第一篇：某市人民醫(yī)院信息系統(tǒng)審計案例

某市人民醫(yī)院信息系統(tǒng)審計案例 【點擊數(shù): 1271 】【時間:2011-12-07 17:13:00.0】

一、案例摘要

（一）審計項目基本情況

1．案例名稱：某市人民醫(yī)院信息系統(tǒng)審計案例

2．所屬審計項目名稱：某市人民醫(yī)院信息系統(tǒng)審計 3．審計實施單位：某市審計局

4．主要審計人員：張慶紅（組長）、徐曉東（主審）、葛玉玲。5．審計實施的時間：2010年4月26日至2010年5月31日。

（二）具體審計事項類別及名稱 1．一般控制審計（GC）：

（1）總體IT控制環(huán)境審計—IT規(guī)劃和計劃審計(GC-1)、IT組織結(jié)構(gòu)審計（GC-2）、IT管理政策審計（GC-3）（2）基礎(chǔ)設(shè)施控制審計—機房物理環(huán)境控制審計（GC-4）、硬件設(shè)備采購管理控制審計（GC-5）、系統(tǒng)軟件采購管理控制審計（GC-6）

（3）信息系統(tǒng)生命周期控制審計—系統(tǒng)開發(fā)控制審計（GC-7）、系統(tǒng)采購控制審計（GC-8）、系統(tǒng)變更控制審計（GC-9）（4）信息安全控制審計—邏輯訪問控制審計（GC-10）、網(wǎng)絡(luò)安全控制審計（GC-11）、操作系統(tǒng)安全控制審計（GC-12）、數(shù)據(jù)庫系統(tǒng)安全控制審計（GC-13）、最終用戶控制審計（GC-14）（5）信息系統(tǒng)運營維護控制審計—系統(tǒng)維護控制審計（GC-15）、系統(tǒng)變更管理控制審計（GC-16）、系統(tǒng)災(zāi)難恢復(fù)控制審計（GC-17）2．應(yīng)用控制審計（AC）：

（1）業(yè)務(wù)流程控制審計—業(yè)務(wù)授權(quán)與審批控制審計(AC-1)、數(shù)據(jù)輸入控制審計(AC-2)、數(shù)據(jù)輸出控制審計(AC-4)（2）數(shù)據(jù)控制審計—對主數(shù)據(jù)的審計(AC-5)、對業(yè)務(wù)參數(shù)的審計(AC-6)、對重要信息的審計(AC-7)（3）接口控制審計—數(shù)據(jù)接口審計（AC-9）

（4）系統(tǒng)外控制審計—補償性控制審計（AC-11）

（三）采用的審計技術(shù)和方法

本次審計，我們在審前調(diào)查時所采用的技術(shù)方法主要有：問卷調(diào)查表法、會議座談法、實地查看法。掌握某市人民醫(yī)院信息系統(tǒng)基本概況。

對HIS系統(tǒng)分析時采用的技術(shù)方法主要有：資料審閱法、流程圖檢查法、數(shù)據(jù)核對法、模擬操作法。對信息系統(tǒng)的安全性、可靠性和健壯性進行評估。

對數(shù)據(jù)庫業(yè)務(wù)數(shù)據(jù)分析時采用的技術(shù)方法主要有：SQL語句查詢法、鉤稽關(guān)系效驗法、橫縱向比較法、量本利分析法等。重點審查業(yè)務(wù)數(shù)據(jù)的真實性、完整性和效益性。

（四）審計發(fā)現(xiàn)和建議情況

此次信息系統(tǒng)審計是與人民醫(yī)院績效審計相結(jié)合的一次嘗試，通過審計，我們出具審計移送處理書1份，將人民醫(yī)院信息科科長潘某移送市紀委，目前案件已偵察結(jié)束，法院最后判決：潘某犯受賄、貪污和挪用公款罪，處以12年有期徒刑并沒收非法所得5萬元。

完成信息系統(tǒng)審計報告1份，反映該院信息系統(tǒng)在安全性、可靠性方面存在的4個問題；在相關(guān)性方面存在的2個問題；在合法性、合規(guī)性方面存在的2個問題；在數(shù)據(jù)的真實性、準確性等方面存在的3個問題。提出了3條具有針對性的審計建議。

完成了績效審計報告1份，報告得到充分肯定，分管韓市長批示：“該審計報告內(nèi)容全面，反映問題準確，希望市人民醫(yī)院認真落實審計建議，不斷提高醫(yī)院管理水平。”該項目在省廳2010年度全省優(yōu)秀審計項目評選中榮獲表彰獎。

出具審計決定書1份，對醫(yī)院超標準加價、藥品調(diào)價滯后等違規(guī)收費XX萬元進行處罰。

市人民醫(yī)院按照審計報告的要求，建立健全了《信息系統(tǒng)管理制度》、《醫(yī)療設(shè)備采購管理制度》、《成本核算管理制度》等9條內(nèi)部控制制度。

二、被審計單位信息系統(tǒng)基本情況

（一）被審計單位信息系統(tǒng)建設(shè)和管理情況

市人民醫(yī)院使用的醫(yī)院信息管理系統(tǒng)（HIS）是由市某軟件開發(fā)公司1999年開發(fā)的，系統(tǒng)于2002年進行測試，2003年4月正式運行使用。系統(tǒng)采用PowerBuilder進行開發(fā)，后臺數(shù)據(jù)庫為SQL2005。

醫(yī)院信息管理系統(tǒng)采用了c/s結(jié)構(gòu)模式，服務(wù)器端操作系統(tǒng)為windows2003，客戶端操作系統(tǒng)為windows2000/XP。該院每年都投入資金對其硬件環(huán)境進行升級改造，目前共有服務(wù)器7臺、計算機220臺、交換機26臺、硬件防火墻2臺，打印機115臺。醫(yī)院中心機房放置了溫度、濕度探測器，同時配備了UPS不間斷電源和自動滅火系統(tǒng)，為系統(tǒng)正常運行提供了保障。

（二）被審計單位對信息系統(tǒng)業(yè)務(wù)依賴程度

人民醫(yī)院信息管理系統(tǒng)（HIS）根據(jù)功能的要求，分為十三大子模塊：門診掛號、門診劃價收費、藥庫管理、門診藥房管理、病區(qū)藥房管理、住院管理、病區(qū)醫(yī)囑管理、人事工資管理、病案管理、物資管理、院長查詢、經(jīng)濟核算、公費醫(yī)療等，基本包括了醫(yī)院的主要業(yè)務(wù)和管理需求。

（三）被審計單位信息系統(tǒng)組織管理情況

人民醫(yī)院設(shè)置了信息科，專職進行軟件開發(fā)、系統(tǒng)維護和設(shè)備維修等。

（四）被審計單位信息系統(tǒng)運行情況

從維護日志來看，該院醫(yī)院信息管理系統(tǒng)在不斷地進行系統(tǒng)升級和功能完善，數(shù)據(jù)庫出現(xiàn)異常的情況越來越少。在審計組現(xiàn)場審計期間，該信息系統(tǒng)運行正常，未發(fā)現(xiàn)服務(wù)器宕機等異?，F(xiàn)象。

（五）被審計單位信息系統(tǒng)總體業(yè)務(wù)數(shù)據(jù)流程情況

該系統(tǒng)業(yè)務(wù)流程主要分為，患者就醫(yī)、就診，藥庫采購藥品入庫、發(fā)出藥品出庫，掛號費用、門診（住院）費用和采購費用的結(jié)算等方面。

（六）被審計單位信息系統(tǒng)電子數(shù)據(jù)情況

本次審計我們?nèi)〉昧私刂沟?010年3月10日的數(shù)據(jù)庫備份數(shù)據(jù)。HIS系統(tǒng)全庫業(yè)務(wù)數(shù)據(jù)總量約32.6G，其中：2008年約有1240萬條記錄，數(shù)據(jù)大小為4.8G；2009年約有1650萬條記錄，數(shù)據(jù)大小6.4G。目前數(shù)據(jù)量年增長率為15%左右。

三、被審計單位信息系統(tǒng)控制情況

人民醫(yī)院重視該院對信息系統(tǒng)維護的投入，也制定了相應(yīng)的管理制度，實現(xiàn)了對信息化管理過程的控制。HIS系統(tǒng)的運行正常，基本滿足了人民醫(yī)院的主要業(yè)務(wù)需求。

（一）一般控制方面

在一般控制方面總體情況較好，但是也存在著設(shè)備采購管理不合規(guī)，系統(tǒng)安全性和可靠性有待加強。

（二）應(yīng)用控制方面

在應(yīng)用控制方面人民醫(yī)院做了大量工作，對業(yè)務(wù)流程進行了控制。其數(shù)據(jù)處理邏輯和輸入、輸出控制較好。通過對系統(tǒng)操作人員權(quán)限管理，實現(xiàn)了對數(shù)據(jù)庫的訪問、修改等操作進行控制。數(shù)據(jù)接口方面也能保證該系統(tǒng)與市醫(yī)保系統(tǒng)、農(nóng)保系統(tǒng)進行日常的業(yè)務(wù)數(shù)據(jù)交換。但存在業(yè)務(wù)數(shù)據(jù)的真實性和準確性欠缺的問題，系統(tǒng)使用效率性和效益性有待提高。

四、信息系統(tǒng)審計總體目標

通過審計，對人民醫(yī)院信息系統(tǒng)架構(gòu)與流程的合法性和合規(guī)性，系統(tǒng)的安全性和可靠性，運行的效率性和效益性，重點數(shù)據(jù)的真實性和完整性進行檢查，了解我市人民醫(yī)院信息系統(tǒng)的運行狀況，發(fā)現(xiàn)該系統(tǒng)在使用和管理過程中存在的問題，促進被審計單位信息系統(tǒng)的完善，使之在業(yè)務(wù)活動中發(fā)揮更加有效的作用。

五、審計重點內(nèi)容及審計事項

（一）一般控制審計

重點審計總體IT環(huán)境、基礎(chǔ)設(shè)施控制、信息系統(tǒng)生命周期控制、信息安全控制、信息系統(tǒng)運營維護控制等方面的情況。

1．審計目標

通過一般控制審計，對信息系統(tǒng)的基本情況、合法合規(guī)性、真實完整性、安全可靠性、效率效益性等情況有全面的了解和掌握。

2．審計測試過程

在審前準備階段，審計組搜集了醫(yī)院收費的相關(guān)文件和資料，采集了數(shù)據(jù)庫業(yè)務(wù)數(shù)據(jù)，獲取了數(shù)據(jù)字典。發(fā)放問卷調(diào)查表來了解情況：一是發(fā)放信息系統(tǒng)控制矩陣的調(diào)查表，這個表有9張，針對的是醫(yī)院信息系統(tǒng)，我們要求人民醫(yī)院信息科填寫。二是給醫(yī)院的使用信息系統(tǒng)的醫(yī)生、門診病人和住院病人發(fā)放滿意度調(diào)查表。表里有信息信息系統(tǒng)使用情況，有醫(yī)院收費情況，有醫(yī)生服務(wù)態(tài)度等內(nèi)容。還通過在院長辦公室舉行座談交流，了解財務(wù)情況以及信息系統(tǒng)使用情況，并且還對機房、設(shè)備和業(yè)務(wù)窗口進行了實地查看，了解和掌握市中醫(yī)院信息管理系統(tǒng)運行的基本情況。再匯總調(diào)查情況擬訂具體的、可操作的審計實施方案。

在審計實施階段，審計組參照《醫(yī)院信息系統(tǒng)軟件基本功能規(guī)范》對其內(nèi)部控制機制進行了初步評估，確定了審計重點。具體審計以下五個事項：（1）總體IT控制環(huán)境審計

A．具體審計目標:主要查看信息系統(tǒng)的組織結(jié)構(gòu)和管理政策是否健全。

B．審計測試過程：通過會議座談、問卷調(diào)查和資料查閱等方法，審計組取得了關(guān)于醫(yī)院信息系統(tǒng)建設(shè)的會議紀要、科室職能等資料，了解到人民醫(yī)院對信息系統(tǒng)建設(shè)十分重視，成立了濟仁軟件公司對醫(yī)院信息系統(tǒng)進行開發(fā)、維護。每年醫(yī)院都投入大量資金對設(shè)備和系統(tǒng)進行更新，信息系統(tǒng)由信息科設(shè)專人負責(zé)，系統(tǒng)的建設(shè)有計劃、有規(guī)劃。C．發(fā)現(xiàn)問題和建議：在審計中我們也發(fā)現(xiàn)，只有2名技術(shù)人員掌握HIS系統(tǒng)關(guān)鍵技術(shù)，且未簽定保密協(xié)議。建議市人民醫(yī)院加強信息系統(tǒng)方面的學(xué)習(xí)，培養(yǎng)信息管理業(yè)務(wù)骨干。

（2）基礎(chǔ)設(shè)施控制審計

A．具體審計目標:查看機房物理環(huán)境是否有效控制；對硬件設(shè)備、系統(tǒng)軟件采購管理是否控制；硬件、軟件管理制度有無建立健全和執(zhí)行到位。

B．審計測試過程：通過實地查看的方法，審計發(fā)現(xiàn)，人民醫(yī)院的新機房正在興建，原有機房還在使用中。新機房按照《電子信息系統(tǒng)機房設(shè)計規(guī)范》（GB50174-2008）、《電子信息系統(tǒng)機房施工及驗收規(guī)范》（GB50462-2008）、《電子信息系統(tǒng)機房工程設(shè)計與安裝》(GJBT1093)等國家標準和規(guī)定進行操作，機房建設(shè)比較規(guī)范，相關(guān)水、火災(zāi)探測設(shè)備，滅火裝置、續(xù)電設(shè)備、空調(diào)等設(shè)施齊全。市人民醫(yī)院也制定了《機房管理制度》，對機房安全和維護進行管理。

在設(shè)備采購管理控制方面，人民醫(yī)院計算機等設(shè)備采購數(shù)量多、金額較大，我們將此作為重點進行審計。具體步驟：

一是采集轉(zhuǎn)換人民醫(yī)院的財務(wù)數(shù)據(jù)。市人民醫(yī)院財務(wù)軟件使用的是會稽山AC.NET標準會計軟件，我們將2007-2009年數(shù)據(jù)轉(zhuǎn)換到AO中。二是運用SQL語句進行查詢。

三是對得出的近3年的電腦采購情況進行分析。審計發(fā)現(xiàn)，市人民醫(yī)院電腦設(shè)備采購金額越來越大，但設(shè)備采購未納入政府集中采購，也未執(zhí)行招投標管理。

四是審計中發(fā)現(xiàn)，有部分電腦供貨單位為某濟仁軟件開發(fā)公司。該公司是醫(yī)院的下屬公司，總經(jīng)理由醫(yī)院信息科科長擔(dān)任。

C．發(fā)現(xiàn)問題和建議：審計人員決定對采購電腦的票據(jù)進行延伸審查，最終發(fā)現(xiàn)有2筆票據(jù)存在疑點，經(jīng)過分析核實，決定作移送處理。同時建議市人民醫(yī)院建立健全《醫(yī)療設(shè)備采購管理制度》，按照要求將電腦等設(shè)備納入政府集中采購。

（3）信息系統(tǒng)生命周期控制審計

A．具體審計目標:查看信息系統(tǒng)開發(fā)是否規(guī)范，系統(tǒng)變更是否在可控范圍內(nèi)。

B．審計測試過程：通過資料查閱法，對照《醫(yī)院信息系統(tǒng)軟件評審管理辦法》、《醫(yī)院信息系統(tǒng)軟件基本功能規(guī)范》的要求，重點查看了《系統(tǒng)設(shè)計方案書》、《分析說明書》、《數(shù)據(jù)要求說明書》、《維護手冊》等資料。審計發(fā)現(xiàn)，醫(yī)院信息管理系統(tǒng)為自主設(shè)計、開發(fā)，開發(fā)資料基本齊全，數(shù)據(jù)要求規(guī)范，系統(tǒng)也進行過初步測試。

C．發(fā)現(xiàn)問題和建議：該信息系統(tǒng)使用后多次進行開發(fā)和完善，缺乏相應(yīng)變更方案的審核控制，雖然系統(tǒng)運行正常，但是無相關(guān)的客戶驗收報告或第三方驗收報告，信息系統(tǒng)至今未經(jīng)過驗收，穩(wěn)定性無法保證。（4）信息安全控制審計

A．具體審計目標:網(wǎng)絡(luò)、操作系統(tǒng)數(shù)據(jù)庫是否安全，有無防災(zāi)措施。

B．審計測試過程：（1）通過實地查看、資料查閱等方法，審計發(fā)現(xiàn)，人民醫(yī)院進行了IP地址管理和用戶權(quán)限分配，用戶端安裝了瑞星殺毒軟件和硬件還原卡，部分用戶操作系統(tǒng)漏洞安裝了補丁。

（2）通過上機查看、模擬操作，利用組建的局域網(wǎng)和基于備份數(shù)據(jù)還原模擬的HIS系統(tǒng)核對用戶權(quán)限，未發(fā)現(xiàn)系統(tǒng)模塊控制問題。利用SQL語句，對備份數(shù)據(jù)進行查找，找到數(shù)據(jù)庫存放用戶權(quán)限管理的表格（ryqx人員權(quán)限表），分析權(quán)限分配情況，具體步驟：一是查看系統(tǒng)管理員身份用戶。二是對用戶密碼進行查詢分析。

C．發(fā)現(xiàn)問題和建議：①人民醫(yī)院內(nèi)、外網(wǎng)未完全物理隔離，局域網(wǎng)內(nèi)部分電腦可以訪問因特網(wǎng)，可以下載資料到電腦中，內(nèi)、外網(wǎng)連接也未通過任何設(shè)備或程序加以控制。②可登陸用戶522位，其中72位用戶的密碼為空。

③“系統(tǒng)管理員”權(quán)限的用戶有8位，存在數(shù)據(jù)安全隱患。

（5）信息系統(tǒng)運營維護控制審計

A．具體審計目標:查看系統(tǒng)操作管理控制和災(zāi)難恢復(fù)控制功能是否完善。

B．審計測試過程：通過組建局域網(wǎng)，進行模擬操作的方法，測試了HIS系統(tǒng)的系統(tǒng)管理、住院管理、掛號系統(tǒng)、門診收費、病區(qū)藥房等模塊功能，查看系統(tǒng)的硬件和軟件是否支持HIS系統(tǒng)的正常運行。通過現(xiàn)場觀察的方法，查閱系統(tǒng)日志、運行維護記錄等資料，對系統(tǒng)操作管理控制和系統(tǒng)災(zāi)難恢復(fù)控制制度進行審計。市人民醫(yī)院建立了《網(wǎng)絡(luò)管理員及其主要工作關(guān)鍵設(shè)備的管理》的制度，完善了《操作手冊》的內(nèi)容，能夠?qū)?shù)據(jù)庫數(shù)據(jù)備份完整。

C．發(fā)現(xiàn)問題和建議：系統(tǒng)存在維護日志不完整；業(yè)務(wù)數(shù)據(jù)都通過服務(wù)器磁盤進行存儲、備份，磁盤數(shù)據(jù)容易被刪除、修改，存在數(shù)據(jù)丟失的風(fēng)險。

（二）應(yīng)用控制審計

重點審計信息系統(tǒng)業(yè)務(wù)授權(quán)與審批失控等方面的情況；數(shù)據(jù)的真實性、完整性情況；業(yè)務(wù)數(shù)據(jù)的合法性、合規(guī)性、效益性情況。1．審計目標

通過對業(yè)務(wù)流程控制、數(shù)據(jù)控制、接口控制、補償性控制審計，主要檢查信息系統(tǒng)業(yè)務(wù)流程是否合法合規(guī)，數(shù)據(jù)是否真實完整。

2．審計測試過程

（1）業(yè)務(wù)流程控制審計

A．具體審計目標:通過對信息系統(tǒng)業(yè)務(wù)流程的分析，查出系統(tǒng)在安全性和可靠性等方面存在的薄弱環(huán)節(jié)。B．審計測試過程：通過流程圖分析法，繪制業(yè)務(wù)流程圖，對業(yè)務(wù)流程圖中關(guān)鍵控制點進行分析，查看是否存在漏洞。通過業(yè)務(wù)流程分析，審計發(fā)現(xiàn)在藥品價格調(diào)整控制點上，存在漏洞。

C．發(fā)現(xiàn)問題和建議：調(diào)價記錄共有5894條，其中4904條記錄編制、審核為同一人。醫(yī)院未建立《崗位職責(zé)分離制度》，使得藥品調(diào)價管理環(huán)節(jié)上存在漏洞。（2）數(shù)據(jù)控制審計

A．具體審計目標:對主數(shù)據(jù)的審計主要是：對業(yè)務(wù)收入的真實性審計；藥品價格、特殊醫(yī)療器材價格的審查；對重復(fù)、超范圍、超標準收取醫(yī)療服務(wù)費情況的審計等。對業(yè)務(wù)參數(shù)的審計主要是檢查藥品價格、收費項目等重要參數(shù)的合規(guī)性和準確性。對重要信息的審計主要是對業(yè)務(wù)數(shù)據(jù)的重要字段合理性進行檢查，分析系統(tǒng)在設(shè)計、錄入、存儲上存在的問題。B．審計測試過程：

①對業(yè)務(wù)參數(shù)的審計。我們將收費項目編碼和藥品編碼作為重要的業(yè)務(wù)數(shù)據(jù)參數(shù)，具體審計步驟：

一是采用數(shù)據(jù)核對法，核對數(shù)據(jù)庫中收費項目和藥品名稱。對照蘇價費[2005]213號文件內(nèi)容，未發(fā)現(xiàn)可疑的項目編碼以及藥品名稱的問題。

二是采用鉤稽關(guān)系效驗法。①將費用表中的收費情況和收費項目進行關(guān)聯(lián)，查找出住院病人和門診病人費用表中藥品和醫(yī)療服務(wù)價格異常的數(shù)據(jù)。分析疑點發(fā)現(xiàn)，造成數(shù)據(jù)異常的原因是藥品價格調(diào)整。②根據(jù)調(diào)價文件，查找調(diào)價時間大于調(diào)價文件規(guī)定時間。審計發(fā)現(xiàn)，藥品價格未及時調(diào)整。2009年度，系統(tǒng)未嚴格執(zhí)行蘇價工[2009]320號、揚價工[2009]147號等相關(guān)規(guī)定，有XX種藥品延期1-5天調(diào)價，涉及相關(guān)記錄1145條，金額X.XX萬元。初步認為該系統(tǒng)對重要業(yè)務(wù)參數(shù)缺乏嚴格控制。

②對重要信息的審計。主要是對人民醫(yī)院的核心表中重要字段進行檢查，查看系統(tǒng)在控制上是否存在不夠嚴謹?shù)膯栴}。

具體步驟：一是完整性審查。通過SQL查詢分析的方法，對病人信息表等核心表進行分析，發(fā)現(xiàn)代表病人唯一的ID字段長度不一致，存在為空、句號、加號的現(xiàn)象。病人的姓名、性別存在數(shù)字等現(xiàn)象。同時還存在同一個住院號，病人入院時間晚于出院時間等異常現(xiàn)象。

二是冗余性審查。審計發(fā)現(xiàn)“費用表”等重要的業(yè)務(wù)數(shù)據(jù)表中還存在測試數(shù)據(jù)。醫(yī)院信息管理系統(tǒng)中208張表有61張是無記錄的空表。

我們對醫(yī)院人員信息進行核對，發(fā)現(xiàn)離崗超過1年的人員，仍可以登陸系統(tǒng)，系統(tǒng)人員信息未及時清理。

經(jīng)過分析，初步認為該系統(tǒng)基本信息不完整，對業(yè)務(wù)數(shù)據(jù)錄入未嚴格進行控制，存在冗余數(shù)據(jù)影響系統(tǒng)安全。③對主數(shù)據(jù)的審計。

①我們結(jié)合SQL語句查詢并編寫了計算機審計方法，對數(shù)據(jù)的真實性和準確性方面進行審計分析。a.真實性審計。

具體步驟為：一是通過SQL查詢，統(tǒng)計出各個年度業(yè)務(wù)收入。審計中我們抽查了2009年門診掛號收入。二是通過AO系統(tǒng)對財務(wù)數(shù)據(jù)進行分析，得出2009年門診掛號收入。

三是比較業(yè)務(wù)數(shù)據(jù)與財務(wù)數(shù)據(jù)，分析得出2009年門診掛號收入一致，初步認為系統(tǒng)對業(yè)務(wù)數(shù)據(jù)真實性方面進行了控制。b.準確性審計。

套用編碼收費審計步驟：一是查找出藥庫記賬表中，采購、庫存藥品的編碼。

二是查找出病人繳納的費用編碼。

三是將藥品編碼和費用編碼進行關(guān)聯(lián)，查出無采購、無庫存，但是在使用的編碼作為審計疑點。

四是進一步分析審計疑點，求出套用編碼收費的金額。

審計最終發(fā)現(xiàn)，一次性巾單（編碼N058）2009年度采購數(shù)量為0，庫存數(shù)量為0，但是銷售給住院病人XXXXX條，涉及金額XX.XX萬元。

對醫(yī)療器械加價情況進行審計，發(fā)現(xiàn)可吸收縫線（編碼o001200）采購價XX.X元/根，銷售給病人XX元/根，2009年度共計銷售XXXX根，涉及金額XX萬元。

住院床位費用審計步驟：一是根據(jù)住院病人基本信息表，計算出入院日期和出院日期的時間差。按照入院當天計算，出院當天不計算的規(guī)定，更新當天入院又出院的數(shù)據(jù)。

二是不同的病床有不一樣的收費標準，我們在項目收費表中查找出不同病床的不同收費標準。

三是由于每個病人的每條收費記錄對應(yīng)每個收費編碼，我們根據(jù)住院病人費用表，統(tǒng)計出病人住院的天數(shù)。四是求出病人住院的天數(shù)與入院日期和出院日期的時間差不一致的數(shù)據(jù)，作為審計疑點。

查詢得出：2007年1月至2009年8月有XXXX人次住院病人多計病人床位天數(shù)XXXX天，多收床位費用X.XX萬元。經(jīng)過抽查核對住院檔案，我們發(fā)現(xiàn)多收住院費為醫(yī)保處結(jié)帳和系統(tǒng)更新造成數(shù)據(jù)庫時間差異，實際未多收。初步認為信息系統(tǒng)在數(shù)據(jù)準確性方面有待加強。

②結(jié)合人民醫(yī)院績效項目審計，對業(yè)務(wù)數(shù)據(jù)中設(shè)備產(chǎn)生的效益分析。采用量本利分析法對醫(yī)用直線加速器進行盈虧平衡分析。

分析得出：該設(shè)備保本點為年放療XXXX人次，而2009年實際放療人次為XXXX人次，故該設(shè)備一直處于虧損狀態(tài)。采用橫縱向比較法，對數(shù)據(jù)進行分析。通過橫向比較得出：（1）資產(chǎn)負債率控制較好，雖高于全市，但2008年低于揚州其他縣（市）；（2）藥品周轉(zhuǎn)天數(shù)逐年減少，并低于全市及揚州其他縣（市），資金使用效率進一步顯現(xiàn)；（3）床位使用率、床位周轉(zhuǎn)次數(shù)逐年提高，并高于全市，與業(yè)務(wù)收入逐年增長相匹配。與揚州其他縣（市）相比，2008年床位使用率高于高郵、寶應(yīng)，床位周轉(zhuǎn)次數(shù)高于江都；（4）管理費用占業(yè)務(wù)支出比率逐年遞減，并低于高郵、寶應(yīng)，支出結(jié)構(gòu)趨于合理。

通過縱向比較得出：藥品收入占醫(yī)藥收入比重在逐年增大，且2008年超過了50%（2009年達53.5%）。說明市人民醫(yī)院業(yè)務(wù)收入呈過多依賴藥品收入的趨勢，醫(yī)療機構(gòu)“以藥養(yǎng)醫(yī)”的現(xiàn)象短期仍難改變。藥占比變化情況如下圖：（3）接口控制審計

A．具體審計目標:對接口控制的審計主要是：對邏輯層接口標準的審計；對傳輸層數(shù)據(jù)傳輸、轉(zhuǎn)換實現(xiàn)的審計；對控制層差錯控制、無效傳輸?shù)膶徲嫛?/p>

B．審計測試過程：我們采用模擬測試等方法對HIS系統(tǒng)與醫(yī)療保險專線接口進行分析，系統(tǒng)按日進行匯總對賬，經(jīng)過抽查，數(shù)據(jù)能準確、完整的傳輸?shù)叫畔⑾到y(tǒng)中。C．發(fā)現(xiàn)問題和建議：未發(fā)現(xiàn)審計疑點。（4）系統(tǒng)外控制審計

A．具體審計目標:關(guān)注系統(tǒng)外的補償性控制措施。

B．審計測試過程：通過人為操作對系統(tǒng)進行補償性控制。

審計發(fā)現(xiàn)，市人民醫(yī)院通過病區(qū)工作站、醫(yī)務(wù)管理等55個不同的應(yīng)用程序，對信息系統(tǒng)操作管理進行了有效控制。

六、對案例的自我分析與評價

（一）案例亮點

一是圍繞“安全性、有效性和經(jīng)濟性”的總體目標，服務(wù)了績效審計項目的開展。在本次信息系統(tǒng)審計項目的實施過程中，我們強調(diào)了信息系統(tǒng)的效益性審計和分析。重點關(guān)注成本收益分析，審查其信息系統(tǒng)的硬件投入及可衡量收益；關(guān)注風(fēng)險控制分析，審查其系統(tǒng)的軟件投入與保障力；關(guān)注可持續(xù)性發(fā)展能力分析，審查其系統(tǒng)的可擴展性和升級跟進能力，充分體現(xiàn)了績效審計的鮮明特色。

二是構(gòu)建了系統(tǒng)模擬環(huán)境，降低了審計的風(fēng)險。在此次審計過程中，我們搭建了一個3人的小型域網(wǎng)，組建了客戶端和服務(wù)器，安裝了醫(yī)院的HIS系統(tǒng)，對數(shù)據(jù)庫數(shù)據(jù)進行移植，最后進行了程序的調(diào)試。通過組建模擬環(huán)境，一方面可以對應(yīng)用程序進行破壞性測試，查看系統(tǒng)的可靠性，另一方面，也可以減少在對方服務(wù)器上的操作，杜絕誤操作的出現(xiàn)，降低審計風(fēng)險。

三是嘗試編寫審計方法，提高了審計效率。在對該院業(yè)務(wù)數(shù)據(jù)的測試過程中，審計組對床位費用、套用編碼收費等審計內(nèi)容進行科學(xué)的歸納總結(jié)，梳理出有規(guī)律性的東西，在此基礎(chǔ)上編寫了審計方法，對相關(guān)業(yè)務(wù)數(shù)據(jù)進行批量處理，達到了高效便捷的目的，同時，有益于日后醫(yī)院審計項目中類似事項的推廣與使用。

（二）體會與啟發(fā)

本次信息系統(tǒng)審計結(jié)合了績效審計，圓滿完成了審計任務(wù)。審計結(jié)果及建議得到被審單位的重視和采納，收到了很好的審計效果，也為今后開展信息系統(tǒng)審計工作提供了一個成功的范例。這次審計不但使得我們積累了信息系統(tǒng)審計經(jīng)驗，還開拓了我們信息系統(tǒng)審計的思路，給了我們很多啟發(fā)：

一是要收集大量資料。信息系統(tǒng)不同于財務(wù)收支審計，它的審計范圍大，覆蓋面廣。我們不能僅僅依靠被審計單位提供的資料，還需要從其他渠道獲得資料。在本案例中，我們不但收集了人民醫(yī)院的財務(wù)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、內(nèi)控制度，還從病人手中獲得問卷反饋信息。大量的資料使得我們審計報告充實，審計評價內(nèi)容更加準確，審計風(fēng)險大幅降低。

二是要注重審前調(diào)查。審前調(diào)查是確定審計重點、實施現(xiàn)場審計的基礎(chǔ)。在本審計項目中，我們運用資料查閱法、座談法、現(xiàn)場觀察法、問卷調(diào)查法等四種方法對醫(yī)院進行了審前調(diào)查，例如，我們調(diào)查了群眾滿意度，調(diào)查業(yè)務(wù)流程，調(diào)查信息系統(tǒng)安全情況。全面、細致的調(diào)查，使得我們該信息系統(tǒng)審計項目事半功倍。

三是要轉(zhuǎn)變審計方式。在這次信息系統(tǒng)審計的過程中，我們積極轉(zhuǎn)變傳統(tǒng)的財務(wù)收支審計思路，打破以查找違法違紀問題為主的思維框框，找準信息系統(tǒng)審計的切入點，堅持以排查可能存在的異?，F(xiàn)象，分析產(chǎn)生問題原因，提出針對性的審計建議為主線，切實發(fā)揮信息系統(tǒng)審計的“系統(tǒng)免疫”功能。

四是要創(chuàng)新審計方法。審計方法不但影響了審計效率，還影響審計報告的質(zhì)量。在信息系統(tǒng)審計中，我們拋棄以前財務(wù)收支的核算法、復(fù)對法、統(tǒng)計法等方法，運用繪制流程圖法、數(shù)據(jù)核對法、模擬操作法、橫縱向比較法、量本利分析法、SQL語句查詢法、鉤稽關(guān)系效驗法、會議座談法、問卷調(diào)查等方法，提高信息系統(tǒng)審計的廣度和深度。

第二篇：信息系統(tǒng)審計

1、信息系統(tǒng)審計的概念，內(nèi)容，流程？

答：（1）概念信息系統(tǒng)審計是指根據(jù)公認的標準和指導(dǎo)規(guī)范，對信息系統(tǒng)從規(guī)劃、實施到運行維護各個環(huán)節(jié)進行審查評價，對信息系統(tǒng)及其業(yè)務(wù)的完整性、有效性、效率性、安全性等進行監(jiān)測、評估和控制的過程，以確定預(yù)定的業(yè)務(wù)目標得以實現(xiàn)，斌提出一系列改進建議的管理活動。

（2）內(nèi)容：主要包括內(nèi)部控制系統(tǒng)審計、系統(tǒng)開發(fā)審計、應(yīng)用程序?qū)徲?、?shù)據(jù)文件審計等。a.內(nèi)部控制系統(tǒng)審計。信息系統(tǒng)的內(nèi)部控制系統(tǒng)由兩個子系統(tǒng)構(gòu)成：一是一般控制系統(tǒng)，它是系統(tǒng)運行環(huán)境方面的控制，為應(yīng)用程序的正常運行提供外圍保障。另一子系統(tǒng)是應(yīng)用控制系統(tǒng)，它是針對具體的應(yīng)用系統(tǒng)和程序而設(shè)置的各種控制措施。

b.系統(tǒng)開發(fā)審計。是指對信息系統(tǒng)開發(fā)過程所進行的審計，這是一種事前審計。

c.應(yīng)用程序?qū)徲?。其決定了數(shù)據(jù)處理的合規(guī)性、正確性。對應(yīng)用程序的審計，可以對程序直接進行審查，也可以通過數(shù)據(jù)在程序上的運行進行間接測試。

d.數(shù)據(jù)文件審計。在信息系統(tǒng)中，各種憑證、賬簿及報表中的數(shù)據(jù)均以數(shù)據(jù)文件的形式存儲在硬盤或軟盤等存儲介質(zhì)中，對數(shù)據(jù)文件進行審計，可以將該文件打印出來進行檢查，也可以在計算機內(nèi)直接進行審查。

（3）流程：主要的分為準備階段、實施階段、終結(jié)階段。

a.準備階段：

1、明確審計任務(wù)。

2、組成信息系統(tǒng)審計小組。

3、了解被審計系統(tǒng)的基本情況。

4、制定信息系統(tǒng)審計方案；

b.實施方案：

1、對被審計系統(tǒng)的內(nèi)部控制制度進行健全性調(diào)查和符合性測試。

2、對帳表單證或數(shù)據(jù)文件的實質(zhì)性審查；

c.終結(jié)階段：

1、整理歸納審計資料。

2、撰寫審計報告。

3、發(fā)出審計結(jié)論和決定。

4、審計資料的歸檔和管理。

2、常見的IT治理標準有哪些，各自的作用是什么？

答：常見的IT治理標準有ITIL，COBIT，BS 7799，PRINCE2。

（1）ITIL（Information Technology Infrastructure Library），即信息技術(shù)基礎(chǔ)構(gòu)架庫，一套被廣泛承認的用于有效IT服務(wù)管理的時間準則。1980年以來，英國政府商務(wù)辦公室為解決“IT服務(wù)質(zhì)量不佳”的問題，逐步提出和完善了一整套對IT服務(wù)的質(zhì)量進行評估的方法體系。

（2）COBIT，（Control Objectives for Information and related Technology）：信息和相關(guān)技術(shù)的控制目標。它是由信息系統(tǒng)審計與控制協(xié)會，于1996年推出的用于IT審計的知識體系。作為IT治理的核心模型，其包括34個信息技術(shù)過程控制，并歸集為IT規(guī)劃和組織、系統(tǒng)獲得和實施、交付與支持以及信息系統(tǒng)運行性能監(jiān)控4個領(lǐng)域。目前COBIT是國際上公認的IT管理與控制標準。

（3）BS 7799（ISO/IEC17799）：國際信息安全管理標準體系。該標準包括信息系統(tǒng)安全管理和安全認證兩大部分，是參照英國國家標準BS 7799而來的。它是一個詳細的安全標準，包括安全內(nèi)容的所有準則，由10個獨立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。該體系主要解決企業(yè)的信息安全管理上的問題，為企業(yè)提供了一個完整的管理框架，不斷改進信息安全管理水平，使機構(gòu)或企業(yè)的信息安全以最小代價達到需要的水準。

（4）PRINCE2（Projects In Controlled Environments）是一種對項目管理的某些特定方面提供支持的方法。PRINCE2描述了一個項目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個項目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對具體項目的管理，還覆蓋了在組織范圍對項目的管理。

3、常見的信息系統(tǒng)開發(fā)方法，對其中的一到兩種展開說明？

答：常見的信息系統(tǒng)開發(fā)方法有軟件開發(fā)生命周期法、原型法、面向?qū)ο蠓ā⒂嬎銠C輔助開發(fā)方法、基于組件的開發(fā)方法、基于Web應(yīng)用開發(fā)方法。以下對軟件開發(fā)生命周期法進行

說明。

軟件開發(fā)生命周期法（Software Development Life Cycle，SDLC）是系統(tǒng)分析員和系統(tǒng)開發(fā)者常用的軟件開發(fā)方法。軟件開發(fā)生命周期法能夠生產(chǎn)高質(zhì)量的軟件，滿足業(yè)務(wù)和用戶的需求，在開發(fā)進度和成本控制下進行軟件開發(fā)生產(chǎn)，是一種有效保證成本，提高效益的軟件開發(fā)方法。通過應(yīng)用傳統(tǒng)的SDLC方法，已經(jīng)成功開發(fā)出了大量的業(yè)務(wù)應(yīng)用系統(tǒng)。其各個階段及其基本內(nèi)容如下：

1、第一階段——可行性研究。確定實施系統(tǒng)在提高生產(chǎn)效率或未來降低成本方面的戰(zhàn)略利

益，確定和量化新系統(tǒng)可以節(jié)約的成本，評價新系統(tǒng)的成本回收期。

2、第二階段——需求定義。一是定義需要解決的問題，二是定義所需的解決方案及方案應(yīng)

當具有的功能和質(zhì)量要求。該階段還要確定是采用定制開發(fā)的方法還是供應(yīng)商提供的軟件包。

3、第三階段A——系統(tǒng)設(shè)計（當決定自行開發(fā)軟件時）。以需求定義為基礎(chǔ)，建立一個系

統(tǒng)基線和子系統(tǒng)的規(guī)格說明，以描述系統(tǒng)功能如何實現(xiàn)，各個部分之間接口如何定義，系統(tǒng)如何使用已選擇的硬件、軟件和網(wǎng)絡(luò)設(shè)施等。

4、第三階段B——系統(tǒng)獲取（當決定購買現(xiàn)成軟件包時）。以需求定義為基礎(chǔ)，向軟件供

應(yīng)商發(fā)出請求建議書（RFP）。商品軟件的選擇要從多方面進行考慮。

5、第四階段A——系統(tǒng)開發(fā)（當決定自行開發(fā)軟件時）。使用系統(tǒng)設(shè)計說明書來設(shè)計編程

和實現(xiàn)系統(tǒng)過程。在這個階段，要進行各個層次的測試，以驗證和確認開發(fā)的系統(tǒng)。

6、第四階段B——系統(tǒng)配置（當決定購買現(xiàn)成軟件包時）。如果決定選用商品化的軟件包

時，需要按照企業(yè)的需求進行系統(tǒng)客戶化工作，對系統(tǒng)進行剪裁。這種剪裁最好是通過配置系統(tǒng)參數(shù)來實現(xiàn)，而不是通過修改程序源代碼。

7、第五階段——系統(tǒng)實施。這個階段是在最終用戶驗收測試完成、用戶簽署正式文件后進

行。系統(tǒng)還需要通過一些認證和鑒定過程，來評價應(yīng)用系統(tǒng)的有效性。

8、第六階段——實施后維護。隨著一個新系統(tǒng)或徹底修改的系統(tǒng)的成功實施，應(yīng)當建立正

式的程序來評估系統(tǒng)的充分性和評價成本效益或投資回報。這樣可為后續(xù)的系統(tǒng)開發(fā)項目管理提供改進意見。

當一個項目的需求穩(wěn)定、定義準確時，生命周期法使用起來最有效，改方法適用于在開發(fā)工作的早期建立總體的系統(tǒng)構(gòu)架。

4、IT服務(wù)管理的定義，包括哪些內(nèi)容？

答：（1）IT服務(wù)管理（IT Service Management，ITSM）有以下兩種使用比較廣泛的定義：

1、IT服務(wù)管理是一種以流程為導(dǎo)向、以客戶為中心的方法。它通過整合IT服務(wù)于企業(yè)業(yè)

務(wù)，提高了企業(yè)的IT服務(wù)提供和服務(wù)支持的能力和水平。

2、IT服務(wù)管理是一套通過SLA（服務(wù)級別協(xié)議）來保證IT服務(wù)質(zhì)量的協(xié)同流程。它融合了系統(tǒng)管理、網(wǎng)絡(luò)管理、系統(tǒng)開發(fā)管理等管理活動以及變更管理、資產(chǎn)管理、問題管理等許多流程理論和實踐。

（2）ITIL主題框架包括6個主要模塊，即服務(wù)管理、業(yè)務(wù)管理、ICT（信息與通信技術(shù)）基礎(chǔ)設(shè)施管理、貫穿業(yè)務(wù)和IT基礎(chǔ)設(shè)施的應(yīng)用管理、IT服務(wù)管理實施規(guī)劃和集中的安全管理。

08信息2班0804100229徐怡

第三篇：信息系統(tǒng)審計重點

信息系統(tǒng)審計

電子計算機在數(shù)據(jù)處理的發(fā)展過程可分為三個階段：數(shù)據(jù)的單項處理階段、數(shù)據(jù)的綜合處理階段、數(shù)據(jù)的系統(tǒng)處理階段。

數(shù)據(jù)處理電算化以后，對傳統(tǒng)的審計產(chǎn)生了巨大的影響，主要表現(xiàn)在：

1、對審計線索的影響~~~~

2、對審計方法和技術(shù)的影響~~~~~~

3、對審計人員的影響~~~~~

4、對審計準則的影響~~~~~~ 信息系統(tǒng)審計的定義：信息系統(tǒng)審計是根據(jù)公認的標準和指導(dǎo)規(guī)范，對信息系統(tǒng)從規(guī)劃、實施到運行維護各個環(huán)節(jié)進行審查評價，對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整性、有效性、效率性、安全性等進行檢測、評估和控制的過程，以確認預(yù)訂的業(yè)務(wù)目標得以實現(xiàn)，并提出一系列改進建議的管理活動。

信息系統(tǒng)的主體：有勝任能力的信息系統(tǒng)獨立審計機構(gòu)或人員 信息系統(tǒng)審計的對象：被審計的信息系統(tǒng)

信息系統(tǒng)審計工作的核心：客觀地收集和評估證據(jù)

信息系統(tǒng)審計的目的是評估并提供反饋、保證及建議。關(guān)注之處被分為三類：可用性、保密性、完整性。

信息系統(tǒng)審計的特點：審計范圍的廣泛性、審計線索的隱蔽性、易逝性、審計取證的動態(tài)性、審計技術(shù)的復(fù)雜性。（真是為一道簡答題。在P6，詳細看一下各段內(nèi)容，概括下再答題）信息系統(tǒng)審計目標：

1、保護資產(chǎn)的完整性

2、保證數(shù)據(jù)的準確性

3、提高系統(tǒng)的有效性

4、提高系統(tǒng)的效率性

5、保證信息系統(tǒng)的合規(guī)性與合法性

信息系統(tǒng)的主要內(nèi)容：內(nèi)部控制系統(tǒng)審計（分為一般控制系統(tǒng)、應(yīng)用控制系統(tǒng)，對信息系統(tǒng)的內(nèi)部控制系統(tǒng)進行審計的目的是在內(nèi)部控制審計的基礎(chǔ)上對信息系統(tǒng)的處理結(jié)果進行審計、加強內(nèi)部控制，完善內(nèi)部控制系統(tǒng)）系統(tǒng)開發(fā)審計(信息系統(tǒng)開發(fā)審計是對信息系統(tǒng)開發(fā)過程進行的審計，審計目的一是要檢查開發(fā)的方法、程序是否科學(xué)，是否含有恰當?shù)目刂?；二是要檢查開發(fā)過程中產(chǎn)生的系統(tǒng)文檔資料是否規(guī)范。)應(yīng)用程序?qū)徲嫞▽彶閼?yīng)用程序有兩個目的，意識測試應(yīng)用控制系統(tǒng)的符合性，二是通過檢查程序運算和邏輯的正確性達到實質(zhì)性測試目的）數(shù)據(jù)文件審計（審計目的一是對數(shù)據(jù)文件進行實質(zhì)性測試，二是通過數(shù)據(jù)文件的審計，測試一般控制或應(yīng)用控制的符合性，但主要是為了實質(zhì)性測試）（這是道簡答題，在P8各個小概括下）

信息系統(tǒng)審計的基本方法：繞過信息系統(tǒng)審計、通過信息系統(tǒng)審計 信息系統(tǒng)審計的步驟（大題P11）：

準備階段：明確審計任務(wù)，組成信息系統(tǒng)審計小組，了解被審計系統(tǒng)的基本情況，指定信息系統(tǒng)審計方案，發(fā)出審計通知書 實施階段：對被審計系統(tǒng)的內(nèi)部控制制度進行健全性調(diào)查和符合性測試，對賬表單證或數(shù)據(jù)文件的實質(zhì)性審查

終結(jié)階段：整理歸納審計資料，撰寫審計報告，發(fā)出審計結(jié)論和決定，審計資料的歸檔和管理

國際信息系統(tǒng)審計準則：由信息系統(tǒng)審計與控制協(xié)會（ISACA）頒布和實施的。ISACA是國際上唯一的信息系統(tǒng)審計專業(yè)組織，通過制定和頒布信息系統(tǒng)審計標準、指南和程序來規(guī)范審計師的工作，它由三個層次構(gòu)成： 審計標準（審計標準是整個信息系統(tǒng)準則體系的總綱，是制定審計指南和作業(yè)程序的基礎(chǔ)和依據(jù)）審計指南（審計指南為審計標準的應(yīng)用提供了指引，信息系統(tǒng)審計師在審計過程中應(yīng)考慮如何應(yīng)用指南以實現(xiàn)審計標準的要求，在應(yīng)用過程中靈活運用專業(yè)判斷并糾正任何偏離準則的行為）

作業(yè)程序（作業(yè)程序提供了信息系統(tǒng)審計師在審計過程中可能遇到的審計程序的示例）信息系統(tǒng)審計師應(yīng)具備的素質(zhì)（大題P18-19）

應(yīng)具備的理論知識:傳統(tǒng)審計理論、信息系統(tǒng)管理理論、計算機科學(xué)、行為科學(xué)理論

應(yīng)具有的實踐技能：參加過不同類別的工作培訓(xùn)、參與專業(yè)的機構(gòu)或廠商組織的研討會，動態(tài)掌握信息技術(shù)的新發(fā)展對審計實踐的影響、具有理解信息處理活動的各種技術(shù)、理解并熟悉操作環(huán)境，評估內(nèi)部控制的有效性、理解現(xiàn)有與未來系統(tǒng)的技術(shù)復(fù)雜性，以及它們對各級操作與決策的影響、能使用技術(shù)的方法去識別系統(tǒng)的完整性、要參與評估與使用信息技術(shù)相關(guān)的有效性、效率、風(fēng)險等、能夠提供審計集成服務(wù)并為審計員工提供指導(dǎo)，與財務(wù)審計師一起對公司財務(wù)狀況做出說明、具備系統(tǒng)開發(fā)方法論、安全控制設(shè)計、實施后評估等、掌握網(wǎng)絡(luò)相關(guān)的安全實踐、信息安全服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃、異步傳輸模式等通信技術(shù)。IT治理定義：德勒定義：IT治理是一個含義廣泛的概念，包括信息系統(tǒng)、技術(shù)、通信、商業(yè)、所有利益相關(guān)者、合法性和其他問題。其主要任務(wù)是保持IT與業(yè)務(wù)目標一致，推動業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，IT相關(guān)風(fēng)險的適當管理。

IT治理必須與企業(yè)戰(zhàn)略目標一致，IT對于企業(yè)非常關(guān)鍵，也是戰(zhàn)略規(guī)劃的組成，影響戰(zhàn)略競爭；IT治理和其他治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會為代表）；IT治理保護利益相關(guān)者的權(quán)益，使風(fēng)險透明化，指導(dǎo)和控制IT投資、機遇、利益、風(fēng)險；IT治理包括管理層、組織結(jié)構(gòu)、過程，以確保IT維護和拓展組織戰(zhàn)略目標；應(yīng)該合理利用企業(yè)的信息資源，有效的集成與協(xié)調(diào)；確保IT及時按照目標交付，有合適的功能和期望的收益，是一個一致性和價值傳遞的基本構(gòu)建模塊，有明確的期望值和衡量手段；引導(dǎo)IT戰(zhàn)略平衡系統(tǒng)的投資，支持企業(yè)，變革企業(yè)，或者創(chuàng)建一個信息基礎(chǔ)架構(gòu)，保證業(yè)務(wù)增長，并在一個新的領(lǐng)域競爭。

IT治理和IT管理的關(guān)系：IT管理是在既定的IT治理模式下，管理層為實現(xiàn)公司的目標二采取的行動，IT治理規(guī)定了整個企業(yè)IT運作的基本框架，IT管理則是在這個既定的框架下駕馭企業(yè)奔向目標。缺乏良好IT治理模式的公司，即使有很好的IT管理體系，就想一座地基不牢固的大廈；同時，沒有公司IT管理體系的流暢，單純的治理模式也只能是一個美好的藍圖，而缺乏實際的內(nèi)容。

公司治理和IT治理：公司治理，驅(qū)動和調(diào)整IT治理。同時，IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計劃的一個重要組成部分，即IT影響企業(yè)的戰(zhàn)略競爭機遇。IT治理標準：ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型：不存在、初始級、可重復(fù)級、已定義級、已管理級、已優(yōu)化級（主要內(nèi)容及其作用在P47-48）

信息系統(tǒng)內(nèi)部控制：是一個單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務(wù)活動的有效進行，保護資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊、確保信息系統(tǒng)提供信息的真實、合法、完整，而制定和實施的一系列政策與程序措施。凡是與信息系統(tǒng)的建立、運作維護、管理和業(yè)務(wù)處理有關(guān)的部門、人員和活動，都屬于信息系統(tǒng)內(nèi)部控制的對象，可分為一般控制和應(yīng)用控制。

信息系統(tǒng)一般控制是應(yīng)用于一個單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制，其基本目標為保證數(shù)據(jù)安全、保護計算機應(yīng)用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的繼續(xù)運行等。

信息系統(tǒng)應(yīng)用控制是用于對具體應(yīng)用系統(tǒng)的控制，一個應(yīng)用系統(tǒng)一般由多個相關(guān)計算機程序組成，有些應(yīng)用系統(tǒng)可能是復(fù)雜的綜合系統(tǒng)，牽涉到多個計算機程序和組織單元，與此相對應(yīng)，應(yīng)用控制包括包含在計算機編碼中的日?？刂萍芭c用戶活動相關(guān)的政策和流程。良好的一般控制是應(yīng)用控制的基礎(chǔ)，可以為應(yīng)用控制的有效性提供有力的保障，某些應(yīng)用控制的有效性取決于計算機整體環(huán)境控制的有效性。當計算機整體環(huán)境控制薄弱時，應(yīng)用控制就無法真正提供合理保障。如果一般控制審計結(jié)果很差，應(yīng)用控制審計結(jié)果很差，應(yīng)用控制審計就沒有進行的必要。

審計邏輯訪問安全策略：知所必需原則

審查離職員工的訪問控制：請辭、聘用合同期滿和非自愿離職 數(shù)據(jù)庫加密：一般采用公開密鑰加密方法 系統(tǒng)訪問控制及其審計：系統(tǒng)訪問就是利用計算機資源達到一定目的的能力，對計算機化的信息資源的訪問可以基于邏輯方式，也可以基于物理方式。物理訪問控制可以限制人員進出敏感區(qū)域。對計算機信息的物理訪問與邏輯訪問應(yīng)當建立在“知所必需”的基礎(chǔ)上，按照最小授權(quán)原則和職責(zé)分離原則來分配系統(tǒng)訪問權(quán)限，并把這些訪問規(guī)則與訪問授權(quán)通過正式書面文件記錄下來，作為信息安全的重要文件加以妥善管理。身份識別與驗證（簡答題P65-66）：邏輯訪問控制中的身份識別與驗證是一種提供用戶身份證明的過程，在這個過程中，用戶向系統(tǒng)提交有效的身份證明，系統(tǒng)驗證這個身份證明后向用戶授予訪問系統(tǒng)的能力?？煞譃槿悾骸爸挥心阒赖氖虑椤薄爸挥心銚碛械臇|西”“只有你具有的特征” 例子：賬號與口令、令牌設(shè)備、生物測定技術(shù)與行為測定技術(shù)。邏輯訪問授權(quán)：一般情況下邏輯訪問控制基于最小授權(quán)原則，支隊因工作需要訪問信息系統(tǒng)的人員進行必要的授權(quán)。當用戶在組織變換工作角色時，在賦予他們新訪問權(quán)限時，一般沒有及時取消舊的訪問權(quán)限，這就會產(chǎn)生訪問控制上的風(fēng)險。所以當員工職位有變動時，信息系統(tǒng)審計師就要及時審核訪問控制列表是否做了有效變更。災(zāi)難恢復(fù)控制及其審計：信息系統(tǒng)的災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計劃是組織中總的業(yè)務(wù)持續(xù)計劃和災(zāi)難恢復(fù)計劃的重要組成部分?；謴?fù)策略與恢復(fù)類型：熱站、溫站、冷站、冗余信息處理設(shè)施、移動站點、組織間互惠協(xié)議。BCP中多個計劃文件：業(yè)務(wù)持續(xù)性計劃（BCP）、業(yè)務(wù)恢復(fù)計劃（BRP）、連續(xù)作業(yè)計劃（COOP）連續(xù)支持計劃、IT應(yīng)急計劃、危機通信計劃、事件響應(yīng)事件、災(zāi)難恢復(fù)計劃（DRP）、場所緊急計劃（OEP）

異地備份：完全備份、增量備份、差分備份

災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃的審計：主要任務(wù)是理解與評價組織的業(yè)務(wù)連續(xù)性策略，及其組織業(yè)務(wù)目標的符合性；參考相應(yīng)的標準和法律法規(guī)，評估該計劃的充分性和時效性；審核信息系統(tǒng)及終端用戶對計劃所做的測試的結(jié)果，驗證計劃的有效性；審核異地存儲設(shè)施機器內(nèi)容、安全和環(huán)境控制，以評估異地存儲站點的適當性；通過審核應(yīng)急措施、員工培訓(xùn)、測試結(jié)果，評估信息系統(tǒng)及其終端用戶在緊急情況下的有效反應(yīng)能力；確認組織對業(yè)務(wù)持續(xù)性計劃的維護措施存在并有效。

應(yīng)用控制概念：應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準確地完成而建立的內(nèi)部控制。應(yīng)用控制涉及各種類型的業(yè)務(wù)，每種業(yè)務(wù)及其數(shù)據(jù)處理尤其特殊流程的要求，這決定了具體的應(yīng)用控制的設(shè)計需結(jié)合具體的業(yè)務(wù)。單另一方面。由于數(shù)據(jù)處理過程一般都是由輸入、處理和輸出三個階段構(gòu)成，從這一共性出發(fā)，可將應(yīng)用控制劃分為輸入控制、處理控制和輸出控制。應(yīng)用控制也是由手工控制和程序化控制構(gòu)成，但以程序化控制為主。

軟件維護的種類：糾錯行為化、適應(yīng)性維護、完善性維護、預(yù)防性維護 服務(wù)管理：面向IT基礎(chǔ)設(shè)施管理的服務(wù)支持、面向業(yè)務(wù)管理的服務(wù)提供

IT服務(wù)提供流程主要面對付費的機構(gòu)和個人客戶，負責(zé)為客戶提供高質(zhì)量、低成本的IT服務(wù)。任務(wù)：根據(jù)組織的業(yè)務(wù)需求，對服務(wù)能力、持續(xù)性、可用性等服務(wù)級別目標進行規(guī)劃和設(shè)計，同時還必須考慮到這些服務(wù)目標所需要耗費的成本。主要包括服務(wù)水平管理、IT服務(wù)財務(wù)管理、能力管理、IT服務(wù)持續(xù)性管理和可用性管理5個服務(wù)管理流程。

IT服務(wù)的服務(wù)支持主要面向終端用戶，負責(zé)確保IT服務(wù)的穩(wěn)定性與靈活性，用于確保終端用戶得到適當?shù)姆?wù)，以支持組織的業(yè)務(wù)功能。服務(wù)支持流程包括體現(xiàn)服務(wù)接觸和溝通的服務(wù)臺職能和5個運作層次的流程，即配置管理、事務(wù)管理、問題管理、變更管理、發(fā)布管理。應(yīng)用程序?qū)徲嫷膬?nèi)容：

審查程序控制是否健全有效：程序中輸入控制的審計、程序中處理控制的審計、程序中輸出控制的審計。

審查程序的合法性P168 簡單論述

審查程序編碼的正確性：目標和任務(wù)不明確、系統(tǒng)設(shè)計差錯、程序設(shè)計說明書錯誤、程序語法或邏輯錯誤

審查程序的有效性：在具體編寫程序前應(yīng)簡化算術(shù)表達式及邏輯表達式、細心的分析多層嵌套循環(huán)，以確定能否把一些語句或表達式轉(zhuǎn)移到循環(huán)體制外、盡量避免采用多維數(shù)組、盡量避免采用指針及復(fù)雜的表、采用“快”的算法；不要把不同的數(shù)據(jù)類型混在一起；只要可能就采用整形數(shù)的算法運算和布爾表達式。應(yīng)用程序?qū)徲嫹椒ǎ簩?yīng)用程序進行審計，往往是計算機輔助審計方法與手工審計方法的結(jié)合。

檢測數(shù)據(jù)法：是指審計人員把一批預(yù)先設(shè)計好的監(jiān)測數(shù)據(jù)，利用被審程序加以處理，并把處理的結(jié)果與預(yù)期的結(jié)果作比較，以確定被審程序的控制與處理功能是否恰當、有效的一種方法。

平行模擬法：是指審計人員自己或請計算機專業(yè)人員編寫的具有和被審計程序相同處理和控制的模擬程序，用這種程序處理當期的實際數(shù)據(jù)，并以處理的結(jié)果與被審計程序的處理結(jié)果進行比較，以評價被審程序的處理和控制功能是否可靠的一種方法 嵌入審計程序法：是指被審計信息系統(tǒng)的設(shè)計和開發(fā)階段，在被審的應(yīng)用程序中嵌入為執(zhí)行特定的審計功能而設(shè)計的程序段，這些程序段可以用來收集審計人員感興趣的資料，并且建立一個審計控制文件，用來存儲這些資料，審計人員通過這些資料的審核來確定被審程序的處理和控制功能的可靠性。

程序追蹤法：是一種對給定的業(yè)務(wù)，跟蹤被審程序處理步驟的審查技術(shù)。一般可由追蹤軟件來完成，也可利用某些高級語言或數(shù)據(jù)庫管理系統(tǒng)中的跟蹤指令被審查程序的處理。

第四篇：信息系統(tǒng)審計工作制度

信息系統(tǒng)審計工作

今天，信息系統(tǒng)已成為企業(yè)業(yè)務(wù)處理的中樞，信息系統(tǒng)的可靠、安全、效率左右著企業(yè)的命運。企業(yè)不僅要在內(nèi)部設(shè)立信息系統(tǒng)審計部門，實施內(nèi)部審計，還必須委托外部信息系統(tǒng)審計師站在第三方的客觀立場對信息系統(tǒng)進行全面的檢查與評價。要實施獨立的信息系統(tǒng)審計，確立信息系統(tǒng)審計制度是十分重要的。

因此，為了規(guī)范部門內(nèi)部工作流程和質(zhì)量控制，協(xié)助其他部門了解信息系統(tǒng)審計部門的業(yè)務(wù)支持范圍、工作內(nèi)容及工作流程，促進部門間就項目中設(shè)計的信息系統(tǒng)審計業(yè)務(wù)范圍進行有效溝通，協(xié)調(diào)項目工作計劃的界定和質(zhì)量管理，避免因項目中工作職責(zé)和工作范圍界定不明確而降低審計工作的效率和效果，特制訂此信息系統(tǒng)審計制度。

本制度主要內(nèi)容包括信息系統(tǒng)審計部門應(yīng)何時介入企業(yè)進行信息系統(tǒng)審計工作，為財務(wù)審計團隊提供信息系統(tǒng)審計業(yè)務(wù)支持的工作范圍及本部門其他的工作職責(zé)范圍，信息系統(tǒng)審計的工作程序及方法，以及信息系統(tǒng)審計對客戶能夠達成的效果等，特作以下介紹說明。

一、信息系統(tǒng)審計何時介入

信息系統(tǒng)審計（IT Audit）是信息系統(tǒng)鑒證業(yè)務(wù)中的一種。信息系統(tǒng)審計是根據(jù)業(yè)務(wù)和信息控制目標，針對信息系統(tǒng)環(huán)境內(nèi)設(shè)定的控制，通過搜集和評估審計證據(jù)，對信息系統(tǒng)控制的有效性發(fā)表結(jié)論或意見的過程。

信息系統(tǒng)審計有四個層面：

1.它的目的是對信息系統(tǒng)控制的有效性發(fā)表評估結(jié)論或?qū)徲嬕庖?。有效性包括控制設(shè)計的有效性和執(zhí)行有效性；

2.它的對象是信息系統(tǒng)環(huán)境中的各種控制流程或機制，包括IT 一般控制和應(yīng)用控制；3）

3.它的內(nèi)容是搜集和評估審計證據(jù)；

4.它的依據(jù)是業(yè)務(wù)控制目標，比如系統(tǒng)是否有效實施控制保證財務(wù)軟件計算的固定資產(chǎn)折舊程序是否準確。通過執(zhí)行信息系統(tǒng)審計，可以協(xié)助財務(wù)審計團隊了解和評價信息系統(tǒng)的可靠性和安全性及財務(wù)數(shù)據(jù)的完整性和準確性。

財務(wù)審計團隊在財務(wù)審計業(yè)務(wù)計劃階段，需對客戶的信息系統(tǒng)環(huán)境進行調(diào)查，若客戶的信息系統(tǒng)環(huán)境評估結(jié)果為復(fù)雜時，需邀請信息系統(tǒng)審計人員介入共同探討審計計劃，根據(jù)業(yè)務(wù)系統(tǒng)的復(fù)雜度、實體業(yè)務(wù)性質(zhì)、財務(wù)審計團隊人員的技能和知識、業(yè)務(wù)處理本質(zhì)（如：是否為高度自動化）、交易數(shù)量及信息系統(tǒng)的管理方式（如：若信息系統(tǒng)由第三方管理，則需考慮是否需要SAS70或者相關(guān)的報告）確定信息系統(tǒng)審計業(yè)務(wù)支持服務(wù)范圍，并在信息系統(tǒng)審計計劃中以書面的形式記錄業(yè)務(wù)約定。若客戶的信息系統(tǒng)環(huán)境評估結(jié)果為不復(fù)雜時，信息系統(tǒng)審計工作可由審計團隊完成，必要時信息系統(tǒng)審計團隊可以提供知識和技術(shù)的支持和咨詢服務(wù)。

其中，若在計劃審計程序階段或者審計過程中了解到客戶業(yè)務(wù)處理過程高度自動化（如：銀行，保險，電信，和零售業(yè)等高度依賴電算化的企業(yè)環(huán)境和特定行業(yè)高度依賴信息系統(tǒng)處理業(yè)務(wù)），僅僅執(zhí)行實質(zhì)性程序無法提供足夠的審計證據(jù)時，在約定信息系統(tǒng)審計業(yè)務(wù)服務(wù)范圍時，需考慮同時包括應(yīng)用控制審計及其他可以輔助財務(wù)審計團隊確認交易的真實性、完整性、準確性、截止性的審計程序。

在約定信息系統(tǒng)審計是否介入時，需要考慮如下因素：

?系統(tǒng)的復(fù)雜性；

? ?業(yè)務(wù)的本質(zhì)；

? ?財務(wù)審計團隊的技能和知識；

? ?系統(tǒng)的位置（例如，如果包含一個服務(wù)組織，SAS70或相關(guān)的報告能否被使用）；

? ?處理的本質(zhì)（例如高度自動化）和交易的數(shù)量。

在評估信息系統(tǒng)是否復(fù)雜時，我們認為以下特征是復(fù)雜信息系統(tǒng)的指標：

?客戶實施編程和/或開發(fā)；

?信息系統(tǒng)處理過程高度自動化，很少或者沒有人工干預(yù)；

?不同的系統(tǒng)接口；

?信息系統(tǒng)使用批處理（計劃任務(wù)）；

?實施了新系統(tǒng)或者系統(tǒng)間進行了轉(zhuǎn)換；

?使用了單點登錄（SSO）或者集中權(quán)限管理（CRM）系統(tǒng)。

二、信息系統(tǒng)審計業(yè)務(wù)范圍

信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的目標得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。信息系統(tǒng)審計業(yè)務(wù)范圍包括：

（一）為財務(wù)審計團隊提供信息系統(tǒng)審計業(yè)務(wù)支持；

（二）支持企業(yè)內(nèi)部控制審計；

（三）開展獨立的信息系統(tǒng)審計業(yè)務(wù)；

（四）對信息系統(tǒng)控制及安全方面提供獨立建議的咨詢服務(wù)。

（一）為財務(wù)審計團隊提供信息系統(tǒng)審計業(yè)務(wù)支持

信息系統(tǒng)審計業(yè)務(wù)為財務(wù)審計提供合理保證，其提供的支持服務(wù)內(nèi)容包括：

1.信息系統(tǒng)一般控制：

?IT控制環(huán)境/關(guān)鍵職責(zé)分離；

?主要業(yè)務(wù)和財務(wù)系統(tǒng)的開發(fā)以及程序變更管理；

?IT系統(tǒng)運維管理，如數(shù)據(jù)批處理、數(shù)據(jù)備份、數(shù)據(jù)中心維護；

?業(yè)務(wù)和財務(wù)系統(tǒng)環(huán)境中關(guān)鍵的信息安全和權(quán)限控制管理，包括用戶賬戶和授權(quán)管理、應(yīng)用系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全、操作系統(tǒng)安全、和網(wǎng)絡(luò)安全。

2.應(yīng)用控制：

支持重要業(yè)務(wù)流程的各應(yīng)用和接口系統(tǒng)中固化在程序中的關(guān)鍵控制點。這要根據(jù)財務(wù)審計團隊確定的業(yè)務(wù)流程而定。比如銷售、采購、庫存、應(yīng)收、應(yīng)付、總賬、資金、電子商務(wù)、銀行存貸等。

3.根據(jù)業(yè)務(wù)復(fù)雜性確定的其他控制：

如根據(jù)重大賬戶余額，交易類型或披露事項的重大錯報風(fēng)險的評估結(jié)果，對依賴于計算機生成的信息執(zhí)行信息（CGI）控制測試，計算機輔助審計（CAATs）測試，會計分錄測試（JET）等。

（二）支持企業(yè)內(nèi)部控制審計

信息系統(tǒng)審計對企業(yè)的內(nèi)部控制審計提供支持，對特定基準日內(nèi)部控制設(shè)計與運行的有效性進行審計，其主要內(nèi)容包括：

1.恰當?shù)赜媱潈?nèi)部控制審計工作；

2.實施審計工作，評價內(nèi)部控制是否可以應(yīng)對舞弊風(fēng)險，測試內(nèi)部控制設(shè)計與運行的有效性；

3.評價企業(yè)內(nèi)部控制缺陷，按其影響程度分為重大缺陷、重要缺陷和一般缺陷；

4.獲取充分、適當?shù)淖C據(jù)，為在內(nèi)部控制審計中對內(nèi)部控制有效性發(fā)表意見和對控制風(fēng)險結(jié)果評估提供支持。

（三）開展獨立的信息系統(tǒng)審計業(yè)務(wù)

獨立的信息系統(tǒng)審計業(yè)務(wù)是通過實施信息系統(tǒng)審計工作，對公司、機構(gòu)或組織是否達成信息技術(shù)管理目標進行綜合評價，并基于評價意見提出管理建議，協(xié)助組織信息技術(shù)管理人員有效地履行其受托責(zé)任以達成公司、機構(gòu)或組織的信息技術(shù)管理目標。

獨立的信息系統(tǒng)審計業(yè)務(wù)也可通過實施信息系統(tǒng)審計工作來對公司、機構(gòu)或組織所提供的專業(yè)化服務(wù)（如電子商務(wù)、人力資源與薪酬管理外包、在線數(shù)據(jù)備份等）進行綜合評價從而達到以下目標：

1.判斷一切與該公司、機構(gòu)或組織所提供的專業(yè)化服務(wù)相關(guān)的流程、操作及管理是否合乎行業(yè)標準；

2.保障使用此類專業(yè)服務(wù)的公司或個人的信息安全性；

3.基于評價意見提出整改建議，從而幫助此類專業(yè)服務(wù)提供商更好地拓展市場與開放客戶群體。

信息系統(tǒng)審計部門能夠為客戶提供的獨立的信息系統(tǒng)審計業(yè)務(wù)內(nèi)容包括：

?企業(yè)信息系統(tǒng)控制合規(guī)審計報告；

?企業(yè)信息系統(tǒng)運行和控制系統(tǒng)設(shè)計及評估；

?企業(yè)薩班斯法案審計服務(wù)；

?其他。

其目的是保證其信息技術(shù)戰(zhàn)略充分反映該組織的業(yè)務(wù)戰(zhàn)略目標，提高公司、機構(gòu)或組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準確性，提高信息系統(tǒng)運行的效果與效率，合理保證信息系統(tǒng)的運行符合法律法規(guī)及監(jiān)管的相關(guān)要求。

（四）對信息系統(tǒng)控制及安全方面提供獨立建議的咨詢服務(wù)

信息系統(tǒng)咨詢業(yè)務(wù)是指結(jié)合信息系統(tǒng)安全、企業(yè)內(nèi)部控制管理與外部審計等多方面的專業(yè)知識，提供與信息安全相關(guān)的信息化建設(shè)、信息安全診斷、信息技術(shù)認證及ERP系統(tǒng)相關(guān)的咨詢業(yè)務(wù)。

信息系統(tǒng)審計部門能夠為客戶提供的獨立的信息系統(tǒng)咨詢業(yè)務(wù)內(nèi)容包括：

?企業(yè)信息系統(tǒng)戰(zhàn)略策劃和評估；

?企業(yè)信息系統(tǒng)執(zhí)行及項目管理監(jiān)理咨詢；

?企業(yè)信息系統(tǒng)安全評估；

?企業(yè)薩班斯法案咨詢服務(wù)；

?企業(yè)專業(yè)服務(wù)系統(tǒng)的行業(yè)評估；

?其他。

三、信息系統(tǒng)審計程序

（一）信息系統(tǒng)審計一般程序

審計程序一般可分為四個階段，即準備階段、實施階段、審計結(jié)論和執(zhí)行階段、異議和復(fù)審階段。信息系統(tǒng)審計也可分為這四個階段，同時結(jié)合自身的特殊要求，運用本身特有的方法，對信息系統(tǒng)進行評價。

1.準備階段

初步調(diào)查被審計單位信息系統(tǒng)基本狀況，擬定科學(xué)合理的計劃，一般應(yīng)包括以下主要工作：

（1）調(diào)查了解被審計單位信息系統(tǒng)的基本情況，如信息系統(tǒng)的硬件配置、系統(tǒng)軟件的選用、應(yīng)用軟件的范圍、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)的管理結(jié)構(gòu)和職能分工、文檔資料等，調(diào)查完成后將審前調(diào)查情況記錄下來。

（2）提前三天送達審計通知書，要求被審計單位對所提供資料的真實性、完整性作出書面承諾，明確彼此的責(zé)任、權(quán)利和義務(wù)。

（3）初步評價被審計單位的內(nèi)部控制制度，以便確定符合性測試的范圍和重點。

（4）確定審計重要性、確定審計范圍。

（5）分析審計風(fēng)險。

（6）制定審計實施方案。在審計實施方案中除了對時間、人員、工作步驟及任務(wù)分配等方面作出安排以外，還要合理確定符合性測試、實質(zhì)性測試的時間和范圍，以及測試時的審計方法和測試數(shù)據(jù)。

在安排利用計算機輔助審計時，還需列出所選用的通用軟件或?qū)Ｓ密浖?。對于?fù)雜的信息系統(tǒng)，也可聘請專家，但必須明確審計人員的責(zé)任。

2.實施階段

實施階段是審計工作的核心，也是信息系統(tǒng)審計的核心。主要工作是根據(jù)準備階段確定的范圍、要點、步驟、方法，進行取證、評價，綜合審計證據(jù)，借以形成審計結(jié)論，發(fā)表審計意見。實施階段的主要工作應(yīng)包括以下兩個方面的內(nèi)容：

（1）符合性測試。進行符合性測試應(yīng)以系統(tǒng)安全可靠性的檢查結(jié)果為前提。如果系統(tǒng)安全可靠性非常差，不值得審計人員信賴，則應(yīng)當根據(jù)實際情況決定是否取消內(nèi)控制度的符合性測試，而直接進行實質(zhì)性測試并加大實質(zhì)性測試的樣本量。在信息系統(tǒng)的符合性測試項目中，主要內(nèi)容應(yīng)該是確認輸入資料是否正確完整，計算機處理過程是否符合要求。如果系統(tǒng)安全可靠性比較高，則應(yīng)對該系統(tǒng)給予較高的信賴，在實質(zhì)性測試時，就可以相應(yīng)地減少實質(zhì)性測試的樣本量。

（2）實質(zhì)性測試。實質(zhì)性測試應(yīng)該是對被審計單位信息系統(tǒng)的程序、數(shù)據(jù)、文件進行測試，并根據(jù)測試結(jié)果進行評價和鑒定。進行實質(zhì)性測試須依賴于符合性測試的結(jié)果，如果符合性測試結(jié)果得出的審計風(fēng)險偏高，而且被審計單位有利用信息系統(tǒng)進行舞弊的動機與可能，并且被審計單位又不能提供完整的會計文字資料，此時審計人員應(yīng)考慮對會計報表發(fā)表保留意見或拒絕表示意見的審計報告。進行實質(zhì)性測試時，可考慮采用通過計算機和利用計算機進行審計的方法，具體包括：

①測試數(shù)據(jù)法：就是將測試數(shù)據(jù)或模擬數(shù)據(jù)分別由審計人員進行手工核算和被審計單位信息系統(tǒng)進行處理，比較處理結(jié)果，作出評價；

②受控處理法：就是選擇被審計單位一定時期（最好是12月份）實際業(yè)務(wù)的數(shù)據(jù)分別由審計人員和會計電算化系統(tǒng)同時處理，比較結(jié)果，作出評價。

（3）利用輔助審計軟件直接審查信息系統(tǒng)的數(shù)據(jù)文件。審計人員可利用現(xiàn)場審計實施系統(tǒng)軟件（AO）直接對數(shù)據(jù)進行數(shù)據(jù)轉(zhuǎn)換，數(shù)據(jù)查詢，抽樣審計，查賬，賬務(wù)分析等測試，得出結(jié)論，作出評價。

3.審計結(jié)論和執(zhí)行階段

審計人員對信息系統(tǒng)進行符合性測試和實質(zhì)性測試后，整理審計工作底稿，編制審計報告時，除對被審單位會計報表的合理性、公允性發(fā)表意見，作出審計結(jié)論外，還要對被審單位信息系統(tǒng)的處理功能和內(nèi)部控制進行評價，并提出改進意見。

審計報告完成后，先要征求被審單位的意見，并報送審計機關(guān)和有關(guān)部門。審計報告一經(jīng)審定，所作的審計結(jié)論和決定需通知并監(jiān)督被審單位執(zhí)行。

4.異議和復(fù)審階段

被審單位對審計結(jié)論和決定若有異議，可提出復(fù)審要求，審計部門可組織復(fù)審并作出復(fù)審結(jié)論和決定。特別是被審單位信息系統(tǒng)有了新的改進時，還需組織后續(xù)審計。

（二）信息系統(tǒng)審計協(xié)調(diào)程序

為財務(wù)審計團隊提供信息系統(tǒng)審計業(yè)務(wù)支持服務(wù)前，為了合理安排信息系統(tǒng)審計工作計劃，財務(wù)審計項目負責(zé)人與信息系統(tǒng)審計部門應(yīng)執(zhí)行下列協(xié)調(diào)程序：

1.財務(wù)審計項目負責(zé)人在制定當年審計計劃時應(yīng)考慮所需信息系統(tǒng)審計部門進行審計支持的內(nèi)容與實行時間；

2.財務(wù)審計項目負責(zé)人提前在9月底將所需信息系統(tǒng)審計時間告知信息系統(tǒng)審計部門，與信息系統(tǒng)審計部門討論確定服務(wù)內(nèi)容，預(yù)約部門成員；

3.信息系統(tǒng)審計部門搜集所有信息系統(tǒng)審計需求，按照項目時間安排信息系統(tǒng)審計人員工作計劃，并與財務(wù)審計項目團隊、客戶協(xié)調(diào)；

4.信息系統(tǒng)審計部門及時完成外勤工作、底稿編制和底稿審核，并把結(jié)論書面告知財務(wù)審計項目團隊，并與財務(wù)審計團隊對信息系統(tǒng)審計部門的最后結(jié)論達成口頭或書面共識；

5.信息系統(tǒng)審計部門將按照事務(wù)所要求歸檔、保管底稿。

其他信息系統(tǒng)項目的工作計劃參照上述信息系統(tǒng)審計業(yè)務(wù)支持服務(wù)，與相關(guān)方及時溝通制定審計計劃，在制定的項目時間內(nèi)完成工作。

（三）信息系統(tǒng)審計結(jié)果報告程序

信息系統(tǒng)審計部門實施信息系統(tǒng)審計的計劃、程序、證據(jù)、結(jié)論等底稿都會按照相應(yīng)的審計準則進行記錄和保存。

1.在財務(wù)審計系統(tǒng)審計風(fēng)險評估當中，信息系統(tǒng)審計部門不會出具某種審計報告，而是出具評估結(jié)論，一般以底稿備忘錄的形式提交給財務(wù)審計團隊。該備忘錄總結(jié)信息系統(tǒng)審計中評估的范圍、方法、時間/區(qū)間、結(jié)論、重大控制缺陷或風(fēng)險點等內(nèi)容。

2.在獨立的信息系統(tǒng)審計業(yè)務(wù)和咨詢業(yè)務(wù)中，會出具獨立的審計報告。報告將以事務(wù)所名義簽發(fā)。

第五篇：信息系統(tǒng)審計方法淺談

信息系統(tǒng)審計方法淺談

隨著當前信息技術(shù)的發(fā)展，地方各級資金管理部門投入大量資金，開發(fā)了各種各樣的信息系統(tǒng)軟件，用于管理資金或?qū)嵭袝嬰娝慊畔⑾到y(tǒng)的建設(shè)的合法性、軟件開發(fā)的規(guī)范性、系統(tǒng)運行的安全性以及程序設(shè)置合規(guī)性等問題，成為審計關(guān)注的重點，開展信息系統(tǒng)審計成為審計機關(guān)避免“假賬真審”、降低審計風(fēng)險題中應(yīng)有之義。

信息系統(tǒng)審計主要目標是確認信息系統(tǒng)的合法性、可靠性、機密性、有效性和安全性等，通過審查信息系統(tǒng)的運行狀況，發(fā)現(xiàn)信息系統(tǒng)在使用和管理過程中存在的問題，確定是否存在漏洞和缺陷，有無非法和錯誤的處理和控制的薄弱環(huán)節(jié)，客觀評價系統(tǒng)的現(xiàn)狀，促進被審計調(diào)查單位進一步加強信息系統(tǒng)管理，完善信息系統(tǒng)功能，保證資金的安全與完整，防范利用計算機系統(tǒng)進行欺詐與舞弊，并提出具有建設(shè)性的建議。

信息系統(tǒng)審計重點內(nèi)容主要有以下三個方面：

一、信息系統(tǒng)運行方面，主要包括：

1、系統(tǒng)安全性，審查信息系統(tǒng)的物理安全性，是否可以有效防止被非法使用，相關(guān)安全制度是否齊全，機房進出是否執(zhí)行登記制度等；中心機房是否建設(shè)為標準機房，電源是否為單獨供電或雙路供電并配備UPS電源，服務(wù)器是否配置機柜；機房內(nèi)是否擺放紙箱等可燃物品，墻體地板、天花等是否按防火標準建設(shè)或改造，是否配備防雷設(shè)施，地板是否經(jīng)過防火、防靜電處理，配備防靜電設(shè)施；是否建有磁帶庫、虛擬帶庫等系統(tǒng)以備份系統(tǒng)數(shù)據(jù)，是否建有冗災(zāi)備份系統(tǒng)，以確保數(shù)據(jù)信息安全。

2、系統(tǒng)可靠性，審查硬件、軟件是否有效能夠保證業(yè)務(wù)的正常運行，操作系統(tǒng)和數(shù)據(jù)庫是否為正版軟件并及時更新，數(shù)據(jù)庫是否能夠滿足運行需要，系統(tǒng)是否存在漏洞，是否易受病毒、木馬、黑客等攻擊，導(dǎo)致數(shù)據(jù)丟失、篡改等；殺毒軟件病毒庫及防火墻是否及時更新。

3、系統(tǒng)機密性，審查數(shù)據(jù)訪問權(quán)限的保密性，是否存在數(shù)據(jù)被非法用戶訪問，不相容的權(quán)限是否設(shè)置單選或者禁用，是否存在同時操作前臺和后臺，既能辦理業(yè)務(wù)，又能審核業(yè)務(wù)等，隱私數(shù)據(jù)的保密是否有力；操作系統(tǒng)及數(shù)據(jù)庫是否加密存儲用戶口令，系統(tǒng)日志是否保留用戶登錄、操作系統(tǒng)模塊和業(yè)務(wù)模塊的相關(guān)信息；是否存在大量共享文件夾及文件，導(dǎo)致系統(tǒng)安全風(fēng)險。

4、系統(tǒng)合法性，審查信息系統(tǒng)的開發(fā)、管理、運營是否符合法律、法規(guī)、規(guī)章的規(guī)定。重要信息是否為必填項或符合規(guī)范錄入要求。

5、系統(tǒng)效益性，查信息化建設(shè)是否堅持成本節(jié)約原則，資源的利用是否堅持效率性原則，信息系統(tǒng)是否達到信息化建設(shè)目標。

二、信息系統(tǒng)管理方面，主要包括：

1、內(nèi)部控制制度，主要審查信息系統(tǒng)是否建立相關(guān)內(nèi)部控制及實際執(zhí)行，關(guān)注各個控制

措施之間的相關(guān)性，業(yè)務(wù)運行結(jié)果是否與財務(wù)數(shù)據(jù)一致，某一控制是否存在補償性或是重疊性的控制。

2、保障措施，主要審查各個環(huán)節(jié)、各個業(yè)務(wù)部門之間的聯(lián)接、系統(tǒng)運營后勤保障、售后服務(wù)合同簽訂及后期實施情況等，查看是否存在薄弱環(huán)節(jié)，是否能有效保障系統(tǒng)的正常安全運行。

三、政策執(zhí)行方面，主要包括：

1、政策執(zhí)行，主要地方政策是否符合中央或省級政策的有關(guān)條目及法律法規(guī)的規(guī)定。

2、業(yè)務(wù)流程，主要審查信息系統(tǒng)是否嚴格按照流程進行運營，是否存在漏洞等。信息系統(tǒng)審計主要采取的方法：

1、座談及現(xiàn)場察看，采取與信息化部門、用戶及相關(guān)人員進行座談，查閱與信息系統(tǒng)相關(guān)的文檔、程序等，實地查看機房、業(yè)務(wù)終端、器材等。

2、計算機輔助審計，利用AO軟件的查詢、計算、分類、抽樣選擇、排序、數(shù)據(jù)文件聯(lián)結(jié)、比較、合并等功能進行審查。

3、測試數(shù)據(jù)，通過測試數(shù)據(jù)樣本，評價信息系統(tǒng)是否能夠正確處理所有業(yè)務(wù)數(shù)據(jù)，是否能夠?qū)μ幚磉^程實施一定控制。

4、應(yīng)用程序檢查，檢查系統(tǒng)軟件開發(fā)過程中是否設(shè)置相應(yīng)控制措施。

5、聘請計算機專家，為審計師提供指導(dǎo)及其他有價值的信息。

6、整體測試，在軟件系統(tǒng)內(nèi)置入虛構(gòu)實體，并以測試資料或正式資料，針對該實體進行處理，以驗證其正確性。