浅谈信息化过程中的信息系统审计.doc

浅谈信息化过程中的信息系统审计 摘要：本文简要介绍了信息系统审计的相关概念归纳了信息系统审计的方法、技术与工具最后针对信息系统审计在信息化过程中的应用总结出了其应用价值关键词：信息系统审计;企业信息化;信息系统信息化是国家现代化的基本标志也是一个国家综合国力的集中体现信息化建设是一项长期的、综合的系统工程在改善企业运作管理水平、提高工作效率的同时也产生了巨大的风险因此建立信息系统审计制度发展信息系统审计是信息化过程中必不可少的制度保证和手段一、信息系统审计的概述1.信息系统审计的定义信息系统审计（InformationSystemAudit信息系统简称ISA）目前还没有公认的通用定义国际信息系统审计领域的权威专家RonWeber将它定义为：收集并评估证据以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标同时最经济地使用资源可通俗的理解为是对信息系统的规划、开发、实施、运行和维护等各个环节进行评价确保其符合企业经营目标的过程2.信息系统审计的业务内容信息系统审计的业务内容包括计算机资源管理审计、软硬件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计信息系统审计项目按生命周期来划分一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计信息系统开发过程中的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计；信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计3.信息系统审计的流程信息系统审计流程包括三个阶段即:审计计划阶段、审计实施阶段和审计完成阶段计划阶段是信息系统审计流程的第一步主要任务是了解被审系统的基本情况；与委托单位签订业务约定书；初步评价被审系统的内部控制及外部控制；确定重要性水平；分析审计风险和编制审计计划实施阶段的主要任务是根据重要性水平、风险和计划获取有关资料；进行符合性测试和实质性测试；对测试结果进行分析；找出导致结果的原因完成阶段的主要任务是整理、评价审计证据；复核工作底稿完成二级复核汇总审计差异同被审系统管理层交流；对重要性水平和风险进行最终评价形成审计意见编制审计报告完成三级复核二、信息系统审计的方法、技术与工具由于信息系统本身的多样性和复杂性信息系统审计的难度也随之增加面对错综复杂的信息系统和审计环境要求审计师可以根据审计组织及信息系统的实际情况结合审计目标、成本效益、审计小组的人员与设备配置情况等采用多种方法、技术和工具来帮助他们进行审计工作1.常规的审计方法、技术与工具常规的审计方法包括面谈法、问卷调查法、系统评审会、流程图检查、程序代码检查、程序代码比较和测试等但在高度计算机化的信息系统中只采用常规审计法显然是不够的无论是审计证据的收集、评价还是实现审计工作的现代化都需要借助计算机来高效完成2.计算机辅助审计的技术与工具信息系统被普遍应用与企业生产、管理及经营活动的各个环节审计师为达到审计目的必须要收集大量储存于计算机中的数据并借助于计算机对这些数据进行分析以得出审计的结论因此审计师在收集证据并分析证据时必需利用计算机辅助审计工作计算机辅助审计技术（ComputerAssistedAuditTechniques简称CAAT）越来越成为审计师不可或缺的手段 摘要：本文简要介绍了信息系统审计的相关概念归纳了信息系统审计的方法、技术与工具最后针对信息系统审计在信息化过程中的应用总结出了其应用价值关键词：信息系统审计;企业信息化;信息系统信息化是国家现代化的基本标志也是一个国家综合国力的集中体现信息化建设是一项长期的、综合的系统工程在改善企业运作管理水平、提高工作效率的同时也产生了巨大的风险因此建立信息系统审计制度发展信息系统审计是信息化过程中必不可少的制度保证和手段一、信息系统审计的概述1.信息系统审计的定义信息系统审计（InformationSystemAudit信息系统简称ISA）目前还没有公认的通用定义国际信息系统审计领域的权威专家RonWeber将它定义为：收集并评估证据以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标同时最经济地使用资源可通俗的理解为是对信息系统的规划、开发、实施、运行和维护等各个环节进行评价确保其符合企业经营目标的过程2.信息系统审计的业务内容信息系统审计的业务内容包括计算机资源管理审计、软硬件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计信息系统审计项目按生命周期来划分一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计信息系统开发过程中的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计；信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计3.信息系统审计的流程信息系统审计流程包括三个阶段即:审计计划阶段、审计实施阶段和审计完成阶段计划阶段是信息系统审计流程的第一步主要任务是了解被审系统的基本情况；与委托单位签订业务约定书；初步评价被审系统的内部控制及外部控制；确定重要性水平；分析审计风险和编制审计计划实施阶段的主要任务是根据重要性水平、风险和计划获取有关资料；进行符合性测试和实质性测试；对测试结果进行分析；找出导致结果的原因完成阶段的主要任务是整理、评价审计证据；复核工作底稿完成二级复核汇总审计差异同被审系统管理层交流；对重要性水平和风险进行最终评价形成审计意见编制审计报告完成三级复核二、信息系统审计的方法、技术与工具由于信息系统本身的多样性和复杂性信息系统审计的难度也随之增加面对错综复杂的信息系统和审计环境要求审计师可以根据审计组织及信息系统的实际情况结合审计目标、成本效益、审计小组的人员与设备配置情况等采用多种方法、技术和工具来帮助他们进行审计工作1.常规的审计方法、技术与工具常规的审计方法包括面谈法、问卷调查法、系统评审会、流程图检查、程序代码检查、程序代码比较和测试等但在高度计算机化的信息系统中只采用常规审计法显然是不够的无论是审计证据的收集、评价还是实现审计工作的现代化都需要借助计算机来高效完成2.计算机辅助审计的技术与工具信息系统被普遍应用与企业生产、管理及经营活动的