| 法规分类 |
 |
|
|
| 热点专题 |
 |
|
|
|
|
|
|
| 发文标题: |
浙江省审计厅关于加强信息系统审计工作的指导意见[试行] |
| 发文文号: |
|
| 发文部门: |
浙江省审计厅
|
| 发文时间: |
2010-3-26 |
| 实施时间: |
2010-3-26 |
| 法规类型: |
政府审计
|
| 所属行业: |
所有行业
|
| 所属区域: |
浙江
|
| 阅读人次: |
3500 |
| 评论人次: |
0 |
| 页面功能: |
-
加入收藏
-
- 关闭
|
| 发文内容: |
各市、县(市、区)审计局,省厅各处室、直属各单位:
为深化审计转型,积极推进计算机审计“五个转变”,促进和规范全省信息系统审计工作健康发展,现就信息系统审计工作提出如下指导意见:
一、进一步认识信息系统审计的重要性和必要性
(一)开展信息系统审计是社会信息化程度提高的必然要求。
随着计算机技术和网络技术的普及,被审计单位开始广泛运用信息技术进行经营和管理,审计人员面对的不再是纸质的账本,而是集财务、人事、生产、供销和客户管理等功能为一体的信息系统。正是审计对象信息化程度的不断提高,促使审计方式也发生改变,信息系统审计在这种历史背景下应运而生。
(二)开展信息系统审计是控制审计风险的必然要求。
信息系统环境下,审计工作面临新的风险。在信息系统中,数据按程序自动进行处理。一旦信息系统的应用程序出错或者被非法篡改,必然会对业务数据和财务数据的输入、处理和输出造成灾难性的影响。因此,信息系统的特点及其固有风险,决定了审计的内容要包括对信息系统本身的审查,防止出现“假账真审”或者“假电子数据真审”情况。
(三)开展信息系统审计是现代审计的重要内容。
现代审计把对被审计单位内部控制测评作为首要基础,是制定审计方案和实质性测试的依据。在信息化环境下,被审计单位的大量内部控制是依靠信息系统实现的。为了评价被审计单位内部控制的健全性和有效性,审计人员必须开展信息系统审计。
(四)开展信息系统审计是发挥审计“免疫系统”功能的重要途径。
国家审计的本质是保障国家经济社会健康运行的“免疫系统”。信息系统审计具有维护信息安全、抵御内控风险、促进信息系统功能完善等作用,在保障被审计单位信息系统的安全性、可靠性和有效性中发挥了预防性和建设性作用。因此审计要发挥保障国家经济社会健康运行的“免疫系统”功能,就必须开展信息系统审计。
二、明确信息系统审计的目标和内容
信息系统审计是指对被审计单位用于经营决策、业务管理、财务核算的信息系统及其相关的信息技术内部控制和流程进行检查和分析,评估信息系统的安全性、可靠性、有效性、效益性、合法合规性方面存在的问题,提出针对性的审计建议,从而促进信息系统对被审计单位产生正面影响的一系列活动。
(一)信息系统审计的目标。
信息系统审计必须把握“免疫系统”理论,以刘家义审计长提出的信息系统审计工作要抓住三个关键点,即安全性、有效性(可靠性)和经济性为目标,对被审计单位信息系统的安全性、可靠性、有效性和经济性以及能否有效地使用组织资源、实现组织目标等方面发表审计意见。
可以从以下六个方面考虑信息系统审计项目的具体审计目标:
1.合法合规性。审查和评价信息系统的开发、管理、运营是否符合法律、法规、规章等;
2.安全性。审查和评价信息系统的硬件、软件、网络和数据资源是否得到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。相关安全制度是否齐全,执行是否到位等;
3.可靠性。审查和评价信息系统的硬件、软件、网络是否能够准确、稳定运行,是否有效保证业务的正确运行;
4.有效性。审查和评价信息系统的功能是否满足业务目标的需要,是否达到了信息系统建设的设计目标;
5.真实性。审查和评价信息系统的内部控制是否完善,是否能为所产生的业务数据和财务数据的真实、完整、准确性提供合理保证;
6.效率和效益性。审查和评价信息系统是否通过较低的资源投入而获取合理的预期收益或达到预期目标。也就是投资是否合理,是否充分发挥了信息系统的作用。
(二)信息系统审计的内容。
信息系统审计也包括对信息系统的合法合规性审计、效益型审计等。但与传统的审计项目相比,信息系统审计最基本的内容是对信息系统的控制审计。
信息系统控制审计通常包括对信息系统的一般控制(GC)审计和业务流程层面相关的应用控制(AC)审计。
1.一般控制审计
一般控制是指对整个信息化环境要素及信息系统实施的,对所有的应用系统或功能模块具有普遍影响的控制措施。对信息系统一般控制的审计应考虑以下内容:
(1)总体IT控制环境审计。
审计人员应关注被审计单位IT战略和规划的制定与实施,IT治理制度体系的建设,IT部门组织结构和关系以及IT管理政策的制定与执行等方面。
(2)基础设施控制审计。
审计人员应关注被审计单位机房物理环境的建设,系统软件及硬件设施的采购、管理、维护等方面。
(3)信息系统生命周期控制审计。
审计人员应关注信息系统建设的授权与审批,系统开发各阶段的活动与产生的相应文档,系统变更控制等方面。
(4)信息安全控制审计。
审计人员应关注物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制,系统设置的职责分离控制等方面。
(5)信息系统运营维护控制审计。
审计人员应关注被审计单位的操作管理制度,系统的日志记录,IT部门和业务部门的日常操作活动,系统重大故障的处理和恢复,系统的变更管理过程,系统的灾难恢复与业务持续计划等方面。
(6)其他一般控制审计。
其他审计人员应关注的一般控制活动。
2.应用控制审计
应用控制是针对某个具体业务系统的敏感环节和特殊要求,为保证数据处理的完整性、准确性而建立的内部控制。应用控制的设计要结合具体业务和具体的应用系统。对信息系统应用控制的审计应考虑以下内容:
(1)业务流程控制审计。
审计人员应关注业务流程的授权与审批控制,数据输入,数据处理,数据输出环节相关的控制活动等方面。
(2)数据控制审计。
审计人员应关注系统主数据、重要信息以及系统参数设置的完整性与准确性等方面。
(3)接口控制审计。
审计人员应关注系统的界面接口、数据接口、应用接口的设计与控制等方面。
(4)系统外控制审计。
审计人员应关注系统外的补偿性控制措施,比如人工控制。
(5)其他应用控制审计。
其他审计人员应关注的应用控制活动。
三、积极探索信息系统审计的方式方法
信息系统审计涵盖了多种技术方法,在实际工作中,审计人员可以根据被审计单位信息系统的具体情况,结合审计目标、审计内容、审计成本效益、审计组人员与设备配置情况等因素,选择合适的信息系统审计技术和方法,并且通常需要多种方法的综合、穿插使用。
信息系统审计常用的技术方法有以下几种:
(一)问卷调查法。
问卷调查法是指审计人员根据被审计信息系统的具体情况设计问卷调查表,然后交由被审计单位填写,或由审计人员根据访谈、文档查阅、观察等方法得出的结论进行填写,以充分、详细了解被审计信息系统相关情况,收集审计证据的一种方法。
(二)访谈法。
访谈法是指审计人员与被审计单位的有关人员进行交谈、询问,以了解有关情况、收集审计证据的一种方法。可以采用个别面谈和召开会议两种形式。
(三)文档查阅法。
文档查阅法是指审计人员对与被审计信息系统相关的文档资料进行审查,以了解和判断计算机信息系统的总体情况、控制情况的一种方法。
(四)实地观察法。
实地观察法是指审计人员亲临信息系统的物理环境、硬件设施和操作人员办公的现场,对信息系统的构成情况、操作情况进行了解,对控制措施的实施情况进行查看的一种方法。
(五)系统描述法。
系统描述法是指审计人员对被审计信息系统的结构、功能、流程等情况进行描述的审计方法。该方法根据描述方式的不同,可进一步划分为文字描述法、图形描述法、表格描述法和控制矩阵法。
(六)流程图检查法。
流程图检查法是指利用被审计信息系统现有的流程图来检查程序的控制功能是否可靠和处理数据的逻辑是否正确的方法。该方法优点是成本低,且容易理解。缺点是难以确定流程图是否代表了实际使用的程序。
(七)测试数据法。
审计人员事先设计好一组测试的数据,并由其通过运行工具软件或手工计算而得到该测试数据处理后的预期结果。测试时,审计人员将该组测试数据输入至被审系统中,运行被审程序获取处理的结果,并将该结果和审计人员原先的预期结果进行比较,进而验证被审系统的功能与控制的完整性与准确性。
(八)集成测试法。
集成测试法是首先在应用系统中建立一个虚拟实体,然后让被审系统处理该虚拟实体的测试数据,核实处理过程的真实性、正确性和完整性,一般用来审计复杂的应用系统。
(九)平行模拟法。
平行模拟法是指针对某一应用程序,审计人员用一个独立的程序去模拟该程序的部分功能,对输入数据同时进行并行处理,其结果和该应用程序处理的结果进行比较以验证其功能正确性的方法。
(十)程序代码比较法。
程序代码比较法是指比较两个独立保管的被审程序版本,以确定被审程序是否经过了改变。通过比较,可发现任何程序的改动,并评估这些改变带来的后果。
(十一)编码检查法。
编码检查法指审计人员直接对应用程序的源代码进行详细审查,以找出系统的功能缺陷或者控制中的薄弱环节的审计方法。
(十二)程序追踪法。
程序跟踪法是指审计人员采用跟踪技术可以分析一个程序的每一步,从而能发现每一行代码对被处理数据或程序本身的影响。一般可由追踪软件来完成,也可以利用某些高级语言或数据库管理系统中的跟踪指令跟踪被审程序的处理。
(十三)快照。
快照是一种允许审计人员在一个程序或一个系统中在指定的点冻结一个程序,使审计人员能够观察特定点数据的技术。该方法主要用于应用控制审计中的处理控制审计。
(十四)嵌入审计模块技术。
嵌入审计模块技术,是指在一个应用系统中长久驻存一个审计模块,该模块检查输入到系统中的每一笔事务,并识别出其中不符合预定义标准的事务,审计人员可以对这些识别出的事务进行实时的或定期的审查。嵌入审计模块技术一般应用于处理大数据量的系统中。
四、规范信息系统审计工作流程
信息系统审计一般划分为以下阶段:审计计划阶段,审计准备阶段,审计实施阶段,审计报告阶段。
(一)审计计划阶段。
在制定信息系统审计项目计划之前,要走访相关的部门、单位、企业,掌握被审计单位的基本情况,搜集相关的政策、法规,必要时进行试点审计。在广泛调查研究的基础上,对审计的必要性、项目的可行性、审计的难度、预期的目标等进行充分的评估,切实保证信息系统审计项目立项的科学性、针对性和可行性。
信息系统审计项目的选择和确定除了要遵循传统审计项目的立项原则外,还应当重点考虑以下影响因素来综合确定:被审计单位核心业务是否高度依赖于信息系统,信息系统的规模和复杂程度,信息系统当前所处的生命周期阶段,审计组自身人力资源及审计力量,审计时间等因素。
现阶段信息系统审计的组织方式主要有两类:一是与财务审计相结合,即在财务审计的过程中,通过对与财务收支审计目标相关的一般控制和应用控制的有效性进行评价,从而为财务收支审计提供支持,并根据需要将信息系统审计的内容体现在财务审计报告中。二是专门进行信息系统审计,即项目经过单独立项、单独实施并单独出具审计报告。
(二)审计准备阶段。
审计准备阶段的主要任务是开展审前调查,把握被审计单位信息系统的总体情况,选择重点审计系统编写审计实施方案。
审前调查的主要内容包括:被审计单位的核心业务流程及其信息化程度;被审计单位与信息系统相关的组织机构及其职责;信息系统的总体结构及主要组成部分;信息系统的建设、使用、管理情况等。
根据审前调查阶段了解到的被审计单位的信息化概况,选择需要重点审计的信息系统。主要考虑以下影响因素来综合确定:选择与财务审计重点高度相关或者与被审计单位核心业务高度相关的信息系统;选择正常运行且能够持续运行的系统;选择系统相关文档较为齐全的信息系统;选择在信息系统审计小组能力范围内的信息系统。
选定需要重点审计的信息系统,并确定审计目标和审计重点,就可以编制审计实施方案。审计实施方案包括以下内容:审计依据;信息化基本情况;审计范围和对象;审计目标;审计的重点内容和事项;审计步骤和方法;审计风险及规避措施;审计组织、分工及时间安排;工作要求等内容。
(三)审计实施阶段。
审计实施阶段的主要任务是根据审计实施方案确定的目标、范围、重点、步骤和方法,进一步深入了解被审计单位信息系统的基本情况,对信息系统的相关内部控制进行测试,收集相关的审计证据,并对审计证据进行评价,在整理归纳审计证据的基础上得出审计结论。
在与数据审计相结合的情况下,一方面可以根据信息系统内部控制测试的结果,确定内部控制的薄弱环节,为开展数据审计打下基础提供线索;另一方面依据电子数据审计的结果进一步分析信息系统,两者互相补充,互相促进。
具体过程如下:
1.识别关键控制点
围绕审计实施方案,继续深入了解被审计单位信息系统一般控制和应用控制的基本情况,详细分析信息化条件下被审计单位业务处理流程的重点和关键环节,根据可能的风险因素识别关键控制点。
2.制定审计程序和测试方案
围绕关键控制点,进一步确定控制测试的范围和内容,选择合适的信息系统审计的技术方法,制定详细的审计程序和测试方案。
3.进行控制测试
根据确定的审计程序和测试方案,搭建合适的测试环境,对被审计单位信息系统的内部控制进行测试,并详细记录测试过程和结果,编制审计工作底稿。
4.评价审计证据
审计组应通过检查、复合、整理相关材料对汇集的审计证据进行认真审查,鉴定审计证据的客观性、相关性与合法性,检查已经收集到的材料是否足以证明事实真相,保证收集到的审计证据的充分性,在此基础上,对被审计单位的信息系统进行分析,针对审计目标做出评价。
(四)审计报告阶段。
在审计报告阶段,审计人员应运用专业判断,综合所收集到的相关证据,以经过核实的审计证据为依据,形成审计意见出具审计报告。
审计报告内容应包括被审计单位信息系统基本情况、对被审计单位信息系统评价意见,审计发现信息系统存在的问题及风险、可以引用的法律法规依据,以及纠正意见和改进建议等内容。
审计组应当只对所审计的事项发表审计评价意见。对审计过程中未涉及、审计证据不适当或者不充分、评价依据或者标准不明确以及超越审计职责范围的事项,不得发表审计评价意见。
非独立开展的信息系统审计项目也可以将信息系统审计发现的主要问题及建议作为财政财务收支、经济责任或专项审计调查等报告内容的一部分予以反映。
五、加强探索力度,全面推进信息系统审计工作
(一)大力开展信息系统审计的普及培训。
各级审计机关要大力加强信息系统审计知识的普及培训,通过培训、交流等方式,提高审计人员信息系统审计能力,培养信息系统审计人才。要加强各级审计机关领导信息系统审计思维的培养,从而在资源安排和组织制度上能获取领导对信息系统审计的支持;要培养部分审计人员较为全面地掌握信息系统审计的基本知识,使之成为推广和普及信息系统审计的骨干力量;要通过培训和在实战中成长,使部分优秀信息系统审计人才脱颖而出,使其成为掌握信息系统审计某几个方面专门技术的专家型人才。
今后,省厅将每年举办专题内容为主的信息系统审计短期培训班,也将在计算机审计中级培训班中全面加强信息系统审计基础知识相关内容的培训。
(二)集中力量选择优先领域、优先单位开展信息系统审计试点,并进行经验推广。
信息系统审计技术性很强,推进有一个渐进过程,也需要在实践中不断总结经验。从我省信息系统审计的现状来看,存在各地区、各领域发展不平衡的情况。鼓励优势地区先集中有关力量,成立信息系统审计攻关小组,选择信息化程度较高、数据式审计基础条件比较好的领域,开展信息系统审计项目试点。省厅将把成功案例的经验模式向全省推广。
(三)总结和开发信息系统审计技术和方法。
我省目前运用的方法大多是初级层次的信息系统审计技术与方法,所能取得的审计效果相对有限。鼓励全省各级审计机关积极探索,总结和开发研究实用性强的信息系统审计技术与方法,如:信息系统内部控制调查和测评方法、信息系统可靠性、安全性方面进行辅助评估的实用工具软件等。
由于信息系统审计内涵十分丰富,又处于快速发展阶段,鼓励全省各级审计机关以信息系统审计技术、促进信息系统审计推广应用等方向的信息系统审计理论研究工作。
(四)逐步规范信息系统审计实务工作。
当前,我省的信息系统审计工作处于起步探索阶段,要着力逐步规范信息系统审计实务工作。
目前,我国信息系统审计法律法规、标准和规范较为缺乏,在国家相关部门逐步完善信息系统审计法律法规的同时,审计人员在信息系统审计项目的具体实施过程中,要注意找准、用好信息系统审计的相关依据。在审计中选择被审计单位应遵循的国家法律、法规、部门规章、国家标准、行业标准、内部制度,以及项目设计方案、合同等作为审计评价标准,并注意与被审计单位进行充分沟通,取得对审计评价标准以及其衡量指标涵义的共识。在实践中可以借鉴国际上信息系统审计的相关理论、准则和实践经验,但要注意根据实际情况进行分析取舍。
(五)征集信息系统审计案例,开展考核评比工作。
鼓励各地、各部门积极探索信息系统审计,并将项目实践经验总结为信息系统审计案例。省厅将在全省范围内开展信息系统审计案例征集工作,并向审计署选送。对评选出的优秀案例,将予以表彰,以达到以评促审,促进全省信息系统审计水平的不断提高。
二○一○年三月二十六日
|
| |
-
加入收藏
-
- 关闭
|
|
|
|
