信息系統(tǒng)審計簡述

PAGE2PAGE5信息系統(tǒng)審計簡述前言信息系統(tǒng)審計是審計行業(yè)的一個特殊領(lǐng)域。未來審計行業(yè)和審計技術(shù)的發(fā)展動力將主要來自信息系統(tǒng)審計的發(fā)展，這一觀點已經(jīng)逐漸在國外會計界、審計界形成共識。本文通過對信息系統(tǒng)評價審計的涵義、目標(biāo)、業(yè)務(wù)范圍、業(yè)務(wù)活動和具體任務(wù)等方面的闡述，使讀者對信息系統(tǒng)審計形成初步的認(rèn)識。關(guān)鍵詞：信息系統(tǒng)審計一、信息系統(tǒng)審計的涵義信息系統(tǒng)審計在發(fā)展初期也稱為電子數(shù)據(jù)處理審計。關(guān)于信息系統(tǒng)的定義還未形成統(tǒng)一的認(rèn)識。筆者列舉了以下兩種主流的說法：一是美國信息系統(tǒng)審計權(quán)威專家威伯（RonWeber）教授對信息系統(tǒng)審計的定義：“收集證據(jù)并對所收集的證據(jù)進行評價的一項活動，以決定會計信息系統(tǒng)是否在最經(jīng)濟地使用資源的同時，實現(xiàn)了有效保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標(biāo)等預(yù)期功能?！倍菄H信息系統(tǒng)審計和控制協(xié)會（ISACA）的定義：“信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標(biāo)的過程?！毙畔⑾到y(tǒng)審計雖然尚無一個統(tǒng)一明確的定義，但都體現(xiàn)了信息系統(tǒng)審計是“由審計機構(gòu)、審計人員對與被審單位經(jīng)營活動密切相關(guān)的信息系統(tǒng)的安全性、可靠性和有效性進行檢查評估，并提出改進意見的系列活動”。二、信息系統(tǒng)審計的目標(biāo)信息系統(tǒng)審計的目的，是通過實施信息系統(tǒng)審計工作，對組織是否達(dá)成信息技術(shù)管理目標(biāo)進行綜合評價，并基于評價意見提出管理建議，協(xié)助組織信息技術(shù)管理人員有效地履行其受托責(zé)任，以達(dá)成提高組織所依賴信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準(zhǔn)確性，提高信息系統(tǒng)運行的效果與效率，合理保證信息系統(tǒng)的運行符合法律法規(guī)及監(jiān)管的相關(guān)要求。所以，信息系統(tǒng)審計的目標(biāo)主要是對信息系統(tǒng)真實性、完整性等六方面要素的評估、反饋保證及建議。1．真實性。信息系統(tǒng)中的數(shù)據(jù)要真實地反映企業(yè)的生產(chǎn)經(jīng)營活動。要通過數(shù)字簽名等一系列技術(shù)手段和保留不可更改記錄、定期審計等管理手段確保數(shù)據(jù)的真實性。2．完整性。完整性信息具有不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成、存儲和傳輸。3．合法性。系統(tǒng)在購買、使用、開發(fā)、更新、維護、轉(zhuǎn)移等過程中必須符合相關(guān)法律、法規(guī)、準(zhǔn)則、行規(guī)以及企業(yè)內(nèi)部的規(guī)定等。4．安全性。安全性是指信息系統(tǒng)在遭受各種因素破壞的情況下，仍然能夠正常運行的概率。威脅信息系統(tǒng)安全的因素有外部和內(nèi)部兩種。外部主要是黑客的入侵、病毒的攻擊、線路的偵聽等，內(nèi)部主要是被授權(quán)的用戶訪問和修改、刪除等操作。安全性是真實性的基礎(chǔ)之一。2．信息系統(tǒng)維護審計。信息系統(tǒng)審計不應(yīng)該僅僅包括對開發(fā)過程的審計，更重要的是對信息系統(tǒng)實施后運行和維護過程的審計。其主要審計要求是：（1）確定是否有維護計劃，維護工作是否得到負(fù)責(zé)人的批準(zhǔn)，系統(tǒng)是否按照維護計劃進行了維護；（2）確認(rèn)是否存在未經(jīng)授權(quán)擅自修改或更改系統(tǒng)的問題；（3）確定維護工作是否保護了應(yīng)用程序，并使程序庫不受非法訪問；（4）確定系統(tǒng)維護后是否經(jīng)過充分測試，用戶是否參與了系統(tǒng)維護后的測試工作；（5）確定是否對每一次維護工作都有詳細(xì)的記錄；（6）確定系統(tǒng)維護后文檔資料是否及時更新。（二）按照信息系統(tǒng)內(nèi)部控制要求安排審計業(yè)務(wù)活動建立、健全內(nèi)部控制是被審計單位規(guī)范、強化內(nèi)部管理的重要手段，信息系統(tǒng)控制是企業(yè)內(nèi)部控制的重要組成部分。信息系統(tǒng)控制是一個單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務(wù)活動的有效進行，保護資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，合理確保信息系統(tǒng)提供信息的真實、合法、完整而制定和實施的一系列政策與程序措施。信息系統(tǒng)內(nèi)部控制審計可以分為信息系統(tǒng)一般控制審計和信息系統(tǒng)應(yīng)用控制審計。1．信息系統(tǒng)一般控制審計。信息系統(tǒng)一般控制是應(yīng)用于一個單位信息系統(tǒng)全部或較大范圍，其基本目標(biāo)是保證數(shù)據(jù)安全、保護計算機應(yīng)用程序、防止系統(tǒng)被非法侵人、保證在意外中斷情況下的持續(xù)運行。2．信息系統(tǒng)應(yīng)用控制審計。信息系統(tǒng)應(yīng)用控制是對具體應(yīng)用系統(tǒng)的控制，每一個具體的應(yīng)用程序所要解決的問題是不同的，所涉及的數(shù)據(jù)和處理方法等均各具特點。針對這些具體的應(yīng)用程序所進行的有針對性的控制，就是應(yīng)用控制。應(yīng)用控制又分為輸人控制、計算機處理與數(shù)據(jù)文件控制和輸出控制。五、信息系統(tǒng)審計過程及具體任務(wù)審計過程是審計工作從開始到結(jié)束的整個過程，可以分為計劃階段、實施階段和報告階段。（一）計劃階段。計劃階段的主要任務(wù)包括：1．調(diào)查被審單位的基本情況，初步評價固有風(fēng)險。審計人員首先應(yīng)了解被審單位的基本情況。需要了解的基本情況包括：第一，被審單位的業(yè)務(wù)性質(zhì)和生產(chǎn)經(jīng)營情況。第二，被審單位的組織結(jié)構(gòu)和管理水平。第三，被審單位信息系統(tǒng)一般情況，即信息系統(tǒng)的結(jié)構(gòu)，所使用的軟硬件和網(wǎng)絡(luò)設(shè)施以及運行環(huán)境。第四，被審單位應(yīng)用系統(tǒng)及其所處理的交易和事項的類型。2．調(diào)查被審單位信息系統(tǒng)的內(nèi)部控制，評價控制風(fēng)險。在計劃階段，審計人員應(yīng)了解被審單位的內(nèi)部控制特別是信息系統(tǒng)內(nèi)部控制，對內(nèi)部控制的健全和有效性進行評估，初步確定控制風(fēng)險的大小。3．評估審計風(fēng)險，確定重要性水平。為了合理使用審計資源，有效地實現(xiàn)審計目標(biāo)，在制定審計計劃時審計人員應(yīng)評估審計風(fēng)險，確定重要性水平。重要性水平是指在審計事項中，能夠容忍出現(xiàn)差錯的程度和大小。4．編制審計計劃。在對被審單位的風(fēng)險進行初步評估，確定重要性水平后，審計人員應(yīng)當(dāng)編制審計計劃。審計計劃的內(nèi)容包括：被審單位的基本情況、審計的范圍和重點、審計的步驟和時間安排、審計人員分工、所運用的信息系統(tǒng)審計方法、審計中應(yīng)當(dāng)注意的事項和其他內(nèi)容等。（二）實施階段實施階段是根據(jù)計劃階段確定的范圍、重點、步驟和方法，進行有針對性的評價，并形成審計結(jié)論的過程，主要由符合性測試和實質(zhì)性測試兩個階段構(gòu)成。1．實施符合性測試。符合性測試的目的是檢查內(nèi)部控制措施是否健全有效。審計人員需要對被審單位的控制系統(tǒng)進行識別、測試和評價。審計人員通過與相關(guān)人員面談、設(shè)計調(diào)查問卷以及查閱信息系統(tǒng)和控制系統(tǒng)說明文件等方法，識別被審單位的控制系統(tǒng)以及控制環(huán)境，并將調(diào)查情況記錄在審計工作底稿中。2．實施實質(zhì)性測試。實質(zhì)性測試是對信息系統(tǒng)控制進行的詳細(xì)測試，以獲得這些控制在審計期間是否真實存在并合法有效的審計證據(jù)。實質(zhì)性測試主要通過測試必要的數(shù)據(jù)，對信息系統(tǒng)達(dá)到特定的控制目標(biāo)的程度進行評價。（三）報告階段在審計報告階段，審計人員應(yīng)運用專業(yè)判斷，綜合收集到的相關(guān)證據(jù)，以經(jīng)過核實的審計證據(jù)為依據(jù)，形成審計意見，出具審計報告。審計報告中除了對被審單位信息系