论信息系统变更审计

合集下载

信息系统审计

信息系统审计在当今数字化的时代，信息系统已经成为企业和组织运营的核心支撑。

从日常的业务流程管理到关键的决策制定，信息系统的作用无处不在。

然而，随着信息系统的日益复杂和重要性的不断提升，其面临的风险也与日俱增。

这就使得信息系统审计成为了一项至关重要的工作。

那什么是信息系统审计呢？简单来说，信息系统审计就是对组织的信息系统进行审查和评估，以确定其是否能够有效保护资产、维持数据完整性、提供可靠的信息，并高效地实现组织目标。

信息系统审计涵盖了多个方面。

首先，要审查信息系统的内部控制。

这包括访问控制、数据备份和恢复策略、系统变更管理等。

例如，访问控制就像是给信息系统的各个房间设置不同的钥匙，只有拥有相应权限的人才能进入。

如果访问控制设置不当，就可能导致敏感信息被未经授权的人员获取。

其次，要评估信息系统的安全性。

这包括网络安全、应用程序安全、操作系统安全等。

如今，网络攻击日益猖獗，黑客们可能会试图入侵企业的信息系统，窃取重要数据或者破坏系统运行。

因此，信息系统的安全性审计至关重要。

再者，信息系统的性能审计也不能忽视。

比如，系统的响应时间是否满足业务需求，系统的处理能力是否能够应对业务的增长等。

如果一个电商平台在促销活动期间因为系统性能不佳而频繁崩溃，那将会给企业带来巨大的经济损失和声誉损害。

此外，信息系统审计还要关注数据的质量和完整性。

数据是信息系统的核心资产，如果数据不准确、不完整或者过时，那么基于这些数据做出的决策可能会出现偏差。

进行信息系统审计具有诸多重要意义。

它有助于发现潜在的风险和漏洞，提前采取措施进行防范和修复，从而降低组织面临的损失风险。

通过审计，可以确保信息系统的合规性，满足法律法规和行业标准的要求。

这对于一些受到严格监管的行业，如金融、医疗等，尤为重要。

同时，信息系统审计能够提高信息系统的效率和效益。

通过优化系统配置、改进业务流程，可以使信息系统更好地支持组织的业务发展，提升组织的竞争力。

信息系统审计内容

信息系统审计内容一、信息系统审计内容概述信息系统审计对象，包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。

信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。

二、对组织层面信息技术控制的审计组织层面信息技术控制审计的内容包括：（一）控制环境内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。

（二）风险评估内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程，信息资产的分类及信息资产所有者的职责，以及对信息系统的风险识别方法、风险评价标准、风险应对措施。

（三）控制活动内部审计人员应当关注信息系统管理的方法和程序，主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。

（四）信息与沟通内部审计人员应当关注组织决策层的信息沟通模式，信息系统对财务、业务流程的支持度，信息技术政策、信息安全制度传达与沟通等方面。

（五）内部监督内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等方面。

三、对信息系统一般性控制的审计信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序，目标是保护数据与应用程序的安全，并确保异常中断情况下计算机信息系统能持续运行。

信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。

审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。

信息系统一般性控制审计应当重点考虑下列控制活动：（一）系统开发和采购审计内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批，系统开发所制定的系统目标以及预期功能是否合理，是否能够满足组织目标；系统开发的方法，开发环境、测试环境、生产环境的分离情况，系统的测试、审核、验收、移植到生产环境等环节的具体活动。

审计师的信息系统审计程序与方法

审计师的信息系统审计程序与方法信息系统在现代企业中起着至关重要的作用，不仅帮助企业提高效率和准确性，也带来了一系列风险和挑战。

为了确保信息系统的安全与可靠性，审计师需要进行信息系统审计。

本文将就审计师的信息系统审计程序与方法进行探讨。

一、信息系统审计程序信息系统审计程序是审计师用来评估信息系统控制有效性和安全性的一系列步骤。

以下是常见的信息系统审计程序：1. 确定审计目标和范围：审计师首先需要与企业管理层沟通，明确信息系统审计的目标和范围。

这有助于审计师了解企业的业务流程和关键控制点。

2. 评估风险：审计师需要通过风险评估来确定审计焦点和优先级。

这包括评估信息系统的关键性、敏感性和暴露于威胁的可能性。

3. 分析和评估信息系统控制：审计师需要对信息系统控制进行详细分析和评估。

这包括对访问控制、系统开发和维护、变更管理、物理安全等方面的评估。

4. 进行测试和抽样：审计师需要选择合适的测试方法和抽样技术，对信息系统进行实际测试。

这可以包括测试系统控制的有效性、验证数据的准确性和完整性。

5. 收集证据和进行分析：审计师需要收集相关的审计证据，并进行分析和比对。

这可以通过审查系统日志、检查安全策略和审计报告等方式来收集证据。

6. 发现问题和提出建议：根据收集到的证据，审计师需要发现信息系统存在的问题，并提出改善建议。

这有助于企业改进信息系统的运作和管理。

二、信息系统审计方法除了信息系统审计程序，审计师还需要运用一些方法来提高信息系统审计的效能和有效性。

以下是常见的信息系统审计方法：1. 面谈法：审计师可以选择与企业管理层和系统用户进行面谈，了解他们对信息系统控制的了解和使用情况。

面谈法可以帮助审计师获取更深入和直接的信息。

2. 文件审查法：审计师可以审查企业的信息系统政策、程序和相关文件，以评估其符合性和有效性。

文件审查法可以帮助审计师了解信息系统的规范和控制情况。

3. 系统探测法：审计师可以使用一些工具和技术来探测信息系统中的弱点和风险，如漏洞扫描、网络侦测等。

浅谈信息化过程中的信息系统审计

浅谈信息化过程中的信息系统审计作者：罗贵心来源：《中国经贸》2009年第12期摘要：本文简要介绍了信息系统审计的相关概念，归纳了信息系统审计的方法、技术与工具，最后针对信息系统审计在信息化过程中的应用，总结出了其应用价值。

关键词：信息系统审计;企业信息化;信息系统信息化是国家现代化的基本标志，也是一个国家综合国力的集中体现。

信息化建设是一项长期的、综合的系统工程，在改善企业运作管理水平、提高工作效率的同时，也产生了巨大的风险。

因此，建立信息系统审计制度，发展信息系统审计是信息化过程中必不可少的制度保证和手段。

一、信息系统审计的概述1.信息系统审计的定义信息系统审计（Information System Audit信息系统，简称ISA）目前还没有公认的通用定义，国际信息系统审计领域的权威专家Ron Weber将它定义为：收集并评估证据，以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源。

可通俗的理解为是对信息系统的规划、开发、实施、运行和维护等各个环节进行评价，确保其符合企业经营目标的过程。

2.信息系统审计的业务内容信息系统审计的业务内容包括计算机资源管理审计、软硬件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计。

信息系统审计项目按生命周期来划分，一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计。

信息系统开发过程中的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的。

信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计；信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计。

审计师的信息系统审计程序与方法

审计师的信息系统审计程序与方法信息系统对于企业的顺利运营和管理具有重要的作用，然而，随着科技的发展和信息技术的广泛应用，信息系统的复杂性和风险也不断增加。

因此，审计师在审核企业财务报告时需要对信息系统进行审计，以确保数据的可靠性和完整性。

本文将介绍审计师在信息系统审计过程中所采用的程序和方法。

一、信息系统审计的概念和目标信息系统审计是指对企业的信息系统进行全面的评估和审查，以确定其是否能够有效地提供可靠的数据和信息，以及是否符合相关法规和规定。

信息系统审计的目标是确保信息系统的机密性、完整性、可用性和可靠性，并提供合理的保障措施，以减少信息系统风险。

二、信息系统审计的程序和方法1. 了解企业的信息系统审计师需要深入了解企业的信息系统，包括信息系统的组成部分、运作流程、数据存储和处理方式等。

通过与企业的管理层和技术人员交流，可以获取到对信息系统的更详细的了解，并为后续的审计工作做好准备。

2. 确定审计目标和范围在进行信息系统审计之前，审计师应该明确审计目标和审计范围。

审计目标可以包括确定信息系统是否能够满足企业的业务需求，是否能够保障数据的安全和完整性等。

审计范围可以根据企业的具体情况确定，包括特定的业务流程、关键的应用系统等。

3. 进行风险评估审计师需要对信息系统的风险进行评估，包括内部控制的风险、业务流程的风险、系统漏洞的风险等。

通过风险评估，可以确定审计重点和审计测试的方向。

4. 进行系统安全性评估系统安全性评估是信息系统审计的重要环节之一。

审计师需要对信息系统的安全性进行评估，包括对系统的访问控制、数据的传输和存储安全等方面进行检查和测试，并提出合理的建议和改进意见。

5. 进行数据完整性和准确性的测试数据完整性和准确性是信息系统的核心要求之一。

审计师需要通过对企业的数据进行抽样测试和比对检查，以确保数据的完整性和准确性。

同时，还需要对数据的来源和录入进行审查，以确定数据是否是由合法和可信的来源产生的。

信息系统审计管理办法

信息系统审计管理办法第一章总则第一条为加强和规范公司信息系统审计工作，明确审计职责及工作范围，根据《内部审计具体准则第2203号-信息系统审计》等有关规定和要求，制定本办法。

第二条信息系统审计是指由公司审计部或外部审计机构对公司的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。

第三条信息系统审计的目的是通过实施信息系统审计，对公司是否实现信息技术管理目标进行审查和评价，提出管理建议，协助信息技术管理人员有效地履行职责。

公司的信息技术管理目标主要包括：（一）保证公司的信息技术战略充分反映公司整体战略目标；（二）提高公司信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性；（三）提高信息系统运行的效率与效果，合理保证信息系统的运行符合法律法规及监管机构的要求。

第四条信息系统审计可以作为独立的审计项目组织实施，也可以作为综合性内部审计项目的组成部分实施。

第五条本规定适用于公司对内开展的有关信息系统审计的各项活动。

第二章审计机构、人员及职责第六条信息系统审计工作可由审计部组织实施，也可聘请具备相关资质的外部审计机构开展。

第七条公司在审计部设立信息审计岗位，负责信息科技审计制度制订和信息系统审计工作。

第八条根据工作需要，经公司管理层批准，可以聘请外部审计机构开展信息系统审计，所聘请的外部审计机构应具备足够的独立性、客观性和专业胜任能力，并遵守公司审计作业管理规定。

公司按照采购规定进行外部审计机构选聘工作，审计部负责协调外部审计人员实施信息系统审计工作。

第九条从事信息系统审计的审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验，以及应有的职业审慎。

第十条信息系统审计人员责任包括计划、实施信息系统审计工作并按要求出具审计报告。

第十一条信息技术部门应积极配合信息系统审计人员开展相关审计工作，其他相关部门应按要求协助开展信息系统审计工作。

第十二条公司应定期或不定期组织内部审计人员开展有关信息系统及技术的专业知识培训，培训方式可采用自主或委外方式开展。

审计师对关键会计信息系统变更的审计考虑

审计师对关键会计信息系统变更的审计考虑审计师在进行审计工作时，需要对关键会计信息系统变更进行审计考虑。

关键会计信息系统变更是指对企业会计信息系统中关键部分进行的重大改变或更新，可能对财务报表的可靠性产生重大影响。

本文将从以下几个方面探讨审计师在面对关键会计信息系统变更时应采取的审计考虑。

一、审计师应对关键会计信息系统变更进行全面了解和评估。

审计师需要了解变更的原因、目的、范围和影响，并评估变更的合理性和风险。

他们应了解变更的规模、复杂度以及它对财务报表的影响程度，同时还要了解系统变更的整个过程，包括实施和测试措施等。

二、审计师需要评估关键会计信息系统变更的内部控制。

内部控制是企业保证财务报表可靠性的重要手段，而关键会计信息系统变更可能对内部控制产生重大影响。

审计师应评估变更前后的内部控制环境、监控措施和风险管理等方面的变化，确保在变更过程中，企业能够有效地管理和控制风险，保证财务报表的准确性。

三、审计师需要考虑关键会计信息系统变更的审计证据。

审计证据是审计师用来支持审计意见的依据，而关键会计信息系统变更可能对审计证据的产生和可靠性造成重大影响。

审计师应该关注变更对系统日志、变更文档、控制台和报表等审计证据的影响，同时评估变更过程中可能存在的盲点和风险，确保提供足够和可信的审计证据。

四、审计师需要与企业管理层和内部审计部门充分沟通。

关键会计信息系统变更是企业重要的内部战略性决策，因此审计师需要与企业管理层和内部审计部门进行充分的沟通和合作。

他们应了解企业在变更过程中的决策依据、风险管理措施以及内部审计的发现和建议等，确保审计工作能够充分考虑关键会计信息系统变更的影响。

五、审计师需要采取适当的审计程序和方法。

关键会计信息系统变更可能对审计程序和方法提出新的要求和挑战，审计师应根据变更的特点和风险，调整审计计划和程序。

他们需要确定关键会计信息系统变更的重要控制点，并进行特定的审计程序和测试，以评估系统变更的有效性和财务报表的可靠性。

信息系统审计方法与操作指引

2019/12/5
5
IT一般控制审计程序
影响变更管理测试性质和范围因素(续)
1.2.2 变更类型要确定最适当的测试方法，了解和记录用于变更管理过程，包括针对以下变更类型和IT环境技术组成要素过程：
► 程序开发/采购 — 开发和实施新应用程序或界面。 ► 程序变更 — 对现有应用程序和界面进行的变更。 ► 系统软件维护 — 对数据库、操作系统和其他系统软件进
风险控制矩阵是对风险所导致负面影响的量化，从严重性、发生概率和所涉及范围等方面进行描述，使得对风险的刻画更为有效和清晰。
识别出关键系统的系统配置，包括系统描述、应用系统来源、计算机平台、操作系统、数据库名称和版本等有关系统的信息。
测试模板
根据对信息系统的初步了解，设计出相应的测试模板，包括风险点、控制点、测试范围、测试时间、测试步骤等信息
IT一般控制是指为保证在一段时期内应用控制持续有效性，而在系统变更和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据集都有效，所以被称为“IT一般控制”。
IT一般控制分类
变更管理：只允许对应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更。
逻辑访问：只有经过授权的人员，才可以访问数据和应用程序（包括程序、表和相关资源），并且他们只能执行明确授权的功能（例如：询问、执行和更新）。
制要求修改密码。
2019/12/5
13
IT一般控制审计程序方法论
了解IT流程方法
为了解IT流程，参与评估人员需要在内控文档中对如下内容进行关注： 5个W(WHO, WHEN, WHAT,WHERE, WHY )与1个H( HOW )

信息系统的评审与审计

信息系统的评审与审计一、前言与背景信息系统作为现代社会的重要基础，已经深入到了经济、科技、教育等各个领域。

从最初的计算机辅助管理，到如今的大数据、云计算、物联网等，信息系统在推动社会进步和经济发展方面起到了不可忽视的作用。

信息系统的评审与审计，就是在这样的背景下应运而生，其目的在于确保信息系统的安全性、稳定性和有效性。

信息系统的评审与审计工作，起源于20世纪70年代的美国，当时主要是为了应对计算机犯罪和数据丢失等问题。

随着信息技术的发展，信息系统的评审与审计也逐渐成为了各个组织、企业、政府机构不可或缺的一环。

研究信息系统的评审与审计，具有重要的现实意义。

首先，它能够帮助组织发现并修复潜在的安全漏洞，保护信息和数据的安全；其次，它能够帮助组织评估信息系统的性能和管理水平，提高信息系统的效率和可靠性；最后，它能够帮助组织遵循相关法规和标准，避免因违规操作而带来的法律风险和经济损失。

二、核心概念与分类信息系统信息系统是指在计算机技术和通信技术的支持下，进行信息的收集、传输、存储、处理和应用的一系列软硬件资源的总和。

根据信息系统的应用领域和功能，可以将其分为企业资源规划（ERP）、客户关系管理（CRM）、供应链管理（SCM）、人力资源管理（HRM）等。

评审与审计评审是对信息系统的设计、开发、实施和运行过程进行全面、系统的审查和评价，以确定其是否符合既定的目标和要求。

审计则是通过对信息系统的活动、流程和结果进行独立的、客观的检查，以评估其合规性、有效性和可靠性。

分类与特征1.企业资源规划（ERP）：集成了企业的所有业务流程，包括生产、采购、销售、财务等，目的是提高企业的运营效率和决策能力。

2.客户关系管理（CRM）：专注于企业的市场营销和客户服务活动，目的是提高客户满意度和忠诚度。

3.供应链管理（SCM）：协调企业的供应链各环节，包括供应商、生产商、分销商和消费者，目的是降低成本和提高响应速度。

4.人力资源管理（HRM）：管理企业的人力资源，包括招聘、培训、考核和薪酬等，目的是提高员工的工作效率和组织的竞争力。

信息系统审计

信息系统审计信息系统审计是指对一个组织或企业的信息系统进行全面、有目的性的检查与评估，以确认其是否符合相关的法规、标准和政策要求。

通过信息系统审计，可以发现系统的弱点和问题，并提供改进的建议和措施。

一、信息系统审计的目的和意义信息系统的审计是保证系统安全和有效的重要手段之一，其主要目的和意义包括以下几点：1. 确保信息资产的安全：信息系统审计可以评估系统的安全性，包括数据的机密性、完整性和可用性，保护组织的重要信息资产免受未经授权的访问、篡改或破坏。

2. 遵守法规和合规要求：信息系统审计能够评估系统是否符合相关的法规、标准和政策要求，确保组织的信息处理活动在合法和合规的框架内进行。

3. 发现弱点和问题：通过对信息系统的审计，可以发现系统的弱点和问题，包括技术上的漏洞、权限设置不当和管理失控等，及时采取措施进行修复和改进，提升系统的安全性和性能。

4. 提供改进的建议和措施：信息系统审计不仅发现问题，还提供改进的建议和措施，帮助组织完善信息系统的安全策略和保护措施，以更好地应对风险和威胁。

二、信息系统审计的方法和步骤信息系统审计的方法和步骤通常包括以下几个方面：1. 审计准备：确定审计的范围和目标，了解组织的信息系统架构和相关的法规、标准和政策要求，制定审计计划和时间表。

2. 数据收集和整理：收集和整理组织的信息系统相关文件和记录，包括系统架构图、安全策略文件、操作记录和事件日志等。

3. 环境评估：评估组织信息系统的物理环境和技术环境，包括网络拓扑、硬件设备、软件配置和安全控制等，发现潜在的安全风险和问题。

4. 风险评估和控制：对信息系统进行风险评估，确定关键的安全风险和漏洞，制定相应的风险控制策略和措施，提高系统的安全性和稳定性。

5. 审计测试和验证：通过技术手段和方法，对信息系统进行测试和验证，包括系统的漏洞扫描、权限测试和入侵检测等，确认系统的安全性和有效性。

6. 结果分析和报告：对审计的结果进行分析和总结，编制审计报告，包括发现的问题和建议的改进措施，提供给组织的管理层和相关人员参考和落实。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

２、实质性测试。在执行信息系统变更审计时。传统财务审计的实施性测试的程序依然适用，如抽样、计算、分析程序等，但由于信息系统的复杂性．信息系统变更审计主要是利用计算机辅助审计技术和工具（ＣＡＡＴＩ＂ｓ）进行。
３、其他程序。为了有效的应对信息系统变更的风险。除了采用控制测试和实质性测试外．内部审计师还可以鼓励企业执行以下五步来减少信息系统变更的风险：①在高层建立一个激发组织需要变更管理文化的氛围。它由ＩＴ管理者的声明所支持，企业所能接受的非授权变更的数目是０；②对非计划的损耗数量给予持续的监控．这一数量是变更控制中非授权变更及失败的有效的指示器；③减少风险变更的数量；④运用变更成功率为ＩＴ变更绩效的指示器；⑤以非计划工作作为Ｉ．Ｉ＇管理流程及控制有效性的指示器。
（二）信息系统变更审计的风险应对内部审计师应针对评估的信息系统变更的重大风险确定
经批准的要求都及时实施：在变更失败时应确保能启动回退应对的措施．包括控制测试和实质性测试。
计划，使信息系统回到未采取变更前的状态。２、变更的有效性。应该采用结构化的程序，评估所有变
１、控制测试。获取审计证据时，控制测试需要更多时点的足量的证据。表ｌ给出了信息系统变更审计中几个重要的控
更请求对操作系统和其功能上产生的影响。评估应对变更进制类的控制测试，包括：变更的审批及实施、紧急变更、变更的
行分类和排序。如果一年中对现有的程序进行了修改。是否存
万方数据
安全与回退。
●¨皿
ｊｊ专国外焱ｊｊ２、０。。０ｊ８。慧毒急氅¨ｉ。。‰‰州艄‰础。㈣。蛾嬲袖雌弧。孙删嘛。一。ｍｊ‰隅琳。㈣油。㈣㈨㈣。惭，删懈馘蝴辑。蛳０
关键词：信息系统变更审计ＣＯＢＩＴＣＭＭ
，◆一，概念界定
在适当的程序以确保恰当地更新系统、运维及相关的文档。
信息系统变更是指对系统所作的各种改变．包括增补、移
３、访问控制的正确性。应该保证变更管理．软件控制和分
除和其他修改。因为信息系统发生故障而实施的变更是被动发都可以用一个综合配置管理系统来合为一体。用于监控应
让定价是把双刃剑。企业必须审慎行使。
好这５年的过渡期限。
新＜企业所得税法》规定，符合条件的居民企业之间的股
息、红利等权益性投资收益为免税收入。而按以前规定，如果被投资方适用的税率低于投资方。则投资方分回的股息、红利
参考资料：［１］赵霄汉、计红、伏虎．对内外资企业所得税合并实行的
需要补税。此条规定，为居民企业通过转让定价安排，将利润转移到适用低税率的关联企业．比如可以享受低税率的高新
明ｌｌ◆ （ＢｅｎｃｈｍａｒｋｉｎｇＰｒｏｃｅｓｓ）。万方数据
软件能力成熟度模型（ＣＭＭ）具有５个不同的“成熟度”
级别。分别是初始级、可重复级、可定义级、可管理级和优化
极．每个级别都代表着一套企业在实施流程改进时所必须的
最佳实践标准。针对这些级次．组织可以得到以下信息：
（１）企业现在的状况。即今天的企业在什么位置；
思考．财会研究－２００７年０６期；［２］杨峰、岳光富、陈均平．外资企业所得税纳税的特征．经
技术企业．减轻企业集团的税负提供了空间。新《企业所得税法＞也加大了对转让定价的税收管理力
济视角（中国纳税人）．２００７年０４期；［３］张劲松．对内、外资企业所得税“两税合一”的看法．职
度。新《企业所得税法》新设了“特别纳税调整”一章，以法律的业技术．２００７年０４期；，
成某种程度上的业务风险．内部审计师必须全面地理解单位信息系统变更的内部控制．这是一个连续和动态的收集、更新
务的影响上升到业务策略的层次．要求内部审计人员不仅仅是与分析信息的过程．贯穿于整个审计过程的始终。与一般的内
关注信息系统变更所产生的这种操作层面的影响．而是把注意力放到信息系统变更所产生的与提升企业价值相关的战略层
§壤躺。。琢，～≯。＋瓤。堪；二一蠕一嬲；，，钆囊眠毋瞄一，。髓瓣。。。船。挚娥巍寸—辩糖砧‰疆一。妻轰．塞蓬鬻
论信息系统变更审计
首都经济贸易大学会计学院袁小勇杨丽娟
摘要：随着社会信息化的程度不断提高，信息系统已深入到社会的各个领域。“并不是每一次变更都能带来进步，但每一次的进步都是由变更带来的。”为了使信息系统变更推动企业的进步，需要对信息系统变更进行审计。本文以信息系统变更审计的总体目标和具体目标为出发点，结合风险导向审计的理论和方法对信息系统变更审计的流程进行了梳理，包括风险评估、风险应对及对信息系统变更进行评价。
④考虑变更需求是否被适当提出、批准并追踪。 ⑤确定程序变更是否在一个隔离的、受控制的环境下进行。 ⑥选择应用／系统变更的样本。确定其在用于生产之前是否得到充分
测试并获得批准。确定批准程序中是否包括下面的内容：操作、安全性、基础设施管理和ＩＴ管理。
⑦只有经过授权，批准的变更才可以进入生产环境的控制程序设计。
化对转让定价的管理提供了法律依据。
（责任编辑：刘璐）
（上接第１２页）通过对软件能力成熟度模型的理解．结合信息系统变更
⑧追踪变更样本至变更请求记录和支持文件。
⑨确认及时为系统软件打补丁的管理程序。
紧急变更流程
①确定是否存在控制、监控紧急变更的程序。
②确定是否所有紧急变更均存在审计轨迹。并对它进行了独立检查。
③确定存在要求紧急变更都应有适当文件支持的程序。
紧急变更请求要记录．且紧急变更
④确定已为紧急变更制定了回退程序。
务审计是以财务报表为审查对象．而信息系统变更审计却是以信息系统的变更这一活动为审查对象。
生的可能性。”截止到目前ＣＯＢＩＴ已更新至４．１版本，它指出：
（一）信息系统变更审计的风险评估
“信息系统变更审计的总体目标是信息系统变更应满足响应业
１、了解信息系统变更的内部控制。所有的ｒＩ＇风险都会造
务需求．响应业务需求的ｎＩ资源应符合业务策略，同时减少返工。”通过比较，可以看出，ＣＯＢＩＴ的高级目标从关注对具体业
部控制一样．信息系统变更的内部控制也分为控制环境、风险评估、控制活动、信息和沟通、监控等五个相互关联的要素。
面的影响上。要提出改进经营管理的建议。（二）信息系统变更审计的具体目标信息系统变更审计的具体目标是针对信息系统变更的具
２、识别并评估信息系统变更的重大风险。通常，内部审计师可以通过一些明显的特征帮助管理层去识别组织的风险源并评估风险管理、治理及控制流程的有效性。信息系统变更的
表１信息系统变更审计的控制测试
控制类
控制活动
控制测试
变更审批流程
①确定存在变更管理制度。并且使该制度反映现行流程。
②考虑所有的生产环境变更都有变更管理程序，包括程序变更，维护
和基础设施变更．
③评估用于控制和监督变更请求的流程。
将程序变更．系统变更以及维护的请求标准化（包括系统软件变更），记录、授权并确保符合正式变更管理程序。
，◆二、信息系统变更审计的目标（一）信息系统变更审计的总体目标内部审计的发展主要经历了从内控测试的传统遵循性审
更。紧急情况下变更的实施应该通过ＩＴ管理部门记录并正式授权．需要在控制和保持业务运转之间找到较好的平衡。
’◆三、信息系统变更审计的流程
计。到测试业务及业绩的业务审计．再到咨询服务。不同的历史
ｈ业战¨
３”Ｊ征义缎－洫＾‘ＥＬ终口ＩＨ州褂剿尘流４¨Ｊ拍到｛绌一ｊ止ｒ·‘亡｝芋Ⅱ：‰拧年ｆｌ删ｌ托
◆●ｔ△ 企ｑｋ战略
５“优缎．托照“＆，的’火践”ｒｌ动化
图１软件能力成熟度模型
（下转第１５页）
§渊孵？籀戳戳鼗麓爨壤㈣一㈨爨燃嚣—一赣麓辫麟秣嬲啦㈣搿嚣一矗蠹舅家论坛；额《企业所得税法》的实施，大量税收优惠政策被取消，以
存在保证只有经授权的人员才能将发人员和操作人员的批准。Leabharlann 程序移植到生产系统的控制措施。
②证实负责程序转移到生产系统的人员与开发人员实现了适当的职
责分离。取得并测试支持这一认定的有关证据。
。
变更时的安全和回退
实施不会危及储存在系统上的数据及保证程序安全的系统软件。
确定是否对系统软件变更潜在影响进行了风险评估。在系统软件应用于生产环境之前的开发环境中。检查用于系统软件变更测试的程序，并确定有回退程序。
体流程而言的．通过审计来确保变更的完整性、有效性、访问五个风险指标分别是：①未授权的变更（大于零是不可接受
控制的正确性及紧急变更的合规性。
、的）；②未计划的损耗；③低的变更成功率；④紧急变更数目繁
１、变更的完整性。确保所有变更、系统维护和供应商的维多：⑤项目实施的延迟。
护需求都已标准化．符合规范的管理和程序，且考虑了成本效益原则；所有对系统修改的要求都已考虑要付诸行动；所有已
６、充分利用过渡期进行筹划
及外资企业相对税负的增加。将进一步刺激企业通过转让定
对现有的外资企业给予过渡期的照顾．在过渡期内外资
价规避税负。而新《企业所得税法＞的新变化既为企业进行转仍享受中国政府承诺的优惠政策．这样就最大限度地考虑了
让定价创造了机遇．同时也强化了对转让定价的税收管理。转外资的利益而减少了对其的影响．因此外资企业一定要利用
部审计师借助计算机辅助审计技术等手段．收集审计证据．以
４、紧急变更的合规性。检查已有的紧急变更程序，当出现
判断企业处于运行或维护阶段的计算机信息系统的变更是否紧急情况时．正常的技术、操作和实施前的管理评估已不能正
有效．是否与企业业务战略相一致的活动过程。
常进行．应该确立紧急情况变更的参数和程序来控制这些变
４、信息系统变更的审计评价。内部审计师在完成本单位的信息系统变更审计工作后．必须对信息系统变更审计结果迅速记录与归纳。向企业的最高领导报告。这是信息系统变更审计的重要环节。信息系统变更审计与财务审计不同，审计报告没有固定的格式。本文根据软件能力成熟度模型的思路。将信息系统变更的评价分为五个级别。内部审计师据此可以判断企业所处的位置．与行业最佳实践进行比较。实施标杆管理