信息系统审计应把握的重点及其对策措施

2010-01-06 13:17
关注中国教育在线 中国教育在线公众号

  信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。随着计算机及网络技术的迅速发展,审计机关要想完成“全面审计,突出重点”的审计目标,担负起社会经济运行的“免疫系统”作用,就必须加快信息系统审计的步伐。为此,笔者认为,审计机关要开展好信息系统审计,就必须把握重点,加强组织,制定措施,积极推进。

  一、开展信息系统审计应把握的重点

  1、信息系统审计的目标和内容

  信息系统审计目标:信息系统审计不仅要对系统信息的合法性、公允性进行审计,还要对信息系统的硬件和软件,以及整个信息系统的安全性、稳定性、内部控制的健全性与有效性等方面进行审计,指出被审计单位信息系统内部管理和控制上的薄弱环节,提高其信息系统的可靠性和真实性,有效地防止利用信息技术随意篡改系统信息或破坏磁介质上的数据等舞弊行为的发生。因此,信息系统审计目标不仅仅在于应用计算机进行审计(即传统EDI审计或计算机辅助审计),更重要的是要对信息系统本身的安全性、稳定性及其实现组织目标的有效性进行实时的检查、评价和改造。

  信息系统审计内容:主要包括信息系统开发过程审计、一般控制审计和应用控制审计三个方面。

  2、信息系统审计的职能和方式

  为了实现审计目标,保证和咨询应成为对信息系统进行审计的两大基本职能。“保证”即“系统可靠性保证”,就是通过对信息系统运行过程、商业连续性能力、维护状况进行评价,合理保证信息系统安全、稳定、有效,它是信息系统审计最基本的职能。“咨询”是指审计人员能够向信息系统的高层管理者以及使用者提供解决问题的方案,以达到改善经营和为组织增加价值的目的。

  信息系统审计组织方式:一种是将信息系统审计作为常规项目审计的一部分,是为整个审计项目的总体目标服务的。检查信息系统本身及其内部控制的可靠性和有效性,为数据审计服务,最终通过审计数据得出审计结论,即数据审计、信息系统审计和系统内控审计“三位一体”的结合方式。另一种是独立立项的信息系统审计,直接针对信息系统进行审计,将信息系统本身的安全性、可靠性和有效性作为审计目标。 现阶段开展的信息系统审计以第一种方式为主。

  3、信息系统审计的依据和原则

  审计人员执行信息系统审计时,主要以信息系统的管理制度、条例和法规、ISO9000、信息系统的实际运行情况等为主要依据。目前信息系统审计工作还处于探索阶段,没有一套成形的专业规范,信息系统审计人员可遵照ISACA(国际信息系统审计与控制协会)发布的《信息系统审计准则》执行信息系统审计业务。

  审计信息系统审计原则:一是应坚持“先易后难、逐步推开”的原则,在条件具备的情况下选择合适的审计项目进行试点和探索。二是应坚持“先上而下,上下结合”的原则,因为越往上,人才技术具备,且信息系统往往是自上而是下部署运用的,通过上级审计,就可以减少重复审计,降低审计成本,使审计成果利用最大化;三是应坚持财务与信息系统结合型审计和信息系统独立型审计相结合的原则。在年度审计计划确立上,要逐步安排结合型或者独立型的项目;在审计的组织方式上,要使传统的审计项目与信息系统审计的内容结合起来,保证信息系统审计的结果能够应用于整个审计工作中,做好信息系统审计与整个审计工作的衔接。

  4、信息系统审计的技术和方法

  对信息系统审计的方法既包括一般方法即手工方法,也包括应用计算机审计的方法。信息系统审计的一般方法主要用于对信息系统的了解和描述,包括:面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试,包括:测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。

  5、信息系统审计的流程和步骤

  信息系统审计是一个获取并评价证据,以研判信息系统是否能够保证资产的安全、有效以及提供真实、完整的系统信息的动态循环流程。在审计的计划阶段,要对被审单位的计算机系统进行了解,初步确定在后续的审计步骤中是否打算领带被审单位的计算机系统,并针对了解的内容制定实施阶段的审计步骤中是否打算领带被审单位的计算机系统,并针对了解的内容制定实施阶段的审计计划;在实施阶段,按照制定的测试计划,对计算机系统的控制进行测试。

  信息系统审计的步骤:(1)审计准备阶段。准备阶段主要是初步调查被审计单位会计信息化的基本状况,拟定科学合理的审计计划;与被审计单位签订审计业务约定书,明确彼此的责任、权利和义务;确定审计范围、确立审计重点、分析审计风险、制定审计计划,审计人员必须提前进入被审单位,了解被审计单位基本情况,与单位的有关人员面谈,查阅其会计信息系统的基本资料。了解被审单位信息系统开发和使用情况、计算机设备软硬件情况、业务量大小以及数据完整程度,判断在被审单位开展计算机审计是否符合成本效益原则、风险有多大。在对被审计单位的内部控制作出初步及深入审查之后,审计人员应获取被审单位有关会计数据。详细调查计算机环境下的计算机信息系统结构、业务处理流程、所采用的数据库类型及数据结构。确定数据采集、转换、定义以及分析中所需的计算机软件及硬件设备,合理配置审计资源,编制审计计划。

  (2)审计实施阶段。实施阶段的工作是根据准备阶段确定的范围、重点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见。实施阶段是计算机审计工作的主要阶段,在这个阶段中首先要对被审单位的内部控制进行评价,并执行符合性测试。然后,根据符合性测试的结果,确定实质性测试的计划水平,对被审单位业务数据的实质性进行审查。

  (3)审计报告阶段。审计报告阶段是对会计信息系统进行测试后,整理审计工作底稿,编制审计报告,对被审计单位会计报表的合理性、公允性、一致性发表意见,做出审计结论;并对被审计单位的会计信息化系统的处理功能、内部控制进行评价,并提出改进意见。主要工作包括:整理审计工作底稿、分类归纳核实材料、编写审计报告、作出审计结论和决定等。这一步骤借助于审计软件的帮助,可以高效、准确地完成。

  (4)异议和复审阶段。被审计单位对审计结论和决定若有异议,可提出复审要求,审计部门可组织复审并做出复审结论和决定。特别是被审计单位会计信息化系统有了新的改进时,还需组织后续审计。对计算机内部数据处理的详细过程直接进行审查。

  6、信息系统审计的重点环节和内容

  (1)内部控制环节。在计算机系统中,应检查以下方面来证明内控制度的有效性:一是控制系统资源的存取。二是控制系统资源的使用。三是建立按用户职能分配资源的制度。四是记录系统的使用情况。五是确认处理过程的准确性。六是管理人员对财务信息系统的修改。七是保护财务信息系统免遭计算机病毒的袭击。

  (2)数据环节。在审计中,审计人员选择一些交易对其进行详细检查,确认交易记录是否符合一般的审计目标。一是检查会计事项信息,要检查它的完整性、时效性、合规性和信息披露等方面,检查内容包括与本会计年度有关的交易是否全部记录在册;所有记录的交易是否都是合理发生的并与本会计年度有关;记录的交易是否数据准确,计算无误;记录的交易是否符合基本的和辅助的法律规定,符合特定权威机构的要求;对记录的交易是否进行正确的分类,并符合信息对外披露的要求等。二是检查财务报表信息,要检查完整性、存在性、会计计量、所有权以及信息披露等方面,检查内容包括是否记录了所有的资产和负债,所有记录的资产和负债是否都是存在的;对资产和负债的计量是否精确,计算方法是否符合按合理性、一致的标准制定的会计政策的要求;确认资产是被审主体所有的、负债是被审主体应该承担的,并且资产和负债是否由合法的经济活动产生的;资产、负债、资本和存货是否都得到正确的披露。同时对信息系统提供的业务信息也要进行分析,并一直追踪到信息源。对上述信息的分析可以采用计算机辅助审计技术,按照特定的标准对数据进行汇总、分类、排序、比较和选择,并进行各种运算。

  (3)数据传输转移环节。在信息系统中,有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移,在此过程中可能会出现一些问题,尤其是在需要手工重新录入时。因此在审计时要重点关注以下方面:在转移过程中数据可能会发生变化;新的科目代码表与老的可能不一样,需要在两个财务信息系统之间建立复杂的对应关系;中心数据库可能被一些地理上分散的服务器取代;当前财务信息系统中的数据质量不佳;当用一个总的信息系统取代一个预定财务信息系统时,需要补充许多新的数据。在检查这一环节时,一定要保证输出的消息是经过批准、完整和精确的,保证输出的消息在约定时间内准确地发送给指定的接收者,保证流入的消息是完整、准确和真实可靠的。

 

免责声明:

① 凡本站注明“稿件来源:中国教育在线”的所有文字、图片和音视频稿件,版权均属本网所有,任何媒体、网站或个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发表。已经本站协议授权的媒体、网站,在下载使用时必须注明“稿件来源:中国教育在线”,违者本站将依法追究责任。

② 本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。