一、信息系统审计概述
(一)信息系统审计的概念
信息系统是由人、计算机软件、硬件和数据以及相关的配套措施所组成的,其目标是正确地收集、加工、存储、传递提供决策所需要的信息。
(二)信息系统审计的目标
信息系统审计的总目标是通过评价信息系统本身的安全性、可靠性,从而合理保证信息系统所产生数据的准确性、完整性,从而保证企业资产安全性、完整性以及效率效果等目标。
二、信息系统审计的内容
信息系统审计的内容主要由信息系统内部控制审计、信息系统组成部分审计以及信息系统生命周期审计所组成。
(一)信息系统内部控制审计
1.一般控制审计
(1)组织控制审计。(2)信息系统的开发维护控制审计。(3)安全控制审计。(4)软硬件控制审计。
2.应用控制审计
(1)输入控制审计。(2)处理控制审计。(3)输出控制审计
(二)信息系统组成部分的审计
1.应用程序的控制措施是否健全有效。
2.应用程序的合法性。
3.应用程序的正确性。
4.应用程序的效率性。
(三)信息系统生命周期的审计
1.信息系统的可行性。
2.信息系统开发、设计、编码、测试等阶段是否按照事先设计的文档去执行,开发过程的每一个阶段是否完成阶段目标,才转入下一个阶段。
3.信息系统测试的全面性、适当性。
4.完成的信息系统功能上是否达到预定的需求,时间进度是否控制在计划之内,预算有没有超过标准等。
三、信息系统审计的技术方法
信息系统审计过程与一般的审计过程一样,分为审计准备、审计实施和审计终结阶段。其中审计准备和审计终结阶段的技术方法与一般审计并无很大区别,所以下面我们主要介绍审计实施阶段的审计技术方法。
审计实施阶段,审计人员的工作又可以分为三个层次:了解、描述和测试,
(一)信息系统了解的方法,如询问、检查、观察等。
(二)信息系统描述的方法包括文字描述法、表格描述法和图形描述法。
(三)信息系统测试的方法
前面所介绍的了解和描述方法在一般审计中同样有,但是信息系统测试的方法却是信息系统审计独有的。
1.测试数据法:审计人员设计一套虚拟的业务数据,将其输入到计算机中,观察比较输出是否与预期相符。
2.平行模拟法:审计人员开发一个与被审计单位信息系统或程序模块功能完全相同的模拟系统,将被审计单位的真实数据放入模拟系统中运行,观察其输出是否与被审计单位信息系统相一致。
3.嵌入审计模块法:在被审计单位的信息系统中加人为审计而编写的程序代码。嵌入的模块成为信息系统的组成部分,并可以在特定的时间间隔或是条件触发时为审计人员提供有关数据和报告。
4.虚拟实体法:对测试数据法的改良,一般做法是在信息系统中建立虚拟的实体(如虚拟的供应商、客户、员工等),然后将虚拟实体的有关数据与真实的运行数据一起输入信息系统进行处理,最后将虚拟实体的输出结果与预期进行比较,确定信息系统的控制功能是否发生作用。
5.受控处理法:审计人员在对被审计单位的真实业务数据在处理之前先进行核实,核实之后在被审计单位的信息系统上监督处理或亲自处理,并将处理结果与预期结果进行比较分析,以判断被审计单位的系统是否符合预定的要求。
6.受控再处理法:是将已经由被审计单位处理过的真实数据,在审计人员的监督下,或由审计人员亲自在相同的信息系统或以前保存的程序副本上再处理一次,将二次处理的结果与以前处理的结果相比较,判断当前的信息系统程序是否符合既定要求。
7.程序代码检查法
程序代码检查法是通过检查源程序代码的内部运行逻辑来发现所存在的问题,并对程序是否符合规章制度规定、能否完成预定功能及其质量进行评判的方法。