信息系统审计应把握的重点及其对策措施.docxVIP

信息系统审计应把握的重点及其对策措施 作者：张程 来源： 信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。随着计算机及网络技术的迅速发展，审计机关要想完成“全面审计，突出重点”的审计目标，担负起社会经济运行的“免疫系统”作用，就必须加快信息系统审计的步伐。为此，笔者认为，审计机关要开展好信息系统审计，就必须把握重点，加强组织，制定措施，积极推进。 一、开展信息系统审计应把握的重点 1、信息系统审计的目标和内容 信息系统审计目标：信息系统审计不仅要对系统信息的合法性、公允性进行审计，还要对信息系统的硬件和软件，以及整个信息系统的安全性、稳定性、内部控制的健全性与有效性等方面进行审计，指出被审计单位信息系统内部管理和控制上的薄弱环节，提高其信息系统的可靠性和真实性，有效地防止利用信息技术随意篡改系统信息或破坏磁介质上的数据等舞弊行为的发生。因此，信息系统审计目标不仅仅在于应用计算机进行审计（即传统 edi 审计或计算机辅助审计）， 更重要的是要对信息系统本身的安全性、稳定性及其实现组织目标的有效性进行实时的检查、评价和改造。 信息系统审计内容：主要包括信息系统开发过程审计、一般控制审计和应用控制审计三个方面。 2、信息系统审计的职能和方式 为了实现审计目标，保证和咨询应成为对信息系统进行审计的两大基本职能。“保证”即“系统可靠性保证”，就是通过对信息系统运行过程、商业连续性能力、维护状况进行评价，合理保证信息系统安全、稳定、有效，它是信息系统审计最基本的职能。“咨询”是指 审计人员能够向信息系统的高层管理者以及使用者提供解决问题的方案，以达到改善经营和为组织增加价值的目的。 信息系统审计组织方式：一种是将信息系统审计作为常规项目审计的一部分，是为整个审计项目的总体目标服务的。检查信息系统本身及其内部控制的可靠性和有效性，为数据审计服务，最终通过审计 数据得出审计结论，即数据审计、信息系统审计和系统内控审计“三位一体”的结合方式。另一种是独立立项的信息系统审计，直接针对信息系统进行审计，将信息系统本身的安全性、可靠性和有效性作为审计目标。 现阶段开展的信息系统审计以第一种方式为主。 3、信息系统审计的依据和原则 审计人员执行信息系统审计时，主要以信息系统的管理制度、条例和法规、iso9000、信息系统的实际运行情况等为主要依据。目前信息系统审计工作还处于探索阶段，没有一套成形的专业规范，信息系统审计人员可遵照isaca（国际信息系统审计与控制协会）发布的 《信息系统审计准则》执行信息系统审计业务。 审计信息系统审计原则：一是应坚持“先易后难、逐步推开”的原则，在条件具备的情况下选择合适的审计项目进行试点和探索。二是应坚持“先上而下，上下结合”的原则，因为越往上，人才技术具备，且信息系统往往是自上而是下部署运用的，通过上级审计，就可以减少重复审计，降低审计成本，使审计成果利用最大化；三是应坚持财务与信息系统结合型审计和信息系统独立型审计相结合的原则。在年度审计计划确立上，要逐步安排结合型或者独立型的项目；在审计的组织方式上，要使传统的审计项目与信息系统审计的内容结合起来，保证信息系统审计的结果能够应用于整个审计工作中，做好信息系统审计与整个审计工作的衔接。 4、信息系统审计的技术和方法 对信息系统审计的方法既包括一般方法即手工方法，也包括应用计算机审计的方法。信息系统审计的一般方法主要用于对信息系统的了解和描述，包括：面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试，包括：测试数据法、平行模拟法、在线连 续审计技术（通过嵌入审计模块实现）、综合测试法、受控处理法和 受控再处理法等。 5、信息系统审计的流程和步骤 信息系统审计是一个获取并评价证据，以研判信息系统是否能够保证资产的安全、有效以及提供真实、完整的系统信息的动态循环流 程。在审计的计划阶段，要对被审单位的计算机系统进行了解，初步确定在后续的审计步骤中是否打算领带被审单位的计算机系统，并针对了解的内容制定实施阶段的审计步骤中是否打算领带被审单位的计算机系统，并针对了解的内容制定实施阶段的审计计划；在实施阶段，按照制定的测试计划，对计算机系统的控制进行测试。 信息系统审计的步骤：（1）审计准备阶段。准备阶段主要是初步调查被审计单位会计信息化的基本状况，拟定科学合理的审计计 划；与被审计单位签订审计业务约定书，明确彼此的责任、权利和义务；确定审计范围、确立审计重点、分析审计风险、制定审计计划， 审计人员必须提前进入被审单位，了解被审计单位基本情况，与单位的有关人员面谈，查阅其