淺談信息系統審計論文
淺談信息系統審計論文
信息技術的飛躍發展改變了政治、經濟、社會、文化的結構和運行方式,隨著信息技術的滲透,公共部門的審計工作正面臨前所未有的挑戰。下面是學習啦小編為大家整理的淺談信息系統審計論文,供大家參考。
淺談信息系統審計論文篇一
《 信息系統審計初探 》
信息系統審計是一項較新的審計領域,也是計算機審計的一項重要審計內容,它通過關注信息系統的可靠性和安全性,促進被審計單位的信息安全和數據真實。日前,筆者從一般控制、應用控制、績效等事項,對某單位開展信息系統審計,并從真實性、安全性、有效性、經濟性等方面進行了審計評價,揭示被審計單位信息系統存在的漏洞和安全隱患,積極摸索了信息系統績效審計的方式方法,積累了一定經驗,筆者從以下幾個方面淺談一些看法。
一般控制審計,全面評估系統及環境安全性,揭示系統安全隱患
在一般控制審計中,審計人員通過日志分析法,分析財務軟件的操作記錄,發現被審計單位的財務軟件存在反記賬、反結賬功能,其中部分反記反結賬操作為修改之前的憑證信息,且時間跨度超過180天,導致之前被修改月份已形成的會計報表數字不真實。
通過實地觀察法和面談詢問法,對信息系統的部署環境(包括機房和設備)進行檢查和測評,發現機房未建設電子門禁系統;未安裝水浸、監控探頭等監控設備;部分服務器主機設備已過質保服務期,且未進行硬件維護服務外包;未制定機房出入登記管理制度;未制定針對信息系統及其機房硬件設備出現重大問題時的應急管理制度等,信息系統的環境存在安全隱患。
利用漏洞掃描工具和網絡檢測診斷工具,對信息系統的網絡環境進行了檢查和評估。發現被審計單位的三個網絡(業務內網、業務外網、外網申報網絡)部分服務器主機存在操作系統、后臺數據庫弱口令以及重要漏洞未修補等問題;三個網絡均缺少監控篡改、誤改數據庫的安全審計系統,缺少防止非法用戶入侵網絡的入侵檢測系統,缺少提升網絡管理性能和安全性的網絡管理系統,缺少對日常上網行為進行規范和記錄的上網行為管理系統,網絡安全存在隱患。
通過問卷調查法,對被審計單位的信息系統安全進行了評估。發現被審計單位的四套信息系統均未進行安全等級測評,未制定風險評估計劃和方案,系統安全存在隱患。
應用控制審計,深入分析信息系統的有效性,查找系統功能漏洞
利用測試數據法和流程圖檢查法,通過構建數據驗證分析模型,對信息系統的業務流程控制、數據接口、數據輸入、處理、輸出控制、數據庫應用控制、數據邏輯控制的有效性和可靠性進行了測試,同時結合數據審計和財務收支審計發現的問題,從信息系統的層面分析問題產生的深層次原因。
經過審計,發現業務信息系統與財務信息系統不銜接,且未設計對賬功能,導致業務信息系統無法全面、真實反映收入情況,如某單位在審計年度兩大系統收入差額數百萬元;業務信息系統功能不完善,導致不能重現歷史滯后補繳計劃,無法準確核算歷史征繳計劃和單位欠費情況;業務信息系統未設計檢測關鍵標志信息功能,導致未足額繳納費用;未設計檢測數據合理性功能,導致系統基礎信息不真實、不合理,個別人重復享受待遇或多享受待遇;未設計檢測數據合規性功能,導致不符合條件人員享受待遇;未設計多支應收回計劃功能,導致無法自動生成多支應收回計劃,多支付的待遇金額未及時追回;新老系統數據轉換錯誤,導致部分字段數據不合理、數據邏輯錯誤。
績效審計,綜合評價信息系統的經濟性,拷問管理決策失誤
由于信息系統績效審計尚沒有成熟的評價指標體系,審計人員在實踐中摸索了利用資金使用情況檢查法、對比分析法、問卷調查法進行審計評價的方法。
利用資金使用情況檢查法,通過調取財務資料、項目招投標手續、會議紀要等,對信息系統建設資金來源的合法性、資金支出的合規性、招投標手續的完備性、合法性等事項進行檢查,發現項目運行及維護經費支出中,公務經費支出比例占一半以上,不利于發揮專項資金的使用效益;機房上百萬元的基礎設施閑置,未能發揮工程建設資金的使用效益。通過審計還發現,項目建設周期過長,信息化的效益未能得到充分發揮。發改委批復項目建設周期為2年,截至審計之日,已歷經7年時間,項目建設仍未完成,且資金到位率為88%,實際完成投資額僅為49%。
利用對比分析法和問卷調查法,選擇使用該系統的10家單位13個部門,對信息系統設計了6大項指標18個問題,使用加權平均法對問卷結果進行量化評分,問卷結果顯示,信息系統的技術指標、技術經濟效益(即性價比)、社會效益的得分均在及格線以下,信息系統建設效益較差,應用情況不理想,用戶滿意度低。用戶反映的問題主要集中在系統運行速度慢、穩定性差、功能不完善、數據不準確、需求不能及時滿足等方面。由于系統問題,有2個省轄市曾被投訴至市政府或效能辦,2個省轄市部分業務現在暫停辦理。
由于該系統的不完善、數據不準確等原因,導致該系統的網上申報查詢系統的利用率同樣很低,企業投入資金未能發揮應有的效益。
深入細致探究原因,客觀謹慎提出建議
我們所審計的重點單位,多是投入的資金量較大,與人民群眾利益息息相關的單位,而這些單位信息系統存在較多的安全隱患和功能缺陷,建設效益不佳,將直接導致國家政策的執行力、人民群眾的利益受到影響,因此,不僅要查出問題,還應深刻剖析原因。我們今年對某單位開展的信息系統審計中就發現,該單位建設開發的信息系統除了其本身功能缺陷外,本地化開發工作不足,開發與實際應用脫節造成系統功能滯后于業務需求。一是導致系統功能改進中間環節多、周期長,不同程度上影響了各級系統使用部門正常業務的辦理。二是導致系統功能不能和國家、當地政策有效結合,使國家和各地政府制定的政策不能得到及時的貫徹執行,無法有效堵塞國家資金征繳、管理和使用中的漏洞。
信息系統審計查出的問題有著十分復雜的背景和原因,處理時應十分謹慎和客觀,對此,我們在審計報告中并未提出處理意見,而是提出了十二項審計整改建議,如督促規范專項資金的使用和管理,提高資金使用效益;加強系統使用部門、開發部門以及上級機關的溝通協商,切實做好需求調研,加快本地化開發進程,完善系統功能;加快建設進度,及時組織驗收工作;加強系統安全管理,建立、健全安全管理制度和手段,消除安全隱患等。該項目的審計結果得到了主管副省長的批示。
結語
從查錯糾弊到防微杜漸,從冰山一角到溯本求源,信息系統審計正在以其獨特的優勢沖擊著審計人員的思維,以其創新的視角引領著國家審計發展的新趨勢,在拓寬審計領域、深化審計內涵、提升審計質量、降低審計風險上,發揮著前所未有的作用和魅力。
淺談信息系統審計論文篇二
《 淺議信息系統審計 》
【摘要】在 計算 機信息系統 環境下,由于各種不確定因素的影響,使 審計質量受到影響,要想提高審計質量必須對 計算機內部數據處理的詳細過程直接進行審查,并加快 發展 信息系統審計來完善審計 工作。
眾所周知,審計質量是評價審計工作水平高低的標準,是 會計 師事務所的生命。審計質量的高低直接影響審計目標的實現,對 社會 經濟 的發展與穩定產生著直接或間接的影響。由于早期計算機 應用比較簡單,計算機審計業務主要關注被審計單位 電子 數據的取得、分析、計算等數據處理業務,還稱不上信息系統審計;隨著信息時代的到來, 網絡 的普及及計算機信息系統的建立為信息系統審計帶來了前所未有的機遇和挑戰。
一、計算機信息系統環境下對審計質量的影響
(一)審計線索的減少
審計線索,亦稱“審計軌跡”,在計算機信息系統環境下,會計核算主要由計算機完成,計算機只記錄最后處理結果,忽略中間處理過程,數據形成依據的記錄減少。儲存于磁性介質上的會計數據具有存取方便、修改與刪除不留痕跡的特點,這又給審計的追蹤帶來重重困難。因此,計算機信息系統環境下審計線索的減少和追蹤困難的增加,必定給審計質量帶來重大影響。
(二)審計對象的限制
審計對象是審計監督、檢查和評價的客體,具體體現為被審計單位的各項經濟活動及其反映的資料。在計算機信息系統環境下,注冊會計師進行審計的依據是計算機的輸出信息,審計對象在此受到計算機操作人員的限制。后者完全可以只提供他們愿意被審計的信息,其他敏感性信息則極有可能被人為掩藏。這樣,注冊會計師處于被動地位,難以獲取充足的審計證據支持其審計結論,審計質量顯然要受到影響。
(三)審計內容的擴展
手工系統中,審計內容就是有關財務會計的信息,而計算機環境下的審計內容還包括會計電算化系統的開發與設計、會計 軟件的程序以及數據庫 管理系統。此外,注冊會計師還應該確定系統的開發與設計方法是否合理,是否嚴格按照分析、設計,測試、運行、維護的步驟進行,分析是否全面、設計是否恰當、測試是否充分,會計軟件執行程序是否與實際操作中的業務流程一致,數據庫管理系統是否有效,會計軟件是否能夠予以信賴,并以會計軟件處理輸出的結果作為審計對象。
(四)審計方法的落后
目前,被審計單位的財務工作多采用計算機進行數據處理,會計電算化軟件功能日臻完善,但是審計軟件的發展遠遠沒有跟上會計軟件發展的步伐,同時大部分注冊會計師對計算機信息系統還不太熟悉,絕大多數審計業務仍停留在繞過計算機進行審計的階段。但是這種方法的運用以系統必須留有足夠的、肉眼可以識別的審計線索為條件,如前文所述,審計線索缺乏是計算機環境的一個特點,因此,繞過計算機審計的方法難以保證計算機環境下的審計質量。
(五)注冊會計師計算機知識的缺乏
在計算機環境下,從審計 計劃的制定到審計程序的確定,從審計技術的選擇到審計方法的采用,都必須由注冊會計師操作和指揮。這要求注冊會計師不僅要有豐富的會計、財務、審計知識和技能,熟悉財經 法律 以及其他的審計依據,而且還應當掌握計算機知識及應用技術,掌握數據處理和管理技術;不僅要懂得審計軟件的操作方法,而且還應當根據審計過程中所出現的種種問題,即時編寫出各種測試、審計程序模塊。
二、計算機信息系統環境下提高審計質量的對策
為了提高在計算機信息系統環境下的審計質量,在財務審計中,變繞過計算機審計為穿過計算機審計,對計算機內部數據處理的詳細過程直接進行審查。內容包括以下幾個方面。
(一)積極開展計算機信息系統的事前審計
通過事前審計監督,對計算機信息系統建立的內部控制的嚴密完善性、系統的合規合法性以及系統的可審性等進行評價,保證計算機信息系統運行以后數據處理結果的真實性和正確性,防止和減少計算機信息系統信息失真風險的發生。
(二)定期對被審系統的內部控制制度進行審計
對計算機信息系統的內部控制進行審查和評價是提高計算機信息系統環境下審計質量的有效措施之一。通過對被審計系統內部控制制度的健全性調查和實際執行情況的符合性測試,找出控制的弱點,提出強化內部控制措施,督促被審計單位完善內部控制系統。
(三)重視 計算 機信息系統的事后 審計
通過事后審計,對 計算機信息系統的 電子 賬以及打印輸出資料的真實性、合法性進行評價,防止和揭露計算機信息失真的風險。
通過以上分析,在計算機信息系統 環境下審計的業務范圍已經擴展到了符合性測試領域。為財務報表審計提供服務只是信息系統審計業務內容很小的一部分,與信息安全相關的防火墻審計、安全診斷、信息技術認證以及ERP相關的新型咨詢業務在不斷涌現。
三、加快 發展 信息系統審計
信息技術的發展對 中國 注冊 會計 師和會計師事務所提出了更高的要求。國際同行的業務收入中,傳統審計服務的收入比例在迅速下降,風險控制服務和 管理咨詢服務收入的比重大大提高,而這些收入中增長的部分往往又和IT環境審計和信息系統安全審計服務有關。所以,應該從三個方面發展信息系統審計 工作。
(一)內部控制環節的變化,使許多傳統的控制手段已經失去意義,評價和改進內部控制必須以信息系統的運轉為基礎
計算機信息系統下的內部控制雖然與手工會計系統的目標是一致的,但是與手工會計系統相比,由于計算機有自動處理的功能,內部處理的不可控制性要求采用更為嚴格的方法。所以在控制方式、內容、手段等方面均不同于手工會計系統的內部控制。
1.職權制審查:即從 組織機構角度審查信息系統中各種人員的職責與權利、 聯系與牽制。
2.人員素質審查:即是否有以提高人員素質為目的的控制措施。
3.硬件及環境審查:即對存檔的系統設計文本中有關硬件的資料審查。
4.運行審查:即對計算機在輸入、處理、輸出過程中的運行情況審查。
5.修改方式及保密措施審查:審查操作修改程序是否只有一個入口,即憑證輸入口;發現錯誤是否采用重新輸入憑證的方式加以修改;是否修改后有修改痕跡;各主要功能模塊是否設置操作口令,程序是否建立保密制度。
(二)控制計算機環境風險和信息系統運行風險作為管理咨詢和服務的重點
由于 企業 經營越來越依賴于信息系統,除了傳統意義上的經營風險、控制風險和財務風險之外,企業信息系統安全性導致的信息風險也日益增長。非授權用戶常常利用信息系統本身存在的脆弱性對系統進行非法訪問,這種非法訪問使系統中儲存信息的完整性受到威脅,使信息被修改或破壞而不能繼續使用,更為嚴重的是系統中有價值的信息被非法篡改、偽造、竊取或刪改而不留任何痕跡。此外,計算機還容易受各種 自然 災害和各種誤操作的破壞。必須認識到信息系統的這種脆弱性,采取有效措施來保證信息系統的安全。
減少被審計單位的信息風險、提高信息系統的安全性,其中最重要的手段是系統開發審計。在信息系統開發過程中控制信息系統中的不安全因素,使信息系統減少有意的或無意的差錯。目前,我國大多數企業正處于信息系統的 應用及逐步完善階段,系統開發審計應該是我國信息系統審計師的主要業務范圍。
隨著 經濟 的不斷發展,企業的經營規模正在不斷擴大,使得企業的經營管理日益復雜,企業對內部和外部的信息交流需求也日益提高,傳統的信息交流模式已不能滿足其需要。Internet/Intranet已經逐漸成為企業成功不可缺少的工具。Intranet網的應用在給企業注入了新的活力的同時,也給傳統的審計工作提出了很嚴峻的挑戰。加快發展信息系統審計是我們完善審計工作的重要內容之一。
有關淺談信息系統審計論文推薦:
1.淺談審計相關論文
4.審計信息化論文