浅谈信息系统审计

　　中图分类号：F239.5 文献标识码：A 文章编号：1001-828X（2014）08-00-01

　　一、信息系统审计的含义

　　要了解信息系统审计，首先得了解什么是信息系统。信息系统又称IS系统（Information System），是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。它具有输入、存储、处理、输出和控制五个基本功能。

　　目前审计所涉及的信息系统主要是与单位经济活动相关的财务信息系统和业务信息系统。财务信息系统是传统手工记账的升华。业务信息系统可贯穿各个管理环节，常见的如ERP系统、银行信贷系统、医院收费系统等。

　　信息系统审计是以信息系统为依托，结合传统审计和计算机辅助审计的高级计算机审计。它不仅对数据审计，更对信息系统全面审计，要检查机房环境、网络设备安全、逻辑访问控制、输入输出、权限、主数据和业务参数控制等。

　　二、信息系统审计的内容

　　信息系统审计的内容取决于被审计单位信息系统的构成。它分为横向和纵向两部分。横向是由计算机硬件、系统软件和应用软件所组成的计算机系统，加上相应的组织和管理制度等组建完成的。纵向包括可行性研究、设计、编程和测试、系统转换、验收和维护等几个阶段。两者共同构成一个完整的信息系统，而审计需要关注的是其中的每一个控制点。综合而言，信息系统审计的内容包括系统总体目标实现、组织结构和管理方式、硬件设施、软件控制措施、系统开发维护生命周期、灾难恢复等内容。

　　三、信息系统审计的重点

　　在信息系统审计过程中，审计人员应重点关注信息系统的内部控制，包括一般控制和应用控制。

　　一般控制是指为合理保证所有计算机数据处理活动安全、可行的控制措施。它对系统的各个方面都有广泛的影响，包括组织控制、操作控制、系统开发和维护控制、硬件和系统软件控制和灾难恢复控制。

　　应用控制是指设计用来合理地保证计算机数据处理系统在特定应用方面能够正确地完成数据的记录、处理和报告功能，包括输入控制、处理控制和输出控制。它直接影响数据的结果，如常见的会计报表、账簿等。具体来讲，信息系统审计可进行以下重点审查和评价。

　　1.审计财务信息系统软件的合法性。主要是审查操作系统和财务软件的使用是否违反《中华人民共和国著作权法》和《计算机软件保护条例》，有无使用非法复制的计算机软件。

　　2.审计软件应用平台的安全性。主要是检查计算机软、硬件系统配置和运行环境是否符合要求，软件架构是否完全、稳定。身份准入是否存在非指定人员登陆计算机，取得控制权和软件操作权的可能性。

　　3.审计财务软件的安全性、可信性。这个环节的重点是按照《核算软件基本功能规范》的要求，从会计数据的输入、处理、输出和安全等4个方面测试各功能模块和整体性能。

　　4.检查财务部门电算化会计内部管理制度。主要是检查电算化岗位责任、会计电算化管理、计算机软硬件和数据管理、电算化会计档案管理等内部管理制度是否完备，有无违反《会计电算化规范》中相关条款。

　　四、信息系统审计的方法

　　信息系统审计与一般审计相比，在准备阶段和报告阶段运用的技术方法与传统财务审计的技术方法大同小异，但实施阶段运用的技术方法则很具有信息技术的特色。信息系统审计不仅可以采用有手工环境下传统的审计技术方法，也可以在此基础上增加计算机技术方法，主要包括一般方法和计算机辅助审计方法。

　　1.一般方法

　　信息系统审计的一般方法主要包括面谈法、系统文档审阅法、观察法、描述法等审计人员较熟悉的方法。面谈法在信息系统审计的各个阶段均可使用。系统文档审阅法主要应用于信息系统审计的准备阶段和实施阶段，通过审阅技术手册、操作手册、流程图、组织结构图、源程序等系统文档，按照其中规定的控制措施，对照检查实际操作过程中是否有效执行。描述法可以文字、表格、图形等直观的方式对信息系统的运行、业务流程等进行详实、有条理地描述。

　　2.计算机辅助审计方法

　　这是信息系统审计不同于传统审计方法的特色之一，主要在财务软件安全性可信性审计中应用，是对数据输出结果和控制的审计，包括测试数据法、平行模拟法、嵌入审计模块和受控处理法等。测试数据法是审计人员设计出一些虚拟的业务数据，提交给要检查的信息系统进行处理，然后将系统的处理结果与审计人员的预期结果进行对比，从而确定系统控制是否存在并有效执行。此方法简单、易操作，但相当于抽查，不能准确测试整体的系统控制。

　　平行模拟法，顾名思义，是设计一个与被审计单位处理规范相同的程序，将被审计单位的真实数据在审计人员设计的程序中模拟运行，再将得出的结果进行比对。此方法类似与传统审计的分析性复核。国家审计目前使用的审计现场实施系统（AO），就是使用被审计财务账备份，从中提取凭证表和相关表，生成会计账簿和财务报表。

　　嵌入审计模块是在被审计单位的计算机数据处理系统中加入为完成审计目的而编写的程序代码，使嵌入模块成为被审计系统的一个组成部分，并按照审计人员的要求，为其生成和输出结果。其优点是可以对被审计单位的信息系统进行实时的运态监控，但基于身份授权和技术要求高等原因，在实际工作中较难操作。目前在SQL Server中编写计算机语句得出结论的方式，可视这种方法的简化。

　　受控处理法是审计人员将核实过的真实业务数据在被审计信息系统上监督或亲自处理，比较分析处理结果，从而判断系统的处理与控制是否发挥作用。该方法使用简单，不用设计虚拟的数据，也不会对被审系统的数据产生影响；但核实数据技术要求高。

　　信息系统审计作为审计的新生事物，是计算机技术与审计工作发展的必然趋势。随着信息系统审计在实践中的不断运用，其内容、重点和技术方法等还会发生变化，将对审计工作更具指导意义。

本文链接：http://www.qk112.com/lwfw/huijilunwen/shenjihuiji/147981.html