《信息系统审计经验交流3篇.docx》由会员分享,可在线阅读,更多相关《信息系统审计经验交流3篇.docx(12页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、信息系统审计经验交流3篇 信息系统审计阅历沟通第1篇 信息系统审计,是指结合国家审计的现状和特点,紧紧围绕国家审计内容、范围和目标,对被审计单位用于经营决策、财务核算、业务管理的各类信息系统、系统内部限制系统以及信息系统产生的电子数据开展审计,以保证被审计单位财政财务收支的真实性、完整性和效益性,是常规审计方式的一种延长,是信息化环境下审计方式方法的进一步精细化。 在我国国家审计融入世界审计主流,实现与国际接轨的大环境下,信息系统审计已经成为我国国家审计的一项重要工作内容,这是信息化发展到肯定程度的必定结果。但是,我国的信息系统审计仍处于不断探究、逐步完善的阶段。目前,特地立项对某被审计单位信
2、息系统开展独立式审计尚不成熟,信息系统审计只能是以常规审计为载体,分别开展数据式审计、系统审计和系统内部限制审计。在这种状况下,如何既能保证圆满完成既定审计目标,又能适时合理有成效地开展信息系统审计,就成为摆在全部审计机关面前的一大难题。本文将从审计项目实施流程的角度指出信息系统审计中的一些留意事项,以期能为广阔审计人员供应参考。 项目打算阶段。调查了解被审计单位基本状况阶段,要紧紧围绕审计署制定的审计目标及审计重点,在了解被审计单位财政财务收支的同时,对被审计单位信息系统及其产生的电子数据进行全面系统的了解,主要包括被审计单位的信息系统、系统内部限制以及电子数据结构与数据字典。在此基础上,要
3、完成被审计单位电子数据的采集与转换、信息系统模拟测试环境的搭建,系统内部限制点的分解,系统一般限制测评等。 制定方案阶段。首先要将信息系统审计实施方案包含于审计项目的总体方案之中,确定信息系统审计的实施目标和审计方式方法,在方案中要明确以下几个关系:明确信息系统审计重点事项以及常规审计重点事项之间的关系,明确信息系统审计阶段性结果与常规审计阶段性性结果间的关系,明的确施信息系统人员与常规审计实施人员间的相互协作关系,明确信息系统内部限制点的设置与被审计单位内部限制间的关系、明确各个限制点所对应的电子数据间改变以及电子数据所体现的业务逻辑对应关系。详细来说,信息系统审计目标是围绕署定项目目标制定
4、,紧扣而不脱离;信息系统审计重点事项是署定项目重点事项的细化、补充和延长;信息系统审计阶段性结果与署定项目常规审计阶段性结果是相互补充、相互完善、相互促进关系;实施信息系统人员与常规审计实施人员间相互协作,处于一种矩阵式方阵之中,相互互补、相互协作、刚好沟通;信息系统内部限制点与被审计单位内部限制点是一一对应关系(尽管其不会特别完备,只是限制方式、详细限制对象、表现形式不同),每个限制点的变动均会引起后台多张表的电子数据发生一系列改变,这种改变应当完全由系统限制,且逻辑严密,假如掺入了人为因素,数据将表现为异样。 项目实施阶段。信息系统审计实施与常规审计实施是一种相互协同、相互启发、相互印证关
5、系,二者就每个重点事项、限制点进行测评和验证,审计所发觉的阶段性结果,也须要有安排的刚好沟通,做到相互促进。另外,信息系统审计取证与常规审计取证不同,其证据的表现形式敏捷多样,可以通过填写表格、面谈笔录、与被审计单位技术人员一起验证某些详细操作让其出具书面证明、将电子数据及测评所表现的现象抓图或拍照、通过特定软件记录验证过程等方式形成的书面材料或电子数据为附件的证明材料。实施信息系统审计方法可以敏捷多样,可以采纳现场查看法、软件代码测试法、平行模拟法等,也可以和常规审计方法相互结合,从另一方面去验证,发觉审计线索。 项目报告与总结阶段。信息系统审计可以单独出具审计报告,也可以将审计结论融入常规
6、审计报告之中。一般做法是将信息系统审计结论融入常规审计报告之中的同时,再就信息系统审计单独出具一份全面的信息系统审计报告,因为常规审计报告往往不行能完全包括信息系统审计报告的全部内容。在做好审计报告后,刚好就开展信息系统审计以及如何与常规审计相结合做好项目总结工作,总结阅历,发觉不足。 信息系统审计阅历沟通第2篇 一、审计机关开展信息系统审计的现实需求 通常信息化审计分为三种方式:一是利用计算机做为协助工具,应用AO等软件实现查阅财务帐,处理审计电子数据而开展的计算机协助审计;二是以财政、税务、金融、社保等为审计对象,以大量电子数据处理为审计方法,手工审计无法替代的计算机审计;三是针对审计对象
7、计算机系统开展的,以检查计算机系统是否存在漏洞,计算机系统供应的审计所需电子数据是否真实、精确、完整为目标的计算机系统审计。 我们平常开展的信息化审计基本为计算机审计和计算机协助审计,很少考虑审计对象用于财务、业务管理和OA办公的计算机系统是否存在违规作弊现象。近年我们在开展信息化审计时发觉有些审计对象信息系统存在漏洞、供应的审计数据失真、甚至在信息系统上作弊的现象屡有发生,这种状况不仅使审计风险发生的机率大幅提高,而且成为阻碍信息化审计开展的瓶颈问题。 二、科学选择和合理支配计算机系统审计项目 信息系统审计是技术含量高的信息化审计,审计的主体是审计对象的信息化系统,因此并不是对全部单位都适合
8、开展系统审计,只有科学选择信息系统审计对象才能做到有的放矢,事半功倍。审计对象选择的需考虑: 1电算化程度高。审计对象采纳财务管理软件和业务管理系统开展日常工作,假如审计对象业务规模较小且信息化程度不高,则应考虑采纳计算机协助审计或手工审计完成审计工作。 2行业代表性强。审计对象在本行业中是龙头单位,具有行业代表性。通过对行业龙头单位的信息化审计,可将审计中整理的过程、积累的阅历用于同行业其他项目的审计中,并将审计成果在全行业推广。 3结果复用度高。审计项目的确定还要充分考虑审计效率、审计成本和审计的周期性。最好选择具有审计周期性的审计对象开展信息系统审计,这样不仅审计成本低、效率高,而且通过
9、逐次审计可大幅度提高审计项目质量。 三、确定计算机系统审计方向目标 信息系统审计是一个通过收集系统审计证据,对信息系统是否能够维护数据资料的完整、平安,使审计对象的各项目标有效地实现,使各种资源得到高效地利用等方面做出推断的过程,应完成以下审计目标: 1、检测审计对象计算机系统有无嵌入式程序和后门程序等主动性作弊程序。包括加载程序、修改系统约束条件、干脆操控后台数据库修改数据等主动性违规现象。 2、检测审计对象计算机系统有无约束性错误等被动性系统漏洞。依据各种法律法规和审计对象行业内部规定,整理出系统约束条件针对数据的输入输出和流转过程进行系统测试,以确定是否存在系统漏洞。 3、检测审计对象计
10、算机系统供应的审计所需电子数据是否真实、完整。通常检测系统供应数据是系统审计过渡到计算机审计的主要连接过程,也是开展其它审计工作的重要基础,这一过程需制定明确的操作标准和步骤,以防范可能产生的审计风险。 四、合理选择计算机系统审计方法 针对信息系统审计的方向和目标,我们摸索出以下审计方法: 1、顺查法。是指审计组在充分理解审计对象业务流程的基础上,根据业务发生的逻辑依次对比分析数据,同时依据法律法规和行业内部规定制定测试内容,检测系统有无被动性系统漏洞的方法。如我们在对社保局五项基金审计时,整理出社保发放人员首先应是社保参保人员,不是特别工种社保发放需达到60岁等若干系统测试内容,通过这些测试
11、过程可基本推断出五项基金业务管理信息系统是否存在约束性漏洞,依据这些系统漏洞可进一步发觉审计线索。 2、逆查法。所谓逆查法是指通过财务审计发觉问题后,根据问题的性质和种类,在系统输入输出的边界上设计测试用例,检测系统有无加载嵌入式程序和干脆修改后台数据库数据等主动性违规作弊现象。如我们开展的公积金审计中,通过对主贷和辅贷的身份证号码进行检索,审计组发觉贷款数据中包含夫妻双方同时运用公积金贷款的记录,依据公积金管理的相关规定属于违规贷款。针对这种状况审计组对夫妻同时贷款的业务进行系统测试,结果表明系统存在审核约束,此类贷款业务无法通过公积金贷款管理系统审核,由此推断审计对象可能在计算机系统上作弊
12、,经进一步核实,审计对象的信息系统管理人员承认在有相关领导签批的状况下,通过修改系统约束数据库然后复原的方式对夫妻同时贷款、提前还贷、延期还贷等多种违规贷款业务进行了信息系统违规办理。 3、核对法。核对法是指审计组对采集到的资料与审计对象的真实资料进行核对的方法,包括理解业务与实际业务的核对、电子数据与纸质数据的核对、输入数据与输出数据的核对。依据重要性水平和审计组实际状况,选择面谈法、全部核对法或抽样核对法,检测审计对象供应资料是否真实、完整、精确。如我们开展的广电局信息系统审计,由于审计组采集的电子数据量大,面对这些数据,首先审计组实行与广电局相关人员面谈并到一线参观等多种方式,将审计组的
13、理解业务与广电局的实际业务进行核对;其次审计组采纳全部核对法将业务数据汇总数与广电局各部门供应的相关数据进行核对;最终审计组采纳抽样核对法在广电局各部门中选取抽样数据测试系统,核对输入输出数据。通过层层核对,审计组最终确认广电局供应的资料真实、完整。 五、开展计算机系统审计的法规依据探讨 依据审计法实施条例第四章第三十条审计机关有权检查被审计单位运用电子计算机管理财政收支、财务收支的财务会计核算系统。被审计单位应当向审计机关供应运用电子计算机……条例明确规定审计机关有权对被审计单位开展计算机系统审计。但关于计算机系统审计的标准、步骤、实施细则及惩罚依据条例和中办的8
14、8号文并没有具体说明。另外信息系统审计属新生审计方式方法,很多审计标准和细微环节还需在实践探究中摸索磨合,诸如系统作弊的认定和取证过程也须要进一步明确和规范。 信息系统审计结果如何处理是系统审计的核心和关键问题,目前还没有相关法律法规对系统审计结果处理有明确规定。笔者认为,虽然没有对系统审计的干脆相关规定,但可依据审计法实施条例变通参照,条例第三十二条规定:审计机关有依据认为被审计单位可能转移、隐匿、篡改、毁弃会计凭证、会计账簿、会计报表以及其他与财政收支或者财务收支有关的资料的……假如审计对象在计算机系统上作弊,我们可认定其篡改与财务收支有关的资料或认为其供应虚假
15、财务信息。假如审计对象拒绝整改和协作,可按条例第四十九条比照执行。 信息系统审计阅历沟通第3篇 今年6月,依据省审计厅的统一部署,县审计局首次针对职工养老保险业务系统开展了信息系统应用限制专项审计,取得良好效果。 一、方法创新多。一是运用顺查法提高效率。审计人员变更以往从数据发觉问题倒推到程序问题的做法,通过顺查法,利用测试账号模拟业务操作流程,将存在缺陷和漏洞的关键限制点,作为计算机协助审计的重点,实现有的放矢,大大提高了审计效率。二是多种方法结合提升审计手段。除了访谈法、视察法、平行模拟法、程序运行结果检查法等方法以外,还结合了测试数据法、综合测试法、代码检查法等,实现了审计手段的提升。三
16、是实现了对代码检查法的娴熟运用。本次审计通过顺查法和综合测试法进行穿行测试发觉系统存在的缺陷,再从代码找缘由,不仅发觉了系统出错的根本缘由,而且节约了审计时间。 二是发觉问题多。通过对养老申报征缴模块、业务审核模块等进行穿行测试,发觉了如业务审核限制存在漏洞,未要求经办和审核职权分别,限制风险大;对退休待遇支付限制弱化,支付过程未要求加密,人为操作恶意篡改可能性大;事业和企业模块未实现共享,系统间多次转移易造成个人账户金额虚增;系统对一人多账户限制不严,存在重复参保、重复缴费等问题;个体职业者缴费基数上下限限制存在缺陷,手工输入导致少收养老金;系统在每月发放退休金(供给金)时对未成年供给人员已
17、成年未设置预警和提示,造成多付供给金等八项系统限制缺陷和存在的问题,为被审计单位加强业务系统管理提出了改进的看法和建议。 三是涉及方面多。以往审计由于过多关注一般限制审计中的系统平安性,发觉的多是一些数据库系统存在的漏洞和缺陷,而非业务系统的问题,对被审计单位来说无关痛痒。本次审计不仅关注信息系统一般限制平安性,而且重点关注了业务系统应用限制的有效性和牢靠性,除了通过逆查法利用计算机审计从产生问题的结果反映到系统问题以外,审计人员以顺查法为主,干脆通过设立测试账号、模拟业务流程等对业务系统的征缴、审核、计发、管理等模块和流程进行了全方位的审计,对业务系统存在缺陷和漏洞的关键限制点,通过编写计算机语句,审查因系统漏洞产生的违规结果,真正实现了数据和系统的穿行计算机审计,为今后进行全方位的信息系统审计供应了珍贵的阅历。 本文来源:网络收集与整理,如有侵权,请联系作者删除,谢谢!第12页 共12页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页
限制150内