信息系统审计的实践探索.docVIP

信息系统审计的实践探索 信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源，并有效果地实现组织目标的过程。信息化环境下，信息及信息系统已经成为企业最重要、最有价值的资产之一，信息系统审计也已成为现代内部审计的重要内容。 信息系统审计概述 信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标，并有效率地利用组织资源，其关注的核心是资产保护与信息系统的效率、效果。不仅包括对建设过程的审计，更重要的是对信息系统的运营审计，向公众出具审计报告，鉴证信息系统能否保护企业资产安全，其产生、传递的信息是否完整，整个系统是否有效地实现组织目标，并有效率的利用组织资源。 信息系统审计的业务范围包括与信息系统有关的所有领域。例如：对信息系统的战略规划与组织的审计，主要集中在信息系统的战略规划、业务流程重组、信息系统的策略和流程、组织结构和职责等方面；对技术基础平台建设的审计，包括信息系统硬件、信息系统软件、信息系统网络及通信技术基础平台；对应用系统建设审计，包括系统开发方法、系统开发工具、系统开发过程、项目管理等；对信息系统管理和运营审计，包括信息系统管理和运营审计等；对风险管理与应用控制审计，包括输入控制、输出控制、处理控制等。 二、信息系统审计的主要方法 1．一般性常规审计方法 开展信息系统审计需要进行充分的审前调查和研究，在审前调查阶段和现场实施阶段，为了解和掌握信息系统及相关业务流程、发现控制及管理上存在的问题，均会采用一般性常规审计的方法。如：描述法、比较法、观察法、分析法、询问访谈法、文档审阅法、测试抽样法、信息追踪法等。 2．计算机审计方法 计算机审计方法一般用于对信息系统的控制测试，包括：测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。 3．风险导向审计方法 信息系统有着与生俱来的风险，这些风险用不同方式冲击信息系统。因此，信息系统审计运用风险分析方法，充分揭示应用控制存在的风险。风险导向审计方法其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。 三、通常情况下信息系统存在的主要问题 1.系统应用方面的问题 比较常见的有系统应用管理不严格，存在薄弱环节；制度执行不力；线下操作；流程滞缓等问题。以在XX单位进行的合同管理系统审计为例，在审计过程中发现，存在系统外即线下签订合同现象；审批人员超时审批等情况。这些问题均在一定程度上影响了系统的正常运行效率和效果。 2.系统运行维护方面的问题 缺少系统运维记录；系统内权限及账号的增加删除及变更无审批流程或流程不完整；系统功能仍待完善；出现问题未及时沟通和解决，因人员调动等关系，无确定的系统维护人员。 3.系统安全方面的问题 缺少有效安全控制；系统初始账号和密码未做更改；存在职责不分离，一人兼多职的问题；存在应用系统操作人员对操作系统和数据库的特权访问的情况；应撤销权限或应禁用账号未及时处理。这些情况的存在，使系统的运行风险大大增加，安全性和保密性都受到威胁。 4.数据真实准确性方面的问题 系统内数据不完整；系统内数据与留存书面文本数据不一致；系统录入错误；系统内数据事后补录。仍然以在XX单位进行的合同管理系统审计为例，在审计过程中发现，存在未录入系统合同、人员手工录入错误、个别合同信息与对应的合同文本信息不一致等现象。 5．责任意识不强，风险意识淡漠的问题 业务人员对信息系统应用的责任意识不够强；按手工方式进行业务操作的惯性思维仍然存在；对信息系统环境下的应用控制的重视及理解程度不到位等问题，影响了系统数据的准确性和完整性，降低了系统应用的可靠性。 四、信息系统审计的发展思考 尽管到目前为止 ,对于信息系统审计还没有一个公认的通用定义 ,但可以看出 ,随着企业信息化过程中信息系统的发展 ,信息系统审计的对象从企业单个部门的数据处理系统发展到整个企业集成的信息系统 ,甚至企业外部的信息系统;审计的目标从对数据处理系统的效率和可靠性进行审查发展到对整个信息系统的效率、可靠性、有效性和安全性的审查;审计的方法从手工审计发展到手工审计与计算机辅助审计工具和技术兼而有之。另外 ,信息系统审计的内容、依据、准则等也在随着信息技术和信息系统的发展而不断发展与完善。但从长远发展来看，还有以下两个方面有待加强。 从信息系统审计的人员组成上来看，一是要培养专业的信息系统审计人员，大力培养信息系统审计师，开展信息系统审计业务。二是要优化审计人员配置，发挥优势，联合协作。在进行信息系统审计时，由于涉及的业务和范围不尽相同，信息系统审计人员很难做到熟悉所有领域知识，为保证审计效果，应采取邀请外部专家、信息管理部门人员和专业技术人员加入审计组的