信息系統審計(Information system audit)是壹個獲取和評估證據的過程,以判斷信息系統是否能夠確保資產的安全性、數據的完整性,以及組織資源的高效利用和組織目標的有效實現(由ISACA,國際信息系統審計與控制協會定義)。目前,審計機關對信息系統的審計主要有兩種方式。壹種是將信息系統審計作為常規審計的壹部分,服務於審計項目的總體目標,即數據審計、信息系統審計和系統內部控制審計相結合。信息系統審計和系統內部控制審計是為數據審計服務的,通過審計數據得出結論。另壹種是獨立項目,直接審計信息系統本身的安全性、可靠性和有效性。
二、開展信息系統審計的緊迫性
信息系統審計作為國家審計機關的壹項重要工作,是信息化發展到壹定程度的必然產物。
(壹)開展信息系統審計是控制審計風險的要求。這幾年審計紙質賬的時候,內控也要審計,不能做假賬。同理,電子數據也不能造假。如果被審計單位承載電子數據的信息系統的安全性、可靠性和有效性出現問題,計算機數據審計就會存在風險。系統的可信性和可靠性是數據審計的前提和基本條件。
(二)開展信息系統審計是全面履行審計職責的要求。在信息化環境下,電子數據、信息系統和系統內部控制的審計必須“三位壹體”。在審核過程中,這三項內容不能少。只有這樣,才能完成“全面審計,突出重點”的要求,全面履行審計職責。
(A)提高所有審計人員對信息系統審計的認識。
“審計人員不掌握計算機技術就會失去審計資格”的觀點基本得到了8萬名審計人員的認可。近年來,計算機在審計領域得到廣泛應用,數據審計得到大力推進。但是,大多數人對信息系統審計的認識仍然不夠,對開展信息系統審計的必要性和緊迫性認識不足,甚至對開展信息系統審計的可行性產生懷疑。為了保證信息系統產生的數據真實完整,信息系統安全可靠有效,只要信息系統被被審計單位使用,就必須對信息系統進行審計,檢查系統的內部控制。只有這樣才能防止假賬被審計。
(二)重視對計算機信息系統審計人員的培訓,不斷提高其審計技能。
計算機信息系統的審計對審計人員的專業技能要求較高,這就要求審計人員除了具備相應的審計技能外,還要具備較高的計算機技能。獲得計算機信息系統審核員的渠道有兩個。壹種是在人員配備時把計算機技能作為必要條件,在實際工作中不斷培養自己的審計技能;二是對現有審計人員進行計算機知識培訓,提升其信息科技審計能力。由於計算機技術涉及面廣,技術復雜性強,計算機信息技術發展迅速,決定了無論以何種方式取得的信息技術審計人員都應接受持續的後續教育。
(三)信息系統審計應註重三個環節。
(1)內控環節。
在計算機系統中,應檢查以下幾個方面來證明內部控制系統的有效性:1。訪問控制系統資源。包括物理資源,如終端、服務器、連接盒、相關文檔等。它還包括邏輯資源,如軟件、系統文件和表格、數據等。2.控制系統資源的使用。用戶應該只對授權給他們的資源進行操作。3.建立壹個根據用戶功能分配資源的系統。將重要的任務功能按照用戶或用戶組進行分離,以減少無意的誤操作、系統資源的濫用和數據的非授權修改。4.記錄系統的使用情況。按時間順序建立使用記錄,其中應包括例外情況、誰觸發了安全相關事件以及誰完成了財務信息的創建、修改和刪除。5.確認治療過程的準確性。使用生成的財務控制信息來確認治療過程的準確完成。6.管理人員修改財務信息系統。應確保對財務信息系統的所有修改都經過授權、記錄、徹底(獨立)測試,並最終以受控方式投入使用。7.保護金融信息系統免受計算機病毒的侵害。必須建立壹套控制措施來檢測病毒並防止病毒感染財務信息系統。
(2)數據鏈。
在審計中,審計人員選擇壹些交易進行詳細檢查,以確認交易記錄是否符合總體審計目標。壹是檢查會計信息,包括其完整性、及時性、合規性和信息披露情況,包括與本會計年度相關的所有交易是否都有記錄;所有記錄的交易是否合理並與本財年相關;記錄的交易在數據和計算上是否準確:記錄的交易是否符合基本的和輔助的法律規定,是否符合特定權威機構的要求;記錄的交易是否分類正確,是否符合信息披露的要求。二是檢查財務報表的信息,包括完整性、存在性、會計計量、權屬和信息披露,包括所有資產和負債是否入賬:所有入賬的資產和負債是否存在;資產和負債的計量是否準確,計算方法是否符合按照合理、壹致的標準制定的會計政策的要求:確認資產歸被審計單位所有,負債應由被審計單位承擔,資產和負債是否由合法的經濟活動產生;資產、負債、資本和存貨是否正確披露。同時,對信息系統提供的業務信息也要進行分析,如每月工資總額、支付清單、某壹階段的訂單信息等。,摸清基本交易情況,追溯到信息源頭。可以利用計算機輔助審計技術對上述信息進行分析,按照特定的標準對數據進行匯總、分類、整理、比較和選擇,並進行各種操作。
(3)數據傳輸和傳遞。
在信息系統中,有些數據需要在兩個財務信息系統之間或者財務信息系統和業務信息系統之間傳遞,在這個過程中可能會出現壹些問題,尤其是需要手工重新錄入的時候。因此,在審計中要註意以下幾個方面:數據在傳遞過程中可能會發生變化;新的賬戶代碼表可能與舊的不同,需要在兩個財務信息系統之間建立復雜的對應關系:中央數據庫可能被壹些地理上分散的服務器所取代;當前財務信息系統中的數據質量不佳;當用通用信息系統替換預定的財務信息系統時,需要補充許多新數據。在檢查此鏈接時,我們必須確保輸出消息是經過批準的、完整的和準確的,確保輸出消息在約定的時間內準確地發送到指定的接收方,確保流的消息是完整的、準確的和真實的。