掃碼下載APP
及時(shí)接收最新考試資訊及
備考信息
安卓版本:8.7.20 蘋(píng)果版本:8.7.20
開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
信息系統(tǒng)審計(jì)是一種新的審計(jì)類(lèi)型。國(guó)外對(duì)信息系統(tǒng)審計(jì)的研究很多,國(guó)內(nèi)的研究與應(yīng)用在近年來(lái)也呈上升趨勢(shì)。本文通過(guò)對(duì)信息系統(tǒng)審計(jì)的內(nèi)涵、信息系統(tǒng)審計(jì)方法、信息系統(tǒng)審計(jì)過(guò)程和信息系統(tǒng)審計(jì)建議的闡述使讀者對(duì)信息系統(tǒng)審計(jì)有個(gè)基本的了解。
一、信息系統(tǒng)審計(jì)的內(nèi)涵
信息系統(tǒng)審計(jì)的內(nèi)涵與財(cái)務(wù)報(bào)表審計(jì)有較大的不同。以下通過(guò)對(duì)信息系統(tǒng)審計(jì)的定義、目標(biāo)和類(lèi)型來(lái)闡述信息系統(tǒng)審計(jì)的內(nèi)涵。
1.信息系統(tǒng)審計(jì)的定義。
由于信息系統(tǒng)審計(jì)的發(fā)展很快,因此對(duì)其始終沒(méi)有一個(gè)通用的定義。下面分別介紹三種比較有代表性的定義。(1)日本通產(chǎn)省情報(bào)處理開(kāi)發(fā)協(xié)會(huì)信息系統(tǒng)審計(jì)委員會(huì)1996年對(duì)信息系統(tǒng)審計(jì)定義為“為了信息系統(tǒng)的安全、可靠與有效,由獨(dú)立于審計(jì)對(duì)象的信息系統(tǒng)審計(jì)師,以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià),向信息系統(tǒng)審計(jì)對(duì)象的最高領(lǐng)導(dǎo)層,提出問(wèn)題與建議的一系列活動(dòng)”。該定義中強(qiáng)調(diào)獨(dú)立性的問(wèn)題。(2)信息系統(tǒng)審計(jì)領(lǐng)域的著名專(zhuān)家威伯教授的定義(1999)是:“信息系統(tǒng)審計(jì)是收集并評(píng)估證據(jù),以判斷一個(gè)計(jì)算機(jī)系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo),同時(shí)最經(jīng)濟(jì)的使用資源”。(3)信息系統(tǒng)審計(jì)影響最大的國(guó)際組織——國(guó)際信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(ISACA)的定義是:信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù),以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率的利用組織的資源并有效果的實(shí)現(xiàn)組織目標(biāo)的過(guò)程。該定義比威伯的更詳細(xì)一些。
通過(guò)對(duì)相關(guān)信息系統(tǒng)審計(jì)定義的分析,本文認(rèn)為,所謂的信息系統(tǒng)審計(jì),是指通過(guò)對(duì)被審單位的信息系統(tǒng)組成部分的審查來(lái)獲取和評(píng)價(jià)審計(jì)證據(jù),由此對(duì)信息系統(tǒng)的安全性、可靠性、數(shù)據(jù)的完整性以及信息系統(tǒng)能否經(jīng)濟(jì)的使用組織資源并有效地實(shí)現(xiàn)組織目標(biāo)發(fā)表審計(jì)意見(jiàn)。我們必須清楚的識(shí)別信息系統(tǒng)審計(jì)、IT審計(jì)、審計(jì)工程之間的區(qū)別。一般而言,1T審計(jì)(計(jì)算機(jī)審計(jì))包括信息系統(tǒng)審計(jì)和審計(jì)工程。信息系統(tǒng)審計(jì)的研究對(duì)象是企業(yè)的信息系統(tǒng)或信息資產(chǎn),采用的研究方法是傳統(tǒng)的審計(jì)方法和計(jì)算機(jī)技術(shù)等;而審計(jì)工程的研究對(duì)象是企業(yè)的電子財(cái)務(wù)和業(yè)務(wù)數(shù)據(jù),研究方法采用計(jì)算機(jī)技術(shù)、系統(tǒng)工程方法和數(shù)學(xué)理論等。
2.信息系統(tǒng)審計(jì)的目標(biāo)審計(jì)本質(zhì)上是根據(jù)審計(jì)目標(biāo)對(duì)收集的證據(jù)進(jìn)行分析評(píng)價(jià)并得出結(jié)論的過(guò)程。一切的審計(jì)活動(dòng)都是為了實(shí)現(xiàn)一定的審計(jì)目標(biāo),并圍繞審計(jì)目標(biāo)來(lái)進(jìn)行??梢哉f(shuō),審計(jì)目標(biāo)是審計(jì)工作的“綱”。它貫穿審計(jì)活動(dòng)的各個(gè)方面和審計(jì)過(guò)程的始終。(1)真實(shí)性。信息系統(tǒng)中的數(shù)據(jù)要真實(shí)的反映企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)。要通過(guò)數(shù)字簽名等一系列技術(shù)手段和保留不可更改記錄、定期審計(jì)等管理手段確保數(shù)據(jù)的真實(shí)性。(2)完整性。完整性信息不被偶然或蓄意的刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性,它要求保持信息的原樣,即信息的正確生成、存儲(chǔ)和傳輸。(3)合法性。系統(tǒng)在購(gòu)買(mǎi)、使用、開(kāi)發(fā)、更新、維護(hù)、轉(zhuǎn)移等過(guò)程中必須符合相關(guān)法律、法規(guī)、準(zhǔn)則、行規(guī)以及企業(yè)內(nèi)部的規(guī)定等。(4)安全性。安全性是指信息系統(tǒng)在遭受各種因素破壞的情況下,仍然能夠正常運(yùn)行的概率。威脅信息系統(tǒng)安全的因素有外部和內(nèi)部?jī)煞N。外部主要是黑客的入侵、病毒的攻擊、線路的偵聽(tīng)等;內(nèi)部主要是被授權(quán)的用戶(hù)訪問(wèn)和修改、刪除等操作。安全性是真實(shí)性的基礎(chǔ)之一。(5)可靠性??煽啃允侵感畔⑾到y(tǒng)在遭受非人因素破壞或人為差錯(cuò)影響的情況下仍然能夠正常運(yùn)行的概率。威脅信息系統(tǒng)可靠性的因素包括自然災(zāi)害對(duì)硬件和壞境的破壞以及誤操作對(duì)軟件和硬件的破壞等??煽啃砸彩钦鎸?shí)性的基礎(chǔ)之一閉。(6)效果和效率。效果是指應(yīng)用信息系統(tǒng)以后,企業(yè)在生產(chǎn)控制、管理質(zhì)量、提供產(chǎn)品和服務(wù)等方面產(chǎn)生的變化。效率是指信息系統(tǒng)的應(yīng)用在企業(yè)勞動(dòng)生產(chǎn)率的提高方面所起的作用。
3.信息系統(tǒng)審計(jì)的類(lèi)型根據(jù)信息系統(tǒng)審計(jì)的定義和審計(jì)目標(biāo),我們可以將信息系統(tǒng)審計(jì)分為三個(gè)基本類(lèi)型:(l)信息系統(tǒng)的真實(shí)性審計(jì)是對(duì)傳統(tǒng)審計(jì)的補(bǔ)充,防止“錯(cuò)”賬真審。(2)信息系統(tǒng)的安全性審計(jì)是對(duì)企業(yè)信息資產(chǎn)安全性的審核,防止由信息系統(tǒng)造成的經(jīng)營(yíng)風(fēng)險(xiǎn)。(3)信息系統(tǒng)的績(jī)效審計(jì)是對(duì)信息系統(tǒng)投入產(chǎn)出比的審核。
二、信息系統(tǒng)審計(jì)的特點(diǎn)
信息系統(tǒng)審計(jì)具有其獨(dú)特的特點(diǎn),具體特點(diǎn)如下:
1.信息系統(tǒng)審計(jì)是一個(gè)過(guò)程。它是一個(gè)獲取并評(píng)價(jià)證據(jù),以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程,它貫穿于信息系統(tǒng)生命周期的全過(guò)程。
2.信息系統(tǒng)審計(jì)的對(duì)象具有綜合性和復(fù)雜性。信息系統(tǒng)審計(jì)的對(duì)象是以計(jì)算機(jī)為核心的信息系統(tǒng),它包含了除財(cái)務(wù)信息以外的其他與生產(chǎn)經(jīng)營(yíng)流程有關(guān)的所有信息系統(tǒng),其實(shí)質(zhì)是審計(jì)對(duì)象及內(nèi)容的拓展。從縱向(生命周期)看,覆蓋了信息系統(tǒng)從規(guī)劃、分析、設(shè)計(jì)到維護(hù)的全生命周期的各種業(yè)務(wù);從橫向(信息系統(tǒng)構(gòu)成)看,它包含對(duì)軟硬件審計(jì)、應(yīng)用程序?qū)徲?jì)、安全審計(jì)等。從這個(gè)意義看,信息系統(tǒng)審計(jì)拓展了傳統(tǒng)審計(jì)的內(nèi)涵,將審計(jì)對(duì)象從財(cái)務(wù)范疇擴(kuò)展到了同經(jīng)營(yíng)活動(dòng)有關(guān)的一切信息系統(tǒng)。
3.信息系統(tǒng)審計(jì)拓展了傳統(tǒng)審計(jì)的目標(biāo)。傳統(tǒng)審計(jì)目標(biāo)僅僅包括了“對(duì)被審計(jì)單位會(huì)計(jì)報(bào)表的合法性、公允性及會(huì)計(jì)處理方法的一貫性發(fā)表審計(jì)意見(jiàn)”,《中國(guó)獨(dú)立審計(jì)具體準(zhǔn)則第20號(hào)——計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》第四條也明確規(guī)定“注冊(cè)會(huì)計(jì)師在計(jì)算機(jī)信息系統(tǒng)環(huán)境下執(zhí)行會(huì)計(jì)報(bào)表審計(jì)業(yè)務(wù),應(yīng)當(dāng)考慮其對(duì)審計(jì)的影響,但不應(yīng)改變審計(jì)目的和范圍”,由此可見(jiàn)EDP審計(jì)、電算化審計(jì)和計(jì)算機(jī)審計(jì)都沒(méi)有改變審計(jì)的目標(biāo),但信息系統(tǒng)審計(jì)除了上述目標(biāo)外,還包括信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的可靠性、有效性和效率性。
4.信息系統(tǒng)審計(jì)是事后、事前、事中審計(jì)的結(jié)合體。注冊(cè)會(huì)計(jì)師所執(zhí)行的財(cái)務(wù)報(bào)表審計(jì)往往是年度審計(jì),屬于事后審計(jì)。而信息系統(tǒng)審計(jì)是事后、事前、事中審計(jì)兼而有之。如信息系統(tǒng)在開(kāi)發(fā)過(guò)程中,由審計(jì)人員介入所進(jìn)行的審計(jì)屬于事中審計(jì),此項(xiàng)審計(jì)相對(duì)于系統(tǒng)運(yùn)行后而對(duì)其所進(jìn)行的審計(jì)而言又可以看作是事前審計(jì);信息系統(tǒng)運(yùn)行后,對(duì)其在一定期間的運(yùn)作情況所進(jìn)行的審計(jì)則為事后審計(jì)。
5.信息系統(tǒng)審計(jì)的內(nèi)容更加寬泛。信息系統(tǒng)審計(jì)包含了一切與信息系統(tǒng)有關(guān)的審計(jì),除了整個(gè)生命周期過(guò)程及相關(guān)業(yè)務(wù)的審計(jì)外,隨著信息技術(shù)的發(fā)展,還必將包括聯(lián)網(wǎng)審計(jì)、電子商務(wù)審計(jì)、網(wǎng)站審計(jì)、ASP審計(jì)和XBRL審計(jì)等。
6.信息系統(tǒng)審計(jì)是一種基于風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的理論和方法。很多組織都能意識(shí)到技術(shù)帶來(lái)的潛在好處,然而成功的組織還能夠理解和管理好與采用新技術(shù)相關(guān)的很多風(fēng)險(xiǎn)。信息系統(tǒng)有著與生俱來(lái)的風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)用不同方式?jīng)_擊著信息系統(tǒng),審計(jì)者面臨著審計(jì)什么、何時(shí)審計(jì)以及如何幫助信息系統(tǒng)的管理者管理和控制風(fēng)險(xiǎn)從而實(shí)現(xiàn)企業(yè)的戰(zhàn)略目標(biāo)的問(wèn)題。
三、信息系統(tǒng)審計(jì)的過(guò)程
審計(jì)過(guò)程是審計(jì)工作從開(kāi)始到結(jié)束的整個(gè)過(guò)程。信息系統(tǒng)審計(jì)一般可以分為計(jì)劃階段、實(shí)施階段和報(bào)告階段。由于信息系統(tǒng)審計(jì)的對(duì)象和具體業(yè)務(wù)不同,每個(gè)階段所包括的具體內(nèi)容與財(cái)務(wù)審計(jì)也不同。
1.計(jì)劃階段計(jì)劃階段是信息系統(tǒng)審計(jì)過(guò)程的起點(diǎn)。科學(xué)合理的審計(jì)計(jì)劃有利于幫助審計(jì)人員有的放矢的去調(diào)查、取證,形成正確的審計(jì)結(jié)論,實(shí)現(xiàn)審計(jì)目標(biāo)。計(jì)劃階段的主要任務(wù)包括:調(diào)查被審單位的基本情況和內(nèi)部控制;初步評(píng)價(jià)審計(jì)風(fēng)險(xiǎn);確定重要性水平;制定審計(jì)計(jì)劃。(1)調(diào)查被審單位的基本情況,初步評(píng)價(jià)固有風(fēng)險(xiǎn)為了做好審計(jì)工作,審計(jì)人員首先應(yīng)了解被審單位的基本情況。需要了解的基本情況包括:第一,被審單位的業(yè)務(wù)性質(zhì)和生產(chǎn)經(jīng)營(yíng)情況。第二,被審單位的組織結(jié)構(gòu)和管理水平。第三,被審單位信息系統(tǒng)一般情況,即信息系統(tǒng)的結(jié)構(gòu),所使用的軟硬件和網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境。第四,被審單位應(yīng)用系統(tǒng)及其所處理的交易和事項(xiàng)的類(lèi)型。(2)調(diào)查被審單位信息系統(tǒng)內(nèi)部控制,評(píng)價(jià)控制風(fēng)險(xiǎn)在計(jì)劃階段,審計(jì)人員應(yīng)了解被審單位的內(nèi)部控制特別是信息系統(tǒng)內(nèi)部控制,對(duì)內(nèi)部控制的健全和有效性進(jìn)行評(píng)估,初步確定控制風(fēng)險(xiǎn)的大小。(3)評(píng)估審計(jì)風(fēng)險(xiǎn),確定重要性水平。為了合理使用審計(jì)資源,有效的實(shí)現(xiàn)審計(jì)目標(biāo),在制定審計(jì)計(jì)劃時(shí)審計(jì)人員應(yīng)評(píng)估審計(jì)風(fēng)險(xiǎn),確定重要性水平。重要性水平是指在審計(jì)事項(xiàng)中,能夠容忍出現(xiàn)差錯(cuò)的程度和大小。(4)編制審計(jì)計(jì)劃。在對(duì)被審單位的風(fēng)險(xiǎn)進(jìn)行初步評(píng)估,確定重要性水平后,審計(jì)人員應(yīng)當(dāng)編制審計(jì)計(jì)劃。審計(jì)計(jì)劃的內(nèi)容應(yīng)當(dāng)包括:被審單位的基本情況、審計(jì)的范圍和重點(diǎn)、審計(jì)的步驟和時(shí)間安排、審計(jì)人員分工、運(yùn)用的信息系統(tǒng)審計(jì)方法、審計(jì)中應(yīng)當(dāng)注意的事項(xiàng)和其他內(nèi)容等。
2.實(shí)施階段實(shí)施階段是根據(jù)計(jì)劃階段確定的范圍、重點(diǎn)、步驟和方法,進(jìn)行有針對(duì)性的取評(píng)價(jià),并形成審計(jì)結(jié)論的過(guò)程。主要由符合性測(cè)試和實(shí)質(zhì)性測(cè)試兩個(gè)階段構(gòu)成。(1)實(shí)施符合性測(cè)試。符合性測(cè)試的目的是檢查內(nèi)部控制措施是否健全有效。計(jì)人員需要對(duì)被審單位的控制系統(tǒng)進(jìn)行識(shí)別、測(cè)試和評(píng)價(jià)。測(cè)試的性質(zhì)、范圍和程度。為了達(dá)到這個(gè)目的,審從而確定后續(xù)的實(shí)質(zhì)性控制系統(tǒng)識(shí)別。審計(jì)人員通過(guò)與相關(guān)人員面談、調(diào)查問(wèn)卷以及查閱信息系統(tǒng)和控制系統(tǒng)說(shuō)明文件等方,識(shí)別被審單位的控制系統(tǒng)以及控制環(huán)境,并將調(diào)查情況記錄在審計(jì)工作底稿中。(2)實(shí)施實(shí)質(zhì)性測(cè)試。實(shí)質(zhì)性測(cè)試是對(duì)信息系統(tǒng)控制進(jìn)行的詳細(xì)測(cè)試,以獲得這些控制在審計(jì)期間是否真實(shí)存在并合法有效的審計(jì)證據(jù)。實(shí)質(zhì)性測(cè)試主要通過(guò)測(cè)試必要的數(shù)據(jù),對(duì)信息系統(tǒng)達(dá)到特定的控制目標(biāo)的程度進(jìn)行評(píng)價(jià)。
3.報(bào)告階段審計(jì)報(bào)告階段,審計(jì)人員應(yīng)運(yùn)用專(zhuān)業(yè)判斷,綜合所收集到的相關(guān)證據(jù),已經(jīng)過(guò)核實(shí)的審計(jì)證據(jù)為依據(jù),形成審計(jì)意見(jiàn),出具審計(jì)報(bào)告。審計(jì)報(bào)告中除了對(duì)被審單位信息系統(tǒng)的安全性、可靠性、有效性和效率性發(fā)表審計(jì)意見(jiàn)之外,還針對(duì)信息系統(tǒng)內(nèi)部控制和管理等方面的問(wèn)題提出相關(guān)的建議。在正式發(fā)布審計(jì)報(bào)告之前,審計(jì)人員還應(yīng)考慮其后事項(xiàng)的影響。在現(xiàn)場(chǎng)審計(jì)工作結(jié)束日到發(fā)布審計(jì)報(bào)告日之間一般都會(huì)有一段時(shí)間,審計(jì)人員應(yīng)考慮在此期間被審單位及其信息系統(tǒng)是否發(fā)生導(dǎo)致重大變化的事項(xiàng)。審計(jì)報(bào)告階段的具體過(guò)程如下,審計(jì)組在現(xiàn)場(chǎng)審計(jì)工作完成之后,應(yīng)編制審計(jì)報(bào)告初稿征求被審單位意見(jiàn)。被審單位反饋意見(jiàn)后,審計(jì)組應(yīng)將審計(jì)報(bào)告初稿和被審單位的反饋意見(jiàn)一并報(bào)送審計(jì)機(jī)關(guān),審計(jì)機(jī)關(guān)對(duì)審計(jì)組的審計(jì)報(bào)告進(jìn)行審議并對(duì)被審單位的反饋意見(jiàn)進(jìn)行研究后,提出審計(jì)機(jī)關(guān)的審計(jì)報(bào)告。
安卓版本:8.7.20 蘋(píng)果版本:8.7.20
開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
官方公眾號(hào)
微信掃一掃
官方視頻號(hào)
微信掃一掃
官方抖音號(hào)
抖音掃一掃
初級(jí)會(huì)計(jì)職稱(chēng) 報(bào)名 考試 查分 備考 題庫(kù)
中級(jí)會(huì)計(jì)職稱(chēng) 報(bào)名 考試 查分 備考 題庫(kù)
高級(jí)會(huì)計(jì)師 報(bào)名 考試 查分 題庫(kù) 評(píng)審
注冊(cè)會(huì)計(jì)師 報(bào)名 考試 查分 備考 題庫(kù)
Copyright © 2000 - m.jnjuyue.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有
京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)