信息系统一般控制审计上

信息系统一般控制审计（上）

（来源：《中国注册会计师》，2018-09-12）

编者按：在信息化环境下，企业运用信息技术编制财务报表，设计和执行内部控制。注册会计师在对企业的财务报表进行审计时，必须考虑信息技术的影响。同时，信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战，中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书，即将出版。本刊约请作者加以摘编，分期连载，以飨读者。

注册会计师在完成信息系统审计工作计划之后，就要进入信息系统审计的执行工作。我们将对信息系统审计的执行工作从信息系统一般控制、应用控制和数据三个领域分别阐述。

信息系统一般控制是整个信息系统审计的基础和内核，对被审计单位的应用控制和数据保驾护航，对整个财务报表产生普遍性的影响。如果信息系统一般控制没有得到有效设计或运行，依赖于其上的自动控制和手工控制就如建立在沙滩上的城堡，无法对财务报表提供有效的支撑。因此，如果信息系统一般控制和应用控制均在审计范围内，我们一般应该先安排执行信息系统一般控制的审计工作。在大致确保一般控制整体有效的前提下，再进行相关的应用控制审计的执行工作。如果一般控制整体无效或部分无效，我们需要评估无效的控制点对依

赖其上的应用控制的影响，确认是否仍然可以依赖该应用控制点，以及在此背景下该应用控制点的审计策略和方法是否需要有所调整。

简言之，应用控制是否有效并可以被依赖、以及如何测试将在很大程度上取决于一般控制的有效性。因此，信息系统一般控制审计在整个审计过程中具有举足轻重的作用。

一、系统建设

（一）系统建设活动中与审计相关的特定风险

注册会计师在执行财务报表审计时，需要考虑被审计单位的信息系统建设活动可能对审计工作产生的影响。例如，信息系统建设活动是否与财务报表相关？相关程度如何？如果新建的信息系统与财务报表不相关（如工程辅助设计系统），注册会计师并不需要将其纳入审计范围。反之，注册会计师需要进一步考虑系统建设活动中与财务报表审计相关的特定风险，如表1所示。

表1 信息系统建设生命周期各阶段的主要审计风险

（二）系统建设活动的重点关注领域

注册会计师应当根据对被审计单位信息技术环境的了解、财务报表对信息技术的依赖程度，以及可能使财务报表产生重大错报的信息技术相关风险评估情况，确定对财务报表认定有直接或间接影响的信息系统。如果被审计单位的系统建设活动涉及以下几类信息系统，注册会计师通常需要予以关注：

1. 财务系统：通常涵盖总账、固定资产、应收账款、应付账款等模块，是被审计单位日常会计核算的基础应用系统。其功能定位决定了这类信息系统对财务报表认定具有直接影响。因此，如果被审计单位在审计期间进行了财务系统的开发活动，注册会计师通常应当将财务系统纳入信息系统审计范围，并对与该系统开发相关的风险和控制的设计与执行给予充分的考虑和评估。

2. 报表平台：通常包括三类，一类是专门执行合并报表编制的平台，能够根据配置自动执行合并抵消，并出具合并层面的财务报表，如Oracle Hyperion产品；第二类是从业务系统抽取数据生成报表，供财务人员做账时查询；第三类是支持企业对外报送信息的系统，如根据税务法律法规，专门生成符合报税格式和规范的财务报表。如果

注册会计师确定这类信息系统对财务报表认定具有直接影响，通常应当将其纳入信息系统审计范围。

3. 业务系统：通常是支撑被审计单位生产经营活动开展的事务处理与管控系统，具体表现形式多样。如制造业企业的ERP系统，零售企业的POS系统、进销存系统、客户关系管理系统，商业银行的贷款系统，电商的订单处理系统等。值得注意的是，在现代企业中，业务端与财务端在信息技术的推动下逐渐融合，如SAP、Oracle等ERP 产品，财务相关的功能往往作为ERP系统的一个模块而存在；或者系统之间存在着自动化的接口，财务系统通过接口与业务系统同步数据并进行账务处理；或者业务系统能够生成相关的报表，供财务人员查询并做会计核算和账务处理。在这样的信息技术运用环境中，业务系统应当被认为对财务报表认定具有直接影响，通常应当将其纳入信息系统审计范围。

4. 工作流系统：通常能够根据用户角色和权限，以及工作流的配置和定义，自动触发并处理各类工作请求。常见的形式是办公自动化系统。注册会计师需要谨慎对待此类系统，并评估工作流处理的对象对于财务报表认定是否具有直接或间接影响。例如，主营业务的采购或销售合同条款的录入与审批在办公自动化系统中执行，审批通过后，合同条款自动经由数据接口同步进入ERP系统作为采购或销售事务结算的依据，在这种情形下，办公自动化系统处理的对象对于财务报表认定具有直接的影响。还有一类工作流系统，处理信息系统相关的工作请求，如系统变更、后台数据更正等。虽然与被审计单位开展

的生产经营活动并不直接相关，但却是信息系统一般控制的基础管控平台，注册会计师通常应当予以充分考虑。

（三）系统建设审计领域相关控制的一般要素

注册会计师需要确定财务报表审计对信息系统的依赖程度，并在此基础上对纳入审计范围的信息系统的系统建设领域相关控制进行了解、评估和验证，系统建设审计领域相关控制的一般要素包括：

1. 对开发和实施活动的控制和管理；

2. 项目启动；

3. 系统分析与设计；

4. 编码开发与配置；

5. 测试与质量保证；

6. 数据清洗、转换与迁移；

7. 程序实施；

8. 记录和培训；

9. 职责分离。

系统建设各阶段面临的财务报表审计相关特定风险与控制目标、COBIT5模型及常见控制措施的对应关系如表2所示。

表2 风险与控制目标、COBIT5模型及常见控制措施的对应关系

（四）系统建设审计领域控制测试的执行

根据《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》，注册会计师应当根据被审计单位的特定信息技术环境，对财务报表重大错报风险进行识别，了解并评价与财务报表审计相关的内部控制。就系统建设审计领域的内部控制而言，识别和了解与企业财务报告相关的内部控制，并确定控制测试的性质、时间安排和范围,通常需要关注内容见表3。

表3 确定系统建设审计领域控制测试时的考虑

必须指出的是，以上考虑并非在任何情况下均适用，也并不能完全涵盖所有情况。注册会计师需要结合被审计单位的信息技术环境和特定风险做出职业判断。

在执行系统建设领域的审计工作时，注册会计师需要充分考虑其

审计发现对企业财务报表审计是否存在直接影响，并据此评估对审计程序的性质、时间安排和范围的影响。系统开发审计领域常见的审计发现及其影响列示见表4。

表4 系统建设审计领域常见审计发现及其影响

二、系统变更

信息系统建设完成后，系统进入运行维护期。在这个时期，对于信息系统进行维护目的修复、更新或者增强，即可视为系统变更。从变更的方式上来看，系统变更又可以分为两类，即代码级变更和配置

级变更。前者是通过直接更改程序代码而后重新编译软件的方式对系统进行修复、更新或者增强；而后者则是通过更改配置项目的方式实现系统变更。

（一）系统变更的阶段和主要任务

系统变更的最根本特点是针对已经存在的信息系统而进行的。系统变更也可以划分为若干个相对独立的阶段，每个阶段的名称及其主要任务如表5所示。

表5系统变更流程各阶段主要任务

（二）系统变更活动对财务报表编制和审计的影响

注册会计师需要考虑被审计单位的信息系统变更可能对审计工

作产生的影响。最根本的问题是，被审计单位的信息系统变更是否与财务报表相关？具体相关程度如何？是否会对信息系统应用控制产

生影响？如果发生变更的信息系统与财务报表不相关，注册会计师并不需要将其纳入审计范围。如果有充分证据证明，自上一次测试后，与财务报告相关的信息系统没有发生变化，则注册会计师也可以考虑

相应减少或省去对系统变更控制的测试。反之，注册会计师需要进一步考虑系统变更活动中与财务报表审计相关的特定风险，如表6所示。

表6系统变更各阶段的主要审计风险

（三）系统变更审计领域的相关控制

系统变更审计领域相关控制是围绕系统变更活动的一系列程序或机制，它们能够确保对系统程序和相关技术基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标。

系统变更审计领域的相关控制要保证系统变更是在经过充分测试并获得管理层的适当授权后，才由适当的人员实施到企业的生产环境中。

系统变更审计领域相关控制的一般要素包括：

1. 对系统变更活动的整体管理；

2. 对变更请求的规范、授权与跟踪；

3. 编码开发；

4. 测试和质量保证；

5. 程序实施；

6. 记录和培训；

7. 职责分离。

系统变更各阶段面临的财务报表审计相关特定风险，与控制目标、COBIT5模型及常见控制措施的对应关系如表7所示。

表7风险与控制目标、COBIT5模型及常见控制措施的对应关系

（四）系统变更审计领域的测试

根据《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》，在风险导向审计模式下，注册会计师应当根据被审计单位的特定信息技术环境，对财务报表重大错报风险进行识别，了解并评价与财务报表审计相关的内部控制。

就系统变更审计领域的内部控制而言，识别和了解与企业财务报告相关的内部控制，并确定控制测试的性质、时间安排和范围通常需要关注的内容如表8所示。

表8确定系统开发审计领域内部控制测试时的考虑

浅谈信息系统审计的内容和策略.

浅谈信息系统审计的内容和策略 摘要:伴随着科技进步和企业管理理念的发展,越来越多的组织更加依赖于信息技术。与此同时,对信息系统审计的研究和实践也正不断发生着变化。笔者认为,信息系统审计有其自身的特点,是审计的新领域,与传统审计相对独立,应从组织的整体风险控制、价值实现以及整个审计体系的角度来重新认识。 关键词:信息系统信息技术审计内容策略 伴随着科技进步和企业管理理念的发展,以计算机技术、通信技术以及网络技术为主要内容的信息技术在社会各行业的管理中正发挥着越来越重要的作用。无论是企事业单位,还是政府公共服务机构,都越来越依赖于信息系统。信息系统的可靠性、有效性和效率性影响着组织的正常运转。 与此同时,对信息系统审计的研究和实践也正不断发生着变化。从计算机辅助审计到面向系统数据的审计,再到对应用系统的审计,信息系统的审计范围和领域不断扩大。目前,对信息系统审计的认识受到较多传统审计的影响,不少研究人员认为信息系统条审计是传统审计的补充和延伸,是为传统审计提供支撑和服务的。但笔者认为,信息系统审计有其自身的特点,是审计的新领域,对信息系统审计的认识和研究要从企业整体风险控制、价值实现以及整个审计体系的角度来重新认识。 一、信息系统审计的内容 从信息系统在组织中所处地位以及信息系统的开发、运行和维护过程分析,信息系统审计应包括对IT治理结构审计等9个方面的主要内容。 1.对IT治理结构与实施的审计。信息技术过去被认为仅仅是企业组织战略的强化器,而现在被认为是组织战略的重要组成部分,越来越受到管理层的关注。通过有效使用安全、可靠的信息和适用的技术,IT治理有助于企业获得成功。因此,在对信息系统审计中,审计人员应首先关注组织的IT治理机构,判断组织是否做到了IT 与业务的融合,并保持目标一致。

信息系统一般控制审计上

信息系统一般控制审计（上） （来源：《中国注册会计师》，2018-09-12） 编者按：在信息化环境下，企业运用信息技术编制财务报表，设计和执行内部控制。注册会计师在对企业的财务报表进行审计时，必须考虑信息技术的影响。同时，信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战，中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书，即将出版。本刊约请作者加以摘编，分期连载，以飨读者。 注册会计师在完成信息系统审计工作计划之后，就要进入信息系统审计的执行工作。我们将对信息系统审计的执行工作从信息系统一般控制、应用控制和数据三个领域分别阐述。 信息系统一般控制是整个信息系统审计的基础和内核，对被审计单位的应用控制和数据保驾护航，对整个财务报表产生普遍性的影响。如果信息系统一般控制没有得到有效设计或运行，依赖于其上的自动控制和手工控制就如建立在沙滩上的城堡，无法对财务报表提供有效的支撑。因此，如果信息系统一般控制和应用控制均在审计范围内，我们一般应该先安排执行信息系统一般控制的审计工作。在大致确保一般控制整体有效的前提下，再进行相关的应用控制审计的执行工作。如果一般控制整体无效或部分无效，我们需要评估无效的控制点对依

赖其上的应用控制的影响，确认是否仍然可以依赖该应用控制点，以及在此背景下该应用控制点的审计策略和方法是否需要有所调整。 简言之，应用控制是否有效并可以被依赖、以及如何测试将在很大程度上取决于一般控制的有效性。因此，信息系统一般控制审计在整个审计过程中具有举足轻重的作用。 一、系统建设 （一）系统建设活动中与审计相关的特定风险 注册会计师在执行财务报表审计时，需要考虑被审计单位的信息系统建设活动可能对审计工作产生的影响。例如，信息系统建设活动是否与财务报表相关？相关程度如何？如果新建的信息系统与财务报表不相关（如工程辅助设计系统），注册会计师并不需要将其纳入审计范围。反之，注册会计师需要进一步考虑系统建设活动中与财务报表审计相关的特定风险，如表1所示。 表1 信息系统建设生命周期各阶段的主要审计风险

精编【财务内部审计】浅议社保基金信息系统审计的重点和方法

【财务内部审计】浅议社保基金信息系统审计的重点 和方法 xxxx年xx月xx日

xxxxxxxx集团企业有限公司Please enter your company's name and contentv

浅议社保基金信息系统审计的重点和方法 太仓市审计局方云龙 近年来，社保经办机构的信息化程度不断提高，所有的社保基金业务处理都实现了电子化管理。社保基金信息系统业务功能涵盖了城镇职工养老、医疗、失业、工伤、生育和农村社会养老保险等六大险种，为企业职工、机关事业单位职工、农民、个体工商户、自谋职业者等参保对象提供“六险一单”的征缴、支付和基金管理服务。太仓市社保经办机构的业务系统由浙江网新恩普软件有限公司开发，当前累计的业务数据存储量超过60G。系统服务器端采用ORACLE 9I数据库系统和UNIX操作系统，客户端操作系统采用WINDOWS2000/XP。由该局信息中心具体负责社保基金信息系统的日常维护和数据管理。太仓市审计系统为了促进社保经办机构进一步规范社保基金的管理，保证社保基金的安全，专门组织有关人员从全面了解该系统的运行情况着手，有效开展社保基金信息系统审计。 一、系统概况 我们通过认真查阅该系统的规划、设计方案等文件档案，全面了解掌握该系统的业务需求和技术设计思路、总体框架和核心业务技术路线等情况。下图是太仓市劳动和社会保障局的社保基金信息管理系统分布拓扑图：

该系统总体由核心业务区、数据存储区、交换区、公共服务器区以及跨部门应用互联区组成，其中跨部门应用互联区还包括了乡镇业务服务区和横向互联区。系统中各块区域的功能及作用如下： （1）核心业务区 核心业务区的功能是实现对业务资源数据库的管理和对业务的处理，其中，核心业务区支持的劳动保障业务包括劳动就业和劳动力市场业务、各项社会保险业务（养老、医疗、失业、工伤、生育、各项补充保险和农村养老）和其他劳动机关业务。 （2）数据存储区 数据存储区采用SAN架构的存储设备，实现对劳动保障各类数据资源的集中存储和统一管理。 （3）交换区 交换区的功能是从本级生产库提取、汇总下级交换数据，并形成本级交换库，支持公共服务和上级网络扫描应用，为上级劳动保障部门提供所需的数据资料。 （4）公共服务器区 公众服务区的功能是实现面向社会公众的电子邮件、信息发布、信息查询、政策咨询和网上办事服务。 （5）乡镇业务服务区 乡镇业务服务区的功能是实现乡镇、街道、社区的劳动保障业务代办及提供公共查询服务。 （6）横向互联区

审计管理信息系统解决方案

审计管理信息系统解决方案

一、企业目前在审计管理上面临的问题 随着集团型企业的不断发展，内部审计已成为现代企业管理的重要组成部分，对完善企业内部自我约束机制，深化企业改革，建立现代企业制度作出了巨大贡献。但是，目前很多企业的内部审计从机构设置、工作重点、审计范围、规范管理等方面还存在一些问题，主要表如下： 资源压力，效率低下 目前，大多数集团型企业面临多种审计需求，工作量巨大，审计工作面临多组织、多地域问题，难以组织协调，无法兴盛统一的资源和计划管理。 标准、方法不一致 集团型企业分子公司、分支机构审计方式不统一，存在一个组织，多种方法的问题。审计标准不统一，风险难以被有效控制。业务的不断变化，而审计业务没有创新和改变，难以应对变化。 审计能力不能持续提升 审计过程中，不能有效地获取、积累、沉淀知识,各组织审计知识不能有效共享，导致审计人员能力不能得到很好的提升。 审计绩效及监督体制不完善 企业没有有效的审计绩效考核方案，审计发现问题后，没有有效的监督整改机制。 风险意识薄弱

审计方式以事后审计为主，大多为“补救式”管理，审计质量提升不明显，导致没有有效的进行风险预警。 二、审计管理信息系统的概述 北京慧点科技开发有限公司（以下简称：慧点科技）的审计管理信息系统，为集团型企业的审计部门借助信息化手段，助力内部审计业务和管理全面提升提供了保障。慧点科技的审计管理信息系统可以帮助审计部门更好地履行内部审计职能，并且在实施审计项目、进行审计管理的过程中，对相关的审计业务操作与各类管理信息进行过程留痕，使客户能够更加方便的对审计过程中的各类信息进行统计分析，实现审计知识的积累，为审计项目实施和审计工作流程管理提供支持工具。 慧点审计管理信息系统按照集团型企业审计工作特点量身定制，建立了审计计划管理、审计资源管理、审计作业管理、审计业务分析等功能模块，功能和整合能力达到国际领先水平，不仅实现了集团型企业信息化的跨越式发展，为审计业务发展所需要的“治理结构”、“人力资源”、“工作实务”、“绩效评估及质量保证”、“技术”、“沟通和汇报”、“知识管理”等七个要素的发展提供了技术支撑。 三、审计管理信息系统架构说明 慧点管理信息系统分为多个层次，包括信息门户与展现层、业务系统应用层、应用支撑与工具层、基础设施层等4个层面，身份和授权管理贯穿于各个层面， 如下图所示：

信息系统审计重点及应对措施

信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。随着计算机及网络技术的迅速发展，审计机关要想完成“全面审计，突出重点”的审计目标，担负起社会经济运行的“免疫系统”作用，就必须加快信息系统审计的步伐。为此，笔者认为，审计机关要开展好信息系统审计，就必须把握重点，加强组织，制定措施，积极推进。 一、开展信息系统审计应把握的重点 1、信息系统审计的目标和内容 信息系统审计目标：信息系统审计不仅要对系统信息的合法性、公允性进行审计，还要对信息系统的硬件和软件，以及整个信息系统的安全性、稳定性、内部控制的健全性与有效性等方面进行审计，指出被审计单位信息系统内部管理和控制上的薄弱环节，提高其信息系统的可靠性和真实性，有效地防止利用信息技术随意篡改系统信息或破坏磁介质上的数据等舞弊行为的发生。因此，信息系统审计目标不仅仅在于应用计算机进行审计（即传统EDI 审计或计算机辅助审计），更重要的是要对信息系统本身的安全性、稳定性及其实现组织目标的有效性进行实时的检查、评价和改造。 信息系统审计内容：主要包括信息系统开发过程审计、一般控制审计和应用控制审计三个方面。 2、信息系统审计的职能和方式 为了实现审计目标，保证和咨询应成为对信息系统进行审计的两大基本职能。“保证”即“系统可靠性保证”，就是通过对信息系统运行过程、商业连续性能力、维护状况进行评价，合理保证信息系统安全、稳定、有效，它是信息系统审计最基本的职能。“咨询”是指审计人员能够向信息系统的高层管理者以及使用者提供解决问题的方案，以达到改善经营和为组织增加价值的目的。 信息系统审计组织方式：一种是将信息系统审计作为常规项目审计的一部分，是为整个审计项目的总体目标服务的。检查信息系统本身及其内部控制的可靠性和有效性，为数据审计服务，最终通过审计数据得出审计结论，即数据审计、信息系统审计和系统内控审计“三位一体”的结合方式。另一种是独立立项的信息系统审计，直接针对信息系统进行审计，将信息系统本身的安全性、可靠性和有效性作为审计目标。现阶段开展的信息系统审计以第一种方式为主。 3、信息系统审计的依据和原则

信息系统审计中需要注意的环节-2019年文档

信息系统审计中需要注意的环节 信息系统审计，是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性，揭示信息系统存在的问题，提出完善信息系统控制的审计意见和建议，促进被审计单位信息系统实现组织目标；同时，通过检查和评价信息系统产生数据的真实性、完整性和正确性，防范和控制审计风险。本人就近几年参与信息化系统审计的经历，对审计过程中需要注意的环节做一些探讨。 一、信息系统项目的选择 对信息系统项目的选择一般要考虑到几点：信息系统作为一个独立的项目来开展审计还是把信息系统作为一个子项目来审计；信息系统项目是被审计单位的核心业务，信息系统审计与常规审计的目标一致或相关，两者关联密切，能够相互补充，如医院的收费业务系统、企业的ERP系统等；项目已完工结算正常运行，这样便于对项目进行整体的审计评价；项目涉及资金量较大，涉及部门和人员较多，内部控制存在问题；信息系统项目为本地区公益民生项目，例如“金保”工程、天网工程等。 二、做好审前调查，确定审计重点 审前调查是审计的重要组成部分，直接关系到审计方案如何制定、如何安排审计人员以及审计风险是否可控。审前调查的内

容一般应包含：（1）调查了解被审计单位相关经济业务活动所依赖信息系统的业务内容、业务流程、业务规模、资金流和信息流等；（2）调查了解信息系统的总体框架、技术架构、业务实现流程、数据运行流程、系统功能结构、系统网络结构和应用部署模式等；（3）调查了解信息系统建设的项目管理、投资管理、绩效评估情况和文档资料；（4）调查了解被审计单位信息化项目建设规划和标准、基本管理制度和单位绩效目标。 在调查了解的基础上，深入分析被审计单位信息部门在该单位的职责地位以及部门人员的具体分工；项目中如何划定信息人员、管理人员和财务使用人员之间的职责分工；被审计单位业务流程与信息化的耦合度如何；信息系统业务流程涉及的主要部门，权限分配如何；检查被审计单位信息机房设备是否符合标准要求，数据库等软件的国产化程度和程序数据接口标准；单位系统和数据安全评估等级；被审计单位在财务上如何与业务数据进行对接，是否数据上保持一致；数据恢复和备份情况等。通过以上分析，关注信息系统中的一些关键环节、容易忽略的地方，把握整体，抓住主要问题，避免审计风险。例如审计医院的业务系统，应该关注医院各个部门的工作职责、整个的药品流程、医疗项目收费流程和处方流程等。 三、审计内容和方法 信息系统审计的内容一般有应用控制、一般控制和项目管理审计。审计当中要看具体情况，内容的侧重点由被审计单位信息

信息系统审计国内研究综述

信息系统审计国内研究综述

信息系统审计国内研究综述 摘要：系统地回顾了1999年―2011年国内关于信息系统审计相关文献，并从国外信息系统审计的理论与发展、信息系统审计基础理论研究、信息系统审计应用研究这三个方面对信息系统审计文献进行了述评，最后在文献综述的基础上，提出了对我国信息系统审计研究的启示。 关键词：信息系统；信息系统审计；文献综述 中图分类号： F49 文献标识码：A 文章编号：1672-3198（2011）16-0048-02 我国对信息系统审计的研究是随着审计事业的恢复而逐步发展起来的。早在20世纪90年代，学术界就开始了这一领域的探索和研究，并取得了一批研究成果。就研究内容来说，国内对于信息系统审计的研究大致可以分为研究国外信息系统审计的理论与发展、信息系统审计基础理论研究、信息系统审计应用研究三类。 1 研究国外信息系统审计的理论与发展 我国的信息系统审计研究相对于国外起步较晚，最初阶

段主要是翻译和介绍国外的研究，并对我国的信息系统审计建设作一些指导性的建议。其中比较有代表性的有以下成果： 胡晓明等（2006）系统地研究了COBIT4.0标准产生的背景、整体框架以及核心内容，并把它与COBIT3rd版本进行了简要对比，就如何以COBIT4.0为蓝本，整合商业目标与IT目标，指导IT治理实践作了一定的分析。他认为实施COBIT标准，从IT治理的角度为企业管理层提供了一个新的视角，有助于实现IT治理目标与商业目标的战略统一。 胡克瑾等（2008）建立了COBIT4.1中IT过程的通用描述模型，再分别定量考察过程模型的五个元素，得出过程的成熟度。通过对成熟度的汇总分析，得出对组织IT治理总体现状的认识，并明确了改进方向；再通过敏感性分析和回溯分析。帮助管理层选择IT治理改进方案，细化行动细则。 王会金，刘国城（2009）在阐述COBIT模型的基础上，分析了其在中观经济主体信息系统重大错报风险评估中的 应用，并从规范审计行为的角度研究了其在完善当前我国信息系统审计准则方面的指导作用。 2 信息系统审计基础理论研究 2.1 关于信息系统审计、计算机审计

浅析信息系统审计在我国的发展现状

浅析信息系统审计在我国的发展现状 摘要：随着计算机技术的不断发展，企业的经营发展对于计算机信息系统的依赖程度越来越强，在信息技术突飞猛进的网络时代，由于大型管理信息系统的普遍使用，对信息系统安全和稳定性的控制受到越来越多的重视，信息系统审计也就应运而生。本文分析了我国信息系统审计的发展现状和问题，并提出了加快信息系统审计发展步伐的建议。 关键词：信息系统审计现状问题建议 一．信息系统审计概述 1.信息系统审计的定义 信息系统（Information system）是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。信息系统审计就是对信息系统进行审计，是信息系统审计人员对被审计单位的信息系统从规划、开发、实施到维护的整个生命周期进行全面审查与评价，在此过程中，信息系统审计人员应对信息系统的安全性，可靠性以及实现组织目标的有效性做出判断，并向企业的管理者报告。 2.信息系统审计与传统审计的区别 （1）审计主体的不同 传统审计的主体主要是注册会计师，而信息系统审计的主体是IT审计师，也就是说不仅要具备传统注册会计师的审计知识，还要懂得信息系统得到专业知识。（2）审计对象不同 传统审计主要是对被审计单位的财务状况、经营结果以及现金流量进行审计，而信息系统审计是对被审计单位的信息系统从规划、开发、实施到维护的整个生命周期进行审计。 （3）审计报告使用者不同 传统的财务报告使用者包括股东，公司债权人，证劵监管机构等预期使用者，以便他们做出正确的投资决策，而信息系统审计报告的使用者是企业管理者，是便于企业管理者了解公司信息系统中的安全漏洞，保障企业信息安全。 3.信息系统审计的目标 审计本质上是根据审计目标对收集的审计证据进行分析评价并得出结论的过程。

C15002S IT审计实务100分

IT审计实务 倒计时：00:31:55 单选题（共2题，每题10分） 1 . 以下属于对信息系统一般控制审计的是（）。 ? A.对IT治理工作机制进行审计 ? B.对IT基础设施及运维的审计 ? C.对全面的IT风险管理框架的审计 ? D.对IT组织结构、管理制度的审计 2 . COBIT（Control Objectives for Information and Related Technology）是目前国际 上通用的IT管理标准之一，属于（）。 ? A.IT服务管理体系标准 ? B.信息安全管理体系标准 ? C.IT控制标准 ? D.软件开发过程标准 多选题（共4题，每题10分） 1 . 国资委于2014年对央企提出了信息安全“三同步”的工作原则，即信息安全保障与信息 化建设应保持（）。 ? A.同步设计 ? B.同步建设 ? C.同步运行 ? D.同步管理 2 . 关于IT审计的作用，下列说法正确的是（）。

? A.IT审计具有鉴证价值、促进价值、咨询价值 ? B.通过IT审计发现控制缺陷或漏洞、提出解决问题的建议，可促进被审计单位提高管理水平、提高经济效益 ? C.通过IT审计，可以合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性，政策遵循的一致性 ? D.通过IT审计，审计师对被审计单位信息系统进行诊断咨询，客观中立地帮助其降低信息化建设过程中的风险 3 . 关于我国IT审计的现状，下列说法正确的是（）。 ? A.近年来，审计署在对中央企业开展的审计项目中逐步加大了对信息系统的审计，向企业的核心业务系统进行延伸 ? B.目前我国一些领先的商业银行已经开始实施IT审计与业务审计紧密结合的应用控制审计 ? C.电信运营商的IT审计一般侧重于信息安全审计 ? D.IT审计工作开展的程度已经成为银行风险评价指标之一 4 . IT综合管控包括（）等。 ? A.IT决策机制 ? B.IT架构规划 ? C.IT价值管理 ? D.信息安全与IT风险管理 判断题（共4题，每题10分） 1 . 随着国内企业对IT审计的重视程度的日益提高，国内已形成了强大的从事IT控制与IT 审计的专业人才队伍，对IT审计理解达到了一定的深度和广度。（） 对错 2 . IT审计的内容从控制层的角度可分为对信息系统高层控制的审计、对信息系统一般控制 的审计和对信息系统应用控制的审计。（） 对错

信息系统审计的指南(COBIT中文版)

COBIT信息技术审计指南(34个控制目标) 计划和组织（选择3/6/11） 1 定义战略性的信息技术规划（PO1）PO域 控制的IT过程： 定义战略性的IT规划 满足的业务需求： 既要谋求信息技术机遇和IT业务需求的最佳平衡，又要确保其进一步地完成 实现路线： 在定期从事的战略规划编制过程中，要逐渐形成长期的计划，长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划 需要考虑的事项： 企业的业务发展战略 IT如何支持业务目标的明确定义 技术解决方案和当前基础设施的详细清单 追踪技术市场 适时的可行性研究和现实性检查 已有系统的评估 在风险、进入市场的时机、质量方面，企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规 IT资源 P 效果 * 人员 S 效率 * 应用 * 技术 完整 * 设施 可用 * 数据 遵从 可靠 1.1 作为机构长期和短期计划一部分的IT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面，高级管理层应 确保IT有关事项以及机遇被适当地评估，并将结果反映到机构的长期和短期计划之中。IT的长期、短期 计划应被开发，确保IT的运用同机构的使命与业务发展战略相结合。 1.2 IT 长期计划 IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关外部利害关系人引入的机制。相应地，管理层应执行一个长期计划的编制过程，采

用一种结构化的方法，并建立一个标准的计划结构。 1.3 IT 长期计划编制——方法与结构 对于长期计划的编制过程来讲，IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划，含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果，包括业务、环境、技术和人力资源的风险。计划编制期间，需要考虑和充分投入的方面包括：机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划，比如机构的质量计划和信息风险管理计划。 1.4 IT 长期计划的变更 IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位，以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。 1.5 IT 功能的短期计划编制 IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划容相一致的基础上来分配。短期计划应定期地进行再评估，并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。 1.6 IT 计划的交流 管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。 1.7 IT 计划的监控和评估 管理层应建立一个流程，获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估，并在将来的IT计划编制中加以考虑。 1.8 现有系统的评估 在开发或变更战略规划或长期计划、IT计划之前，IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势，评估现有信息系统，以确定现有系统支持机构业务需求的程度。 对高级和详细的控制目标进行审计： 获得了解： 访谈：

信息系统审计工作制度

信息系统审计工作 今天，信息系统已成为企业业务处理的中枢，信息系统的可靠、安全、效率左右着企业的命运。企业不仅要在内部设立信息系统审计部门，实施内部审计，还必须委托外部信息系统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。要实施独立的信息系统审计，确立信息系统审计制度是十分重要的。 因此，为了规范部门内部工作流程和质量控制，协助其他部门了解信息系统审计部门的业务支持范围、工作内容及工作流程，促进部门间就项目中设计的信息系统审计业务范围进行有效沟通，协调项目工作计划的界定和质量管理，避免因项目中工作职责和工作范围界定不明确而降低审计工作的效率和效果，特制订此信息系统审计制度。 本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作，为财务审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围，信息系统审计的工作程序及方法，以及信息系统审计对客户能够达成的效果等，特作以下介绍说明。 一、信息系统审计何时介入 信息系统审计（IT Audit）是信息系统鉴证业务中的一种。信息系统审计是根据业务和信息控制目标，针对信息系统环境内设定的控制，通过搜集和评估审计证据，对信息系统控制的有效性发表结论或意见的过程。 信息系统审计有四个层面： 1.它的目的是对信息系统控制的有效性发表评估结论或审计意见。有效性包括控制设计的有效性和执行有效性； 2.它的对象是信息系统环境中的各种控制流程或机制，包括IT 一般控制和应用控制；3） 3.它的内容是搜集和评估审计证据； 4.它的依据是业务控制目标，比如系统是否有效实施控制保证财务软件计算的固定资产折旧程序是否准确。通过执行信息系统审计，可以协助财务审计团队了解和评价信息系统的可靠性和安全性及财务数据的完整性和准确性。 财务审计团队在财务审计业务计划阶段，需对客户的信息系统环境进行调查，若客户的信息系统环境评估结果为复杂时，需邀请信息系统审计人员介入共同探讨审计计划，根据业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质（如：是否为高度自动化）、交易数量及信息系统的管理方式（如：若信息系统由第三方管理，则需考虑是否需要SAS70或者相关的报告）确定信息系统审计业务支持服务范围，并在信息系统审计计划中以书面的形式记录业务约定。若客户的信息系统环境评估结果为不复杂时，信息系统审计工作可由审计团队完成，必要时信息系统审计团队可以提供知识和技术的支持和咨询服务。 其中，若在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化（如：银行，保险，电信，和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息系统处理业务），仅仅执行实质性程序无法提供足够的审计证据时，在约定信息系统审计业务服务范围时，需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实性、完整性、准确性、截止性的审计程序。 在约定信息系统审计是否介入时，需要考虑如下因素： ?系统的复杂性； ?业务的本质； ?财务审计团队的技能和知识； ?系统的位置（例如，如果包含一个服务组织，SAS70或相关的报告能否被使用）；

关于信息系统审计的几点体会

关于信息系统审计的几点体会 CIO时代网 为保证审计质量，从本世纪初开始，信息系统审计作为一种全新的审计思维和审计方式越来越收到重视。所信息系统审计，是指通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。在审计中，信息系统审计关注的重点为系统是否存在不安全或不稳定的因素，防止公司的财务和业务数据出现失真。 在我国的审计实践中，信息系统审计成果似乎并明显，原因主要是目前存在以下三大困难：一是审计人员难以在短时间内透彻了解被审计单位的信息系统。一般来说，信息系统有通用和定制两种。通用的信息系统多用于小型的数据管理，由专业的软件公司开发后打包在市场销售，被审计单位人员仅仅是使用者，审计人员无法获得开发设计的细节；而定制的系统多用于大型的数据管理，由软件公司或内部的开发部门根据企业的应用量身定做，这类系统技术文档和技术支持比较完善，但是由于系统过于庞大，细节设计过于复杂，审计人员在有限的审计时间内难以对系统进行评估。二是难以发现系统内的瑕疵。从表面看，信息系统的各项令人眼花缭乱的模块好像都很正常，无论是从开发文档还是操作手册都不会直接列出系统的瑕疵，而且在现场审计中，审计人员一般不允许对正在运行的系统进行测试，较难识别系统的问题。三是难以评估系统瑕疵所导致的后果。在审计实践中，即使审计人员发现了信息系统的瑕疵，但是未发现该瑕疵导致的已经存在的后果，常常使得审计结论缺乏直接证据。 虽然信息系统审计面对以上诸多难题，但是笔者认为审计人员可以打破常规，从以下几个方面创造性地开展审计工作。 首先，审计人员可以通过整体评价被审计单位的信息系统重要性的基础上，确定审计重点。为了提高信息系统审计的效率，选取的系统最好满足下列条件：属于被审计单位的核心业务或财务系统，系统数据的真实性和完整性对被审计单位的安全生产和损益核算有着直接影响，同时要求该系统有着完整的技术文档，最好能够获得数据库管理员和系统开发公司维护人员的支持。当然，如果系统功能很简单，可不受上述条件限制。 其次，审计人员应用内控测试和数据审计两种方式对选定的系统进行分析，一般能迅速找出信息系统存在的瑕疵，尤其是人为舞弊的线索。 1.信息系统的内部控制测试。审计人员在了解系统业务处理流程的基础上对信息系统进行内控测试，然后作出风险评价。根据COSO发布的《内部控制－整体框架》，内控测试主要包含四个方面的内容：对控制环境的测试、对风险的评估、对信息与沟通的测试和对监督的测试。在进行信息系统审计时，可以对目标系统的上述四个方面对系统进行测试评价，测试目的： （1）控制环境管理层的技术和管理水平合格的系统管理层人员需要有技术和业务的双重背景，可以组织系统的运行升级和处理突发的意外情况。否则，容易出现系统不能良好地支持业务运行等情况。 （2）维护和操作人员的技术水平系统的维护和操作人员需要有可以完成工作职责的技术水平，否则容易出现系统无法推广和各种意外频出等情况。 （3）组织结构及职权与责任分配不恰当的职权分配容易给人为篡改数据及越权操作提供便利。 同时，分析系统的组织结构可以确定审计的重点位于集团公司的哪个层面。 （１）企业高层的重视程度企业高层重视系统才能获得足够的资源； （２）与系统有关人员的诚信和道德价值水平该指标评估人员是否有影响系统真实性和安全性的动机；

《审计信息管理系统》使用介绍

《审计信息管理系统》使用说明 第一章概述 欢迎使用《审计信息管理系统》，本文介绍《审计信息管理系统》的使用方法。本系统是针对XXX市审计局日常行政办公、信息管理和设计的应用系统，充分考虑了XXX市审计局的办公内容、行文流程、组织结构等相关内容，给用户提供丰富、完整、方便的功能，正确处理企业日常工作中的各种常规事务，如收文、发文、信息管理、信访管理、档案管理等，通过对各种办公过程的流程化分析、图形表示、自动控制行文流转过程，提高办公效率，保证日常工作高效、规范的进行，实现无纸化办公。 本系统主要以审计项目的实施与管理为核心，同时提供人事管理和各科室之间的信息交换功能，方便领导和各科室成员迅速掌握当前工作的内容和工作进度。 本系统使用了高度安全的Lotus Notes/Domino R5作为开发平台，能适应用户在不同环境和条件下的需求，有着极为可靠的安全性。本系统有广泛的适用性。它是标准的工作流办公自动化软件，稍加改进即可与其他企事业单位自身组织机构相配置，用户单位无需更改现有组织机构，可快速部署整个系统，迅速从中获得效率提升。 第二章主界面 一、启动审计信息管理系统 办公自动化系统的启动，操作员单击［开始］→［程序］→［Lotus 应用程序］→［Lotus Notes］，系统会出现一对话框（如图2-1），输入正确的口令，系统就会进入审计信息管理系统主界面。 图2-1

如果操作员要选择其它的人员的ID（即以其他人员的身份登录，前提是直到其他人员的密码），操作员可单击［取消］，系统会弹出（如图2-2）的对话框，操作员从中挑选需要的ID，再输入正确的口令，系统就以他的身份进入审计信息管理系统主界面。 图2-2 二、主界面的操作 打开Lotus Notes，《审计信息管理系统》的主界面（如图2-3）自动作为缺省首页出现。主界面上有8个标题，分别是打开以下8个功能模块的链接：人事管理、文件审批、审批进度、审计档案、综合查询、流转定稿、电子邮件和文档模板。 图2-3 退出办公自动化系统，用户只需单［退出］即可。

信息系统审计(IT审计)操作流程(精)资料

信息系统审计(IT审计操作流程 一、审计计划阶段 计划阶段是整个审计过程的起点。其主要工作包括: (1了解被审系统基本情况 了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。 了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。 (2初步评价被审单位系统的内部控制及外部控制 传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。 一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。 应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系

统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。 通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。 (3识别重要性 为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。 (4编制审计计划 经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。 总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。 具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。 二、审计实施阶段 做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容: (1对信息系统计划开发阶段的审计

方案-浅议信息系统审计

浅议信息系统审计 '\r\n 【摘要】在计算机信息系统 下，由于各种不确定因素的影响，使 质量受到影响，要想提高审计质量必须对 内部数据处理的详细过程直接进行审查，并加快 信息系统审计来完善审计 。 众所周知，审计质量是评价审计工作水平高低的标准，是 师事务所的生命。审计质量的高低直接影响审计目标的实现，对 的发展与稳定产生着直接或间接的影响。由于早期计算机 比较简单，计算机审计业务主要关注被审计单位电子数据的取得、分析、计算等数据处理业务，还称不上信息系统审计；随着信息时代的到来， 的普及及计算机信息系统的建立为信息系统审计带来了前所未有的机遇和挑战。 一、计算机信息系统环境下对审计质量的影响 （一）审计线索的减少 审计线索，亦称“审计轨迹”，在计算机信息系统环境下，会计核算主要由计算机完成，计算机只记录最后处理结果，忽略中间处理过程，数据形成依据的记录减少。储存于磁性介质上的会计数据具有存取方便、修改与删除不留痕迹的特点，这又给审计的追踪带来重重困难。因此，计算机信息系统环境下审计线索的减少和追踪困难的增加，必定给审计质量带来重大影响。 （二）审计对象的限制 审计对象是审计监督、检查和评价的客体，具体体现为被审计单位的各项经济活动及其反映的资料。在计算机信息系统环境下，注册会计师进行审计的依据是计算机的输出信息，审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息，其他敏感性信息则极有可能被人为掩藏。这样，注册会计师处于被动地位，难以获取充足的审计证据支持其审计结论，审计质量显然要受到影响。 （三）审计内容的扩展 手工系统中，审计内容就是有关财务会计的信息，而计算机环境下的审计内容还包括会计电算化系统的开发与设计、会计软件的程序以及数据库 系统。此外，注册会计师还应该确定系统的开发与设计方法是否合理，是否严格按照分析、设计，测试、运行、维护的步骤进行，分析是否全面、设计是否恰当、测试是否充分，会计软件执行程序是否与实际操作中的业务流程一致，数据库管理系统是否有效，会计软件是否能够予以信赖，并以会计软件处理输出的结果作为审计对象。 （四）审计方法的落后 目前，被审计单位的财务工作多采用计算机进行数据处理，会计电算化软件功能日臻完善，但是审计软件的发展远远没有跟上会计软件发展的步伐，同时大部分注册会计师对计算机信息系统还不太熟悉，绝大多数审计业务仍停留在绕过计算机进行审计的阶段。但是这种

信息系统审计

信息系统审计 电子数据处理系统发展分为三阶段：数据的单项处理阶段(1953-1965)、数据的综合处理阶段（1965-1970）、数据的系统处理阶段（1970年以后），对传统审计产生了巨大的影响，主要表现在（1）对审计线索的影响：传统的审计线索缺失；EDP下：数据处理、存储电子化，不可见，难辨真伪。（2）对审计方法和技术的影响：技术方法复杂化；EDP下：利用计算机——审计技术变得复杂化（3）对审计人员的影响：知识构成要求发生变化；EDP下：会计、审计、计算机等知识和技能（4）对审计准则的影响：信息化下审计准则与标准的缺失；EDP下：在原有审计准则的基础上，建立一系列新的准则（5）对内部控制的影响：内部控制方式发生改变：传统方式下：强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。EDP下：数据处理根据既定的指令程序自动进行，信息的处理和存储高度集中于计算机，控制依赖于计算机信息系统，控制方式发生改变。 2、信息系统审计的定义：指根据公认的标准和指导规范，对信息系统从计划、研发、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现，并提出一系列改进建议的管理活动。 3、信息系统审计的特点（1）审计范围的广泛性（2）审计线索的隐蔽性、易逝性（3）审计取证的动态性（4）审计技术的复杂性：首先，由于不同被审单位的信息系统所配备的计算机设备各式各样，各个机器的功能各异，所配备的系统软件也各不相同。审计人员在审计过程中，必然要和计算机的硬件和系统软件打交道，各种机型功能不一，配备的系统软件各异，必然增加了审计技术的复杂性，其次，由于不同被审单位的业务规模和性质不同，所采用的数据处理及存储方式也不同，不同的数据处理，存储方式，审计所采用的方法、技术也不同。此外，不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同，不同开发方式以及用不同的程序设计语言开发的应用软件，其审计方法与技术也不一样。 4、信息系统审计的目标：（1）保护资产的完整性：信息系统的资产包括硬件、软件、设备、人员、数据文件、系统档案等；（2）保证数据的准确性：数据准确性是指数据能满足规定的条件，防止粗无信息的输入和输出，一级非授权状态下的修改信息所造成的无效操作和错误后果；（3）提高系统的有效性：系统的有效性表明系统能否获得预期的目标；（4）提高系统的效率性：系统效率是指系统达到预定目标所消耗的资源，一个效率高的信息系统能够以尽量少的资源达到需要的目标；（5）保证信息系统的合规性合法性：信息系统及其运用必须遵守有关法律、法规和规章制度。 5、信息系统审计的主要内容：内部控制系统审计内部控制系统包括一般控制系统（包含组织控制、系统开发控制、系统安全控制、硬件和系统软件控制等方面）应用控制系统（输入、处理、输出）；系统开发审计；应用程序审计（决定了数据处理的合规性、正确性目的：一是测试应用控制系统的符合性；二是通过检查程序运行和逻辑的正确性达到实质性测试目的。测试应用控制的符合性是指对嵌入应用程序中的控制措施进行测试，看它们是否按设计要求在运行和起作用）；数据文件审计（目的：一是数据文件进行实质性测试；而是通过数据文件的审计，测试一般控制或应用控制的复合型，但数据文件审计主要是为了实质性测试） 6、基本方法：绕过信息系统审计：基于黑箱（Black box）原理，审计人员不审查系统内的程序和文件，只审查I/O数据及其管理制度。优点：审计技术简单、较少干扰被审系统。缺点：审计结果不太可靠、要求I/O联系紧密 通过信息系统审计：基于黑箱（Black box）原理，审计人员不审查系统内的程序和文件，只审查I/O数据及其管理制度。优点：审计技术简单、较少干扰被审系统。缺点：审计结果不太可靠、要求I/O联系紧密。 7、步骤：准备阶段（明确审计任务、组成信息系统小组、了解被审系统的基本情况、制定

信息技术中的一般控制测试

信息技术中的一般控制测试 【内容导航】： 1.信息技术一般控制的含义 2.信息技术一般控制的环节 【所属章节】： 本知识点属于《审计》科目第五章信息技术对审计的影响第三节信息技术中的一般控制和应用控制测试的内容。 【知识点】：信息技术中的一般控制测试 1.信息技术一般控制的含义 信息技术一般控制，是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。 2.信息技术一般控制的环节 (1)程序开发 程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。 (2)程序变更 程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标。 (3)程序和数据访问 程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。 (4)计算机运行 计算机运行这一领域的目标是确保业务系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性。 信息技术中的应用控制测试

【内容导航】： 1.信息技术应用控制的含义 2.信息技术应用控制的环节和要素 【所属章节】： 本知识点属于《审计》科目第五章信息技术对审计的影响第三节信息技术中的一般控制和应用控制测试的内容。 【知识点】：信息技术中的应用控制测试 1.信息技术应用控制的含义 信息技术应用控制，是设计在计算机应用系统中的、有助于达到信息处理目标的控制。 2.信息技术应用控制的环节和要素 信息技术应用控制一般要经过输入、处理及输出等环节。 和人工控制类似，系统自动控制关注的要素包括：完整性、准确性、存在和发生等。 各要素的主要含义如下： (1)完整性 系统处理数据的完整性，例如：各系统之间数据传输的完整性、销售订单的系统自动顺序编号、总账数据的完整性等。 (2)准确性 系统运算逻辑的准确性，例如，金融机构利息计提逻辑的准确性、生产企业的物料成本运算逻辑的准确性、应收账款账龄的准确性等。 (3)存在和发生 信息系统相关的逻辑校验控制。例如，限制检查、合理性检查、存在检查和格式检查等。 部分业务操作的授权管理，例如，入账审批管理的权限设定和授予、物料成本逻辑规则修改权限的设定和授予等。