企业信息系统审计实施研究.pdfVIP

审计广角 IAUDITING SCOPE 审计 (ContinuousAudit，CA)是指在相 审计的含义、目的、专业胜任能力、内容、方法 4．信息系统审计是事后、事前、事中审 关事件发生的同时，或之后相当短的时间内 等进行了阐述。从以上信息系统审计规范 计的结合体。注册会计师所执行的财务报 产生审计结果的一种审计行为。持续审计 来看，在信息系统审计实施阶段，内部审计 表审计往往是年度审计，属于事后审计。而 是同传统期间审计相对应的概念，其本质 师的主要工作包括搜集相关资料；确定审 信息系统审计是事后、事前、事中审计兼而 是审计方法的创新，它强调审计过程的持 计的方式；根据需要列出需要访谈的人员名 有之。如信息系统在开发过程中，由审计人 续性、审计实施的即时性和审计活动的整 单；查阅相关部门的政策、标准及准则，以供 员介入所进行的审计属于事中审计，此项 合性，并且基于例外审计和战略系统审计 审计使用；利用相关的审计方法对所有控制 审计相对于系统运行后而对其所进行的审 的理念，要求审计师运用 “自上而下”和 “自下 进行测试和评价。 计而言又可以看作是事前审计；信息系统 而上”相结合的手段，对审计对象做出合理 (三)信息系统审计的特点 运行后，对其在一定期间的运作情况所进 的专业判断。(5)计算机辅助审计，如同CAM 1．信息系统审计是一个过程。它是一个 行的审计则为事后审计。 (Computer—aided Manufacturing，计 获取并评价证据，以判断信息系统是否能 5．信息系统审计的内容更加宽泛。信息 算机辅助制造)、CAD(Computer aided 够保证资产的安全、数据的完整以及有效 系统审计包含了一切与信息系统有关的审 Design，计算机辅助设计)等概念一样，计 率地利用组织的资源并有效果地实现组织 计，除了整个生命周期过程及相关业务的审 算机在审计领域中的辅助应用被称为计算 目标的过程，它贯穿于信息系统生命周期的 计外，随着信息技术的发展，还必将包括联 机辅助审计。中国国家审计署把计算机辅 全过程。 网审计、电子商务审计、网站审计、ASP审计 助审计理解为：“计算机辅助审计，是指审计 2．信息系统审计的对象具有综合性和 和XBRL审计等。 机关、审计人员将计算机作为辅助审计的 复杂性。信息系统审计的对象是以计算机 6．信息系统审计是一种基于风险基础 工具，对被审计单位财政、财务收支及其计 为核心的信息系统，它包含了除财务信息以 审计的理论和方法。很多组织都能意识到 算机应用系统实施的审计”。 外的其他与生产经营流程有关的所有信息 技术带来的潜在好处，然而成功的组织还 (二)信息系统审计规范 系统，其实质是审计对象及内容的拓展。从 能够理解和管理好与采用新技术相关的很 国际内部审计协会(IIA)制定了基于风 纵向(生命周期)看，覆盖了信息系统从规划、 多风险。信息系统有着与生俱来的风险，这 险的ITGC范围评估指南 (GAIT)与全球技 分析、设计到维护的全生命周期的各种业 些风险用不同方式冲击着信息系统，审计者 术审计指南(GTAG)，GAIT是一套原则和 务；从横向(信息系统构成)看，它包含对软 面临着审计什么、何时审计以及如何帮助 方法，用于帮助评价组织信息系统控制的成 硬件审计、应用程序审计、安全审计等。从这 信息系统的管理者管理和控制风险从而实 本收益以及效率效果。通过制定GAIT，IIA 个意义看，信息系统审计拓展了传统审计 现企业的战略目标的问题。 一 方面帮助组织识别信息系统控制中的关 的内涵，将审计对象从财务范畴扩展到了同 键因素，避免财务数据错弊的发生；另一方 经营活动有关的一切信息系统。 二、信息系统审计实施 面指导管理层和内部审计师识别信息系统 3．信息系统审计拓展了传统审计的目 (_)信息系统开发过程的审计 的关键控制点，以满足企业遵守 萨班斯 标。传统审计目标仅仅包括了“对被审计单 1．系统规划的审计 奥克斯利法案))404条款的要求。GTAG的 位财务报表的合法性、公允性及会计处理 系统规划是否能够做出重要的决策， 制定是为了满足CAE和审计主管人员的要