亚洲成人av在线|一本大道东京热精品人妻|高清在线无码视屏|91久久久久久久久久久|国产AV一区二区三区|在线看成年人黄色片|99国产精品人8无码免费|A级黄色大片网站|国产精品人人做人人爽人人添|av高清国产欧美香蕉在线

《中國審計(jì)》2007年第06期 張京奕 2007年7月2日


--------------------------------------------------------------------------------


信息系統(tǒng)審計(jì)是一個(gè)通過收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。







信息系統(tǒng)審計(jì)的方法



信息系統(tǒng)審計(jì)過程與一般審計(jì)過程一樣，分為準(zhǔn)備階段、實(shí)施階段和報(bào)告階段。其中，準(zhǔn)備階段和報(bào)告階段所涉及的技術(shù)方法與財(cái)務(wù)審計(jì)所運(yùn)用的技術(shù)方法區(qū)別不大，而實(shí)施階段所涉及的技術(shù)方法則具有信息技術(shù)的特色。在實(shí)施階段，針對(duì)被審計(jì)的信息系統(tǒng)，審計(jì)人員所開展的工作可以分為三個(gè)層次，即了解、描述和測(cè)試。



計(jì)算機(jī)信息系統(tǒng)環(huán)境下審計(jì)技術(shù)方法與手工環(huán)境下傳統(tǒng)的審計(jì)技術(shù)方法相比，相應(yīng)增加了計(jì)算機(jī)技術(shù)的內(nèi)容。對(duì)信息系統(tǒng)審計(jì)的方法既包括一般方法即手工方法，也包括應(yīng)用計(jì)算機(jī)審計(jì)的方法。信息系統(tǒng)審計(jì)的一般方法主要用于對(duì)信息系統(tǒng)的了解和描述，包括：面談法、系統(tǒng)文檔審閱法、觀察法、計(jì)算機(jī)系統(tǒng)文字描述法、表格描述法、圖形描述法等。應(yīng)用計(jì)算機(jī)的方法一般用于對(duì)信息系統(tǒng)的控制測(cè)試，包括：測(cè)試數(shù)據(jù)法、平行模擬法、在線連續(xù)審計(jì)技術(shù)（通過嵌入審計(jì)模塊實(shí)現(xiàn)）、綜合測(cè)試法、受控處理法和受控再處理法等。應(yīng)用計(jì)算機(jī)技術(shù)的審計(jì)方法主要是指計(jì)算機(jī)輔助審計(jì)技術(shù)與工具的運(yùn)用。但不能把計(jì)算機(jī)輔助審計(jì)技術(shù)與工具的使用過程與信息系統(tǒng)審計(jì)等同起來。在信息系統(tǒng)審計(jì)的過程中，仍然需要運(yùn)用大量的手工審計(jì)技術(shù)。







信息系統(tǒng)審計(jì)應(yīng)關(guān)注的重點(diǎn)環(huán)節(jié)



1．?dāng)?shù)據(jù)環(huán)節(jié)



在審計(jì)中，必須使用一種方法能夠向前、向后追蹤單個(gè)交易和資產(chǎn)記錄，以便使審計(jì)人員選擇一些交易對(duì)其進(jìn)行詳細(xì)檢查，確認(rèn)交易記錄是否符合一般的審計(jì)目標(biāo)。如對(duì)會(huì)計(jì)事項(xiàng)信息的檢查，要檢查它的完整性、時(shí)效性、合規(guī)性和信息披露等方面，檢查內(nèi)容包括與本會(huì)計(jì)年度有關(guān)的交易是否全部記錄在冊(cè)；所有記錄的交易是否都是合理發(fā)生的并與本會(huì)計(jì)年度有關(guān)；記錄的交易是否數(shù)據(jù)準(zhǔn)確，計(jì)算無誤；記錄的交易是否符合基本的和輔助的法律規(guī)定，符合特定權(quán)威機(jī)構(gòu)的要求；對(duì)記錄的交易是否進(jìn)行正確的分類，并符合信息對(duì)外披露的要求等。對(duì)財(cái)務(wù)報(bào)表信息的檢查，要檢查完整性、存在性、會(huì)計(jì)計(jì)量、所有權(quán)以及信息披露等方面，檢查內(nèi)容包括是否記錄了所有的資產(chǎn)和負(fù)債；所有記錄的資產(chǎn)和負(fù)債是否都是存在的；對(duì)資產(chǎn)和負(fù)債的計(jì)量是否精確，計(jì)算方法是否符合按合理性、一致的標(biāo)準(zhǔn)制定的會(huì)計(jì)政策的要求；確認(rèn)資產(chǎn)是被審主體所有的、負(fù)債是被審主體應(yīng)該承擔(dān)的，并且資產(chǎn)和負(fù)債是否由合法的經(jīng)­濟(jì)活動(dòng)產(chǎn)生的；資產(chǎn)、負(fù)債、資本和存貨是否都得到正確的披露。同時(shí)對(duì)信息系統(tǒng)提供的業(yè)務(wù)信息也要進(jìn)行分析，例如每月的工資總數(shù)、某階段的付款清單和訂貨信息等，要弄清基本的交易情況，并一直追蹤到信息源。對(duì)上述信息的分析可以采用計(jì)算機(jī)輔助審計(jì)技術(shù)，按照特定的標(biāo)準(zhǔn)對(duì)數(shù)據(jù)進(jìn)行匯總、分類、排序、比較和選擇，并進(jìn)行各種運(yùn)算。



2．內(nèi)部控制環(huán)節(jié)



內(nèi)部控制一般而言是指組織經(jīng)­營管理者為了維護(hù)財(cái)產(chǎn)物資的安全、完整，保證會(huì)計(jì)信息的真實(shí)、可靠，保證經(jīng)­營管理活動(dòng)的經(jīng)­濟(jì)性、效率性和效果性以及各項(xiàng)法律和規(guī)范的遵守，而對(duì)經(jīng)­營管理活動(dòng)進(jìn)行調(diào)整、檢查和制約所形成的內(nèi)部管理機(jī)制，是組織為實(shí)現(xiàn)管理目標(biāo)而形成的自律系統(tǒng)。計(jì)算機(jī)系統(tǒng)的內(nèi)部控制主要分為應(yīng)用控制、一般控制和管理控制等三個(gè)方面，在審計(jì)過程中要對(duì)被審計(jì)單位內(nèi)控制度進(jìn)行評(píng)價(jià)，包括電算化系統(tǒng)的內(nèi)控制度。為了對(duì)系統(tǒng)的內(nèi)控制度進(jìn)行評(píng)價(jià)，審計(jì)人員必須驗(yàn)證內(nèi)部控制系統(tǒng)是否存在，并能提供令人滿意的證據(jù)證明它正在有效地發(fā)揮作用。在計(jì)算機(jī)系統(tǒng)中，應(yīng)檢查以下方面來證明內(nèi)控制度的有效性:（1）控制系統(tǒng)資源的存取。包括物理資源，例如終端、服務(wù)器、連接盒、相關(guān)文檔等；還包括邏輯­資源，如軟件、系統(tǒng)文件和表、數(shù)據(jù)等。（2）控制系統(tǒng)資源的使用。用戶應(yīng)該只能對(duì)授權(quán)給他們的那些資源進(jìn)行操作。（3）建立按用戶職能分配資源的制度。把重要的任務(wù)／功能按用戶或用戶組進(jìn)行分離，以減少無意的誤操作、濫用系統(tǒng)資源和對(duì)數(shù)據(jù)的非授權(quán)修改。（4）記錄系統(tǒng)的使用情況。按時(shí)間順序建立一個(gè)使用記錄，記錄內(nèi)容應(yīng)包括例外事例和與安全有關(guān)的事件是由誰­觸發(fā)的，財(cái)務(wù)信息的創(chuàng)建、修改和刪除是由誰­完成的。（5）確認(rèn)處理過程的準(zhǔn)確性。用產(chǎn)生財(cái)務(wù)控制信息，確認(rèn)處理過程的準(zhǔn)確完成。（6）管理人員對(duì)財(cái)務(wù)信息系統(tǒng)的修改。應(yīng)該保證財(cái)務(wù)信息系統(tǒng)的所有修改都是經(jīng)­過授權(quán)、有文檔記錄、經(jīng)­過徹底（獨(dú)立地）測(cè)試的，確認(rèn)最后以一種有控制的方式投入使用。（7）保護(hù)財(cái)務(wù)信息系統(tǒng)免遭計(jì)算機(jī)病毒的襲擊。必須建立一套控制措施，檢測(cè)病毒，防止病毒感染財(cái)務(wù)信息系統(tǒng)。



3.數(shù)據(jù)傳輸轉(zhuǎn)移環(huán)節(jié)



在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個(gè)財(cái)務(wù)信息系統(tǒng)或財(cái)務(wù)信息系統(tǒng)與業(yè)務(wù)信息系統(tǒng)之間相互轉(zhuǎn)移，在此過程中可能會(huì)出現(xiàn)一些問題，尤其是在需要手工重新錄入時(shí)。因此在審計(jì)時(shí)要重點(diǎn)關(guān)注以下方面：在轉(zhuǎn)移過程中數(shù)據(jù)可能會(huì)發(fā)生變化；新的科目代碼表與老的可能不一樣，需要在兩個(gè)財(cái)務(wù)信息系統(tǒng)之間建立復(fù)雜的對(duì)應(yīng)關(guān)系；中心數(shù)據(jù)庫可能被一些地理上分散的服務(wù)器取代；當(dāng)前財(cái)務(wù)信息系統(tǒng)中的數(shù)據(jù)質(zhì)量不佳；當(dāng)用一個(gè)總的信息系統(tǒng)取代一個(gè)預(yù)定財(cái)務(wù)信息系統(tǒng)時(shí)，需要補(bǔ)充許多新的數(shù)據(jù)。在檢查這一環(huán)節(jié)時(shí)，一定要保證輸出的消息是經(jīng)­過批準(zhǔn)、完整和精確的，保證輸出的消息在約定時(shí)間內(nèi)準(zhǔn)確地發(fā)送給指定的接收者，保證流入的消息是完整、準(zhǔn)確和真實(shí)可靠的。







信息系統(tǒng)審計(jì)案例分析



2006年，在對(duì)某酒店開展的審計(jì)中，對(duì)酒店信息系統(tǒng)的安全性、可靠性進(jìn)行了測(cè)試。測(cè)試結(jié)果發(fā)現(xiàn)信息系統(tǒng)在數(shù)據(jù)傳輸和運(yùn)算上存在錯(cuò)誤，通過數(shù)據(jù)驗(yàn)證，證明錯(cuò)誤產(chǎn)生的原­因是由信息系統(tǒng)本身缺陷造成的。上述審計(jì)結(jié)果得到了被審計(jì)單位的認(rèn)可，促使被審計(jì)單位更換了信息系統(tǒng)，提高了計(jì)算機(jī)管理水平。



這次審計(jì)之所以能取得一定的效果，主要是注意從數(shù)據(jù)和內(nèi)控制度入手，利用計(jì)算機(jī)輔助審計(jì)技術(shù)和手工審計(jì)技術(shù)相結(jié)合開展信息系統(tǒng)審計(jì)。（1）在數(shù)據(jù)環(huán)節(jié)上，信息系統(tǒng)審計(jì)和數(shù)據(jù)審計(jì)對(duì)系統(tǒng)數(shù)據(jù)的利用角度是不一樣的。數(shù)據(jù)審計(jì)側(cè)重于數(shù)據(jù)之間的關(guān)聯(lián)，是審計(jì)數(shù)據(jù)的結(jié)果；而信息系統(tǒng)審計(jì)側(cè)重于數(shù)據(jù)的真實(shí)完整性，是通過測(cè)試數(shù)據(jù)的真實(shí)完整性來審計(jì)信息系統(tǒng)的安全性和可靠性。在審計(jì)中，通過詳細(xì)了解信息系統(tǒng)的數(shù)據(jù)庫結(jié)構(gòu)，對(duì)比數(shù)據(jù)庫中表文件的記錄數(shù)量大小和字段完整程度，確定需要查詢的數(shù)據(jù)庫表文件，把主表的數(shù)據(jù)完整性作為重點(diǎn)的測(cè)試目標(biāo)。（2）在內(nèi)部控制和數(shù)據(jù)傳輸環(huán)節(jié)，通過繪制組織機(jī)構(gòu)圖、系統(tǒng)流程圖和現(xiàn)場(chǎng)走訪等方式，全面了解酒店的業(yè)務(wù)流程和工作特點(diǎn)。通過摸清酒店的業(yè)務(wù)流程，跟蹤基礎(chǔ)數(shù)據(jù)流在業(yè)務(wù)流程中的走向，鎖定數(shù)據(jù)的大量運(yùn)算點(diǎn)，是確定審計(jì)方向的關(guān)鍵。信息系統(tǒng)中所有業(yè)務(wù)活動(dòng)的發(fā)生都集中體現(xiàn)在基礎(chǔ)數(shù)據(jù)流上，基礎(chǔ)數(shù)據(jù)流是一個(gè)信息系統(tǒng)的重要構(gòu)成要素，數(shù)據(jù)的大量運(yùn)算點(diǎn)是測(cè)試系統(tǒng)運(yùn)行安全性和可靠性的關(guān)鍵點(diǎn)。在此基礎(chǔ)上，確定了夜審日?qǐng)?bào)匯總、會(huì)議團(tuán)體客房轉(zhuǎn)賬和業(yè)務(wù)系統(tǒng)與財(cái)務(wù)核算系統(tǒng)手工傳輸數(shù)據(jù)三個(gè)系統(tǒng)模塊，作為對(duì)信息系統(tǒng)進(jìn)行安全性、可靠性測(cè)試的重點(diǎn)。這三個(gè)模塊是信息系統(tǒng)內(nèi)數(shù)據(jù)大量運(yùn)算和系統(tǒng)間傳輸數(shù)據(jù)的關(guān)鍵點(diǎn)，由于基礎(chǔ)數(shù)據(jù)在運(yùn)算、自動(dòng)傳輸和手工傳輸過程中存在發(fā)生錯(cuò)誤和被調(diào)整修改的可能性，因此利用計(jì)算機(jī)輔助審計(jì)技術(shù)進(jìn)行驗(yàn)證。



在驗(yàn)證過程中，通過分步驟編寫查詢語句和程序，調(diào)出數(shù)據(jù)生成中間表進(jìn)行比對(duì)，發(fā)現(xiàn)疑點(diǎn)，根據(jù)疑點(diǎn)特征繼續(xù)比對(duì)，直到發(fā)現(xiàn)錯(cuò)誤點(diǎn)。在SQL語句不能保證完成大批量查詢和比對(duì)任務(wù)的情況下，采用計(jì)算能力更強(qiáng)、運(yùn)算速度更快的JAVA來編寫查詢程序，起到了事半功倍的效果。



（作者單位：審計(jì)署建設(shè)建材審計(jì)局）