第一篇：論計算機信息系統(tǒng)下的審計

論計算機信息系統(tǒng)下的審計

中注協在1999年7月1日發(fā)布了獨立審計具體準則第20號——計算機信息系統(tǒng)環(huán)境下的審計，這個準則是針對審計客戶使用財務軟件對審計的具體目標、符合性測試和實質性測試所產生的影響的問題。在企業(yè)日益發(fā)展，交易日益擴大和復雜的情況下，傳統(tǒng)的手工審計已越來越不能適應現代的審計的需要，此文意在為事

務所在應用計算機技術來解決會計電算化所出現問題方面提供一些思路。

一、微機在審計中的應用

在計算機信息系統(tǒng)下，微機可以在以下方面幫助注冊會計師審計：

l描繪客戶系統(tǒng)的流程圖，有專門的流程圖軟件可以使用。

2．估計審計風險。

3準備審計程序。

4分析性復核。

5準備審計工作底稿。

軟件有兩種：

1.一般的商業(yè)軟件。用的比較多是woRD和ExcEL。

2專門編寫的軟件。大的會計師事務所，如五大，會聘請專門的編程人員編寫一些軟件，比如：如審計程序的數據庫，在需要時可以考備進審計方案專門用來估計審計風險和確定審計測試水平的軟件。

二、注冊會計師在審計中應用計算機軟件,如果使用不當的軟件、注冊會計師會很容易受到訟訴。

三、會計電算化對審計的挑戰(zhàn)

注冊會計師應認識到客戶的會計資料電算化對審計的審計具體目標、符合性測試和實質性測試的影響。這些影響主要表現在1.控制集中在計算機部門會計核算程序的統(tǒng)一和使用計算機資源的需要使控制集中在計算機部門，這樣會出現資料被故意和惡意破壞而其它部門不知情。大多數客戶通過分散責任來使非計算機部門能確認資料的準確性，但是注冊會計師在制定審計計劃時應充分關注這種控制是否充分，尤其是在這種控制過于集中在計算機部門的時候。

2.缺乏原始記錄

在一些系統(tǒng)下，傳統(tǒng)的日記帳不存在，而在其它系統(tǒng)下原始文件可能就沒有。比如在熱線系統(tǒng)下，操作員在電話中收到一個訂單，他可能通過一個終端立即把相關的資料輸入電腦。在這種情況下注冊會計師可能無法追綜到原始的資料。

3.缺乏審計軌跡

現在系統(tǒng)在設計時就盡量減少打印出來的資料，企業(yè)的控制是通過“例外報告”來實施，這樣完整的打印出來的資料注冊會計師無法得到，也就無法從會計報表追綜到原始資料，反之亦然。

4．審計所需要的資料被覆蓋

軟盤或硬盤里的資料不斷被新的資料所覆蓋。所以注冊會計師不得不定期訪問客戶以獲得不同時點的企業(yè)的資料。

5.程序控制的不斷改變

注冊會計師在信賴客戶的程序前應檢測該控制。而客戶的計算機程序控制是不斷改變，舊的程序不斷被覆蓋，所以年終的程序未必能代表本年的程序控制情況。所以注冊會計師應定期檢驗和測試客戶的程序控制情況。

6.依賴專家的工作

計算機的廣泛使用要求注冊會計師應能夠審計電算化的會計資料。有一些大的公司在聘請內部審計工作已開始聘用計算機人員而不是會計師．而事務所培訓本所的審計人員以精通地掌握計算機是不大現實的，這就注定事務所將在越來越大的程度依賴專家的工作。

四．計算機技術在審計中的應用

有兩種計算機技術在審計中可以應用，一是審計軟件。二是測試數據。

(一)審計軟件

軟件分為三種一般市場上可以購買到的軟件；事務所聘請軟件公司或本所自己開發(fā)的軟件；客戶的測試軟件

注冊會計師在符合性測試和實質性測試中可以大量利用這些軟件，尤其是在實質性測試利用這些軟件來快速地瀏覽客戶的交易并提取出需要注冊會計師手工測試的部分。具體包括以下這些工作：

1.計算復核。

2.出違反系統(tǒng)規(guī)則交易。

例如：用審計軟件發(fā)現違反應付帳款超過規(guī)定的信用限額的交易。

3.發(fā)現異常的項目。例如用審計軟件發(fā)現某筆交易給了客戶50％的折扣。

4.計算。

5.選擇需要測試的項目。例如用審計軟件用統(tǒng)計的方法去確定需要發(fā)詢證函的項目。

6.完整性的測試

例如檢查發(fā)票的連續(xù)性以檢查是不是所有的交易都已反映。

但是在使用審計軟件過程中，注冊會計師會遇到以下這些難點：

1．成本昂貴、2.客戶系統(tǒng)不斷改變、3.有些軟件不適用于微機、4．有些審計軟件過于復雜、5.需檢查測試中的文件的版本同審計軟件是否兼容。

注冊會計師如果直接在客戶微機上使用審計軟件應非常小心，必需在使用之前測試審計軟件。如果使用客戶的拷備文件，注冊會計師應肯定拷備文件與原本完成一致。

(二)數據測試

審計數據測試是指注冊會計師把數據輸入客戶的計算機系統(tǒng)里以檢測客戶的手工控制和程序控制。數據測試一般是用來作為應用測試的符合性測數據測試包括以下三種：

應實施的控制

l文件備份。

文

件備份的工作應該定期舉行，至少每天一次。審計完成后，審計資料的軟盤應備份到至少兩到三份，而且應作好軟盤的保存工作。

2文件的安全。

應制定一定的制度，規(guī)定只有經過授權的人才可以接觸到審計資料并盡量使用密碼。

3保存必要的書面資料。

客戶在使用計算機時未必會書面保存計算機里的資料。注冊會計師在審計中應要求客戶

打印出審計所需要的文件并保存。

4軟件的測試。

在使用審計軟件前，事務所應測試審計

1．“活數據”測試

注冊會計師使用已經處理過的數據來作測試.注冊會計師在作測試前已知道把數據輸入客戶的計算機系統(tǒng)會有什么結果。然后注冊會計師對比預測的結果和實際結果并調查差異。這種方法并不是太可行，因為用于測試的數據必須是正常、異常的或是荒謬的。而來自日常運作的數據通常不具有這些特點。

2．在正常運作中使用“死數據”

注冊會計師按已知條件構建一系列的交易。這些交易同正常的數據一起運作，實際的結果同預期結果進行比較。這種方法能夠產生模擬的測試環(huán)境，因為客戶的實際軟件和數據都同注冊會計師構建的交易一起運作。然而這種方法很危險，輸入的資料必須刪除這將非常費時并需要修改程序。如果輸人的資料破壞了客戶的會計資料，那么將會是有諷刺意義。

3．在特殊運作中使用“死數據”

在這種運作中的數據是同以上第二種模式的數據是相同的，只是數據是運作在客戶的資料庫的考備文件。這樣，第二種方式中的短處可以消除，但是注冊會計師卻需要肯定考備文件同原始文件是一致的。

但是使用數據測試有以下幾點難處

1．成本

這包括構建模擬交易的成本、預期測試結果的成本和確定控制的成本。

2局限性

數據測試的目的只用于測試內部控制。因此比審計軟件的用處要小些。

3．記錄

使用數據測試未必會留下所作審計工作的記錄，所以注冊會計師應記下所測試的控制、測試的過程、所用的交易和資料、預期的結果、實際和預期比較的情況。

其它困難在介紹以上三種方法已介紹過。這里不再重復。

(三)其它計算機審計技巧

l.植入的審計軟件

事務所在征得客戶的同意后，把審計軟件短期或長期植人客戶的計算機系統(tǒng)里。這種軟件可以使客戶的數據在運行中被審計軟件檢測，這是真正的同步審計這種審計在審計軌跡不充分或客戶的資料不斷被更新的情況尤其適用。它可以用于以下三個目標：1.把注冊會計師日后需要審計的文件進行存盤。2.檢查正在處理的文件的正確性。3.將注冊會計師預先設定的條件需關注的和保存的文件。

2．系統(tǒng)軟件數據分析

絕大多數的系統(tǒng)軟件都提供把同計算機相關的信息保存的功能。例如把進入者無效的密碼，未授權者試圖進入系統(tǒng)的情況，電腦操作者干擾電腦情況記錄下來。注冊會計師在進行一般控制的時候，可以通過資料的分析來取得證據。

3．應用程序的檢測

這涉及到注冊會計師詳細檢測客戶的程序指令。這可以通過手工測試或專門的軟件來進行。注冊會計師想測試程序是否以它應該運作的方法在運作。比如：注冊會計師檢測某一用來計算復雜的折扣計算的程序是否運作正常。

4．平行運作

事務所也設計一套程序同客戶的程序功能一致所以相同的資料應該得到同樣的結果，否則一般就是客戶的程序有問題。

5追綜

追綜就是從頭至尾追綜一筆交易看程序指令運作的情況。

計算機對注冊會計師審計的影響是深遠的，這一點在未來的幾年、甚至是現在已越來越深刻地表現出來。計算機在審計中的應用會提高審計效率減少審計的工時，降低審計的風險。因此建議有條件的事務所可以從以下幾方面入手：

l.聘用計算機人員

2.嘗試市場已有的審計軟件軟件,如果使用不當的軟件、注冊會計師會很容易受到訟訴。

3.所內的專業(yè)技術部作這方面的研究；

4．加強對員工的計算機方面的培訓；

5．合理地利用專家的工作。

第二篇：信息系統(tǒng)審計

1、信息系統(tǒng)審計的概念，內容，流程？

答：（1）概念信息系統(tǒng)審計是指根據公認的標準和指導規(guī)范，對信息系統(tǒng)從規(guī)劃、實施到運行維護各個環(huán)節(jié)進行審查評價，對信息系統(tǒng)及其業(yè)務的完整性、有效性、效率性、安全性等進行監(jiān)測、評估和控制的過程，以確定預定的業(yè)務目標得以實現，斌提出一系列改進建議的管理活動。

（2）內容：主要包括內部控制系統(tǒng)審計、系統(tǒng)開發(fā)審計、應用程序審計、數據文件審計等。a.內部控制系統(tǒng)審計。信息系統(tǒng)的內部控制系統(tǒng)由兩個子系統(tǒng)構成：一是一般控制系統(tǒng)，它是系統(tǒng)運行環(huán)境方面的控制，為應用程序的正常運行提供外圍保障。另一子系統(tǒng)是應用控制系統(tǒng)，它是針對具體的應用系統(tǒng)和程序而設置的各種控制措施。

b.系統(tǒng)開發(fā)審計。是指對信息系統(tǒng)開發(fā)過程所進行的審計，這是一種事前審計。

c.應用程序審計。其決定了數據處理的合規(guī)性、正確性。對應用程序的審計，可以對程序直接進行審查，也可以通過數據在程序上的運行進行間接測試。

d.數據文件審計。在信息系統(tǒng)中，各種憑證、賬簿及報表中的數據均以數據文件的形式存儲在硬盤或軟盤等存儲介質中，對數據文件進行審計，可以將該文件打印出來進行檢查，也可以在計算機內直接進行審查。

（3）流程：主要的分為準備階段、實施階段、終結階段。

a.準備階段：

1、明確審計任務。

2、組成信息系統(tǒng)審計小組。

3、了解被審計系統(tǒng)的基本情況。

4、制定信息系統(tǒng)審計方案；

b.實施方案：

1、對被審計系統(tǒng)的內部控制制度進行健全性調查和符合性測試。

2、對帳表單證或數據文件的實質性審查；

c.終結階段：

1、整理歸納審計資料。

2、撰寫審計報告。

3、發(fā)出審計結論和決定。

4、審計資料的歸檔和管理。

2、常見的IT治理標準有哪些，各自的作用是什么？

答：常見的IT治理標準有ITIL，COBIT，BS 7799，PRINCE2。

（1）ITIL（Information Technology Infrastructure Library），即信息技術基礎構架庫，一套被廣泛承認的用于有效IT服務管理的時間準則。1980年以來，英國政府商務辦公室為解決“IT服務質量不佳”的問題，逐步提出和完善了一整套對IT服務的質量進行評估的方法體系。

（2）COBIT，（Control Objectives for Information and related Technology）：信息和相關技術的控制目標。它是由信息系統(tǒng)審計與控制協會，于1996年推出的用于IT審計的知識體系。作為IT治理的核心模型，其包括34個信息技術過程控制，并歸集為IT規(guī)劃和組織、系統(tǒng)獲得和實施、交付與支持以及信息系統(tǒng)運行性能監(jiān)控4個領域。目前COBIT是國際上公認的IT管理與控制標準。

（3）BS 7799（ISO/IEC17799）：國際信息安全管理標準體系。該標準包括信息系統(tǒng)安全管理和安全認證兩大部分，是參照英國國家標準BS 7799而來的。它是一個詳細的安全標準，包括安全內容的所有準則，由10個獨立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。該體系主要解決企業(yè)的信息安全管理上的問題，為企業(yè)提供了一個完整的管理框架，不斷改進信息安全管理水平，使機構或企業(yè)的信息安全以最小代價達到需要的水準。

（4）PRINCE2（Projects In Controlled Environments）是一種對項目管理的某些特定方面提供支持的方法。PRINCE2描述了一個項目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個項目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對具體項目的管理，還覆蓋了在組織范圍對項目的管理。

3、常見的信息系統(tǒng)開發(fā)方法，對其中的一到兩種展開說明？

答：常見的信息系統(tǒng)開發(fā)方法有軟件開發(fā)生命周期法、原型法、面向對象法、計算機輔助開發(fā)方法、基于組件的開發(fā)方法、基于Web應用開發(fā)方法。以下對軟件開發(fā)生命周期法進行

說明。

軟件開發(fā)生命周期法（Software Development Life Cycle，SDLC）是系統(tǒng)分析員和系統(tǒng)開發(fā)者常用的軟件開發(fā)方法。軟件開發(fā)生命周期法能夠生產高質量的軟件，滿足業(yè)務和用戶的需求，在開發(fā)進度和成本控制下進行軟件開發(fā)生產，是一種有效保證成本，提高效益的軟件開發(fā)方法。通過應用傳統(tǒng)的SDLC方法，已經成功開發(fā)出了大量的業(yè)務應用系統(tǒng)。其各個階段及其基本內容如下：

1、第一階段——可行性研究。確定實施系統(tǒng)在提高生產效率或未來降低成本方面的戰(zhàn)略利

益，確定和量化新系統(tǒng)可以節(jié)約的成本，評價新系統(tǒng)的成本回收期。

2、第二階段——需求定義。一是定義需要解決的問題，二是定義所需的解決方案及方案應

當具有的功能和質量要求。該階段還要確定是采用定制開發(fā)的方法還是供應商提供的軟件包。

3、第三階段A——系統(tǒng)設計（當決定自行開發(fā)軟件時）。以需求定義為基礎，建立一個系

統(tǒng)基線和子系統(tǒng)的規(guī)格說明，以描述系統(tǒng)功能如何實現，各個部分之間接口如何定義，系統(tǒng)如何使用已選擇的硬件、軟件和網絡設施等。

4、第三階段B——系統(tǒng)獲?。ó敍Q定購買現成軟件包時）。以需求定義為基礎，向軟件供

應商發(fā)出請求建議書（RFP）。商品軟件的選擇要從多方面進行考慮。

5、第四階段A——系統(tǒng)開發(fā)（當決定自行開發(fā)軟件時）。使用系統(tǒng)設計說明書來設計編程

和實現系統(tǒng)過程。在這個階段，要進行各個層次的測試，以驗證和確認開發(fā)的系統(tǒng)。

6、第四階段B——系統(tǒng)配置（當決定購買現成軟件包時）。如果決定選用商品化的軟件包

時，需要按照企業(yè)的需求進行系統(tǒng)客戶化工作，對系統(tǒng)進行剪裁。這種剪裁最好是通過配置系統(tǒng)參數來實現，而不是通過修改程序源代碼。

7、第五階段——系統(tǒng)實施。這個階段是在最終用戶驗收測試完成、用戶簽署正式文件后進

行。系統(tǒng)還需要通過一些認證和鑒定過程，來評價應用系統(tǒng)的有效性。

8、第六階段——實施后維護。隨著一個新系統(tǒng)或徹底修改的系統(tǒng)的成功實施，應當建立正

式的程序來評估系統(tǒng)的充分性和評價成本效益或投資回報。這樣可為后續(xù)的系統(tǒng)開發(fā)項目管理提供改進意見。

當一個項目的需求穩(wěn)定、定義準確時，生命周期法使用起來最有效，改方法適用于在開發(fā)工作的早期建立總體的系統(tǒng)構架。

4、IT服務管理的定義，包括哪些內容？

答：（1）IT服務管理（IT Service Management，ITSM）有以下兩種使用比較廣泛的定義：

1、IT服務管理是一種以流程為導向、以客戶為中心的方法。它通過整合IT服務于企業(yè)業(yè)

務，提高了企業(yè)的IT服務提供和服務支持的能力和水平。

2、IT服務管理是一套通過SLA（服務級別協議）來保證IT服務質量的協同流程。它融合了系統(tǒng)管理、網絡管理、系統(tǒng)開發(fā)管理等管理活動以及變更管理、資產管理、問題管理等許多流程理論和實踐。

（2）ITIL主題框架包括6個主要模塊，即服務管理、業(yè)務管理、ICT（信息與通信技術）基礎設施管理、貫穿業(yè)務和IT基礎設施的應用管理、IT服務管理實施規(guī)劃和集中的安全管理。

08信息2班0804100229徐怡

第三篇：信息系統(tǒng)審計重點

信息系統(tǒng)審計

電子計算機在數據處理的發(fā)展過程可分為三個階段：數據的單項處理階段、數據的綜合處理階段、數據的系統(tǒng)處理階段。

數據處理電算化以后，對傳統(tǒng)的審計產生了巨大的影響，主要表現在：

1、對審計線索的影響~~~~

2、對審計方法和技術的影響~~~~~~

3、對審計人員的影響~~~~~

4、對審計準則的影響~~~~~~ 信息系統(tǒng)審計的定義：信息系統(tǒng)審計是根據公認的標準和指導規(guī)范，對信息系統(tǒng)從規(guī)劃、實施到運行維護各個環(huán)節(jié)進行審查評價，對信息系統(tǒng)及其業(yè)務應用的完整性、有效性、效率性、安全性等進行檢測、評估和控制的過程，以確認預訂的業(yè)務目標得以實現，并提出一系列改進建議的管理活動。

信息系統(tǒng)的主體：有勝任能力的信息系統(tǒng)獨立審計機構或人員 信息系統(tǒng)審計的對象：被審計的信息系統(tǒng)

信息系統(tǒng)審計工作的核心：客觀地收集和評估證據

信息系統(tǒng)審計的目的是評估并提供反饋、保證及建議。關注之處被分為三類：可用性、保密性、完整性。

信息系統(tǒng)審計的特點：審計范圍的廣泛性、審計線索的隱蔽性、易逝性、審計取證的動態(tài)性、審計技術的復雜性。（真是為一道簡答題。在P6，詳細看一下各段內容，概括下再答題）信息系統(tǒng)審計目標：

1、保護資產的完整性

2、保證數據的準確性

3、提高系統(tǒng)的有效性

4、提高系統(tǒng)的效率性

5、保證信息系統(tǒng)的合規(guī)性與合法性

信息系統(tǒng)的主要內容：內部控制系統(tǒng)審計（分為一般控制系統(tǒng)、應用控制系統(tǒng)，對信息系統(tǒng)的內部控制系統(tǒng)進行審計的目的是在內部控制審計的基礎上對信息系統(tǒng)的處理結果進行審計、加強內部控制，完善內部控制系統(tǒng)）系統(tǒng)開發(fā)審計(信息系統(tǒng)開發(fā)審計是對信息系統(tǒng)開發(fā)過程進行的審計，審計目的一是要檢查開發(fā)的方法、程序是否科學，是否含有恰當的控制；二是要檢查開發(fā)過程中產生的系統(tǒng)文檔資料是否規(guī)范。)應用程序審計（審查應用程序有兩個目的，意識測試應用控制系統(tǒng)的符合性，二是通過檢查程序運算和邏輯的正確性達到實質性測試目的）數據文件審計（審計目的一是對數據文件進行實質性測試，二是通過數據文件的審計，測試一般控制或應用控制的符合性，但主要是為了實質性測試）（這是道簡答題，在P8各個小概括下）

信息系統(tǒng)審計的基本方法：繞過信息系統(tǒng)審計、通過信息系統(tǒng)審計 信息系統(tǒng)審計的步驟（大題P11）：

準備階段：明確審計任務，組成信息系統(tǒng)審計小組，了解被審計系統(tǒng)的基本情況，指定信息系統(tǒng)審計方案，發(fā)出審計通知書 實施階段：對被審計系統(tǒng)的內部控制制度進行健全性調查和符合性測試，對賬表單證或數據文件的實質性審查

終結階段：整理歸納審計資料，撰寫審計報告，發(fā)出審計結論和決定，審計資料的歸檔和管理

國際信息系統(tǒng)審計準則：由信息系統(tǒng)審計與控制協會（ISACA）頒布和實施的。ISACA是國際上唯一的信息系統(tǒng)審計專業(yè)組織，通過制定和頒布信息系統(tǒng)審計標準、指南和程序來規(guī)范審計師的工作，它由三個層次構成： 審計標準（審計標準是整個信息系統(tǒng)準則體系的總綱，是制定審計指南和作業(yè)程序的基礎和依據）審計指南（審計指南為審計標準的應用提供了指引，信息系統(tǒng)審計師在審計過程中應考慮如何應用指南以實現審計標準的要求，在應用過程中靈活運用專業(yè)判斷并糾正任何偏離準則的行為）

作業(yè)程序（作業(yè)程序提供了信息系統(tǒng)審計師在審計過程中可能遇到的審計程序的示例）信息系統(tǒng)審計師應具備的素質（大題P18-19）

應具備的理論知識:傳統(tǒng)審計理論、信息系統(tǒng)管理理論、計算機科學、行為科學理論

應具有的實踐技能：參加過不同類別的工作培訓、參與專業(yè)的機構或廠商組織的研討會，動態(tài)掌握信息技術的新發(fā)展對審計實踐的影響、具有理解信息處理活動的各種技術、理解并熟悉操作環(huán)境，評估內部控制的有效性、理解現有與未來系統(tǒng)的技術復雜性，以及它們對各級操作與決策的影響、能使用技術的方法去識別系統(tǒng)的完整性、要參與評估與使用信息技術相關的有效性、效率、風險等、能夠提供審計集成服務并為審計員工提供指導，與財務審計師一起對公司財務狀況做出說明、具備系統(tǒng)開發(fā)方法論、安全控制設計、實施后評估等、掌握網絡相關的安全實踐、信息安全服務、災難恢復與業(yè)務持續(xù)計劃、異步傳輸模式等通信技術。IT治理定義：德勒定義：IT治理是一個含義廣泛的概念，包括信息系統(tǒng)、技術、通信、商業(yè)、所有利益相關者、合法性和其他問題。其主要任務是保持IT與業(yè)務目標一致，推動業(yè)務發(fā)展，促使收益最大化，合理利用IT資源，IT相關風險的適當管理。

IT治理必須與企業(yè)戰(zhàn)略目標一致，IT對于企業(yè)非常關鍵，也是戰(zhàn)略規(guī)劃的組成，影響戰(zhàn)略競爭；IT治理和其他治理主體一樣，是管理執(zhí)行人員和利益相關者的責任（以董事會為代表）；IT治理保護利益相關者的權益，使風險透明化，指導和控制IT投資、機遇、利益、風險；IT治理包括管理層、組織結構、過程，以確保IT維護和拓展組織戰(zhàn)略目標；應該合理利用企業(yè)的信息資源，有效的集成與協調；確保IT及時按照目標交付，有合適的功能和期望的收益，是一個一致性和價值傳遞的基本構建模塊，有明確的期望值和衡量手段；引導IT戰(zhàn)略平衡系統(tǒng)的投資，支持企業(yè)，變革企業(yè)，或者創(chuàng)建一個信息基礎架構，保證業(yè)務增長，并在一個新的領域競爭。

IT治理和IT管理的關系：IT管理是在既定的IT治理模式下，管理層為實現公司的目標二采取的行動，IT治理規(guī)定了整個企業(yè)IT運作的基本框架，IT管理則是在這個既定的框架下駕馭企業(yè)奔向目標。缺乏良好IT治理模式的公司，即使有很好的IT管理體系，就想一座地基不牢固的大廈；同時，沒有公司IT管理體系的流暢，單純的治理模式也只能是一個美好的藍圖，而缺乏實際的內容。

公司治理和IT治理：公司治理，驅動和調整IT治理。同時，IT能夠提供關鍵的輸入，形成戰(zhàn)略計劃的一個重要組成部分，即IT影響企業(yè)的戰(zhàn)略競爭機遇。IT治理標準：ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型：不存在、初始級、可重復級、已定義級、已管理級、已優(yōu)化級（主要內容及其作用在P47-48）

信息系統(tǒng)內部控制：是一個單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務活動的有效進行，保護資產的安全與完整，防止、發(fā)現、糾正錯誤與舞弊、確保信息系統(tǒng)提供信息的真實、合法、完整，而制定和實施的一系列政策與程序措施。凡是與信息系統(tǒng)的建立、運作維護、管理和業(yè)務處理有關的部門、人員和活動，都屬于信息系統(tǒng)內部控制的對象，可分為一般控制和應用控制。

信息系統(tǒng)一般控制是應用于一個單位信息系統(tǒng)全部或較大范圍的內部控制，其基本目標為保證數據安全、保護計算機應用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的繼續(xù)運行等。

信息系統(tǒng)應用控制是用于對具體應用系統(tǒng)的控制，一個應用系統(tǒng)一般由多個相關計算機程序組成，有些應用系統(tǒng)可能是復雜的綜合系統(tǒng)，牽涉到多個計算機程序和組織單元，與此相對應，應用控制包括包含在計算機編碼中的日常控制及與用戶活動相關的政策和流程。良好的一般控制是應用控制的基礎，可以為應用控制的有效性提供有力的保障，某些應用控制的有效性取決于計算機整體環(huán)境控制的有效性。當計算機整體環(huán)境控制薄弱時，應用控制就無法真正提供合理保障。如果一般控制審計結果很差，應用控制審計結果很差，應用控制審計就沒有進行的必要。

審計邏輯訪問安全策略：知所必需原則

審查離職員工的訪問控制：請辭、聘用合同期滿和非自愿離職 數據庫加密：一般采用公開密鑰加密方法 系統(tǒng)訪問控制及其審計：系統(tǒng)訪問就是利用計算機資源達到一定目的的能力，對計算機化的信息資源的訪問可以基于邏輯方式，也可以基于物理方式。物理訪問控制可以限制人員進出敏感區(qū)域。對計算機信息的物理訪問與邏輯訪問應當建立在“知所必需”的基礎上，按照最小授權原則和職責分離原則來分配系統(tǒng)訪問權限，并把這些訪問規(guī)則與訪問授權通過正式書面文件記錄下來，作為信息安全的重要文件加以妥善管理。身份識別與驗證（簡答題P65-66）：邏輯訪問控制中的身份識別與驗證是一種提供用戶身份證明的過程，在這個過程中，用戶向系統(tǒng)提交有效的身份證明，系統(tǒng)驗證這個身份證明后向用戶授予訪問系統(tǒng)的能力?？煞譃槿悾骸爸挥心阒赖氖虑椤薄爸挥心銚碛械臇|西”“只有你具有的特征” 例子：賬號與口令、令牌設備、生物測定技術與行為測定技術。邏輯訪問授權：一般情況下邏輯訪問控制基于最小授權原則，支隊因工作需要訪問信息系統(tǒng)的人員進行必要的授權。當用戶在組織變換工作角色時，在賦予他們新訪問權限時，一般沒有及時取消舊的訪問權限，這就會產生訪問控制上的風險。所以當員工職位有變動時，信息系統(tǒng)審計師就要及時審核訪問控制列表是否做了有效變更。災難恢復控制及其審計：信息系統(tǒng)的災難恢復和業(yè)務持續(xù)計劃是組織中總的業(yè)務持續(xù)計劃和災難恢復計劃的重要組成部分?；謴筒呗耘c恢復類型：熱站、溫站、冷站、冗余信息處理設施、移動站點、組織間互惠協議。BCP中多個計劃文件：業(yè)務持續(xù)性計劃（BCP）、業(yè)務恢復計劃（BRP）、連續(xù)作業(yè)計劃（COOP）連續(xù)支持計劃、IT應急計劃、危機通信計劃、事件響應事件、災難恢復計劃（DRP）、場所緊急計劃（OEP）

異地備份：完全備份、增量備份、差分備份

災難恢復與業(yè)務持續(xù)計劃的審計：主要任務是理解與評價組織的業(yè)務連續(xù)性策略，及其組織業(yè)務目標的符合性；參考相應的標準和法律法規(guī)，評估該計劃的充分性和時效性；審核信息系統(tǒng)及終端用戶對計劃所做的測試的結果，驗證計劃的有效性；審核異地存儲設施機器內容、安全和環(huán)境控制，以評估異地存儲站點的適當性；通過審核應急措施、員工培訓、測試結果，評估信息系統(tǒng)及其終端用戶在緊急情況下的有效反應能力；確認組織對業(yè)務持續(xù)性計劃的維護措施存在并有效。

應用控制概念：應用控制是為適應各種數據處理的特殊控制要求，保證數據處理完整、準確地完成而建立的內部控制。應用控制涉及各種類型的業(yè)務，每種業(yè)務及其數據處理尤其特殊流程的要求，這決定了具體的應用控制的設計需結合具體的業(yè)務。單另一方面。由于數據處理過程一般都是由輸入、處理和輸出三個階段構成，從這一共性出發(fā)，可將應用控制劃分為輸入控制、處理控制和輸出控制。應用控制也是由手工控制和程序化控制構成，但以程序化控制為主。

軟件維護的種類：糾錯行為化、適應性維護、完善性維護、預防性維護 服務管理：面向IT基礎設施管理的服務支持、面向業(yè)務管理的服務提供

IT服務提供流程主要面對付費的機構和個人客戶，負責為客戶提供高質量、低成本的IT服務。任務：根據組織的業(yè)務需求，對服務能力、持續(xù)性、可用性等服務級別目標進行規(guī)劃和設計，同時還必須考慮到這些服務目標所需要耗費的成本。主要包括服務水平管理、IT服務財務管理、能力管理、IT服務持續(xù)性管理和可用性管理5個服務管理流程。

IT服務的服務支持主要面向終端用戶，負責確保IT服務的穩(wěn)定性與靈活性，用于確保終端用戶得到適當的服務，以支持組織的業(yè)務功能。服務支持流程包括體現服務接觸和溝通的服務臺職能和5個運作層次的流程，即配置管理、事務管理、問題管理、變更管理、發(fā)布管理。應用程序審計的內容：

審查程序控制是否健全有效：程序中輸入控制的審計、程序中處理控制的審計、程序中輸出控制的審計。

審查程序的合法性P168 簡單論述

審查程序編碼的正確性：目標和任務不明確、系統(tǒng)設計差錯、程序設計說明書錯誤、程序語法或邏輯錯誤

審查程序的有效性：在具體編寫程序前應簡化算術表達式及邏輯表達式、細心的分析多層嵌套循環(huán)，以確定能否把一些語句或表達式轉移到循環(huán)體制外、盡量避免采用多維數組、盡量避免采用指針及復雜的表、采用“快”的算法；不要把不同的數據類型混在一起；只要可能就采用整形數的算法運算和布爾表達式。應用程序審計方法：對應用程序進行審計，往往是計算機輔助審計方法與手工審計方法的結合。

檢測數據法：是指審計人員把一批預先設計好的監(jiān)測數據，利用被審程序加以處理，并把處理的結果與預期的結果作比較，以確定被審程序的控制與處理功能是否恰當、有效的一種方法。

平行模擬法：是指審計人員自己或請計算機專業(yè)人員編寫的具有和被審計程序相同處理和控制的模擬程序，用這種程序處理當期的實際數據，并以處理的結果與被審計程序的處理結果進行比較，以評價被審程序的處理和控制功能是否可靠的一種方法 嵌入審計程序法：是指被審計信息系統(tǒng)的設計和開發(fā)階段，在被審的應用程序中嵌入為執(zhí)行特定的審計功能而設計的程序段，這些程序段可以用來收集審計人員感興趣的資料，并且建立一個審計控制文件，用來存儲這些資料，審計人員通過這些資料的審核來確定被審程序的處理和控制功能的可靠性。

程序追蹤法：是一種對給定的業(yè)務，跟蹤被審程序處理步驟的審查技術。一般可由追蹤軟件來完成，也可利用某些高級語言或數據庫管理系統(tǒng)中的跟蹤指令被審查程序的處理。

第四篇：信息系統(tǒng)審計工作制度

信息系統(tǒng)審計工作

今天，信息系統(tǒng)已成為企業(yè)業(yè)務處理的中樞，信息系統(tǒng)的可靠、安全、效率左右著企業(yè)的命運。企業(yè)不僅要在內部設立信息系統(tǒng)審計部門，實施內部審計，還必須委托外部信息系統(tǒng)審計師站在第三方的客觀立場對信息系統(tǒng)進行全面的檢查與評價。要實施獨立的信息系統(tǒng)審計，確立信息系統(tǒng)審計制度是十分重要的。

因此，為了規(guī)范部門內部工作流程和質量控制，協助其他部門了解信息系統(tǒng)審計部門的業(yè)務支持范圍、工作內容及工作流程，促進部門間就項目中設計的信息系統(tǒng)審計業(yè)務范圍進行有效溝通，協調項目工作計劃的界定和質量管理，避免因項目中工作職責和工作范圍界定不明確而降低審計工作的效率和效果，特制訂此信息系統(tǒng)審計制度。

本制度主要內容包括信息系統(tǒng)審計部門應何時介入企業(yè)進行信息系統(tǒng)審計工作，為財務審計團隊提供信息系統(tǒng)審計業(yè)務支持的工作范圍及本部門其他的工作職責范圍，信息系統(tǒng)審計的工作程序及方法，以及信息系統(tǒng)審計對客戶能夠達成的效果等，特作以下介紹說明。

一、信息系統(tǒng)審計何時介入

信息系統(tǒng)審計（IT Audit）是信息系統(tǒng)鑒證業(yè)務中的一種。信息系統(tǒng)審計是根據業(yè)務和信息控制目標，針對信息系統(tǒng)環(huán)境內設定的控制，通過搜集和評估審計證據，對信息系統(tǒng)控制的有效性發(fā)表結論或意見的過程。

信息系統(tǒng)審計有四個層面：

1.它的目的是對信息系統(tǒng)控制的有效性發(fā)表評估結論或審計意見。有效性包括控制設計的有效性和執(zhí)行有效性；

2.它的對象是信息系統(tǒng)環(huán)境中的各種控制流程或機制，包括IT 一般控制和應用控制；3）

3.它的內容是搜集和評估審計證據；

4.它的依據是業(yè)務控制目標，比如系統(tǒng)是否有效實施控制保證財務軟件計算的固定資產折舊程序是否準確。通過執(zhí)行信息系統(tǒng)審計，可以協助財務審計團隊了解和評價信息系統(tǒng)的可靠性和安全性及財務數據的完整性和準確性。

財務審計團隊在財務審計業(yè)務計劃階段，需對客戶的信息系統(tǒng)環(huán)境進行調查，若客戶的信息系統(tǒng)環(huán)境評估結果為復雜時，需邀請信息系統(tǒng)審計人員介入共同探討審計計劃，根據業(yè)務系統(tǒng)的復雜度、實體業(yè)務性質、財務審計團隊人員的技能和知識、業(yè)務處理本質（如：是否為高度自動化）、交易數量及信息系統(tǒng)的管理方式（如：若信息系統(tǒng)由第三方管理，則需考慮是否需要SAS70或者相關的報告）確定信息系統(tǒng)審計業(yè)務支持服務范圍，并在信息系統(tǒng)審計計劃中以書面的形式記錄業(yè)務約定。若客戶的信息系統(tǒng)環(huán)境評估結果為不復雜時，信息系統(tǒng)審計工作可由審計團隊完成，必要時信息系統(tǒng)審計團隊可以提供知識和技術的支持和咨詢服務。

其中，若在計劃審計程序階段或者審計過程中了解到客戶業(yè)務處理過程高度自動化（如：銀行，保險，電信，和零售業(yè)等高度依賴電算化的企業(yè)環(huán)境和特定行業(yè)高度依賴信息系統(tǒng)處理業(yè)務），僅僅執(zhí)行實質性程序無法提供足夠的審計證據時，在約定信息系統(tǒng)審計業(yè)務服務范圍時，需考慮同時包括應用控制審計及其他可以輔助財務審計團隊確認交易的真實性、完整性、準確性、截止性的審計程序。

在約定信息系統(tǒng)審計是否介入時，需要考慮如下因素：

?系統(tǒng)的復雜性；

? ?業(yè)務的本質；

? ?財務審計團隊的技能和知識；

? ?系統(tǒng)的位置（例如，如果包含一個服務組織，SAS70或相關的報告能否被使用）；

? ?處理的本質（例如高度自動化）和交易的數量。

在評估信息系統(tǒng)是否復雜時，我們認為以下特征是復雜信息系統(tǒng)的指標：

?客戶實施編程和/或開發(fā)；

?信息系統(tǒng)處理過程高度自動化，很少或者沒有人工干預；

?不同的系統(tǒng)接口；

?信息系統(tǒng)使用批處理（計劃任務）；

?實施了新系統(tǒng)或者系統(tǒng)間進行了轉換；

?使用了單點登錄（SSO）或者集中權限管理（CRM）系統(tǒng)。

二、信息系統(tǒng)審計業(yè)務范圍

信息系統(tǒng)審計是一個通過收集和評價審計證據，對信息系統(tǒng)是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面作出判斷的過程。信息系統(tǒng)審計業(yè)務范圍包括：

（一）為財務審計團隊提供信息系統(tǒng)審計業(yè)務支持；

（二）支持企業(yè)內部控制審計；

（三）開展獨立的信息系統(tǒng)審計業(yè)務；

（四）對信息系統(tǒng)控制及安全方面提供獨立建議的咨詢服務。

（一）為財務審計團隊提供信息系統(tǒng)審計業(yè)務支持

信息系統(tǒng)審計業(yè)務為財務審計提供合理保證，其提供的支持服務內容包括：

1.信息系統(tǒng)一般控制：

?IT控制環(huán)境/關鍵職責分離；

?主要業(yè)務和財務系統(tǒng)的開發(fā)以及程序變更管理；

?IT系統(tǒng)運維管理，如數據批處理、數據備份、數據中心維護；

?業(yè)務和財務系統(tǒng)環(huán)境中關鍵的信息安全和權限控制管理，包括用戶賬戶和授權管理、應用系統(tǒng)安全、數據庫系統(tǒng)安全、操作系統(tǒng)安全、和網絡安全。

2.應用控制：

支持重要業(yè)務流程的各應用和接口系統(tǒng)中固化在程序中的關鍵控制點。這要根據財務審計團隊確定的業(yè)務流程而定。比如銷售、采購、庫存、應收、應付、總賬、資金、電子商務、銀行存貸等。

3.根據業(yè)務復雜性確定的其他控制：

如根據重大賬戶余額，交易類型或披露事項的重大錯報風險的評估結果，對依賴于計算機生成的信息執(zhí)行信息（CGI）控制測試，計算機輔助審計（CAATs）測試，會計分錄測試（JET）等。

（二）支持企業(yè)內部控制審計

信息系統(tǒng)審計對企業(yè)的內部控制審計提供支持，對特定基準日內部控制設計與運行的有效性進行審計，其主要內容包括：

1.恰當地計劃內部控制審計工作；

2.實施審計工作，評價內部控制是否可以應對舞弊風險，測試內部控制設計與運行的有效性；

3.評價企業(yè)內部控制缺陷，按其影響程度分為重大缺陷、重要缺陷和一般缺陷；

4.獲取充分、適當的證據，為在內部控制審計中對內部控制有效性發(fā)表意見和對控制風險結果評估提供支持。

（三）開展獨立的信息系統(tǒng)審計業(yè)務

獨立的信息系統(tǒng)審計業(yè)務是通過實施信息系統(tǒng)審計工作，對公司、機構或組織是否達成信息技術管理目標進行綜合評價，并基于評價意見提出管理建議，協助組織信息技術管理人員有效地履行其受托責任以達成公司、機構或組織的信息技術管理目標。

獨立的信息系統(tǒng)審計業(yè)務也可通過實施信息系統(tǒng)審計工作來對公司、機構或組織所提供的專業(yè)化服務（如電子商務、人力資源與薪酬管理外包、在線數據備份等）進行綜合評價從而達到以下目標：

1.判斷一切與該公司、機構或組織所提供的專業(yè)化服務相關的流程、操作及管理是否合乎行業(yè)標準；

2.保障使用此類專業(yè)服務的公司或個人的信息安全性；

3.基于評價意見提出整改建議，從而幫助此類專業(yè)服務提供商更好地拓展市場與開放客戶群體。

信息系統(tǒng)審計部門能夠為客戶提供的獨立的信息系統(tǒng)審計業(yè)務內容包括：

?企業(yè)信息系統(tǒng)控制合規(guī)審計報告；

?企業(yè)信息系統(tǒng)運行和控制系統(tǒng)設計及評估；

?企業(yè)薩班斯法案審計服務；

?其他。

其目的是保證其信息技術戰(zhàn)略充分反映該組織的業(yè)務戰(zhàn)略目標，提高公司、機構或組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數據處理的完整性和準確性，提高信息系統(tǒng)運行的效果與效率，合理保證信息系統(tǒng)的運行符合法律法規(guī)及監(jiān)管的相關要求。

（四）對信息系統(tǒng)控制及安全方面提供獨立建議的咨詢服務

信息系統(tǒng)咨詢業(yè)務是指結合信息系統(tǒng)安全、企業(yè)內部控制管理與外部審計等多方面的專業(yè)知識，提供與信息安全相關的信息化建設、信息安全診斷、信息技術認證及ERP系統(tǒng)相關的咨詢業(yè)務。

信息系統(tǒng)審計部門能夠為客戶提供的獨立的信息系統(tǒng)咨詢業(yè)務內容包括：

?企業(yè)信息系統(tǒng)戰(zhàn)略策劃和評估；

?企業(yè)信息系統(tǒng)執(zhí)行及項目管理監(jiān)理咨詢；

?企業(yè)信息系統(tǒng)安全評估；

?企業(yè)薩班斯法案咨詢服務；

?企業(yè)專業(yè)服務系統(tǒng)的行業(yè)評估；

?其他。

三、信息系統(tǒng)審計程序

（一）信息系統(tǒng)審計一般程序

審計程序一般可分為四個階段，即準備階段、實施階段、審計結論和執(zhí)行階段、異議和復審階段。信息系統(tǒng)審計也可分為這四個階段，同時結合自身的特殊要求，運用本身特有的方法，對信息系統(tǒng)進行評價。

1.準備階段

初步調查被審計單位信息系統(tǒng)基本狀況，擬定科學合理的計劃，一般應包括以下主要工作：

（1）調查了解被審計單位信息系統(tǒng)的基本情況，如信息系統(tǒng)的硬件配置、系統(tǒng)軟件的選用、應用軟件的范圍、網絡結構、系統(tǒng)的管理結構和職能分工、文檔資料等，調查完成后將審前調查情況記錄下來。

（2）提前三天送達審計通知書，要求被審計單位對所提供資料的真實性、完整性作出書面承諾，明確彼此的責任、權利和義務。

（3）初步評價被審計單位的內部控制制度，以便確定符合性測試的范圍和重點。

（4）確定審計重要性、確定審計范圍。

（5）分析審計風險。

（6）制定審計實施方案。在審計實施方案中除了對時間、人員、工作步驟及任務分配等方面作出安排以外，還要合理確定符合性測試、實質性測試的時間和范圍，以及測試時的審計方法和測試數據。

在安排利用計算機輔助審計時，還需列出所選用的通用軟件或專用軟件。對于復雜的信息系統(tǒng)，也可聘請專家，但必須明確審計人員的責任。

2.實施階段

實施階段是審計工作的核心，也是信息系統(tǒng)審計的核心。主要工作是根據準備階段確定的范圍、要點、步驟、方法，進行取證、評價，綜合審計證據，借以形成審計結論，發(fā)表審計意見。實施階段的主要工作應包括以下兩個方面的內容：

（1）符合性測試。進行符合性測試應以系統(tǒng)安全可靠性的檢查結果為前提。如果系統(tǒng)安全可靠性非常差，不值得審計人員信賴，則應當根據實際情況決定是否取消內控制度的符合性測試，而直接進行實質性測試并加大實質性測試的樣本量。在信息系統(tǒng)的符合性測試項目中，主要內容應該是確認輸入資料是否正確完整，計算機處理過程是否符合要求。如果系統(tǒng)安全可靠性比較高，則應對該系統(tǒng)給予較高的信賴，在實質性測試時，就可以相應地減少實質性測試的樣本量。

（2）實質性測試。實質性測試應該是對被審計單位信息系統(tǒng)的程序、數據、文件進行測試，并根據測試結果進行評價和鑒定。進行實質性測試須依賴于符合性測試的結果，如果符合性測試結果得出的審計風險偏高，而且被審計單位有利用信息系統(tǒng)進行舞弊的動機與可能，并且被審計單位又不能提供完整的會計文字資料，此時審計人員應考慮對會計報表發(fā)表保留意見或拒絕表示意見的審計報告。進行實質性測試時，可考慮采用通過計算機和利用計算機進行審計的方法，具體包括：

①測試數據法：就是將測試數據或模擬數據分別由審計人員進行手工核算和被審計單位信息系統(tǒng)進行處理，比較處理結果，作出評價；

②受控處理法：就是選擇被審計單位一定時期（最好是12月份）實際業(yè)務的數據分別由審計人員和會計電算化系統(tǒng)同時處理，比較結果，作出評價。

（3）利用輔助審計軟件直接審查信息系統(tǒng)的數據文件。審計人員可利用現場審計實施系統(tǒng)軟件（AO）直接對數據進行數據轉換，數據查詢，抽樣審計，查賬，賬務分析等測試，得出結論，作出評價。

3.審計結論和執(zhí)行階段

審計人員對信息系統(tǒng)進行符合性測試和實質性測試后，整理審計工作底稿，編制審計報告時，除對被審單位會計報表的合理性、公允性發(fā)表意見，作出審計結論外，還要對被審單位信息系統(tǒng)的處理功能和內部控制進行評價，并提出改進意見。

審計報告完成后，先要征求被審單位的意見，并報送審計機關和有關部門。審計報告一經審定，所作的審計結論和決定需通知并監(jiān)督被審單位執(zhí)行。

4.異議和復審階段

被審單位對審計結論和決定若有異議，可提出復審要求，審計部門可組織復審并作出復審結論和決定。特別是被審單位信息系統(tǒng)有了新的改進時，還需組織后續(xù)審計。

（二）信息系統(tǒng)審計協調程序

為財務審計團隊提供信息系統(tǒng)審計業(yè)務支持服務前，為了合理安排信息系統(tǒng)審計工作計劃，財務審計項目負責人與信息系統(tǒng)審計部門應執(zhí)行下列協調程序：

1.財務審計項目負責人在制定當年審計計劃時應考慮所需信息系統(tǒng)審計部門進行審計支持的內容與實行時間；

2.財務審計項目負責人提前在9月底將所需信息系統(tǒng)審計時間告知信息系統(tǒng)審計部門，與信息系統(tǒng)審計部門討論確定服務內容，預約部門成員；

3.信息系統(tǒng)審計部門搜集所有信息系統(tǒng)審計需求，按照項目時間安排信息系統(tǒng)審計人員工作計劃，并與財務審計項目團隊、客戶協調；

4.信息系統(tǒng)審計部門及時完成外勤工作、底稿編制和底稿審核，并把結論書面告知財務審計項目團隊，并與財務審計團隊對信息系統(tǒng)審計部門的最后結論達成口頭或書面共識；

5.信息系統(tǒng)審計部門將按照事務所要求歸檔、保管底稿。

其他信息系統(tǒng)項目的工作計劃參照上述信息系統(tǒng)審計業(yè)務支持服務，與相關方及時溝通制定審計計劃，在制定的項目時間內完成工作。

（三）信息系統(tǒng)審計結果報告程序

信息系統(tǒng)審計部門實施信息系統(tǒng)審計的計劃、程序、證據、結論等底稿都會按照相應的審計準則進行記錄和保存。

1.在財務審計系統(tǒng)審計風險評估當中，信息系統(tǒng)審計部門不會出具某種審計報告，而是出具評估結論，一般以底稿備忘錄的形式提交給財務審計團隊。該備忘錄總結信息系統(tǒng)審計中評估的范圍、方法、時間/區(qū)間、結論、重大控制缺陷或風險點等內容。

2.在獨立的信息系統(tǒng)審計業(yè)務和咨詢業(yè)務中，會出具獨立的審計報告。報告將以事務所名義簽發(fā)。

第五篇：信息系統(tǒng)審計方法淺談

信息系統(tǒng)審計方法淺談

隨著當前信息技術的發(fā)展，地方各級資金管理部門投入大量資金，開發(fā)了各種各樣的信息系統(tǒng)軟件，用于管理資金或實行會計電算化，信息系統(tǒng)的建設的合法性、軟件開發(fā)的規(guī)范性、系統(tǒng)運行的安全性以及程序設置合規(guī)性等問題，成為審計關注的重點，開展信息系統(tǒng)審計成為審計機關避免“假賬真審”、降低審計風險題中應有之義。

信息系統(tǒng)審計主要目標是確認信息系統(tǒng)的合法性、可靠性、機密性、有效性和安全性等，通過審查信息系統(tǒng)的運行狀況，發(fā)現信息系統(tǒng)在使用和管理過程中存在的問題，確定是否存在漏洞和缺陷，有無非法和錯誤的處理和控制的薄弱環(huán)節(jié)，客觀評價系統(tǒng)的現狀，促進被審計調查單位進一步加強信息系統(tǒng)管理，完善信息系統(tǒng)功能，保證資金的安全與完整，防范利用計算機系統(tǒng)進行欺詐與舞弊，并提出具有建設性的建議。

信息系統(tǒng)審計重點內容主要有以下三個方面：

一、信息系統(tǒng)運行方面，主要包括：

1、系統(tǒng)安全性，審查信息系統(tǒng)的物理安全性，是否可以有效防止被非法使用，相關安全制度是否齊全，機房進出是否執(zhí)行登記制度等；中心機房是否建設為標準機房，電源是否為單獨供電或雙路供電并配備UPS電源，服務器是否配置機柜；機房內是否擺放紙箱等可燃物品，墻體地板、天花等是否按防火標準建設或改造，是否配備防雷設施，地板是否經過防火、防靜電處理，配備防靜電設施；是否建有磁帶庫、虛擬帶庫等系統(tǒng)以備份系統(tǒng)數據，是否建有冗災備份系統(tǒng)，以確保數據信息安全。

2、系統(tǒng)可靠性，審查硬件、軟件是否有效能夠保證業(yè)務的正常運行，操作系統(tǒng)和數據庫是否為正版軟件并及時更新，數據庫是否能夠滿足運行需要，系統(tǒng)是否存在漏洞，是否易受病毒、木馬、黑客等攻擊，導致數據丟失、篡改等；殺毒軟件病毒庫及防火墻是否及時更新。

3、系統(tǒng)機密性，審查數據訪問權限的保密性，是否存在數據被非法用戶訪問，不相容的權限是否設置單選或者禁用，是否存在同時操作前臺和后臺，既能辦理業(yè)務，又能審核業(yè)務等，隱私數據的保密是否有力；操作系統(tǒng)及數據庫是否加密存儲用戶口令，系統(tǒng)日志是否保留用戶登錄、操作系統(tǒng)模塊和業(yè)務模塊的相關信息；是否存在大量共享文件夾及文件，導致系統(tǒng)安全風險。

4、系統(tǒng)合法性，審查信息系統(tǒng)的開發(fā)、管理、運營是否符合法律、法規(guī)、規(guī)章的規(guī)定。重要信息是否為必填項或符合規(guī)范錄入要求。

5、系統(tǒng)效益性，查信息化建設是否堅持成本節(jié)約原則，資源的利用是否堅持效率性原則，信息系統(tǒng)是否達到信息化建設目標。

二、信息系統(tǒng)管理方面，主要包括：

1、內部控制制度，主要審查信息系統(tǒng)是否建立相關內部控制及實際執(zhí)行，關注各個控制

措施之間的相關性，業(yè)務運行結果是否與財務數據一致，某一控制是否存在補償性或是重疊性的控制。

2、保障措施，主要審查各個環(huán)節(jié)、各個業(yè)務部門之間的聯接、系統(tǒng)運營后勤保障、售后服務合同簽訂及后期實施情況等，查看是否存在薄弱環(huán)節(jié)，是否能有效保障系統(tǒng)的正常安全運行。

三、政策執(zhí)行方面，主要包括：

1、政策執(zhí)行，主要地方政策是否符合中央或省級政策的有關條目及法律法規(guī)的規(guī)定。

2、業(yè)務流程，主要審查信息系統(tǒng)是否嚴格按照流程進行運營，是否存在漏洞等。信息系統(tǒng)審計主要采取的方法：

1、座談及現場察看，采取與信息化部門、用戶及相關人員進行座談，查閱與信息系統(tǒng)相關的文檔、程序等，實地查看機房、業(yè)務終端、器材等。

2、計算機輔助審計，利用AO軟件的查詢、計算、分類、抽樣選擇、排序、數據文件聯結、比較、合并等功能進行審查。

3、測試數據，通過測試數據樣本，評價信息系統(tǒng)是否能夠正確處理所有業(yè)務數據，是否能夠對處理過程實施一定控制。

4、應用程序檢查，檢查系統(tǒng)軟件開發(fā)過程中是否設置相應控制措施。

5、聘請計算機專家，為審計師提供指導及其他有價值的信息。

6、整體測試，在軟件系統(tǒng)內置入虛構實體，并以測試資料或正式資料，針對該實體進行處理，以驗證其正確性。