企业信息系统审计实施研究.docx
《企业信息系统审计实施研究.docx》由会员分享,可在线阅读,更多相关《企业信息系统审计实施研究.docx(9页珍藏版)》请在冰点文库上搜索。
企业信息系统审计实施研究
企业信息系统审计实施研究
随着信息科技的进步和云端技术的渐趋成熟发展以及大型管理信息系统使用的普及,目前几乎所有的企业都已借助信息系统来提升自身的运营效率和管理水平。
计算机对企业各个业务环节所产生的影响也越来越大,信息系统与生俱来的脆弱性使越来越多的企业开始重视对信息系统安全性和可靠性的控制。
因此对信息系统的审计成为内部审计领域研究的重点。
内部审计的管理目标不仅包括被审计信息系统保护资产安全及数据完整,而且还包括信息系统的有效性目标。
内部审计师围绕该目标要以专业的素养和审视的眼光对企业信息系统开发、运行一直到维护进行综合的检查与评价。
一、组织信息系统审计概述
(一)信息系统审计定义
信息系统审计(InformationSystemAudit,ISA)是目前常常提到的概念,一般理解为对计算机系统的审计,信息系统审计的国际权威组织―国际信息系统审计和控制协会给信息系统审计作了如下定义:
信息系统审计是收集和评估证据,以确定信息系统与相关资源能否适当地保护资产、维护数据完整、提供相关和可靠的信息、有效完成组织目标、高效率地利用资源并且存在有效的内部控制,以确保满足业务、运作和控制目标,在发生非期望事件的情况下,能够及时地阻止、检测或更正的过程。
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程。
对信息系统合法性、可靠性、安全性、有效性和效率性进行审计,对被审计单位的信息系统做出科学、合理的评价。
信息技术在社会生产各个领域的广泛应用,也使得审计理论界与实务界出现了一系列相关术语。
(1)计算机审计,国内学术界对计算机的叫法多种多样,例如信息系统审计、审计信息化、EDP审计等等;有的文献认为计算机审计包括:
对计算机管理的数据进行检查;对管理数据的计算机进行检查。
根据国内对“计算机审计”一词的使用情况,可以把计算机审计的含义总结如下:
计算机审计是与传统审计相对称的概念,它是随着计算机技术的发展而产生的一种新的审计方式,其内容包括利用计算机进行审计和对计算机系统进行审计。
由此可见,计算机审计的内涵和IT审计的内涵相似。
(2)电子数据审计,电子数据审计是目前审计实务界使用较多的一个术语,对于电子数据审计,目前还没有给出明确的定义,根据目前对该术语的使用情况,电子数据审计一般可以理解为“对被审计单位信息系统中的电子数据进行采集、预处理以及分析,从而发现审计线索,获得审计证据的过程。
”(3)电子数据处理审计,电子数据处理(ElectronicDataProcessing,EDP)审计和电子数据审计是两个不同的概念,电子数据处理审计是信息系统审计的初级阶段,它是指对计算机信息处理系统的开发及其软件、硬件和运行环境进行测试,并评价计算机信息系统数据处理是否准确、真实、安全、可靠、高效,满足企业经营管理的需要。
对于电子数据审计和电子数据处理审计这两个不同的概念,在实际应用中,一定要加以区分。
(4)持续审计,持续审计(ContinuousAudit,CA)是指在相关事件发生的同时,或之后相当短的时间内产生审计结果的一种审计行为。
持续审计是同传统期间审计相对应的概念,其本质是审计方法的创新,它强调审计过程的持续性、审计实施的即时性和审计活动的整合性,并且基于例外审计和战略系统审计的理念,要求审计师运用“自上而下”和“自下而上”相结合的手段,对审计对象做出合理的专业判断。
(5)计算机辅助审计,如同CAM(Computer-aidedManufacturing,计算机辅助制造)、CAD(Computer-aidedDesign,计算机辅助设计)等概念一样,计算机在审计领域中的辅助应用被称为计算机辅助审计。
中国国家审计署把计算机辅助审计理解为:
“计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计”。
(二)信息系统审计规范
国际内部审计协会(IIA)制定了基于风险的ITGC范围评估指南(GAIT)与全球技术审计指南(GTAG),GAIT是一套原则和方法,用于帮助评价组织信息系统控制的成本收益以及效率效果。
通过制定GAIT,IIA一方面帮助组织识别信息系统控制中的关键因素,避免财务数据错弊的发生;另一方面指导管理层和内部审计师识别信息系统的关键控制点,以满足企业遵守《萨班斯-奥克斯利法案》404条款的要求。
GTAG的制定是为了满足CAE和审计主管人员的要求,解决董事会和高级经理关心的问题,及时提供有关信息技术管理、控制或安全方面的信息。
我国2008年颁布的《企业内部控制基本规范》中明确规定企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。
2008年9月中国内部审计协会颁布了《内部审计具体准则第28号―信息系统审计》,对信息系统审计的含义、目的、专业胜任能力、内容、方法等进行了阐述。
从以上信息系统审计规范来看,在信息系统审计实施阶段,内部审计师的主要工作包括搜集相关资料;确定审计的方式;根据需要列出需要访谈的人员名单;查阅相关部门的政策、标准及准则,以供审计使用;利用相关的审计方法对所有控制进行测试和评价。
(三)信息系统审计的特点
1.信息系统审计是一个过程。
它是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程,它贯穿于信息系统生命周期的全过程。
2.信息系统审计的对象具有综合性和复杂性。
信息系统审计的对象是以计算机为核心的信息系统,它包含了除财务信息以外的其他与生产经营流程有关的所有信息系统,其实质是审计对象及内容的拓展。
从纵向(生命周期)看,覆盖了信息系统从规划、分析、设计到维护的全生命周期的各种业务;从横向(信息系统构成)看,它包含对软硬件审计、应用程序审计、安全审计等。
从这个意义看,信息系统审计拓展了传统审计的内涵,将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.信息系统审计拓展了传统审计的目标。
传统审计目标仅仅包括了“对被审计单位财务报表的合法性、公允性及会计处理方法的一贯性发表审计意见”,《中国独立审计具体准则第20号―计算机信息系统环境下的审计》第四条也明确规定“注册会计师在计算机信息系统环境下执行财务报表审计业务,应当考虑其对审计的影响,但不应改变审计目的和范围”,由此可见EDP审计、电算化审计和计算机审计都没有改变审计的目标,但信息系统审计除了上述目标外,还包括信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性。
4.信息系统审计是事后、事前、事中审计的结合体。
注册会计师所执行的财务报表审计往往是年度审计,属于事后审计。
而信息系统审计是事后、事前、事中审计兼而有之。
如信息系统在开发过程中,由审计人员介入所进行的审计属于事中审计,此项审计相对于系统运行后而对其所进行的审计而言又可以看作是事前审计;信息系统运行后,对其在一定期间的运作情况所进行的审计则为事后审计。
5.信息系统审计的内容更加宽泛。
信息系统审计包含了一切与信息系统有关的审计,除了整个生命周期过程及相关业务的审计外,随着信息技术的发展,还必将包括联网审计、电子商务审计、网站审计、ASP审计和XBRL审计等。
6.信息系统审计是一种基于风险基础审计的理论和方法。
很多组织都能意识到技术带来的潜在好处,然而成功的组织还能够理解和管理好与采用新技术相关的很多风险。
信息系统有着与生俱来的风险,这些风险用不同方式冲击着信息系统,审计者面临着审计什么、何时审计以及如何帮助信息系统的管理者管理和控制风险从而实现企业的战略目标的问题。
二、信息系统审计实施
(一)信息系统开发过程的审计
1.系统规划的审计
系统规划是否能够做出重要的决策,决定着是否需要新的信息系统以及需要一个什么样的信息系统,这就需要内部审计来进行把关。
系统规划审计的任务就是要确保新开发的信息系统能够满足组织战略发展需要,从技术、经济和操作的角度来说是可行的、恰当的。
对系统规划的审计主要包括两个方面的内容,一个是跟踪整个系统规划的过程,判断整个规划是否是按照必要的可行性分析步骤进行的,是否越过了某些必要的关键步骤,或其规划步骤是否存在着明显的不合理性;二是审计规划的内容。
规划内容的审计的一个重要依据就是分析员提交的文档,其中包括可行性分析报告及相应的系统流程图、数据流程图、数据字典或成本效益分析。
在系统规划阶段,内部审计师的考察重点主要体现在以下几个方面:
系统规划是否从组织上确定了整体计划的主要体制,是否取得了最高层领导的认可;整体计划是否根据主要规则判定,是否得到了最高层领导的认可;整体计划中是否明确阐述了信息化的效果、推进体制、费用等各项内容,以及信息系统的整体概貌、系统开发的优先级、组织及业务改变、安全对策的方针,是否定期进行修正以及随经营环境的变化而修正;开发计划是否得到最高领导的认可,考虑了与整体计划的协同一致,是否是在对内外信息技术调查基础上决定的,是否明确阐述了目的、对象业务、性能价格比等各项内容,是否明确阐述了改变信息系统生命周期的条件。
一旦内部审计师负责监督整个系统的开发规程,他们在这一阶段首先要考虑的就是确保系统实施的独立性。
如果内部审计师只是从事后的审查或总体的把握的角度进行工作,则他们在这一阶段主要考虑的内容首先是过去的系统开发人员确定评估方法的过程,其次是过去这个评估方法所取得的效果怎样。
内部审计师只能利用这些途径来评估这个决策对今后系统开发的影响。
2.系统分析的审计
系统分析的目的主要在于将用户的需求及其解决方法确定下来。
内部审计师在审计时要考察在系统分析的过程中是否有精通业务的用户参与,使用的分析模型是否便于分析员与用户沟通,并要考察系统的逻辑模型是否符合用户的需求。
对系统分析阶段的审计主要表现在以下几个方面:
开发计划和需求定义是否得到开发方和用户方的共同认可;在用户需求调查时是否明确了对象、范围及方法;是否对相关信息系统的法律制度等进行调查核实;对引入信息系统后会受到影响的业务、管理体制和各种规程等是否进行研讨与修正;用户部门和信息部门的功能分配是否考虑了软件、硬件和网络等的需求;是否存在达到信息系统目的的替代方案;是否按照开发的规程、时间及系统的特性来确定开发方法;开发以及相关运行费用的计算是否准确;是否对信息系统的运行效果进行了定量与定性的评价;是否有足够的开发所必需的人员、预算、设备及时间等。
3.系统设计的审计
系统设计的主要内容包括新系统的总体框架、结构设计、代码设计、数据库设计、输入输出设计、处理流程及功能模块的设计。
对系统设计的审计就是针对上述几个主要内容实现的过程进行审计,并根据系统分析报告,审查这一阶段所产生的各种文档,找出设计过程中所存在的错误及疏漏的地方并加以取证。
从信息系统是否有效的角度出发,内部审计师要考虑设计是否满足需求描述。
从效率的角度出发,内部审计师要评估所需资源的合理性。
从安全性和数据完整性的角度出发,内部审计师要评估对系统的可靠性控制。
当内部审计师在对信息系统的设计做事后评价或总体评估的时候,则应该主要审计以下两方面的内容:
(1)详细需求的描述。
可以从投资者那里了解他们需要什么,也可以利用分析与试验发现新的需求。
(2)数据?
M信息流的设计。
内部审计师必须仔细地评估这个阶段的活动,以评价最终的设计是否符合了系统的需求。
另外,在这个阶段内部审计师还要重点考察测试计划的制定,包括测试计划中是否明确目的、范围、方法及进度安排等。
4.试运行的审计
试运行是系统调试和检测工作的延续。
内部审计师主要从以下几个方面来开展审计工作:
是否根据试运行计划进行试运行以及是否根据试运行决定运行计划;根据试运行计划,是否能确保必要的人员、预算和设备等;试运行结果的验收方法是否明确;是否制定试运行后的运行计划。
具体来说,在这一审计过程中,内部审计师根据制定的试运行计划,审查系统的试运行准备情况,在试运行期间的实施情况以及检测反馈情况。
内部审计师在系统试运行阶段应重点核对新系统输出和老系统(人工或计算机系统)输出的结果;对实际系统的输入方式进行考察(是否方便、效率如何和误操作保护等);对系统实际运行、响应速度(包括运算速度、传递速度、查询速度和输出速度等)进行实际测试。
(二)信息系统运行过程的审计
信息系统运行过程的审计是在信息系统正式运行阶段,针对信息系统是否被正确操作和是否有效地运行,从而真正实现信息系统的开发目标、满足用户需求而进行的审计。
在这一阶段,内部审计师主要从信息系统本身的运行和用户对系统的运行管理两方面进行审计,指出现行系统的缺陷与不足,以及用户操作管理的疏漏与误区,并提出相应的改进建议。
1.系统输入审计
系统输入审计主要对信息系统的输入操作进行审计,评价系统输入操作及其管理的正确性和规范性,同时它也是对输入界面和数据有效性验证等的再审计,以进一步确定和评价系统数据输入的有效性以及对错误数据的识别和纠正能力,指出系统输入的缺陷与不足,并提出相应的改进建议。
内部审计师应主要考虑以下几点:
信息系统用户是否制定并遵守输入管理的规则;数据的输入是否按照输入管理规则进行;输入数据的生成顺序、处理等是否有防止差错、防止不正当行为及机密保护的对策;数据输入的防止差错、防止不正当行为及机密保护的对策是否有效;输入数据的保管及废除是否按输入管理规则进行。
对系统输入的性能的审计可以从输入界面、数据编码控制、校验码和数据有效性验证四个方面进行。
2.通信系统审计
通信系统审计主要是对通信系统的管理的科学性和有效性进行考察和评价,同时也对信息系统的通讯设备以及通信过程中的各种控制的有效性进行再审计,以进一步确定系统数据传输的有效性和效率,指出通信系统的管理和自身性能中的缺陷与不足,并提出相应的改进建议。
内部审计师应主要考察以下几点:
是否制定并遵守网络管理的规则;对网络存取控制及监控是否有效;是否记录网络的利用状况,并定期进行分析。
3.处理过程审计
处理过程审计是对数据在输入系统后是否被正确处理进行审计。
内部审计师应该对处理过程进行抽样,对抽样的处理过程进行全程跟踪和记录,对数据从被系统接受到处理完毕之间的整个处理过程进行检验,分析和评价数据处理的正确性和效率,给出信息系统数据处理性能的评价报告和合理建议。
4.数据库的审计
数据库审计主要对信息系统的数据库管理进行审计,同时也是对数据库的设计与运行状况的再审计,它进一步确定数据库系统对数据操作的有效性和发生异常操作时对数据的保护能力(正确数据不丢失,数据回滚以保证数据的一致性),评价数据库管理与维护工作的有效性和规范性,并提出相应的改进建议。
在数据库审计中,内部审计师应主要考查以下几点:
是否制定及遵守数据管理的规则;对数据的存取控制及监视是否有效;是否记录数据的利用状况,并进行定期分析;是否在考虑业务内容、处理状态及恢复的方法后决定数据备份的范围;数据的接受是否按数据管理的规则进行;数据的交换、保管、编制及废除是否有防止差错、防止不正当行为与机密保护等对策;是否有数据故障对策;是否对数据的知识产权进行管理。
5.系统输出的审计
系统输出的审计是对信息系统输出数据的管理进行的审计,也是对报告等系统输出结果的设计的再审计,它进一步确定系统数据输出的正确有效性和系统输出数据对用户的易接受性和易理解性,评价对系统输出数据的管理的科学性和规范性,指出系统输出的缺陷与不足,并提出相应的改进建议。
在系统输出审计中,内部审计师主要考查以下几点:
是否制定及遵守输出管理的规则;输出信息的获取及处理时是否有防止不正当行为及机密保护对策;输出信息的传递是否及时准确,是否按输出管理规则进行;输出信息的保管及废除是否按输出管理规则进行;输出信息的正确性如何;输出信息的形式和格式是否便于用户理解和接受;是否记录输出信息的出错状况、利用状况,并定期进行分析。
(三)信息系统维护过程的审计
信息系统维护过程的审计是对信息系统维护活动所进行的审计,包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。
1.维护组织审计
建立维护组织是进行信息系统维护的第一步。
在对维护组织的审计中,内部审计师应考查以下几点:
维护组织的大小是否适应信息系统的规模的要求;维护组织中人员的职责分工是否明确;维护组织是否有一套科学的内部管理机制和协调工作机制。
2.维护顺序审计。
内部审计师应审计维护组织是否制定并遵守了科学的维护顺序,可以从相关的书面文件以及实际操作过程中来寻找审计证据。
3.维护计划审计
维护管理部门应根据维护费用、系统使用期限、业务变更情况、维护申请量以及错误的严重性等因素制定维护计划。
在对维护计划的审计中,内部审计师主要审计维护计划包含的内容是否完整,对维护任务所需要的资源是否明确并合理配置,维护费用的预算是否能满足维护活动的需要,进度安排是否合理。
对于维护计划的制定,内部审计师还应从以下几点进行审计:
制定的维护计划是否得到维护方与用户责任人的认可;在维护计划的制定前是否对维护内容与影响范围进行了调查与分析,明确了解维护后的变更将造成的影响;维护的测试计划是否有明确的目的、范围、方法和安排等。
4.维护实施审计
对维护实施的审计,内部审计师主要从以下几点进行:
系统设计报告、程序设计说明书等是否按照维护计划进行修改,是否得到维护及被用户责任人认可;程序的修改是否按照维护顺序进行,是否在得到维护负责人的同意后实施;是否按照修改后的程序设计说明书对程序进行修改。
5.维护确认的审计
维护确认是对维护活动的验收。
在这一阶段,内部审计师主要从以下几点进行审计:
修改程序的测试是否按照维护测试计划进行;修改的程序是否进行了与新开发的程序同等程度的测试;修改程序的测试是否由用户参加,按照用户手册实施;修改程序的测试结果是否得到开发、运行、维护及用户负责人的认可;修改的程序的测试结果是否记录下来,并进行保管;维护数据是否记录并妥善保存。
三、结束语
信息技术的发展和创新极大改变了企业信息系统的运行模式。
其重要价值在于支持企业的业务并帮助组织完成总体使命。
内部审计加强信息系统审计是拓展内审职业空间的需要,也是满足促进企业增效增能的需要。
当前,随着企业信息化进程的推进,信息系统审计实践正在如火如荼地开展。
关于审计什么,如何审计,内部审计师在实务操作中应遵循什么样的规范,还没有形成统一的标准,这也是信息系统审计实施研究的方向之一。
作者单位:
广东创新科技职业学院
升级会员 