信息系统审计应把握重点及其对策措施.docVIP

信息系统审计应把握重点及其对策措施 　　摘要：信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。随着计算机及网络技术的迅速发展，审计机关要想完成“全面审计，突出重点”的审计目标，担负起社会经济运行的“免疫系统”作用，就必须加快信息系统审计的步伐。 　　关键词：信息系统；审计；重点；对策； 　　一、开展信息系统审计应把握的重点 　　1.信息系统审计的目标和内容 　　信息系统审计目标：信息系统审计不仅要对系统信息的合法性、公允性进行审计，还要对信息系统的硬件和软件，以及整个信息系统的安全性、稳定性、内部控制的健全性与有效性等方面进行审计，指出被审计单位信息系统内部管理和控制上的薄弱环节，提高其信息系统的可靠性和真实性，有效地防止利用信息技术随意篡改系统信息或破坏磁介质上的数据等舞弊行为的发生。因此，信息系统审计目标不仅仅在于应用计算机进行审计，更重要的是要对信息系统本身的安全性、稳定性及其实现组织目标的有效性进行实时的检查、评价和改造。 　　2.信息系统审计的职能和方式 　　为了实现审计目标，保证和咨询应成为对信息系统进行审计的两大基本职能。“保证”即“系统可靠性保证”，就是通过对信息系统运行过程、商业连续性能力、维护状况进行评价，合理保证信息系统安全、稳定、有效，它是信息系统审计最基本的职能。“咨询”是指审计人员能够向信息系统的高层管理者以及使用者提供解决问题的方案，以达到改善经营和为组织增加价值的目的。 　　信息系统审计组织方式：一种是将信息系统审计作为常规项目审计的一部分，是为整个审计项目的总体目标服务的。检查信息系统本身及其内部控制的可靠性和有效性，为数据审计服务，最终通过审计数据得出审计结论，即数据审计、信息系统审计和系统内控审计“三位一体”的结合方式。另一种是独立立项的信息系统审计，直接针对信息系统进行审计，将信息系统本身的安全性、可靠性和有效性作为审???目标。现阶段开展的信息系统审计以第一种方式为主。 　　3.信息系统审计的依据和原则 　　审计信息系统审计原则：一是应坚持“先易后难、逐步推开”的原则，在条件具备的情况下选择合适的审计项目进行试点和探索。二是应坚持“先上而下，上下结合”的原则，因为越往上，人才技术具备，且信息系统往往是自上而是下部署运用的，通过上级审计，就可以减少重复审计，降低审计成本，使审计成果利用最大化；三是应坚持财务与信息系统结合型审计和信息系统独立型审计相结合的原则。在年度审计计划确立上，要逐步安排结合型或者独立型的项目；在审计的组织方式上，要使传统的审计项目与信息系统审计的内容结合起来，保证信息系统审计的结果能够应用于整个审计工作中，做好信息系统审计与整个审计工作的衔接。 　　4.信息系统审计的流程和步骤 　　（1）审计准备阶段。准备阶段主要是初步调查被审计单位会计信息化的基本状况，拟定科学合理的审计计划；确定审计范围、确立审计重点、分析审计风险、制定审计计划，审计人员必须提前进入被审单位，了解被审单位信息系统开发和使用情况、计算机设备软硬件情况、业务量大小以及数据完整程度，判断在被审单位开展计算机审计是否符合成本效益原则、风险有多大。在对被审计单位的内部控制做出初步及深入审查之后，审计人员应获取被审单位有关会计数据。详细调查计算机环境下的计算机信息系统结构、业务处理流程、所采用的数据库类型及数据结构。确定数据采集、转换、定义以及分析中所需的计算机软件及硬件设备，合理配置审计资源，编制审计计划。 　　（2）审计实施阶段。实施阶段的工作是根据准备阶段确定的范围、重点、步骤、方法，进行取证、评价，综合审计证据，借以形成审计结论，发表审计意见。实施阶段是计算机审计工作的主要阶段，在这个阶段中首先要对被审单位的内部控制进行评价，并执行符合性测试。然后，根据符合性测试的结果，确定实质性测试的计划水平，对被审单位业务数据的实质性进行审查。 　　（3）审计报告阶段。审计报告阶段是对会计信息系统进行测试后，整理审计工作底稿，编制审计报告，对被审计单位会计报表的合理性、公允性、一致性发表意见，做出审计结论；并对被审计单位的会计信息化系统的处理功能、内部控制进行评价，并提出改进意见。主要工作包括：整理审计工作底稿、分类归纳核实材料、编写审计报告、作出审计结论和决定等。这一步骤借助于审计软件的帮助，可以高效、准确地完成。 　　（4）异议和复审阶段。被审计单位对审计结论和决定若有异议，可提出复审要求，审计部门可组织复审并做出复审结论和决定。特别是被审计单位会计信息化系统有了新的改进时，还需组织后续审计。对计算机内部数据处理的详细过程直接进行审查。 　　二、开展