信息系統審計論文范文
前言:我們精心挑選了數篇優質信息系統審計論文文章,供您閱讀參考。期待這些文章能為您帶來啟發,助您在寫作的道路上更上一層樓。
第1篇
(一)信息系統審計的定義。中國內部審計協會(2014)認為信息系統審計是指“內部審計機構和內部審計人員對組織的信息系統及其相關的信息技術內部控制和流程所進行的審查與評價活動”。按照上述定義,信息系統審計的重點跟傳統審計一樣,還是專注于內部控制與流程,但關注點不同,信息系統審計的關注點是信息系統的控制和流程,而不僅僅只關注相關的制度和規范。
(二)信息系統審計的目標。信息系統審計和控制聯合會(ISACA)COBIT框架認為組織內部的信息系統需求三原則是:質量、成本和安全,即在保證信息系統滿足組織需求的前提下,盡可能避免組織內外部風險,并減少研發和維護成本。因此信息系統審計的目標就是對組織信息系統的運行的可靠性,數據的真實性和安全性提供評價。
(三)信息系統審計的步驟。由于大多數高校內審機構在“數字化校園”開發階段并沒有參與其中。本文所述的信息系統審計專指信息系統運行維護階段的審計。
1.審計準備階段。信息系統審計準備階段步驟與傳統審計類似,通過從被審計單位獲取相關信息系統管理的規章制度,找負責系統維護管理的工作人員座談,實地觀察等方式,完成審前調查,進行風險評估、初步確定審計重點和制定審計實施方案等工作。
2.審計實施階段。信息系統審計在實施階段分為兩部分,分別為信息系統一般控制審計和應用控制審計。一般控制審計往往比應用控制審計更為重要,因為應用控制的有效性常常受到一般控制的影響。根據審計項目不同,審計人員可以只實施一般控制審計或者兩者結合進行審計。(1)一般控制審計。一般控制審計又可以分為硬件和軟件兩部分,兩部分的審計重點和方法有所不同,分別為:對硬件的審計通過實地觀察法實施,主要有審計網絡接口是否安全,是否有硬件防火墻,硬件設備存放環境是否安全,防火、防雷、防盜措施是否完備,是否裝備了UPS,在硬件出現故障時是否制定了應急響應計劃等。對軟件的審計通過抽樣、觀察和面談實施,審計重點為:一是系統管理控制,主要有系統設定的職責分離是否合理,授權管理是否充分,是否做到一個系統賬戶對應一個工作人員,是否確保了只有被授權的用戶才能對特定資源和數據進行訪問等;二是軟件安全控制,主要有是否安裝了殺毒軟件,軟件是否定時升級,未經授權的軟件能否安裝,是否有系統操作規范等;三是數據管理控制,主要有數據傳輸是否加密,系統數據是否定期備份,有無冗余備份,數據修改是否按照規定程序進行審核,向外部傳輸系統數據是否有身份認證,是否定期對數據質量進行檢查等。(2)應用控制審計。信息系統應用控制是指為保證應用程序處理數據時按照組織流程運行,確保數據的完整性和真實性的控制,包括輸入控制、處理控制、輸出控制三部分。輸入控制包括輸入授權、數據轉換和編輯校驗,處理控制包括運行總數控制、計算機匹配和批處理控制,輸出控制包括復核系統處理日志、審核輸出文本、審核程序。對應用控制的審計,主要通過分析性復核和計算機輔助模擬的方法,審計重點為信息系統業務的控制點設置是否合理,數據處理程序最多運行數,是否有審核系統日志程序等。
3.報告階段。內審人員根據實施階段編制的工作底稿,出具審計報告初稿,與被審單位充分溝通后,修改審計報告,報相關層級領導審核后,簽發正式審計報告。
二、高校做好信息系統審計的措施
1.轉變觀念,提高開展信息系統審計必要性的認識。“數字化校園”建成以后,高校內部控制環境已經悄然發生改變,內部審計要想充分發揮其獨有的管理評價職能,必須迎頭而上,及時開展信息系統審計。不少內審機構認為信息系統審計專業性太強,無從著手,實際上信息系統審計的核心并沒有改變,還是對信息系統控制的評價,并沒有超出審計人員專業知識的范疇。
2.結合實際,建立信息系統審計的體系。當前,國際上已經有比較成熟的關于信息系統審計的體系,那就是信息系統審計和控制聯合會(ISACA)COBIT體系,但完全照搬肯定是不行的,在實際操作中,內審機構必須結合國情、校情,進行修訂更改,出臺符合自身工作實際的、具備可操作性的信息系統審計體系,以規范審計工作。
3.加強對內審人員的培養。內審機構可以通過以下方式提高內審人員業務素質:一是鼓勵內審人員取得CISA資格。由ISACA頒發國際信息系統審計師(CISA)執業證書是唯一在國際上獲得認可的證書,具有很強的權威性。二是在聘請外部審計機構進行信息系統審計的同時,讓內審人員參與其中,做到邊實踐邊總結,起到“以審帶練”的作用。
第2篇
關鍵詞:信息系統審計;企業信息化;信息系統
信息化是國家現代化的基本標志,也是一個國家綜合國力的集中體現。信息化建設是一項長期的、綜合的系統工程,在改善企業運作管理水平、提高工作效率的同時,也產生了巨大的風險。因此,建立信息系統審計制度,發展信息系統審計是信息化過程中必不可少的制度保證和手段。
一、信息系統審計的概述
1.信息系統審計的定義
信息系統審計(InformationSystemAudit信息系統,簡稱ISA)目前還沒有公認的通用定義,國際信息系統審計領域的權威專家RonWeber將它定義為:收集并評估證據,以判斷一個計算機系統(信息系統)是否有效做到保護資產、維護數據完整、完成組織目標,同時最經濟地使用資源。可通俗的理解為是對信息系統的規劃、開發、實施、運行和維護等各個環節進行評價,確保其符合企業經營目標的過程。
2.信息系統審計的業務內容
信息系統審計的業務內容包括計算機資源管理審計、軟硬件等獲取審計、系統軟件審計、程序審計、數據完整性審計、系統生命周期審計、應用系統開發審計、系統維護審計、操作審計和安全審計。
信息系統審計項目按生命周期來劃分,一般分為信息系統開發過程的審計、信息系統運行維護過程的審計和信息系統生命周期共同業務的審計。
信息系統開發過程中的審計是伴隨著系統規劃、系統分析、系統設計、編碼、測試和系統試運行這幾個階段同步進行的。信息系統運行過程中的審計包括系統輸入審計、通信過程審計、處理過程審計、數據庫審計、系統輸出審計和運行管理審計;信息系統維護過程中的審計包括維護組織審計、維護順序審計、維護計劃審計、維護實施審計、維護確認審計、改良系統試運行審計和舊信息系統報廢審計。
3.信息系統審計的流程
信息系統審計流程包括三個階段即:審計計劃階段、審計實施階段和審計完成階段。
計劃階段是信息系統審計流程的第一步,主要任務是了解被審系統的基本情況;與委托單位簽訂業務約定書;初步評價被審系統的內部控制及外部控制;確定重要性水平;分析審計風險和編制審計計劃。
實施階段的主要任務是根據重要性水平、風險和計劃獲取有關資料;進行符合性測試和實質性測試;對測試結果進行分析;找出導致結果的原因。
完成階段的主要任務是整理、評價審計證據;復核工作底稿,完成二級復核,匯總審計差異,同被審系統管理層交流;對重要性水平和風險進行最終評價,形成審計意見,編制審計報告,完成三級復核。
二、信息系統審計的方法、技術與工具
由于信息系統本身的多樣性和復雜性,信息系統審計的難度也隨之增加。面對錯綜復雜的信息系統和審計環境,要求審計師可以根據審計組織及信息系統的實際情況,結合審計目標、成本效益、審計小組的人員與設備配置情況等,采用多種方法、技術和工具來幫助他們進行審計工作。
1.常規的審計方法、技術與工具
常規的審計方法包括面談法、問卷調查法、系統評審會、流程圖檢查、程序代碼檢查、程序代碼比較和測試等。但在高度計算機化的信息系統中,只采用常規審計法顯然是不夠的,無論是審計證據的收集、評價,還是實現審計工作的現代化,都需要借助計算機來高效完成。
2.計算機輔助審計的技術與工具
信息系統被普遍應用與企業生產、管理及經營活動的各個環節,審計師為達到審計目的,必須要收集大量儲存于計算機中的數據,并借助于計算機對這些數據進行分析,以得出審計的結論。因此審計師在收集證據并分析證據時,必需利用計算機輔助審計工作,計算機輔助審計技術(ComputerAssistedAuditTechniques,簡稱CAAT)越來越成為審計師不可或缺的手段。
計算機輔助審計技術可以使信息系統審計師獨立收集審計信息,按照預定審計目標訪問和分析數據、報告系統產生和維護的記錄的可靠性等審計發現。所用信息來源的可靠性為得出審計結論提供了再保證。
常用的計算機輔助審計軟件與技術:共用軟件、測試數據、應用程序檢查、審計專家系統、整體測試、快照、系統控制審計審核文檔、其他特殊的審計軟件等。三、信息系統審計的應用價值
信息化是有風險的,信息系統規模越大,功能越復雜,風險也就越大。信息系統審計為企業信息系統的有效管理提供了一系列詳細的審計方法,從項目計劃開始介入信息系統建設的每個環節,從項目的初始階段一直到運營階段的全過程,給予項目投資者風險控制的評價和建議,提高信息系統的投資效益。
信息系統審計可以查出各種錯誤和舞弊,合理地保證企業信息系統及其處理、產生的信息的真實性、完整性與可靠性;可以促進企業更有效地融入到社會生活中;可以促進企業改進內部控制,加強管理,提高信息系統實現組織目標的效率。信息系統審計在信息化過程中,幫助企業建立健全的內部控制制度,進行系統診斷。確定信息化的目標和內容,幫助企業調整現有的管理框架和流程或修改軟件產品使其更好地服務于管理的需要。
參考文獻:
[1]胡克瑾:IT審計[M].電子工業出版社,2004.
[2]孫強:信息系統審計:安全、風險管理與控制[M].機械工業出版,2003.
第3篇
[論文摘要]本文分析了信息系統環境下審計工作系統的功能特征、運作環節以及系統的構成,介紹了系統測試的方法,以期提高審計信息化水平,提高審計效率和效果。
數據庫技術在審計信息管理中的廣泛運用,能為審計人員充分、有效、便利地提供信息,為滿足快捷決策需要奠定了基礎。其主要設計思想是將分析決策所需的大量數據從傳統的操作環境中分離出來,把分散的、難以訪問的操作數據轉換成集中統一、隨時可用的信息而建立的一個大的數據庫,其中存儲了所有審計數據。
一、審計工作系統的功能特征
在審計工作系統中,審計數據庫將信息按照主題來進行組織、管理、控制,審計系統對信息的組織、管理、控制方式一般具有以下特征:
1.一致性
不同來源的多種數據一旦進入數據庫,就必須按照統一的主鍵和結構與編碼規則重新組合,因而在審計系統中的數據信息具有一致性的特點。當業務事件發生時,所有原始數據被適當加工成標準編碼的源數據,集成于一個邏輯數據庫(或數據倉庫),而不是重復存儲于多個低耦合系統中。數據庫不只記錄符合會計事項定義的業務事件,而且記錄管理者想要計劃、控制和評價的所有業務事件,并且存儲業務活動中多方面的細節信息。任何授權用戶都可以通過數據庫所存儲的數據來定義和獲取所需的有用信息,這樣既能提供多種視圖驅動應用所能提供的全部視圖,又能避免數據重復存儲和數據不一致的問題。此外,這種體系結構還實現了信息處理的實時控制,數據庫中的處理單元在業務發生時捕捉業務數據,既能執行業務規劃和控制,又能校驗數據的準確性和完整性。
2.時間變量
審計數據庫中的數據鍵始終包括時間元素,數據保存的時間通常較長,具有作歷史比較和趨勢分析預測的長期數據基礎。數據庫技術是將計算機應用于數據管理而產生的一種新的技術,它僅是審計信息系統憑借的一種新的管理手段,對于數據庫的基本要素和管理對象——審計信息的源數據,并不是指沒有經過任何加工的原始數據,而是在原始數據的基礎上,經過了類似于會計流程中的原始憑證確認、統—會計科目標準編碼等加工后所形成的數據。
二、審計工作系統的運作環節
審計數據庫在審計工作系統的運作過程大致有如下4個重要方面:
1.數據獲取
獲取企業的數據信息,記錄數據信息的功能和處理過程。根據審計人員的需要,對在數據庫中運算所需的數據通過一定的方式進行采集,可以得到企業完整而清晰的數據信息,選取和不斷更新數據,保證數據的一致性,使審計信息系統的數據不斷更新與補充,并使數據在審計信息系統內部各部件之間可以溝通;利用現有系統的信息,確定從企業數據到審計信息系統的數據模型所必需的轉化/綜合模式。生成審計信息數據,是進行審計工作的數據基礎,類似于傳統手工環境下的審計對象。審計信息系統上的財務信息不再是簡單的純文本傳統財務信息,它是特定協議標準格式,如超文本格式(HTML)的電子報表,所有數據只要點擊都可以被隨意移植使用。通過網絡傳輸而來的電子報表按照一定的協議標準格式編制,也可以轉換成審計信息系統所需的數據。通過數據獲取環節,把這些數據轉換成審計信息系統所能識別的形式,或直接采用被審計單位所提供電子數據加工出審計信息系統想要的形式。
2.數據管理
此環節包括會計信息庫和用戶信息庫兩部分,前者主要依據數據庫技術進行管理,注重于對信息的分類、組織、維護、檢索等,對存儲的數據建立模型,通過數據模型來對信息進行保存和管理;后者主要包括有關用戶個性特征的信息,個性特征數據結構設計是這部分的關鍵問題,決定了個性化信息服務系統服務質量的優劣,也是實現信息服務自動化和智能化的關鍵。通過將各種數據裝入數據管理庫之中,生成必需的、能為審計人員所直接使用的數據管理庫,或通過其他方法為審計人員提供查詢工具,以便審計人員能方便地從數據管理庫中獲取所需的信息,并可以通過一定的形式將其輸出。生成審計工作所需的數據管理庫包含各種審計計算底稿、審定表、審計報告、管理建議書等信息的結構化數據庫,并形成與其他部件進行聯系的橋梁。
3.分析推理
這是審計信息系統中對信息流進行控制的核心,其主要功能是接受審計人員通過審計信息系統傳來的信息需求,判斷需求指向的是已存在的信息,還是不存在的信息,或者是哪一層次的信息。對已存在的信息可直接調出并通過用戶瀏覽器予以顯示,對不存在的信息需要進行記錄,并判斷是否經適當可行的計算或處理即可提供,如是,則進行計算處理并顯示;否則,作為遺留問題提示進行特別設置處理。此環節是審計工作數據庫的主要組成部分之一,可以利用采集到的數據信息,根據程序設置,推斷出審計人員工作需要的可能解;提供方便的審計分析模塊。
4.解釋報告
審計軟件可以提供審計報告生成功能,審計人員可以通過它選擇具體的信息項目、類型和表達形式,主要內容包括:(1)設置報告模式。模式中列有會計系統中與要素模塊相應的數據項目,模式中的項目與含有多種會計方法的對話框或序列框相聯,以便審計人員選擇他們需要的會計方法來處理其選擇的信息項目。(2)初始選擇。在生成報告時,現行的會計準則和法規作為初始選擇存放在對話框架或子對話框中。如不進行任何選擇,審計人員可以得到一份通用的標準的審計報告。(3)選擇項目。除初始選擇以外,模式報告還提供可選擇項目來滿足審計人員不同的信息報告要求,這些選擇項目可以是會計準則和法規、會計計量和估價方法、財務信息與非財務信息的類型、報告的頻率、范圍、使用的語言、形式等,提供可選擇項目能夠增強交互性相對化特征,既能滿足審計人員的特殊信息報告需要,又能減少報告使用人員的信息負擔。(4)幫助功能。可以采取3種方式:自動顯示專業技術概念解釋;在對話框中提供環境敏感幫助;一個全面的包括如何應用更復雜的會計技術和方法的目錄。幫助功能可以避免審計人員和報告使用者有限的時間被信息的多樣化這種無實際意義的工作浪費,有利于及時、準確、有效地尋找有用信息,提高對信息的利用效率。
三、審計工作系統的組成及內容
1.審計項目管理部分
通過建立審計項目管理組件,對每一個被審計項目的各方面情況進行記錄并生成電子檔案,可以讓審計人員更方便地查閱、了解被審計單位的情況,讓審計項目的新進人員可以更快熟悉工作;可以建立審計質量控制系統,明確審計人員的工作職責。2.審計法規管理部分
可以自動檢查有關處理是否合法合規,能完成法規資料的錄入、修改、刪除、檢索、打印等功能。檢索功能不僅可以為用戶按各種條件查找審計法規的目錄,而且可以根據目錄查找法規全文,可以按要求摘要其中的內容并打印輸出。審計法規數據庫也可以單獨成為一個軟件,現已成功地應用于審計工作第一線,是我國目前開發和應用較成功的專項審計軟件之一。
3.審計操作管理部分
審計操作管理的功能:(1)參考功能。提供計算機審計中常用的工具、手段、可使用的審計程序,其主要內容有:審計環境建立、查詢、抽樣、匯總與計算、排序與分類、財務與效益分析、編制與輸出工作底稿、打印各類審計文件等。(2)圖像處理功能。通過對圖像顯示參數的設置,可以使審計結果以圖表的形式表達出來,可以讓內部審計人員直觀地了解被審計單位的情況。(3)底稿處理功能。能完成審計工作底稿及有關參數和數據的增、刪、改等維護工作。針對計算機系統還能自動查找、計算、輸入底稿所需數據,并按格式打印,針對手工系統則可以提示審計人員輸入有關數據,并進行計算性復核。
4.專用程序管理部分
對于一些需要對外報送資料的項目,尤其是需要送交政府部門的項目,有的政府部門可能提供了單獨的審計軟件,或者需要單獨配備專用的審計功能,以滿足政府部門的數據需要。還有的審計項目因數據量大,牽涉面廣,并且各被審計單位的情況又不盡一致,為了對這些項目進行有效的審計,也需要針對每個項目的不同情況,單獨配備專用的審計功能,以滿足審計工作的要求。
四、審計工作系統的測試方法
1.現場交易選擇測試數據
對被審計單位的現場交易作標記輸入到應用程序中,把帶標記的交易當作測試數據。采用這種方法,應用程序中必須有特定的計算機程序能夠識別出帶標記的交易,并且使這些交易既要更新應用系統的主文件,同時也要更新做檢測用的虛擬實體。現場交易作標記選擇和識別帶記號的交易測試數據有多種策略:第一,在源文件中或屏幕布局中包含一個專門的標識字段,用來表示一筆交易既為正常交易又為帶記號交易。由審計人員來選擇確定對哪些現場交易作標記,所選交易的特征可以與測試數據的設計相一致,也可以根據制定的抽樣計劃進行選擇。第二,在應用系統的程序中嵌入審計軟件模塊,利用審計軟件來選擇交易并給交易加標記使其成為帶記號交易。第三,在應用系統中嵌入抽樣程序,抽樣程序具有根據抽樣計劃給交易作標記,并使其成為帶記號交易的功能。不論采用何種策略,應用系統中必須有相應的處理程序,專門處理帶標記的交易。
2.自行設計測試數據
自行設計測試數據是將測試數據與現場交易數據一同輸入應用系統。采用這種方法,審計人員應當根據所要使用的測試數據特征設計并創建測試數據。自行設計測試數據的優點是覆蓋面廣,可全面測試系統;但設計和建立測試數據要花費一定的時間和費用。筆者認為,應用程序進行檢測時,首先要在應用程序的文件中建立一個虛擬實體,并讓應用程序處理該實體的審計測試數據。如果應用程序是工資系統,可在其數據庫中建立一個虛擬的職員資料庫;如果應用程序是存貨系統,可在其數據庫中建立一個虛擬的存貨項目。將帶標記的實際數據或模擬數據一同輸入應用程序和審計軟件進行處理,通過將應用程序對數據處理的結果同審計軟件處理的結果進行比較,可確定應用程序的處理和控制功能是否恰當、可靠。當應用程序非常龐大或復雜時,全面追蹤通過系統的不同執行路徑會有一定難度,審計人員對交易進行審查時,可以在應用系統的重要處理發生點嵌入軟件,當交易通過不同處理點時,嵌入軟件可捕捉交易的過程。為證實不同關鍵點的處理,審計人員使用軟件捕捉交易的前后過程,通過檢驗前后過程及其變換,評價交易處理的真實性、準確性和完整性。
主要參考文獻
[1]WayneMoreandDavidHendrey.ITAuditRenewal[J].InternalAuditor,l999,(4):17.
