浅谈信息系统审计的内容和策略.
信息系统审计重点及应对措施
信息系统审计重点及应对措施信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。
随着计算机及网络技术的迅速发展,审计机关要想完成“全面审计,突出重点”的审计目标,担负起社会经济运行的“免疫系统”作用,就必须加快信息系统审计的步伐。
为此,笔者认为,审计机关要开展好信息系统审计,就必须把握重点,加强组织,制定措施,积极推进。
一、开展信息系统审计应把握的重点1、信息系统审计的目标和内容信息系统审计目标:信息系统审计不仅要对系统信息的合法性、公允性进行审计,还要对信息系统的硬件和软件,以及整个信息系统的安全性、稳定性、内部控制的健全性与有效性等方面进行审计,指出被审计单位信息系统内部管理和控制上的薄弱环节,提高其信息系统的可靠性和真实性,有效地防止利用信息技术随意篡改系统信息或破坏磁介质上的数据等舞弊行为的发生。
因此,信息系统审计目标不仅仅在于应用计算机进行审计(即传统EDI 审计或计算机辅助审计),更重要的是要对信息系统本身的安全性、稳定性及其实现组织目标的有效性进行实时的检查、评价和改造。
信息系统审计内容:主要包括信息系统开发过程审计、一般控制审计和应用控制审计三个方面。
2、信息系统审计的职能和方式为了实现审计目标,保证和咨询应成为对信息系统进行审计的两大基本职能。
“保证”即“系统可靠性保证”,就是通过对信息系统运行过程、商业连续性能力、维护状况进行评价,合理保证信息系统安全、稳定、有效,它是信息系统审计最基本的职能。
“咨询”是指审计人员能够向信息系统的高层管理者以及使用者提供解决问题的方案,以达到改善经营和为组织增加价值的目的。
信息系统审计组织方式:一种是将信息系统审计作为常规项目审计的一部分,是为整个审计项目的总体目标服务的。
检查信息系统本身及其内部控制的可靠性和有效性,为数据审计服务,最终通过审计数据得出审计结论,即数据审计、信息系统审计和系统内控审计“三位一体”的结合方式。
信息系统审计的内容、范围、流程和策略的探讨
从信息系统审计的上述定义和内容,可以看出,信息系统审计除了传统审计所具有的特性外,还具有以下几个专有特点:1、审计的所有领域将全面运用现代信息技术。
这就是在审计的理论研究、实务工作、管理模式、知识构等方面都将运用现代信息技术,使技术与审计高度融通,大大提高审计的工作质量和效率。
在实务工作方面,要使审计工作面向计算机内在审计和使用计算机审计转变;审计人员不再只依赖于纸张记录的会计数据而大部分或全部依赖于磁盘、光盘等介质记录的电子数据,或直接从网络下载的子数据,诸如电子商务之类;审计底稿和审计证据及有关审计档案也全部电子化;审计工作将从定期的现场审转向实时或定时的在线网络审计,即通过网络分散和连续抽取证据进行审计。
在管理模式上,要利用现代信技术来管理责任与风险俱在的审计行业。
知识结构上,审计人员除了掌握传统审计的基本知识外,还应掌握计算知识及其应用技术、数据处理和管理技术,掌握现信息技术的应用等;不仅要会操作审计软件,而且要能根据需要编写出测试审查程序;使所审计人员都应成为完全意义上的IT审计人员。
2、信息数据安全性、可靠性是IT审计的特点。
在会计信息化条件下,企业所提供的最主要的会计信息将是各种明细信息,因此,审计的工作重点是验证信息的真实可靠性,以及审核进入外网络的明细信息的安全性。
企业内部形成的明细信息的真实可靠性如何,取决企业会计信息化系统内部控制的强弱程度,而审计人员主要工作将是证实从数据库存取信息的可靠性。
为此,应当侧重于验证机内原始凭证数据是否真实可靠,会计凭证数据库的存取是否得当,以及这些数据被不留痕迹修改的风险有多大等问题。
对于进入外部网的明细信息,必须通过对整个系统的网络进行安全控制以保证此信息的安全性。
在会计信息化条件下,必须对会计信息进行连续审计,这种审计不仅应延伸到进入企业内部网络的明细信息,而且应延伸到进入外部网络系统的详细信息。
3、计算机专家参与审计工作。
在会计信息化环境下,审计工作所面临的会计系统非常复杂,对审计人员的信息技术掌握程度要求非常高,审计人员必须充分利用计算机专家的专业能力进行审计工作。
信息系统审计实施方案
信息系统审计实施方案一、引言信息系统的审计是保障企业数据安全、业务合规性和信息系统有效性的重要举措。
本文将针对信息系统审计的实施方案进行探讨,从审计目标、审计范围、审计方法和审计阶段等方面进行详细介绍。
二、审计目标1. 确保信息系统的安全性:审计旨在发现并修复信息系统中的安全漏洞,降低潜在的风险,并制定安全策略和控制措施。
2. 提高信息系统的合规性:通过审计,确保信息系统符合相关法规、标准和行业规范的要求,保护企业和用户的合法权益。
3. 评估信息系统的有效性:审计可以评估信息系统的性能和效益,发现并解决系统运行中的问题,提升业务流程和用户体验。
三、审计范围1. 信息系统架构与设计:审计应包含对信息系统的整体架构和设计的评审,重点关注系统的安全性、可用性和可扩展性。
2. 信息系统运维与管理:审计应包括信息系统的日常运维管理情况的审查,确保系统管理符合最佳实践和安全要求。
3. 信息系统安全性:审计应对信息系统的安全策略、身份验证、访问控制、防火墙等安全机制进行检查,发现并解决潜在的安全隐患。
4. 数据完整性与保护:审计应对数据的完整性、备份恢复机制、灾难恢复计划等关键性数据保护措施进行审查。
5. 业务流程与合规性:审计应涵盖信息系统对业务流程的支持情况和合规性要求的落实情况。
四、审计方法1. 文件审计:审查信息系统相关的文件、记录和报告,了解系统配置、授权、访问权限等。
2. 询问与访谈:与相关人员进行沟通和交流,了解他们对系统的理解和运维细节。
3. 抽样检查:从大量数据中抽取样本进行评估,检查数据的准确性和完整性。
4. 安全评估工具:使用安全漏洞扫描器、入侵检测系统等工具进行系统的漏洞扫描和安全性评估。
5. 模拟测试与渗透测试:对系统进行模拟攻击和实际渗透测试,发现系统漏洞和安全风险。
五、审计阶段1. 筹备阶段:明确审计目标、范围和方法,确定审计计划和时间安排,制定审计的开展准备工作。
2. 数据收集与分析阶段:收集和整理信息系统的相关资料、文档和数据,进行详细的调查和分析,鉴定可能存在的问题和风险。
信息系统审计内容
信息系统审计内容一、信息系统审计内容概述信息系统审计对象,包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。
信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。
二、对组织层面信息技术控制的审计组织层面信息技术控制审计的内容包括:(一)控制环境内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。
(二)风险评估内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程,信息资产的分类及信息资产所有者的职责,以及对信息系统的风险识别方法、风险评价标准、风险应对措施。
(三)控制活动内部审计人员应当关注信息系统管理的方法和程序,主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。
(四)信息与沟通内部审计人员应当关注组织决策层的信息沟通模式,信息系统对财务、业务流程的支持度,信息技术政策、信息安全制度传达与沟通等方面。
(五)内部监督内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等方面。
三、对信息系统一般性控制的审计信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序,目标是保护数据与应用程序的安全,并确保异常中断情况下计算机信息系统能持续运行。
信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。
审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。
信息系统一般性控制审计应当重点考虑下列控制活动:(一)系统开发和采购审计内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发所制定的系统目标以及预期功能是否合理,是否能够满足组织目标;系统开发的方法,开发环境、测试环境、生产环境的分离情况,系统的测试、审核、验收、移植到生产环境等环节的具体活动。
信息系统审计
信息系统审计高效、安全、可靠的信息系统在现代社会的发展中扮演着重要的角色。
为了确保信息系统的运行和管理符合相关规范和标准,信息系统审计应运而生。
信息系统审计是对信息系统及其相关组件的评估和检查,旨在发现潜在的风险、漏洞和问题,并提供改进建议。
本文将从信息系统审计的定义、目的、流程和关键要素等方面进行论述,以期为读者提供一个全面的理解。
一、信息系统审计的定义信息系统审计是一种系统性的审查过程,将对涉及信息系统组成部分的安全控制、性能和管理措施进行评估,以验证其合规性和有效性。
信息系统审计旨在评估信息系统的安全性、完整性、可靠性和保密性等方面,以及其与相关规范和标准的符合性。
信息系统审计是一个动态的过程,需要持续监测和评估,以确保信息系统的安全和可信度。
二、信息系统审计的目的信息系统审计的目的是为了保护信息资源的安全性和可用性,确保信息系统的正常运行和服务质量。
具体而言,信息系统审计的目的包括:1. 发现潜在的风险和漏洞。
通过对信息系统进行全面和系统的审查,发现可能存在的安全隐患、性能问题和管理缺陷,以便及时采取相应的措施加以解决。
2. 评估信息系统的合规性。
审计人员会对信息系统的运行和管理过程进行审查,以确保其符合相关的法规、标准和最佳实践要求,以减少违规操作和风险发生的可能性。
3. 提供改进建议。
信息系统审计不仅仅是问题的发现,还需要提供相应的解决方案和改进建议,以帮助组织改善信息系统的安全性、稳定性和可靠性。
三、信息系统审计的流程信息系统审计可以分为以下几个步骤:1. 确定审计范围和目标。
审计人员需要与组织进行充分的沟通和了解,明确审计的范围、目标和重点,以便有针对性地开展审计工作。
2. 收集相关信息。
审计人员需要获取和收集与信息系统相关的数据、文件和记录,包括技术文档、系统配置和日志等,以便对信息系统进行全面的评估。
3. 进行实地调查和检查。
审计人员需要进行实地走访和检查,以了解信息系统的实际运行情况,包括硬件设备、网络结构和安全措施等。
计算机审计的内容和定位
计算机审计的内容和定位计算机审计指的是以计算机技术为手段,对企业或机构的信息系统进行全面审计的一种方法,其目的是确保信息系统的安全性、完整性和准确性,以达到保护企业或机构的资产和信息的目的。
由于信息技术的发展和应用范围的不断扩大,计算机审计已经成为企业或机构不可或缺的一环。
计算机审计的内容主要包括系统安全审计、数据完整性审计、应用程序审计、网络审计等方面。
具体地说,计算机审计应该包括以下几个方面:一、系统安全审计。
通过系统安全审计,可以识别企业或机构信息系统的弱点和漏洞,以检查系统是否足够安全和完整。
针对企业或机构常见的安全问题,例如防火墙设置、口令保护、文件权限、日志跟踪等,对安全设置提出改进建议,进一步提升系统的安全性和完整性。
二、数据完整性审计。
针对企业或机构的核心业务数据,审计人员应该通过一系列的操作流程和数据分析技术,对数据的完整性、准确性、更新性和用户权限等方面进行检查,以发现数据异常和错误,并能及时进行修复和处理,以确保数据的完整性和准确性。
三、应用程序审计。
通过应用程序审计,审计人员能够检查信息系统应用程序的设计、开发、实施、使用和维护等方面,针对应用程序中的安全隐患、业务逻辑错误、授权问题等进行审计,以保证应用程序的合法性、安全性和可靠性。
四、网络审计。
网络审计主要是对企业或机构内部网络的结构、配置、使用、维护等方面进行检查,原则上应该包括对局域网、广域网、通信设备和协议等网络资源的审计。
针对企业或机构常见的网络安全问题,例如网络防火墙、加密技术、安全山盾配置等都应该得到检查和评估。
在企业或机构内,计算机审计通常由内部审计人员或由外部审计机构(如会计师事务所、高科技咨询公司等)来负责。
一方面,正式的计算机审计可以为企业或机构制定更加科学、合理的信息系统管理策略,并以此为基础提高企业或机构的运转效率和收益;同时,计算机审计也有助于发现事故隐患、保护企业、机构的财产安全、避免潜在风险等方面的问题,降低了企业或机构对外界压力和负面影响。
浅谈信息系统审计研究
浅谈信息系统审计研究摘要信息系统审计是指对组织的信息系统进行监控、分析和评估的过程,以确保其安全性和合规性。
随着信息系统在企业管理中的不断普及和重要性的增加,信息系统审计也成为了一个关键的研究领域。
本文将从信息系统审计的定义和目标、审计方法和技术、审计过程和挑战等方面,对信息系统审计研究进行浅谈。
1. 信息系统审计的定义和目标信息系统审计是指通过对信息系统的检查、监控和评估,评估其有效性、合规性和安全性的过程。
信息系统审计的目标是为了保证组织的信息系统在运行过程中能够达到其设计目标,并防止潜在的风险和安全漏洞。
信息系统审计可以分为内部审计和外部审计两类。
内部审计是指组织内部的审计人员对信息系统进行审计,以确保其内部控制和运作的有效性。
外部审计是指由外部独立审计机构对信息系统进行审计,以对组织的信息系统提供独立、公正的评估。
2. 审计方法和技术信息系统审计可以通过多种方法和技术来实现。
其中,常见的审计方法包括问卷调查、访谈、观察、抽样检查等。
问卷调查是一种通过向组织的员工和管理层发放问卷,收集他们对信息系统的使用和满意度的意见和建议的方法。
访谈是一种通过与组织的员工和管理层进行交流,了解他们对信息系统的使用和管理的看法和体验的方法。
观察是一种通过观察组织的信息系统使用情况和运作过程,评估其安全性和合规性的方法。
抽样检查是一种通过对信息系统中的数据和记录进行抽样检查,评估其准确性和完整性的方法。
除了传统的审计方法之外,信息系统审计还可以借助一些技术工具来提高效率和准确性。
例如,数据分析工具可以对信息系统中的大量数据进行分析和挖掘,以发现潜在的问题和风险。
网络安全扫描工具可以对组织的信息系统进行全面扫描,识别出潜在的安全漏洞和威胁。
同时,人工智能和机器学习技术的发展也为信息系统审计带来了新的可能性,可以通过对大量数据的分析和处理,提供更准确和全面的审计结果。
3. 审计过程信息系统审计的过程可以简单分为准备阶段、实施阶段和总结阶段。
信息系统审计主要内容和方法以及存在问题和对策
信息系统审计的主要内容和方法以及存在的问题和对策摘要:近年来,信息化环境下电子数据、信息系统、系统内部控制三位一体的审计越来越受到审计机关的重视,信息系统审计也逐步在探索和发展。
作者通过分析信息系统审计的主要内容和方法,提出当前信息系统审计存在的问题,并提出了解决办法。
关键词:效益审计;工程随着信息技术的广泛应用,计算机技术在各行业已深入发展,以计算机和网络为特征的会计核算、财务管理、经营管理等信息系统日益普及,这些系统以及数据的安全性、可靠性和有效性是审计工作顺利开展的重要前提。
近年来,信息化环境下电子数据、信息系统、系统内部控制三位一体的审计越来越受到审计机关的重视,信息系统审计也逐步在探索和发展。
信息系统审计是根据公认的标准和指导规范,对信息系统从规划,实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的安全性,有效性,可靠性等进行检测,评估和控制的过程,以确定预定的业务目标得以实现,并提出一系列改进建议的管理活动。
一、信息系统审计的主要内容信息系统审计的内容是由信息系统审计的对象所决定的,主要由信息系统内部控制审计、信息系统组成部分审计以及信息系统生命周期审计所组成。
一是信息系统内部控制审计,包括一般控制和应用控制审计。
一般控制审计是对信息系统的开发、实施、维护及运行审计,主要对系统的开发维护过程以及信息系统的环境安全和技术安全进行审查。
应用控制审计即业务流程审计,与一般控制审计相对应,主要对交易的完整性,准确性,有效性,机密性和可用性以及在应用处理中的数据的控制审计,通常分为应用程序级一般控制审计、业务流程控制审计、接口控制审计、数据管理系统控制审计等四类。
二是信息系统组成部分审计,由计算机硬件、系统软件、应用软件所组成。
这部分审计以应用软件审计为主要内容,主要对应用程序的控制措施、合法性、正确性和效率性进行审查。
三是信息系统生命周期的审计,即信息系统的规划、开发、设计、编码、测试等全过程。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅谈信息系统审计的内容和策略
摘要:伴随着科技进步和企业管理理念的发展,越来越多的组织更加依赖于信息技术。
与此同时,对信息系统审计的研究和实践也正不断发生着变化。
笔者认为,信息系统审计有其自身的特点,是审计的新领域,与传统审计相对独立,应从组织的整体风险控制、价值实现以及整个审计体系的角度来重新认识。
关键词:信息系统信息技术审计内容策略
伴随着科技进步和企业管理理念的发展,以计算机技术、通信技术以及网络技术为主要内容的信息技术在社会各行业的管理中正发挥着越来越重要的作用。
无论是企事业单位,还是政府公共服务机构,都越来越依赖于信息系统。
信息系统的可靠性、有效性和效率性影响着组织的正常运转。
与此同时,对信息系统审计的研究和实践也正不断发生着变化。
从计算机辅助审计到面向系统数据的审计,再到对应用系统的审计,信息系统的审计范围和领域不断扩大。
目前,对信息系统审计的认识受到较多传统审计的影响,不少研究人员认为信息系统条审计是传统审计的补充和延伸,是为传统审计提供支撑和服务的。
但笔者认为,信息系统审计有其自身的特点,是审计的新领域,对信息系统审计的认识和研究要从企业整体风险控制、价值实现以及整个审计体系的角度来重新认识。
一、信息系统审计的内容
从信息系统在组织中所处地位以及信息系统的开发、运行和维护过程分析,信息系统审计应包括对IT治理结构审计等9个方面的主要内容。
1.对IT治理结构与实施的审计。
信息技术过去被认为仅仅是企业组织战略的强化器,而现在被认为是组织战略的重要组成部分,越来越受到管理层的关注。
通过有效使用安全、可靠的信息和适用的技术,IT治理有助于企业获得成功。
因此,在对信息系统审计中,审计人员应首先关注组织的IT治理机构,判断组织是否做到了IT 与业务的融合,并保持目标一致。
2.对系统开发过程的审计。
传统的系统开发生命周期法(SDLC仍是目前大多数系统开发的首选方式。
审计人员的职责是参与全过程的监督和评价。
3.对系统和运行的审计。
信息系统的运行承担了计算机系统软件、硬件的日常支持工作。
4.对应用控制的审计。
审计人员应通过对重要应用程序组件和贯穿系统的事务流的识别,审核系统中的事务进入点、处理点和输出点,以发现控制弱点。
一般可以通过审核用户活动报告和违例报告,以及通过平行作业、整体测试等方法来实现对应用控制的审计。
5.对系统安全策略的审计。
随着组织对信息系统的依赖性越来越强,信息安全问题正变得日益突出,信息资产比传统资产更容易受到损害。
一般而言,为了有效保护信息资产,组织需要建立信息安全管理的一些要素,关键的有:高级管理层的承诺与支持、信息安全政策与程序、组织、安全意识与教育、监督与符合性审核、应急处理与响应。
6.对逻辑访问控制的审计。
逻辑访问控制是通过一定的技术方法去控制用户可以利用什么样的信息,可以运行什么样的程序,可以修改什么样的数据。
这些控制可以内置在操作系统中,通过单独的访问控制软件进行调用;也可以内置在应用系统、数据库系统和网络控制设施(实时性能监测中。
7.对物理访问控制的审计。
物理访问的暴露可能使企业的业务资源面临非授权访问,导致组织受损。
组织一般通过使用胸牌、内存卡、门锁、生物测定设备等限制人员进出机房和数据中心等敏感区域。
8.对环境控制的审计。
环境风险可能来自自然灾害,还可能来自电力故障、设备故障、温度、湿度、静电、恐怖袭击等方面。
9.业务连续性计划的审计。
业务连续性计划(BCP是组织为避免关键业务功能中断,减少业务风险而建立的一个控制过程。
一般包括对支持组织关键功能的人力、物力需求和关键功能所需的最小级别服务水平的连续性保证。
BCP的目标就
是要把组织的剩余风险和因意外事件产生的风险降到组织可接受的程度。
BCP主要包括灾难恢复计划、作业计划和重建计划。
二、信息系统审计的策略
1.评估现有审计人员的专业胜任能力,补充完善审计人力资源。
“知己知彼”才能有效开展审计项目。
前面着重阐述的是审计对象,是“彼”,面对新的审计领域,审计人员自身也需要客观审视“己”的专业胜任能力。
目前,我国内审人员绝大多数来自财务和审计专业,从事IT开发和管理的人员凤毛麟角,接受过信息系统审计培训的人员也极少。
从9个方面的审计内容看,仅在对IT治理结构和实施以及环境控制审计两个方面,目前的审计人员能够基本胜任,其余7个方面都不能完全胜任。
这是开展信息系统审计的最大障碍,因此,尽快补充新的审计人力资源是当务之急。
补充完善审计人力资源的途径有两个:一是直接招聘有信息系统背景的审计人员;二是签订信息系统审计业务外包协议。
两种途径各有利弊,审计部门负责人可以视具体情况灵活掌握。
2.对现有信息系统的再认识。
信息系统是个大系统、大概念,其中包含了众多小的应用系统。
以某市通信公司为例,该公司除了使用了上级统一开发的MSS、CRM、综合营帐系
统和物资管理系统等之外,又结合自身管理需要陆续开发了增值业务系统、中间渠道管理系统等20多个小型管理应用系统。
要对如此庞杂的系统进行审计,审计人员须要对整个信息系统进行有效的归类整理,划清生产系统、管理系统和支撑系统等的界限,分析系统与系统之间的相互联系,识别核心系统与非核心系统,为下一步具体实施审计奠定良好的基础。
3.制定信息系统审计的长期规划。
信息系统审计的内容繁杂,专业技术性强,有效实施审计不可能“全面开花”,一蹴而就。
制定长期规划十分必要。
与其他长期规划制定工作类似,信息系统审计的长期规划要与组织的价值目标相一致,需要明确审
计的最终目的和任务。
规划时间一般为5年,规划期内各年的主要任务和重点工作清楚,并对完成规划所需的人力资源、物质资源等有科学的测算。
4.确定中短期审计目标和重点审计领域。
中短期审计目标就是将长期规划具体化,主要明确今后2到3年内的具体审计项目。
这些项目的确定需要注意以下几个原则:
(1与组织中短期的经营管理目标一致。
(2符合长期规划的步骤。
(3内容具体,可操作性强。
(4有相应的考核评价体系。
同时,在具体实施中短期审计计划过程中,要注意量力而行,对暂时不能完成的长期规划任务,要及时反馈,适时修订。
5.协调好自审与业务外包的关系。
考虑到人力资源成本、管理专业化以及人类认知的固有局限性,目前国际上通行的信息系统审计方式是采用审计人员与外聘专家共同工作的方式。
彼此发挥自身优势,取长补短。
笔者认为,在信息系统审计中,一般不宜采取完全外包的方式,这不利于审计人员专业素质的提升,也不利于组织信息安全管理。
通常,在信息系统审计开展的初期,外包审计的范围可稍大一些,之后,应逐步降低,并保持在适当的比例水平。
6.建立良好的沟通渠道。
同传统审计一样,“沟通”在信息系统审计中也显得十分重要。
良好的外部沟通有利于审计人员更为全面地认识信息系统的内在控制过程,有利于审计目标与管理目标的结合,有利于审计结果的落实和执行。
另外,还需要做好审计人员的内部沟通,实现审计信息共享。
一方面,信息系统审计人员要注意搜集在其他财务审计项目中发现的异常而又暂时难以解决的信息系统方面的问题,提高信息系统审计的针对性和实用性;同时,信息系统审计人员还应将可
信赖的信息系统及时反馈给财务审计人员,以减少他们相应的测试工作量,提高审计工作效率,实现整体审计目标。