信息系统审计概述.docx

上传人:夺命阿水 文档编号:119911 上传时间:2022-12-20 格式:DOCX 页数:16 大小:26.32KB
返回 下载 相关 举报
信息系统审计概述.docx_第1页
第1页 / 共16页
信息系统审计概述.docx_第2页
第2页 / 共16页
信息系统审计概述.docx_第3页
第3页 / 共16页
信息系统审计概述.docx_第4页
第4页 / 共16页
信息系统审计概述.docx_第5页
第5页 / 共16页
点击查看更多>>
资源描述

《信息系统审计概述.docx》由会员分享,可在线阅读,更多相关《信息系统审计概述.docx(16页珍藏版)》请在课桌文档上搜索。

1、信息系统审计概述一、信息系统审计总体要求(-)信息系统审计的概念信息系统审计是指内部审计机构和内部审计人员对组织信息系统建设的合法合规性、内部控制的有效性、信息系统的安全性、业务流程的合理有效性、信息系统运行的经济性所进行的检查与评价活动。信息系统审计包括审计计划、审计依据、审计方法、审计技术、审计人员配置、审计实施流程、审计报告以及审计质量控制等内容。内部审计机构应建立信息系统审计的相应组织管理体系,对信息系统审计的流程和质量进行管控,并依照规章制度开展信息系统审计。(二)信息系统审计的一般原则组织应建立信息系统审计组织管理体系,并根据有关制度、标准和要求开展信息系统审计活动。其一般原则包括

2、:1 .信息系统审计需结合所在组织的战略目标、业务目标、治理要求和管理授权开展审计。目标导向2 .信息系统审计应合理保证信息系统的运行符合法律法规以及相关监管要求。合法合规3 .信息系统审计应在充分了解组织信息系统治理、管理和应用的基础上做出客观评价。客观性4 .信息系统审计应结合组织的业务流程、信息系统及应用数据开展审计工作。5 .信息系统审计应不断提升内部审计人员技能,严格履行审计程序,提高审计工作质量。(三)信息系统审计的目标1 .总体目标通过对信息系统的审计,揭示信息系统面临的风险、评价信息系统技术的适用性、创新性、信息系统投资的经济性、信息系统的安全性、运行的有效性等内容,合理保证信

3、息系统安全、真实、有效、经济。2 .具体目标(1)保证信息系统建设符合国家有关法律法规和组织内部制度。保证信息系统建设方案、规划内容充分体现组织的战略目标,对信息系统建设、应用与公司的经营目标的一致性作出评价。目标导向(2)信息系统审计应促进信息系统在购置、开发、使用、维护过程中,以及数据在生产、加工、修改、转移、删除等处理中都必须符合国家相关法律法规、准则、组织内部规定等,并应促进信息系统有效实现既定业务目标。合法合规(3)提高组织信息系统的可靠性、稳定性、安全性,数据处理的完整性和准确性。(四)信息系统审计的特点1.传统审计的权威性、客观性、公正性等特点2 .可以突破物理区域限制,开展远程

4、非现场审计3 .要求审计人员具备较高的信息化知识和技能4信息系统审计的内容更加广泛5 .信息系统工作难以量化,审计评价时需要定性与定量相结合等(五)信息系统审计的内容信息系统审计对象,包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。信息系统审计内容,主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。6 .组织层面信息技术控制的审计(1)控制环境内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。(2

5、)风险评估内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程,信息资产的分类及信息资产所有者的职责,以及对信息系统的风险识别方法、风险评价标准、风险应对措施。(3)控制活动内部审计人员应当关注信息系统管理的方法和程序,主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。(4)信息与沟通内部审计人员应当关注组织决策层的信息沟通模式,信息系统对财务、业务流程的支持度,信息技术政策、信息安全制度传达与沟通等方面。(5)内部监督内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等。2信息系统一般性

6、控制的审计信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序,目标是保护数据与应用程序的安全,并确保异常中断情况下计算机信息系统能持续运行。信息系统一般性控制包括硬件控制、软件控制,访问控制,职责分离等关键控制。审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理,访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。(1)系统开发和采购审计内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发所制定的系统目标以及预期功能是否合理,是否能够满足组织目标:系统开发的方法,开发环境、测试环境、生产环境的分离情况,系统的测试

7、、审核、验收、移植到生产环境等环节的具体活动。对应用系统的开发与实施过程所采用的方法和流程进行评价,以确保其满足组织目标。评估拟定的系统开发或采购方案,确保其符合组织战略目标;评估项目管理过程,确保组织在满足成本效益原则的基础上实现风险管理框架下的组织业务目标,确保项目按计划开展,并有相应文档充分支持;评估相关信息系统的控制机制,确保其符合组织的相关制度规定:评估系统的开发、采购和测试、维护,对系统实施定期检查,确保其持续满足组织目标。(2)系统运行审计内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控制、网络环境资源配置、系统和数据备份及恢复管理、问题管理和系统的日常运

8、行管理等内容。一般控制措施包括但不限于保证数据安全、保护计算机应用程序正常运行、防止系统被非法侵入、保证在错误操作或意外中断情况下的持续运行等。评估组织在信息系统运行日常操作以及信息系统基础设施管理的有效性及效率性,确保其支持组织的目标:评估信息系统服务相关实务,确保内部和外部服务提供商的服务等级是明确并可控的:评估运行管理,保证信息系统支持功能有效满足业务需求:评估数据管理,确保数据库的完整性和最优化:评估性能的发挥及监控工具与技术应用:评估问题和事件管理,确保所有事件、问题和错误被及时记录。(3)系统变更审计内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审

9、批,变更测试及移植到生产环境系统中的流程控制等。评估变更、配置和发布管理,确保变更被详细记录。(4)信息安全审计内部审计人员应当关注组织的信息安全管理制度,物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制,系统设置的职责分离控制等。内部审计人员对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。评估逻辑访问控制的设计、实施和监控,确保信息资产的机密性、完整性、有效性和授权使用合规性:评估网络框架和信息传输的安全:评估环境控制的设计、实施和监控,确保信息资产充分安全。3.信息系

10、统应用控制的审计信息系统应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应当考虑下列与数据输入、数据处理以及数据输出环节相关的控制活动:(1)授权与批准审计应用程序的访问控制,必须关注是否有被授权的使用人才可以访问系统数据或执行授权范围内的程序功能,输入控制是否保证每笔被处理的事务能够被正确完整地录入与编辑,是否只有合法且经授权的信息才能被正确输入。(2)系统配置控制审计配置控制主要关注应用系统基础参数的设置与调整。包括参数的正确性、审批与授权、调整日志等。(3)异常情况报告和差错报

11、告审计信息系统在出现不能正常运行、计算结果错误等异常情况时,系统能否自动提醒、处理,接收、保存差错输出报告。(4)接口/转换控制审计应对接口的数据流向、数据传输能力、数据转换准确性等进行测试和检查,接口/转换能否保证数据流通的正确性以及数据传输能力是否满足系统功能需求。(5)一致性核对审计系统间传输时,需重点检查传输报告分发是否建立了相应的人工控制环节,包括但不限于安全打印、接收签名、加密、只读等,以防范非法篡改造成不一致。(6)职责分离审计系统数据的录入、修改与审核的职责分离,关注对数据进行加密和敏感性分级处理的规则以及加密方式是否满足工作需求。(7)系统计算审计信息系统对数据计算的准确性及

12、计算效率。(8)其他4.信息系统专项审计信息系统审计除上述常规的审计内容外,内部审计人员还可以根据组织面临的特殊风险或者需求,设计专项审计,具体包括但不限于下列领域:(1)信息系统开发实施项目的专项审计。(2)信息系统安全专项审计。(3)信息技术投资专项审计。(4)业务连续性的专项审计。(4)法律、法规、行业规范要求的内部控制合规性专项审计。(5)其他专项审计。二、信息系统审计程序一般包括审计准备、审计实施、审计报告和后续审计四个阶段。()审计准备A.审前准备内部审计人员在实施信息系统审计前,需要根据信息系统审计目标,开展审前调查、收集法规、制度依据以及其他有关资料。审前调查主要了解组织信息系

13、统的治理管理体制、总体架构、规划和建设情况等。具体如下:1.治理、管理体制。主要了解信息系统管理机构设置、管理职责、工作流程等。2 .系统总体架构(1)系统分布。包括系统数量、规模和分布,绘制信息系统分布图。(2)信息系统主要类型。(3)各信息系统的基本情况和系统之间的关联关系。(4)信息系统应用覆盖面及应用程度。3 .规划和建设情况(1)规划:信息系统发展规划以及年度计划落实情况。(2)建设:信息系统建设程序、投入、管理,了解已完成系统和在建系统。(3)使用:信息系统应用管理制度、使用率、应用中存在的主要问题、困难和矛盾。B.编制审计工作方案根据审前准备情况,编制信息系统审计工作方案,方案内

14、容包括但不限于被审计组织信息系统的基本情况。包括信息系统项目建设及应用情况、审计目的、审计依据、审计对象与范围、审计内容重点及方法、审计步骤与时间安排、审计组与人员分工等。在审计组组成环节,审计部门可以借助外部专家的力量,在审计组中应当有具备信息技术经验和知识的专兼职审计专家,便于补充提高审计组的胜任能力。(二)审计实施审计实施是内部审计人员依据审计计划实施现场审计的过程。内部审计人员应结合审前准备了解的内容,按照被审计组织的信息化环境、业务流程、内控制度等方面的风险,明确具体项目审计目标、细化审计内容,突出审计重点。实施阶段主要应完成以下工作:1.了解评估被审计组织的信息系统内部控制收集被审

15、计组织信息系统的内部控制管理制度及流程,对被审计组织相关人员进行访谈,了解组织的信息系统决策及管理政策、方法、控制活动主要内容包括但不限于:(1)信息系统内部控制环境。(2)风险管理。(3)控制活动。(4)信息与沟通。(5)内部监督。2 .开展控制测试内部审计人员开展控制测试评价信息系统的内部控制要素,以确定组织能接受的控制风险。验证控制措施的执行是否符合管理政策和程序,为审计提供合理的保证。信息系统控制测试主要包括控制环境测试和功能测试:(1)组织管理的控制测试。(2)系统建设管理的控制测试。(3)系统资源管理的控制测试。(4)系统环境管理的控制测试。(5)系统运行管理的控制测试。(6)系统

16、网络和通信管理的控制测试。(7)系统数据库管理的控制测试。(8)系统输入,处理、输出的控制测试。(9)其他。3 .初步评估信息系统内部控制根据对组织信息系统的控制测试情况,选择组织信息系统的重点业务流程。对固有风险和控制风险进行初步评估,对信息系统控制有效性作出评价。4 .开展实质性测试内部审计人员应根据控制测试结果确定实质性测试的性质、时间和范围。组织层面评价内容包括组织架构、权责分配、发展战略、人力资源、培训与考核等。对组织信息系统开展风险评估时,结合相关规范中有关风险评估的要求,重点关注内部和外部风险信息的搜集、利用风险识别机制按照风险评估的程序、方法,评估风险等级并检查应对策略的有效性

17、。对信息与沟通审计时,应结合组织信息与沟通的相关管理制度,对信息收集、处理和传递的及时性,反舞弊机制的健全性,财务报告的真实性,信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行审查和评价。对内部监督审计时应结合组织内部监督制度,对内部监督机制的有效性进行认定和评价。重点关注内部审计机构等监督机构是否在内部控制设计和运行中有效发挥监督作用,内部控制缺陷认定是否客观,整改方案措施是否得当,并有效整改。内部控制检查评价方法主要包括:个别访谈法、调查问卷法、比较分析法、标杆法、穿行测试法、抽样法、实地查验法重新执行法、专题讨论会法等。内部控制检查评价应综合运用上述方法,充分利用信息系统,实

18、施在线检查、监控。(三)审计报告信息系统审计报告阶段包括整理加工审计工作底稿、编写审计报告、做出审计结论。内部审计人员应运用专业判断,综合分析所收集到的相关证据,以经过核实的审计证据为依据,形成审计意见和结论、编制审计底稿、出具审计报告。(四)后续审计后续审计主要通过监督组织整改的情况,督促被审计组织改进信息系统治理,完善相关的规章制度、流程等,以持续提高信息系统治理、管理水平。对审计中发现的重大问题和控制缺陷,整改效果不明显的信息系统项目开展后续审计。三、信息系统主要审计方法信息系统审计方法是为了完成信息系统审计任务所采取的手段。在信息系统审计工作中,要完成每一项审计工作,都应选择合适的审计

19、方法。信息系统审计方法主要包括访谈法、调查法、检查法、观察法、测试和平行模拟法、程序代码检查、编码比较法、风险评估法等。(一)访谈法访谈法是指通过面对面或在线视频、音频等方式交谈来了解被审计对象的信息。依据不同问题的性质、目的或对象,采用不同的访谈形式。(二)调查法调查法是在制定调研计划的基础上,通过书面或口头回答问题的方式收集研究对象的相关资料,并做出分析综合,得到某一结论的研究方法。(三)检查法检查法是指内部审计人员对组织内部或外部生成的记录和文件(包括但不限于纸质、电子或其他介质形式存在的资料)进行检查,或对资产进行实物检查。信息系统审计人员审阅可行性研究报告、系统分析说明书、现状分析报

20、告、输入输出和代码调查表等文档,检查上述文档以及相应的信息系统建设、应用、管理、运行是否符合国家法律法规、行业标准以及组织内部规章制度等。(四)观察法内部审计人员运用观察法,观察被审计组织员工的职责履行情况以及业务操作程序等以识别员工的逻辑访问权限是否合规,软硬件物理控制是否有效,盘点信息资产是否安全。(五)数据测试的黑、白盒法与平行模拟法数据测试法:从计算机输入开始,跟踪某项业务直至计算机输出,以检验计算机应用程序、控制程序和系统可靠性。黑盒法:当内部审计人员重点关注程序是否达到所需求的功能时,可采用黑盒法来设计测试数据。黑盒法设计出的测试数据除了可以检查程序功能上的错误和缺陷外,还可以审计

21、系统用户界面、接口、效率、初始化和终止错误。白盒法:当内部审计人员主要关注在程序中是否存在错误的执行路线时可以采用白盒法。白盒法是从程序内部的逻辑结构出发选取测试数据的方法,它的原理是通过审计程序中的所有执行路线来发现程序中的错误和缺陷。平行模拟法:针对某应用程序,审计人员用一个独立的程序去模拟该程序的部分功能,对输入数据同时进行并行处理,其结果和该应用程序处理的结果进行比较以验证其功能正确性的方法。(六)程序代码检查法、编码比较法程序代码检查法:指对被审计程序的指令逐条审计,以验证程序的合法性、完整性和程序逻辑的正确性。程序编码比较法:比较两个及以上独立保管的被审计程序版本,以确定被审计程序

22、是否经过修改,并评估程序的改动所带来的后果。(七)风险评估法分级技术:根据审计对象的技术复杂性、现有控制程序的水平、可能造成的财务损失等各种因素的风险值累计为总风险值,根据分值大小进行排列分为高、中、低级风险。经验判断法:内部审计人员根据专业经验、业务知识、管理层的指导、业务目标、环境因素等进行判断,以决定风险大小。四、信息系统审计的组织方式信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性审计项目的组成部分实施。当信息系统审计作为综合性审计项目的一部分时,信息系统审计人员应当及时与其他内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他审计的范围、时间及性质。信息系统审计组织方式包括但不限于:1 .组织内部审计机构独立承担。2 .与本组织信息系统相关部门联合开展。3 .委托外部专门机构开展,但应做好委托项目的质量控制和保密措施。审计目标及任务确定以后,审计部门应根据工作量大小、工作的强度与难度等,配备审计活动中需要的审计人员,组成信息系统审计项目组。

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 在线阅读 > 生活休闲


备案号:宁ICP备20000045号-1

经营许可证:宁B2-20210002

宁公网安备 64010402000986号