*第三節(jié) 信息系統(tǒng)審計
一��、信息系統(tǒng)審計概述
(一)信息系統(tǒng)審計的概念
信息系統(tǒng)是由人�����、計算機軟件��、硬件和數(shù)據(jù)以及相關(guān)的配套措施所組成的���,其目標(biāo)是正確地收集、加工���、存儲��、傳遞提供決策所需要的信息�。
(二)信息系統(tǒng)審計的目標(biāo)
信息系統(tǒng)審計的總目標(biāo)是通過評價信息系統(tǒng)本身的安全性��、可靠性�,從而合理保證信息系統(tǒng)所產(chǎn)生數(shù)據(jù)的準(zhǔn)確性、完整性�����,從而保證企業(yè)資產(chǎn)安全性���、完整性以及效率效果等目標(biāo)���。
二、信息系統(tǒng)審計的內(nèi)容
信息系統(tǒng)審計的內(nèi)容主要由信息系統(tǒng)內(nèi)部控制審計��、信息系統(tǒng)組成部分審計以及信息系統(tǒng)生命周期審計所組成���。
(一)信息系統(tǒng)內(nèi)部控制審計
1.一般控制審計
(1)組織控制審計�����。(2)信息系統(tǒng)的開發(fā)維護(hù)控制審計���。(3)安全控制審計。(4)軟硬件控制審計�����。
2.應(yīng)用控制審計
(1)輸入控制審計��。(2)處理控制審計����。(3)輸出控制審計
【例題5·單選題】(2007年)下列各項中,屬于信息系統(tǒng)內(nèi)部控制中應(yīng)用控制的是:
A.組織控制
B.安全控制
C.處理控制
D.軟硬件控制
[答疑編號1338110105]
『正確答案』C
【例題6·單選題】(2008年)下列各項中����,屬于信息系統(tǒng)內(nèi)部控制中一般控制的是:
A.輸入控制
B.輸出控制
C.組織控制
D.處理控制
[答疑編號1338110106]
『正確答案』C
【例題7·多選題】(2009年)下列屬于系統(tǒng)內(nèi)部控制審計中一般控制審計內(nèi)容的有:
A.組織控制
B.安全控制
C.軟硬件控制
D.輸入控制
E.處理控制
[答疑編號1338110107]
『正確答案』ABC
(二)信息系統(tǒng)組成部分的審計
1.應(yīng)用程序的控制措施是否健全有效。
2.應(yīng)用程序的合法性����。
3.應(yīng)用程序的正確性����。
4.應(yīng)用程序的效率性�。
(三)信息系統(tǒng)生命周期的審計
1.信息系統(tǒng)的可行性。
2.信息系統(tǒng)開發(fā)����、設(shè)計、編碼�����、測試等階段是否按照事先設(shè)計的文檔去執(zhí)行��,開發(fā)過程的每一個階段是否完成階段目標(biāo)����,才轉(zhuǎn)入下一個階段。
3.信息系統(tǒng)測試的全面性���、適當(dāng)性�����。
4.完成的信息系統(tǒng)功能上是否達(dá)到預(yù)定的需求��,時間進(jìn)度是否控制在計劃之內(nèi)����,預(yù)算有沒有超過標(biāo)準(zhǔn)等����。
三、信息系統(tǒng)審計的技術(shù)方法
信息系統(tǒng)審計過程與一般的審計過程一樣����,分為審計準(zhǔn)備、審計實施和審計終結(jié)階段�����。其中審計準(zhǔn)備和審計終結(jié)階段的技術(shù)方法與一般審計并無很大區(qū)別����,所以下面我們主要介紹審計實施階段的審計技術(shù)方法。
審計實施階段����,審計人員的工作又可以分為三個層次:了解�����、描述和測試���,
(一)信息系統(tǒng)了解的方法,如詢問��、檢查���、觀察等���。
(二)信息系統(tǒng)描述的方法包括文字描述法、表格描述法和圖形描述法�。
(三)信息系統(tǒng)測試的方法
前面所介紹的了解和描述方法在一般審計中同樣有,但是信息系統(tǒng)測試的方法卻是信息系統(tǒng)審計獨有的���。
1.測試數(shù)據(jù)法:審計人員設(shè)計一套虛擬的業(yè)務(wù)數(shù)據(jù)�,將其輸入到計算機中��,觀察比較輸出是否與預(yù)期相符���。
2.平行模擬法:審計人員開發(fā)一個與被審計單位信息系統(tǒng)或程序模塊功能完全相同的模擬系統(tǒng)�,將被審計單位的真實數(shù)據(jù)放入模擬系統(tǒng)中運行,觀察其輸出是否與被審計單位信息系統(tǒng)相一致��。
3.嵌入審計模塊法:在被審計單位的信息系統(tǒng)中加人為審計而編寫的程序代碼�����。嵌入的模塊成為信息系統(tǒng)的組成部分�,并可以在特定的時間間隔或是條件觸發(fā)時為審計人員提供有關(guān)數(shù)據(jù)和報告����。
4.虛擬實體法:對測試數(shù)據(jù)法的改良,一般做法是在信息系統(tǒng)中建立虛擬的實體(如虛擬的供應(yīng)商��、客戶�����、員工等)�,然后將虛擬實體的有關(guān)數(shù)據(jù)與真實的運行數(shù)據(jù)一起輸入信息系統(tǒng)進(jìn)行處理,最后將虛擬實體的輸出結(jié)果與預(yù)期進(jìn)行比較�,確定信息系統(tǒng)的控制功能是否發(fā)生作用。
5.受控處理法:審計人員在對被審計單位的真實業(yè)務(wù)數(shù)據(jù)在處理之前先進(jìn)行核實����,核實之后在被審計單位的信息系統(tǒng)上監(jiān)督處理或親自處理��,并將處理結(jié)果與預(yù)期結(jié)果進(jìn)行比較分析���,以判斷被審計單位的系統(tǒng)是否符合預(yù)定的要求。
6.受控再處理法:是將已經(jīng)由被審計單位處理過的真實數(shù)據(jù)��,在審計人員的監(jiān)督下�,或由審計人員親自在相同的信息系統(tǒng)或以前保存的程序副本上再處理一次,將二次處理的結(jié)果與以前處理的結(jié)果相比較��,判斷當(dāng)前的信息系統(tǒng)程序是否符合既定要求���。
7.程序代碼檢查法
程序代碼檢查法是通過檢查源程序代碼的內(nèi)部運行邏輯來發(fā)現(xiàn)所存在的問題��,并對程序是否符合規(guī)章制度規(guī)定�、能否完成預(yù)定功能及其質(zhì)量進(jìn)行評判的方法�。
【例題8·案例題】(2007年)資料4:該企業(yè)在20×6年已經(jīng)全面使用管理信息系統(tǒng)進(jìn)行財務(wù)核算和業(yè)務(wù)管理,因此審計組決定將信息系統(tǒng)也作為本次審計的一項重要內(nèi)容�。
針對“資料4”中的情況�����,下列說法中正確的有:
A.信息系統(tǒng)審計的內(nèi)容主要包括信息系統(tǒng)內(nèi)部控制審計��、信息系統(tǒng)組成部分審計和信息系統(tǒng)生命周期審計
B.信息系統(tǒng)的可行性是信息系統(tǒng)生命周期審計的內(nèi)容之一
C.審計人員可以采用詢問���、檢查��、觀察等多種方法對信息系統(tǒng)進(jìn)行調(diào)查
D.信息系統(tǒng)審計是對被審計單位的電子數(shù)據(jù)進(jìn)行的審計
[答疑編號1338110108]
『正確答案』ABC
【例題9·多選題】(2009年)審計人員設(shè)計一套虛擬的業(yè)務(wù)數(shù)據(jù)�����,將其輸入到被審計單位的信息系統(tǒng)中����,觀察比較運行結(jié)果是否與預(yù)期相符��,這種測試方法是:
A.嵌入審計模塊法
B.平行模擬法
C.測試數(shù)據(jù)法
D.虛擬實體法
[答疑編號1338110109]
『正確答案』C
