信息系統審計

信息系統審計的方法
　　信息系統審計過程與一般審計過程一樣，分爲準備階段、實施階段和報告階段。其中，準備階段和報告階段所涉及的技術方法與財務審計所運用的技術方法區別不大，而實施階段所涉及的技術方法則具有信息技術的特色。在實施階段，針對被審計的信息系統，審計人員所开展的工作可以分爲三個層次，即了解、描述和測試。
　　計算機信息系統環境下審計技術方法與手工環境下傳統的審計技術方法相比，相應增加了計算機技術的內容。對信息系統審計的方法既包括一般方法即手工方法，也包括應用計算機審計的方法。信息系統審計的一般方法主要用於對信息系統的了解和描述，包括：面談法、系統文檔審閱法、觀察法、計算機系統文字描述法、表格描述法、圖形描述法等。應用計算機的方法一般用於對信息系統的控制測試，包括：測試數據法、平行模擬法、在线連續審計技術(通過嵌入審計模塊實現)、綜合測試法、受控處理法和受控再處理法等。應用計算機技術的審計方法主要是指計算機輔助審計技術與工具的運用。但不能把計算機輔助審計技術與工具的使用過程與信息系統審計等同起來。在信息系統審計的過程中，仍然需要運用大量的手工審計技術。信息系統審計應關注的重點環節

1.數據環節

　　在審計中，必須使用一種方法能夠向前、向後追蹤單個交易和資產記錄，以便使審計人員選擇一些交易對其進行詳細檢查，確認交易記錄是否符合一般的審計目標。如對會計事項信息的檢查，要檢查它的完整性、時效性、合規性和信息披露等方面，檢查內容包括與本會計年度有關的交易是否全部記錄在冊；所有記錄的交易是否都是合理發生的並與本會計年度有關；記錄的交易是否數據準確，計算無誤：記錄的交易是否符合基本的和輔助的法律規定，符合特定權威機構的要求；對記錄的交易是否進行正確的分類，並符合信息對外披露的要求等。對財務報表信息的檢查，要檢查完整性、存在性、會計計量、所有權以及信息披露等方面，檢查內容包括是否記錄了所有的資產和負債：所有記錄的資產和負債是否都是存在的；對資產和負債的計量是否精確，計算方法是否符合按合理性、一致的標準制定的會計政策的要求：確認資產是被審主體所有的、負債是被審主體應該承擔的，並且資產和負債是否由合法的經濟活動產生的；資產、負債、資本和存貨是否都得到正確的披露。同時對信息系統提供的業務信息也要進行分析，例如每月的工資總數、某階段的付款清單和訂貨信息等，要弄清基本的交易情況，並一直追蹤到信息源。對上述信息的分析可以採用計算機輔助審計技術，按照特定的標準對數據進行匯總、分類、排序、比較和選擇，並進行各種運算。

2.內部控制環節

　　內部控制一般而言是指組織經營管理者爲了維護財產物資的安全、完整，保證會計信息的真實、可靠，保證經營管理活動的經濟性、效率性和效果性以及各項法律和規範的遵守，而對經營管理活動進行調整、檢查和制約所形成的內部管理機制，是組織爲實現管理目標而形成的自律系統。計算機系統的內部控制主要分爲應用控制、一般控制和管理控制等三個方面，在審計過程中要對被審計單位內控制度進行評價，包括電算化系統的內控制度。爲了對系統的內控制度進行評價，審計人員必須驗證內部控制系統是否存在，並能提供令人滿意的證據，證明它正在有效地發揮作用。在計算機系統中，應檢查以下方面來證明內控制度的有效性：(1)控制系統資源的存取。包括物理資源，例如終端、服務器、連接盒、相關文檔等；還包括邏輯資源，如軟件、系統文件和表、數據等。(2)控制系統資源的使用。用戶應該只能對授權給他們的那些資源進行操作。(3)建立按用戶職能分配資源的制度。把重要的任務功能按用戶或用戶組進行分離，以減少無意的誤操作、濫用系統資源和對數據的非授權修改。(4)記錄系統的使用情況。按時間順序建立一個使用記錄，記錄內容應包括例外事例和與安全有關的事件是由誰觸發的，財務信息的創建、修改和刪除是由誰完成的。(5)確認處理過程的準確性。用產生財務控制信息，確認處理過程的準確完成。(6)管理人員對財務信息系統的修改。應該保證財務信息系統的所有修改都是經過授權、有文檔記錄、經過徹底(獨立地)測試的，確認最後以一種有控制的方式投入使用。(7)保護財務信息系統免遭計算機病毒的襲擊。必須建立一套控制措施，檢測病毒，防止病毒感染財務信息系統。

3.數據傳輸轉移環節

　　在信息系統中，有些數據需要在兩個財務信息系統或財務信息系統與業務信息系統之間相互轉移，在此過程中可能會出現一些問題，尤其是在需要手工重新錄入時。因此在審計時要重點關注以下方面：在轉移過程中數據可能會發生變化；新的科目代碼表與老的可能不一樣，需要在兩個財務信息系統之間建立復雜的對應關系：中心數據庫可能被一些地理上分散的服務器取代；當前財務信息系統中的數據質量不佳；當用一個總的信息系統取代一個預定財務信息系統時，需要補充許多新的數據。在檢查這一環節時，一定要保證輸出的消息是經過批準、完整和精確的，保證輸出的消息在約定時間內準確地發送給指定的接收者，保證流人的消息是完整、準確和真實可靠的。信息系統審計案例分析
　　2006年，在對某酒店开展的審計中，對酒店信息系統的安全性、可靠性進行了測試。測試結果發現信息系統在數據傳輸和運算上存在錯誤，通過數據驗證，證明錯誤產生的原因是由信息系統本身缺陷造成的。上述審計結果得到了被審計單位的認可，促使被審計單位更換了信息系統，提高了計算機管理水平。
　　這次審計之所以能取得一定的效果，主要是注意從數據和內控制度入手，利用計算機輔助審計技術和手工審計技術相結合开展信息系統審計。(1)在數據環節上，信息系統審計和數據審計對系統數據的利用角度是不一樣的。數據審計側重於數據之間的關聯，是審計數據的結果；而信息系統審計側重於數據的真實完整性，是通過測試數據的真實完整性來審計信息系統的安全性和可靠性。在審計中，通過詳細了解信息系統的數據庫結構，對比數據庫中表文件的記錄數量大小和字段完整程度，確定需要查詢的數據庫表文件，把主表的數據完整性作爲重點的測試目標。(2)在內部控制和數據傳輸環節，通過繪制組織機構圖、系統流程圖和現場走訪等方式，全面了解酒店的業務流程和工作特點。通過摸清酒店的業務流程，跟蹤基礎數據流在業務流程中的走向，鎖定數據的大量運算點，是確定審計方向的關鍵。信息系統中所有業務活動的發生都集中體現在基礎數據流上，基礎數據流是一個信息系統的重要構成要素，數據的大量運算點是測試系統運行安全性和可靠性的關鍵點。在此基礎上，確定了年審日報匯總、會議團體客房轉账和業務系統與財務核算系統手工傳輸數據三個系統模塊，作爲對信息系統進行安全性、可靠性測試的重點。這三個模塊是信息系統內數據大量運算和系統間傳輸數據的關鍵點，由於基礎數據在運算、自動傳輸和手工傳輸過程中存在發生錯誤和被調整修改的可能性，因此利用計算機輔助審計技術進行驗證。
　　在驗證過程中，通過分步驟編寫查詢語句和程序，調出數據生成中間表進行比對，發現疑點，根據疑點特徵繼續比對，直到發現錯誤點。在SQL語句不能保證完成大批量查詢和比對任務的情況下，採用計算能力更強、運算速度更快的JAVA來編寫查詢程序，起到了事半功倍的效果。信息系統審計相關資格證書
　　CISA認證，國際注冊信息系統審計師，一般在每年12月份全球英文考試，6月份在中國中文考試。圖書《信息系統審計》信息
　　

pic-info">

書 名: 信息系統審計
　　作　者：張金城
　　出版社： 清華大學出版社
　　出版時間： 2009
　　ISBN: 9787302195504
　　开本： 16
　　定價: 23.00 元內容簡介
　　《信息系統審計》系統地介紹了信息系統審計的產生與發展、特點、準則、IT治理、一般控制及審計、應用控制及審計、系統开發與獲取審計、系統運營與維護審計、應用程序審計、數據文件審計等內容；覆蓋了信息系統審計課程教學的基本內容，同時結合了當前信息系統審計新方法、新技術的發展，具有很強的實用性與可操作性；編排由淺入深，條理清晰，通俗易懂。
　　《信息系統審計》是江蘇省高等學校精品立項教材，可作爲高等學校信息管理與信息系統專業、審計學專業等專業“信息系統審計”課程的教材，亦可供從事信息系統審計的審計人員參考，同時還可作爲專業培訓教材。編輯推薦
　　《信息系統審計》共分8章，第1章論述了信息系統審計的基本知識，使讀者對信息系統審計有一個概括性的了解；第2章論述了IT治理的基本知識，使讀者對IT治理的含義、IT治理與信息系統審計的關系有一定的了解；第3、第4章論述了信息系統一般控制和應用控制及其審計方法；第5～第8章系統地論述了系統开發與獲取、系統運營與維護、應用程序、數據文件的控制與審計方法和技術。《信息系統審計》可作爲高等院校審計、信息管理與信息系統、會計等專業的教材；對廣大審計人員進行信息系統審計，對信息系統管理人員探討加強信息系統的控制，對計算機工作人員研究計算機在實際業務中的應用和控制，對審計、會計、管理、計算機等專業師生的教學與科研，都具有很高的參考價值。
　　系統論述了信息系統審計的基本理論和方法；介紹了信息系統審計最新的方法與技術；內容具有很強的實用性與可操作性；編排由淺入深，條理清晰，通俗易懂；江蘇省高校精品立項教材。
　　《信息系統審計》可作爲高等學校信息管理與信息系統、審計學等專業“信
　　息系統審計”課程的教材，亦可供從事信息系統審計的審計人員參
　　考，同時還可作爲專業培訓教材。目錄

第1章信息系統審計概論

　　1.1信息系統審計的產生與發展
　　1.1.1電子數據處理系統對審計的影響
　　1.1.2信息系統審計的產生與發展
　　1.2信息系統審計的含義與特點
　　1.2.1信息系統審計的定義
　　1.2.2信息系統審計的特點
　　1.3信息系統審計目標
　　1.4信息系統審計的主要內容
　　1.4.1內部控制系統審計
　　1.4.2系統开發審計
　　1.4.3應用程序審計
　　1.4.4數據文件審計
　　1.5信息系統審計的基本方法
　　1.5.1繞過信息系統審計
　　1.5.2通過信息系統審計
　　1.6信息系統審計的步驟
　　1.6.1準備階段
　　1.6.2實施階段
　　1.6.3終結階段
　　1.7信息系統審計準則
　　1.7.1信息系統審計準則的概念和作用
　　1.7.2國際信息系統審計準則
　　1.7.3我國信息系統審計規範體系
　　1.8我國信息系統審計人才培養策略
　　1.8.1信息時代呼喚信息系統審計師
　　1.8.2信息系統審計師應具備的素質
　　1.8.3信息系統審計師的培養
　　1.9金審工程簡介
　　1.9.1金審工程的背景
　　1.9.2金審工程總體規劃
　　1.9.3金審工程建設情況
　　1.9.4金審工程二期建設展望
　　思考題

第2章IT治理

　　2.1IT治理的定義
　　2.2IT治理的關鍵問題
　　2.2.1IT治理缺失的症狀
　　2.2.2IT治理的關鍵問題
　　2.3IT治理與公司治理
　　2.3.1公司治理和公司管理
　　2.3.2IT治理和IT管理
　　2.3.3公司治理和IT治理
　　2.4IT治理標準
　　2.5建立IT治理的機制和方法
　　2.5.1IT治理機制
　　2.5.2IT治理方法
　　2.6IT治理的目標和範圍
　　2.6.1IT治理目標
　　2.6.2IT治理範圍
　　2.7IT治理成熟度模型
　　思考題

第3章信息系統一般控制及審計

　　3.1信息系統一般控制概述
　　3.2管理控制及其審計
　　3.2.1管理控制的基本內容
　　3.2.2管理控制審計
　　3.2.3管理控制測試
　　3.3系統基礎設施控制及其審計
　　3.3.1信息系統環境控制
　　3.3.2信息系統硬件控制與審計
　　3.3.3系統軟件控制
　　3.4系統訪問控制及其審計
　　3.4.1邏輯訪問控制
　　3.4.2物理訪問控制
　　3.4.3對訪問控制的審計
　　3.5系統網絡架構控制及其審計
　　3.5.1局域網控制與審計
　　3.5.2客戶機／服務器架構風險與控制
　　3.5.3互聯網風險與控制
　　3.5.4網絡安全技術
　　3.5.5網絡架構控制的審計
　　3.6災難恢復控制及其審計
　　3.6.1災難與業務中斷
　　3.6.2災難恢復與業務持續計劃
　　3，6.3災難恢復與業務持續計劃的審計
　　思考題

第4章信息系統應用控制及其審計

　　4.1輸入控制
　　4.1.1數據採集控制
　　4.1.2數據輸入控制
　　4.1.3會計信息系統輸入控制
　　4.2處理控制
　　4.2.1審核處理輸出
　　4.2.2進行數據有效性檢驗
　　4.2.3會計信息系統中幾種特殊的處理控制技術
　　4.3輸出控制
　　4.4應用控制的審計
　　4.4.1業務處理規程和輸入控制的審查
　　4.4.2輸出控制的審查
　　4.5內部控制審計實例
　　4.5.1被審單位基本情況
　　4.5.2被審信息系統——採購和付款系統說明
　　4.5.3內部控制制度
　　4.5.4收集審計證據
　　4.5.5審計證據的分析與報告
　　思考題

第5章信息系統开發與獲取審計

　　5.1信息系統生命周期與審計
　　5.1.1信息系統審計師在信息系統开發中的職責
　　5.1.2信息系統开發與實施評價
　　5.2基於生命周期的信息系統开發方法
　　5.3信息系統的其他开發方法
　　5.3.1原型法
　　5.3.2面向對象的方法
　　5.3.3計算機輔助开發方法
　　5.3.4基於組件的开發方法
　　5.3.5基於Web應用开發方法
　　5.3.6快速應用开發方法
　　5.3.7敏捷开發
　　5.4信息系統开發團隊、角色和責任
　　5.5項目管理
　　5.6軟件配置管理
　　5.7與軟件开發相關的風險
　　5.8軟件开發過程的完善
　　5.8.1ISO9126
　　5.8.2軟件能力成熟度模型
　　5.8.3軟件能力成熟度模型集成
　　5.9信息系統开發過程審計
　　5.9.1信息系統審計師對系統开發過程進行風險評估
　　5.9.2制訂審計計劃
　　5.9.3系統开發過程審計
　　思考題

第6章信息系統運營與維護審計

　　6.1信息系統的運營與維護工作存在的問題
　　6.2軟件維護
　　6.2.1軟件維護的種類
　　6.2.2軟件維護的實施
　　6.2.3軟件維護申請報告
　　6.2.4維護檔案記錄
　　6.2.5維護階段的審計
　　6.3信息系統變更管理
　　6.4系統變更流程和遷移程序的審計
　　6.5IT服務管理
　　6.5.1IT服務管理產生的背景
　　6.5.2IT服務管理的發展歷史
　　6.5.3IT服務管理的定義
　　6.5.4ITIL
　　6.5.5IT服務提供流程
　　6.5.6IT服務支持管理
　　6.5.7IT服務管理案例——如何建立一個基於ITIL的服務臺
　　6.6信息系統生命周期的審計程序
　　思考題

第7章信息系統應用程序審計

　　7.1應用程序審計的內容
　　7.1.1審查程序控制是否健全有效
　　7.1.2審查程序的合法性
　　7.1.3審查程序編碼的正確性
　　7.1.4審查程序的有效性
　　7.2應用程序審計方法
　　7.2.1程序編碼檢查法
　　7.2.2程序運行記錄檢查法
　　7.2.3程序運行結果檢查法
　　7.2.4檢測數據法
　　7.2.5整體檢測法
　　7.2.6程序編碼比較法
　　7.2.7受控處理法
　　7.2.8受控再處理法
　　7.2.9平行模擬法
　　7.2.10嵌入審計程序法
　　7.2.11程序追蹤法
　　思考題

第8章信息系統數據文件審計

　　8.1數據文件的審計內容
　　8.2信息系統數據文件的審計流程
　　8.2.1審前準備階段的工作實現
　　8.2.2審計實施階段的工作實現
　　8.2.3審計終結階段的工作實現
　　8.3計算機輔助數據文件審計技術方法與工具
　　8.3.1計算機輔助數據文件審計方法
　　8.3.2計算機輔助審計技術
　　思考題
　　參考文獻
　　……