高校信息系統(tǒng)審計論文范文

本站小編為你精心準備了高校信息系統(tǒng)審計論文參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

一、信息系統(tǒng)審計的主要內容

（一）信息系統(tǒng)審計的定義。中國內部審計協(xié)會（2014）認為信息系統(tǒng)審計是指“內部審計機構和內部審計人員對組織的信息系統(tǒng)及其相關的信息技術內部控制和流程所進行的審查與評價活動”。按照上述定義，信息系統(tǒng)審計的重點跟傳統(tǒng)審計一樣，還是專注于內部控制與流程，但關注點不同，信息系統(tǒng)審計的關注點是信息系統(tǒng)的控制和流程，而不僅僅只關注相關的制度和規(guī)范。

（二）信息系統(tǒng)審計的目標。信息系統(tǒng)審計和控制聯(lián)合會（ISACA）COBIT框架認為組織內部的信息系統(tǒng)需求三原則是：質量、成本和安全，即在保證信息系統(tǒng)滿足組織需求的前提下，盡可能避免組織內外部風險，并減少研發(fā)和維護成本。因此信息系統(tǒng)審計的目標就是對組織信息系統(tǒng)的運行的可靠性，數據的真實性和安全性提供評價。

（三）信息系統(tǒng)審計的步驟。由于大多數高校內審機構在“數字化校園”開發(fā)階段并沒有參與其中。本文所述的信息系統(tǒng)審計專指信息系統(tǒng)運行維護階段的審計。

1.審計準備階段。信息系統(tǒng)審計準備階段步驟與傳統(tǒng)審計類似，通過從被審計單位獲取相關信息系統(tǒng)管理的規(guī)章制度，找負責系統(tǒng)維護管理的工作人員座談，實地觀察等方式，完成審前調查，進行風險評估、初步確定審計重點和制定審計實施方案等工作。

2.審計實施階段。信息系統(tǒng)審計在實施階段分為兩部分，分別為信息系統(tǒng)一般控制審計和應用控制審計。一般控制審計往往比應用控制審計更為重要，因為應用控制的有效性常常受到一般控制的影響。根據審計項目不同，審計人員可以只實施一般控制審計或者兩者結合進行審計。（1）一般控制審計。一般控制審計又可以分為硬件和軟件兩部分，兩部分的審計重點和方法有所不同，分別為：對硬件的審計通過實地觀察法實施，主要有審計網絡接口是否安全，是否有硬件防火墻，硬件設備存放環(huán)境是否安全，防火、防雷、防盜措施是否完備，是否裝備了UPS，在硬件出現故障時是否制定了應急響應計劃等。對軟件的審計通過抽樣、觀察和面談實施，審計重點為：一是系統(tǒng)管理控制，主要有系統(tǒng)設定的職責分離是否合理，授權管理是否充分，是否做到一個系統(tǒng)賬戶對應一個工作人員，是否確保了只有被授權的用戶才能對特定資源和數據進行訪問等；二是軟件安全控制，主要有是否安裝了殺毒軟件，軟件是否定時升級，未經授權的軟件能否安裝，是否有系統(tǒng)操作規(guī)范等；三是數據管理控制，主要有數據傳輸是否加密，系統(tǒng)數據是否定期備份，有無冗余備份，數據修改是否按照規(guī)定程序進行審核，向外部傳輸系統(tǒng)數據是否有身份認證，是否定期對數據質量進行檢查等。（2）應用控制審計。信息系統(tǒng)應用控制是指為保證應用程序處理數據時按照組織流程運行，確保數據的完整性和真實性的控制，包括輸入控制、處理控制、輸出控制三部分。輸入控制包括輸入授權、數據轉換和編輯校驗，處理控制包括運行總數控制、計算機匹配和批處理控制，輸出控制包括復核系統(tǒng)處理日志、審核輸出文本、審核程序。對應用控制的審計，主要通過分析性復核和計算機輔助模擬的方法，審計重點為信息系統(tǒng)業(yè)務的控制點設置是否合理，數據處理程序最多運行數，是否有審核系統(tǒng)日志程序等。

3.報告階段。內審人員根據實施階段編制的工作底稿，出具審計報告初稿，與被審單位充分溝通后，修改審計報告，報相關層級領導審核后，簽發(fā)正式審計報告。

二、高校做好信息系統(tǒng)審計的措施

1.轉變觀念，提高開展信息系統(tǒng)審計必要性的認識。“數字化校園”建成以后，高校內部控制環(huán)境已經悄然發(fā)生改變，內部審計要想充分發(fā)揮其獨有的管理評價職能，必須迎頭而上，及時開展信息系統(tǒng)審計。不少內審機構認為信息系統(tǒng)審計專業(yè)性太強，無從著手，實際上信息系統(tǒng)審計的核心并沒有改變，還是對信息系統(tǒng)控制的評價，并沒有超出審計人員專業(yè)知識的范疇。

2.結合實際，建立信息系統(tǒng)審計的體系。當前，國際上已經有比較成熟的關于信息系統(tǒng)審計的體系，那就是信息系統(tǒng)審計和控制聯(lián)合會（ISACA）COBIT體系，但完全照搬肯定是不行的，在實際操作中，內審機構必須結合國情、校情，進行修訂更改，出臺符合自身工作實際的、具備可操作性的信息系統(tǒng)審計體系，以規(guī)范審計工作。

3.加強對內審人員的培養(yǎng)。內審機構可以通過以下方式提高內審人員業(yè)務素質：一是鼓勵內審人員取得CISA資格。由ISACA頒發(fā)國際信息系統(tǒng)審計師（CISA）執(zhí)業(yè)證書是唯一在國際上獲得認可的證書，具有很強的權威性。二是在聘請外部審計機構進行信息系統(tǒng)審計的同時，讓內審人員參與其中，做到邊實踐邊總結，起到“以審帶練”的作用。

4.在現有“數字化校園”平臺的基礎上，提供計算機輔助審計軟件接口。“數字化校園”的建成，為內部審計實現審計方式的轉變提供了可能。通過軟件接口，內部審計能夠隨時監(jiān)控學校各部門執(zhí)行制度和程序情況，實現事中審計，更好地發(fā)揮內部審計職能。

作者：李濤單位：襄樊職業(yè)技術學院監(jiān)察審計處