文档介绍：该【信息系统审计简述 】是由【小果冻】上传分享，文档一共【8】页，该文档可以免费在线阅读，需要了解更多关于【信息系统审计简述 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured8severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured7severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured信息系统审计简述前言信息系统审计是审计行业的一个特殊领域。未来审计行业和审计技术的开展动力将主要来自信息系统审计的开展,这一观点已经逐渐在国外会计界、审计界形成共识。本文通过对信息系统评价审计的涵义、目标、业务范围、业务活动和具体任务等方面的阐述,使读者对信息系统审计形成初步的认识。关键词:信息系统审计一、信息系统审计的涵义信息系统审计在开展初期也称为电子数据处理审计。关于信息系统的定义还未形成统一的认识。笔者列举了以下两种主流的说法:一是美国信息系统审计权威专家威伯〔RonWeber〕教授对信息系统审计的定义:“收集证据并对所收集的证据进行评价的一项活动,以决定会计信息系统是否在最经济地使用资源的同时,实现了有效保护资产、维护数据完整、完成组织目标等预期功能。〞二是国际信息系统审计和控制协会〔ISACA〕的定义:“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的平安、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。〞severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured2severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured3severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured信息系统审计虽然尚无一个统一明确的定义,但都表达了信息系统审计是“由审计机构、审计人员对与被审单位经营活动密切相关的信息系统的平安性、可靠性和有效性进行检查评估,并提出改进意见的系列活动〞。二、信息系统审计的目标信息系统审计的目的,是通过实施信息系统审计工作,对组织是否达成信息技术管理目标进行综合评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行其受托责任,以达成提高组织所依赖信息系统的可靠性、稳定性、平安性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规及监管的相关要求。所以,信息系统审计的目标主要是对信息系统真实性、完整性等六方面要素的评估、反响保证及建议。。信息系统中的数据要真实地反映企业的生产经营活动。要通过数字签名等一系列技术手段和保存不可更改记录、定期审计等管理手段确保数据的真实性。。完整性信息具有不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丧失的特性。完整性是一种面向信息的平安性,它要求保持信息的原样,即信息的正确生成、存储和传输。。系统在购置、使用、开发、更新、维护、转移等过程中必须符合相关法律、法规、准那么、行规以及企业内部的规定等。。平安性是指信息系统在遭受各种因素破坏的情况下,仍然能够正常运行的概率。威胁信息系统平安的因素有外部和内部两种。外部主要是黑客的入侵、病毒的攻击、线路的侦听等,内部主要是被授权的用户访问和修改、删除等操作。平安性是真实性的根底之一。severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured8severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured3severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,。可靠性也是真实性的根底之一,是指信息系统在遭受非人为因素破坏或人为过失影响的情况下仍然能够正常运行的概率。威胁信息系统可靠性的因素包括自然灾害对硬件和环境的破坏以及误操作对软件和硬件的破坏等。。效果是指应用信息系统以后,企业在生产控制、管理质量、提供产品和效劳等方面发生的变化。效率是指信息系统的应用在企业劳动生产率的提高方面所起的作用。三、信息系统审计的业务范围为了支持企业更有效运营和加强企业抵御风险的能力,信息系统需要完全地集成企业所有重要的过程和程序。所以,信息系统审计的业务范围应该包括以下几个方面:〔1〕信息系统的管理、规划与组织―评价信息系统的管理、方案与组织方面的策略、政策、标准、程序和相关实务。〔2〕信息系统技术根底设施与操作实务―评价组织在技术与操作根底设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标。〔3〕资产的保护―对逻辑、环境与信息技术根底设施的平安性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丧失。〔4〕灾难恢复与业务持续方案―这些方案是在发生灾难时,能够使组织的业务持续进行,对这种方案的建立和维护流程需要进行评价。severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured4severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured7severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured(5〕应用系统开发、获得、实施与维护―对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。(6〕业务流程评价与风险管理―评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。四、信息系统审计的业务活动一般来说,信息系统审计的业务活动可以按照信息系统的生命周期或内部控制要求进行安排。〔一〕按照信息系统生命周期安排审计业务活动按照信息系统的生命周期,信息系统审计要求对信息系统从方案、研发、实施到运行维护各个过程进行审查与评价,以审查企业信息系统是否平安、可靠、有效,保证信息系统得出准确可靠的数据。信息系统生命周期审计的根本业务主要包括信息系统开发审计和信息系统维护审计。。信息系统开发审计包括对开发过程、开发方法、应用开发测试、系统功能实现等方面的审计。执行信息系统开发审计的人员需要明确信息系统开发流程是否包括方案、组织、监控等内容,系统开发过程是否被划分为子流程/阶段,子流程/阶段是否有明确的定义;评价所用的开发方法是否恰当,开发过程中所用的测试是否充分,系统实现的功能是否与预定功能相符。信息系统开发审计报告可以为信息系统开发指导委员会及变化控制委员会提供咨询效劳。severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured8severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured5severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,。信息系统审计不应该仅仅包括对开发过程的审计,更重要的是对信息系统实施后运行和维护过程的审计。其主要审计要求是:〔1〕确定是否有维护方案,维护工作是否得到负责人的批准,系统是否按照维护方案进行了维护;〔2〕确认是否存在未经授权擅自修改或更改系统的问题;〔3〕确定维护工作是否保护了应用程序,并使程序库不受非法访问;〔4〕确定系统维护后是否经过充分测试,用户是否参与了系统维护后的测试工作;〔5〕确定是否对每一次维护工作都有详细的记录;〔6〕确定系统维护后文档资料是否及时更新。〔二〕按照信息系统内部控制要求安排审计业务活动建立、健全内部控制是被审计单位标准、强化内部管理的重要手段,信息系统控制是企业内部控制的重要组成局部。信息系统控制是一个单位在信息系统环境下,为了保证业务活动的有效进行,保护资产的平安与完整,防止、发现、纠正错误与舞弊,合理确保信息系统提供信息的真实、合法、完整而制定和实施的一系列政策与程序措施。信息系统内部控制审计可以分为信息系统一般控制审计和信息系统应用控制审计。。信息系统一般控制是应用于一个单位信息系统全部或较大范围,其根本目标是保证数据平安、保护计算机应用程序、防止系统被非法侵人、保证在意外中断情况下的severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured6severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured7severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured持续运行。。信息系统应用控制是对具体应用系统的控制,每一个具体的应用程序所要解决的问题是不同的,所涉及的数据和处理方法等均各具特点。针对这些具体的应用程序所进行的有针对性的控制,就是应用控制。应用控制又分为输人控制、计算机处理与数据文件控制和输出控制。五、信息系统审计过程及具体任务审计过程是审计工作从开始到结束的整个过程,可以分为方案阶段、实施阶段和报告阶段。〔一〕方案阶段。方案阶段的主要任务包括:,初步评价固有风险。审计人员首先应了解被审单位的根本情况。需要了解的根本情况包括:第一,被审单位的业务性质和生产经营情况。第二,被审单位的组织结构和管理水平。第三,被审单位信息系统一般情况,即信息系统的结构,所使用的软硬件和网络设施以及运行环境。第四,被审单位应用系统及其所处理的交易和事项的类型。,评价控制风险。在方案阶段,审计人员应了解被审单位的内部控制特别是信息系统内部控制,对内部控制的健全和有效性进行评估,初步确定控制风险的大小。,确定重要性水平。为了合理使用审计资源,有效地实现审计目标,在制定审计方案时审计人员应评估审计风险,确定重要性水平。重要性水平是指在审计事项中,能够容忍出现过失的程度和大小。severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured8severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured7severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,。在对被审单位的风险进行初步评估,确定重要性水平后,审计人员应当编制审计方案。审计方案的内容包括:被审单位的根本情况、审计的范围和重点、审计的步骤和时间安排、审计人员分工、所运用的信息系统审计方法、审计中应当注意的事项和其他内容等。〔二〕实施阶段实施阶段是根据方案阶段确定的范围、重点、步骤和方法,进行有针对性的评价,并形成审计结论的过程,主要由符合性测试和实质性测试两个阶段构成。。符合性测试的目的是检查内部控制措施是否健全有效。审计人员需要对被审单位的控制系统进行识别、测试和评价。审计人员通过与相关人员面谈、设计调查问卷以及查阅信息系统和控制系统说明文件等方法,识别被审单位的控制系统以及控制环境,并将调查情况记录在审计工作底稿中。。实质性测试是对信息系统控制进行的详细测试,以获得这些控制在审计期间是否真实存在并合法有效的审计证据。实质性测试主要通过测试必要的数据,对信息系统到达特定的控制目标的程度进行评价。〔三〕报告阶段在审计报告阶段,审计人员应运用专业判断,综合收集到的相关证据,以经过核实的审计证据为依据,形成审计意见,出具审计报告。审计报告中除了对被审单位信息系统的平安性、可靠性、有效性发表审计意见之外,还针对信息系统内部控制和管理等方面的问题提出相关的建议。severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured8severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured7severalgroupnumber,thenwithb±a,=c,-2~3measurement,suchasproceedsofcvaluesareequalandequaltothedesignvalue,,b,andcvalueswhileonhorizontalverticalerrorsformeasurement,Generalinironanglecodebitatmeasurementlevelpointsgriderrors,omethylverticalboxcenterlinedistancefora,,tobverticalboxdistanceforb,listcanmeasured在正式发布审计报告之前,审计人员还应考虑其后面事项的影响。在现场审计工作结束日到