信息技术审计概述
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统审计是通过对信息系统的安全性、可靠性、完整性、 效率性和效果性等进行检查、评价和报告活动,协助企业建立完善、 可行的信息技术管理机制,平衡企业信息化过程中的风险,促进信 息技术目标与企业业务目标的协调发展。
-10-
二、信息技术审计的主要形态
(一)区别 审计范围及重点不同。信息系统审计的范围涵盖了信息系统的
-11-
二、信息技术审计的主要形态
审计时效及频率不同。信息系统审计的百度文库杂性、综合性和高技术 性特征,决定了其实施过程要经历一定的时间周期,因此对于已经 审计过的信息系统,在其未发生变更的情况下,通常需要适当降低 审计频率。计算机数据审计则不然,它强调审计的动态性和时效性, 通过联网、嵌入审计模块等方式缩短审计周期和提高监控频率,以 实现连续审计为根本目标。
-6-
(二)信息技术审计发展
2.国内信息技术审计的发展 在信息技术审计方面,政府审计成为主导者和先行者。国家 审计署从上世纪80年代末开始,就把信息技术审计列入发展规划 中。2019年审计署制定了《信息化建设总体目标和构想》,2019 年开始实施了“金审工程”,其目标是建成国家审计信息系统, 包括审计管理系统、审计作业系统、审计信息资源、网络互联系 统、安全保障系统、运行服务系统。 ——2019年,金审工程一期建设全面启动。 ——2019年,金审工程一期开发的审计管理系统(OA)上 线运行。 ——2019年,金审工程一期开发的现场审计系统(AO)部 署运行。 ——2019年,金审工程二期建设全面启动。
信息技术审计概述
(二)信息技术审计发展
20世纪90年代至今——信息技术审计普及期 基于信息技术的连续审计(continuous auditing)及其内涵下的 “技术驱动型审计方法”(technology-enabled auditing)得到应 用。连续审计实现审计人员和被审计单位电子数据的及时连接和交 互,克服当前审计的滞后性,有效缩短审计周期,能为相关方提供更 及时的风险和控制鉴证服务。连续审计不但是审计技术的变化,还 涉及到审计方法的更新和审计流程的变革,审计对象更加宽泛,审 计期限、审计实施时间及审计报告更为及时迅速,审计报告更具决 策相关性。根据普华永道《2019年内部审计行业调查报告》的调查 结果,被调查的美国公司中有半数的公司目前正在开展连续审计。 国际信息系统审计与控制协会ISACA在世界100多个国家与地区 设立了160多个分会,制定和颁布了信息及其相关技术控制目标 (Control Objectives for Information and related Technology, COBIT)、信息系统审计准则,信息系统审计作为一种制度保证和IT 治理的重要方式受到了广泛关注。
-7-
(二)信息技术审计发展
内部审计的信息化研究和建设起步于本世纪初,在国家审计 署的大力倡导和影响下,内部审计信息化取得了一定的进展。当 前,大多数内部审计机构主要以计算机技术辅助审计的方式开展 IT审计,审计人员利用审计软件、数据库和电子表格进行数据的 采集转化和分析核查,在审查舞弊中取得了一定效果。中国石化 自2019年以来,启动了在ERP环境下的辅助审计信息系统(英 文缩写AIS)开发、推广应用工作,尝试开展在线和远程审计。 宝钢集团开发了具有针对性的审计软件,基本实现审计自动化。 四川航天技术研究院从2019年开始启动并实施了计算机辅助审计 工程,推行网络审计方法。信息系统审计,包括风险、控制在信 息系统审计中的运用,目前尚处在探索和研究阶段。
-8-
二、信息技术审计的主要形态
目前,信息技术审计主要表现为两种形态:一是计算机数据审计; 二是信息系统审计。信息系统审计是对计算机数据审计的继承与发展, 信息系统审计和计算机数据审计构成了现阶段IT审计的两大主题,二 者交汇融合、互为支撑,既有一定区别,又存在着紧密的联系。
计算机数据审计 信息系统审计
整个生命周期和所有信息技术资源,它更加关注于企业信息系统的 战略发展、管理控制、保护利用和绩效评价,具有鲜明的管理性特 征。计算机数据审计通常是以现行信息系统输入、处理、输出和存 储的信息数据为对象,侧重于信息数据的查询、分析和挖掘,以确 定审计重点和发现审计线索,揭示潜在的逻辑关系和规律。
审计项目形态不同。由于信息系统审计目标与职能的确定性, 信息系统审计可作为独立的审计项目组织实施,又可作为内部控制、 管理效益等审计项目的组成部分进行实施。计算机数据审计是一种 信息技术审计手段和方法,或者是基于此种技术的辅助审计软件, 它不具备审计项目的形态,主要服从、服务于各类审计项目,起到 强大的支撑和保障作用。
-12-
二、信息技术审计的主要形态
(二)联系 信息系统审计是计算机数据审计的必要条件。发展证明,仅对
信息系统管理的数据进行审计,极有可能是信息化环境下的“假账 真查”,极易产生审计风险。因此,计算机数据审计必须以信息系 统审计为切入点和必要条件,至少要对信息系统的管理控制和技术 控制情况进行测试检查,发现控制缺陷、非法功能和漏洞,评估数 据的完整性、可用性、可审性,为计算机数据审计奠定坚实的基础, 提升计算机数据审计的质量和实施效果。
途 径
开发计算机审计系统
途 径
利用通用计算机技术
途 径
运用IT治理相关标准
审计思维转变
审计手段转变
推
进 审计方式转变
审计内容转变
-9-
二、信息技术审计的主要形态
计算机数据审计是以被审计单位信息系统和底层数据库原始数 据为切入点,在对信息系统进行检查测评的基础上,通过对底层数 据的采集、转换、整理、验证,形成审计中间表,并运用查询分析、 多维分析、数据挖掘等技术方法进行数据分析,发现趋势、异常和 错误,把握总体、突出重点,从而收集审计证据,实现审计目标。
计算机数据审计是信息系统审计的有效手段。信息系统审计除 采用受控处理法、综合测试法、平行模拟法等技术方法外,可以充 分利用计算机数据审计,对采集的信息系统底层数据进行深入分析, 推理与揭示信息系统存在的设计不足、控制缺陷和非法功能等问题。
-10-
二、信息技术审计的主要形态
(一)区别 审计范围及重点不同。信息系统审计的范围涵盖了信息系统的
-11-
二、信息技术审计的主要形态
审计时效及频率不同。信息系统审计的百度文库杂性、综合性和高技术 性特征,决定了其实施过程要经历一定的时间周期,因此对于已经 审计过的信息系统,在其未发生变更的情况下,通常需要适当降低 审计频率。计算机数据审计则不然,它强调审计的动态性和时效性, 通过联网、嵌入审计模块等方式缩短审计周期和提高监控频率,以 实现连续审计为根本目标。
-6-
(二)信息技术审计发展
2.国内信息技术审计的发展 在信息技术审计方面,政府审计成为主导者和先行者。国家 审计署从上世纪80年代末开始,就把信息技术审计列入发展规划 中。2019年审计署制定了《信息化建设总体目标和构想》,2019 年开始实施了“金审工程”,其目标是建成国家审计信息系统, 包括审计管理系统、审计作业系统、审计信息资源、网络互联系 统、安全保障系统、运行服务系统。 ——2019年,金审工程一期建设全面启动。 ——2019年,金审工程一期开发的审计管理系统(OA)上 线运行。 ——2019年,金审工程一期开发的现场审计系统(AO)部 署运行。 ——2019年,金审工程二期建设全面启动。
信息技术审计概述
(二)信息技术审计发展
20世纪90年代至今——信息技术审计普及期 基于信息技术的连续审计(continuous auditing)及其内涵下的 “技术驱动型审计方法”(technology-enabled auditing)得到应 用。连续审计实现审计人员和被审计单位电子数据的及时连接和交 互,克服当前审计的滞后性,有效缩短审计周期,能为相关方提供更 及时的风险和控制鉴证服务。连续审计不但是审计技术的变化,还 涉及到审计方法的更新和审计流程的变革,审计对象更加宽泛,审 计期限、审计实施时间及审计报告更为及时迅速,审计报告更具决 策相关性。根据普华永道《2019年内部审计行业调查报告》的调查 结果,被调查的美国公司中有半数的公司目前正在开展连续审计。 国际信息系统审计与控制协会ISACA在世界100多个国家与地区 设立了160多个分会,制定和颁布了信息及其相关技术控制目标 (Control Objectives for Information and related Technology, COBIT)、信息系统审计准则,信息系统审计作为一种制度保证和IT 治理的重要方式受到了广泛关注。
-7-
(二)信息技术审计发展
内部审计的信息化研究和建设起步于本世纪初,在国家审计 署的大力倡导和影响下,内部审计信息化取得了一定的进展。当 前,大多数内部审计机构主要以计算机技术辅助审计的方式开展 IT审计,审计人员利用审计软件、数据库和电子表格进行数据的 采集转化和分析核查,在审查舞弊中取得了一定效果。中国石化 自2019年以来,启动了在ERP环境下的辅助审计信息系统(英 文缩写AIS)开发、推广应用工作,尝试开展在线和远程审计。 宝钢集团开发了具有针对性的审计软件,基本实现审计自动化。 四川航天技术研究院从2019年开始启动并实施了计算机辅助审计 工程,推行网络审计方法。信息系统审计,包括风险、控制在信 息系统审计中的运用,目前尚处在探索和研究阶段。
-8-
二、信息技术审计的主要形态
目前,信息技术审计主要表现为两种形态:一是计算机数据审计; 二是信息系统审计。信息系统审计是对计算机数据审计的继承与发展, 信息系统审计和计算机数据审计构成了现阶段IT审计的两大主题,二 者交汇融合、互为支撑,既有一定区别,又存在着紧密的联系。
计算机数据审计 信息系统审计
整个生命周期和所有信息技术资源,它更加关注于企业信息系统的 战略发展、管理控制、保护利用和绩效评价,具有鲜明的管理性特 征。计算机数据审计通常是以现行信息系统输入、处理、输出和存 储的信息数据为对象,侧重于信息数据的查询、分析和挖掘,以确 定审计重点和发现审计线索,揭示潜在的逻辑关系和规律。
审计项目形态不同。由于信息系统审计目标与职能的确定性, 信息系统审计可作为独立的审计项目组织实施,又可作为内部控制、 管理效益等审计项目的组成部分进行实施。计算机数据审计是一种 信息技术审计手段和方法,或者是基于此种技术的辅助审计软件, 它不具备审计项目的形态,主要服从、服务于各类审计项目,起到 强大的支撑和保障作用。
-12-
二、信息技术审计的主要形态
(二)联系 信息系统审计是计算机数据审计的必要条件。发展证明,仅对
信息系统管理的数据进行审计,极有可能是信息化环境下的“假账 真查”,极易产生审计风险。因此,计算机数据审计必须以信息系 统审计为切入点和必要条件,至少要对信息系统的管理控制和技术 控制情况进行测试检查,发现控制缺陷、非法功能和漏洞,评估数 据的完整性、可用性、可审性,为计算机数据审计奠定坚实的基础, 提升计算机数据审计的质量和实施效果。
途 径
开发计算机审计系统
途 径
利用通用计算机技术
途 径
运用IT治理相关标准
审计思维转变
审计手段转变
推
进 审计方式转变
审计内容转变
-9-
二、信息技术审计的主要形态
计算机数据审计是以被审计单位信息系统和底层数据库原始数 据为切入点,在对信息系统进行检查测评的基础上,通过对底层数 据的采集、转换、整理、验证,形成审计中间表,并运用查询分析、 多维分析、数据挖掘等技术方法进行数据分析,发现趋势、异常和 错误,把握总体、突出重点,从而收集审计证据,实现审计目标。
计算机数据审计是信息系统审计的有效手段。信息系统审计除 采用受控处理法、综合测试法、平行模拟法等技术方法外,可以充 分利用计算机数据审计,对采集的信息系统底层数据进行深入分析, 推理与揭示信息系统存在的设计不足、控制缺陷和非法功能等问题。