信息系统审计

信息系统审计的方法
　　信息系统审计过程与一般审计过程一样，分为准备阶段、实施阶段和报告阶段。其中，准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大，而实施阶段所涉及的技术方法则具有信息技术的特色。在实施阶段，针对被审计的信息系统，审计人员所开展的工作可以分为三个层次，即了解、描述和测试。
　　计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比，相应增加了计算机技术的内容。对信息系统审计的方法既包括一般方法即手工方法，也包括应用计算机审计的方法。信息系统审计的一般方法主要用于对信息系统的了解和描述，包括：面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试，包括：测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用。但不能把计算机辅助审计技术与工具的使用过程与信息系统审计等同起来。在信息系统审计的过程中，仍然需要运用大量的手工审计技术。信息系统审计应关注的重点环节

1.数据环节

　　在审计中，必须使用一种方法能够向前、向后追踪单个交易和资产记录，以便使审计人员选择一些交易对其进行详细检查，确认交易记录是否符合一般的审计目标。如对会计事项信息的检查，要检查它的完整性、时效性、合规性和信息披露等方面，检查内容包括与本会计年度有关的交易是否全部记录在册；所有记录的交易是否都是合理发生的并与本会计年度有关；记录的交易是否数据准确，计算无误：记录的交易是否符合基本的和辅助的法律规定，符合特定权威机构的要求；对记录的交易是否进行正确的分类，并符合信息对外披露的要求等。对财务报表信息的检查，要检查完整性、存在性、会计计量、所有权以及信息披露等方面，检查内容包括是否记录了所有的资产和负债：所有记录的资产和负债是否都是存在的；对资产和负债的计量是否精确，计算方法是否符合按合理性、一致的标准制定的会计政策的要求：确认资产是被审主体所有的、负债是被审主体应该承担的，并且资产和负债是否由合法的经济活动产生的；资产、负债、资本和存货是否都得到正确的披露。同时对信息系统提供的业务信息也要进行分析，例如每月的工资总数、某阶段的付款清单和订货信息等，要弄清基本的交易情况，并一直追踪到信息源。对上述信息的分析可以采用计算机辅助审计技术，按照特定的标准对数据进行汇总、分类、排序、比较和选择，并进行各种运算。

2.内部控制环节

　　内部控制一般而言是指组织经营管理者为了维护财产物资的安全、完整，保证会计信息的真实、可靠，保证经营管理活动的经济性、效率性和效果性以及各项法律和规范的遵守，而对经营管理活动进行调整、检查和制约所形成的内部管理机制，是组织为实现管理目标而形成的自律系统。计算机系统的内部控制主要分为应用控制、一般控制和管理控制等三个方面，在审计过程中要对被审计单位内控制度进行评价，包括电算化系统的内控制度。为了对系统的内控制度进行评价，审计人员必须验证内部控制系统是否存在，并能提供令人满意的证据，证明它正在有效地发挥作用。在计算机系统中，应检查以下方面来证明内控制度的有效性：(1)控制系统资源的存取。包括物理资源，例如终端、服务器、连接盒、相关文档等；还包括逻辑资源，如软件、系统文件和表、数据等。(2)控制系统资源的使用。用户应该只能对授权给他们的那些资源进行操作。(3)建立按用户职能分配资源的制度。把重要的任务功能按用户或用户组进行分离，以减少无意的误操作、滥用系统资源和对数据的非授权修改。(4)记录系统的使用情况。按时间顺序建立一个使用记录，记录内容应包括例外事例和与安全有关的事件是由谁触发的，财务信息的创建、修改和删除是由谁完成的。(5)确认处理过程的准确性。用产生财务控制信息，确认处理过程的准确完成。(6)管理人员对财务信息系统的修改。应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底(独立地)测试的，确认最后以一种有控制的方式投入使用。(7)保护财务信息系统免遭计算机病毒的袭击。必须建立一套控制措施，检测病毒，防止病毒感染财务信息系统。

3.数据传输转移环节

　　在信息系统中，有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移，在此过程中可能会出现一些问题，尤其是在需要手工重新录入时。因此在审计时要重点关注以下方面：在转移过程中数据可能会发生变化；新的科目代码表与老的可能不一样，需要在两个财务信息系统之间建立复杂的对应关系：中心数据库可能被一些地理上分散的服务器取代；当前财务信息系统中的数据质量不佳；当用一个总的信息系统取代一个预定财务信息系统时，需要补充许多新的数据。在检查这一环节时，一定要保证输出的消息是经过批准、完整和精确的，保证输出的消息在约定时间内准确地发送给指定的接收者，保证流人的消息是完整、准确和真实可靠的。信息系统审计案例分析
　　2006年，在对某酒店开展的审计中，对酒店信息系统的安全性、可靠性进行了测试。测试结果发现信息系统在数据传输和运算上存在错误，通过数据验证，证明错误产生的原因是由信息系统本身缺陷造成的。上述审计结果得到了被审计单位的认可，促使被审计单位更换了信息系统，提高了计算机管理水平。
　　这次审计之所以能取得一定的效果，主要是注意从数据和内控制度入手，利用计算机辅助审计技术和手工审计技术相结合开展信息系统审计。(1)在数据环节上，信息系统审计和数据审计对系统数据的利用角度是不一样的。数据审计侧重于数据之间的关联，是审计数据的结果；而信息系统审计侧重于数据的真实完整性，是通过测试数据的真实完整性来审计信息系统的安全性和可靠性。在审计中，通过详细了解信息系统的数据库结构，对比数据库中表文件的记录数量大小和字段完整程度，确定需要查询的数据库表文件，把主表的数据完整性作为重点的测试目标。(2)在内部控制和数据传输环节，通过绘制组织机构图、系统流程图和现场走访等方式，全面了解酒店的业务流程和工作特点。通过摸清酒店的业务流程，跟踪基础数据流在业务流程中的走向，锁定数据的大量运算点，是确定审计方向的关键。信息系统中所有业务活动的发生都集中体现在基础数据流上，基础数据流是一个信息系统的重要构成要素，数据的大量运算点是测试系统运行安全性和可靠性的关键点。在此基础上，确定了年审日报汇总、会议团体客房转账和业务系统与财务核算系统手工传输数据三个系统模块，作为对信息系统进行安全性、可靠性测试的重点。这三个模块是信息系统内数据大量运算和系统间传输数据的关键点，由于基础数据在运算、自动传输和手工传输过程中存在发生错误和被调整修改的可能性，因此利用计算机辅助审计技术进行验证。
　　在验证过程中，通过分步骤编写查询语句和程序，调出数据生成中间表进行比对，发现疑点，根据疑点特征继续比对，直到发现错误点。在SQL语句不能保证完成大批量查询和比对任务的情况下，采用计算能力更强、运算速度更快的JAVA来编写查询程序，起到了事半功倍的效果。信息系统审计相关资格证书
　　CISA认证，国际注册信息系统审计师，一般在每年12月份全球英文考试，6月份在中国中文考试。图书《信息系统审计》信息
　　

书 名: 信息系统审计
　　作　者：张金城
　　出版社： 清华大学出版社
　　出版时间： 2009
　　ISBN: 9787302195504
　　开本： 16
　　定价: 23.00 元内容简介
　　《信息系统审计》系统地介绍了信息系统审计的产生与发展、特点、准则、IT治理、一般控制及审计、应用控制及审计、系统开发与获取审计、系统运营与维护审计、应用程序审计、数据文件审计等内容；覆盖了信息系统审计课程教学的基本内容，同时结合了当前信息系统审计新方法、新技术的发展，具有很强的实用性与可操作性；编排由浅入深，条理清晰，通俗易懂。
　　《信息系统审计》是江苏省高等学校精品立项教材，可作为高等学校信息管理与信息系统专业、审计学专业等专业“信息系统审计”课程的教材，亦可供从事信息系统审计的审计人员参考，同时还可作为专业培训教材。编辑推荐
　　《信息系统审计》共分8章，第1章论述了信息系统审计的基本知识，使读者对信息系统审计有一个概括性的了解；第2章论述了IT治理的基本知识，使读者对IT治理的含义、IT治理与信息系统审计的关系有一定的了解；第3、第4章论述了信息系统一般控制和应用控制及其审计方法；第5～第8章系统地论述了系统开发与获取、系统运营与维护、应用程序、数据文件的控制与审计方法和技术。《信息系统审计》可作为高等院校审计、信息管理与信息系统、会计等专业的教材；对广大审计人员进行信息系统审计，对信息系统管理人员探讨加强信息系统的控制，对计算机工作人员研究计算机在实际业务中的应用和控制，对审计、会计、管理、计算机等专业师生的教学与科研，都具有很高的参考价值。
　　系统论述了信息系统审计的基本理论和方法；介绍了信息系统审计最新的方法与技术；内容具有很强的实用性与可操作性；编排由浅入深，条理清晰，通俗易懂；江苏省高校精品立项教材。
　　《信息系统审计》可作为高等学校信息管理与信息系统、审计学等专业“信
　　息系统审计”课程的教材，亦可供从事信息系统审计的审计人员参
　　考，同时还可作为专业培训教材。目录

第1章信息系统审计概论

　　1.1信息系统审计的产生与发展
　　1.1.1电子数据处理系统对审计的影响
　　1.1.2信息系统审计的产生与发展
　　1.2信息系统审计的含义与特点
　　1.2.1信息系统审计的定义
　　1.2.2信息系统审计的特点
　　1.3信息系统审计目标
　　1.4信息系统审计的主要内容
　　1.4.1内部控制系统审计
　　1.4.2系统开发审计
　　1.4.3应用程序审计
　　1.4.4数据文件审计
　　1.5信息系统审计的基本方法
　　1.5.1绕过信息系统审计
　　1.5.2通过信息系统审计
　　1.6信息系统审计的步骤
　　1.6.1准备阶段
　　1.6.2实施阶段
　　1.6.3终结阶段
　　1.7信息系统审计准则
　　1.7.1信息系统审计准则的概念和作用
　　1.7.2国际信息系统审计准则
　　1.7.3我国信息系统审计规范体系
　　1.8我国信息系统审计人才培养策略
　　1.8.1信息时代呼唤信息系统审计师
　　1.8.2信息系统审计师应具备的素质
　　1.8.3信息系统审计师的培养
　　1.9金审工程简介
　　1.9.1金审工程的背景
　　1.9.2金审工程总体规划
　　1.9.3金审工程建设情况
　　1.9.4金审工程二期建设展望
　　思考题

第2章IT治理

　　2.1IT治理的定义
　　2.2IT治理的关键问题
　　2.2.1IT治理缺失的症状
　　2.2.2IT治理的关键问题
　　2.3IT治理与公司治理
　　2.3.1公司治理和公司管理
　　2.3.2IT治理和IT管理
　　2.3.3公司治理和IT治理
　　2.4IT治理标准
　　2.5建立IT治理的机制和方法
　　2.5.1IT治理机制
　　2.5.2IT治理方法
　　2.6IT治理的目标和范围
　　2.6.1IT治理目标
　　2.6.2IT治理范围
　　2.7IT治理成熟度模型
　　思考题

第3章信息系统一般控制及审计

　　3.1信息系统一般控制概述
　　3.2管理控制及其审计
　　3.2.1管理控制的基本内容
　　3.2.2管理控制审计
　　3.2.3管理控制测试
　　3.3系统基础设施控制及其审计
　　3.3.1信息系统环境控制
　　3.3.2信息系统硬件控制与审计
　　3.3.3系统软件控制
　　3.4系统访问控制及其审计
　　3.4.1逻辑访问控制
　　3.4.2物理访问控制
　　3.4.3对访问控制的审计
　　3.5系统网络架构控制及其审计
　　3.5.1局域网控制与审计
　　3.5.2客户机／服务器架构风险与控制
　　3.5.3互联网风险与控制
　　3.5.4网络安全技术
　　3.5.5网络架构控制的审计
　　3.6灾难恢复控制及其审计
　　3.6.1灾难与业务中断
　　3.6.2灾难恢复与业务持续计划
　　3，6.3灾难恢复与业务持续计划的审计
　　思考题

第4章信息系统应用控制及其审计

　　4.1输入控制
　　4.1.1数据采集控制
　　4.1.2数据输入控制
　　4.1.3会计信息系统输入控制
　　4.2处理控制
　　4.2.1审核处理输出
　　4.2.2进行数据有效性检验
　　4.2.3会计信息系统中几种特殊的处理控制技术
　　4.3输出控制
　　4.4应用控制的审计
　　4.4.1业务处理规程和输入控制的审查
　　4.4.2输出控制的审查
　　4.5内部控制审计实例
　　4.5.1被审单位基本情况
　　4.5.2被审信息系统——采购和付款系统说明
　　4.5.3内部控制制度
　　4.5.4收集审计证据
　　4.5.5审计证据的分析与报告
　　思考题

第5章信息系统开发与获取审计

　　5.1信息系统生命周期与审计
　　5.1.1信息系统审计师在信息系统开发中的职责
　　5.1.2信息系统开发与实施评价
　　5.2基于生命周期的信息系统开发方法
　　5.3信息系统的其他开发方法
　　5.3.1原型法
　　5.3.2面向对象的方法
　　5.3.3计算机辅助开发方法
　　5.3.4基于组件的开发方法
　　5.3.5基于Web应用开发方法
　　5.3.6快速应用开发方法
　　5.3.7敏捷开发
　　5.4信息系统开发团队、角色和责任
　　5.5项目管理
　　5.6软件配置管理
　　5.7与软件开发相关的风险
　　5.8软件开发过程的完善
　　5.8.1ISO9126
　　5.8.2软件能力成熟度模型
　　5.8.3软件能力成熟度模型集成
　　5.9信息系统开发过程审计
　　5.9.1信息系统审计师对系统开发过程进行风险评估
　　5.9.2制订审计计划
　　5.9.3系统开发过程审计
　　思考题

第6章信息系统运营与维护审计

　　6.1信息系统的运营与维护工作存在的问题
　　6.2软件维护
　　6.2.1软件维护的种类
　　6.2.2软件维护的实施
　　6.2.3软件维护申请报告
　　6.2.4维护档案记录
　　6.2.5维护阶段的审计
　　6.3信息系统变更管理
　　6.4系统变更流程和迁移程序的审计
　　6.5IT服务管理
　　6.5.1IT服务管理产生的背景
　　6.5.2IT服务管理的发展历史
　　6.5.3IT服务管理的定义
　　6.5.4ITIL
　　6.5.5IT服务提供流程
　　6.5.6IT服务支持管理
　　6.5.7IT服务管理案例——如何建立一个基于ITIL的服务台
　　6.6信息系统生命周期的审计程序
　　思考题

第7章信息系统应用程序审计

　　7.1应用程序审计的内容
　　7.1.1审查程序控制是否健全有效
　　7.1.2审查程序的合法性
　　7.1.3审查程序编码的正确性
　　7.1.4审查程序的有效性
　　7.2应用程序审计方法
　　7.2.1程序编码检查法
　　7.2.2程序运行记录检查法
　　7.2.3程序运行结果检查法
　　7.2.4检测数据法
　　7.2.5整体检测法
　　7.2.6程序编码比较法
　　7.2.7受控处理法
　　7.2.8受控再处理法
　　7.2.9平行模拟法
　　7.2.10嵌入审计程序法
　　7.2.11程序追踪法
　　思考题

第8章信息系统数据文件审计

　　8.1数据文件的审计内容
　　8.2信息系统数据文件的审计流程
　　8.2.1审前准备阶段的工作实现
　　8.2.2审计实施阶段的工作实现
　　8.2.3审计终结阶段的工作实现
　　8.3计算机辅助数据文件审计技术方法与工具
　　8.3.1计算机辅助数据文件审计方法
　　8.3.2计算机辅助审计技术
　　思考题
　　参考文献
　　……