信息系统审计的内容_范围_流程及策略的探讨.docVIP

信息系统审计的内容、范围、流程和策略的探讨 ? 吴本长 谢岗 吴斌 赵承康 安徽电力公司课题组 ? ? ??? 国际信息系统审计委员会（ISACA）在1996年对信息系统审计定义为：信息系统审计是为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导层，提出问题与建议的一连串的活动。由此可以看出，信息系统审计所关注的内容不单纯是对电子数据的处理，更不仅仅是财务信息，而是对企业整个信息系统的可靠性、安全性进行了解和评价，是一项通过审查与评价信息系统的规划、开发、实施、运行和维护等一系列活动，以确定信息系统运行是否安全、可靠、有效，信息系统得出的数据是否可靠准确以及数据是否能有效的存储的过程。 一、信息系统审计的内容和特点 ? ??? 国际信息系统审计协会规定了信息系统审计主要内容： ??? 1．信息系统审计程序。依据信息系统审计标准、准则和最佳实务等提供信息系统审计服务，以帮助组织确保其信息技术和运营系统得到保护并受控； ??? 2. IT治理（信息技术治理）。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务，以达到公司治理中对IT 方面的要求； ??? 3.系统和基础建设生命周期管理。系统的开发、采购、测试、实施、维护和配置、使用，与基础框架，确保实现组织的目标； ??? 4. IT 服务的交付与支持。IT 服务管理实务可确保提供所要求的等级、类别的服务，来满足组织的目标； ??? 5. 信息资产的保护。通过适当的安全体系（如安全政策、标准和控制），保证信息资产的机密性、完整性和有效性； ??? 6. 灾难恢复和业务连续性计划。一旦连续的业务被中断或破坏，灾难恢复计划确保灾难对业务影响最小化的同时，及时恢复被中断的IT 服务。 ? ??? 从信息系统审计的上述定义和内容，可以看出，信息系统审计除了传统审计所具有的特性外，还具有以下几个专有特点： ??? 1、审计的所有领域将全面运用现代信息技术。这就是在审计的理论研究、实务工作、管理模式、知识构等方面都将运用现代信息技术，使技术与审计高度融通，大大提高审计的工作质量和效率。在实务工作方面，要使审计工作面向计算机内在审计和使用计算机审计转变；审计人员不再只依赖于纸张记录的会计数据而大部分或全部依赖于磁盘、光盘等介质记录的电子数据，或直接从网络下载的子数据，诸如电子商务之类；审计底稿和审计证据及有关审计档案也全部电子化；审计工作将从定期的现场审转向实时或定时的在线网络审计，即通过网络分散和连续抽取证据进行审计。在管理模式上，要利用现代信技术来管理责任与风险俱在的审计行业。知识结构上，审计人员除了掌握传统审计的基本知识外，还应掌握计算知识及其应用技术、数据处理和管理技术，掌握现信息技术的应用等；不仅要会操作审计软件，而且要能根据需要编写出测试审查程序；使所审计人员都应成为完全意义上的IT审计人员。 ??? 2、信息数据安全性、可靠性是IT审计的特点。在会计信息化条件下，企业所提供的最主要的会计信息将是各种明细信息，因此，审计的工作重点是验证信息的真实可靠性，以及审核进入外网络的明细信息的安全性。企业内部形成的明细信息的真实可靠性如何，取决企业会计信息化系统内部控制的强弱程度，而审计人员主要工作将是证实从数据库存取信息的可靠性。为此，应当侧重于验证机内原始凭证数据是否真实可靠，会计凭证数据库的存取是否得当，以及这些数据被不留痕迹修改的风险有多大等问题。对于进入外部网的明细信息，必须通过对整个系统的网络进行安全控制以保证此信息的安全性。在会计信息化条件下，必须对会计信息进行连续审计，这种审计不仅应延伸到进入企业内部网络的明细信息，而且应延伸到进入外部网络系统的详细信息。 ??? 3、计算机专家参与审计工作。在会计信息化环境下，审计工作所面临的会计系统非常复杂，对审计人员的信息技术掌握程度要求非常高，审计人员必须充分利用计算机专家的专业能力进行审计工作。需要计算机专家参与的工作是深层次的、与技术高度融合的审计工作，如数据库的分析评价、网络系统的健全评价、实时监控和审计软件的开发、信息系统应用软件审计等。这些工作，单纯依靠审计人员是难以完成的。审计人员在开展实质性工作前，应与计算机专家交流并拟定专家工作的项目和收集、评价审计证据的索引，以便能充分利用计算机专家的工作结果进行审计判断。 ??? 4、审计的覆盖面将扩大。在会计信息化环境下，审计的对象是以计算机为手段的信息处理系统，这是信息系统审计区别于其他审计的标志，同时这也表明不仅会计信息是审计的对象，其他计算机信息处理系统如企业人力资源管理子系统等也是审计的对象。 ??? 5、对审计人员的素质要求提高。在会计信息化条件