下载文档第一篇:企业信息系统审计的研究
企业信息系统审计的研究
来源:CIO时代网
实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。近年来,企业对信息技术的投入逐年加大,信息化程度也越来越高。信息化的蓬勃发展,促进了其经营管理水平的提高,特别是在提高管理创新、集中管控能力、执行力和市场反应能力等方面,信息技术的应用确实带来意想不到的效率和成果。但是,信息系统给社会带来的危害主要体现在以下几方面:突发事件的影响,由于1993年纽约世界贸易大厦爆炸事件,使得当时入住的多数企业的商业数据如数丧失,导致在企业这一年内的很多商业活动无法进行;错误操作、不正当使用和滥用信息技术,1998年发生的CIH病毒,导致全球数百万台计算机硬件损坏,导致近百亿美元的经济损失。信息系统开发失败。1994年,Standish Group对IT行业8400个项目(投资250亿美元)的研究结果表明有34%的项目彻底失败,50%的项目在补救后完成,预算平均超出90%,进度平均超出120%。这些失败和补救的项目中、不少未经过投资风险评估便匆匆上马,超成了极大的社会资源浪费,对信息系统投资方面起到了极其恶劣的影响。因此,迫切需要对正在使用或即将投产的信息系统的安全性、真实性、完整性、有效性进行鉴证。通过对信息系统的审计,保证信息系统的可信度,促进内控体系的规范建设,信息系统审计已成为摆在企业管理人员案头迫切需要开展的重要工作。在我国信息化推进过程中,存在不同程度上的一些问题,主要表现在规划制订不够科学,项目管理不够严格,监理机制不够健全,系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标,浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。
一、审计信息系统
信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。
审计信息系统最早称为计算机审计,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。随着计算机技术应用范围的不断扩展,计算机审计所关注的内容也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。计算机审计的业务范围已经覆盖了一项审计业务的全过程,信息系统审计的概念随之出现。
在建立信息系统审计制度,开展信息系审计研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEM AUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)即ISACA,总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人,它是从事信息系统审计的专业人员唯一的国际性组织,CISA(Certified Information System Auditor)也是这一领域的唯一职业资格。
在很多大型公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。”未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展“,这一观点已经逐渐成为国外会计、审计界的一个共识。信息系统审计师的地位也在不断提高。在国外的一些大型会计公司中已经出现了没有CPA资格的合伙人,他们持有的专业资格就是CISA.据专家介绍,国际信息系统
审计师(简称IT审计师)目前已经成为全球范围最抢手的高级人才。
在初期,信息系统审计是作为传统审计业务的一部分,在审计师对由计算机系统处理的数据的质量进行判断时提供技术支持。有信息系统审计技能的审计师被看作是会计师事务所的技术资源,在必要时为同事提供技术支持。对于信息系统审计,需求领域很广。如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等等。
二、构建信息系统审计
信息系统审计的建立是一项复杂的系统工程,所以应制订长远的开发规划,由简到繁分阶段逐步实现。它的功能应该是:实现审计信息的收集、处理和共享;实现审计日常管理的自动化;通过计算机建立程序化的标准审计方法和统一的审计标准,从而提高审计工作的效率和质量。实现审计管理规范化;保证审计作业规范化;促进审计文档规范化;审计质量监督规范化;提高审计结论的层次。基于上述的系统目标,信息系统审计当前应由审计证据管理子系统、信息系统安全标准子系统、信息系统安全评估子系统、项目管理审计子系统和信息系统审计法律标准子系统等五个子系统组成。
(一)审计证据管理子系统
1。审计证据收集
(1)传统方法收集审计证据
(2)通过数据接口直接向计算机会计信息系统获取审计证据
(3)在线系统审计证据收集
(4)计算机网络系统审计证据收集
2.审计证据评价
(1)真实性。查明审计证据的来源、形成的时间、地点、制作过程及设备情况,有无伪造和删改的可能性。一般说来,由第三方(如中间商或网络服务商)来储存记录或转存的证据具有较高的证据效力;被审计事项的事实和行为发生时留下的证据的效力较以后专为诉讼的目的而形成的证据更为真实;对于自相矛盾、内容前后不一致或不符合情理的审计证据,应小心对待,不可轻信,对不能排除合理怀疑的审计证据不得采纳。
(2)合法性。包括收集手段是否合法和形式条件是否合理两部分。有些审计证据其本身也有证据力,但在收集过程中,违背了规定的手续和程序,因而也就不具有法律效力,也不能用来证实问题,为此,鉴定分析审计证据时,要了解证据是以什么方法、在什么情况下取得的,是否违背了法定的程序和要求,是否符合法律规定的形式要件,这样有利于判明审计证据的真伪程度和效力。
(3)相关性。查明审计证据反映的事实与被审计事项有无关系,只有与被审计事项的事实或逻辑上是相关的事实才能被认为是证据。
(4)结合其他证据进行鉴定分析。将审计过程中收集的全部证据综合起来加以分析、判断。如审查计算机审计证据中有无数据、图表等反映的事实,同有关书证、物证、证人证言进行分析,明确是否互相一致,是否有矛盾。如果与其他证据相一致,共同指向同一事实,就可以认定其效力,可以作为审计证据。反之则不能作为审计证据。
(二)信息系统安全标准子系统
构建通用的信息系统安全标准,作为信息系统审计工作中的参考标准。信息系统安全标准是由高级管理人员制定的最小标准、规则构成的集合,所以必须加以实现,以确保信息系统安全政策的实现。信息系统安全标准需要指明每个信息系统控制的详细要求。它为管理人员提供一个基准或底线,可以照此对单个信息系统控制的适当性进行评估。信息系统审计是
一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。
(三)信息系统安全评估子系统
信息系统审计集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性; 信息系统审计资源维主要包括以信息、应用系统、设施及人在内的信息相关的资源,这是信息系统审计治理过程的主要对象;信息系统审计过程则是在信息系统审计准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、获取与实施、交付与支持、监督与评估等方面确定了信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针以对信息系统审计处理过程进行评估。
(四)项目管理审计子系统
项目管理系统是对审计过程进行全面指导、帮助和控制的软件,它通过对标准审计方法的各个工作流程的合理细分,使每个子流程都对应相应的计算机处理模块。从而使一个完整的审计项目可通过计算机辅助而完成,并产生各个工作环节应该生成的底稿和报告。有利于提高工作效率,为进行审计质量考核提供了极大的方便。
(五)信息系统审计法律标准子系统
此系统主要是实现信息资料的收集和共享。内容定期进行更新,包括:审计工作所需要的各类法律、法规、规章制度等。一般来讲,按不同层次设立,信息的共享通过系统内互联的企业网实现,还可根据信息的保密要求,设定不同的信息访问权限。
三、规范信息系统审计范围
其业务范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计业务等电子商务审计。
1.信息系统开发计划、管理及组织架构的战略、政策、标准及相应实践过程的评估;
2.技术基础设施及运行实践的效能和效率的评估;
3.信息资源在逻辑访问、运行环境以及IT基础设施各方面的安全性的评估;
4.系统灾难恢复及保证业务连续性的能力的评估;
5.业务应用系统开发、实施与维护的方法和过程的评估;
6.业务流程的风险管理水平的评估;
7.财务系统的评估。
第一,鉴证作用。信息系统审计的鉴证价值是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。
第二促进作用。促进价值体现在两个方面,一是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中;二是指审计可以促进被审计单位改进内部控制,加强管理,提高信息系统实现组织目标的效率、效果。
第三咨询作用。信息技术的发展为组织的管理变革提供了技术手段,组织扁平化、工作丰富化等管理变革都要信息技术来实现。信息化已是大势所趋。
四、创建行业标准与实务指南
如同开展业务审计要具有相关法律法规作为审计依据一样,开展信息系统审计同样需要审计依据。国内信息系统审计方面的工作近几年才刚刚开始,基本仍处于摸索阶段,而在国家审计中更是如此。目前,由于国内关于信息系统审计方面的标准尚处于空白状态。
国际上关于信息系统审计方面可以参考的标准主要有信息及相关技术控制目标COBIT(Control Objectives for Information and related Technology)、ISO17799、能力成熟度集成模型CMMI(Capability Maturity Model Integration)和IT基础架构库ITIL(Information Technology Infrastructure Library)等。
信息系统审计与控制协会ISACA(Information System Audit and Control Association)于1996年公布的目前国际上通用的信息系统审计的标准。它将IT 过程,IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。它是一个在国际上公认为最先进、最权威的安全与信息技术管理和控制的标准。
英国国家标准局制定的BS7799-1《信息安全管理实践规范》,该规范于202_年12月被国际标准化组织采纳,成为ISO17799。ISO/IEC17799标准最初于1993年由英国贸易工业部立项,由标准化协会筹备起草并作为英国的标准。1995年,首次发布BS 7799-1:1995《信息安全管理业务规范》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小组织以及政府部门;1998年,标准化协会发表标准的第二部分BS 7799-2《信息安全管理体系规范》,它规定信息安全管理体系与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,它还可以作为一个正式认证方案的根据;BS 7799-1与BS 7799-2经过修订于1999年重新予以发布,此次考虑了信息处理技术,尤其是考虑了在网络和通信领域应用的最新发展情况;202_年12月,BS 7799-1:1999《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准,即ISO/IEC17799-1:202_《信息技术--信息安全管理业务规范》标准。
202_年,ISO发布了新版的信息安全管理实施细则,即ISO/IEC17799-202_,对202_年版的标准进行了修订,更加注重标准的通用性和实用性。
日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了”系统审计师“一级的考试,着手培养从事信息系统审计的骨干队伍。近几年东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。
国内目前关于信息系统审计的依据主要有修订后的《中华人民共和国审计法》、国办发
【202_】88号文件《国务院办公厅关利用计算机信息系统开展审计工作有关问题的通知》、1999年颁布了独立审计准则第20号--计算机信息系统环境下的审计等,同时可以主要参考COBIT和ISO17799标准。
但是我国信息系统审计才刚起步,审计技术、审计规范、制度等都有待研究。随着我国信息化水平的提高,对信息系统的有效控制与审计将逐渐成为研究热点。
五、开展信息系统审计的意义
1.信息系统审计是未来审计发展的必然
未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。
2.维护信息时代的市场经济秩序
市场经济是建立在信用基础上的,信息系统审计应当充当信息时代经济生活中公正的鉴证人起着维护市场经济稳定的作用。信息时代竞争的加剧,信息流的电子传播方式等,使市场对及时和相关信息的需求越来越多,现有财务报告模式的局限性性日渐突出。现有财务报告是以历史成本为计量基础的、周期性的向利益相关者报告。在新经济环境中,信息系统审计师应能够以在线、实时的信息为基础提供鉴证,通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。提供实时报告鉴证对保护公众利益和保护资本市场的有序发展是非常有意义的。
3.为信息化建设保驾护航
以信息化带动工业化,推进电子政务及电子商务,许多企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。信息系统审计师的出现,可以从项目计划开始介入信息系统建设的每个环节,以他们的专业素养,从项目的初始阶段一直到运营的全过程,给予项目投资者风险控制的评估与建议,提高信息系统的投资效益。
第二篇:信息系统审计
1、信息系统审计的概念,内容,流程?
答:(1)概念信息系统审计是指根据公认的标准和指导规范,对信息系统从规划、实施到运行维护各个环节进行审查评价,对信息系统及其业务的完整性、有效性、效率性、安全性等进行监测、评估和控制的过程,以确定预定的业务目标得以实现,斌提出一系列改进建议的管理活动。
(2)内容:主要包括内部控制系统审计、系统开发审计、应用程序审计、数据文件审计等。a.内部控制系统审计。信息系统的内部控制系统由两个子系统构成:一是一般控制系统,它是系统运行环境方面的控制,为应用程序的正常运行提供外围保障。另一子系统是应用控制系统,它是针对具体的应用系统和程序而设置的各种控制措施。
b.系统开发审计。是指对信息系统开发过程所进行的审计,这是一种事前审计。
c.应用程序审计。其决定了数据处理的合规性、正确性。对应用程序的审计,可以对程序直接进行审查,也可以通过数据在程序上的运行进行间接测试。
d.数据文件审计。在信息系统中,各种凭证、账簿及报表中的数据均以数据文件的形式存储在硬盘或软盘等存储介质中,对数据文件进行审计,可以将该文件打印出来进行检查,也可以在计算机内直接进行审查。
(3)流程:主要的分为准备阶段、实施阶段、终结阶段。
a.准备阶段:
1、明确审计任务。
2、组成信息系统审计小组。
3、了解被审计系统的基本情况。
4、制定信息系统审计方案;
b.实施方案:
1、对被审计系统的内部控制制度进行健全性调查和符合性测试。
2、对帐表单证或数据文件的实质性审查;
c.终结阶段:
1、整理归纳审计资料。
2、撰写审计报告。
3、发出审计结论和决定。
4、审计资料的归档和管理。
2、常见的IT治理标准有哪些,各自的作用是什么?
答:常见的IT治理标准有ITIL,COBIT,BS 7799,PRINCE2。
(1)ITIL(Information Technology Infrastructure Library),即信息技术基础构架库,一套被广泛承认的用于有效IT服务管理的时间准则。1980年以来,英国政府商务办公室为解决“IT服务质量不佳”的问题,逐步提出和完善了一整套对IT服务的质量进行评估的方法体系。
(2)COBIT,(Control Objectives for Information and related Technology):信息和相关技术的控制目标。它是由信息系统审计与控制协会,于1996年推出的用于IT审计的知识体系。作为IT治理的核心模型,其包括34个信息技术过程控制,并归集为IT规划和组织、系统获得和实施、交付与支持以及信息系统运行性能监控4个领域。目前COBIT是国际上公认的IT管理与控制标准。
(3)BS 7799(ISO/IEC17799):国际信息安全管理标准体系。该标准包括信息系统安全管理和安全认证两大部分,是参照英国国家标准BS 7799而来的。它是一个详细的安全标准,包括安全内容的所有准则,由10个独立的部分组成,每一节都覆盖了不同的主题和区域。该体系主要解决企业的信息安全管理上的问题,为企业提供了一个完整的管理框架,不断改进信息安全管理水平,使机构或企业的信息安全以最小代价达到需要的水准。
(4)PRINCE2(Projects In Controlled Environments)是一种对项目管理的某些特定方面提供支持的方法。PRINCE2描述了一个项目如何被切分成一些可供管理的阶段,以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。PRINCE2的视野并不仅仅限于对具体项目的管理,还覆盖了在组织范围对项目的管理。
3、常见的信息系统开发方法,对其中的一到两种展开说明?
答:常见的信息系统开发方法有软件开发生命周期法、原型法、面向对象法、计算机辅助开发方法、基于组件的开发方法、基于Web应用开发方法。以下对软件开发生命周期法进行
说明。
软件开发生命周期法(Software Development Life Cycle,SDLC)是系统分析员和系统开发者常用的软件开发方法。软件开发生命周期法能够生产高质量的软件,满足业务和用户的需求,在开发进度和成本控制下进行软件开发生产,是一种有效保证成本,提高效益的软件开发方法。通过应用传统的SDLC方法,已经成功开发出了大量的业务应用系统。其各个阶段及其基本内容如下:
1、第一阶段——可行性研究。确定实施系统在提高生产效率或未来降低成本方面的战略利
益,确定和量化新系统可以节约的成本,评价新系统的成本回收期。
2、第二阶段——需求定义。一是定义需要解决的问题,二是定义所需的解决方案及方案应
当具有的功能和质量要求。该阶段还要确定是采用定制开发的方法还是供应商提供的软件包。
3、第三阶段A——系统设计(当决定自行开发软件时)。以需求定义为基础,建立一个系
统基线和子系统的规格说明,以描述系统功能如何实现,各个部分之间接口如何定义,系统如何使用已选择的硬件、软件和网络设施等。
4、第三阶段B——系统获取(当决定购买现成软件包时)。以需求定义为基础,向软件供
应商发出请求建议书(RFP)。商品软件的选择要从多方面进行考虑。
5、第四阶段A——系统开发(当决定自行开发软件时)。使用系统设计说明书来设计编程
和实现系统过程。在这个阶段,要进行各个层次的测试,以验证和确认开发的系统。
6、第四阶段B——系统配置(当决定购买现成软件包时)。如果决定选用商品化的软件包
时,需要按照企业的需求进行系统客户化工作,对系统进行剪裁。这种剪裁最好是通过配置系统参数来实现,而不是通过修改程序源代码。
7、第五阶段——系统实施。这个阶段是在最终用户验收测试完成、用户签署正式文件后进
行。系统还需要通过一些认证和鉴定过程,来评价应用系统的有效性。
8、第六阶段——实施后维护。随着一个新系统或彻底修改的系统的成功实施,应当建立正
式的程序来评估系统的充分性和评价成本效益或投资回报。这样可为后续的系统开发项目管理提供改进意见。
当一个项目的需求稳定、定义准确时,生命周期法使用起来最有效,改方法适用于在开发工作的早期建立总体的系统构架。
4、IT服务管理的定义,包括哪些内容?
答:(1)IT服务管理(IT Service Management,ITSM)有以下两种使用比较广泛的定义:
1、IT服务管理是一种以流程为导向、以客户为中心的方法。它通过整合IT服务于企业业
务,提高了企业的IT服务提供和服务支持的能力和水平。
2、IT服务管理是一套通过SLA(服务级别协议)来保证IT服务质量的协同流程。它融合了系统管理、网络管理、系统开发管理等管理活动以及变更管理、资产管理、问题管理等许多流程理论和实践。
(2)ITIL主题框架包括6个主要模块,即服务管理、业务管理、ICT(信息与通信技术)基础设施管理、贯穿业务和IT基础设施的应用管理、IT服务管理实施规划和集中的安全管理。
08信息2班0804100229徐怡
第三篇:关于企业信息系统审计的几点认识
关于企业信息系统审计的几点认识
来源:CIO时代网
审计署刘家义审计长提出了“信息系统应用责任审计是经济责任审计7个组成方面之一”的观点,为企业信息系统审计指明了方向和目标。我有幸参加了审计署组织的第一次与经济责任审计相结合的企业信息系统审计项目,下面结合工作实际谈一下我对企业信息系统审计的几点认识:
一、企业信息系统审计是实现评价领导人信息系统应用责任的重要方法
目前,大型企业在组织形态走向分散化的同时其管理的集约化程度不断提高,依靠集中的信息管理,很多大企业建立了比较发达的“神经系统”,不仅基本实现了财务统一管理,在业务领域也实现了分布式应用、集中化管理,信息系统的复杂度和数据量随之迅速增长。因此,现在依靠传统的计算机审计思路和方法,很难对信息化程度较高的大型企业的领导人的信息系统应用责任做出评价,但我们通过信息系统审计可以从一定程度上回答企业全面的内控和管理情况,从而达到评价企业领导人的信息系统应用责任的目的。虽然目前通过信息系统审计方法较难查出大案要案,与当前审计环境和要求有一定矛盾,但从长远看,企业信息系统审计一定有生命力和发展前途。
二、企业信息系统审计的方法步骤及主要内容
在国内信息系统审计指南还未发布的情况下,我们本次企业信息系统审计主要参照202_年美国联邦政府责任办公室发布的《联邦信息系统控制审计手册》(以下简称FISCAM)提供的方法步骤和主要内容,结合中国企业审计的实际情况开展。具体情况是:
(一)企业信息系统审计的方法步骤
FISCAM提供了一种依据在政府审计标准中提及的“一般公认的政府审计标准(GAGAS)”来执行信息系统控制审计的方法,结合本次审计,我认为企业信息系统的基本方法步骤为:一是了解审计的总体目标和信息系统控制审计的范围,二是了解被审计单位的运营情况和关键业务流程,三是全面了解被审计单位的网络架构,四是识别审计关注的关键审计域,五是初步评价信息系统风险,六是识别关键控制点,七是进行符合性测试,八是根据符合性测试结果进行实质性测试,最后是形成审计报告。
(二)企业信息系统审计的主要内容
我认为企业信息系统审计主要基于内部控制开展,信息系统内部控制是为了保证信息系统的有效性、可靠性和安全性,提高信息系统运营效率,确保信息准确、完整、可靠,有效保护信息资产,利用各种手段和技术,对信息系统实施的管理和控制过程。信息系统内部控制可以划分为一般控制和应用控制。
一般控制是对信息系统的开发、实施、维护和运行所进行的控制,主要目标为数据安全,保护应用程序,并确保计算机在异常中断情况下能持续运行。一般控制所采用的控制措施普遍适用于所有的应用系统,为应用系统提供了环境上的保证。
应用控制即业务流程应用程序级的控制,是指与被审计单位具体业务活动相关的控制,与一般控制相对应。应用控制既可以在信息系统内实现,也可以以手工方式实现。FISCAM定义应用控制为:对交易的完整性,准确性,有效性,机密性和可用性以及在应用处理中的数据的控制,通常分为应用程序级一般控制、业务流程控制、接口控制、数据管理系统控制等四类控制。
三、企业信息系统审计的知识能力要求
企业信息系统审计涉及多学科,需要高素质的综合型审计人员,审计人员必须具备开展信息系统审计所需要的审计、内部控制与信息技术专业能力,应当取得审计署计算机审计资格和信息系统审计资格,掌握信息系统基本知识,如具备财务会计、大型数据库、网络安全、内部控制等方面的知识,同时具备一定的计算机辅助审计能力,能熟练运用外部资源进行信
息系统审计测试。必要时,我们还需从外部聘请专家解决专业能力不足的问题。
FISCAM中对信息系统审计人员的专业能力也提出了具体要求,如业务流程控制审计就需具备以下专业知识和能力:一是有关应用数据完整性、准确性、有效性和机密性的实务、策略和技术的知识;二是每个业务流程处理周期中的典型应用的知识;三是使用通用审计软件包对应用程序数据进行数据分析和测试,以及计划、提取与评价数据样本分析和评价组织的应用控制,并界定其优缺点的能力。
第四篇:信息系统审计工作制度
信息系统审计工作
今天,信息系统已成为企业业务处理的中枢,信息系统的可靠、安全、效率左右着企业的命运。企业不仅要在内部设立信息系统审计部门,实施内部审计,还必须委托外部信息系统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。要实施独立的信息系统审计,确立信息系统审计制度是十分重要的。
因此,为了规范部门内部工作流程和质量控制,协助其他部门了解信息系统审计部门的业务支持范围、工作内容及工作流程,促进部门间就项目中设计的信息系统审计业务范围进行有效沟通,协调项目工作计划的界定和质量管理,避免因项目中工作职责和工作范围界定不明确而降低审计工作的效率和效果,特制订此信息系统审计制度。
本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作,为财务审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围,信息系统审计的工作程序及方法,以及信息系统审计对客户能够达成的效果等,特作以下介绍说明。
一、信息系统审计何时介入
信息系统审计(IT Audit)是信息系统鉴证业务中的一种。信息系统审计是根据业务和信息控制目标,针对信息系统环境内设定的控制,通过搜集和评估审计证据,对信息系统控制的有效性发表结论或意见的过程。
信息系统审计有四个层面:
1.它的目的是对信息系统控制的有效性发表评估结论或审计意见。有效性包括控制设计的有效性和执行有效性;
2.它的对象是信息系统环境中的各种控制流程或机制,包括IT 一般控制和应用控制;3)
3.它的内容是搜集和评估审计证据;
4.它的依据是业务控制目标,比如系统是否有效实施控制保证财务软件计算的固定资产折旧程序是否准确。通过执行信息系统审计,可以协助财务审计团队了解和评价信息系统的可靠性和安全性及财务数据的完整性和准确性。
财务审计团队在财务审计业务计划阶段,需对客户的信息系统环境进行调查,若客户的信息系统环境评估结果为复杂时,需邀请信息系统审计人员介入共同探讨审计计划,根据业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质(如:是否为高度自动化)、交易数量及信息系统的管理方式(如:若信息系统由第三方管理,则需考虑是否需要SAS70或者相关的报告)确定信息系统审计业务支持服务范围,并在信息系统审计计划中以书面的形式记录业务约定。若客户的信息系统环境评估结果为不复杂时,信息系统审计工作可由审计团队完成,必要时信息系统审计团队可以提供知识和技术的支持和咨询服务。
其中,若在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化(如:银行,保险,电信,和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息系统处理业务),仅仅执行实质性程序无法提供足够的审计证据时,在约定信息系统审计业务服务范围时,需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实性、完整性、准确性、截止性的审计程序。
在约定信息系统审计是否介入时,需要考虑如下因素:
▪系统的复杂性;
▪业务的本质;
▪财务审计团队的技能和知识;
▪系统的位置(例如,如果包含一个服务组织,SAS70或相关的报告能否被使用);
▪处理的本质(例如高度自动化)和交易的数量。
在评估信息系统是否复杂时,我们认为以下特征是复杂信息系统的指标:
▪客户实施编程和/或开发;
▪信息系统处理过程高度自动化,很少或者没有人工干预;
▪不同的系统接口;
▪信息系统使用批处理(计划任务);
▪实施了新系统或者系统间进行了转换;
▪使用了单点登录(SSO)或者集中权限管理(CRM)系统。
二、信息系统审计业务范围
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。信息系统审计业务范围包括:
(一)为财务审计团队提供信息系统审计业务支持;
(二)支持企业内部控制审计;
(三)开展独立的信息系统审计业务;
(四)对信息系统控制及安全方面提供独立建议的咨询服务。
(一)为财务审计团队提供信息系统审计业务支持
信息系统审计业务为财务审计提供合理保证,其提供的支持服务内容包括:
1.信息系统一般控制:
▪IT控制环境/关键职责分离;
▪主要业务和财务系统的开发以及程序变更管理;
▪IT系统运维管理,如数据批处理、数据备份、数据中心维护;
▪业务和财务系统环境中关键的信息安全和权限控制管理,包括用户账户和授权管理、应用系统安全、数据库系统安全、操作系统安全、和网络安全。
2.应用控制:
支持重要业务流程的各应用和接口系统中固化在程序中的关键控制点。这要根据财务审计团队确定的业务流程而定。比如销售、采购、库存、应收、应付、总账、资金、电子商务、银行存贷等。
3.根据业务复杂性确定的其他控制:
如根据重大账户余额,交易类型或披露事项的重大错报风险的评估结果,对依赖于计算机生成的信息执行信息(CGI)控制测试,计算机辅助审计(CAATs)测试,会计分录测试(JET)等。
(二)支持企业内部控制审计
信息系统审计对企业的内部控制审计提供支持,对特定基准日内部控制设计与运行的有效性进行审计,其主要内容包括:
1.恰当地计划内部控制审计工作;
2.实施审计工作,评价内部控制是否可以应对舞弊风险,测试内部控制设计与运行的有效性;
3.评价企业内部控制缺陷,按其影响程度分为重大缺陷、重要缺陷和一般缺陷;
4.获取充分、适当的证据,为在内部控制审计中对内部控制有效性发表意见和对控制风险结果评估提供支持。
(三)开展独立的信息系统审计业务
独立的信息系统审计业务是通过实施信息系统审计工作,对公司、机构或组织是否达成信息技术管理目标进行综合评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行其受托责任以达成公司、机构或组织的信息技术管理目标。
独立的信息系统审计业务也可通过实施信息系统审计工作来对公司、机构或组织所提供的专业化服务(如电子商务、人力资源与薪酬管理外包、在线数据备份等)进行综合评价从而达到以下目标:
1.判断一切与该公司、机构或组织所提供的专业化服务相关的流程、操作及管理是否合乎行业标准;
2.保障使用此类专业服务的公司或个人的信息安全性;
3.基于评价意见提出整改建议,从而帮助此类专业服务提供商更好地拓展市场与开放客户群体。
信息系统审计部门能够为客户提供的独立的信息系统审计业务内容包括:
▪企业信息系统控制合规审计报告;
▪企业信息系统运行和控制系统设计及评估;
▪企业萨班斯法案审计服务;
▪其他。
其目的是保证其信息技术战略充分反映该组织的业务战略目标,提高公司、机构或组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规及监管的相关要求。
(四)对信息系统控制及安全方面提供独立建议的咨询服务
信息系统咨询业务是指结合信息系统安全、企业内部控制管理与外部审计等多方面的专业知识,提供与信息安全相关的信息化建设、信息安全诊断、信息技术认证及ERP系统相关的咨询业务。
信息系统审计部门能够为客户提供的独立的信息系统咨询业务内容包括:
▪企业信息系统战略策划和评估;
▪企业信息系统执行及项目管理监理咨询;
▪企业信息系统安全评估;
▪企业萨班斯法案咨询服务;
▪企业专业服务系统的行业评估;
▪其他。
三、信息系统审计程序
(一)信息系统审计一般程序
审计程序一般可分为四个阶段,即准备阶段、实施阶段、审计结论和执行阶段、异议和复审阶段。信息系统审计也可分为这四个阶段,同时结合自身的特殊要求,运用本身特有的方法,对信息系统进行评价。
1.准备阶段
初步调查被审计单位信息系统基本状况,拟定科学合理的计划,一般应包括以下主要工作:
(1)调查了解被审计单位信息系统的基本情况,如信息系统的硬件配置、系统软件的选用、应用软件的范围、网络结构、系统的管理结构和职能分工、文档资料等,调查完成后将审前调查情况记录下来。
(2)提前三天送达审计通知书,要求被审计单位对所提供资料的真实性、完整性作出书面承诺,明确彼此的责任、权利和义务。
(3)初步评价被审计单位的内部控制制度,以便确定符合性测试的范围和重点。
(4)确定审计重要性、确定审计范围。
(5)分析审计风险。
(6)制定审计实施方案。在审计实施方案中除了对时间、人员、工作步骤及任务分配等方面作出安排以外,还要合理确定符合性测试、实质性测试的时间和范围,以及测试时的审计方法和测试数据。
在安排利用计算机辅助审计时,还需列出所选用的通用软件或专用软件。对于复杂的信息系统,也可聘请专家,但必须明确审计人员的责任。
2.实施阶段
实施阶段是审计工作的核心,也是信息系统审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见。实施阶段的主要工作应包括以下两个方面的内容:
(1)符合性测试。进行符合性测试应以系统安全可靠性的检查结果为前提。如果系统安全可靠性非常差,不值得审计人员信赖,则应当根据实际情况决定是否取消内控制度的符合性测试,而直接进行实质性测试并加大实质性测试的样本量。在信息系统的符合性测试项目中,主要内容应该是确认输入资料是否正确完整,计算机处理过程是否符合要求。如果系统安全可靠性比较高,则应对该系统给予较高的信赖,在实质性测试时,就可以相应地减少实质性测试的样本量。
(2)实质性测试。实质性测试应该是对被审计单位信息系统的程序、数据、文件进行测试,并根据测试结果进行评价和鉴定。进行实质性测试须依赖于符合性测试的结果,如果符合性测试结果得出的审计风险偏高,而且被审计单位有利用信息系统进行舞弊的动机与可能,并且被审计单位又不能提供完整的会计文字资料,此时审计人员应考虑对会计报表发表保留意见或拒绝表示意见的审计报告。进行实质性测试时,可考虑采用通过计算机和利用计算机进行审计的方法,具体包括:
①测试数据法:就是将测试数据或模拟数据分别由审计人员进行手工核算和被审计单位信息系统进行处理,比较处理结果,作出评价;
②受控处理法:就是选择被审计单位一定时期(最好是12月份)实际业务的数据分别由审计人员和会计电算化系统同时处理,比较结果,作出评价。
(3)利用辅助审计软件直接审查信息系统的数据文件。审计人员可利用现场审计实施系统软件(AO)直接对数据进行数据转换,数据查询,抽样审计,查账,账务分析等测试,得出结论,作出评价。
3.审计结论和执行阶段
审计人员对信息系统进行符合性测试和实质性测试后,整理审计工作底稿,编制审计报告时,除对被审单位会计报表的合理性、公允性发表意见,作出审计结论外,还要对被审单位信息系统的处理功能和内部控制进行评价,并提出改进意见。
审计报告完成后,先要征求被审单位的意见,并报送审计机关和有关部门。审计报告一经审定,所作的审计结论和决定需通知并监督被审单位执行。
4.异议和复审阶段
被审单位对审计结论和决定若有异议,可提出复审要求,审计部门可组织复审并作出复审结论和决定。特别是被审单位信息系统有了新的改进时,还需组织后续审计。
(二)信息系统审计协调程序
为财务审计团队提供信息系统审计业务支持服务前,为了合理安排信息系统审计工作计划,财务审计项目负责人与信息系统审计部门应执行下列协调程序:
1.财务审计项目负责人在制定当年审计计划时应考虑所需信息系统审计部门进行审计支持的内容与实行时间;
2.财务审计项目负责人提前在9月底将所需信息系统审计时间告知信息系统审计部门,与信息系统审计部门讨论确定服务内容,预约部门成员;
3.信息系统审计部门搜集所有信息系统审计需求,按照项目时间安排信息系统审计人员工作计划,并与财务审计项目团队、客户协调;
4.信息系统审计部门及时完成外勤工作、底稿编制和底稿审核,并把结论书面告知财务审计项目团队,并与财务审计团队对信息系统审计部门的最后结论达成口头或书面共识;
5.信息系统审计部门将按照事务所要求归档、保管底稿。
其他信息系统项目的工作计划参照上述信息系统审计业务支持服务,与相关方及时沟通制定审计计划,在制定的项目时间内完成工作。
(三)信息系统审计结果报告程序
信息系统审计部门实施信息系统审计的计划、程序、证据、结论等底稿都会按照相应的审计准则进行记录和保存。
1.在财务审计系统审计风险评估当中,信息系统审计部门不会出具某种审计报告,而是出具评估结论,一般以底稿备忘录的形式提交给财务审计团队。该备忘录总结信息系统审计中评估的范围、方法、时间/区间、结论、重大控制缺陷或风险点等内容。
2.在独立的信息系统审计业务和咨询业务中,会出具独立的审计报告。报告将以事务所名义签发。
第五篇:信息系统审计方法浅谈
信息系统审计方法浅谈
随着当前信息技术的发展,地方各级资金管理部门投入大量资金,开发了各种各样的信息系统软件,用于管理资金或实行会计电算化,信息系统的建设的合法性、软件开发的规范性、系统运行的安全性以及程序设置合规性等问题,成为审计关注的重点,开展信息系统审计成为审计机关避免“假账真审”、降低审计风险题中应有之义。
信息系统审计主要目标是确认信息系统的合法性、可靠性、机密性、有效性和安全性等,通过审查信息系统的运行状况,发现信息系统在使用和管理过程中存在的问题,确定是否存在漏洞和缺陷,有无非法和错误的处理和控制的薄弱环节,客观评价系统的现状,促进被审计调查单位进一步加强信息系统管理,完善信息系统功能,保证资金的安全与完整,防范利用计算机系统进行欺诈与舞弊,并提出具有建设性的建议。
信息系统审计重点内容主要有以下三个方面:
一、信息系统运行方面,主要包括:
1、系统安全性,审查信息系统的物理安全性,是否可以有效防止被非法使用,相关安全制度是否齐全,机房进出是否执行登记制度等;中心机房是否建设为标准机房,电源是否为单独供电或双路供电并配备UPS电源,服务器是否配置机柜;机房内是否摆放纸箱等可燃物品,墙体地板、天花等是否按防火标准建设或改造,是否配备防雷设施,地板是否经过防火、防静电处理,配备防静电设施;是否建有磁带库、虚拟带库等系统以备份系统数据,是否建有冗灾备份系统,以确保数据信息安全。
2、系统可靠性,审查硬件、软件是否有效能够保证业务的正常运行,操作系统和数据库是否为正版软件并及时更新,数据库是否能够满足运行需要,系统是否存在漏洞,是否易受病毒、木马、黑客等攻击,导致数据丢失、篡改等;杀毒软件病毒库及防火墙是否及时更新。
3、系统机密性,审查数据访问权限的保密性,是否存在数据被非法用户访问,不相容的权限是否设置单选或者禁用,是否存在同时操作前台和后台,既能办理业务,又能审核业务等,隐私数据的保密是否有力;操作系统及数据库是否加密存储用户口令,系统日志是否保留用户登录、操作系统模块和业务模块的相关信息;是否存在大量共享文件夹及文件,导致系统安全风险。
4、系统合法性,审查信息系统的开发、管理、运营是否符合法律、法规、规章的规定。重要信息是否为必填项或符合规范录入要求。
5、系统效益性,查信息化建设是否坚持成本节约原则,资源的利用是否坚持效率性原则,信息系统是否达到信息化建设目标。
二、信息系统管理方面,主要包括:
1、内部控制制度,主要审查信息系统是否建立相关内部控制及实际执行,关注各个控制
措施之间的相关性,业务运行结果是否与财务数据一致,某一控制是否存在补偿性或是重叠性的控制。
2、保障措施,主要审查各个环节、各个业务部门之间的联接、系统运营后勤保障、售后服务合同签订及后期实施情况等,查看是否存在薄弱环节,是否能有效保障系统的正常安全运行。
三、政策执行方面,主要包括:
1、政策执行,主要地方政策是否符合中央或省级政策的有关条目及法律法规的规定。
2、业务流程,主要审查信息系统是否严格按照流程进行运营,是否存在漏洞等。信息系统审计主要采取的方法:
1、座谈及现场察看,采取与信息化部门、用户及相关人员进行座谈,查阅与信息系统相关的文档、程序等,实地查看机房、业务终端、器材等。
2、计算机辅助审计,利用AO软件的查询、计算、分类、抽样选择、排序、数据文件联结、比较、合并等功能进行审查。
3、测试数据,通过测试数据样本,评价信息系统是否能够正确处理所有业务数据,是否能够对处理过程实施一定控制。
4、应用程序检查,检查系统软件开发过程中是否设置相应控制措施。
5、聘请计算机专家,为审计师提供指导及其他有价值的信息。
6、整体测试,在软件系统内置入虚构实体,并以测试资料或正式资料,针对该实体进行处理,以验证其正确性。
