张金城主编书籍 信息系统审计


张金城主编书籍 信息系统审计

文章插图
信息系统审计(张金城主编书籍)【张金城主编书籍 信息系统审计】信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程 。
基本介绍书名:信息系统审计
又名:The process of auditing information system
作者:张金城
定价:16
出版时间:2009
开本:32
审计方法信息系统审计过程与一般审计过程一样,分为準备阶段、实施阶段和报告阶段 。其中,準备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大,而实施阶段所涉及的技术方法则具有信息技术的特色 。在实施阶段,针对被审计的信息系统,审计人员所开展的工作可以分为三个层次,即了解、描述和测试 。计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比,相应增加了计算机技术的内容 。对信息系统审计的方法既包括一般方法即手工方法,也包括套用计算机审计的方法 。信息系统审计的一般方法主要用于对信息系统的了解和描述,包括:面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等 。套用计算机的方法一般用于对信息系统的控制测试,包括:测试数据法、平行模拟法、线上连续审计技术(通过嵌入审计模组实现)、综合测试法、受控处理法和受控再处理法等 。套用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用 。但不能把计算机辅助审计技术与工具的使用过程与信息系统审计等同起来 。在信息系统审计的过程中,仍然需要运用大量的手工审计技术 。重点环节数据环节在审计中,必须使用一种方法能够向前、向后追蹤单个交易和资产记录,以便使审计人员选择一些交易对其进行详细检查,确认交易记录是否符合一般的审计目标 。如对会计事项信息的检查,要检查它的完整性、时效性、合规性和信息披露等方面,检查内容包括与本会计年度有关的交易是否全部记录在册;所有记录的交易是否都是合理髮生的并与本会计年度有关;记录的交易是否数据準确,计算无误:记录的交易是否符合基本的和辅助的法律规定,符合特定权威机构的要求;对记录的交易是否进行正确的分类,并符合信息对外披露的要求等 。对财务报表信息的检查,要检查完整性、存在性、会计计量、所有权以及信息披露等方面,检查内容包括是否记录了所有的资产和负债:所有记录的资产和负债是否都是存在的;对资产和负债的计量是否精确,计算方法是否符合按合理性、一致的标準制定的会计政策的要求:确认资产是被审主体所有的、负债是被审主体应该承担的,并且资产和负债是否由合法的经济活动产生的;资产、负债、资本和存货是否都得到正确的披露 。同时对信息系统提供的业务信息也要进行分析,例如每月的工资总数、某阶段的付款清单和订货信息等,要弄清基本的交易情况,并一直追蹤到信息源 。对上述信息的分析可以採用计算机辅助审计技术,按照特定的标準对数据进行汇总、分类、排序、比较和选择,并进行各种运算 。内部控制环节内部控制一般而言是指组织经营管理者为了维护财产物资的安全、完整,保证会计信息的真实、可靠,保证经营管理活动的经济性、效率性和效果性以及各项法律和规範的遵守,而对经营管理活动进行调整、检查和制约所形成的内部管理机制,是组织为实现管理目标而形成的自律系统 。计算机系统的内部控制主要分为套用控制、一般控制和管理控制等三个方面,在审计过程中要对被审计单位内控制度进行评价,包括电算化系统的内控制度 。为了对系统的内控制度进行评价,审计人员必须验证内部控制系统是否存在,并能提供令人满意的证据,证明它正在有效地发挥作用 。在计算机系统中,应检查以下方面来证明内控制度的有效性:(1)控制系统资源的存取 。包括物理资源,例如终端、伺服器、连线盒、相关文档等;还包括逻辑资源,如软体、系统档案和表、数据等 。(2)控制系统资源的使用 。用户应该只能对授权给他们的那些资源进行操作 。(3)建立按用户职能分配资源的制度 。把重要的任务功能按用户或用户组进行分离,以减少无意的误操作、滥用系统资源和对数据的非授权修改 。(4)记录系统的使用情况 。按时间顺序建立一个使用记录,记录内容应包括例外事例和与安全有关的事件是由谁触发的,财务信息的创建、修改和删除是由谁完成的 。(5)确认处理过程的準确性 。用产生财务控制信息,确认处理过程的準确完成 。(6)管理人员对财务信息系统的修改 。应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底(独立地)测试的,确认最后以一种有控制的方式投入使用 。(7)保护财务信息系统免遭计算机病毒的袭击 。必须建立一套控制措施,检测病毒,防止病毒感染财务信息系统 。数据传输转移在信息系统中,有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移,在此过程中可能会出现一些问题,尤其是在需要手工重新录入时 。因此在审计时要重点关注以下方面:在转移过程中数据可能会发生变化;新的科目代码表与老的可能不一样,需要在两个财务信息系统之间建立複杂的对应关係:中心资料库可能被一些地理上分散的伺服器取代;当前财务信息系统中的数据质量不佳;当用一个总的信息系统取代一个预定财务信息系统时,需要补充许多新的数据 。在检查这一环节时,一定要保证输出的讯息是经过批准、完整和精确的,保证输出的讯息在约定时间内準确地传送给指定的接收者,保证流人的讯息是完整、準确和真实可靠的 。案例分析2006年,在对某酒店开展的审计中,对酒店信息系统的安全性、可靠性进行了测试 。测试结果发现信息系统在数据传输和运算上存在错误,通过数据验证,证明错误产生的原因是由信息系统本身缺陷造成的 。上述审计结果得到了被审计单位的认可,促使被审计单位更换了信息系统,提高了计算机管理水平 。这次审计之所以能取得一定的效果,主要是注意从数据和内控制度入手,利用计算机辅助审计技术和手工审计技术相结合开展信息系统审计 。(1)在数据环节上,信息系统审计和数据审计对系统数据的利用角度是不一样的 。数据审计侧重于数据之间的关联,是审计数据的结果;而信息系统审计侧重于数据的真实完整性,是通过测试数据的真实完整性来审计信息系统的安全性和可靠性 。在审计中,通过详细了解信息系统的资料库结构,对比资料库中表档案的记录数量大小和栏位完整程度,确定需要查询的资料库表档案,把主表的数据完整性作为重点的测试目标 。(2)在内部控制和数据传输环节,通过绘製组织机构图、系统流程图和现场走访等方式,全面了解酒店的业务流程和工作特点 。通过摸清酒店的业务流程,跟蹤基础数据流在业务流程中的走向,锁定数据的大量运算点,是确定审计方向的关键 。信息系统中所有业务活动的发生都集中体现在基础数据流上,基础数据流是一个信息系统的重要构成要素,数据的大量运算点是测试系统运行安全性和可靠性的关键点 。在此基础上,确定了年审日报汇总、会议团体客房转账和业务系统与财务核算系统手工传输数据三个系统模组,作为对信息系统进行安全性、可靠性测试的重点 。这三个模组是信息系统内数据大量运算和系统间传输数据的关键点,由于基础数据在运算、自动传输和手工传输过程中存在发生错误和被调整修改的可能性,因此利用计算机辅助审计技术进行验证 。在验证过程中,通过分步骤编写查询语句和程式,调出数据生成中间表进行比对,发现疑点,根据疑点特徵继续比对,直到发现错误点 。在SQL语句不能保证完成大批量查询和比对任务的情况下,採用计算能力更强、运算速度更快的JAVA来编写查询程式,起到了事半功倍的效果 。资格证书CISA认证,国际注册信息系统审计师,一般在每年12月份全球英文考试 。现在在中国大陆的考试时间暂时只有6月中旬与12月中旬两次,2013年起9月份会增加一次考试,也就是一年三次,大陆的考生可以选择英文版与中文版两种考试方式 。大陆的考点暂时有:北京、上海、南京、深圳四个地址 。图书基本信息书 名: 信息系统审计