24周年

財稅實務 高薪就業(yè) 學歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.41 蘋果版本:8.7.40

開發(fā)者:北京正保會計科技有限公司

應用涉及權限:查看權限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

企業(yè)信息系統(tǒng)審計的研究

來源: 來自網(wǎng)絡 編輯: 2008/07/25 15:24:18  字體:

  “實現(xiàn)化仍然是我國化進程中艱巨的性任務。信息化是我國加快實現(xiàn)工業(yè)化和現(xiàn)代化的必然選擇。”近年來,對信息技術的投入逐年加大,信息化程度也越來越高。信息化的蓬勃,促進了其經(jīng)營管理水平的提高,特別是在提高管理創(chuàng)新、集中管控能力、執(zhí)行力和市場反應能力等方面,信息技術的確實帶來意想不到的效率和成果。但是,信息系統(tǒng)給帶來的危害主要體現(xiàn)在以下幾方面:突發(fā)事件的,由于1993年紐約世界貿(mào)易大廈爆炸事件,使得當時入住的多數(shù)企業(yè)的商業(yè)數(shù)據(jù)如數(shù)喪失,導致在企業(yè)這一年內(nèi)的很多商業(yè)活動無法進行;錯誤操作、不正當運用和濫用信息技術,1998年發(fā)生的CIH病毒,導致全球數(shù)百萬臺機硬件損壞,導致近百億美元的損失。信息系統(tǒng)開發(fā)失敗。1994年,Standish Group對IT行業(yè)8400個項目(投資250億美元)的結果表明有34%的項目徹底失敗,50%的項目在補救后完成,預算平均超出90%,進度平均超出120%。這些失敗和補救的項目中、不少未經(jīng)過投資風險評估便匆匆上馬,超成了極大的資源浪費,對信息系統(tǒng)投資方面起到了極其惡劣的影響。因此,迫切需要對正在運用或即將投產(chǎn)的信息系統(tǒng)的安全性、真實性、完整性、有效性進行鑒證。通過對信息系統(tǒng)的審計,保證信息系統(tǒng)的可信度,促進內(nèi)控體系的規(guī)范建設,信息系統(tǒng)審計已成為擺在企業(yè)管理人員案頭迫切需要開展的重要工作。在我國信息化推進過程中,存在不同程度上的一些,主要表現(xiàn)在規(guī)劃制訂不夠,項目管理不夠嚴格,監(jiān)理機制不夠健全,系統(tǒng)運行效益不夠明顯。致使相當一部分信息化項目失敗或未能實現(xiàn)預期目標,浪費了大量資源。究其根源主要原因之一是信息化建設第三方監(jiān)管機制的缺失和標準的不健全。

  一、審計信息系統(tǒng)

    信息系統(tǒng)審計是指根據(jù)公認的標準和指導規(guī)范對信息系統(tǒng)及其業(yè)務應用的效能、效率、安全性進行監(jiān)測、評估和控制的過程,以確認預定的業(yè)務目標得以實現(xiàn)。

  審計信息系統(tǒng)最早稱為計算機審計,計算機審計業(yè)務主要關注對被審計單位數(shù)據(jù)的取得、、計算等數(shù)據(jù)處理業(yè)務,還稱不上信息系統(tǒng)審計。隨著計算機技術應用范圍的不斷擴展,計算機審計所關注的也從單純的對電子的處理延伸到對計算機系統(tǒng)的可靠性、安全性進行了解和評價。在制度基礎審計的模式下,計算機審計的業(yè)務內(nèi)容已經(jīng)擴展到了符合性測試領域。信息系統(tǒng)的安全性、可靠性與其所服務的組織所面臨的各種風險的越來越緊密,對被審計單位風險的評估將計算機信息系統(tǒng)納入考慮范圍。計算機審計的業(yè)務范圍已經(jīng)覆蓋了一項審計業(yè)務的全過程,信息系統(tǒng)審計的概念隨之出現(xiàn)。

  在建立信息系統(tǒng)審計制度,開展信息系審計研究方面,美國走在了前面。早在計算機進入實用階段時,美國就開始提出系統(tǒng)審計(SYSTEM AUDIT)。1969年在洛杉磯成立了電子數(shù)據(jù)處理審計師協(xié)會(EDPAA),1994年該協(xié)會更名為信息系統(tǒng)審計與控制協(xié)會(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)即ISACA,總部設在美國芝加哥。該組織在世界上100多個國家設有160多個分會,現(xiàn)有會員兩萬多人,它是從事信息系統(tǒng)審計的專業(yè)人員唯一的國際性組織,CISA(Certified Information System Auditor)也是這一領域的唯一職業(yè)資格。

  在很多大型公司內(nèi)部,信息系統(tǒng)審計部門已經(jīng)成為一個獨立的對外提供多種服務的部門。尤其是互聯(lián)網(wǎng)和電子商務的興起,更是為信息系統(tǒng)審計業(yè)務帶來了無盡的商機。為財務報表審計提供服務只占信息系統(tǒng)審計部門業(yè)務內(nèi)容很小的一部分。與信息安全相關的防火墻審計、安全診斷、信息技術認證以及ERP相關的新型咨詢業(yè)務也不斷涌現(xiàn)?!拔磥韺徲嬓袠I(yè)和審計技術的發(fā)展動力將主要來自于信息系統(tǒng)審計的發(fā)展”,這一觀點已經(jīng)逐漸成為國外、審計界的一個共識。信息系統(tǒng)審計師的地位也在不斷提高。在國外的一些大型會計公司中已經(jīng)出現(xiàn)了沒有CPA資格的合伙人,他們持有的專業(yè)資格就是CISA.據(jù)專家介紹,國際信息系統(tǒng)審計師(簡稱IT審計師)現(xiàn)在已經(jīng)成為全球范圍最搶手的高級人才。

  在初期,信息系統(tǒng)審計是作為傳統(tǒng)審計業(yè)務的一部分,在審計師對由計算機系統(tǒng)處理的數(shù)據(jù)的質(zhì)量進行判斷時提供技術支持。有信息系統(tǒng)審計技能的審計師被看作是會計師事務所的技術資源,在必要時為同事提供技術支持。對于信息系統(tǒng)審計,需求領域很廣。如對組織的信息系統(tǒng)審計(主要集中在對信息技術的管理控制)、技術方面的信息系統(tǒng)審計(包括架構、數(shù)據(jù)中心、數(shù)據(jù)通信等)、應用的信息系統(tǒng)審計(包括經(jīng)營、財務)、開發(fā)實施信息系統(tǒng)審計(包括需求識別、設計、開發(fā)以及實施后階段)和信息系統(tǒng)是否符合國家或國際標準的審計等等。

  二、構建信息系統(tǒng)審計

    信息系統(tǒng)審計的建立是一項復雜的系統(tǒng)工程,所以應制訂長遠的開發(fā)規(guī)劃,由簡到繁分階段逐步實現(xiàn)。它的功能應該是:實現(xiàn)審計信息的收集、處理和共享;實現(xiàn)審計日常管理的自動化;通過計算機建立程序化的標準審計和統(tǒng)一的審計標準,從而提高審計工作的效率和質(zhì)量。實現(xiàn)審計管理規(guī)范化;保證審計作業(yè)規(guī)范化;促進審計文檔規(guī)范化;審計質(zhì)量監(jiān)督規(guī)范化;提高審計結論的層次。基于上述的系統(tǒng)目標,信息系統(tǒng)審計當前應由審計證據(jù)管理子系統(tǒng)、信息系統(tǒng)安全標準子系統(tǒng)、信息系統(tǒng)安全評估子系統(tǒng)、項目管理審計子系統(tǒng)和信息系統(tǒng)審計標準子系統(tǒng)等五個子系統(tǒng)組成。

  (一)審計證據(jù)管理子系統(tǒng)

    1.審計證據(jù)收集

    (1)傳統(tǒng)辦法收集審計證據(jù)

    (2)通過數(shù)據(jù)接口直接向計算機會計信息系統(tǒng)獲取審計證據(jù)

    (3)在線系統(tǒng)審計證據(jù)收集

    (4)計算機系統(tǒng)審計證據(jù)收集

    2.審計證據(jù)評價

    (1)真實性。查明審計證據(jù)的來源、形成的時間、地點、制作過程及設備情況,有無偽造和刪改的可能性。一般說來,由第三方(如中間商或網(wǎng)絡服務商)來儲存記錄或轉(zhuǎn)存的證據(jù)具有較高的證據(jù)效力;被審計事項的事實和行為發(fā)生時留下的證據(jù)的效力較以后專為訴訟的目的而形成的證據(jù)更為真實;對于自相矛盾、內(nèi)容前后不一致或不符合情理的審計證據(jù),應小心對待,不可輕信,對不能排除合理懷疑的審計證據(jù)不得采納。

 ?。?)合法性。包括收集手段是否合法和形式條件是否合理兩部分。有些審計證據(jù)其本身也有證據(jù)力,但在收集過程中,違背了規(guī)定的手續(xù)和程序,因而也就不具有法律效力,也不能用來證實問題,為此,鑒定分析審計證據(jù)時,要了解證據(jù)是以什么辦法、在什么情況下取得的,是否違背了法定的程序和要求,是否符合法律規(guī)定的形式要件,這樣有利于判明審計證據(jù)的真?zhèn)纬潭群托ЯΑ?/p>

 ?。?)相關性。查明審計證據(jù)反映的事實與被審計事項有無關系,只有與被審計事項的事實或邏輯上是相關的事實才能被認為是證據(jù)。

 ?。?)結合其他證據(jù)進行鑒定分析。將審計過程中收集的全部證據(jù)綜合起來加以分析、判斷。如審查計算機審計證據(jù)中有無數(shù)據(jù)、圖表等反映的事實,同有關書證、物證、證人證言進行分析,明確是否互相一致,是否有矛盾。如果與其他證據(jù)相一致,共同指向同一事實,就可以認定其效力,可以作為審計證據(jù)。反之則不能作為審計證據(jù)。

 ?。ǘ┬畔⑾到y(tǒng)安全標準

    子系統(tǒng)構建通用的信息系統(tǒng)安全標準,作為信息系統(tǒng)審計工作中的標準。信息系統(tǒng)安全標準是由高級管理人員制定的最小標準、規(guī)則構成的集合,所以加以實現(xiàn),以確保信息系統(tǒng)安全政策的實現(xiàn)。信息系統(tǒng)安全標準需要指明每個信息系統(tǒng)控制的詳細要求。它為管理人員提供一個基準或底線,可以照此對單個信息系統(tǒng)控制的適當性進行評估。信息系統(tǒng)審計是一個獲取并評價證據(jù),以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程。它是立足于組織的戰(zhàn)略目標,為有效的實現(xiàn)組織戰(zhàn)略目標而采取的一切活動過程都在審計師的業(yè)務之內(nèi)。

 ?。ㄈ┬畔⑾到y(tǒng)安全評估

    子系統(tǒng)信息系統(tǒng)審計集中反映了的戰(zhàn)略目標,主要從質(zhì)量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性;信息系統(tǒng)審計資源維主要包括以信息、系統(tǒng)、設施及人在內(nèi)的信息相關的資源,這是信息系統(tǒng)審計治理過程的主要對象;信息系統(tǒng)審計過程則是在信息系統(tǒng)審計準則的指導下,對信息及相關資源進行規(guī)劃與處理,從信息技術的規(guī)劃與組織、獲取與實施、交付與支持、監(jiān)督與評估等方面確定了信息技術處理過程,每個處理過程還包括更加詳細的控制目標和審計方針以對信息系統(tǒng)審計處理過程進行評估。

 ?。ㄋ模╉椖抗芾韺徲?/p>

    子系統(tǒng)項目管理系統(tǒng)是對審計過程進行全面指導、幫助和控制的軟件,它通過對標準審計的各個工作流程的合理細分,使每個子流程都對應相應的機處理模塊。從而使一個完整的審計項目可通過計算機輔助而完成,并產(chǎn)生各個工作環(huán)節(jié)應該生成的底稿和報告。有利于提高工作效率,為進行審計質(zhì)量考核提供了極大的方便。

 ?。ㄎ澹┬畔⑾到y(tǒng)審計標準

    子系統(tǒng)此系統(tǒng)主要是實現(xiàn)信息資料的收集和共享。定期進行更新,包括:審計工作所需要的各類法律、法規(guī)、規(guī)章制度等。一般來講,按不同層次設立,信息的共享通過系統(tǒng)內(nèi)互聯(lián)的企業(yè)網(wǎng)實現(xiàn),還可根據(jù)信息的保密要求,設定不同的信息訪問權限。

  三、規(guī)范信息系統(tǒng)審計范圍

    其業(yè)務范圍包括與信息系統(tǒng)有關的所有領域,例如對組織的信息系統(tǒng)審計(主要集中在對信息技術的管理控制)、技術方面的信息系統(tǒng)審計(包括架構、數(shù)據(jù)中心、數(shù)據(jù)通信等)、應用的信息系統(tǒng)審計(包括經(jīng)營、財務)、開發(fā)實施信息系統(tǒng)審計(包括需求識別、設計、開發(fā)以及實施后階段)和信息系統(tǒng)是否符合國家或國際標準的審計以及網(wǎng)譽審計、簽名審計業(yè)務等電子商務審計。

  1.信息系統(tǒng)開發(fā)計劃、管理及組織架構的戰(zhàn)略、政策、標準及相應實踐過程的評估;

  2.技術基礎設施及運行實踐的效能和效率的評估;

  3.信息資源在邏輯訪問、運行環(huán)境以及IT基礎設施各方面的安全性的評估;

  4.系統(tǒng)災難恢復及保證業(yè)務連續(xù)性的能力的評估;

  5.業(yè)務應用系統(tǒng)開發(fā)、實施與維護的辦法和過程的評估;

  6.業(yè)務流程的風險管理水平的評估;

  7.財務系統(tǒng)的評估。

  第一,鑒證作用。信息系統(tǒng)審計的鑒證價值是指通過審計,合理地保證被審計單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實性、完整性與可靠性,政策遵循的一貫性。

  第二促進作用。促進價值體現(xiàn)在兩個方面,一是指信息系統(tǒng)審計可以促進被審計單位更有效地融入到生活中;二是指審計可以促進被審計單位改進內(nèi)部控制,加強管理,提高信息系統(tǒng)實現(xiàn)組織目標的效率、效果。

  第三咨詢作用。信息技術的為組織的管理變革提供了技術手段,組織扁平化、工作豐富化等管理變革都要信息技術來實現(xiàn)。信息化已是大勢所趨。

  四、創(chuàng)建行業(yè)標準與實務指南

    如同開展業(yè)務審計要具有相關法律法規(guī)作為審計依據(jù)一樣,開展信息系統(tǒng)審計同樣需要審計依據(jù)。國內(nèi)信息系統(tǒng)審計方面的工作近幾年才剛剛開始,基本仍處于摸索階段,而在國家審計中更是如此。,由于國內(nèi)about信息系統(tǒng)審計方面的標準尚處于空白狀態(tài)。

  國際上about信息系統(tǒng)審計方面可以的標準主要有信息及相關技術控制目標COBIT(Control Objectives for Information and related Technology)、ISO17799、能力成熟度集成模型CMMI(Capability Maturity Model Integration)和IT基礎架構庫ITIL(Information Technology Infrastructure Library)等。

  信息系統(tǒng)審計與控制協(xié)會ISACA(Information System Audit and Control Association)于1996年公布的現(xiàn)在國際上通用的信息系統(tǒng)審計的標準。它將IT過程,IT資源及信息與企業(yè)的策略與目標起來,形成一個三維的體系結構。它是一個在國際上公認為最先進、最權威的安全與信息技術管理和控制的標準。

  英國國家標準局制定的BS7799-1《信息安全管理實踐規(guī)范》,該規(guī)范于2000年12月被國際標準化組織采納,成為ISO17799.ISO/IEC17799標準最初于1993年由英國貿(mào)易部立項,由標準化協(xié)會籌備起草并作為英國的標準。1995年,首次發(fā)布BS 7799-1:1995《信息安全管理業(yè)務規(guī)范》,它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則,其目的是作為確定各類信息系統(tǒng)通用控制范圍的唯一參考基準,并且適用于大、中、小組織以及政府部門;1998年,標準化協(xié)會發(fā)表標準的第二部分BS 7799-2《信息安全管理體系規(guī)范》,它規(guī)定信息安全管理體系與信息安全控制要求,是一個組織的全面或部分信息安全管理體系評估的基礎,它還可以作為一個正式認證方案的根據(jù);BS 7799-1與BS 7799-2經(jīng)過修訂于1999年重新予以發(fā)布,此次考慮了信息處理技術,尤其是考慮了在和通信領域應用的最新發(fā)展情況;2000年12月,BS 7799-1:1999《信息安全管理業(yè)務規(guī)范》通過了國際標準化組織ISO的認可,正式成為國際標準,即ISO/IEC17799-1:2000《信息技術——信息安全管理業(yè)務規(guī)范》標準。

  2005年,ISO發(fā)布了新版的信息安全管理實施細則,即ISO/IEC17799-2005,對2000年版的標準進行了修訂,更加注重標準的通用性和實用性。

  日本的系統(tǒng)審計是從八十年代開始,1983年通產(chǎn)省公開發(fā)表了《系統(tǒng)審計標準》,并在全國軟件水平中增加了“系統(tǒng)審計師”一級的考試,著手培養(yǎng)從事信息系統(tǒng)審計的骨干隊伍。近幾年東南亞各國也開始制定電子商務法規(guī),成立專門機構開展信息系統(tǒng)審計業(yè)務,并制定技術標準。

  國內(nèi)現(xiàn)在about信息系統(tǒng)審計的依據(jù)主要有修訂后的《中華人民共和國審計法》、國辦發(fā)【2001】88號文件《國務院辦公廳關利用計算機信息系統(tǒng)開展審計工作有關的通知》、1999年頒布了獨立審計準則第20號——計算機信息系統(tǒng)環(huán)境下的審計等,同時可以主要參考COBIT和ISO17799標準。

  但是我國信息系統(tǒng)審計才剛起步,審計技術、審計規(guī)范、制度等都有待。隨著我國信息化水平的提高,對信息系統(tǒng)的有效控制與審計將逐漸成為研究熱點。

  五、開展信息系統(tǒng)審計的意義

    1.信息系統(tǒng)審計是未來審計發(fā)展的必然

    未來審計行業(yè)和審計技術的發(fā)展動力將主要來自于信息系統(tǒng)審計的發(fā)展。

  2.維護信息的市場經(jīng)濟秩序

    市場經(jīng)濟是建立在信用基礎上的,信息系統(tǒng)審計應當充當信息時代經(jīng)濟生活中公正的鑒證人起著維護市場經(jīng)濟穩(wěn)定的作用。信息時代競爭的加劇,信息流的電子傳播方式等,使市場對及時和相關信息的需求越來越多,現(xiàn)有財務報告模式的局限性性日漸突出。現(xiàn)有財務報告是以成本為計量基礎的、周期性的向利益相關者報告。在新經(jīng)濟環(huán)境中,信息系統(tǒng)審計師應能夠以在線、實時的信息為基礎提供鑒證,通過多種方式來保護公眾利益、提供鑒證服務并滿足投資公眾對決策有用信息的訪問需要。提供實時報告鑒證對保護公眾利益和保護資本市場的有序發(fā)展是非常有意義的。

  3.為信息化建設保駕護航

    “以信息化帶動工業(yè)化”,推進“電子政務”及“電子商務”,許多企業(yè)也已著手整合與升級其信息化應用系統(tǒng)。可以預計,全國將有更多、更大的信息系統(tǒng)建設項目展開。但是,信息化是有風險的,信息系統(tǒng)規(guī)模越大,功能越復雜,風險也就越大。信息系統(tǒng)審計師的出現(xiàn),可以從項目計劃開始介入信息系統(tǒng)建設的每個環(huán)節(jié),以他們的專業(yè)素養(yǎng),從項目的初始階段一直到運營的全過程,給予項目投資者風險控制的評估與建議,提高信息系統(tǒng)的投資效益。

  參考書目

  1.江澤民同志在十六大的報告

  2.(美)Jack J.Champlain著審計信息系統(tǒng)(第二版)張金城等譯清華大學出版社2004年11月第一版

  3.計算機審計中數(shù)據(jù)處理新辦法探討陳偉劉思峰邱廣華《審計與經(jīng)濟研究》2006年第1期(37)

  4.信息環(huán)境下審計技術的探索:實時在線審計陳丹萍《審計與經(jīng)濟研究》2005年第4期

  5.about電子證據(jù)可采性與證明力的若干問題探討姚太明審計研究2005年第1期

  6.電算化條件下的計算機審計秦宇會計之友2005年第三期(42)

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - galtzs.cn All Rights Reserved. 北京正保會計科技有限公司 版權所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號