美章网 资料文库 信息系统审计工作的思考范文

信息系统审计工作的思考范文

本站小编为你精心准备了信息系统审计工作的思考参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

信息系统审计工作的思考

一、信息系统审计的基本要点

(一)依据原则当前信息系统审计工作还处于初始阶段,各级审计部门还在不断地探索之中,且未形成一套成熟的专业规范,在此情况下,审计人员主要是依据信息系统的管理制度、条例和法规、ISO9000、信息系统的实际运行情况以及参考ISACA的《信息系统审计准则》来开展信息系统审计业务的,这就需要审计人员在信息系统审计过程中不断地总结经验,探索地方信息系统审计工作指南,为上级审计机关制定信息系统审计准则提供更为科学的依据。信息系统审计总体应坚持三项基本原则。一是坚持“自上而下,上下联动”的原则。越是层次高的审计部门,懂得计算机信息系统审计的人才就越多,审计技术水平就超高,而且信息系统一般都是自上而下进行部署运用的,这样通过上级审计部门先行审计,不断地探索信息系统的审计方式方法,进而可以有效降低重复审计,最大化利用审计成果,有效提高信息系统审计效率。二是坚持“循序渐进、逐步推开”的原则。在审计部门和审计人员条件均具备的情况下,先易后难,先选择合适的审计项目试点,再逐步推开。三是坚持单一型和复合型审计融合的原则。尽量安排信息系统单一型或者复合型的审计项目在年初审计计划上,让审计人员在实践中不断提高信息系统审计水平;在审计的实施阶段过程中,要使传统的财务审计项目与信息系统审计的有机地结合起来,使信息系统审计与整个审计工作衔接,确保信息系统审计的结果能够运用到整个审计工作中。

(二)职能方式信息系统审计的基本职能主要包括“保证”和“咨询”两大基本职能。“保证职能”就是看系统可靠性保证程度高低如何。通过对信息系统运行过程、维护状况和商业连续性能力进行测试和评价,以确定信息系统的安全、有效、稳定是否得到合理地保证。“咨询职能”就是指审计人员通过对部门单位的信息系统审计,发现信息系统运行过程中存在的问题和不足,通过为信息系统的使用者以及高层管理者提供问题的解决方案,为部门单位改善经营和增加经济效益的。信息系统审计组织方式主要有两种。一是独立型审计方式。就是年初审计部门单独对信息系统进行立项审计,将信息系统本身的有效性、安全性和可靠性作为审计最终目标。二是结合型审计方式。就是将信息系统审计作为日常项目审计的内容之一,将信息系统审计与财务审计和内控审计三者有机地结合起来,检查信息系统本身及其内部控制的有效性和可靠性,最终通过审计数据得出审计结论予以验证,进而为整个审计项目总体目标搞好服务。

(三)重点环节1.内部控制环节。重点检查信息控制系统资源的存取、使用、分配、记录、确认、修改、保护等七个方面的内容,以全面测试计算机系统内控制度的有效性。2.数据记录环节。审计人员通过选择一些正常财务活动业务记录的数据资料,对信息系统进行详细检查,确认财务会计记录和系统交易数据是否符合审计目标,信息记录的数据是否真实可靠。一方面要重点检查会计事项信息的时效性、完整性、真实性和信息披露的合规性;另一方面要重点检查会计计量以及信息披露的真实性,财务报表信息的存在性、所有权、完整性。3.数据传输环节。经常遇到在计算机信息系统的使用中,有部分数据需在财务信息系统与业务信息系统之间,以及两个财务信息系统之间进行相互转移,这就需要审计人员在审计时要重点关注在转移过程中数据可能会发生变化。因此,审计人员在检查这一传输环节时,一定检查传输的手续是否齐全、程序是否合规,以保证输出的数据是精确和完整、经过批准的,保证传输的数据资料与原始记录相符,保证输出的数据是在约定时间内准确地发送给指定的接收者,确保输入的数据具备真实性、准确性和完整性。

(四)技术方法信息系统审计的方法包括手工方法和计算机辅助审计两种方法。手工方法主要包括观察法、面谈法、系统文档审阅法、表格描述法、图形描述法、计算机系统文字描述法等方式,主要用于对信息系统的描述和理解。计算机辅助审计方法主要包括平行模拟法、数据测试法、综合测试法、受控处理法、在线连续审计技术和受控再处理法等,主要用于信息系统的控制方面测试。

(五)流程步骤审前调查和审计实施两个阶段,是信息系统审计的主要流程。依靠所获取的证据并进行评价,从而判断信息系统可否确保资产的安全、有效,以及可否给出真实、完整的系统信息,是一个动态循环流程,在审计调查阶段,首先要初步测试被审单位的计算机系统,在后续的审计步骤中被审单位的计算机系统是否需要检查,通过所掌握的情况制定阶段审计的实施计划;在审计的实施阶段,对照审计计划,进行认真的审查和测试计算机系统的控制。信息系统审计的步骤如下。1.审前准备阶段。主要是调查被审计单位会计信息化的基本状况,了解被审单位计算机业务处理流程及数据结构,信息系统结构、数据库类型、查看被审单位信息系统开发情况、计算机设备软硬件情况、数据完整程度以及业务量大小,被审单位实施计算机审计是否能降成本增效率、审计的风险大小。在此基础上,进一步明确信息系统审计范围、分析审计潜在风险、确立审计工作重点。同时,审计人员要认真调查被审单位的经济性质、管理体制、机构设置、人员编制情况,财政财务隶属关系或者国有资产监督管理关系情况,采集被审单位有关会计数据,召开审前调查工作座谈会,同被审单位的领导、财务人员以及职工代表等有关人员进行面谈,查看其会计信息系统的基本资料,搞好内部控制制度测试。在对被审计单位作出上述详细的审前调查之后,审计人员必须制定审计计划,优化配置审计资源,确定在数据定义、采集、转换以及分析中需要的软件及硬件设备。2.审计实施阶段。实施阶段是信息系统审计的主要阶段,审计人员首先要对被审单位做好符合性测试,以便对内部控制进行评价。依靠所获的符合性测试的结果,审查被审单位的业务数据。审计人员可依靠准备阶段制定的审计计划所确定的审计重点、范围、方法和步骤,进行认真的测试,仔细的审计取证,并对审计所采集的证据进行运用和分析,以便得到审计结论,做好审计评价,发表审计意见。3.审计报告阶段。审计人员在对会计信息系统进行审计测试后,要及时分类归纳核实材料,并依据审计收集的证据,编制审计工作底稿,认真撰写审计报告,对被审计单位财务收支的真实性、合法性、效益性和会计报表的公允性、一致性、合理性提出意见,得出审计结论;评价被审计单位的会计信息化系统的处理功能、内部控制情况,提出进一步完善的意见。4.审后复审阶段。如果被审计单位进行会计信息化系统改造升级后,审计人员还需要进行后续审计,认真详细审查计算机内部数据处理的过程。如果被审计单位对审计结论和决定有异议的,可以提出复审的要求,审计人员可组织复审并作出复审决定和结论。

二、做好信息系统审计工作的对策措施

(一)加强审计人员进行信息系统审计意义的认识当前,一些地方审计机关审计人员对计算机信息系统审计工作认识不足,不能适应形势发展的要求。认为计算机辅助审计专业性太强,高不可攀,这些问题必须立即改正。审计部门应加强目标考核,将计算机审计作为一项重要指标,落实到每个审计人员身上,每个审计项目中,以增强审计人员运用计算机信息系统审计的紧迫感和责任感。长远来看,审计人员如果不掌握计算机技术,就必将会失去审计资格。进一步明确重大的审计项目,防止假账真审。审计部门必须加强其被审计单位应用的信息系统的审计,保证信息系统产生的数据真实完整,信息系统的可靠、安全和有效,检查被审计单位信息系统内部控制功能。

(二)加强信息系统审计队伍的培养计算机信息系统审计是一项技术性、业务性很强的工作,这就要求审计人员既要具备较强的审计业务技能,又要具备较高的计算机水平。对此,一是要强化对现有审计人员计算机辅助审计业务知识的培训,持续不断的进行后续培训教育,不断增强审计人员计算机信息技术审计的实际操作能力。二是审计部门在选配审计人员时必须将计算机技能作为一个必要条件,在实际工作中要注重安排信息系统审计内容,加大信息系统审计的考核力度,让审计人员在实战中不断加强其信息审计业务技能的培养;三是要开展信息系统审计实务和理论研,大力推进审计人员在信息系统审计实践中不断提炼总结,加强信息系统审计方法体系研究。

(三)加快信息系统审计准则制订审计准则是规范化的管理框架,有利于提高审计效率和质量,降低审计风险。因此,要使审计人员规范地做好信息系统审计工作,这就需要审计署尽早出台信息系统审计准则或者审计操作指南,以克服当前审计部门信息系统审计工作目标不明,内容不清的现状,以利于审计人员统一规范操作。

(四)上下联动重点攻关搞好实践在当前基层审计机关难以全面推进信息系统审计的情况下,一方面,可以采取省市县三级或者市县二级联手,选择重点领域、重点项目进行联合审计,这样既可以让基层审计人员在实践中增长信息系统审计技能;又可以有步骤、有重点地对被审计单位信息系统进行全面审计,扩大审计成果,节约审计成本,减少重复劳动。另一方面,各级基层审计机关要坚持独立自主的开展信息系统审计工作,不等不靠,抽调计算机专业人员和通过计算机中级考试的业务骨干组成的课题组,选择重点项目,进行集中攻关,坚持边学习边实践边总结的工作方法,不断提高实战能力。

作者:许乃祥单位:苏州市嘉泰联合会计师事务所