一、信息系统审计的主要内容 信息系统审计的内容是由信息系统审计的对象所决定的,主要由信息系统内部控制审计、信息系统组成部分审计以及信息系统生命周期审计所组成。一是信息系统内部控制审计,包括一般控制和应用控制审计。一般控制审计是对信息系统的开发、实施、维护及运行审计,主要对系统的开发维护过程以及信息系统的环境安全和技术安全进行审查。应用控制审计即业务流程审计,与一般控制审计相对应,主要对交易的完整性,准确性,有效性,机密性和可用性以及在应用处理中的数据的控制审计,通常分为应用程序级一般控制审计、业务流程控制审计、接口控制审计、数据管理系统控制审计等四类。二是信息系统组成部分审计,由计算机硬件、系统软件、应用软件所组成。这部分审计以应用软件审计为主要内容,主要对应用程序的控制措施、合法性、正确性和效率性进行审查。三是信息系统生命周期的审计,即信息系统的规划、开发、设计、编码、测试等全过程。主要是信息系统的可行性、全面性、适当性进行审查。
二、信息系统审计的主要方法 信息系统审计流程跟一般审计无根本性的区别,分为准备阶段、实施阶段和终结阶段,准备阶段和终结阶段的技术方法与一般审计相同。审计实施阶段的信息系统审计技术方法分为了解、描述和测试等方法。 (一)了解信息系统的基本情况。一是与被审计单位人员交谈,询问有关情况收集审计证据,询问前应收集相关的背景资料,确定合适的询问对象,询问过程中应做好记录并要求被询问对象签字。询问后应对谈话的内容进行评价和总结。二是是检查与信息系统有关的文档,以了解信息系统的总体情况、控制情况以及开发设计情况等。三是审计人员对信息系统的物理环境、硬件设施和办公场所,对信息系统的开发设计、构成和操作情况进行了解,对控制措施的实施进行实地查看。 (二)对信息系统进行测试。可以采用测试数据法、平行模拟、嵌入审计模块、虚拟实体、受控处理、受控再处理、程序代码检查等方法进行。一般按照如下程序进行测试:一是将被审计单位处理过的真实数据,在审计人员的监督下,在相同的信息系统或以前保存的程序副本上再处理一次,与以前处理的结果相比较。二是审计人员在对被审计单位的业务数据先进行核实,核实之后,在被审计单位的监督处理或亲自处理,并将处理结果与预期结果进行比较分析,以判断被审计单位的系统是否符合规定的要求。三是通过检查源程序代码的内部运行逻辑来发现存在的问题,并对程序是否符合规章制度的规定、能否完成预定功能及其质量进行评判的方法。该方法可以绕过输入输出直接检查程序内部代码,容易发现作弊程序,但对审计人员的计算机程序水平要求非常高。 (三)评估系统瑕疵所导致的后果。审计人员通过了解以及实质性的测试,从中发现信息系统存在的重大问题及漏洞,对整个信息系统做出合理的评价,提出改进建议。
三、信息系统审计主要存在的问题 (一)没有可借鉴的信息系统审计规范。信息系统审计规范是信息系统审计经验的总结,是对审计活动内在规范的反映,审计人员按照信息系统审计规范所确定的程序、步骤、技术和方法开展工作,能够少走弯路,提高信息系统审计效率,保障信息系统审计科学、高效运行,减低审计风险,当前信息系统审计正在探索和完善,没有可以借鉴的审计规范。 (二)信息系统审计目标不清晰。信息系统审计总体目标主要包括被审计单位信息系统的真实、合法、效益,在制定具体目标时,审计人员未能充分考虑行业不同带来的审计目标的区别,在审计实施过程中,部分审计机关及审计人员不能把握总体审计目标与具体目标的界限,笼统地进行表述,不具备操作性、指导性。 (三)信息系统审计缺乏计划性,后续审计跟不上。信息系统的审计是一个过程,包括审计计划、实施、审计报告以及后续审计阶段,而目前信息系统审计正处于探索阶段,根本谈不上审计计划,审计结束后后续整改的落实和反馈也跟不上。 (四)信息系统审计缺乏质量控制标准。目前在信息系统审计方面的质量控制尚处于空白状态,虽然国家审计署颁布了一些关于审计质量控制的标准和规范,但这些规范不是专门针对信息系统审计的,审计机关开展信息系统审计缺乏质量控制标准,增大了审计风险。
四、政策建议
一是在借鉴国外信息系统审计资源的基础上,出台完整、系统的审计规范体系,规范信息系统审计人员的行为准则,明确信息系统审计应当包括的内容和范围,使审计机关能够依法开展信息系统审计,更好地履行宪法和法律赋予的职责。 二是制定信息系统审计质量控制准则,规范和指导信息系统审计实践,提高审计工作质量,防范和规避审计风险。 三是加快信息系统审计人才的培养,信息系统审计对审计人员的专业技能要求很高,因此,审计机关应加大计算机人才的培养,并对其进行持续不断地后续教育,以增强信息技术的审计能力。(白星晓)
参考文献: 1.《信息系统审计内容与方法》执笔:庄明来吴沁红 李俊 中国时代经济出版社 2.《信息系统审计》作者:张金城 清华大学出版社 2009-3-1
【关闭】 【打印】