信息系統(tǒng)審計 課件 【ch03】信息系統(tǒng)審計流程

信息系統(tǒng)審計流程第三章高等院校公共課系列精品教材信息系統(tǒng)審計信息系統(tǒng)審計流程概述0101審計計劃階段信息系統(tǒng)審計的計劃階段是整個審計流程的起點，也是整個審計過程的基礎(chǔ)階段，這一階段的主要任務(wù)是調(diào)查被審計單位的基本情況、初步評估審計風(fēng)險、接受審計委托、制訂審計計劃。這個階段的難點在于數(shù)據(jù)量巨大。如果相關(guān)人員不使用風(fēng)險分析方法，不重視內(nèi)部控制，而直接對信息系統(tǒng)的數(shù)據(jù)進(jìn)行詳細(xì)調(diào)查，則容易出現(xiàn)對審計對象認(rèn)識不足、準(zhǔn)備工作不充分的不利局面。所以，通過充分分析被審計單位的風(fēng)險，可以總體了解其內(nèi)部控制情況。01審計計劃階段在審計計劃階段的主要工作包括以下幾方面。(1)了解被審系統(tǒng)的基本情況。了解被審系統(tǒng)的基本情況是實施任何信息系統(tǒng)審計的必經(jīng)程序，對基本情況的了解有助于審計人員對系統(tǒng)的組成、環(huán)境、運行年限、控制等有初步印象。審計人員可以大致判斷出系統(tǒng)的復(fù)雜性、管理層對審計的態(tài)度、內(nèi)部控制的狀況、以前審計的狀況，以決定是否對該系統(tǒng)進(jìn)行審計，并可明確審計的難度、所需時間及人員配備情況等。(2)評估審計風(fēng)險。在制訂審計計劃時，審計人員要對信息系統(tǒng)進(jìn)行風(fēng)險評估。有的風(fēng)險是審計人員可以控制的風(fēng)險，如檢查風(fēng)險。而有一些風(fēng)險是由信息系統(tǒng)所帶來的，如固有風(fēng)險和控制風(fēng)險，它們在審計過程中已成為既定的事實，審計人員無法控制或改變它們，只能通過對被審系統(tǒng)的有效了解和測試，來盡量合理地評估固有風(fēng)險和控制風(fēng)險。評估的目的是為了確定檢查風(fēng)險水平，然后據(jù)此開展實質(zhì)性測試，從而降低檢查風(fēng)險，最終將審計風(fēng)險控制在可接受的水平。01審計計劃階段(3)識別重要性。為了有效實現(xiàn)審計目標(biāo)，合理使用審計資源，在制訂審計計劃時，信息系統(tǒng)審計人員應(yīng)對系統(tǒng)重要性進(jìn)行適當(dāng)評估。對重要性的評估一般需要運用專業(yè)知識進(jìn)行判斷，要根據(jù)審計人員的職業(yè)判斷或公用標(biāo)準(zhǔn)、系統(tǒng)的服務(wù)對象及業(yè)務(wù)性質(zhì)、內(nèi)控的初評結(jié)果等進(jìn)行綜合考慮。重要性的判斷離不開特定環(huán)境，審計人員必須根據(jù)具體的信息系統(tǒng)環(huán)境確定重要性。重要性具有數(shù)量和質(zhì)量兩個方面的特征。越是重要的系統(tǒng)，就越需要獲取充分的審計證據(jù)，以支持審計結(jié)論或意見。01審計計劃階段(4)確定審計依據(jù)。審計依據(jù)是審計人員在審計過程中用來衡量被審計事項是非優(yōu)劣的準(zhǔn)繩，是提出審計意見、做出審計決定的依據(jù)。審計依據(jù)既是明顯可見的，又不是固定不變的，它隨著國家管理的規(guī)范和單位管理的加強(qiáng)，不斷淘汰舊的標(biāo)準(zhǔn)，建立新的標(biāo)準(zhǔn)。因此，無論什么樣的審計依據(jù)，只在一定的范圍內(nèi)、一定的區(qū)域中和一定的時間內(nèi)是有效的。同時，各類依據(jù)所具有的權(quán)威性也是有很大差別的。(5)編制審計計劃。以上程序為編制審計計劃提供了良好準(zhǔn)備，審計人員據(jù)此可以編制總體審計計劃及具體審計計劃?？傮w審計計劃包括：被審單位基本情況；審計目的、審計范圍及策略；重要問題及重要審計領(lǐng)域；工作進(jìn)度及時間；審計小組成員分工；重要性確定及風(fēng)險評估等。具體審計計劃包括：具體審計目標(biāo)、審計程序、執(zhí)行人員及時間限制等。02審計實施階段信息系統(tǒng)審計的實施階段是根據(jù)審計準(zhǔn)備階段對被審計單位的調(diào)查、審計風(fēng)險的分析，來確定審計內(nèi)部控制測試和實質(zhì)性測試的程序、范圍和重點的，并以此判定需要收集和獲取的數(shù)據(jù)信息、采用的審計技術(shù)和方法，跟蹤審計線索和收集審計證據(jù)，進(jìn)行鑒定和分析，從而形成審計結(jié)論和發(fā)表審計意見的過程。審計實施階段是信息系統(tǒng)審計全過程的中間環(huán)節(jié)。針對被審計信息系統(tǒng)，審計人員所開展的工作可以分為三個層次，即了解、描述和測試。02審計實施階段審計實施階段的主要工作包括以下幾點。(1)按照信息系統(tǒng)審計方案確定的審計內(nèi)容、范圍、重點和方式的要求，深入了解審計流程和信息系統(tǒng)構(gòu)成信息，詳細(xì)分析信息化條件下被審計單位業(yè)務(wù)處理流程的重點和關(guān)鍵環(huán)節(jié)，并根據(jù)可能的風(fēng)險因素確定控制點。(2)采用相應(yīng)的技術(shù)和方法，對信息系統(tǒng)的現(xiàn)有控制進(jìn)行符合性測試及實質(zhì)性測試，并對與審計目標(biāo)或核心業(yè)務(wù)有較大關(guān)聯(lián)度的系統(tǒng)進(jìn)行重點測試，同時進(jìn)行人員訪談，查詢相關(guān)的政策、標(biāo)準(zhǔn)及準(zhǔn)則并獲得審計證據(jù)。(3)在測試過程中，可以根據(jù)測試的具體情況，適當(dāng)調(diào)整審計實施方案，進(jìn)一步確定審計重點和審計方法，將審計重點放在內(nèi)部控制體系的薄弱環(huán)節(jié)。(4)對取得的各種證據(jù)進(jìn)行鑒別、分析，判明是非和找到問題的本質(zhì)，做出客觀公正的評價，并醞釀處理意見和改進(jìn)建議。03審計完成階段信息系統(tǒng)審計具體的實施工作完成后，將進(jìn)入審計完成階段。首先，信息系統(tǒng)審計人員要整理、評價、執(zhí)行審計業(yè)務(wù)過程中收集到的證據(jù)。其次，信息系統(tǒng)審計人員將復(fù)核審計底稿，并完成二級復(fù)核。傳統(tǒng)審計的三級復(fù)核制度對信息系統(tǒng)審計同樣適用，它是保證審計質(zhì)量、降低審計風(fēng)險的重要措施。審計報告是審計工作的最終成果，審計報告首先應(yīng)有審計人員對被審系統(tǒng)的安全性、可靠性、穩(wěn)定性、有效性的意見，同時提出改進(jìn)建議。審計報告應(yīng)當(dāng)說明審計范圍、審計目標(biāo)、審計期間，以及所執(zhí)行的審計工作的性質(zhì)和范圍。審計報告中還應(yīng)說明采用了何種審計技術(shù)和與之有關(guān)的審計結(jié)果。在審計過程中，審計人員受被審計單位的客觀條件或環(huán)境的限制，對一些重要的事項不能獲得充分和完整信息的情況，也應(yīng)該在審計報告中加以說明。03審計完成階段審計完成階段的主要工作包括以下幾點。(1)整理歸納審計資料，反映內(nèi)控制度的結(jié)果，并揭示問題、明確責(zé)任、發(fā)現(xiàn)并陳列線索。(2)撰寫審計報告。在審計報告中，應(yīng)著重說明發(fā)現(xiàn)了哪些問題，并建議被審計單位進(jìn)行改進(jìn)。(3)與被審系統(tǒng)管理者進(jìn)行溝通。(4)發(fā)出審計結(jié)論和決定。(5)審計資料的歸檔和管理。03審計完成階段信息系統(tǒng)審計流程圖如圖3-1所示。確定審計關(guān)系0201確定審計關(guān)系審計關(guān)系一般是指由審計人員、審計受權(quán)人和被審計單位三者之間形成的經(jīng)濟(jì)責(zé)任關(guān)系，它是審計活動得以有效開展的前提和保證。確定審計關(guān)系的過程可以理解為：審計受權(quán)人委托經(jīng)理人經(jīng)營管理其財產(chǎn)，經(jīng)理人委托審計機(jī)構(gòu)進(jìn)行審計，審計機(jī)構(gòu)將審計業(yè)務(wù)委派給審計人員，審計人員接受審計機(jī)構(gòu)的管理控制，向被審單位經(jīng)理人提供審計報告，最終由經(jīng)理人將審計報告和財務(wù)報告提交給審計受權(quán)人。信息系統(tǒng)審計的各方關(guān)系圖如圖3-2所示。了解被審計單位的情況0301了解被審計單位的情況基本情況(1)行業(yè)類型、業(yè)務(wù)類型、產(chǎn)品和服務(wù)的種類、經(jīng)營特點；(2)關(guān)聯(lián)方及其交易的存在情況；(3)影響被審計單位及所屬行業(yè)的法律、法規(guī)等；(4)內(nèi)部控制情況；(5)總體組織結(jié)構(gòu)。01了解被審計單位的情況信息系統(tǒng)使用情況(1)與信息系統(tǒng)相關(guān)的管理制度；(2)與信息系統(tǒng)相關(guān)的機(jī)構(gòu)設(shè)置情況；(3)系統(tǒng)流程：(4)軟件使用情況；(5)數(shù)據(jù)庫使用；(6)操作系統(tǒng)；(7)硬件設(shè)備；(8)網(wǎng)絡(luò)安全；(9)輔助設(shè)施。01了解被審計單位的情況信息系統(tǒng)描述在了解完信息系統(tǒng)使用情況之后，需要對這些信息進(jìn)行進(jìn)一步匯總并描述，描述方法包括文字描述法、表格描述法和圖形描述法，這幾種方法可以搭配使用。(1)文字描述法，是指通過文字描述被審計單位的信息系統(tǒng)的功能、結(jié)構(gòu)、控制政策措施和生命周期過程的方法，適用于大多數(shù)信息系統(tǒng)。它的優(yōu)點是容易使用、容易理解，缺點是不夠簡潔直觀。(2)表格描述法，是一種審計人員使用標(biāo)準(zhǔn)或自行設(shè)計的表格來描述信息系統(tǒng)的方法。它適用于描述信息系統(tǒng)開發(fā)過程、內(nèi)部控制的多個指標(biāo)和系統(tǒng)組件的多個部分。其優(yōu)點是結(jié)構(gòu)清晰、邏輯性強(qiáng)。(3)圖形描述法，是指審核員以圖形的形式描述信息系統(tǒng)的組織結(jié)構(gòu)、功能、生命周期和業(yè)務(wù)流程的方法，包括組織結(jié)構(gòu)圖、功能結(jié)構(gòu)圖和業(yè)務(wù)流程圖。為了便于審核員之間的相互理解和交流，在使用圖形描述方法時，應(yīng)注意統(tǒng)一各種符號及其含義。01了解被審計單位的情況信息系統(tǒng)描述01了解被審計單位的情況信息系統(tǒng)描述01了解被審計單位的情況信息系統(tǒng)描述評估審計風(fēng)險0401固有風(fēng)險系統(tǒng)設(shè)計風(fēng)險系統(tǒng)風(fēng)險信息不對稱和知識結(jié)構(gòu)的不完善，使得系統(tǒng)開發(fā)人員設(shè)計出的信息系統(tǒng)與系統(tǒng)使用者的需求不匹配，那么必然會帶來漏洞。信息系統(tǒng)的硬件配置不完善，軟件質(zhì)量不可靠，系統(tǒng)自控功能較弱而產(chǎn)生的系統(tǒng)風(fēng)險。系統(tǒng)環(huán)境風(fēng)險電子數(shù)據(jù)大量集中在系統(tǒng)的信息中心，同時信息系統(tǒng)要實現(xiàn)數(shù)據(jù)的高速處理，在此過程中，系統(tǒng)內(nèi)數(shù)據(jù)可能會遭到破壞或處理時出現(xiàn)失誤。01固有風(fēng)險數(shù)據(jù)錄入風(fēng)險數(shù)據(jù)儲存風(fēng)險原始數(shù)據(jù)需要人工錄入到系統(tǒng)中，由于數(shù)據(jù)量龐大而且分散，出現(xiàn)輸入錯誤的概率比較高。一旦出現(xiàn)輸入錯誤，就有可能影響審計結(jié)果。電子數(shù)據(jù)存儲在物理介質(zhì)上時，肉眼并不直接可見，很容易被濫用、篡改和丟失，且不留蛛絲馬跡。儲存介質(zhì)會在信息系統(tǒng)審計模式下發(fā)生變動，這樣信息就會大量地存在于信息系統(tǒng)當(dāng)中，要是某些黑客采用不正當(dāng)?shù)姆绞?，穿過防火墻，竊取重要數(shù)據(jù)的話，就會造成極為嚴(yán)重的后果。另外，如果計算機(jī)出現(xiàn)故障或病毒，電子數(shù)據(jù)很容易遭到破壞，從而發(fā)生財務(wù)不完整或被篡改的現(xiàn)象，很大程度上增大了審計風(fēng)險。此外，目前企業(yè)級的信息系統(tǒng)通常采用中心化的方式大量集中和高速處理數(shù)據(jù)。信息系統(tǒng)實現(xiàn)的功能與系統(tǒng)數(shù)據(jù)都高度集中在數(shù)據(jù)中心或信息中心，一旦數(shù)據(jù)中心或信息中心遭到破壞，其后果不堪設(shè)想。在高速的大量信息處理過程中，如果出現(xiàn)錯誤或疏忽，也會造成巨額損失。01固有風(fēng)險數(shù)據(jù)傳輸轉(zhuǎn)移風(fēng)險計算機(jī)犯罪在利用信息系統(tǒng)的時候，需要從被審計單位提取數(shù)據(jù)。而在提取期間，由于財務(wù)系統(tǒng)的多樣化，在與審計系統(tǒng)之間轉(zhuǎn)換數(shù)據(jù)時，會發(fā)生一些問題，從而增加了轉(zhuǎn)移風(fēng)險的發(fā)生概率。信息處理過程中的防護(hù)措施比較薄弱，使得圖謀舞弊者容易獲得可乘之機(jī)。信息系統(tǒng)外包風(fēng)險信息系統(tǒng)外包后，可能因?qū)ν獍鼒F(tuán)隊過于依賴而造成技術(shù)風(fēng)險，外包過程中如果管控不嚴(yán)，則易造成信息安全風(fēng)險。02控制風(fēng)險未經(jīng)授權(quán)訪問憑證與記錄控制在計算機(jī)信息系統(tǒng)環(huán)境下，任何對系統(tǒng)及數(shù)據(jù)的訪問都是直接通過電子數(shù)據(jù)處理功能取得、批準(zhǔn)的，如果信息系統(tǒng)采用的技術(shù)不先進(jìn)、訪問技術(shù)設(shè)置不充分，則會引起整個系統(tǒng)的技術(shù)性暴露，出現(xiàn)未經(jīng)授權(quán)的系統(tǒng)訪問。主要表現(xiàn)在對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用系統(tǒng)四個層面的數(shù)據(jù)和軟件的操作上。在計算機(jī)信息系統(tǒng)中，終端操作者把業(yè)務(wù)數(shù)據(jù)直接輸入計算機(jī)而沒有留下任何憑證。資產(chǎn)接觸與記錄控制在計算機(jī)信息系統(tǒng)環(huán)境下，大部分業(yè)務(wù)數(shù)據(jù)集中于電子數(shù)據(jù)處理部門，如果缺乏適當(dāng)?shù)目刂?，未?jīng)授權(quán)人員可能通過外部指令，甚至遠(yuǎn)程入侵系統(tǒng)，機(jī)密數(shù)據(jù)很可能被非法復(fù)制或篡改。02控制風(fēng)險職責(zé)劃分獨立稽核被審計單位內(nèi)部通常都制定了職責(zé)劃分的有關(guān)制度。而在信息系統(tǒng)中，若想對員工的職責(zé)進(jìn)行劃分，主要通過兩種形式。首先是明確員工的工作責(zé)任，其次是根據(jù)軟件設(shè)計的具體情況，對其子系統(tǒng)設(shè)置不同的職責(zé)。但在實踐中，由于人員數(shù)量的限制，往往出現(xiàn)一個人負(fù)責(zé)多個關(guān)鍵職位的情況，使內(nèi)部控制實質(zhì)上處于失效狀態(tài)。此外，在信息系統(tǒng)中，各崗位不相容，使職責(zé)分配較為集中，也可能因此導(dǎo)致在授權(quán)過程中出現(xiàn)錯誤，導(dǎo)致舞弊行為發(fā)生，進(jìn)而增加出現(xiàn)審計風(fēng)險的概率，最終有可能讓職責(zé)劃分這一工作環(huán)節(jié)失去它原本的作用。在信息系統(tǒng)中，如果一個工作細(xì)節(jié)出現(xiàn)失誤，則極有可能會讓與之有關(guān)聯(lián)的賬簿發(fā)生信息失真的情況。要是應(yīng)用程序出現(xiàn)故障，計算機(jī)就會在審計期間出現(xiàn)多次失誤，進(jìn)而讓出現(xiàn)審計風(fēng)險的概率進(jìn)一步增高。02控制風(fēng)險網(wǎng)絡(luò)監(jiān)控失效信息流和業(yè)務(wù)流的不一致對網(wǎng)絡(luò)的廣泛使用，使得通過網(wǎng)絡(luò)傳輸?shù)男畔⒑苋菀妆桓`聽、追蹤和非法使用。信息處理和業(yè)務(wù)傳遞缺乏有效的控制手段，往往出現(xiàn)業(yè)務(wù)處理資料和系統(tǒng)處理數(shù)據(jù)的不一致，可能導(dǎo)致企業(yè)決策失誤。業(yè)務(wù)流程重組在追逐利益和效率的過程中，被審計單位紛紛進(jìn)行業(yè)務(wù)流程重組，但是很可能對一些關(guān)鍵環(huán)節(jié)缺乏有效控制，加大了系統(tǒng)運行的控制風(fēng)險。03檢查風(fēng)險審計人員的相關(guān)專業(yè)水平不高審計線索難以查找這首先表現(xiàn)在審計人員計算機(jī)專業(yè)水平不高。在信息系統(tǒng)審計中要運用計算機(jī)分析數(shù)據(jù)，數(shù)據(jù)庫查詢、統(tǒng)計和分析，甚至編程等技術(shù)篩選出疑點數(shù)據(jù)，發(fā)現(xiàn)審計線索，然后快速核實情況，得出審計結(jié)果。然而審計人員基于自身的專業(yè)素質(zhì)和綜合能力未必能順利發(fā)現(xiàn)問題，特別是一些高技術(shù)舞弊或特殊安全漏掉的情況，這就會直接影響審計結(jié)果。其次表現(xiàn)在對被審計單位所屬行業(yè)的專業(yè)知識水平有限。在審計過程中，審計人員未能識別出系統(tǒng)的關(guān)鍵業(yè)務(wù)環(huán)節(jié)和重要的信息資產(chǎn)，如企業(yè)的銷售環(huán)節(jié)、財務(wù)核算信息和數(shù)據(jù)備份等。在手工環(huán)境下，會計賬務(wù)處理的每一步都有相關(guān)人員的書面記錄和簽名，審計線索清晰。在計算機(jī)信息系統(tǒng)環(huán)境下，從錄入原始數(shù)據(jù)到自動生成報表的整個過程，其中間處理環(huán)節(jié)是被忽略了的。利用信息技術(shù)也難以實現(xiàn)如簽名、蓋章等這些使審計線索證據(jù)化的作，給審計追蹤帶來了很多困難。同時，數(shù)據(jù)文件都存儲在硬盤、優(yōu)盤等存儲介質(zhì)中，如果設(shè)計者事先未能考慮審計的需要而在系統(tǒng)中設(shè)置跟蹤程序的話，就很難留下有價值的審計線索，增加了審計的難度。03檢查風(fēng)險控制測試難度增加技術(shù)風(fēng)險難以控制在手工環(huán)境下，內(nèi)部控制的情況是可見的、有形的，有據(jù)可查；而在計算機(jī)信息系統(tǒng)環(huán)境下，內(nèi)部控制主要依靠軟件本身并集成到系統(tǒng)軟件中。一方面，審計人員無法通過傳統(tǒng)審計方法進(jìn)行控制測試；另一方面，也要求審計人員掌握較高的計算機(jī)知識水平。例如，在進(jìn)行技術(shù)性測試時，利用測試數(shù)據(jù)對系統(tǒng)進(jìn)行測試，很難保證恰當(dāng)?shù)某绦蚨急粰z查；用開發(fā)模擬程序來處理生產(chǎn)數(shù)據(jù)以測試生產(chǎn)系統(tǒng)時，加大了檢查成本，延長了檢查時間，反而加大了檢查風(fēng)險。隨著線上業(yè)務(wù)的急劇增加，特別是智能化業(yè)務(wù)處理的逐步成熟和普及，相應(yīng)的人工干預(yù)會逐漸減少，在這種前提下，對控制信息技術(shù)是否進(jìn)行有效檢查將更具實際意義。降低這種檢查風(fēng)險將比任何時候都更加重要。例如，當(dāng)網(wǎng)絡(luò)災(zāi)難導(dǎo)致數(shù)據(jù)存儲平臺或數(shù)據(jù)處理平臺癱瘓時，災(zāi)備方案可以快速恢復(fù)信息處理功能，這是需要重點關(guān)注的基本檢查風(fēng)險。03檢查風(fēng)險審計人員職業(yè)道德風(fēng)險其他不確定性的技術(shù)風(fēng)險審計人員在審計過程中應(yīng)始終保持其第三方的獨立性。審計人員應(yīng)保持其職業(yè)審慎性，選擇適當(dāng)?shù)膶徲嫵绦蚝头椒?，完成審計任?wù)，降低審計過程中的檢查風(fēng)險。在計算機(jī)信息系統(tǒng)環(huán)境下，還存在一些不可預(yù)知的技術(shù)風(fēng)險，如系統(tǒng)或子系統(tǒng)即將更新?lián)Q代，使得當(dāng)前的審計測試失去了意義，不僅浪費時間，還誤導(dǎo)審計人員對信息系統(tǒng)的審計評價。在信息系統(tǒng)審計人員缺乏的情況下，有時會出現(xiàn)讓參與系統(tǒng)開發(fā)的人員對信息系統(tǒng)進(jìn)行檢查和測試的情況，其檢查風(fēng)險會非常高。04形成信息系統(tǒng)審計風(fēng)險的原因信息存儲的電子化和傳輸?shù)木W(wǎng)絡(luò)化捕捉證據(jù)的動態(tài)化在信息化環(huán)境下，海量的信息都存儲在硬盤、優(yōu)盤等存儲介質(zhì)中，肉眼無法看到信息處理的軌跡，也發(fā)現(xiàn)不了線索。而這些電子化的數(shù)據(jù)很容易被篡改、刪除、隱匿或轉(zhuǎn)移，且不會遺留明顯的痕跡。信息在計算機(jī)網(wǎng)絡(luò)中進(jìn)行傳遞，在傳輸過程中存在被竊聽、篡改的可能性。信息系統(tǒng)是一個龐大的綜合性系統(tǒng)，每天都要進(jìn)行大量的業(yè)務(wù)處理和動態(tài)分析，供管理層決策參考。因此審計人員必須在系統(tǒng)運行過程中進(jìn)行取證，而不能為了審計工作將系統(tǒng)停止下來，這就增加了取證難度，也存在一定的審計風(fēng)險。當(dāng)然也有搭建現(xiàn)行系統(tǒng)模擬運行環(huán)境的做法，即平行模擬法，這樣可以不影響原有系統(tǒng)的正常運轉(zhuǎn)，但其成本和耗時都非常高，很難在實際審計工作中實施。04形成信息系統(tǒng)審計風(fēng)險的原因內(nèi)部控制制度的復(fù)雜化審計人員知識結(jié)構(gòu)單一在信息化環(huán)境下，被審計單位內(nèi)部控制的技術(shù)和方法發(fā)生了很大變化，控制措施大多以程序的形式建立在信息系統(tǒng)中，肉眼無法覺察，在很大程度上依賴于計算機(jī)處理。在實際操作中，內(nèi)控環(huán)境的復(fù)雜性及內(nèi)部控制的局限性也為舞弊提供了機(jī)會。信息系統(tǒng)審計師除要有專業(yè)的審計、會計知識，還須掌握一定的計算機(jī)專業(yè)相關(guān)知識和技術(shù)。現(xiàn)實中，審計人員的知識結(jié)構(gòu)比較單一，熟悉審計和會計知識的多，而掌握IT技術(shù)的少，審計人員給出的審計結(jié)論有可能偏離被審計單位信息系統(tǒng)的實際。05信息系統(tǒng)審計風(fēng)險的特征隱蔽性群發(fā)性信息系統(tǒng)審計主要面對被審計單位系統(tǒng)中的大量電子數(shù)據(jù)，操作人員使用信息系統(tǒng)來對業(yè)務(wù)數(shù)據(jù)的輸入、計算分析和輸出進(jìn)行處理，中間過程的數(shù)據(jù)處理幾乎完全由計算機(jī)自身完成。與一般的審計證據(jù)不同，審計人員在獲取審計證據(jù)時，應(yīng)考慮電子數(shù)據(jù)復(fù)雜、易被破壞的特點。在收集、整理和分析數(shù)據(jù)信息的過程中，審計風(fēng)險是隱蔽的，不易發(fā)現(xiàn)其存在的問題，審計人員的控制方法不能得以有效實施。在信息系統(tǒng)中，相同的程序用于處理相同或相似的業(yè)務(wù)。一旦程序出現(xiàn)了問題，處理這類業(yè)務(wù)時就會出現(xiàn)錯誤。同時，不同的子系統(tǒng)組合成一個完整的信息系統(tǒng)，這些子系統(tǒng)之間存在數(shù)據(jù)交互。子系統(tǒng)產(chǎn)生的錯誤數(shù)據(jù)會轉(zhuǎn)移到下一個子系統(tǒng)，嚴(yán)重的情況下甚至整個被審計單位都會產(chǎn)生決策錯誤。因此，在信息系統(tǒng)審計中，由于沒有發(fā)現(xiàn)單個錯誤而導(dǎo)致的審計風(fēng)險很可能存在于一系列相同或相似的業(yè)務(wù)中，從而導(dǎo)致其他相關(guān)程序的審計風(fēng)險，甚至出現(xiàn)影響整個信息系統(tǒng)審計過程的審計風(fēng)險。05信息系統(tǒng)審計風(fēng)險的特征不可控性渠道多樣性信息系統(tǒng)的數(shù)據(jù)處理相對集中高效，數(shù)據(jù)存儲的電子化和數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)化使得內(nèi)部控制主要以計算機(jī)系統(tǒng)內(nèi)部控制為主。而系統(tǒng)自身的運行有效、控制失靈等安全隱患也造成了審計風(fēng)險的不可控性。在信息系統(tǒng)審計中，由于所處的信息環(huán)境不同，信息使用者不再是只關(guān)注審計人員所提供的信息，而是會從不同的渠道獲取同種類型的信息從而進(jìn)行相互印證。因此，信息系統(tǒng)審計的信息披露渠道較財務(wù)審計更豐富、更完善、更多樣化。審計信息披露的渠道多樣性造就了審計風(fēng)險的渠道多樣性。06信息系統(tǒng)審計風(fēng)險與防范風(fēng)險的措施固有風(fēng)險的防范管理層對固有風(fēng)險的認(rèn)識程度是降低固有風(fēng)險的關(guān)鍵，因此需要通過與被審計單位相關(guān)人員的訪談，充分了解被審計單位的信息化環(huán)境。通過了解和識別固有風(fēng)險，制定相應(yīng)的策略和機(jī)制。防范固有風(fēng)險一般采取以下幾種措施。(1)進(jìn)行詳細(xì)的審前調(diào)查。審計人員不僅要了解被審計單位內(nèi)部控制的相關(guān)制度和措施，還可通過閱讀技術(shù)文檔和操作手冊，詳細(xì)掌握信息系統(tǒng)所設(shè)定的操作流程，并發(fā)放信息系統(tǒng)調(diào)查表，對系統(tǒng)模塊框架進(jìn)行實際觀察，印證各流程業(yè)務(wù)之間的銜接。(2)加強(qiáng)信息資產(chǎn)管理。信息資產(chǎn)要通過表單進(jìn)行管理，讓所有信息資產(chǎn)都處于可控狀態(tài)。(3)對信息系統(tǒng)所產(chǎn)生的數(shù)據(jù)資料的真實性、完整性和合法性進(jìn)行評價，防止或揭露信息失真的情況。06信息系統(tǒng)審計風(fēng)險與防范風(fēng)險的措施固有風(fēng)險的防范(4)加強(qiáng)內(nèi)外安全控制機(jī)制。建立有效的數(shù)據(jù)信息使用和存儲控制機(jī)制，降低數(shù)據(jù)信息被盜取、篡改和丟失的可能性。(5)建立安全可靠的數(shù)據(jù)傳輸通道。為了保護(hù)信息的安全傳輸，應(yīng)建立相對開放、安全級別較高的專用局域網(wǎng)，并合理設(shè)置多層加密網(wǎng)關(guān)和防火墻。(6)數(shù)據(jù)輸入校驗。在系統(tǒng)設(shè)計時應(yīng)設(shè)置輸入準(zhǔn)確性校驗程序，以確保有效數(shù)據(jù)輸入的準(zhǔn)確性。(7)審計人員應(yīng)掌握信息系統(tǒng)審核的重要環(huán)節(jié)，了解主要業(yè)務(wù)流程。要全面了解各個業(yè)務(wù)流程模塊的內(nèi)部邏輯，以及各個模塊的總體框架和信息交互，尤其是對其業(yè)務(wù)流程和數(shù)據(jù)流程要有整體了解。06信息系統(tǒng)審計風(fēng)險與防范風(fēng)險的措施控制風(fēng)險的防范控制風(fēng)險是由內(nèi)部控制制度不完善或內(nèi)部控制制度執(zhí)行不嚴(yán)造成的。為了防范控制風(fēng)險，應(yīng)積極開展事前、事中和事后審計。防范控制風(fēng)險一般采取的措施有以下幾種。(1)評價信息系統(tǒng)是否建立了合理的流程及控制體系，是否建立了相應(yīng)的補(bǔ)償控制措施，以分散風(fēng)險，防患于未然。(2)評價信息系統(tǒng)的嚴(yán)密完善性，確保計算機(jī)信息系統(tǒng)運行后數(shù)據(jù)處理結(jié)果的真實性和正確性。(3)審查系統(tǒng)的運行情況。對信息系統(tǒng)在輸入、處理、輸出過程中的運行情況進(jìn)行審查。06信息系統(tǒng)審計風(fēng)險與防范風(fēng)險的措施控制風(fēng)險的防范(4)按照崗位職責(zé)、業(yè)務(wù)流程的要求，明確訪問和操作權(quán)限的分配，以正確行使職權(quán)。關(guān)鍵崗位的權(quán)限密碼要定期修改。對剛?cè)肼毣螂x職的人員權(quán)限要及時分配或收回。重視對系統(tǒng)訪問日志的檢查，及時發(fā)現(xiàn)越權(quán)訪問或操作的行為。(5)審查信息系統(tǒng)的運行環(huán)境，查看是否建立了一套檢測病毒的控制措施。(6)審查是否建立了安全的網(wǎng)絡(luò)監(jiān)控機(jī)制，以降低外部風(fēng)險。首先，為具有外部連接權(quán)限的用戶建立身份驗證機(jī)制，以確保只有授權(quán)用戶才能登錄和訪問。其次，建立強(qiáng)制路徑，控制用戶終端和網(wǎng)絡(luò)服務(wù)器之間的路徑。最后，加強(qiáng)遠(yuǎn)程診斷端口的保護(hù)。(7)審查人員素質(zhì)。查看是否建立了一個能夠提升員工綜合素質(zhì)的控制措施體系。06信息系統(tǒng)審計風(fēng)險與防范風(fēng)險的措施檢查風(fēng)險的防范為了防范檢查風(fēng)險，審計人員要在充分了解被審計單位的業(yè)務(wù)流程和信息流程的基礎(chǔ)上，有效識別每個風(fēng)險點。防范檢查風(fēng)險一般采取的措施有以下幾種。(1)識別重要信息資產(chǎn)。向管理部門索要詳細(xì)的信息資產(chǎn)清單，并對信息資產(chǎn)進(jìn)行分類。按類型分類，如分為數(shù)據(jù)與文檔、書面文件、軟件資產(chǎn)、實物資產(chǎn)和人員等，或者按照敏感性及重要性分級，如分為高、中、低或其他級別。(2)建立信息系統(tǒng)內(nèi)部審計機(jī)構(gòu)。目的在于加強(qiáng)對信息系統(tǒng)風(fēng)險控制的內(nèi)部管理和監(jiān)督。(3)確定合理的檢驗順序。按照重要性原則，依次進(jìn)行以下檢查：信息系統(tǒng)防范控制檢查、信息系統(tǒng)實體檢查、信息系統(tǒng)安全管理控制機(jī)制檢查、網(wǎng)絡(luò)安全檢查、財務(wù)核算檢查。06信息系統(tǒng)審計風(fēng)險與防范風(fēng)險的措施檢查風(fēng)險的防范(4)建立健全信息系統(tǒng)審計法律、法規(guī)和標(biāo)準(zhǔn)體系。在信息系統(tǒng)環(huán)境下，審計對象、技術(shù)和方法都發(fā)生了變化，傳統(tǒng)的審計準(zhǔn)則已不能完全適用于當(dāng)前的審計工作。然而，我國尚未制定和頒布相關(guān)的信息系統(tǒng)審計標(biāo)準(zhǔn)和法律。在國際上，ISACA等組織發(fā)布的信息系統(tǒng)審計標(biāo)準(zhǔn)是國際通用的信息系統(tǒng)標(biāo)準(zhǔn)，包括審計標(biāo)準(zhǔn)、審計指南和審計程序及相關(guān)規(guī)范。我國可以借鑒國際信息系統(tǒng)審計的實踐經(jīng)驗，同時結(jié)合國內(nèi)注冊會計師的管理情況，制定符合本國國情的信息系統(tǒng)審計準(zhǔn)則和法律，從而為降低信息系統(tǒng)審計風(fēng)險提供有力保障。(5)改進(jìn)審計手段。選擇有效的審計軟件，進(jìn)行科學(xué)抽樣，將審計方法使用不當(dāng)帶來的風(fēng)險降到最低。在對系統(tǒng)進(jìn)行測試時，應(yīng)根據(jù)審計成本和審計重要性原則來選擇最合適的測試方法。(6)采用先進(jìn)的審計技術(shù)和方法。應(yīng)用先進(jìn)的審計技術(shù)和方法可以提高審計效率和審計質(zhì)量。審計人員需要熟練掌握最新的技術(shù)方法來獲得足夠和適當(dāng)?shù)膶徍俗C據(jù)，以實現(xiàn)審核目標(biāo)。先進(jìn)的信息系統(tǒng)審計技術(shù)包括相關(guān)的安全審計技術(shù)、數(shù)據(jù)挖掘技術(shù)和信息系統(tǒng)審計證據(jù)生成技術(shù)等。識別重要性水平0501識別重要性水平重要性水平主要從以下幾個方面進(jìn)行考察：(1)以往的信息系統(tǒng)審計經(jīng)驗；(2)內(nèi)部控制與風(fēng)險評估結(jié)果；(3)信息系統(tǒng)規(guī)模和應(yīng)用的程度；(4)經(jīng)營管理業(yè)務(wù)對信息系統(tǒng)的依賴度；(5)與常規(guī)審計重點高度相關(guān)或與被審計單位核心業(yè)務(wù)高度相關(guān)的信息系統(tǒng)；(6)所在行業(yè)對信息系統(tǒng)的依賴度(如上/下游企業(yè)對信息交換或?qū)拥囊蟪潭?(7)因改變經(jīng)營管理模式、開拓新業(yè)務(wù)等情況需要更換或升級現(xiàn)有信息系統(tǒng)的難易程度；(8)系統(tǒng)設(shè)計文檔齊全，且在信息系統(tǒng)審計小組能力范圍內(nèi)的信息系統(tǒng)。確定審計依據(jù)0601確定審計依據(jù)信息系統(tǒng)審計的依據(jù)主要包含以下幾個。(1)通用的信息系統(tǒng)審計準(zhǔn)則和標(biāo)準(zhǔn)體系，包括職業(yè)準(zhǔn)則、ISACA公告和職業(yè)道德規(guī)范。職業(yè)準(zhǔn)則可歸類為：審計規(guī)章、獨立性、職業(yè)道德及規(guī)范、專業(yè)能力、規(guī)劃、審計工作的執(zhí)行、報告、期后審計。(2)國內(nèi)監(jiān)管部門發(fā)布的審計準(zhǔn)則或規(guī)范性文件。例如，中國內(nèi)部審計協(xié)會發(fā)布的《第2203號內(nèi)部審計具體準(zhǔn)則——信息系統(tǒng)審計》和《第3205號內(nèi)部審計實務(wù)指南信息系統(tǒng)審計》。此外，銀保監(jiān)會等行業(yè)監(jiān)管部門均發(fā)布了相關(guān)規(guī)范性文件或?qū)徲媽崉?wù)指南。01確定審計依據(jù)(3)信息系統(tǒng)的控制目標(biāo)。例如，ISACA自1996年開始陸續(xù)公布的COBIT被國際上公認(rèn)是最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。(4)委托方的系統(tǒng)需求和業(yè)務(wù)規(guī)定。(5)其他法律及規(guī)定。每個組織不論規(guī)模大小或?qū)儆诤畏N產(chǎn)業(yè)，都需要遵守政府或外部對與計算機(jī)系統(tǒng)運作、控制及計算機(jī)、程序、信息的使用情況等有關(guān)的規(guī)定或要求，對于一向受嚴(yán)格管制的行業(yè)，尤其要遵守。制訂審計計劃0701總體計劃總體計劃包括：掌握被審計單位的基本情況；明確審計目的、審計范圍及策略；重要問題及重要審計領(lǐng)域；工作進(jìn)度及時間；估計完成審計需要的資源和技巧，以及合理進(jìn)行審計小組成員分工；重要性確定及風(fēng)險評估等。信息系統(tǒng)審計總體計劃示例如表3-3所示。01總體計劃02具體計劃具體計劃包括具體審計目標(biāo)、審計程序、執(zhí)行人員及時間限制等?，F(xiàn)場審計時間安排(主機(jī)及網(wǎng)絡(luò)安全主題)示例如表3-4所示。02具體計劃在確定審計范圍時，應(yīng)與被審計單位和審計委托方舉行正式會議，并邀請被審計單位的高層領(lǐng)導(dǎo)參加，以確定審計范圍和關(guān)鍵內(nèi)容，制定時間表，說明審計方法，確保審計工作的順利實施。現(xiàn)場審計步驟圖如圖3-3所示。收集審計證據(jù)0801符合性測試符合性測試的方法符合性測試的程序分析被審計單位控制程序的符合程度，將實際控制程序和補(bǔ)償控制措施與規(guī)定程序進(jìn)行比較，檢查文件、系統(tǒng)日志、數(shù)據(jù)庫日志、權(quán)限設(shè)置和系統(tǒng)配置資料，并訪談相關(guān)人員，以判斷控制措施是否被正確、持續(xù)地執(zhí)行。(1)測試規(guī)定的控制程序是否按照要求持續(xù)一致地工作。獲取所選控制項目和階段的直接或間接證據(jù)。(2)使用直接或間接的證據(jù)，確保被審計的項目和階段始終符合相關(guān)控制程序的要求。(3)對過程或結(jié)果的充分性進(jìn)行有限的審核。為了證明信息系統(tǒng)的業(yè)務(wù)和數(shù)據(jù)流程是正確合理并有效銜接的，就要確定后續(xù)的實質(zhì)性測試的程度和其他需要進(jìn)行的工作。一般來說，只能對那些已被證明有效的控制程序行符合性測試。01符合性測試符合性測試的審計底稿信息系統(tǒng)審計的符合性測試底稿的一般格式如表3-5所示。02實質(zhì)性測試符合性測試的方法實質(zhì)性測試的程序?qū)嵸|(zhì)性測試的方式是實施必要的數(shù)據(jù)測試，如果是下列情況之一就要執(zhí)行大量的實質(zhì)性測試，否則，可以執(zhí)行有限的實質(zhì)性測試：(1)沒有任何控制措施是適當(dāng)?shù)模?2)控制措施經(jīng)評估是不滿意的；(3)符合性測試表明，控制措施不適當(dāng)或未能一貫執(zhí)行。(1)根據(jù)符合性測試的結(jié)果，為了證實事項都得到了有效控制，審計人員需要確定進(jìn)行實質(zhì)性測試的事項的范圍、數(shù)量及抽樣方法。(2)根據(jù)前面的方法判斷是否需要大量測試。(3)由于審計人員對每類事項的評價都必須有充足的關(guān)于該事項記錄準(zhǔn)確性與完整性的審計證據(jù)的支持，因此需要確認(rèn)所有事項均已經(jīng)被準(zhǔn)確記錄的可能性。(4)就樣本而言，判斷是否達(dá)到控制目標(biāo)，并向被審計單位管理層提供最終的保證或不保證。02實質(zhì)性測試實質(zhì)性測試的審計記錄信息系統(tǒng)審計的實質(zhì)性測試根據(jù)測試內(nèi)容的不同，所用的測試方法也不盡相同。例如，針對數(shù)據(jù)庫的測試可采用SQL數(shù)據(jù)庫查詢法，針對系統(tǒng)功能的測試可采用穿行測試法等。因此，實質(zhì)性測試的記錄也有所差異。下面列出了兩種常用的測試底稿的一般格式，分別如表3-6和表3-7所示。02實質(zhì)性測試實質(zhì)性測試的審計記錄出具審計報告0901審計底稿的復(fù)核首先，在提交審計報告之前，項目組成員需要對審計底稿開展復(fù)核。信息系統(tǒng)審計項目一般采用三級復(fù)核流程。第一級復(fù)核：由負(fù)責(zé)應(yīng)用控制和數(shù)據(jù)質(zhì)量管理控制的信息系統(tǒng)審計項目組長對本小組的審計底稿進(jìn)行復(fù)核。這一級復(fù)核是評判已經(jīng)完成了的審計工作，小組成員對編寫的審計底稿達(dá)成一致意見。第二級復(fù)核：各小組復(fù)核工作完成之后，由外部咨詢公司對審計底稿進(jìn)行復(fù)核，對審計底稿中記錄的事項實行把關(guān)。第三級復(fù)核：由負(fù)責(zé)信息系統(tǒng)審計項目的經(jīng)理對審計程序是否恰當(dāng)、審計底稿是否充實、審計過程是否全面、是否存在重大缺漏進(jìn)行復(fù)核。02審計事實的確認(rèn)在完成審計報告前，審計人員通常需要與被審計單位進(jìn)一步對審計發(fā)現(xiàn)的關(guān)鍵問題，以及其對應(yīng)的審計依據(jù)進(jìn)行確認(rèn)，所采用的審計事實確認(rèn)書的一般格式如表3-8所示。03信息系統(tǒng)審計報告的內(nèi)容審計工作底稿審計問題匯總報告審計工作底稿包括審計人員對信息系統(tǒng)進(jìn)行的有效性測試和實質(zhì)性測試所發(fā)現(xiàn)的內(nèi)部控制問題、風(fēng)險評估，以及對信息系統(tǒng)進(jìn)行測試的人員、時間和地點的記錄。這份報告主要記錄審計過程中發(fā)現(xiàn)的影響較大的內(nèi)部控制問題，以及針對這些問題提出的改進(jìn)建議。一些低風(fēng)險問題一般不會在這份報告中提及。信息系統(tǒng)審計缺陷匯總表示例如表3-9所示。03信息系統(tǒng)審計報告的內(nèi)容03信息系統(tǒng)審計報告的內(nèi)容專題分析報告審計管理建議書在實際的信息系統(tǒng)審計工作中，還可以根據(jù)環(huán)境變化的客觀條件調(diào)整審計報告的具體內(nèi)容。例如，針對項目中某一問題的專題分析報告，提出緊急改進(jìn)方案或一般改進(jìn)方案。審計人員將發(fā)現(xiàn)的內(nèi)部控制問題與制定的內(nèi)部控制標(biāo)準(zhǔn)進(jìn)行比較，分析對信息系統(tǒng)影響較大的內(nèi)部控制問題，最后提出相關(guān)改進(jìn)建議。審計總結(jié)報告審計總結(jié)報告將對本次信息系統(tǒng)審計進(jìn)行總體概述。審計總結(jié)報告說明了審計范圍、審計目標(biāo)、審計期間和所執(zhí)行的審計工作的性質(zhì)和范圍；審計過程中采用了哪些計算機(jī)輔助審計技術(shù)和信息系統(tǒng)審計技術(shù)，以及與之有關(guān)的審計結(jié)果。審計人員在審計過程中受到被審計單位條件或客觀環(huán)境的限制，而對某些重要事項不能獲得充分完整的資料，也應(yīng)在審計報告中予以說明。審計總結(jié)報告還要對存在高風(fēng)險級別的控制點進(jìn)行說明，提出相應(yīng)的完善提議。最后，審計總結(jié)報告還要對信息系統(tǒng)審計后續(xù)階段的工作進(jìn)行說明。審計結(jié)束1001審計結(jié)束審計完成后，應(yīng)召開正式會議，與被審計單位最高管理層交流審計結(jié)果，提出改進(jìn)建議。這能確保最高管理層更好地理解審計內(nèi)容，提高對審計建議的接受度，并為被審計單位提供表達(dá)意見的機(jī)會。審計機(jī)構(gòu)簽署審計報告并不意味著審計過程的終結(jié)，對審計項目展開后續(xù)的跟蹤檢查也是信息系統(tǒng)審計的重要階段之一。審計人員針對在信息系統(tǒng)審計過程中發(fā)現(xiàn)的信息系統(tǒng)重大問題和漏洞，可對被審計單位所采取的糾正措施及其效果進(jìn)行后續(xù)審計。審計部門應(yīng)該將后續(xù)審計放到審計計劃中，并對人員、時間及分工進(jìn)行保證。后續(xù)審計不是一次新的審計，而是本次審計的一部分。