全面加强信息系统审计

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

全面加强信息系统审计

信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生的,作为传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。

随着信息技术的不断发展,企业内部的信息化程度也越来越高,信息化对企业各个业务环节的影响越来越大,企业在信息化过程中也急需专业人士提供有效控制信息系统风险,提高信息化效益的服务。与此同时,信息系统审计概念也发生了变化:信息系统审计是指审计人员接受委托或授权,收集证据并评估以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴证目标一一即对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审

计的管理目标即信息系统的有效性目标。

一方面,信息系统审计可以促进被审计单位更有效地融入到社会

经济生活中,同时促进被审计单位改进内部控制、加强管理,提高信息系统实现组织目标的效率、效果。

另一方面,信息系统审计在审计过程中发现系统控制缺陷或漏洞,可通过审计报告、管理建议书等形式报告给委托人或被审计单位管理当局,并提出解决问题的建议,从而促进被审计单位提高管理水平,提高经济效益。俗话说“不识庐山真面目,只缘身在此山中”。

信息系统审计的一个出发点在于从第三者的角度对被审计单位信息系统进行全面审视,可以发现系统使用者或系统开发者看不到的问题。

信息系统审计提供的外部审视的价值既表现在用新的思维方式、新的观点去观察企业,分析其存在的问题及原因,也表现在以科学的态度和创新精神,去设计解决问题的方案。

工作过程中,我们可以从如下几个方面进行信息系统审计:

1、对系统中所体现的业务流程的审计。信息系统是建立在对业务流程进行优化重组的基础之上的,只有经常对业务流程进行风险管理和审计,才能使企业业务始终运行于相对较优的流程环境之中。对业务流程的风险管理审计大体包括以下几个方面:应该在系统中运行的业务是否全部通过系统运行;信息是否及时录入系统;录入的信息是否真实、准确;系统运行是否正确,有无系统错误;流程是否通畅,有无缺陷或舞弊的可能,能否进行进一步的优化;识别、评价和应对流程风险的效果如何等。

2、对关键控制点的审计。企业信息系统是由采购、仓储、生产、销售、财务、设备管理、人力资源等多个模块高度集成起来的,每一模块都有相应的关键控制点,对企业的生产经营起着至关重要的作用。企业应该加强对关键控制点的风险管理审计,关注以下问题:是否对关键控制点进行了识别,识别是否全面;是否建立了关键控制点的风险评价体系;是否建立了关键控制点的预警机制和应对机制;关键控制点的识别、评价、预警和应对机制的适应性和有效性如何;控制方法和手段是否可进一步优化;有无控制不严或失控的现象和可能等。

3、对系统监控的审计。信息系统应用于企业的优点之一就是对业务和绩效能够进行动态监控。系统监控功能运用得好,可以极大地降低企业风险;可一旦运用不好,流程上的控制点就会失去控制,风险也就会随之加大。因此,我们有必要对系统监控的风险管理进行审计,审查和评价企业及其下属单位是否利用信息系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的权威性及其效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不力的区域、监控结果的利用情况如何等。

信息系统审计需要信息系统审计师进行,要大力培养信息系统审计师,开展信息系统审计业务,有两支力量可以挖掘:一是传统的审计师。他们在传统的财务报表鉴证业务方面具有长久不衰的声誉和经验,在经营惯例、交易处理的完整性、信息保护、内部控制的评价与建议方面一直都具有专长。在提供信息系统及电子数据质量的鉴证与咨询服务方面,传统审计师面临着很大的挑战。为适应企业信息化建设的需要,满足企业管理层对审计业务的扩展的需要,成为合格信息系统审计师,传统的审计师需要:(1)提高技术能力;(2)继续维护他们现有的作为相对独立的、被信任的第三方的角色;(3)学习信息

技术、网络技术并将其知识融入传统的鉴证、咨询服务业务;(4)

必须拓展在系统开发、系统可靠性、网络安全、风险确认和影响分析等方面的审计业务。二是从事信息化咨询的IT 技术人员。

在电子商务时代,交易大部分是由系统自动完成的,人的参与较

少,审计轨迹存在较少,在这种条件下,审计必须穿过信息系统进行。IT 技术人员具备了相应的技术技能:编程知识、系统运营、网络技术、认证技术、防火墙技术及其他安全技术等,这对于发现被审计信息系统及其控制的缺陷等相对较容易。但他们在鉴证、咨询方面缺乏对管理与内部控制认识、评价的经验,缺少审计的理论与技能。

因此,IT技术人员从事信息系统审计业务,要补充审计理论知

识,学会用审视的目光,关注信息技术的效益,从管理控制角度,而非纯技术角度思考问题。现阶段,专业的信息系统审计师非常少,传统审计师与

IT 技术专家配合进行信息系统审计,也能达到审计效果。但是,随着信息系统审计专业的不断完善发展,会需要越来越多的能够独立完成审计项目的IT 审计师,信息化审计将大有发展。

相关文档
最新文档