關鍵詞:信息系統審計
壹、信息系統審計的定義
隨著全球信息化和審計理論的發展,信息系統審計逐漸引起人們的關註。但到目前為止,國際上對信息系統審計還沒有壹個固定統壹的定義。ISACA將其定義為“信息系統審計是壹個獲取和評估證據的過程,以判斷壹個計算機系統是否能夠確保資產的安全性、數據的完整性和組織資源的有效利用並有效實現組織目標”,ISACA的專家Ron Weber將其定義為“收集和評估證據,以判斷壹個計算機系統(信息系統)是否能夠有效保護資產、維護數據完整性和實現組織目標,同時是最經濟的。在1985中,日本通產省信息處理開發協會信息系統審計委員會將其定義為“所謂信息系統審計,是指由獨立於被審計對象的信息系統審計人員,對以計算機為核心的信息系統進行全面的檢查和評價,向相關人員提出問題和建議,追求系統的有效使用和故障排除,使系統更加健全”。11年後,委員會將信息系統審計重新定義為“信息系統審計人員獨立於被審計對象,以第三方的客觀立場對以計算機為中心的信息系統進行全面檢查和評價,並向信息系統被審計對象的領導層提出問題和建議的壹系列活動”。因此,信息系統審計的內容不僅僅是電子數據的處理,還包括財務信息,還包括對壹個企業整個信息系統的可靠性和安全性的了解和評估。它是對信息系統的規劃、開發、實施、運行和維護進行審查和評估的過程,以確定信息系統是否安全、可靠和有效,信息系統獲取的數據是否可靠和準確,數據是否能夠有效存儲。
實施信息系統審計(isA)的人員稱為信息系統審計員,在中國稱為IS審計員。ISACA是國際上可以授權信息系統審核員的權威組織。通過考試可以獲得世界各國廣泛認可的註冊信息系統審計師(CISA)證書。
二、信息系統審計的內容和特點
ISACA規定了信息系統審計的主要內容:1。信息系統審計程序。根據信息系統審計標準、準則和做法提供信息系統審計服務,以幫助各組織確保其信息技術和操作系統得到保護和控制;2.IT治理(信息技術治理)。確保組織擁有適當的結構、政策、工作職責、運營管理機制和監督實踐,以滿足公司治理中的信息技術要求;3.系統和基礎設施生命周期管理。系統開發、采購、測試、實施(交付)、維護和(配置)使用,以及確保組織目標實現的基本框架;4.IT服務的交付和支持。IT服務管理實踐可以確保提供滿足組織目標所需的服務級別和類別;5.信息資產的保護。通過適當的安全系統(如安全政策、標準和控制措施)確保信息資產的機密性、完整性和有效性;6.災難恢復和業務連續性計劃。壹旦連續業務(意外)中斷(或破壞),災難恢復計劃可確保將(災難)對業務的影響降至最低,並及時恢復(中斷的)IT服務。
從以上信息系統審計的定義和內容,大致總結出信息系統審計的幾個特點:壹是獨立性,為了保證信息系統審計的公正性和有效性,信息系統審計人員必須站在第三方的客觀立場上,對以計算機為中心的信息系統進行全面的檢查和評估;二是全面。信息系統審計不僅包括審計信息系統運行的物理設施,還包括運行環境和內部控制。三、管理特點信息系統審計通過評價信息系統的安全性、可靠性和有效性,促進企業有效利用組織的資源和有效實現組織目標。
第三,信息系統審計與傳統審計的區別和聯系
信息系統審計是傳統審計的壹部分,以傳統審計理論為基礎。兩者關系密切,但也有壹些區別。它們之間的聯系是信息系統審計繼承了傳統審計的基本理論和方法,就像傳統審計壹樣。站在立場上,要求信息系統審計人員站在獨立的立場上,選擇特定的審計對象,通過詢問、檢查、分析、模擬、測試等手段獲取客觀的審計證據,判斷與既定標準的符合程度。在程序上,信息系統審計壹般要經過審計計劃、合規性測試和實質性測試、審計報告等主要階段才能實現審計目標;兩者的區別也很明顯,主要表現在:壹是信息系統的審計對象不同於傳統的財務領域,而是信息系統,包括基礎設施、軟硬件管理、信息安全、網絡管理和通信;其次,信息系統審計提出了更多的審計方法和程序,這是傳統審計所不具備的。比如審計壹個軟件,需要采用相當高科技的測試,審計網絡安全,需要采用滲透測試(模擬黑客進行各種攻擊,驗證其安全性);再次,信息系統審計不僅僅是事後審計,還關註系統的運行狀態。在某些情況下,它直接參與項目的開發或變更過程,以確保充分控制的順利實施。最後,信息系統審計的咨詢價值更高,信息化的風險很大。信息系統審計人員可以憑借自己的專業知識和實踐經驗,委托或主動為被審計單位的管理人員或其業務人員服務,幫助企業建立和完善內部控制制度,進行系統診斷,根據企業的需求確定信息化的目標和內容,選擇合適的信息系統。
四、盡快建立符合我國實際情況的信息系統審計制度。
我國在信息系統審計方面還沒有形成完整的體系。但近年來,在借鑒國外審計信息系統經驗的基礎上,審計署利用計算機信息系統開展審計工作取得了壹些成績:(1)全面審計電子數據,包括會計電子數據和經營管理電子數據。具體采用的方法是:1。準確的復查。利用計算機可以準確核對各類數據,不僅可以全面核對所轄合並機構的會計報表和匯總報表,從會計日記賬到總賬逐級核對,還可以核對業務管理數據和會計報表數據;2.編制計算機程序進行輔助計算。可以編制壹個計算機程序,計算出比例項,然後與實際記錄進行比較,找出產生差異的記錄;3.篩選和查詢壹些異常的會計記錄和交易,為審計人員提供審計線索,主要是根據某壹個特征,從不同角度分析可疑線索。(二)對被審計單位信息系統的可靠性和內部控制做出初步評價。主要是:1。主要考察信息系統的應用範圍、網絡安全和數據備份等。,確保信息系統財務數據的安全性和完整性;2.對信息系統內部控制進行初步調查和評價,重點關註權限管理、參數表設置和修改控制是否有效,信息系統的用戶是否與系統的開發人員分離,被審計單位是否對交易中錄入的原始數據實施相應的控制,信息系統的數據流向是否與業務流程壹致;3.通過系統日誌等文件分析壹些重大事件的原因,分析對整體信息系統的影響。然而,我國全面開展信息系統審計仍處於探索階段。為了給被審計單位提出更有價值的審計建議,更好地服務於被審計單位,確保信息系統能夠有效地實現企業(單位)的目標,我國應盡快建立符合我國實際情況的信息系統審計體系。