審計方法
信息系統審計過程與一般審計過程一樣,分為準備階段、實施階段和報告階段。其中,準備階段和報告階段所涉及的技術方法與財務審計所運用的技術方法區別不大,而實施階段所涉及的技術方法則具有信息技術的特色。在實施階段,針對被審計的信息系統,審計人員所開展的工作可以分為三個層次,即了解、描述和測試。
計算機信息系統環境下審計技術方法與手工環境下傳統的審計技術方法相比,相應增加了計算機技術的內容。對信息系統審計的方法既包括一般方法即手工方法,也包括套用計算機審計的方法。信息系統審計的一般方法主要用於對信息系統的了解和描述,包括:面談法、系統文檔審閱法、觀察法、計算機系統文字描述法、表格描述法、圖形描述法等。套用計算機的方法一般用於對信息系統的控制測試,包括:測試數據法、平行模擬法、線上連續審計技術(通過嵌入審計模組實現)、綜合測試法、受控處理法和受控再處理法等。套用計算機技術的審計方法主要是指計算機輔助審計技術與工具的運用。但不能把計算機輔助審計技術與工具的使用過程與信息系統審計等同起來。在信息系統審計的過程中,仍然需要運用大量的手工審計技術。
重點環節
數據環節
在審計中,必須使用一種方法能夠向前、向後追蹤單個交易和資產記錄,以便使審計人員選擇一些交易對其進行詳細檢查,確認交易記錄是否符合一般的審計目標。如對會計事項信息的檢查,要檢查它的完整性、時效性、合規性和信息披露等方面,檢查內容包括與本會計年度有關的交易是否全部記錄在冊;所有記錄的交易是否都是合理髮生的並與本會計年度有關;記錄的交易是否數據準確,計算無誤:記錄的交易是否符合基本的和輔助的法律規定,符合特定權威機構的要求;對記錄的交易是否進行正確的分類,並符合信息對外披露的要求等。對財務報表信息的檢查,要檢查完整性、存在性、會計計量、所有權以及信息披露等方面,檢查內容包括是否記錄了所有的資產和負債:所有記錄的資產和負債是否都是存在的;對資產和負債的計量是否精確,計算方法是否符合按合理性、一致的標準制定的會計政策的要求:確認資產是被審主體所有的、負債是被審主體應該承擔的,並且資產和負債是否由合法的經濟活動產生的;資產、負債、資本和存貨是否都得到正確的披露。同時對信息系統提供的業務信息也要進行分析,例如每月的工資總數、某階段的付款清單和訂貨信息等,要弄清基本的交易情況,並一直追蹤到信息源。對上述信息的分析可以採用計算機輔助審計技術,按照特定的標準對數據進行匯總、分類、排序、比較和選擇,並進行各種運算。
內部控制環節
內部控制一般而言是指組織經營管理者為了維護財產物資的安全、完整,保證會計信息的真實、可靠,保證經營管理活動的經濟性、效率性和效果性以及各項法律和規範的遵守,而對經營管理活動進行調整、檢查和制約所形成的內部管理機制,是組織為實現管理目標而形成的自律系統。計算機系統的內部控制主要分為套用控制、一般控制和管理控制等三個方面,在審計過程中要對被審計單位內控制度進行評價,包括電算化系統的內控制度。為了對系統的內控制度進行評價,審計人員必須驗證內部控制系統是否存在,並能提供令人滿意的證據,證明它正在有效地發揮作用。在計算機系統中,應檢查以下方面來證明內控制度的有效性:(1)控制系統資源的存取。包括物理資源,例如終端、伺服器、連線盒、相關文檔等;還包括邏輯資源,如軟體、系統檔案和表、數據等。(2)控制系統資源的使用。用戶應該只能對授權給他們的那些資源進行操作。(3)建立按用戶職能分配資源的制度。把重要的任務功能按用戶或用戶組進行分離,以減少無意的誤操作、濫用系統資源和對數據的非授權修改。(4)記錄系統的使用情況。按時間順序建立一個使用記錄,記錄內容應包括例外事例和與安全有關的事件是由誰觸發的,財務信息的創建、修改和刪除是由誰完成的。(5)確認處理過程的準確性。用產生財務控制信息,確認處理過程的準確完成。(6)管理人員對財務信息系統的修改。應該保證財務信息系統的所有修改都是經過授權、有文檔記錄、經過徹底(獨立地)測試的,確認最後以一種有控制的方式投入使用。(7)保護財務信息系統免遭計算機病毒的襲擊。必須建立一套控制措施,檢測病毒,防止病毒感染財務信息系統。
數據傳輸轉移
在信息系統中,有些數據需要在兩個財務信息系統或財務信息系統與業務信息系統之間相互轉移,在此過程中可能會出現一些問題,尤其是在需要手工重新錄入時。因此在審計時要重點關注以下方面:在轉移過程中數據可能會發生變化;新的科目代碼表與老的可能不一樣,需要在兩個財務信息系統之間建立複雜的對應關係:中心資料庫可能被一些地理上分散的伺服器取代;當前財務信息系統中的數據質量不佳;當用一個總的信息系統取代一個預定財務信息系統時,需要補充許多新的數據。在檢查這一環節時,一定要保證輸出的訊息是經過批准、完整和精確的,保證輸出的訊息在約定時間內準確地傳送給指定的接收者,保證流人的訊息是完整、準確和真實可靠的。
案例分析
2006年,在對某酒店開展的審計中,對酒店信息系統的安全性、可靠性進行了測試。測試結果發現信息系統在數據傳輸和運算上存在錯誤,通過數據驗證,證明錯誤產生的原因是由信息系統本身缺陷造成的。上述審計結果得到了被審計單位的認可,促使被審計單位更換了信息系統,提高了計算機管理水平。
這次審計之所以能取得一定的效果,主要是注意從數據和內控制度入手,利用計算機輔助審計技術和手工審計技術相結合開展信息系統審計。(1)在數據環節上,信息系統審計和數據審計對系統數據的利用角度是不一樣的。數據審計側重於數據之間的關聯,是審計數據的結果;而信息系統審計側重於數據的真實完整性,是通過測試數據的真實完整性來審計信息系統的安全性和可靠性。在審計中,通過詳細了解信息系統的資料庫結構,對比資料庫中表檔案的記錄數量大小和欄位完整程度,確定需要查詢的資料庫表檔案,把主表的數據完整性作為重點的測試目標。(2)在內部控制和數據傳輸環節,通過繪製組織機構圖、系統流程圖和現場走訪等方式,全面了解酒店的業務流程和工作特點。通過摸清酒店的業務流程,跟蹤基礎數據流在業務流程中的走向,鎖定數據的大量運算點,是確定審計方向的關鍵。信息系統中所有業務活動的發生都集中體現在基礎數據流上,基礎數據流是一個信息系統的重要構成要素,數據的大量運算點是測試系統運行安全性和可靠性的關鍵點。在此基礎上,確定了年審日報匯總、會議團體客房轉賬和業務系統與財務核算系統手工傳輸數據三個系統模組,作為對信息系統進行安全性、可靠性測試的重點。這三個模組是信息系統內數據大量運算和系統間傳輸數據的關鍵點,由於基礎數據在運算、自動傳輸和手工傳輸過程中存在發生錯誤和被調整修改的可能性,因此利用計算機輔助審計技術進行驗證。
在驗證過程中,通過分步驟編寫查詢語句和程式,調出數據生成中間表進行比對,發現疑點,根據疑點特徵繼續比對,直到發現錯誤點。在SQL語句不能保證完成大批量查詢和比對任務的情況下,採用計算能力更強、運算速度更快的JAVA來編寫查詢程式,起到了事半功倍的效果。
資格證書
CISA認證,國際註冊信息系統審計師,一般在每年12月份全球英文考試。現在在中國大陸的考試時間暫時只有6月中旬與12月中旬兩次,2013年起9月份會增加一次考試,也就是一年三次,大陸的考生可以選擇英文版與中文版兩種考試方式。大陸的考點暫時有:北京、上海、南京、深圳四個地址。
圖書基本信息
書 名: 信息系統審計
作 者:張金城
出版社:清華大學出版社
出版時間: 2009
開本: 16
定價: 23.00 元
內容簡介
《信息系統審計》系統地介紹了信息系統審計的產生與發展、特點、準則、IT治理、一般控制及審計、套用控制及審計、系統開發與獲取審計、系統運營與維護審計、應用程式審計、數據檔案審計等內容;覆蓋了信息系統審計課程教學的基本內容,同時結合了當前信息系統審計新方法、新技術的發展,具有很強的實用性與可操作性;編排由淺入深,條理清晰,通俗易懂。
《信息系統審計》是江蘇省高等學校精品立項教材,可作為高等學校信息管理與信息系統專業、審計學專業等專業“信息系統審計”課程的教材,亦可供從事信息系統審計的審計人員參考,同時還可作為專業培訓教材。
編輯推薦
《信息系統審計》共分8章,第1章論述了信息系統審計的基本知識,使讀者對信息系統審計有一個概括性的了解;第2章論述了IT治理的基本知識,使讀者對IT治理的含義、IT治理與信息系統審計的關係有一定的了解;第3、第4章論述了信息系統一般控制和套用控制及其審計方法;第5~第8章系統地論述了系統開發與獲取、系統運營與維護、應用程式、數據檔案的控制與審計方法和技術。《信息系統審計》可作為高等院校審計、信息管理與信息系統、會計等專業的教材;對廣大審計人員進行信息系統審計,對信息系統管理人員探討加強信息系統的控制,對計算機工作人員研究計算機在實際業務中的套用和控制,對審計、會計、管理、計算機等專業師生的教學與科研,都具有很高的參考價值。
系統論述了信息系統審計的基本理論和方法;介紹了信息系統審計最新的方法與技術;內容具有很強的實用性與可操作性;編排由淺入深,條理清晰,通俗易懂;江蘇省高校精品立項教材。
《信息系統審計》可作為高等學校信息管理與信息系統、審計學等專業“信
息系統審計”課程的教材,亦可供從事信息系統審計的審計人員參
考,同時還可作為專業培訓教材。