下载文档原格式
信息系统审计
电子数据处理系统发展分为三阶段:数据的单项处理阶段(1953-1965)、数据的综合处理阶段(1965-1970)、数据的系统处理阶段(1970年以后),对传统审计产生了巨大的影响,主要表现在(1)对审计线索的影响:传统的审计线索缺失;EDP下:数据处理、存储电子化,不可见,难辨真伪。(2)对审计方法和技术的影响:技术方法复杂化;EDP下:利用计算机——审计技术变得复杂化(3)对审计人员的影响:知识构成要求发生变化;EDP下:会计、审计、计算机等知识和技能(4)对审计准则的影响:信息化下审计准则与标准的缺失;EDP下:在原有审计准则的基础上,建立一系列新的准则(5)对内部控制的影响:内部控制方式发生改变:传统方式下:强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。EDP下:数据处理根据既定的指令程序自动进行,信息的处理和存储高度集中于计算机,控制依赖于计算机信息系统,控制方式发生改变。
2、信息系统审计的定义:指根据公认的标准和指导规范,对信息系统从计划、研发、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现,并提出一系列改进建议的管理活动。
3、信息系统审计的特点(1)审计范围的广泛性(2)审计线索的隐蔽性、易逝性(3)审计取证的动态性(4)审计技术的复杂性:首先,由于不同被审单位的信息系统所配备的计算机设备各式各样,各个机器的功能各异,所配备的系统软件也各不相同。审计人员在审计过程中,必然要和计算机的硬件和系统软件打交道,各种机型功能不一,配备的系统软件各异,必然增加了审计技术的复杂性,其次,由于不同被审单位的业务规模和性质不同,所采用的数据处理及存储方式也不同,不同的数据处理,存储方式,审计所采用的方法、技术也不同。此外,不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同,不同开发方式以及用不同的程序设计语言开发的应用软件,其审计方法与技术也不一样。
4、信息系统审计的目标:(1)保护资产的完整性:信息系统的资产包括硬件、软件、设备、人员、数据文件、系统档案等;(2)保证数据的准确性:数据准确性是指数据能满足规定的条件,防止粗无信息的输入和输出,一级非授权状态下的修改信息所造成的无效操作和错误后果;(3)提高系统的有效性:系统的有效性表明系统能否获得预期的目标;(4)提高系统的效率性:系统效率是指系统达到预定目标所消耗的资源,一个效率高的信息系统能够以尽量少的资源达到需要的目标;(5)保证信息系统的合规性合法性:信息系统及其运用必须遵守有关法律、法规和规章制度。
5、信息系统审计的主要内容:内部控制系统审计内部控制系统包括一般控制系统(包含组织控制、系统开发控制、系统安全控制、硬件和系统软件控制等方面)应用控制系统(输入、处理、输出);系统开发审计;应用程序审计(决定了数据处理的合规性、正确性目的:一是测试应用控制系统的符合性;二是通过检查程序运行和逻辑的正确性达到实质性测试目的。测试应用控制的符合性是指对嵌入应用程序中的控制措施进行测试,看它们是否按设计要求在运行和起作用);数据文件审计(目的:一是数据文件进行实质性测试;而是通过数据文件的审计,测试一般控制或应用控制的复合型,但数据文件审计主要是为了实质性测试)
6、基本方法:绕过信息系统审计:基于黑箱(Black box)原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。优点:审计技术简单、较少干扰被审系统。缺点:审计结果不太可靠、要求I/O联系紧密
通过信息系统审计:基于黑箱(Black box)原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。优点:审计技术简单、较少干扰被审系统。缺点:审计结果不太可靠、要求I/O联系紧密。
7、步骤:准备阶段(明确审计任务、组成信息系统小组、了解被审系统的基本情况、制定
信息系统审计方案、发出审计通知书);实施阶段(对被审计系统的内部控制制度进行健全性调查和符合性测试、对张单证或数据文件的实质性审查);终结阶段(整理归纳审计资料、撰写审计报告(审计报告主要是对信息系统审计结果的综合归纳,由审计小组撰写)、发出审计结论和决定、审计资料的归档和档案)
8、国际信息系统审计原则:审计标准(是整个信息系统准则体系的总纲,是制定审计指南和作业程序的基础和依据);审计指南(为审计标准的应用提供了指引,信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求,在应用过程中应灵活运用专业判断并纠正任何偏离准则的行为);作业程序(提供了信息系统审计师在审计过程中可能遇到的审计程序的示例)
9、审计师应具备的素质:(1)应具备的理论知识:传统审计理论、信息系统管理理论、计算机科学、行为科学理论(2)应具有的实践技能:参加过不同类别的工作培训,尤其是在组织采用和实施新技术时,此外也参加过组织内部计划的制定等;参与专业的机构或厂商组织的研讨会,动态掌握信息技术的新发展对审计时间的影响;具有理解信息处理活动的各种技术,尤其是影响组织财务活动的技术,能够与来自各领域的管理者、用户、技术专家进行交流;理解并熟悉操作环境,评估内部控制的有效性;理解现有与未来系统的技术复杂性,以及它们对各级操作与决策的影响;能使用技术的方法去识别技术的完整性;要参与评估与使用信息技术相关的有效性、效率、风险等;能够提供审计集成服务并对审计员工提供指导,与财务审计师一起对公司财务状况作出声明;具备系统开发方法论、安全控制设计、实施后评估等;掌握网络相关的安全事件、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。
10、IT治理德勤定义:IT治理是是一个含义广泛的概念,包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致推动业务发展,促使收益最大化,合理利用IT 资源,IT相关风险的适当管理。
11、共同点:
(1)IT治理必须与企业战略目标一致,IT对于企业非常关键,也是战略规划的组成,影响战略竞争。
(2)IT治理保护利益相关者的权益,使风险透明化,知道和控制IT投资、机遇、利益、风险。
(3)IT治理和其他治理主题一样,是管理执行人员和利益相关者的责任(以董事会为代表)(4)IT治理包括管理层、组织结构、过程,以确保IT维持和拓展组织战略目标
(5)应该合理利用企业的信息资源,有效地进程与协调。
(6)确保IT战略及时按照目标交付,有合适的功能和期望的收益,是一个一致性和价值传递的基本构建模块,有明确的期望值和衡量手段。
(7)引导IT战略平衡系统的投资,支持企业,变革企业,或者创建一个信息基础构架,保证业务增长,并在一个新的领域竞争。
(8)对于核心IT资源做出合理的决策,进入新的市场,驱动竞争策略,创造总的收入增长,改善客户满意度,维系客户关系。
12、IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动。IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。IT治理规定了整个企业IT运行的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。
13、公司治理和IT治理:公司治理关注利益相关者权益和管理,驱动和调整IT治理。IT 能够提供关键的输入,形成战略计划的一个重要组成部分,是公司治理的重要功能。
