浅谈信息系统审计.docVIP

浅谈信息系统审计 　　摘要：作为高级的计算机审计，信息系统审计将会越来越多的应用到审计实务中。本文从信息系统审计的含义、内容、重点和方法几个方面对信息系统审计进行了全面细致的阐述，特别介绍了信息系统审计所运用的计算机辅助审计方法，对实际工作有一定的借鉴作用。 　　关键词：审计；信息系统 　　中图分类号：F239.5 文献标识码：A 文章编号：1001-828X（2014）08-00-01 　　一、信息系统审计的含义 　　要了解信息系统审计，首先得了解什么是信息系统。信息系统又称IS系统（Information System），是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。它具有输入、存储、处理、输出和控制五个基本功能。 　　目前审计所涉及的信息系统主要是与单位经济活动相关的财务信息系统和业务信息系统。财务信息系统是传统手工记账的升华。业务信息系统可贯穿各个管理环节，常见的如ERP系统、银行信贷系统、医院收费系统等。 　　信息系统审计是以信息系统为依托，结合传统审计和计算机辅助审计的高级计算机审计。它不仅对数据审计，更对信息系统全面审计，要检查机房环境、网络设备安全、逻辑访问控制、输入输出、权限、主数据和业务参数控制等。 　　二、信息系统审计的内容 　　信息系统审计的内容取决于被审计单位信息系统的构成。它分为横向和纵向两部分。横向是由计算机硬件、系统软件和应用软件所组成的计算机系统，加上相应的组织和管理制度等组建完成的。纵向包括可行性研究、设计、编程和测试、系统转换、验收和维护等几个阶段。两者共同构成一个完整的信息系统，而审计需要关注的是其中的每一个控制点。综合而言，信息系统审计的内容包括系统总体目标实现、组织结构和管理方式、硬件设施、软件控制措施、系统开发维护生命周期、灾难恢复等内容。 　　三、信息系统审计的重点 　　在信息系统审计过程中，审计人员应重点关注信息系统的内部控制，包括一般控制和应用控制。 　　一般控制是指为合理保证所有计算机数据处理活动安全、可行的控制措施。它对系统的各个方面都有广泛的影响，包括组织控制、操作控制、系统开发和维护控制、硬件和系统软件控制和灾难恢复控制。 　　应用控制是指设计用来合理地保证计算机数据处理系统在特定应用方面能够正确地完成数据的记录、处理和报告功能，包括输入控制、处理控制和输出控制。它直接影响数据的结果，如常见的会计报表、账簿等。具体来讲，信息系统审计可进行以下重点审查和评价。 　　1.审计财务信息系统软件的合法性。主要是审查操作系统和财务软件的使用是否违反《中华人民共和国著作权法》和《计算机软件保护条例》，有无使用非法复制的计算机软件。 　　2.审计软件应用平台的安全性。主要是检查计算机软、硬件系统配置和运行环境是否符合要求，软件架构是否完全、稳定。身份准入是否存在非指定人员登陆计算机，取得控制权和软件操作权的可能性。 　　3.审计财务软件的安全性、可信性。这个环节的重点是按照《核算软件基本功能规范》的要求，从会计数据的输入、处理、输出和安全等4个方面测试各功能模块和整体性能。 　　4.检查财务部门电算化会计内部管理制度。主要是检查电算化岗位责任、会计电算化管理、计算机软硬件和数据管理、电算化会计档案管理等内部管理制度是否完备，有无违反《会计电算化规范》中相关条款。 　　四、信息系统审计的方法 　　信息系统审计与一般审计相比，在准备阶段和报告阶段运用的技术方法与传统财务审计的技术方法大同小异，但实施阶段运用的技术方法则很具有信息技术的特色。信息系统审计不仅可以采用有手工环境下传统的审计技术方法，也可以在此基础上增加计算机技术方法，主要包括一般方法和计算机辅助审计方法。 　　1.一般方法 　　信息系统审计的一般方法主要包括面谈法、系统文档审阅法、观察法、描述法等审计人员较熟悉的方法。面谈法在信息系统审计的各个阶段均可使用。系统文档审阅法主要应用于信息系统审计的准备阶段和实施阶段，通过审阅技术手册、操作手册、流程图、组织结构图、源程序等系统文档，按照其中规定的控制措施，对照检查实际操作过程中是否有效执行。描述法可以文字、表格、图形等直观的方式对信息系统的运行、业务流程等进行详实、有条理地描述。 　　2.计算机辅助审计方法 　　这是信息系统审计不同于传统审计方法的特色之一，主要在财务软件安全性可信性审计中应用，是对数据输出结果和控制的审计，包括测试数据法、平行模拟法、嵌入审计模块和受控处理法等。测试数据法是审计人员设计出一些虚拟的业务数据，提交给要检查的信息系统进行处理，然后将系统的处理结果与审计人员的预期结果进行对比，从而确定系统控制是否存在并有效执行。此方法简单、易操作，但相