中級審計師考試《審計理論與實務》復習：信息系統(tǒng)審計

中級審計師考試《審計理論與實務》
第一部分
第十一章 計算機審計
第三節(jié) 信息系統(tǒng)審計

　　一、信息系統(tǒng)審計概述

　?。ㄒ唬┬畔⑾到y(tǒng)審計的概念

　　信息系統(tǒng)是由人、計算機軟件、硬件和數(shù)據(jù)以及相關的配套措施所組成的，其目標是正確地收集、加工、存儲、傳遞提供決策所需要的信息。

　?。ǘ┬畔⑾到y(tǒng)審計的目標

　　信息系統(tǒng)審計的總目標是通過評價信息系統(tǒng)本身的安全性、可靠性，從而合理保證信息系統(tǒng)所產(chǎn)生數(shù)據(jù)的準確性、完整性，從而保證企業(yè)資產(chǎn)安全性、完整性以及效率效果等目標。

　　二、信息系統(tǒng)審計的內容

　　信息系統(tǒng)審計的內容主要由信息系統(tǒng)內部控制審計、信息系統(tǒng)組成部分審計以及信息系統(tǒng)生命周期審計所組成。

　?。ㄒ唬┬畔⑾到y(tǒng)內部控制審計

　　1.一般控制審計

　?。?）組織控制審計。（2）信息系統(tǒng)的開發(fā)維護控制審計。（3）安全控制審計。（4）軟硬件控制審計。

　　2.應用控制審計

　　（1）輸入控制審計。（2）處理控制審計。（3）輸出控制審計

　?。ǘ┬畔⑾到y(tǒng)組成部分的審計

　　1.應用程序的控制措施是否健全有效。

　　2.應用程序的合法性。

　　3.應用程序的正確性。

　　4.應用程序的效率性。

　　（三）信息系統(tǒng)生命周期的審計

　　1.信息系統(tǒng)的可行性。

　　2.信息系統(tǒng)開發(fā)、設計、編碼、測試等階段是否按照事先設計的文檔去執(zhí)行，開發(fā)過程的每一個階段是否完成階段目標，才轉入下一個階段。

　　3.信息系統(tǒng)測試的全面性、適當性。

　　4.完成的信息系統(tǒng)功能上是否達到預定的需求，時間進度是否控制在計劃之內，預算有沒有超過標準等。

　　三、信息系統(tǒng)審計的技術方法

　　信息系統(tǒng)審計過程與一般的審計過程一樣，分為審計準備、審計實施和審計終結階段。其中審計準備和審計終結階段的技術方法與一般審計并無很大區(qū)別，所以下面我們主要介紹審計實施階段的審計技術方法。

　　審計實施階段，審計人員的工作又可以分為三個層次：了解、描述和測試，

　?。ㄒ唬┬畔⑾到y(tǒng)了解的方法，如詢問、檢查、觀察等。

　?。ǘ┬畔⑾到y(tǒng)描述的方法包括文字描述法、表格描述法和圖形描述法。

　?。ㄈ┬畔⑾到y(tǒng)測試的方法

　　前面所介紹的了解和描述方法在一般審計中同樣有，但是信息系統(tǒng)測試的方法卻是信息系統(tǒng)審計獨有的。

　　1.測試數(shù)據(jù)法：審計人員設計一套虛擬的業(yè)務數(shù)據(jù)，將其輸入到計算機中，觀察比較輸出是否與預期相符。

　　2.平行模擬法：審計人員開發(fā)一個與被審計單位信息系統(tǒng)或程序模塊功能完全相同的模擬系統(tǒng)，將被審計單位的真實數(shù)據(jù)放入模擬系統(tǒng)中運行，觀察其輸出是否與被審計單位信息系統(tǒng)相一致。

　　3.嵌入審計模塊法：在被審計單位的信息系統(tǒng)中加人為審計而編寫的程序代碼。嵌入的模塊成為信息系統(tǒng)的組成部分，并可以在特定的時間間隔或是條件觸發(fā)時為審計人員提供有關數(shù)據(jù)和報告。

　　4.虛擬實體法：對測試數(shù)據(jù)法的改良，一般做法是在信息系統(tǒng)中建立虛擬的實體（如虛擬的供應商、客戶、員工等），然后將虛擬實體的有關數(shù)據(jù)與真實的運行數(shù)據(jù)一起輸入信息系統(tǒng)進行處理，最后將虛擬實體的輸出結果與預期進行比較，確定信息系統(tǒng)的控制功能是否發(fā)生作用。

　　5.受控處理法：審計人員在對被審計單位的真實業(yè)務數(shù)據(jù)在處理之前先進行核實，核實之后在被審計單位的信息系統(tǒng)上監(jiān)督處理或親自處理，并將處理結果與預期結果進行比較分析，以判斷被審計單位的系統(tǒng)是否符合預定的要求。

　　6.受控再處理法：是將已經(jīng)由被審計單位處理過的真實數(shù)據(jù)，在審計人員的監(jiān)督下，或由審計人員親自在相同的信息系統(tǒng)或以前保存的程序副本上再處理一次，將二次處理的結果與以前處理的結果相比較，判斷當前的信息系統(tǒng)程序是否符合既定要求。

　　7.程序代碼檢查法

　　程序代碼檢查法是通過檢查源程序代碼的內部運行邏輯來發(fā)現(xiàn)所存在的問題，并對程序是否符合規(guī)章制度規(guī)定、能否完成預定功能及其質量進行評判的方法。