今天, 信息系统已成为企业业务处理的中枢, 信息系统的可靠、安全、 效率摆布着企业 的命运。 企业不仅要在内部设立信息系统审计部门, 实施内部审计, 还必须委托外部信息系 统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。要实施独立的信息系统 审计,确立信息系统审计制度是十分重要的。 因此, 为了标准部门内部工作流程和质量控制, 协助其他部门了解信息系统审计部门的 业务支持范围、 工作内容及工作流程, 促进部门间就项目中设计的信息系统审计业务范围进 行有效沟通, 协调项目工作计划的界定和质量管理, 防止因项目中工作职责和工作范围界定 不明确而降低审计工作的效率和效果,特制订此信息系统审计制度。 本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作,为财务 审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围,信息系统审 计的磷酸氧钛钾工作程序及方法,以及信息系统审计对客户能够达成的效果等,特作以下介绍说明。 一、信息系统审计何时介入
信息系统审计〔IT Audit〕是信息系统鉴证业务中的一种。信息系统审计是根据业务和家庭自制黄豆芽机 信息控制目标, 针对信息系统环境内设定的控制, 通过搜集和评估审计证据, 对信息系统控 制的有效性发表结论或者意见的过程。
信息系统审计有四个层面:
1.它的目的是对信息系统控制的有效性发表评估结论或者审计意见。有效性包括控制设计 的有效性和执行有效性;
2.它的对象是信息系统环境中的各种控制流程或者机制,包括 IT 普通控制和应用控制;3〕 3.它的内容是搜集和评估审计证据;
4.它的依据是业务控制目标, 比方系统是否有效实施控制保证财务软件计算的固定资产 折旧程序是否准确。 通过执行信息系统审计, 可以协助财务审计团队了解和评价信息系统的 可靠性和安全性及财务数据的完整性和准确性。
财务审计团队在财务审计业务计划阶段, 需对客户的信息系统环境进行调查, 假设客户 的信息系统环境评估结果为复杂时, 需邀请信息系统审计人员介入共同探讨审计计划, 根
据 业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质〔如: 是否为高度自动化〕 、交易数量及信息系统的管理方式〔如:假设信息系统由第三方管理, 则需考虑是否需要 SAS70 或者相关的报告〕确定信息系统审计业务支持服务范围,并在信 息系统审计计划中以书面的形式记录业务约定。假设客户的信息系统环境评估结果为不复杂 时,信息系统审计工作可由审计团队完成, 必要时信息系统审计团队可以提供知识和技术的 支持和咨询服务。
其中,假设在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化
〔如: 银行,保险,电信, 和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息 系统处理业务〕,仅仅执行实质性程序无法提供足够的审计证据时,在约定信息系统审计业 务服务范围时, 需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实 性、完整性、准确性、截止性的审计程序。
在约定信息系统审计是否介入时,需要考虑如下因素:
▪ 系统的复杂性;
▪ 业务的本质;
▪ 财务审计团队的技能和知识;
▪ 系统的位置〔例如,如果包含一个服务组织, SAS70 或者相关的报告能否被使用〕;
▪ 处理的本质〔例如高度自动化〕和交易的数量。
在评估信息系统是否复杂时,我们认为以下特征是复杂信息系统的指标:
▪ 客户实施编程和/或者开辟;
▪ 信息系统处理过程高度自动化,很少或者没有人工干预;
▪ 不同的系统接口;
▪ 信息系统使用批处理〔计划任务〕;
▪ 实施了新系统或者系统间进行了转换;
▪ 使用了单点登录〔SSO〕或者集中权限管理〔CRM〕系统。
二、信息系统审计业务范围
信息系统审计是一个通过采集和评价审计证据,对信息系统是否能够保护资产的安全、 维护数据的完整、 使被审计单位的目标得以有效地实现、 使组织的资源得到高效地使用等方 面作出判断的过程。信息系统审计业务范围包括: 〔一〕为财务审计团队提供信息系统审计 业务支持; 〔二〕支持企业内部控制审计; 〔三〕开展独立的信息系统审计业务; 〔四〕对信 息系统控制及安全方面提供独立建议的咨询服务。
〔一〕为财务审计团队提供信息系统审计业务支持
信息系统审计业务为财务审计提供合理保证,其提供的支持服务内容包括:
1.信息系统普通控制:
▪ IT 控制环境/关键职责别离;
折叠音箱▪ 主要业务和财务系统的开辟以及程序变更管理;
▪ IT 系统运维管理,如数据批处理、数据备份、数据中心维护;
▪ 业务和财务系统环境中关键的信息安全和权限控制管理,包括用户账户和授权管理、 应用系统安全、数据库系统安全、操作系统安全、和网络安全。
2.应用控制:
支持重要业务流程的各应用和接口系统中固化在程序中的关键控制点。这要根据财务半导体模块 审计团队确定的业务流程而定。比方销售、采购、库存、应收、对付、总账、资金、电子商 务、银行存贷等。
3.根据业务复杂性确定的其他控制:
如根据重大账户余额,交易类型或者披露事项的重大错报风险的评估结果,对依赖于电 脑生成的信息执行信息〔CGI〕控制测试, 电脑辅助审计〔CAATs〕测试, 会计分录测试〔JET〕 等。
〔二〕支持企业内部控制审计
信息系统审计对企业的内部控制审计提供支持,对特定基准日内部控制设计与运行的 有效性进行审计,其主要内容包括:
1.恰当地计划内部控制审计工作;
2.实施审计工作, 评价内部控制是否可以应对舞弊风险, 测试内部控制设计与运行的有 效性;
3.评价企业内部控制缺陷,按其影响程度分为重大缺陷、重要缺陷和普通缺陷;
4.获取充分、 适当的证据, 为在内部控制审计中对内部控制有效性发表意见和对控制风 险结果评估提供支持。
〔三〕开展独立的信息系统审计业务
独立的信息系统审计业务是通过实施信息系统审计工作, 对公司、 机构或者组织是否达成 信息技术管理目标进行综合评价, 并基于评价意见提出管理建议, 协助组织信息技术管理人 员有效地履行其受托责任以达成公司、机构或者组织的信息技术管理目标。
独立的信息系统审计业务也可通过实施信息系统审计工作来对公司、机构或者组织所提 供的专业化服务 〔如电子商务、 人力资源与薪酬管理外包、在线数据备份等〕进行综合评价 从而到达以下目标:
1.判断一切与该公司、 机构或者组织所提供的专业化服务相关的流程、 操作及管理是否合 乎行业标准;
2.保障使用此类专业服务的公司或者个人的信息安全性;
3.基于评价意见提出整改建议, 从而匡助此类专业服务提供商更好地拓展市场与开放客 户体。
信息系统审计部门能够为客户提供的独立的信息系统审计业务内容包括:
▪ 企业信息系统控制合规审计报告;
▪ 企业信息系统运行和控制系统设计及评估;
▪ 企业萨班斯法案审计服务;
▪ 其他。
其目的是保证其信息技术战略充分反映该组织的业务战略目标,提高公司、机构或者组 织所依赖的信息系统的可靠性、 稳定性、 安全性及数据处理的完整性和准确性, 提高信息系 统运行的效果与效率,合理保证信息系统的运行符合法律法规及监管的相关要求。
〔四〕对信息系统控制及安全方面提供独立建议的咨询服务
信息系统咨询业务是指结合信息系统安全、企业内部控制管理与外部审计等多方面的 专业知识,提供与信息安全相关的信息化建设、信息安全诊断、信息技术认证及 ERP 系统 相关的咨询业务。
信息系统审计部门能够为客户提供的独立的信息系统咨询业务内容包括:
▪ 企业信息系统战略策划和评估;
▪ 企业信息系统执行及项目管理监理咨询;
▪ 企业信息系统安全评估;
▪ 企植草板业萨班斯法案咨询服务;
▪ 企业专业服务系统的行业评估;
▪ 其他。
三、信息系统审计程序
〔一〕信息系统审计普通程序
审计程序普通可分为四个阶段,即准备阶段、实施阶段、审计结论和执行阶段、异议 和复审阶段。 信息系统审计也可分为这四个阶段, 同时结合自身的特殊要求, 运用本身特有 的方法,对信息系统进行评价。
1.准备阶动力换挡变速箱段