為前提。如果系統(tǒng)安全可靠性非常差,不值得審計(jì)人員信賴,則應(yīng)當(dāng)根據(jù)實(shí)際情況決定是否取消內(nèi)控制度的符合性測(cè)試,而直接進(jìn)行實(shí)質(zhì)性測(cè)試并加大實(shí)質(zhì)性測(cè)試的樣本量。在信息系統(tǒng)的符合性測(cè)試項(xiàng)目中,主要內(nèi)容應(yīng)該是確認(rèn)輸入資料是否正確完整,計(jì)算機(jī)處理過(guò)程是否符合要求。如果系統(tǒng)安全可靠性比較高,則應(yīng)對(duì)該系統(tǒng)給予較高的信賴,在實(shí)質(zhì)性測(cè)試時(shí),就可以相應(yīng)地減少實(shí)質(zhì)性測(cè)試的樣本量。
(2)實(shí)質(zhì)性測(cè)試。實(shí)質(zhì)性測(cè)試應(yīng)該是對(duì)被審計(jì)單位信息系統(tǒng)的程序、數(shù)據(jù)、文件進(jìn)行測(cè)試,并根據(jù)測(cè)試結(jié)果進(jìn)行評(píng)價(jià)和鑒定。進(jìn)行實(shí)質(zhì)性測(cè)試須依賴于符合性測(cè)試的結(jié)果,如果符合性測(cè)試結(jié)果得出的審計(jì)風(fēng)險(xiǎn)偏高,而且被審計(jì)單位有利用信息系統(tǒng)進(jìn)行舞弊的動(dòng)機(jī)與可能,并且被審計(jì)單位又不能提供完整的會(huì)計(jì)文字資料,此時(shí)審計(jì)人員應(yīng)考慮對(duì)會(huì)計(jì)報(bào)表發(fā)表保留意見(jiàn)或拒絕表示意見(jiàn)的審計(jì)報(bào)告。進(jìn)行實(shí)質(zhì)性測(cè)試時(shí),可考慮采用通過(guò)計(jì)算機(jī)和利用計(jì)算機(jī)進(jìn)行審計(jì)的方法,具體包括:
①測(cè)試數(shù)據(jù)法:就是將測(cè)試數(shù)據(jù)或模擬數(shù)據(jù)分別由審計(jì)人員進(jìn)行手工核算和被審計(jì)單位信息系統(tǒng)進(jìn)行處理,比較處理結(jié)果,作出評(píng)價(jià);
②受控處理法:就是選擇被審計(jì)單位一定時(shí)期(最好是12月份)實(shí)際業(yè)務(wù)的數(shù)據(jù)分別由審計(jì)人員和會(huì)計(jì)電算化系統(tǒng)同時(shí)處理,比較結(jié)果,作出評(píng)價(jià)。
(3)利用輔助審計(jì)軟件直接審查信息系統(tǒng)的數(shù)據(jù)文件。審計(jì)人員可利用現(xiàn)場(chǎng)審計(jì)實(shí)施系統(tǒng)軟件(AO)直接對(duì)數(shù)據(jù)進(jìn)行數(shù)據(jù)轉(zhuǎn)換,數(shù)據(jù)查詢,抽樣審計(jì),查賬,賬務(wù)分析等測(cè)試,得出結(jié)論,作出評(píng)價(jià)。
3.審計(jì)結(jié)論和執(zhí)行階段
審計(jì)人員對(duì)信息系統(tǒng)進(jìn)行符合性測(cè)試和實(shí)質(zhì)性測(cè)試后,整理審計(jì)工作底稿,編制審計(jì)報(bào)告時(shí),除對(duì)被審單位會(huì)計(jì)報(bào)表的合理性、公允性發(fā)表意見(jiàn),作出審計(jì)結(jié)論外,還要對(duì)被審單位信息系統(tǒng)的處理功能和內(nèi)部控制進(jìn)行評(píng)價(jià),并提出改進(jìn)意見(jiàn)。
審計(jì)報(bào)告完成后,先要征求被審單位的意見(jiàn),并報(bào)送審計(jì)機(jī)關(guān)和有關(guān)部門。審計(jì)報(bào)告一經(jīng)審定,所作的審計(jì)結(jié)論和決定需通知并監(jiān)督被審單位執(zhí)行。
4.異議和復(fù)審階段
被審單位對(duì)審計(jì)結(jié)論和決定若有異議,可提出復(fù)審要求,審計(jì)部門可組織復(fù)審并作出復(fù)審結(jié)論和決定。特別是被審單位信息系統(tǒng)有了新的改進(jìn)時(shí),還需組織后續(xù)審計(jì)。
(二)信息系統(tǒng)審計(jì)協(xié)調(diào)程序
為財(cái)務(wù)審計(jì)團(tuán)隊(duì)提供信息系統(tǒng)審計(jì)業(yè)務(wù)支持服務(wù)前,為了合理安排信息系統(tǒng)審計(jì)工作計(jì)劃,財(cái)務(wù)審計(jì)項(xiàng)目負(fù)責(zé)人與信息系統(tǒng)審計(jì)部門應(yīng)執(zhí)行下列協(xié)調(diào)程序:
1.財(cái)務(wù)審計(jì)項(xiàng)目負(fù)責(zé)人在制定當(dāng)年審計(jì)計(jì)劃時(shí)應(yīng)考慮所需信息系統(tǒng)審計(jì)部門進(jìn)行審計(jì)支持的內(nèi)容與實(shí)行時(shí)間;
2.財(cái)務(wù)審計(jì)項(xiàng)目負(fù)責(zé)人提前在9月底將所需信息系統(tǒng)審計(jì)時(shí)間告知信息系統(tǒng)審計(jì)部門,與信息系統(tǒng)審計(jì)部門討論確定服務(wù)內(nèi)容,預(yù)約部門成員;
3.信息系統(tǒng)審計(jì)部門搜集所有信息系統(tǒng)審計(jì)需求,按照項(xiàng)目時(shí)間安排信息系統(tǒng)審計(jì)人員工作計(jì)劃,并與財(cái)務(wù)審計(jì)項(xiàng)目團(tuán)隊(duì)、客戶協(xié)調(diào);
4.信息系統(tǒng)審計(jì)部門及時(shí)完成外勤工作、底稿編制和底稿審核,并把結(jié)論書面告知財(cái)務(wù)審計(jì)項(xiàng)目團(tuán)隊(duì),并與財(cái)務(wù)審計(jì)團(tuán)隊(duì)對(duì)信息系統(tǒng)審計(jì)部門的最后結(jié)論達(dá)成口頭或書面共識(shí);
5.信息系統(tǒng)審計(jì)部門將按照事務(wù)所要求歸檔、保管底稿。
其他信息系統(tǒng)項(xiàng)目的工作計(jì)劃參照上述信息系統(tǒng)審計(jì)業(yè)務(wù)支持服務(wù),與相關(guān)方及時(shí)溝通制定審計(jì)計(jì)劃,在制定的項(xiàng)目時(shí)間內(nèi)完成工作。
(三)信息系統(tǒng)審計(jì)結(jié)果報(bào)告程序
信息系統(tǒng)審計(jì)部門實(shí)施信息系統(tǒng)審計(jì)的計(jì)劃、程序、證據(jù)、結(jié)論等底稿都會(huì)按照相應(yīng)的審計(jì)準(zhǔn)則進(jìn)行記錄和保存。
1.在財(cái)務(wù)審計(jì)系統(tǒng)審計(jì)風(fēng)險(xiǎn)評(píng)估當(dāng)中,信息系統(tǒng)審計(jì)部門不會(huì)出具某種審計(jì)報(bào)告,而是出具評(píng)估結(jié)論,一般以底稿備忘錄的形式提交給財(cái)務(wù)審計(jì)團(tuán)隊(duì)。該備忘錄總結(jié)信息系統(tǒng)審計(jì)中評(píng)估的范圍、方法、時(shí)間/區(qū)間、結(jié)論、重大控制缺陷或風(fēng)險(xiǎn)點(diǎn)等內(nèi)容。
2.在獨(dú)立的信息系統(tǒng)審計(jì)業(yè)務(wù)和咨詢業(yè)務(wù)中,會(huì)出具獨(dú)立的審計(jì)報(bào)告。報(bào)告將以事務(wù)所名義簽發(fā)。
第五篇:信息系統(tǒng)審計(jì)方法淺談
信息系統(tǒng)審計(jì)方法淺談
隨著當(dāng)前信息技術(shù)的發(fā)展,地方各級(jí)資金管理部門投入大量資金,開(kāi)發(fā)了各種各樣的信息系統(tǒng)軟件,用于管理資金或?qū)嵭袝?huì)計(jì)電算化,信息系統(tǒng)的建設(shè)的合法性、軟件開(kāi)發(fā)的規(guī)范性、系統(tǒng)運(yùn)行的安全性以及程序設(shè)置合規(guī)性等問(wèn)題,成為審計(jì)關(guān)注的重點(diǎn),開(kāi)展信息系統(tǒng)審計(jì)成為審計(jì)機(jī)關(guān)避免“假賬真審”、降低審計(jì)風(fēng)險(xiǎn)題中應(yīng)有之義。
信息系統(tǒng)審計(jì)主要目標(biāo)是確認(rèn)信息系統(tǒng)的合法性、可靠性、機(jī)密性、有效性和安全性等,通過(guò)審查信息系統(tǒng)的運(yùn)行狀況,發(fā)現(xiàn)信息系統(tǒng)在使用和管理過(guò)程中存在的問(wèn)題,確定是否存在漏洞和缺陷,有無(wú)非法和錯(cuò)誤的處理和控制的薄弱環(huán)節(jié),客觀評(píng)價(jià)系統(tǒng)的現(xiàn)狀,促進(jìn)被審計(jì)調(diào)查單位進(jìn)一步加強(qiáng)信息系統(tǒng)管理,完善信息系統(tǒng)功能,保證資金的安全與完整,防范利用計(jì)算機(jī)系統(tǒng)進(jìn)行欺詐與舞弊,并提出具有建設(shè)性的建議。
信息系統(tǒng)審計(jì)重點(diǎn)內(nèi)容主要有以下三個(gè)方面:
一、信息系統(tǒng)運(yùn)行方面,主要包括:
1、系統(tǒng)安全性,審查信息系統(tǒng)的物理安全性,是否可以有效防止被非法使用,相關(guān)安全制度是否齊全,機(jī)房進(jìn)出是否執(zhí)行登記制度等;中心機(jī)房是否建設(shè)為標(biāo)準(zhǔn)機(jī)房,電源是否為單獨(dú)供電或雙路供電并配備UPS電源,服務(wù)器是否配置機(jī)柜;機(jī)房?jī)?nèi)是否擺放紙箱等可燃物品,墻體地板、天花等是否按防火標(biāo)準(zhǔn)建設(shè)或改造,是否配備防雷設(shè)施,地板是否經(jīng)過(guò)防火、防靜電處理,配備防靜電設(shè)施;是否建有磁帶庫(kù)、虛擬帶庫(kù)等系統(tǒng)以備份系統(tǒng)數(shù)據(jù),是否建有冗災(zāi)備份系統(tǒng),以確保數(shù)據(jù)信息安全。
2、系統(tǒng)可靠性,審查硬件、軟件是否有效能夠保證業(yè)務(wù)的正常運(yùn)行,操作系統(tǒng)和數(shù)據(jù)庫(kù)是否為正版軟件并及時(shí)更新,數(shù)據(jù)庫(kù)是否能夠滿足運(yùn)行需要,系統(tǒng)是否存在漏洞,是否易受病毒、木馬、黑客等攻擊,導(dǎo)致數(shù)據(jù)丟失、篡改等;殺毒軟件病毒庫(kù)及防火墻是否及時(shí)更新。
3、系統(tǒng)機(jī)密性,審查數(shù)據(jù)訪問(wèn)權(quán)限的保密性,是否存在數(shù)據(jù)被非法用戶訪問(wèn),不相容的權(quán)限是否設(shè)置單選或者禁用,是否存在同時(shí)操作前臺(tái)和后臺(tái),既能辦理業(yè)務(wù),又能審核業(yè)務(wù)等,隱私數(shù)據(jù)的保密是否有力;操作系統(tǒng)及數(shù)據(jù)庫(kù)是否加密存儲(chǔ)用戶口令,系統(tǒng)日志是否保留用戶登錄、操作系統(tǒng)模塊和業(yè)務(wù)模塊的相關(guān)信息;是否存在大量共享文件夾及文件,導(dǎo)致系統(tǒng)安全風(fēng)險(xiǎn)。
4、系統(tǒng)合法性,審查信息系統(tǒng)的開(kāi)發(fā)、管理、運(yùn)營(yíng)是否符合法律、法規(guī)、規(guī)章的規(guī)定。重要信息是否為必填項(xiàng)或符合規(guī)范錄入要求。
5、系統(tǒng)效益性,查信息化建設(shè)是否堅(jiān)持成本節(jié)約原則,資源的利用是否堅(jiān)持效率性原則,信息系統(tǒng)是否達(dá)到信息化建設(shè)目標(biāo)。
二、信息系統(tǒng)管理方面,主要包括:
1、內(nèi)部控制制度,主要審查信息系統(tǒng)是否建立相關(guān)內(nèi)部控制及實(shí)際執(zhí)行,關(guān)注各個(gè)控制
措施之間的相關(guān)性,業(yè)務(wù)運(yùn)行結(jié)果是否與財(cái)務(wù)數(shù)據(jù)一致,某一控制是否存在補(bǔ)償性或是重疊性的控制。
2、保障措施,主要審查各個(gè)環(huán)節(jié)、各個(gè)業(yè)務(wù)部門之間的聯(lián)接、系統(tǒng)運(yùn)營(yíng)后勤保障、售后服務(wù)合同簽訂及后期實(shí)施情況等,查看是否存在薄弱環(huán)節(jié),是否能有效保障系統(tǒng)的正常安全運(yùn)行。
三、政策執(zhí)行方面,主要包括:
1、政策執(zhí)行,主要地方政策是否符合中央或省級(jí)政策的有關(guān)條目及法律法規(guī)的規(guī)定。
2、業(yè)務(wù)流程,主要審查信息系統(tǒng)是否嚴(yán)格按照流程進(jìn)行運(yùn)營(yíng),是否存在漏洞等。信息系統(tǒng)審計(jì)主要采取的方法:
1、座談及現(xiàn)場(chǎng)察看,采取與信息化部門、用戶及相關(guān)人員進(jìn)行座談,查閱與信息系統(tǒng)相關(guān)的文檔、程序等,實(shí)地查看機(jī)房、業(yè)務(wù)終端、器材等。
2、計(jì)算機(jī)輔助審計(jì),利用AO軟件的查詢、計(jì)算、分類、抽樣選擇、排序、數(shù)據(jù)文件聯(lián)結(jié)、比較、合并等功能進(jìn)行審查。
3、測(cè)試數(shù)據(jù),通過(guò)測(cè)試數(shù)據(jù)樣本,評(píng)價(jià)信息系統(tǒng)是否能夠正確處理所有業(yè)務(wù)數(shù)據(jù),是否能夠?qū)μ幚磉^(guò)程實(shí)施一定控制。
4、應(yīng)用程序檢查,檢查系統(tǒng)軟件開(kāi)發(fā)過(guò)程中是否設(shè)置相應(yīng)控制措施。
5、聘請(qǐng)計(jì)算機(jī)專家,為審計(jì)師提供指導(dǎo)及其他有價(jià)值的信息。
6、整體測(cè)試,在軟件系統(tǒng)內(nèi)置入虛構(gòu)實(shí)體,并以測(cè)試資料或正式資料,針對(duì)該實(shí)體進(jìn)行處理,以驗(yàn)證其正確性。
點(diǎn)擊咨詢 