新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

《中國審計》2007年第06期 張京奕 2007年7月2日


--------------------------------------------------------------------------------


信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。







信息系統(tǒng)審計的方法



信息系統(tǒng)審計過程與一般審計過程一樣，分為準備階段、實施階段和報告階段。其中，準備階段和報告階段所涉及的技術(shù)方法與財務(wù)審計所運用的技術(shù)方法區(qū)別不大，而實施階段所涉及的技術(shù)方法則具有信息技術(shù)的特色。在實施階段，針對被審計的信息系統(tǒng)，審計人員所開展的工作可以分為三個層次，即了解、描述和測試。



計算機信息系統(tǒng)環(huán)境下審計技術(shù)方法與手工環(huán)境下傳統(tǒng)的審計技術(shù)方法相比，相應(yīng)增加了計算機技術(shù)的內(nèi)容。對信息系統(tǒng)審計的方法既包括一般方法即手工方法，也包括應(yīng)用計算機審計的方法。信息系統(tǒng)審計的一般方法主要用于對信息系統(tǒng)的了解和描述，包括：面談法、系統(tǒng)文檔審閱法、觀察法、計算機系統(tǒng)文字描述法、表格描述法、圖形描述法等。應(yīng)用計算機的方法一般用于對信息系統(tǒng)的控制測試，包括：測試數(shù)據(jù)法、平行模擬法、在線連續(xù)審計技術(shù)（通過嵌入審計模塊實現(xiàn)）、綜合測試法、受控處理法和受控再處理法等。應(yīng)用計算機技術(shù)的審計方法主要是指計算機輔助審計技術(shù)與工具的運用。但不能把計算機輔助審計技術(shù)與工具的使用過程與信息系統(tǒng)審計等同起來。在信息系統(tǒng)審計的過程中，仍然需要運用大量的手工審計技術(shù)。







信息系統(tǒng)審計應(yīng)關(guān)注的重點環(huán)節(jié)



1．?dāng)?shù)據(jù)環(huán)節(jié)



在審計中，必須使用一種方法能夠向前、向后追蹤單個交易和資產(chǎn)記錄，以便使審計人員選擇一些交易對其進行詳細檢查，確認交易記錄是否符合一般的審計目標(biāo)。如對會計事項信息的檢查，要檢查它的完整性、時效性、合規(guī)性和信息披露等方面，檢查內(nèi)容包括與本會計年度有關(guān)的交易是否全部記錄在冊；所有記錄的交易是否都是合理發(fā)生的并與本會計年度有關(guān)；記錄的交易是否數(shù)據(jù)準確，計算無誤；記錄的交易是否符合基本的和輔助的法律規(guī)定，符合特定權(quán)威機構(gòu)的要求；對記錄的交易是否進行正確的分類，并符合信息對外披露的要求等。對財務(wù)報表信息的檢查，要檢查完整性、存在性、會計計量、所有權(quán)以及信息披露等方面，檢查內(nèi)容包括是否記錄了所有的資產(chǎn)和負債；所有記錄的資產(chǎn)和負債是否都是存在的；對資產(chǎn)和負債的計量是否精確，計算方法是否符合按合理性、一致的標(biāo)準制定的會計政策的要求；確認資產(chǎn)是被審主體所有的、負債是被審主體應(yīng)該承擔(dān)的，并且資產(chǎn)和負債是否由合法的經(jīng)­濟活動產(chǎn)生的；資產(chǎn)、負債、資本和存貨是否都得到正確的披露。同時對信息系統(tǒng)提供的業(yè)務(wù)信息也要進行分析，例如每月的工資總數(shù)、某階段的付款清單和訂貨信息等，要弄清基本的交易情況，并一直追蹤到信息源。對上述信息的分析可以采用計算機輔助審計技術(shù)，按照特定的標(biāo)準對數(shù)據(jù)進行匯總、分類、排序、比較和選擇，并進行各種運算。



2．內(nèi)部控制環(huán)節(jié)



內(nèi)部控制一般而言是指組織經(jīng)­營管理者為了維護財產(chǎn)物資的安全、完整，保證會計信息的真實、可靠，保證經(jīng)­營管理活動的經(jīng)­濟性、效率性和效果性以及各項法律和規(guī)范的遵守，而對經(jīng)­營管理活動進行調(diào)整、檢查和制約所形成的內(nèi)部管理機制，是組織為實現(xiàn)管理目標(biāo)而形成的自律系統(tǒng)。計算機系統(tǒng)的內(nèi)部控制主要分為應(yīng)用控制、一般控制和管理控制等三個方面，在審計過程中要對被審計單位內(nèi)控制度進行評價，包括電算化系統(tǒng)的內(nèi)控制度。為了對系統(tǒng)的內(nèi)控制度進行評價，審計人員必須驗證內(nèi)部控制系統(tǒng)是否存在，并能提供令人滿意的證據(jù)證明它正在有效地發(fā)揮作用。在計算機系統(tǒng)中，應(yīng)檢查以下方面來證明內(nèi)控制度的有效性:（1）控制系統(tǒng)資源的存取。包括物理資源，例如終端、服務(wù)器、連接盒、相關(guān)文檔等；還包括邏輯­資源，如軟件、系統(tǒng)文件和表、數(shù)據(jù)等。（2）控制系統(tǒng)資源的使用。用戶應(yīng)該只能對授權(quán)給他們的那些資源進行操作。（3）建立按用戶職能分配資源的制度。把重要的任務(wù)／功能按用戶或用戶組進行分離，以減少無意的誤操作、濫用系統(tǒng)資源和對數(shù)據(jù)的非授權(quán)修改。（4）記錄系統(tǒng)的使用情況。按時間順序建立一個使用記錄，記錄內(nèi)容應(yīng)包括例外事例和與安全有關(guān)的事件是由誰­觸發(fā)的，財務(wù)信息的創(chuàng)建、修改和刪除是由誰­完成的。（5）確認處理過程的準確性。用產(chǎn)生財務(wù)控制信息，確認處理過程的準確完成。（6）管理人員對財務(wù)信息系統(tǒng)的修改。應(yīng)該保證財務(wù)信息系統(tǒng)的所有修改都是經(jīng)­過授權(quán)、有文檔記錄、經(jīng)­過徹底（獨立地）測試的，確認最后以一種有控制的方式投入使用。（7）保護財務(wù)信息系統(tǒng)免遭計算機病毒的襲擊。必須建立一套控制措施，檢測病毒，防止病毒感染財務(wù)信息系統(tǒng)。



3.數(shù)據(jù)傳輸轉(zhuǎn)移環(huán)節(jié)



在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個財務(wù)信息系統(tǒng)或財務(wù)信息系統(tǒng)與業(yè)務(wù)信息系統(tǒng)之間相互轉(zhuǎn)移，在此過程中可能會出現(xiàn)一些問題，尤其是在需要手工重新錄入時。因此在審計時要重點關(guān)注以下方面：在轉(zhuǎn)移過程中數(shù)據(jù)可能會發(fā)生變化；新的科目代碼表與老的可能不一樣，需要在兩個財務(wù)信息系統(tǒng)之間建立復(fù)雜的對應(yīng)關(guān)系；中心數(shù)據(jù)庫可能被一些地理上分散的服務(wù)器取代；當(dāng)前財務(wù)信息系統(tǒng)中的數(shù)據(jù)質(zhì)量不佳；當(dāng)用一個總的信息系統(tǒng)取代一個預(yù)定財務(wù)信息系統(tǒng)時，需要補充許多新的數(shù)據(jù)。在檢查這一環(huán)節(jié)時，一定要保證輸出的消息是經(jīng)­過批準、完整和精確的，保證輸出的消息在約定時間內(nèi)準確地發(fā)送給指定的接收者，保證流入的消息是完整、準確和真實可靠的。







信息系統(tǒng)審計案例分析



2006年，在對某酒店開展的審計中，對酒店信息系統(tǒng)的安全性、可靠性進行了測試。測試結(jié)果發(fā)現(xiàn)信息系統(tǒng)在數(shù)據(jù)傳輸和運算上存在錯誤，通過數(shù)據(jù)驗證，證明錯誤產(chǎn)生的原­因是由信息系統(tǒng)本身缺陷造成的。上述審計結(jié)果得到了被審計單位的認可，促使被審計單位更換了信息系統(tǒng)，提高了計算機管理水平。



這次審計之所以能取得一定的效果，主要是注意從數(shù)據(jù)和內(nèi)控制度入手，利用計算機輔助審計技術(shù)和手工審計技術(shù)相結(jié)合開展信息系統(tǒng)審計。（1）在數(shù)據(jù)環(huán)節(jié)上，信息系統(tǒng)審計和數(shù)據(jù)審計對系統(tǒng)數(shù)據(jù)的利用角度是不一樣的。數(shù)據(jù)審計側(cè)重于數(shù)據(jù)之間的關(guān)聯(lián)，是審計數(shù)據(jù)的結(jié)果；而信息系統(tǒng)審計側(cè)重于數(shù)據(jù)的真實完整性，是通過測試數(shù)據(jù)的真實完整性來審計信息系統(tǒng)的安全性和可靠性。在審計中，通過詳細了解信息系統(tǒng)的數(shù)據(jù)庫結(jié)構(gòu)，對比數(shù)據(jù)庫中表文件的記錄數(shù)量大小和字段完整程度，確定需要查詢的數(shù)據(jù)庫表文件，把主表的數(shù)據(jù)完整性作為重點的測試目標(biāo)。（2）在內(nèi)部控制和數(shù)據(jù)傳輸環(huán)節(jié)，通過繪制組織機構(gòu)圖、系統(tǒng)流程圖和現(xiàn)場走訪等方式，全面了解酒店的業(yè)務(wù)流程和工作特點。通過摸清酒店的業(yè)務(wù)流程，跟蹤基礎(chǔ)數(shù)據(jù)流在業(yè)務(wù)流程中的走向，鎖定數(shù)據(jù)的大量運算點，是確定審計方向的關(guān)鍵。信息系統(tǒng)中所有業(yè)務(wù)活動的發(fā)生都集中體現(xiàn)在基礎(chǔ)數(shù)據(jù)流上，基礎(chǔ)數(shù)據(jù)流是一個信息系統(tǒng)的重要構(gòu)成要素，數(shù)據(jù)的大量運算點是測試系統(tǒng)運行安全性和可靠性的關(guān)鍵點。在此基礎(chǔ)上，確定了夜審日報匯總、會議團體客房轉(zhuǎn)賬和業(yè)務(wù)系統(tǒng)與財務(wù)核算系統(tǒng)手工傳輸數(shù)據(jù)三個系統(tǒng)模塊，作為對信息系統(tǒng)進行安全性、可靠性測試的重點。這三個模塊是信息系統(tǒng)內(nèi)數(shù)據(jù)大量運算和系統(tǒng)間傳輸數(shù)據(jù)的關(guān)鍵點，由于基礎(chǔ)數(shù)據(jù)在運算、自動傳輸和手工傳輸過程中存在發(fā)生錯誤和被調(diào)整修改的可能性，因此利用計算機輔助審計技術(shù)進行驗證。



在驗證過程中，通過分步驟編寫查詢語句和程序，調(diào)出數(shù)據(jù)生成中間表進行比對，發(fā)現(xiàn)疑點，根據(jù)疑點特征繼續(xù)比對，直到發(fā)現(xiàn)錯誤點。在SQL語句不能保證完成大批量查詢和比對任務(wù)的情況下，采用計算能力更強、運算速度更快的JAVA來編寫查詢程序，起到了事半功倍的效果。



（作者單位：審計署建設(shè)建材審計局）