旭子如风
信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用,信息系统审计已经贯穿在各种审计之中,成为审计全过程的一部分。信息系统审计的内容:对银行信息系统进行审计的内容主要集中在以下几个方面:·对信息系统的管理、规划与组织的审计--评价组织信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。·对信息系统技术基础设施与操作实务的审计--评价组织在技术基础设施与操作实务的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标。·对信息资产的保护的审计--对逻辑、环境与信息技术基础设施的安全性进行评价,确保其支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。·对灾难恢复与业务持续计划的审计--这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。·对应用系统开发、获得、实施与维护的审计--对组织业务应用系统的开发、获取、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。·对IT相关业务流程的审计--评估组织业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。·与信息安全相关的人力资源管理的审计--评估与安全相关的人力资源管理政策、程序、实务,以及“信息安全,人人有责“的企业文化。信息系统审计工作可以分为两大类:一种是组织自行完成的内部审计,内部审计的主要目的是检查组织各部门对安全保障制度的遵守情况,要保证内部审计师在他们能自由地和客观地进行工作时是独立的,独立性可使内部审计师提出公正和不偏不倚的判断意见。信息系统审计执行主管应该对审计委员会、董事会或其他治理机构报告业务工作,向机构的首席执行官报告行政工作。另一种是由会计师事务所或专业技术服务提供商完成的外部审计。外部审计通常是因为上市、并购、年终检查或其他法规的要求而进行,一般都很正规,也非常深入。进行信息审计的受托方应当独立于委托方,以保证信息系统审计的客观性与公正性。
三鲜豆皮皮
电子商务时代,并行(在线)审计方法变得越来越重要。它为审计师提供了能持续监控系统运行可靠性、在无纸化环境中能实时采集审计证据的方法。对财务信息系统(FIS)的审计主要有以下两种方法:系统控制审计复核文件和嵌入审计模块该方法是指在系统软件或应用软件中嵌入审计模块,系统在进行业务处理时,同时按指定要求采集审计证据,采集到的审计证据可直接打印输出或存储在专门的审计文件中,供事后查看。综合测试在被审单位的应用系统中建立一个虚拟实体,如一笔虚拟的销售合同、存货购人或证券投资,并为该实体编制测试数据,将测试数据与正常生产数据一同输入应用系统。应用系统有专门识别处理测试数据的程序,通过把应用系统对测试数据的处理结果与独立计算出的测试数据结果相比较,可评价应用系统的控制与处理逻辑是否适当与可靠。(1)如何编制测试数据方法一:将被审单位的一部分正常生产数据做上标记,作为测试数据。做标记可选用以下方法:①修改数据结构,在数据库中为每条记录增加一个字段,标识其既是正常生产数据又是测试数据,测试数据由审计师现场选定;②利用嵌人应用系统的审计模块或专门的抽样程序,对生产数据随机抽样。这种方法需要修改数据结构和应用程序,审计师难以独立完成。同时,生产数据中例外情况或接近临界值的数据较少,不能全面测试系统应用逻辑的各个分支。方法二:审计师自行设计测试数据,与生产数据一同输入系统。这种方法需要审计师全面了解应用系统的各种处理流程,才能设计出覆盖整体应用程序的测试数据。(2)综合测试法建立虚拟实体,向生产系统输入了冗余数据,如何消除这些数据对生产系统的影响?方法一:修改应用程序,使其进行财务处理时不将审计师自行设计的测试数据计算在内。但修改源程序会增加软件编程者在应用程序中嵌入非法代码的机会,也增加了源程序版本维护的工作量。方法二:审计师及时输入抵销分录。尽管不必修改源程序,但对会计科目的发生额仍有影响,不便于与相关科目的勾稽。
优质审计师问答知识库
