作者:佚名2010-1-1811:40:17来源:会计人网
近日,审计署刘家义审计长提出了“信息系统应用责任审计是经济责任审计7个组成方面之一”的观点,为企业信息系统审计指明了方向和目标。我有幸参加了审计署组织的第一次与经济责任审计相结合的企业信息系统审计项目,下面结合工作实际谈一下我对企业信息系统审计的几点认识:
一、企业信息系统审计是实现评价领导人信息系统应用责任的重要方法
目前,大型企业在组织形态走向分散化的同时其管理的集约化程度不断提高,依靠集中的信息管理,很多大企业建立了比较发达的“神经系统”,不仅基本实现了财务统一管理,在业务领域也实现了分布式应用、集中化管理,信息系统的复杂度和数据量随之迅速增长。因此,现在依靠传统的计算机审计思路和方法,很难对信息化程度较高的大型企业的领导人的信息系统应用责任做出评价,但我们通过信息系统审计可以从一定程度上回答企业全面的内控和管理情况,从而达到评价企业领导人的信息系统应用责任的目的。虽然目前通过信息系统审计方法较难查出大案要案,与当前审计环境和要求有一定矛盾,但从长远看,企业信息系统审计一定有生命力和发展前途。
二、企业信息系统审计的方法步骤及主要内容
在国内信息系统审计指南还未发布的情况下,我们本次企业信息系统审计主要参照2009年美国联邦政府责任办公室发布的《联邦信息系统控制审计手册》(以下简称FISCAM)提供的方法步骤和主要内容,结合中国企业审计的实际情况开展。具体情况是:
(一)企业信息系统审计的方法步骤
FISCAM提供了一种依据在政府审计标准中提及的“一般公认的政府审计标准(GAGAS)”来执行信息系统控制审计的方法,结合本次审计,我认为企业信息系统的基本方法步骤为:一是了解审计的总体目标和信息系统控制审计的范围,二是了解被审计单位的运营情况和关键业务流程,三是全面了解被审计单位的网络架构,四是识别审计关注的关键审计域,五是初步评价信息系统风险,六是识别关键控制点,七是进行符合性测试,八是根据符合性测试结果进行实质性测试,最后是形成审计报告。
(二)企业信息系统审计的主要内容
我认为企业信息系统审计主要基于内部控制开展,信息系统内部控制是为了保证信息系统的有效性、可靠性和安全性,提高信息系统运营效率,确保信息准确、完整、可靠,有效保护信息资产,利用各种手段和技术,对信息系统实施的管理和控制过程。信息系统内部控制可以划分为一般控制和应用控制。
一般控制是对信息系统的开发、实施、维护和运行所进行的控制,主要目标为数据安全,保护应用程序,并确保计算机在异常中断情况下能持续运行。一般控制所采用的控制措施普遍适用于所有的应用系统,为应用系统提供了环境上的保证。
应用控制即业务流程应用程序级的控制,是指与被审计单位具体业务活动相关的控制,与一般控制相对应。应用控制既可以在信息系统内实现,也可以以手工方式实现。FISCAM定义应用控制为:对交易的完整性,准确性,有效性,机密性和可用性以及在应用处理中的数据的控制,通常分为应用程序级一般控制、业务流程控制、接口控制、数据管理系统控制等四类控制。
三、企业信息系统审计的知识能力要求
企业信息系统审计涉及多学科,需要高素质的综合型审计人员,审计人员必须具备开展信息系统审计所需要的审计、内部控制与信息技术专业能力,应当取得审计署计算机审计资格和信息系统审计资格,掌握信息系统基本知识,如具备财务会计、大型数据库、网络安全、内部控制等方面的知识,同时具备一定的计算机辅助审计能力,能熟练运用外部资源进行信息系统审计测试。必要时,我们还需从外部聘请专家解决专业能力不足的问题。
FISCAM中对信息系统审计人员的专业能力也提出了具体要求,如业务流程控制审计就需具备以下专业知识和能力:一是有关应用数据完整性、准确性、有效性和机密性的实务、策略和技术的知识;二是每个业务流程处理周期中的典型应用的知识;三是使用通用审计软件包对应用程序数据进行数据分析和测试,以及计划、提取与评价数据样本分析和评价组织的应用控制,并界定其优缺点的能力。
-
浅析数据审计与信息系统审计
273人看过
-
破坏计算机信息系统罪处几年
299人看过
-
犯破坏计算机信息系统罪判几年
357人看过
-
破坏计算机信息系统罪起刑点是什么
313人看过
-
非法侵入计算机信息系统罪认定
78人看过
-
怎样认定破坏计算机信息系统罪
229人看过
政府审计指政府审计机关对会计账目进行独立检查,监督财政、财务收支真实、合法和效益的行为,其实质是对受托经济责任履行结果进行独立的监督。 西方审计内容除一般真实性和合法性审计外,正向着重于经济和效率审计、项目效果审计发展,也称为绩效审计。... 更多>
-
会计信息系统与企业管理信息系统之间的关系如何??陕西在线咨询 2022-10-23会计信息系统是企业管理信息系统的一个核心子系统。由于历史形成的原因,计算机引入会计工作之初主要用于替代人工进行各种会计数据的处理,并提供各种财务会计信息和有关的一些与资金流有关的管理信息,形成独立的、主要为会计部门使用的会计信息系统。由于这种独立于其他业务处理系统及企业生产计划和管理的会计系统越来越难以满足企业管理的需要,随着企业管理思想的不断发展和完善,人们根据不同的管理思想和模式设计出各种不同
-
计算机信息系统不得传播已知知识产权信息山东在线咨询 2022-04-04在与国际互联网联网的计算机信息系统中,不得存储、处理、传递国家秘密信息。禁止使用已联接总局机关局域网的设备同时访问因特网;总局机关内部网必须与因特网实现物理分离。存储过国家秘密信息的计算机媒体介质(包括软盘、光盘)不能降低密级使用,不再使用的媒体介质应及时按规定渠道销毁,媒体维修时应保证所存储的国家秘密信息不被泄露。六、内事及外事活动制度
-
破坏计算机系统罪的相关信息青海在线咨询 2022-10-23违反国家规定,对计算机信息系统功能及其存储、处理、或传输的数据和应用程序进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;或者是故意制作、传播计算机病毒等破坏性程序,影响计算系统正常运行,后果严重的以上行为都有可能构成犯罪。
-
计算机信息系统不得存储、传播已知识产权信息的根本湖北在线咨询 2022-04-04在与国际互联网联网的计算机信息系统中,不得存储、处理、传递国家秘密信息。禁止使用已联接总局机关局域网的设备同时访问因特网;总局机关内部网必须与因特网实现物理分离。存储过国家秘密信息的计算机媒体介质(包括软盘、光盘)不能降低密级使用,不再使用的媒体介质应及时按规定渠道销毁,媒体维修时应保证所存储的国家秘密信息不被泄露。六、内事及外事活动制度
-
破坏计算机信息系统罪判几年山东在线咨询 2022-06-21破坏计算机信息系统罪,一般如果造成计算机信息系统不能正常运行,后果严重的,判五年以下有期徒刑或者拘役;如果后果特别严重的,判处五年以上有期徒刑。《中华人民共和国刑法》第二百八十六条规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或