信息系统审计重点及应对措施
信息系统审计重点及应对措施
信息系统审计重点及应对措施信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。
随着计算机及网络技术的迅速发展,审计机关要想完成“全面审计,突出重点”的审计目标,担负起社会经济运行的“免疫系统”作用,就必须加快信息系统审计的步伐。
为此,笔者认为,审计机关要开展好信息系统审计,就必须把握重点,加强组织,制定措施,积极推进。
一、开展信息系统审计应把握的重点1、信息系统审计的目标和内容信息系统审计目标:信息系统审计不仅要对系统信息的合法性、公允性进行审计,还要对信息系统的硬件和软件,以及整个信息系统的安全性、稳定性、内部控制的健全性与有效性等方面进行审计,指出被审计单位信息系统内部管理和控制上的薄弱环节,提高其信息系统的可靠性和真实性,有效地防止利用信息技术随意篡改系统信息或破坏磁介质上的数据等舞弊行为的发生。
因此,信息系统审计目标不仅仅在于应用计算机进行审计(即传统EDI 审计或计算机辅助审计),更重要的是要对信息系统本身的安全性、稳定性及其实现组织目标的有效性进行实时的检查、评价和改造。
信息系统审计内容:主要包括信息系统开发过程审计、一般控制审计和应用控制审计三个方面。
2、信息系统审计的职能和方式为了实现审计目标,保证和咨询应成为对信息系统进行审计的两大基本职能。
“保证”即“系统可靠性保证”,就是通过对信息系统运行过程、商业连续性能力、维护状况进行评价,合理保证信息系统安全、稳定、有效,它是信息系统审计最基本的职能。
“咨询”是指审计人员能够向信息系统的高层管理者以及使用者提供解决问题的方案,以达到改善经营和为组织增加价值的目的。
信息系统审计组织方式:一种是将信息系统审计作为常规项目审计的一部分,是为整个审计项目的总体目标服务的。
检查信息系统本身及其内部控制的可靠性和有效性,为数据审计服务,最终通过审计数据得出审计结论,即数据审计、信息系统审计和系统内控审计“三位一体”的结合方式。
审计师的信息系统审计建议
审计师的信息系统审计建议信息系统在现代企业中扮演着至关重要的角色,为企业提供了高效的运营和管理平台。
然而,随着技术的快速发展和信息系统的复杂性增加,信息系统审计变得愈发重要。
作为审计师,我们应该给予客户一些关于信息系统审计的建议,以增强企业的信息系统控制,并减少潜在的风险。
一、信息系统安全性审计首先,我们建议客户进行信息系统安全性审计。
这意味着对企业的信息系统进行全面的安全性评估,以确定潜在的安全漏洞和风险。
在进行安全性审计时,我们可以采用以下步骤:1. 定义安全策略和目标:与企业管理层合作,确立具体的信息系统安全策略和目标。
这些策略和目标应该与企业的整体战略目标相一致,并包括技术、人员和流程方面的考量。
2. 评估安全风险:分析企业的信息系统,识别潜在的安全风险。
这包括对网络架构、系统配置、访问控制和密码安全等方面的评估。
3. 实施安全控制:根据评估结果,建议并帮助企业实施适当的安全控制措施,包括加密技术、防火墙和入侵检测系统等。
4. 监测和审计:定期监测信息系统的安全性,并进行定期审计以确保安全策略的有效实施和合规性。
二、备份和恢复策略其次,我们建议客户制定完善的备份和恢复策略。
信息系统的数据是企业的重要资产,因此必须确保能够在灾难事件或数据丢失情况下进行及时恢复。
以下是备份和恢复策略的一些建议:1. 数据备份:制定数据备份计划,包括备份频率、备份介质和备份存储位置等。
同时,确保备份数据的完整性和可访问性,并测试备份恢复过程的有效性。
2. 灾难恢复计划:制定灾难恢复计划,包括备份数据的恢复过程、恢复时间目标和灾难恢复团队的职责等。
这将有助于企业在灾难事件发生时能够迅速恢复业务。
3. 定期测试和演练:定期测试备份和恢复策略的有效性,并进行模拟演练,以保证在关键时刻能够正确执行。
三、访问控制和权限管理此外,我们强烈建议客户进行完善的访问控制和权限管理。
这是确保信息系统中数据的机密性、完整性和可用性的重要措施。
审计师如何应对信息系统审计
审计师如何应对信息系统审计信息系统审计是现代企业管理中非常重要的一项工作。
随着信息化的快速发展,企业对信息系统的依赖程度越来越高,信息系统审计的重要性也越来越凸显。
作为一名审计师,如何应对信息系统审计是我们需要认真思考和研究的问题。
在进行信息系统审计时,审计师需要注意以下几点:一、了解企业的信息系统架构和业务流程了解企业的信息系统架构和业务流程是进行信息系统审计的基础。
审计师需要了解企业所采用的信息系统种类、系统之间的关系、数据的流向,以及业务流程的具体操作过程。
在了解这些基本信息的基础上,审计师才能对信息系统进行全面的审计。
二、制定科学合理的审计计划制定科学合理的审计计划是信息系统审计的关键。
审计师需要根据企业的实际情况,确定审计的范围和目标,并制定详细的审计计划。
审计计划应该包括审计的时间安排、审计的方法和技术手段、以及审计的具体内容等。
合理的审计计划能够有效提高工作效率,保证审计的准确和完整。
三、对信息系统进行全面的风险评估信息系统审计是为了评估企业信息系统的运行状况和安全性,发现潜在的风险和问题。
审计师需要对企业的信息系统进行全面的风险评估,包括系统漏洞、数据安全、权限管理等方面。
通过风险评估,审计师可以确定审计重点,并制定相应的审计方案和措施。
四、采用合适的技术工具进行审计信息系统审计需要借助一些专业的技术工具,以提高审计的效率和准确性。
审计师应该根据具体的情况选择合适的技术工具,比如网络扫描工具、安全检测工具等。
同时,审计师还需要了解这些技术工具的使用方法和操作规程,以便进行实际的审计工作。
五、编制详细准确的审计报告审计报告是信息系统审计的重要成果。
审计师需要根据审计的结果,编制详细准确的审计报告。
审计报告应该包括审计目的、范围和方法,以及发现的问题和建议等内容。
审计报告要具备客观、准确、可读性强的特点,便于企业的管理层理解和采纳。
六、保持专业素养和学习能力作为一名审计师,保持专业素养和学习能力是非常重要的。
浅谈计算机审计过程及应注意的问题(二)2024
浅谈计算机审计过程及应注意的问题(二)引言概述:计算机审计是对计算机系统、网络和数据进行全面检查和评估的过程,旨在确保系统的合规性、安全性和效率。
在上一篇文章中,我们已经介绍了计算机审计的基本概念和流程。
本文将进一步探讨计算机审计的过程,并重点强调需要注意的问题。
正文内容:一、信息系统控制环境的审计1. 评估组织的控制目标和策略2. 检查组织内部控制的设计和执行情况3. 评估信息系统的硬件和软件安全性4. 检查系统日志和事件记录,发现异常行为5. 按照审计计划,对信息系统控制环境进行有效监控二、应用系统的审计1. 了解应用系统的功能和业务流程2. 考察应用系统的访问权限和用户权限分配情况3. 检查应用系统的输入和输出数据完整性4. 评估应用系统的性能和可靠性5. 测试应用系统的容错能力和灾备恢复功能三、信息系统的逻辑安全审计1. 考察系统的身份认证和访问控制机制2. 评估系统的加密和解密机制3. 检查系统的漏洞和安全补丁管理情况4. 分析系统的安全策略和风险管理措施5. 审计系统的日志记录和追溯能力四、网络安全的审计1. 评估网络拓扑结构和网络设备配置2. 检查网络安全设备的有效性和可用性3. 分析网络流量和网络连接情况4. 检验网络入侵检测和防火墙机制5. 考察网络安全策略和事件响应机制五、数据库安全的审计1. 评估数据库的完整性和一致性2. 检查数据库的访问权限和用户权限分配情况3. 分析数据库的备份和恢复机制4. 审计数据库的审计日志和操作记录5. 评估数据库的性能和可靠性总结:计算机审计是一项非常关键的工作,它涉及到组织的信息安全、数据完整性和业务流程的有效性。
在进行计算机审计时,我们必须充分了解各个审计领域的相关知识,从信息系统控制环境审计到数据库安全审计,都需要严谨的态度和细致的工作。
同时,还要注意跟踪技术发展的趋势,及时更新审计方法和工具,以更好地应对信息安全威胁的挑战。
通过有效的计算机审计,我们能够更好地保护组织的信息资产和业务运营的连续性。
信息系统审计实施方案
信息系统审计实施方案一、引言信息系统的审计是保障企业数据安全、业务合规性和信息系统有效性的重要举措。
本文将针对信息系统审计的实施方案进行探讨,从审计目标、审计范围、审计方法和审计阶段等方面进行详细介绍。
二、审计目标1. 确保信息系统的安全性:审计旨在发现并修复信息系统中的安全漏洞,降低潜在的风险,并制定安全策略和控制措施。
2. 提高信息系统的合规性:通过审计,确保信息系统符合相关法规、标准和行业规范的要求,保护企业和用户的合法权益。
3. 评估信息系统的有效性:审计可以评估信息系统的性能和效益,发现并解决系统运行中的问题,提升业务流程和用户体验。
三、审计范围1. 信息系统架构与设计:审计应包含对信息系统的整体架构和设计的评审,重点关注系统的安全性、可用性和可扩展性。
2. 信息系统运维与管理:审计应包括信息系统的日常运维管理情况的审查,确保系统管理符合最佳实践和安全要求。
3. 信息系统安全性:审计应对信息系统的安全策略、身份验证、访问控制、防火墙等安全机制进行检查,发现并解决潜在的安全隐患。
4. 数据完整性与保护:审计应对数据的完整性、备份恢复机制、灾难恢复计划等关键性数据保护措施进行审查。
5. 业务流程与合规性:审计应涵盖信息系统对业务流程的支持情况和合规性要求的落实情况。
四、审计方法1. 文件审计:审查信息系统相关的文件、记录和报告,了解系统配置、授权、访问权限等。
2. 询问与访谈:与相关人员进行沟通和交流,了解他们对系统的理解和运维细节。
3. 抽样检查:从大量数据中抽取样本进行评估,检查数据的准确性和完整性。
4. 安全评估工具:使用安全漏洞扫描器、入侵检测系统等工具进行系统的漏洞扫描和安全性评估。
5. 模拟测试与渗透测试:对系统进行模拟攻击和实际渗透测试,发现系统漏洞和安全风险。
五、审计阶段1. 筹备阶段:明确审计目标、范围和方法,确定审计计划和时间安排,制定审计的开展准备工作。
2. 数据收集与分析阶段:收集和整理信息系统的相关资料、文档和数据,进行详细的调查和分析,鉴定可能存在的问题和风险。
信息系统审计主要内容和方法以及存在问题和对策
信息系统审计的主要内容和方法以及存在的问题和对策摘要:近年来,信息化环境下电子数据、信息系统、系统内部控制三位一体的审计越来越受到审计机关的重视,信息系统审计也逐步在探索和发展。
作者通过分析信息系统审计的主要内容和方法,提出当前信息系统审计存在的问题,并提出了解决办法。
关键词:效益审计;工程随着信息技术的广泛应用,计算机技术在各行业已深入发展,以计算机和网络为特征的会计核算、财务管理、经营管理等信息系统日益普及,这些系统以及数据的安全性、可靠性和有效性是审计工作顺利开展的重要前提。
近年来,信息化环境下电子数据、信息系统、系统内部控制三位一体的审计越来越受到审计机关的重视,信息系统审计也逐步在探索和发展。
信息系统审计是根据公认的标准和指导规范,对信息系统从规划,实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的安全性,有效性,可靠性等进行检测,评估和控制的过程,以确定预定的业务目标得以实现,并提出一系列改进建议的管理活动。
一、信息系统审计的主要内容信息系统审计的内容是由信息系统审计的对象所决定的,主要由信息系统内部控制审计、信息系统组成部分审计以及信息系统生命周期审计所组成。
一是信息系统内部控制审计,包括一般控制和应用控制审计。
一般控制审计是对信息系统的开发、实施、维护及运行审计,主要对系统的开发维护过程以及信息系统的环境安全和技术安全进行审查。
应用控制审计即业务流程审计,与一般控制审计相对应,主要对交易的完整性,准确性,有效性,机密性和可用性以及在应用处理中的数据的控制审计,通常分为应用程序级一般控制审计、业务流程控制审计、接口控制审计、数据管理系统控制审计等四类。
二是信息系统组成部分审计,由计算机硬件、系统软件、应用软件所组成。
这部分审计以应用软件审计为主要内容,主要对应用程序的控制措施、合法性、正确性和效率性进行审查。
三是信息系统生命周期的审计,即信息系统的规划、开发、设计、编码、测试等全过程。
信息系统审计
信息系统审计信息系统审计是指对一个组织或企业的信息系统进行全面、有目的性的检查与评估,以确认其是否符合相关的法规、标准和政策要求。
通过信息系统审计,可以发现系统的弱点和问题,并提供改进的建议和措施。
一、信息系统审计的目的和意义信息系统的审计是保证系统安全和有效的重要手段之一,其主要目的和意义包括以下几点:1. 确保信息资产的安全:信息系统审计可以评估系统的安全性,包括数据的机密性、完整性和可用性,保护组织的重要信息资产免受未经授权的访问、篡改或破坏。
2. 遵守法规和合规要求:信息系统审计能够评估系统是否符合相关的法规、标准和政策要求,确保组织的信息处理活动在合法和合规的框架内进行。
3. 发现弱点和问题:通过对信息系统的审计,可以发现系统的弱点和问题,包括技术上的漏洞、权限设置不当和管理失控等,及时采取措施进行修复和改进,提升系统的安全性和性能。
4. 提供改进的建议和措施:信息系统审计不仅发现问题,还提供改进的建议和措施,帮助组织完善信息系统的安全策略和保护措施,以更好地应对风险和威胁。
二、信息系统审计的方法和步骤信息系统审计的方法和步骤通常包括以下几个方面:1. 审计准备:确定审计的范围和目标,了解组织的信息系统架构和相关的法规、标准和政策要求,制定审计计划和时间表。
2. 数据收集和整理:收集和整理组织的信息系统相关文件和记录,包括系统架构图、安全策略文件、操作记录和事件日志等。
3. 环境评估:评估组织信息系统的物理环境和技术环境,包括网络拓扑、硬件设备、软件配置和安全控制等,发现潜在的安全风险和问题。
4. 风险评估和控制:对信息系统进行风险评估,确定关键的安全风险和漏洞,制定相应的风险控制策略和措施,提高系统的安全性和稳定性。
5. 审计测试和验证:通过技术手段和方法,对信息系统进行测试和验证,包括系统的漏洞扫描、权限测试和入侵检测等,确认系统的安全性和有效性。
6. 结果分析和报告:对审计的结果进行分析和总结,编制审计报告,包括发现的问题和建议的改进措施,提供给组织的管理层和相关人员参考和落实。
信息技术审计的关键问题与解决方案
信息技术审计的关键问题与解决方案信息技术的迅速发展使得企业面临着大量的技术工具、系统和数据。
为了确保信息技术的运作安全和合规性,信息技术审计成为了不可或缺的一环。
然而,信息技术审计也面临着一些关键问题,本文将针对这些问题提出相应的解决方案。
一、信息技术审计的关键问题1. 信息系统访问控制信息系统的访问控制是信息技术审计中的一个关键问题。
保护信息系统免受未经授权的访问是至关重要的,因此,审计人员需要对访问控制策略和措施进行评估和审计。
2. 数据完整性与准确性企业依赖信息系统处理和存储大量的关键数据,因此,数据的完整性和准确性对企业的正常运营至关重要。
信息技术审计需要关注数据的准确性和完整性,以确保数据没有被篡改或者删除。
3. 系统漏洞和安全风险信息系统中存在许多潜在的漏洞和安全风险,这些漏洞和风险可能导致信息泄露、系统崩溃或者未经授权的访问。
审计人员需要评估和审计系统中的漏洞和风险,提出相应的解决方案。
4. 合规性和法规要求不同的行业和地区可能有不同的合规性和法规要求,企业需要确保自身的信息技术运作符合相关的合规性标准和法规要求。
信息技术审计需要关注企业是否符合这些合规性和法规要求。
二、信息技术审计的解决方案1. 强化访问控制信息技术审计可以通过强化访问控制来解决访问控制的问题。
审计人员可以对企业的访问控制策略进行评估,提出相应的改进方案。
此外,企业可以采用多因素认证、单一登录和权限管理等措施来加强访问控制。
2. 加强数据管控为了确保数据的完整性和准确性,信息技术审计可以推荐企业加强数据管控。
审计人员可以对数据的存储和处理过程进行审计,提出相应的数据管理和保护方案。
此外,企业可以建立数据备份和恢复策略,以应对数据篡改或者丢失的情况。
3. 安全漏洞扫描和风险评估针对系统漏洞和安全风险,信息技术审计可以推荐企业进行安全漏洞扫描和风险评估。
审计人员可以利用自动化工具来识别系统中的潜在漏洞,提供漏洞修复建议。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。
随着计算机及网络技术的迅速发展,审计机关要想完成“全面审计,突出重点”的审计目标,担负起社会经济运行的“免疫系统”作用,就必须加快信息系统审计的步伐。
为此,笔者认为,审计机关要开展好信息系统审计,就必须把握重点,加强组织,制定措施,积极推进。
一、开展信息系统审计应把握的重点1、信息系统审计的目标和内容信息系统审计目标:信息系统审计不仅要对系统信息的合法性、公允性进行审计,还要对信息系统的硬件和软件,以及整个信息系统的安全性、稳定性、内部控制的健全性与有效性等方面进行审计,指出被审计单位信息系统内部管理和控制上的薄弱环节,提高其信息系统的可靠性和真实性,有效地防止利用信息技术随意篡改系统信息或破坏磁介质上的数据等舞弊行为的发生。
因此,信息系统审计目标不仅仅在于应用计算机进行审计(即传统EDI 审计或计算机辅助审计),更重要的是要对信息系统本身的安全性、稳定性及其实现组织目标的有效性进行实时的检查、评价和改造。
信息系统审计内容:主要包括信息系统开发过程审计、一般控制审计和应用控制审计三个方面。
2、信息系统审计的职能和方式为了实现审计目标,保证和咨询应成为对信息系统进行审计的两大基本职能。
“保证”即“系统可靠性保证”,就是通过对信息系统运行过程、商业连续性能力、维护状况进行评价,合理保证信息系统安全、稳定、有效,它是信息系统审计最基本的职能。
“咨询”是指审计人员能够向信息系统的高层管理者以及使用者提供解决问题的方案,以达到改善经营和为组织增加价值的目的。
信息系统审计组织方式:一种是将信息系统审计作为常规项目审计的一部分,是为整个审计项目的总体目标服务的。
检查信息系统本身及其内部控制的可靠性和有效性,为数据审计服务,最终通过审计数据得出审计结论,即数据审计、信息系统审计和系统内控审计“三位一体”的结合方式。
另一种是独立立项的信息系统审计,直接针对信息系统进行审计,将信息系统本身的安全性、可靠性和有效性作为审计目标。
现阶段开展的信息系统审计以第一种方式为主。
3、信息系统审计的依据和原则审计人员执行信息系统审计时,主要以信息系统的管理制度、条例和法规、ISO9000、信息系统的实际运行情况等为主要依据。
目前信息系统审计工作还处于探索阶段,没有一套成形的专业规范,信息系统审计人员可遵照ISACA(国际信息系统审计与控制协会)发布的《信息系统审计准则》执行信息系统审计业务。
审计信息系统审计原则:一是应坚持“先易后难、逐步推开”的原则,在条件具备的情况下选择合适的审计项目进行试点和探索。
二是应坚持“先上而下,上下结合”的原则,因为越往上,人才技术具备,且信息系统往往是自上而是下部署运用的,通过上级审计,就可以减少重复审计,降低审计成本,使审计成果利用最大化;三是应坚持财务与信息系统结合型审计和信息系统独立型审计相结合的原则。
在年度审计计划确立上,要逐步安排结合型或者独立型的项目;在审计的组织方式上,要使传统的审计项目与信息系统审计的内容结合起来,保证信息系统审计的结果能够应用于整个审计工作中,做好信息系统审计与整个审计工作的衔接。
4、信息系统审计的技术和方法对信息系统审计的方法既包括一般方法即手工方法,也包括应用计算机审计的方法。
信息系统审计的一般方法主要用于对信息系统的了解和描述,包括:面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。
应用计算机的方法一般用于对信息系统的控制测试,包括:测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。
5、信息系统审计的流程和步骤信息系统审计是一个获取并评价证据,以研判信息系统是否能够保证资产的安全、有效以及提供真实、完整的系统信息的动态循环流程。
在审计的计划阶段,要对被审单位的计算机系统进行了解,初步确定在后续的审计步骤中是否打算领带被审单位的计算机系统,并针对了解的内容制定实施阶段的审计步骤中是否打算领带被审单位的计算机系统,并针对了解的内容制定实施阶段的审计计划;在实施阶段,按照制定的测试计划,对计算机系统的控制进行测试。
信息系统审计的步骤:(1)审计准备阶段。
准备阶段主要是初步调查被审计单位会计信息化的基本状况,拟定科学合理的审计计划;与被审计单位签订审计业务约定书,明确彼此的责任、权利和义务;确定审计范围、确立审计重点、分析审计风险、制定审计计划,审计人员必须提前进入被审单位,了解被审计单位基本情况,与单位的有关人员面谈,查阅其会计信息系统的基本资料。
了解被审单位信息系统开发和使用情况、计算机设备软硬件情况、业务量大小以及数据完整程度,判断在被审单位开展计算机审计是否符合成本效益原则、风险有多大。
在对被审计单位的内部控制作出初步及深入审查之后,审计人员应获取被审单位有关会计数据。
详细调查计算机环境下的计算机信息系统结构、业务处理流程、所采用的数据库类型及数据结构。
确定数据采集、转换、定义以及分析中所需的计算机软件及硬件设备,合理配置审计资源,编制审计计划。
(2)审计实施阶段。
实施阶段的工作是根据准备阶段确定的范围、重点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见。
实施阶段是计算机审计工作的主要阶段,在这个阶段中首先要对被审单位的内部控制进行评价,并执行符合性测试。
然后,根据符合性测试的结果,确定实质性测试的计划水平,对被审单位业务数据的实质性进行审查。
(3)审计报告阶段。
审计报告阶段是对会计信息系统进行测试后,整理审计工作底稿,编制审计报告,对被审计单位会计报表的合理性、公允性、一致性发表意见,做出审计结论;并对被审计单位的会计信息化系统的处理功能、内部控制进行评价,并提出改进意见。
主要工作包括:整理审计工作底稿、分类归纳核实材料、编写审计报告、作出审计结论和决定等。
这一步骤借助于审计软件的帮助,可以高效、准确地完成。
(4)异议和复审阶段。
被审计单位对审计结论和决定若有异议,可提出复审要求,审计部门可组织复审并做出复审结论和决定。
特别是被审计单位会计信息化系统有了新的改进时,还需组织后续审计。
对计算机内部数据处理的详细过程直接进行审查。
6、信息系统审计的重点环节和内容(1)内部控制环节。
在计算机系统中,应检查以下方面来证明内控制度的有效性:一是控制系统资源的存取。
二是控制系统资源的使用。
三是建立按用户职能分配资源的制度。
四是记录系统的使用情况。
五是确认处理过程的准确性。
六是管理人员对财务信息系统的修改。
七是保护财务信息系统免遭计算机病毒的袭击。
(2)数据环节。
在审计中,审计人员选择一些交易对其进行详细检查,确认交易记录是否符合一般的审计目标。
一是检查会计事项信息,要检查它的完整性、时效性、合规性和信息披露等方面,检查内容包括与本会计年度有关的交易是否全部记录在册;所有记录的交易是否都是合理发生的并与本会计年度有关;记录的交易是否数据准确,计算无误;记录的交易是否符合基本的和辅助的法律规定,符合特定权威机构的要求;对记录的交易是否进行正确的分类,并符合信息对外披露的要求等。
二是检查财务报表信息,要检查完整性、存在性、会计计量、所有权以及信息披露等方面,检查内容包括是否记录了所有的资产和负债,所有记录的资产和负债是否都是存在的;对资产和负债的计量是否精确,计算方法是否符合按合理性、一致的标准制定的会计政策的要求;确认资产是被审主体所有的、负债是被审主体应该承担的,并且资产和负债是否由合法的经济活动产生的;资产、负债、资本和存货是否都得到正确的披露。
同时对信息系统提供的业务信息也要进行分析,并一直追踪到信息源。
对上述信息的分析可以采用计算机辅助审计技术,按照特定的标准对数据进行汇总、分类、排序、比较和选择,并进行各种运算。
(3)数据传输转移环节。
在信息系统中,有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移,在此过程中可能会出现一些问题,尤其是在需要手工重新录入时。
因此在审计时要重点关注以下方面:在转移过程中数据可能会发生变化;新的科目代码表与老的可能不一样,需要在两个财务信息系统之间建立复杂的对应关系;中心数据库可能被一些地理上分散的服务器取代;当前财务信息系统中的数据质量不佳;当用一个总的信息系统取代一个预定财务信息系统时,需要补充许多新的数据。
在检查这一环节时,一定要保证输出的消息是经过批准、完整和精确的,保证输出的消息在约定时间内准确地发送给指定的接收者,保证流入的消息是完整、准确和真实可靠的。
二、开展信息系统审计的对策措施1、要大力增强全体审计人员信息系统审计的意识。
“审计人员不掌握计算机技术,将失去审计资格”这一观点基本得到了全体审计人员的认同。
因此,为保证信息系统产生的数据真实完整,信息系统的安全、可靠和有效,重大的审计项目,只要被审计单位应用的是信息系统,我们就必须审计信息系统,检查系统内部控制,只有这样才能防止假账真审。
2、要加快计算机信息系统审计人才的培养。
计算机信息系统审计对审计人员的专业技能要求较高,除了需要审计人员具备相应的审计技能外,还要具备较高的计算机水平。
对此,一是审计机关在配备人员时就要将计算机技能作为一个必要条件,在实际工作中不断培养其审计技能;二是对现有审计人员进行计算机知识的培训,并要对其进行持续不断的后续教育,以增强其信息技术审计能力。
三是要开展信息系统审计实务和理论研究,大力推进审计人员在信息系统审计实践中不断提炼总结,加强信息系统审计方法体系研究。
3、要加快制订信息系统审计准则,保障信息系统审计快速健康发展。
审计准则是规范化的管理框架,有助于提高审计质量和效率,降低审计风险。
审计署应尽早出台适合我国国家审计的信息系统审计准则,以解决当前信息系统审计目标不明,内容不清的现状,以便于审计人员统一规范操作。
4、要上下联动重点攻关搞好实践。
在当前基层审计机关难以全面推进信息系统审计的情况下,一方面,可以采取省市县三级或者市县二级联手,选择重点领域、重点项目进行联合审计,这样既可以让基层审计人员在实践中增长信息系统审计技能;又可以有步骤、有重点地对被审计单位信息系统进行全面审计,扩大审计成果,节约审计成本,减少重复劳动。
另一方面,各级基层审计机关要坚持独立自主的开展信息系统审计工作,不等不靠,抽调计算机专业人员和通过计算机中级考试的业务骨干组成的课题组,选择重点项目,进行集中攻关,坚持边学习边实践边总结的工作方法,不断提高实战能力。