研究信息系统信息系统审计探讨

当前位置: 大雅查重 - 范文 更新时间:2024-02-05 版权:用户投稿原创标记本站原创
[摘 要] 近年来,随着计算机技术的不断进步,信息系统已经广泛深入地渗透到社会的各个领域,被审计单位高度依赖信息系统来提高工作效率和加强管理已成为必然。在这种形势下,信息系统审计的必要性逐渐凸显。本文对信息系统审计的特点、目标做了简要介绍,并着重分析开展信息系统审计的流程。
[关键词] 信息系统;审计;特点;目标;流程
[] A [文章编号] 1673 - 0194(2013)03- 0029- 03本科会计专业毕业论文范文
进入21世纪,随着计算机技术的不断进步,以计算机为核心的信息系统得到了迅猛发展,信息系统也广泛深入地渗透到社会的各个领域。被审计单位高度依赖信息系统来提高工作效率和加强管理已成为必然。信息系统作为被审计单位的主要资源,它的安全性、可靠性、有效性和效率性必须得到充分的保障。因此,信息系统审计便应运而生。
1 信息系统审计的含义及特点
信息系统审计是指根据公认的标准和指导规范,对信息系统从规划、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整性、有效性、效率性、安全性等进行监测、评估和控制的过程以确定预定的业务目标得以实现,并提出一系列改进建议的管理活动。信息系统区别于传统的手工审计,具有以下特点。

1.1 审计内容具有广泛性

信息系统审计的对象是以计算机为核心的信息系统。在信息系统中,计算机按照设计好的程序自动处理数据,中间一般不再进行人工干预。这样,系统的合法性、效益性、输出结果的真实性不仅取决于输入的数据、工作人员,还取决于计算机的硬件和软件等。要确定系统的合法性、效益性、输出结果的真实性,不仅要对输出数据、工作人员、打印输出的资料进行审查,而且还要对系统的硬件、系统软件、应用软件和数据文件进行审查,这些工作在传统的手工审计中是没有的。从生命周期看,信息系统审计覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务。因此,信息系统的审计范围要比传统的手工审计更为广泛。

1.2 审计线索具有隐蔽性和易逝性

在信息系统中,审计线索大部分存储在介质上(例如硬盘),这些线索容易被更改、隐匿、转移、伪造。在审计中,如果操作不当,很可能破坏系统的数据文件和程序,不仅销毁了重要的审计线索,而且干扰了被审计单位的工作。会计专业学年论文范文

1.3 审计技术具有复杂性

首先,被审计单位的信息系统配备的计算机硬件、软件有很大的差异。审计人员在审计过程中,要和信息系统的硬件和系统软件打交道,这就增加了审计技术的复杂性。其次,被审计单位的业务规模和性质不同,所采用的数据处理及存储方式也不同,审计所采用的方法、技术也不同。第三,不同被审计单位的应用软件开发方式、所使用的程序设计语言也不同,其审计方法和技术也不同。

1.4 审计取证具有动态性

在很多被审计单位中,信息系统已经成为一个中枢系统,系统如果停止工作,将会直接影响被审计单位的经营管理活动。因此,信息系统审计,一般是在系统运行的过程中进行取证,审计人员在完成审计任务的同时,不能妨碍和干扰被审计单位系统的正常运行,这就给审计取证带来一定的难度。

1.5 信息系统审计是事后、事前、事中审计的结合体

如信息系统在开发过程中,由审计人员介入所进行的审计属于事中审计。此项审计相对于系统运行后而对其所进行的审计而言又可以看作是事前审计;信息系统运行后,对其在一定期间的运作情况所进行的审计则为事后审计。
2 信息系统审计目标
审计机关针对被审计单位信息系统开展审计,目的是揭示由于信息系统缺陷导致的信息安全风险、经济安全风险,促进被审计单位加强信息化环境下的内部管理和控制,提高信息化建设项目的效益,同时保证审计所需数据的可靠性、可用性,降低审计风险。

2.1 保证信息系统的合规性和合法性

随着信息系统在组织中的应用范围日益扩大和应用水平日益提高,利用信息系统进行违法犯罪的可能性越来越大,手段也越来越隐蔽。在信息化环境下,被审计单位依赖于信息系统,通过对信息系统的输入、处理、输出及控制功能是否符合国家的法律、法规和有关部门的规章制度的审查,不仅可以有效地堵塞犯罪,而且可以避免国家和组织遭受由此带来的损失。

2.2 保证数据的准确性

数据准确性是指数据能够满足规定的条件,防止错误信息的输入和输出,以及非授权状态下修改信息所造成的无效操作和错误后果。各种复杂业务的出现对信息是否真实、完整提出了鉴证要求。如果数据完整性得不到保护,被审计单位就会失去竞争优势。然而,维护数据的完整性需要成本,因此,要确保所获收益大于所需的控制步骤的成本。信息系统审计有助于控制信息处理系统的风险,提高事务处理的完整性,实现组织目标。

2.3 保护资产的完整性

信息系统的资产包括硬件、软件、数据文件、系统文档等。由于重要的系统文档、软件、数据文件等资产一般集中存放在信息系统中,如果信息系统的运行出现故障,如服务器宕机、遭到木马等病毒攻击、业务资料被盗、系统突然发生死机等故障,会对被审计单位的资产保护造成巨大威胁。所以保护信息系统资产的完整性成为许多组织要达到的一个重要目标,也是信息系统审计追求的目标之一。

2.4 提高系统的有效性

系统的有效性是指系统能否达到预期的目标。有效性审计常在系统运行一段时间之后进行,以评估系统是否能够实现既定的目标,这个评估为系统是否继续运行或者进行某种程度的修改提供决策。有效性审计也可以在系统设计阶段进行。信息系统审计从独立、客观、公正的第三方角度,以目标驱动,对信息的质量进行审查,对产生信息的系统、信息的产生过程及相应的内部控制进行评价、审计,审查业务数据并评估其完整性和可靠性,从而为管理者了解用户的特征和决策环境提供了依据。

2.5 提高系统的效率性会计学本科论文

系统的效率是指系统达到预定目标所消耗的资源。信息系统的效率主要取决于计算机硬件的配置和软件设计的水平。硬件选择要科学、合理、协调,不是越先进越好、越贵越好。软件设计主要是指要在充分满足业务需求的基础上构造出高效的算法。
3 信息系统审计流程
信息系统审计有两种组织方式:一种是将信息系统审计作为常规项目审计的一部分,是为整个审计项目的总体目标服务的。另一种是独立立项的信息系统审计,直接针对信息系统进行审计,将信息系统本身的安全性、可靠性和有效性作为审计目标。不管哪种组织方式,其流程是相同的,分为准备阶段、实施阶段、报告阶段。

3.1 准备阶段会计方面的论文范文

信息系统都是根据本单位业务流程开发出来的,因此,调查了解被审计单位的业务流程以及及信息系统基本情况应该作为审计工作的第一步。审计人员进入被审计单位了解信息系统开发使用情况、业务量大小和数据完整程度,以判断是否适合开展信息系统审计以及风险大小。然后审计人员要明确审计目的,确定审计范围和重点,制订信息系统审计实施方案,确定所需的时间、人员和测试所需的软件及硬件设备。在调查阶段还可以预先进行数据库分析工作,分析数据库中表的结构以及字段名。这样在正式实施审计时能够节约时间、提高效率。

3.2 实施阶段

在实施阶段,审计人员的工作主要是采用相应的审计方法,对信息系统进行测试、分析,取得审计证据。其中的重点环节分为内部控制审计、应用程序审计和系统安全性审计等部分。
3.

2.1 内部控制审计

为了对信息系统的内控制度进行评价,审计人员必须验证内部控制制度是否合理,并取得审计证据,证明内控制度的完整性和有效性。(1)组织管理控制审计:检查被审计单位信息系统的管理制度,了解被审计单位是否制定了完善的人员分工、业务授权和岗位职责分离制度,是否建立了内部监督和考核机制。(2)数据安全控制审计:检查信息系统以及数据库有无加密措施或是权限设置来控制未经授权的人员进行系统文件及数据的存取。(3)计算机病毒及控制审计:信息系统是否有良好的硬件和软件措施来防止计算机病毒入侵,病毒软件是否定期升级以及是否有漏洞扫描措施。(4)环境控制审计:实地检查机房物理环境,审查是否为信息系统硬件设备提供必要的工作环境,保证设备正常运转。(5)信息系统开发维护控制审计:审计人员应对系统的开发维护过程进行审查,应审查是否有立项申请报告,报告是否经过专家论证,审查是否有系统说明书对开发过程进行控制等。(6)灾难恢复控制审计:检查是否有系统灾难恢复计划,评估计划的充分性和实效性。是否定期或在重要操作前对数据进行备份,是否有异地容灾或备份设施,以减少意外导致损失的可能性。(7)数据处理控制:检查应用程序的的输入、处理和输出控制是否健全有效。(8)应用程序控制:检查程序编码是否符合规章制度的规定,是否正确地进行了逻辑处理。
内部控制审计的主要方法包括:询问法、检查法、观察法等。询问法是指与被审计单位人员面对面交谈、询问有关情况以收集审计证据的方法;检查法主要是检查与信息系统有关的文档,以了解信息系统的总体情况、控制情况以及开发设计情况等,并将检查过程和结果记入工作底稿中;观察法是审计人员对信息系统的物理环境、硬件设施和办公场所,对信息系统的开发设计、构成和操作情况进行了解,对控制措施的实施进行实地查看的方法。
3.

2.2 应用程序审计

程序是差错和舞弊最容易发生的地方,只有通过对应用程序进行审计,才能对系统的合规性、合法性、正确性、有效性做出评价。应用程序审计方法包括:测试数据法 、程序编码代码检查法、程序运行结果检查法、平行模拟法、嵌入审计模块法、虚拟实体法、受控处理法、受控再处理法和日志检查法等。(1)测试数据法是指审计人员把预先设计好的检测数据输入到计算机中,让被审计程序处理,观察比较输出是否与预期相符。(2)程序编码检查法是通过对被审程序的指令逐条来发现存在的问题,并对程序的合法性、能否完成预定功能及其质量进行评判的方法。(3)程序运行结果检查法是指通过对系统输出结果的检查,来判断信息系统处理功能的正确性和有效性。(4)平行模拟法是指审计人员自己或请计算机专业人员开发一个与被审计单位信息系统或程序模块功能相同的模拟系统,将被审计单位的实际数据放入模拟系统中运行,观察其输出是否与被审计单位信息系统相一致。(5)嵌入审计模块法是在被审计单位的信息系统中加入为执行特定的审计功能而设计的程序代码,它可以在特定的条件下触发,为审计人员提供有关数据和报告。(6)虚拟实体法是对测试数据法的改良,一般是在信息系统中建立虚拟的实体,然后将虚拟实体的有关数据与真实的数据一起输入信息系统进行处理,最后将输出结果与预期进行比较,确定信息系统的控制功能是否发生作用。(7)受控处理法是指审计人员在对被审计单位的真实业务数据在处理之前先进行核实,然后在被审计单位的信息系统中监督处理或亲自处理,并将处理结果与预期结果进行比较分析,以判断被审计单位的系统是否符合规定的要求。(8)受控再处理法是将已经由被审计单位处理过的数据,在审计人员的监督下,或由审计人员亲自在相同的信息系统上再处理一次,将二次处理的结果相比较,判断当前的信息系统程序是否符合既定要求。(9)日志检查法是指通过对系统自动记录日志的检查来推测信息系统的处理和控制功能是否正常。
3.

2.3 系统安全性审计

信息系统安全审计的内容有:数据库安全审计、网络安全审计和逻辑访问控制审计。
数据库安全是保证信息系统能够正常运行的基础,数据库安全审计是系统安全性测试审计的一个重要环节。数据库安全审计的重点是分析和测试数据库数据的一致性、完整性,数据规划的合理性,以及数据库访问的安全性。
网络安全审计需要审查信息系统的数据在传输中是否完整、安全。检查网络是否有能力阻止入侵、木马攻击,是否配备防火墙。是否有文件共享检测、流量监测以及对异常流量的识别和报警,网络设备运行的监测等。专科财务会计毕业论文
逻辑访问控制审计检查是否只有被授权的用户才能使用信息系统、访问信息系统中的信息。比如检查授权用户强度是否足够,检查操作人员是否进行分工,是否经过授权操作且只能操作特定模块,用户开设、终止、授权是否存在漏洞等。

3.3 报告阶段

在报告阶段,审计人员要按照审计实施方案要求,依据审计记录和审计证据,评价信息系统的真实性、合法性、效益性和安全性,分析信息系统的控制缺失程度、风险水平、成因和责任,形成审计结论,提出改进信息系统控制、防范系统控制缺失产生审计风险的审计意见和建议。会计专业毕业论文设计
信息系统审计作为一种全新的审计方式,是信息化发展到一定程度的必然结果。信息系统审计可以较好地从信息系统的角度发现舞弊问题和内控漏洞,使得审计内容不断丰富完善。审计机关要想担负起作为社会经济运行的“免疫系统”的重要责任,就必须使信息系统审计有所作为。