信息系统审计的方法
信息系统审计过程与一般审计过程一样,分为准备阶段、实行阶段和数据阶段。其中,准备阶段和数据阶段所涉及的技术方法与财务审计所运用的技术方法区别不大,而实行阶段所涉及的技术方法则具有信息技术的特色。在实行阶段,针对被审计的信息系统,审计人士所开展的工作可以分为三个层次,即了解、描述和试探。
计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法对比,相应增长了计算机技术的内容。对信息系统审计的方法既包含一般方法即手工方法,也包含应用计算机审计的方法。信息系统审计的一般方法首要用于对信息系统的了解和描述,包含:面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制试探,包含:试探报告法、平行模拟法、在线接连审计技术(通过嵌入审计模块达到)、综合试探法、受控处理法和受控再处理法等。应用计算机技术的审计方法首要是指计算机辅助审计技术与工具的运用。但不能把计算机辅助审计技术与工具的运用过程与信息系统审计等同起来。在信息系统审计的过程中,依然需要运用大批的手工审计技术。信息系统审计应关注的着重环节
1.报告环节
在审计中,务必运用一种方法能够向前、向后跟踪单个交易和资产记录,以便使审计人士选择一部分交易对其执行详细检查,证实交易记录能否符合一般的审计目标。如对会计事项信息的检查,要检查它的完整性、时效性、合规性和信息披露等方面,检查内容包含与本会计年度相关的交易能否全部记录在册;所有记录的交易能否均为合理发生的并与本会计年度相关;记录的交易能否报告精准,计算无误:记录的交易能否符合基本的和辅助的法律规定,符合特定权威机构的要求;对记录的交易能否执行正确的分类,并符合信息对外披露的要求等。对财务报表信息的检查,要检查完整性、存在性、会计计量、所有权以及信息披露等方面,检查内容包含能否记录了所有的资产和负债:所有记录的资产和负债能否均为存在的;对资产和负债的计量能否精确,计算方法能否符合按合理性、统一的标准策划的会计政策的要求:证实资产是被审主体所有的、负债是被审主体应当承受的,而且资产和负债能否由合法的经济活动造成的;资产、负债、资本和存货能否都得到正确的披露。同期对信息系统供应的业务信息也要执行分析,比如每月的薪资总数、某阶段的付款清单和订货信息等,要弄清基本的成交情况,并一直跟踪到信息源。对上述信息的分析可以采取计算机辅助审计技术,依照特定的标准对报告执行总览、分类、排序、比较和选择,并执行各种运算。
2.内部控制环节
内部控制一般来说是指组织运营管理者为了维护财产物资的安全、完整,保证会计信息的真实、牢靠,保证运营管理活动的经济性、效率性和效果性以及各类法律和规范的遵守,而对运营管理活动执行调整、检查和制衡所形成的内部管理机制,是组织为达到管理目标而形成的自律系统。计算机系统的内部控制首要分为应用控制、一般控制和管理控制等三个方面,在审计过程中要对被审计单位内控制度执行评价,包含电算化系统的内控制度。为了对系统的内控制度执行评价,审计人士务必验证内部控制系统能否存在,并能供应让人满意的凭证,证明它正在有效地发挥作用。在计算机系统中,应检查下方方面来证明内控制度的有效性:(1)控制系统资源的存取。包含物理资源,比如终端、服务器、连接盒、有关文档等;还包含逻辑资源,如软件、系统文件和表、报告等。(2)控制系统资源的运用。用户应当只能对授权给他们的那些资源执行操作。(3)建立按用户职能分配资源的制度。把重要的任务功能按用户或用户组执行分离,以降低无意的误操作、滥用系统资源和对报告的非授权修改。(4)记录系统的运用情形。按时间顺序建立一个运用记录,记录内容应包含例外事例和与安全相关的事件是由谁触发的,财务信息的创建、修改和删除是由谁完成的。(5)证实处理过程的精准性。用造成财务控制信息,证实处理过程的精准完成。(6)管理人士对财务信息系统的修改。应当保证财务信息系统的所有修改均为经历授权、有文档记录、经历彻底(独立地)试探的,证实最后以一种有控制的方式投入运用。(7)保护财务信息系统免遭计算机病毒的攻击。务必建立一套控制措施,检测病毒,防止病毒受染财务信息系统。
3.报告传输转移环节
在信息系统中,有些报告需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移,在此过程中或许会显现一部分困难,特别是在需要手工从新录入时。所以在审计时要着重关注下方方面:在转移过程中报告或许会发生改变;新的科目代码表与老的机会不一样,需要在两个财务信息系统之间建立复杂的对应关系:中心报告库或许被一部分地理上分散的服务器取代;目前财务信息系统中的报告质量不好;当用一个总体信息系统取代一个预定财务信息系统时,需要补充很多新的报告。在检查这一环节时,一定要保证输出的消息是经历准许、完整和精确的,保证输出的消息在约定时期内精准地发送给指定的接收者,保证流人的消息是完整、精准和真实牢靠的。信息系统审计案例分析
2006年,在对某酒店开展的审计中,对酒店信息系统的安全性、牢靠性执行了试探。试探结果发现信息系统在报告传输和运算上存在错误,通过报告验证,证明错误造成的原因是由信息系统自身缺陷产生的。上述审计结果得到了被审计单位的认可,促使被审计单位更换了信息系统,提升了计算机管理水平。
这次审计之所以能获得适当的效果,首要是注意从报告和内控制度入手,利用计算机辅助审计技术和手工审计技术相结合开展信息系统审计。(1)在报告环节上,信息系统审计和报告审计对系统报告的利用角度是不一样的。报告审计侧重于报告之间的关联,是审计报告的结果;而信息系统审计侧重于报告的真实完整性,是通过试探报告的真实完整性来审计信息系统的安全性和牢靠性。在审计中,通过详细了解信息系统的报告库结构,对比报告库中表文件的记录数量大小和字段完整程度,确定需要查询的报告库表文件,把主表的报告完整性作为着重的试探目标。(2)以内部控制和报告传输环节,通过绘制组织机构图、系统流程图和现场走访等方式,全面了解酒店的业务流程和工作特点。通过摸清酒店的业务流程,追踪基础报告流在业务流程中的迈向,锁定报告的大批运算点,是确定审计方向的核心。信息系统中所有业务活动的发生都集中体当下基础报告流上,基础报告流是一个信息系统的重要组成要素,报告的大批运算点是试探系统运行安全性和牢靠性的转折点。在此基础上,确定了年审日报总览、会议团体客房转账和业务系统与财务核算系统手工传输报告三个系统模块,作为对信息系统执行安全性、牢靠性试探的着重。这三个模块是信息系统内报告大批运算和系统间传输报告的转折点,受于基础报告在运算、自动传输和手工传输过程中存在发生错误和被调整修改的机会性,所以利用计算机辅助审计技术执行验证。
在验证过程中,通过分步骤编撰查询语句和程序,调出报告生成中间表执行比对,发现疑点,依据疑点特质继续比对,直到发现错误点。在SQL语句不能保证完成大批量查询和比对任务的情形下,采取计算能力更强、运算速度更快的JAVA来编撰查询程序,起到了事半功倍的效果。信息系统审计有关资格证书
CISA认证,国际注册信息系统审计师,一般在每年12月份世界英文考试,6月份在中国中文考试。图书《信息系统审计》信息
书 名: 信息系统审计
作者:张金城
出版社: 清华大学出版社
出版时间: 2009
ISBN: 9787302195504
开本: 16
定价: 23.00 元内容简介
《信息系统审计》系统地介绍了信息系统审计的造成与发展、特点、准则、IT治理、一般控制及审计、应用控制及审计、系统开发与获取审计、系统经营与维护审计、应用程序审计、报告文件审计等内容;覆盖了信息系统审计课程教学的基本内容,同期结合了目前信息系统审计新方法、新技术的成长,具有很强的实用性与可操作性;编排由浅入深,条理清晰,通俗易懂。
《信息系统审计》是江苏省高等学校精品立项教材,可作为高等学校信息管理与信息系统专业、审计学专业等专业“信息系统审计”课程的教材,亦可供从事信息系统审计的审计人士参考,同期还可作为专业培训教材。编辑推荐
《信息系统审计》共分8章,第1章论述了信息系统审计的基本知识,使读者对信息系统审计有一个概括性的了解;第2章论述了IT治理的基本知识,使读者对IT治理的含义、IT治理与信息系统审计的关系有适当的了解;第3、第4章论述了信息系统一般控制和应用控制及其审计方法;第5~第8章系统地论述了系统开发与获取、系统经营与维护、应用程序、报告文件的控制与审计方法和技术。《信息系统审计》可作为高等院校审计、信息管理与信息系统、会计等专业的教材;对广大审计人士执行信息系统审计,对信息系统管理人士探讨增强信息系统的控制,对计算机工作人士研究计算机在事实业务中的应用和控制,对审计、会计、管理、计算机等专业师生的教学与科研,都具有很高的参考价值。
系统论述了信息系统审计的基本理论和方法;介绍了信息系统审计最新的方法与技术;内容具有很强的实用性与可操作性;编排由浅入深,条理清晰,通俗易懂;江苏省高校精品立项教材。
《信息系统审计》可作为高等学校信息管理与信息系统、审计学等专业“信
息系统审计”课程的教材,亦可供从事信息系统审计的审计人士参
考,同期还可作为专业培训教材。目录
第1章信息系统审计概论
1.1信息系统审计的造成与发展
1.1.1电子报告处理系统对审计的影响
1.1.2信息系统审计的造成与发展
1.2信息系统审计的含义与特点
1.2.1信息系统审计的定义
1.2.2信息系统审计的特点
1.3信息系统审计目标
1.4信息系统审计的首要内容
1.4.1内部控制系统审计
1.4.2系统开发审计
1.4.3应用程序审计
1.4.4报告文件审计
1.5信息系统审计的基本方法
1.5.1绕过信息系统审计
1.5.2通过信息系统审计
1.6信息系统审计的步骤
1.6.1准备阶段
1.6.2实行阶段
1.6.3结束阶段
1.7信息系统审计准则
1.7.1信息系统审计准则的概念和作用
1.7.2国际信息系统审计准则
1.7.3我国信息系统审计规范体系
1.8我国信息系统审计人才培养策略
1.8.1信息时代呼唤信息系统审计师
1.8.2信息系统审计师应具备的素质
1.8.3信息系统审计师的培养
1.9金审工程简介
1.9.1金审工程的背景
1.9.2金审工程总的规划
1.9.3金审工程建设情形
1.9.4金审工程二期建设展望
思考题
第2章IT治理
2.1IT治理的定义
2.2IT治理的核心困难
2.2.1IT治理缺失的病状
2.2.2IT治理的核心困难
2.3IT治理与公司治理
2.3.1公司治理和公司管理
2.3.2IT治理和IT管理
2.3.3公司治理和IT治理
2.4IT治理标准
2.5建立IT治理的机制和方法
2.5.1IT治理机制
2.5.2IT治理方法
2.6IT治理的目标和规模
2.6.1IT治理目标
2.6.2IT治理规模
2.7IT治理成熟度模型
思考题
第3章信息系统一般控制及审计
3.1信息系统一般控制简述
3.2管理控制及其审计
3.2.1管理控制的基本内容
3.2.2管理控制审计
3.2.3管理控制试探
3.3系统基础设施控制及其审计
3.3.1信息系统环境控制
3.3.2信息系统硬件控制与审计
3.3.3系统软件控制
3.4系统访问控制及其审计
3.4.1逻辑访问控制
3.4.2物理访问控制
3.4.3对访问控制的审计
3.5系统网络架构控制及其审计
3.5.1局域网控制与审计
3.5.2客户机/服务器架构风险与控制
3.5.3互联网风险与控制
3.5.4网络安全技术
3.5.5网络架构控制的审计
3.6灾难复苏控制及其审计
3.6.1灾难与业务中止
3.6.2灾难复苏与业务连续计划
3,6.3灾难复苏与业务连续计划的审计
思考题
第4章信息系统应用控制及其审计
4.1输入控制
4.1.1报告采集控制
4.1.2报告输入控制
4.1.3会计信息系统输入控制
4.2处理控制
4.2.1审核处理输出
4.2.2执行报告有效性检验
4.2.3会计信息系统中几种特殊的处理控制技术
4.3输出控制
4.4应用控制的审计
4.4.1业务处理规程和输入控制的审查
4.4.2输出控制的审查
4.5内部控制审计实例
4.5.1被审单位基本情形
4.5.2被审信息系统——采购和付款系统表明
4.5.3内部控制制度
4.5.4收集审计证据
4.5.5审计证据的分析与数据
思考题
第5章信息系统开发与获取审计
5.1信息系统生命周期与审计
5.1.1信息系统审计师在信息系统开发中的职责
5.1.2信息系统开发与实行评价
5.2基于生命周期的信息系统开发方法
5.3信息系统的其余开发方法
5.3.1原型法
5.3.2面向对象的方法
5.3.3计算机辅助开发方法
5.3.4基于组件的开发方法
5.3.5基于Web应用开发方法
5.3.6迅速应用开发方法
5.3.7敏捷开发
5.4信息系统开发团队、角色和责任
5.5项目管理
5.6软件配置管理
5.7与软件开发有关的风险
5.8软件开发过程的完善
5.8.1ISO9126
5.8.2软件能力成熟度模型
5.8.3软件能力成熟度模型集成
5.9信息系统开发过程审计
5.9.1信息系统审计师对系统开发过程执行风险评估
5.9.2制订审计计划
5.9.3系统开发过程审计
思考题
第6章信息系统经营与维护审计
6.1信息系统的经营与维护工作存在的困难
6.2软件维护
6.2.1软件维护的种类
6.2.2软件维护的实行
6.2.3软件维护申请数据
6.2.4维护档案记录
6.2.5维护阶段的审计
6.3信息系统变更管理
6.4系统变更流程和迁移程序的审计
6.5IT服务管理
6.5.1IT服务管理造成的背景
6.5.2IT服务管理的成长历史
6.5.3IT服务管理的定义
6.5.4ITIL
6.5.5IT服务供应流程
6.5.6IT服务支持管理
6.5.7IT服务管理案例——如何建立一个基于ITIL的服务台
6.6信息系统生命周期的审计程序
思考题
第7章信息系统应用程序审计
7.1应用程序审计的内容
7.1.1审查程序控制能否健全有效
7.1.2审查程序的合法性
7.1.3审查程序编码的正确性
7.1.4审查程序的有效性
7.2应用程序审计方法
7.2.1程序编码检查法
7.2.2程序运行记录检查法
7.2.3程序运行结果检查法
7.2.4检测报告法
7.2.5整体检测法
7.2.6程序编码比较法
7.2.7受控处理法
7.2.8受控再处理法
7.2.9平行模拟法
7.2.10嵌入审计程序法
7.2.11程序跟踪法
思考题
第8章信息系统报告文件审计
8.1报告文件的审计内容
8.2信息系统报告文件的审计流程
8.2.1审前准备阶段的工作达到
8.2.2审计实行阶段的工作达到
8.2.3审计结束阶段的工作达到
8.3计算机辅助报告文件审计技术方法与工具
8.3.1计算机辅助报告文件审计方法
8.3.2计算机辅助审计技术
思考题
参考文献
……
