企业信息系统审计的研究(2)
2016-07-30 01:09
导读:在初期,信息系统审计是作为传统审计业务的一部分,在审计师对由计算机系统处理的数据的质量进行判定时提供技术支持。有信息系统审计技能的审计师
在初期,信息系统审计是作为传统审计业务的一部分,在审计师对由计算机系统处理的数据的质量进行判定时提供技术支持。有信息系统审计技能的审计师被看作是会计师事务所的技术资源,在必要时为同事提供技术支持。对于信息系统审计,需求领域很广。如对组织的信息系统审计(主要集中在对信息技术的治理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通讯等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等等。
二、构建信息系统审计
信息系统审计的建立是一项复杂的系统工程,所以应制订长远的开发规划,由简到繁分阶段逐步实现。它的功能应该是:实现审计信息的收集、处理和共享;实现审计日常治理的自动化;通过计算机建立程序化的标准审计和同一的审计标准,从而进步审计工作的效率和质量。实现审计治理规范化;保证审计作业规范化;促进审计文档规范化;审计质量监视规范化;进步审计结论的层次。基于上述的系统目标,信息系统审计当前应由审计证据治理子系统、信息系统安全标准子系统、信息系统安全评估子系统、项目治理审计子系统和信息系统审计标准子系统等五个子系统组成。
(一)审计证据治理子系统
1.审计证据收集
(1)传统方法收集审计证据
(2)通过数据接口直接向计算机会计信息系统获取审计证据
(3)在线系统审计证据收集
(4)计算机系统审计证据收集
2.审计证据评价
(1)真实性。查明审计证据的来源、形成的时间、地点、制作过程及设备情况,有无伪造和删改的可能性。一般说来,由第三方(如中间商或网络服务商)来储存记录或转存的证据具有较高的证据效力;被审计事项的事实和行为发生时留下的证据的效力较以后专为诉讼的目的而形成的证据更为真实;对于自相矛盾、内容前后不一致或不符合情理的审计证据,应小心对待,不可轻信,对不能排除公道怀疑的审计证据不得采纳。
(转载自中国科教评价网http://www.nseac.com)
(2)正当性。包括收集手段是否正当和形式条件是否公道两部分。有些审计证据其本身也有证据力,但在收集过程中,违反了规定的手续和程序,因而也就不具有法律效力,也不能用来证实题目,为此,鉴定分析审计证据时,要了解证据是以什么方法、在什么情况下取得的,是否违反了法定的程序和要求,是否符正当律规定的形式要件,这样有利于判明审计证据的真伪程度和效力。
(3)相关性。查明审计证据反映的事实与被审计事项有无关系,只有与被审计事项的事实或逻辑上是相关的事实才能被以为是证据。
(4)结合其他证据进行鉴定分析。将审计过程中收集的全部证据综合起来加以分析、判定。如审查计算机审计证据中有无数据、图表等反映的事实,同有关书证、物证、证人证言进行分析,明确是否互相一致,是否有矛盾。假如与其他证据相一致,共同指向同一事实,就可以认定其效力,可以作为审计证据。反之则不能作为审计证据。
(二)信息系统安全标准子系统
构建通用的信息系统安全标准,作为信息系统审计工作中的标准。信息系统安全标准是由高级治理职员制定的最小标准、规则构成的集合,所以必须加以实现,以确保信息系统安全政策的实现。信息系统安全标准需要指明每个信息系统控制的具体要求。它为治理职员提供一个基准或底线,可以照此对单个信息系统控制的适当性进行评估。信息系统审计是一个获取并评价证据,以判定信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。
(三)信息系统安全评估子系统
信息系统审计集中反映了的战略目标,主要从质量、本钱、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性; 信息系统审计资源维主要包括以信息、系统、设施及人在内的信息相关的资源,这是信息系统审计治理过程的主要对象;信息系统审计过程则是在信息系统审计准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、获取与实施、交付与支持、监视与评估等方面确定了信息技术处理过程,每个处理过程还包括更加具体的控制目标和审计方针以对信息系统审计处理过程进行评估。
