信息系统审计的内容范围作业流程和策略的探讨.docVIP

信息系统审计内容、范围、步骤和策略探讨

?

吴本长谢岗吴斌赵承康

安徽电力企业课题组

?

?

???国际信息系统审计委员会（ISACA）在1996年对信息系统审计定义为：信息系统审计是为了信息系统安全、可靠和有效，由独立于审计对象信息系统审计师，以第三方客观立场对以计算机为关键信息系统进行综合检验和评价，向信息系统审计对象最高领导层，提出问题和提议一连串活动。由此能够看出，信息系统审计所关注内容不单纯是对电子数据处理，更不仅仅是财务信息，而是对企业整个信息系统可靠性、安全性进行了解和评价，是一项经过审查和评价信息系统计划、开发、实施、运行和维护等一系列活动，以确定信息系统运行是否安全、可靠、有效，信息系统得出数据是否可靠正确和数据是否能有效存放过程。

一、信息系统审计内容和特点

?

???国际信息系统审计协会要求了信息系统审计关键内容：

???1．信息系统审计程序。依据信息系统审计标准、准则和最好实务等提供信息系统审计服务，以帮助组织确保其信息技术和运行系统得到保护并受控；

???2.IT治理（信息技术治理）。确保组织拥有合适结构、政策、工作职责、运行管理机制和监督实务，以达成企业治理中对IT方面要求；

???3.系统和基础建设生命周期管理。系统开发、采购、测试、实施、维护和配置、使用，和基础框架，确保实现组织目标；

???4.IT服务交付和支持。IT服务管理实务可确保提供所要求等级、类别服务，来满足组织目标；

???5.信息资产保护。经过合适安全体系（如安全政策、标准和控制），确保信息资产机密性、完整性和有效性；

???6.灾难恢复和业务连续性计划。一旦连续业务被中止或破坏，灾难恢复计划确保灾难对业务影响最小化同时，立即恢复被中止IT服务。

?

???从信息系统审计上述定义和内容，能够看出，信息系统审计除了传统审计所含有特征外，还含有以下多个专有特点：

???1、审计全部领域将全方面利用现代信息技术。这就是在审计理论研究、实务工作、管理模式、知识构等方面全部将利用现代信息技术，使技术和审计高度融通，大大提升审计工作质量和效率。在实务工作方面，要使审计工作面向计算机内在审计和使用计算机审计转变；审计人员不再只依靠于纸张统计会计数据而大部分或全部依靠于磁盘、光盘等介质统计电子数据，或直接从网络下载子数据，诸如电子商务之类；审计底稿和审计证据及相关审计档案也全部电子化；审计工作将从定时现场审转向实时或定时在线网络审计，即经过网络分散和连续抽取证据进行审计。在管理模式上，要利用现代信技术来管理责任和风险俱在审计行业。知识结构上，审计人员除了掌握传统审计基础知识外，还应掌握计算知识及其应用技术、数据处理和管理技术，掌握现信息技术应用等；不仅要会操作审计软件，而且要能依据需要编写出测试审查程序；使所审计人员全部应成为完全意义上IT审计人员。

???2、信息数据安全性、可靠性是IT审计特点。在会计信息化条件下，企业所提供最关键会计信息将是多种明细信息，所以，审计工作关键是验证信息真实可靠性，和审核进入外网络明细信息安全性。企业内部形成明细信息真实可靠性怎样，取决企业会计信息化系统内部控制强弱程度，而审计人员关键工作将是证实从数据库存取信息可靠性。为此，应该侧重于验证机内原始凭证数据是否真实可靠，会计凭证数据库存取是否适当，和这些数据被不留痕迹修改风险有多大等问题。对于进入外部网明细信息，必需经过对整个系统网络进行安全控制以确保此信息安全性。在会计信息化条件下，必需对会计信息进行连续审计，这种审计不仅应延伸到进入企业内部网络明细信息，而且应延伸到进入外部网络系统具体信息。

???3、计算机教授参与审计工作。在会计信息化环境下，审计工作所面临会计系统很复杂，对审计人员信息技术掌握程度要求很高，审计人员必需充足利用计算机教授专业能力进行审计工作。需要计算机教授参与工作是深层次、和技术高度融合审计工作，如数据库分析评价、网络系统健全评价、实时监控和审计软件开发、信息系统应用软件审计等。这些工作，单纯依靠审计人员是难以完成。审计人员在开展实质性工作前，应和计算机教授交流并确定教授工作项目和搜集、评价审计证据索引，方便能充足利用计算机教授工作结果进行审计判定。

???4、审计覆盖面将扩大。在会计信息化环境下，审计对象是以计算机为手段信息处理系统，这是信息系统审计区分于其它审计标志，同时这也表明不仅会计信息是审计对象，其它计算机信息处理系统如企业人力资源管理子系统等也是审计对象。

???5、对审计人员素质要求提升。在会计信息化条件下，因为审计线索改变、内部控制改变、审计对象和内容扩大及审计方法改变，决定了对审计人员要求提升。审计人员必需从传统审计时空观转换为信息化条件下电子时空观，具体表现为审计人员进