浅谈信息系统审计论文
信息技术的飞跃发展改变了政治、经济、社会、文化的结构和运行方式,随着信息技术的渗透,公共部门的审计工作正面临前所未有的挑战。下面是学习啦小编为大家整理的浅谈信息系统审计论文,供大家参考。
浅谈信息系统审计论文篇一
《 信息系统审计初探 》
信息系统审计是一项较新的审计领域,也是计算机审计的一项重要审计内容,它通过关注信息系统的可靠性和安全性,促进被审计单位的信息安全和数据真实。日前,笔者从一般控制、应用控制、绩效等事项,对某单位开展信息系统审计,并从真实性、安全性、有效性、经济性等方面进行了审计评价,揭示被审计单位信息系统存在的漏洞和安全隐患,积极摸索了信息系统绩效审计的方式方法,积累了一定经验,笔者从以下几个方面浅谈一些看法。
一般控制审计,全面评估系统及环境安全性,揭示系统安全隐患
在一般控制审计中,审计人员通过日志分析法,分析财务软件的操作记录,发现被审计单位的财务软件存在反记账、反结账功能,其中部分反记反结账操作为修改之前的凭证信息,且时间跨度超过180天,导致之前被修改月份已形成的会计报表数字不真实。
通过实地观察法和面谈询问法,对信息系统的部署环境(包括机房和设备)进行检查和测评,发现机房未建设电子门禁系统;未安装水浸、监控探头等监控设备;部分服务器主机设备已过质保服务期,且未进行硬件维护服务外包;未制定机房出入登记管理制度;未制定针对信息系统及其机房硬件设备出现重大问题时的应急管理制度等,信息系统的环境存在安全隐患。
利用漏洞扫描工具和网络检测诊断工具,对信息系统的网络环境进行了检查和评估。发现被审计单位的三个网络(业务内网、业务外网、外网申报网络)部分服务器主机存在操作系统、后台数据库弱口令以及重要漏洞未修补等问题;三个网络均缺少监控篡改、误改数据库的安全审计系统,缺少防止非法用户入侵网络的入侵检测系统,缺少提升网络管理性能和安全性的网络管理系统,缺少对日常上网行为进行规范和记录的上网行为管理系统,网络安全存在隐患。
通过问卷调查法,对被审计单位的信息系统安全进行了评估。发现被审计单位的四套信息系统均未进行安全等级测评,未制定风险评估计划和方案,系统安全存在隐患。
应用控制审计,深入分析信息系统的有效性,查找系统功能漏洞
利用测试数据法和流程图检查法,通过构建数据验证分析模型,对信息系统的业务流程控制、数据接口、数据输入、处理、输出控制、数据库应用控制、数据逻辑控制的有效性和可靠性进行了测试,同时结合数据审计和财务收支审计发现的问题,从信息系统的层面分析问题产生的深层次原因。
经过审计,发现业务信息系统与财务信息系统不衔接,且未设计对账功能,导致业务信息系统无法全面、真实反映收入情况,如某单位在审计年度两大系统收入差额数百万元;业务信息系统功能不完善,导致不能重现历史滞后补缴计划,无法准确核算历史征缴计划和单位欠费情况;业务信息系统未设计检测关键标志信息功能,导致未足额缴纳费用;未设计检测数据合理性功能,导致系统基础信息不真实、不合理,个别人重复享受待遇或多享受待遇;未设计检测数据合规性功能,导致不符合条件人员享受待遇;未设计多支应收回计划功能,导致无法自动生成多支应收回计划,多支付的待遇金额未及时追回;新老系统数据转换错误,导致部分字段数据不合理、数据逻辑错误。
绩效审计,综合评价信息系统的经济性,拷问管理决策失误
由于信息系统绩效审计尚没有成熟的评价指标体系,审计人员在实践中摸索了利用资金使用情况检查法、对比分析法、问卷调查法进行审计评价的方法。
利用资金使用情况检查法,通过调取财务资料、项目招投标手续、会议纪要等,对信息系统建设资金来源的合法性、资金支出的合规性、招投标手续的完备性、合法性等事项进行检查,发现项目运行及维护经费支出中,公务经费支出比例占一半以上,不利于发挥专项资金的使用效益;机房上百万元的基础设施闲置,未能发挥工程建设资金的使用效益。通过审计还发现,项目建设周期过长,信息化的效益未能得到充分发挥。发改委批复项目建设周期为2年,截至审计之日,已历经7年时间,项目建设仍未完成,且资金到位率为88%,实际完成投资额仅为49%。
利用对比分析法和问卷调查法,选择使用该系统的10家单位13个部门,对信息系统设计了6大项指标18个问题,使用加权平均法对问卷结果进行量化评分,问卷结果显示,信息系统的技术指标、技术经济效益(即性价比)、社会效益的得分均在及格线以下,信息系统建设效益较差,应用情况不理想,用户满意度低。用户反映的问题主要集中在系统运行速度慢、稳定性差、功能不完善、数据不准确、需求不能及时满足等方面。由于系统问题,有2个省辖市曾被投诉至市政府或效能办,2个省辖市部分业务现在暂停办理。
由于该系统的不完善、数据不准确等原因,导致该系统的网上申报查询系统的利用率同样很低,企业投入资金未能发挥应有的效益。
深入细致探究原因,客观谨慎提出建议
我们所审计的重点单位,多是投入的资金量较大,与人民群众利益息息相关的单位,而这些单位信息系统存在较多的安全隐患和功能缺陷,建设效益不佳,将直接导致国家政策的执行力、人民群众的利益受到影响,因此,不仅要查出问题,还应深刻剖析原因。我们今年对某单位开展的信息系统审计中就发现,该单位建设开发的信息系统除了其本身功能缺陷外,本地化开发工作不足,开发与实际应用脱节造成系统功能滞后于业务需求。一是导致系统功能改进中间环节多、周期长,不同程度上影响了各级系统使用部门正常业务的办理。二是导致系统功能不能和国家、当地政策有效结合,使国家和各地政府制定的政策不能得到及时的贯彻执行,无法有效堵塞国家资金征缴、管理和使用中的漏洞。
信息系统审计查出的问题有着十分复杂的背景和原因,处理时应十分谨慎和客观,对此,我们在审计报告中并未提出处理意见,而是提出了十二项审计整改建议,如督促规范专项资金的使用和管理,提高资金使用效益;加强系统使用部门、开发部门以及上级机关的沟通协商,切实做好需求调研,加快本地化开发进程,完善系统功能;加快建设进度,及时组织验收工作;加强系统安全管理,建立、健全安全管理制度和手段,消除安全隐患等。该项目的审计结果得到了主管副省长的批示。
结语
从查错纠弊到防微杜渐,从冰山一角到溯本求源,信息系统审计正在以其独特的优势冲击着审计人员的思维,以其创新的视角引领着国家审计发展的新趋势,在拓宽审计领域、深化审计内涵、提升审计质量、降低审计风险上,发挥着前所未有的作用和魅力。
浅谈信息系统审计论文篇二
《 浅议信息系统审计 》
【摘要】在 计算 机信息系统 环境下,由于各种不确定因素的影响,使 审计质量受到影响,要想提高审计质量必须对 计算机内部数据处理的详细过程直接进行审查,并加快 发展 信息系统审计来完善审计 工作。
众所周知,审计质量是评价审计工作水平高低的标准,是 会计 师事务所的生命。审计质量的高低直接影响审计目标的实现,对 社会 经济 的发展与稳定产生着直接或间接的影响。由于早期计算机 应用比较简单,计算机审计业务主要关注被审计单位 电子 数据的取得、分析、计算等数据处理业务,还称不上信息系统审计;随着信息时代的到来, 网络 的普及及计算机信息系统的建立为信息系统审计带来了前所未有的机遇和挑战。
一、计算机信息系统环境下对审计质量的影响
(一)审计线索的减少
审计线索,亦称“审计轨迹”,在计算机信息系统环境下,会计核算主要由计算机完成,计算机只记录最后处理结果,忽略中间处理过程,数据形成依据的记录减少。储存于磁性介质上的会计数据具有存取方便、修改与删除不留痕迹的特点,这又给审计的追踪带来重重困难。因此,计算机信息系统环境下审计线索的减少和追踪困难的增加,必定给审计质量带来重大影响。
(二)审计对象的限制
审计对象是审计监督、检查和评价的客体,具体体现为被审计单位的各项经济活动及其反映的资料。在计算机信息系统环境下,注册会计师进行审计的依据是计算机的输出信息,审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息,其他敏感性信息则极有可能被人为掩藏。这样,注册会计师处于被动地位,难以获取充足的审计证据支持其审计结论,审计质量显然要受到影响。
(三)审计内容的扩展
手工系统中,审计内容就是有关财务会计的信息,而计算机环境下的审计内容还包括会计电算化系统的开发与设计、会计 软件的程序以及数据库 管理系统。此外,注册会计师还应该确定系统的开发与设计方法是否合理,是否严格按照分析、设计,测试、运行、维护的步骤进行,分析是否全面、设计是否恰当、测试是否充分,会计软件执行程序是否与实际操作中的业务流程一致,数据库管理系统是否有效,会计软件是否能够予以信赖,并以会计软件处理输出的结果作为审计对象。
(四)审计方法的落后
目前,被审计单位的财务工作多采用计算机进行数据处理,会计电算化软件功能日臻完善,但是审计软件的发展远远没有跟上会计软件发展的步伐,同时大部分注册会计师对计算机信息系统还不太熟悉,绝大多数审计业务仍停留在绕过计算机进行审计的阶段。但是这种方法的运用以系统必须留有足够的、肉眼可以识别的审计线索为条件,如前文所述,审计线索缺乏是计算机环境的一个特点,因此,绕过计算机审计的方法难以保证计算机环境下的审计质量。
(五)注册会计师计算机知识的缺乏
在计算机环境下,从审计 计划的制定到审计程序的确定,从审计技术的选择到审计方法的采用,都必须由注册会计师操作和指挥。这要求注册会计师不仅要有丰富的会计、财务、审计知识和技能,熟悉财经 法律 以及其他的审计依据,而且还应当掌握计算机知识及应用技术,掌握数据处理和管理技术;不仅要懂得审计软件的操作方法,而且还应当根据审计过程中所出现的种种问题,即时编写出各种测试、审计程序模块。
二、计算机信息系统环境下提高审计质量的对策
为了提高在计算机信息系统环境下的审计质量,在财务审计中,变绕过计算机审计为穿过计算机审计,对计算机内部数据处理的详细过程直接进行审查。内容包括以下几个方面。
(一)积极开展计算机信息系统的事前审计
通过事前审计监督,对计算机信息系统建立的内部控制的严密完善性、系统的合规合法性以及系统的可审性等进行评价,保证计算机信息系统运行以后数据处理结果的真实性和正确性,防止和减少计算机信息系统信息失真风险的发生。
(二)定期对被审系统的内部控制制度进行审计
对计算机信息系统的内部控制进行审查和评价是提高计算机信息系统环境下审计质量的有效措施之一。通过对被审计系统内部控制制度的健全性调查和实际执行情况的符合性测试,找出控制的弱点,提出强化内部控制措施,督促被审计单位完善内部控制系统。
(三)重视 计算 机信息系统的事后 审计
通过事后审计,对 计算机信息系统的 电子 账以及打印输出资料的真实性、合法性进行评价,防止和揭露计算机信息失真的风险。
通过以上分析,在计算机信息系统 环境下审计的业务范围已经扩展到了符合性测试领域。为财务报表审计提供服务只是信息系统审计业务内容很小的一部分,与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务在不断涌现。
三、加快 发展 信息系统审计
信息技术的发展对 中国 注册 会计 师和会计师事务所提出了更高的要求。国际同行的业务收入中,传统审计服务的收入比例在迅速下降,风险控制服务和 管理咨询服务收入的比重大大提高,而这些收入中增长的部分往往又和IT环境审计和信息系统安全审计服务有关。所以,应该从三个方面发展信息系统审计 工作。
(一)内部控制环节的变化,使许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础
计算机信息系统下的内部控制虽然与手工会计系统的目标是一致的,但是与手工会计系统相比,由于计算机有自动处理的功能,内部处理的不可控制性要求采用更为严格的方法。所以在控制方式、内容、手段等方面均不同于手工会计系统的内部控制。
1.职权制审查:即从 组织机构角度审查信息系统中各种人员的职责与权利、 联系与牵制。
2.人员素质审查:即是否有以提高人员素质为目的的控制措施。
3.硬件及环境审查:即对存档的系统设计文本中有关硬件的资料审查。
4.运行审查:即对计算机在输入、处理、输出过程中的运行情况审查。
5.修改方式及保密措施审查:审查操作修改程序是否只有一个入口,即凭证输入口;发现错误是否采用重新输入凭证的方式加以修改;是否修改后有修改痕迹;各主要功能模块是否设置操作口令,程序是否建立保密制度。
(二)控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点
由于 企业 经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,企业信息系统安全性导致的信息风险也日益增长。非授权用户常常利用信息系统本身存在的脆弱性对系统进行非法访问,这种非法访问使系统中储存信息的完整性受到威胁,使信息被修改或破坏而不能继续使用,更为严重的是系统中有价值的信息被非法篡改、伪造、窃取或删改而不留任何痕迹。此外,计算机还容易受各种 自然 灾害和各种误操作的破坏。必须认识到信息系统的这种脆弱性,采取有效措施来保证信息系统的安全。
减少被审计单位的信息风险、提高信息系统的安全性,其中最重要的手段是系统开发审计。在信息系统开发过程中控制信息系统中的不安全因素,使信息系统减少有意的或无意的差错。目前,我国大多数企业正处于信息系统的 应用及逐步完善阶段,系统开发审计应该是我国信息系统审计师的主要业务范围。
随着 经济 的不断发展,企业的经营规模正在不断扩大,使得企业的经营管理日益复杂,企业对内部和外部的信息交流需求也日益提高,传统的信息交流模式已不能满足其需要。Internet/Intranet已经逐渐成为企业成功不可缺少的工具。Intranet网的应用在给企业注入了新的活力的同时,也给传统的审计工作提出了很严峻的挑战。加快发展信息系统审计是我们完善审计工作的重要内容之一。
有关浅谈信息系统审计论文推荐:
1.浅谈审计相关论文
4.审计信息化论文