信息系统审计应把握的重点及其对策措施.pdf

信息系统审计应把握的重点及其对策措施

信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够

保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、

使组织的资源得到高效地使用等方面作出判断的过程。随着计算机及网络

技术的迅速发展，审计机关要想完成“全面审计，突出重点”的审计目标，担

负起社会经济运行的“免疫系统”作用，就必须加快信息系统审计的步伐。为

此，笔者认为，审计机关要开展好信息系统审计，就必须把握重点，加强组织，

制定措施，积极推进。

一、开展信息系统审计应把握的重点

1、信息系统审计的目标和内容

信息系统审计目标：信息系统审计不仅要对系统信息的合法性、公允性进

行审计，还要对信息系统的硬件和软件，以及整个信息系统的安全性、稳定性、

内部控制的健全性与有效性等方面进行审计，指出被审计单位信息系统内部管

理和控制上的薄弱环节，提高其信息系统的可靠性和真实性，有效地防止利用

信息技术随意篡改系统信息或破坏磁介质上的数据等舞弊行为的发生。因此，

信息系统审计目标不仅仅在于应用计算机进行审计（即传统EDI审计或计算机

辅助审计），更重要的是要对信息系统本身的安全性、稳定性及其实现组织目

标的有效性进行实时的检查、评价和改造。

信息系统审计内容：主要包括信息系统开发过程审计、一般控制审计和应

用控制审计三个方面。

2、信息系统审计的职能和方式

1

为了实现审计目标，保证和咨询应成为对信息系统进行审计的两大基本职

能。“保证”即“系统可靠性保证”，就是通过对信息系统运行过程、商业连

续性能力、维护状况进行评价，合理保证信息系统安全、稳定、有效，它是信

息系统审计最基本的职能。“咨询”是指审计人员能够向信息系统的高层管理

者以及使用者提供解决问题的方案，以达到改善经营和为组织增加价值的目

的。

信息系统审计组织方式：一种是将信息系统审计作为常规项目审计的一部

分，是为整个审计项目的总体目标服务的。检查信息系统本身及其内部控制的

可靠性和有效性，为数据审计服务，最终通过审计数据得出审计结论，即数据

审计、信息系统审计和系统内控审计“三位一体”的结合方式。另一种是独立

立项的信息系统审计，直接针对信息系统进行审计，将信息系统本身的安全性、

可靠性和有效性作为审计目标。现阶段开展的信息系统审计以第一种方式为

主。

3、信息系统审计的依据和原则

审计人员执行信息系统审计时，主要以信息系统的管理制度、条例和法规、

ISO9000、信息系统的实际运行情况等为主要依据。目前信息系统审计工作还

处于探索阶段，没有一套成形的专业规范，信息系统审计人员可遵照ISACA（国

际信息系统审计与控制协会）发布的《信息系统审计准则》执行信息系统审计

业务。

审计信息系统审计原则：一是应坚持“先易后难、逐步推开”的原则，在

条件具备的情况下选择合适的审计项目进行试点和探索。二是应坚持“先上而

下，上下结合”的原则，因为越往上，人才技术具备，且信息系统往往是自上

而是下部署运用的，通过上级审计，就可以减少重复审计，降低审计成本，使

2

审计成果利用最大化；三是应坚持财务与信息系统结合型审计和信息系统独立

型审计相结合的原则。在年度审计计划确立上，要逐步安排结合型或者独立型

的项目；在审计的组织方式上，要使传统的审计项目与信息系统审计的内容结

合起来，保证信息系统审计的结果能够应用于整个审计工作中，做好信息系统

审计与整个审计工作的衔接。

4、信息系统审计的技术和方法

对信息系统审计的方法既包括一般方法即手工方法，也包括应用计算机审

计的方法。信息系统审计的一般方法主要用于对信息系统的了解和描述，包括：

面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图

形描述法等。应用计算机的方法一般用于对信息系统的控制测试，包括：测试

数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试

法、受控处理法和受控再处理法等。

5、信息系统审计的流程和步骤

信息系统审计是一个获取并评价证据，以研判信息系统是否能够保证资产

的安全、有效