探析信息系统审计的方法及要点
摘 要:信息技术向人们工作、生活的每一个角落发起全面的冲击,不仅改变着人们的行为方式,同时也改变人们的思维方式。审计这个以鉴证财务信息的真实、公允为核心的行业不可避免地受到信息技术飞速发展所带来的冲击与挑战,这种冲击不仅是技术上的,而且也迫使我们对传统审计的理解和认识重新审视。随着信息化水平的快速提高和信息安全建设的逐渐深入,如何建立信息系统安全审计制度,有效加强内部信息安全管理、信息系统安全风险控制,满足政策合规的要求,成为企事业单位面临的普遍问题。
关键词:信息系统 审计 内容 方法
信息系统审计是一种新的审计类型。信息系统成为被审单位内部管理和控制的重要手段和工具。信息系统的安全性、可靠性已经直接影响被审计单位的财务信息质量。
审计机关实施审计的信息很多来源于被审计单位的信息系统,这些信息系统是否安全、可靠和有效是审计工作顺利开展的重要前提。对信息系统审计已成为当今审计发展的大势所趋,越来越受到审计机关的重视。
一、 信息系统审计的概念
所谓信息系统审计,是指通过对被审单位信息系统的组成部分及其规划、研发、实施、运行、维护等过程进行审查,就被审计单位的信息系统的安全、可靠、有效和效率性以及信息系统能否有效地使用组织资源并帮助实现组织目标发表意见。信息系统审计的目标是对被审单位信息系统的安全、可靠、有效和效率以及能否有效地使用组织资源、实现组织目标等发表审计意见并提出改进建议。信息系统审计是非常重要的它是审计机关维护国家信息安全的重要手段;是新形势下防范审计风险的重要手段;是查处打击新型犯罪手段的重要手段。
二、信息系统审计的内容
信息系统审计的内容是由信息系统审计的对象所决定的,信息系统的审计对象是被审计单位的计算机信息系统及其相关内部控制措施,并覆盖信息系统生命周期的各个阶段。因此信息系统审计的内容主要由信息系统内部控制审计、信息系统组成部分
审计以及信息系统生命周期审计所组成。
㈠信息系统内部控制审计
根据内部控制在信息系统中的作用和范围不同把信息系统内部控制分为一般控制和应用控制。一般控制是适用于所有应用系统为应用系统提供环境上的保证,其目的在于保证所有的信息处理的准确性、完整性和可靠性。应用控制与具体的应用系统有关,其目的在于确保数据处理完整正确。
㈡信息系统组成部分的审计
信息系统由人、计算机硬件、系统软件、应用软件所组成。由于硬件、系统软件的可靠程度较高,因此这部分审计以应用软件审计为主要内容。应用程序是信息系统的核心,其对经济业务的处理是否正确,直接关系到信息系统的可靠性。
㈢信息系统生命周期的审计
信息系统的生命周期包括信息系统的规划、开发、设计、编码、测试等全过程,直接关系着信息系统的质量,因此应对信息系统的生命周期过程及其文档进行审计。
三、信息系统审计的主要技术方法
信息系统审计过程分为准备阶段、实施阶段和终结阶段,其中准备阶段和终结阶段的技术方法与一般审计无很大区别。审计
实施阶段的信息系统审计技术方法分为了解、描述和测试的方法。
㈠信息系统了解的方法
信息系统的调查了解方法在信息系统审计的各项内容中都能用到,包括:①询问法。是指与被审计单位人员面对面交谈,询问有关情况以收集审计证据的方法。询问前应收集相关的背景资料,确定合适的询问对象,询问过程中应做好记录并要求被询问对象签字。询问后应对谈话的内容进行评价和总结。②检查法。主要是检查与信息系统有关的文档,以了解信息系统的总体情况、控制情况以及开发设计情况等,为得出审计结论收集审计证据。检查中应做好相应记录并将检查过程和结果记入工作底稿中。③观察法。是审计人员对信息系统的物理环境、硬件设施和办公场所,对信息系统的开发设计、构成和操作情况进行了解,对控制措施的实施进行实地查看的方法。观察前应确定观察对象
的位置和陪同人员,观察过程中做好记录并对观察结果进行评价和总结。
㈡信息系统描述的方法
信息系统描述的方法包括文字描述法、表格描述法和图形描述法,在使用过程中各种描述方法可以搭配使用。①文字描述法。是指对被审计单位的信息系统功能、结构、控制政策措施以及生命周期过程等在了解的基础上,通过文字来进行描述的方法。②表格描述法。是审计人员运用标准的或自行设计的表格,对信息系统的有关情况进行描述的方法。③图形描述法。是指审计人员对信息系统的组织结构、功能、生命周期以及业务处理流程等用图形的方式来加以描述的方法。
㈢信息系统测试的方法
信息系统测试的方法是信息系统审计中独有的技术方法,主要是一些计算机辅助方法,主要包括:①测试数据法。是指审计人员设计一套虚拟的业务数据,将其输入到计算机中,观察比较输出是否与预期相符。如果相符,说明内部控制存在并符合既定要求或应用程序正确。②平行模拟法。是指审计人员开发一个与被审计单位信息系统或程序模块功能完全相同的模拟系统,将被审计单位的真实数据放入模拟系统中运行,观察其输出是否与被审计单位信息系统相一致。③嵌入审计模块法。是在被审计单位的信息系统中加入为审计而编写的程序代码。嵌入的模块成为信息系统的组成部分,并可以在特定的时间间隔或是条件触发时为审计人员提供有关数据和报告。④虚拟实体法。是对测试数据法的改良,一般是在信息系统中建立虚拟的实体,然后将虚拟实体的有关数据与真实的数据一起输入信息系统进行处理,最后将虚拟实体的输出结果与预期进行比较,确定信息系统的控制功能是否发生作用。⑤受控处理法。是指审计人员在对被审计单位的真实业务数据在处理之前先进行核实,核实之后在被审计单位的信息系统桑监督处理或亲自处理,并将处理结果与预期结果进行比较分析,以判断被审计单位的系统是否符合规定的要求。⑥受控再处理法。是将已经由被审计单位处理过的真实数据,在审计人员的监督下,或由审计人员亲自在相同的信息系统或以前保存的程序副本上再处理一次,将二次处理的结果与以前处理的结果相比较,判断当前的信息系统程序是否符合既定要求。⑦程序代码检查法。是通过检查源程序代码的内部运行逻辑来发现存在的问题,并对程序是否符合规章制度的规定、能否完成预定功能及其质量进行评判的方法。
参考文献:
1、《信息系统审计内容与方法》执笔:庄明来 吴沁红 李俊 中国时代经济出版社
2、《信息系统审计:审计发展的新路径》中国审计2008年第3期
3、《信息系统审计》作者:张金城 清华大学出版社 2009-3-1