信息系统审计论文(合集7篇)

时间：2023-03-28 15:04:41

信息系统审计论文第1篇

关键词：信息系统审计;企业信息化;信息系统

信息化是国家现代化的基本标志，也是一个国家综合国力的集中体现。信息化建设是一项长期的、综合的系统工程，在改善企业运作管理水平、提高工作效率的同时，也产生了巨大的风险。因此，建立信息系统审计制度，发展信息系统审计是信息化过程中必不可少的制度保证和手段。

一、信息系统审计的概述

1.信息系统审计的定义

信息系统审计（InformationSystemAudit信息系统，简称ISA）目前还没有公认的通用定义，国际信息系统审计领域的权威专家RonWeber将它定义为：收集并评估证据，以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源。可通俗的理解为是对信息系统的规划、开发、实施、运行和维护等各个环节进行评价，确保其符合企业经营目标的过程。

2.信息系统审计的业务内容

信息系统审计的业务内容包括计算机资源管理审计、软硬件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计。

信息系统审计项目按生命周期来划分，一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计。

信息系统开发过程中的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的。信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计；信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计。

3.信息系统审计的流程

信息系统审计流程包括三个阶段即:审计计划阶段、审计实施阶段和审计完成阶段。

计划阶段是信息系统审计流程的第一步，主要任务是了解被审系统的基本情况；与委托单位签订业务约定书；初步评价被审系统的内部控制及外部控制；确定重要性水平；分析审计风险和编制审计计划。

实施阶段的主要任务是根据重要性水平、风险和计划获取有关资料；进行符合性测试和实质性测试；对测试结果进行分析；找出导致结果的原因。

完成阶段的主要任务是整理、评价审计证据；复核工作底稿，完成二级复核，汇总审计差异，同被审系统管理层交流；对重要性水平和风险进行最终评价，形成审计意见，编制审计报告，完成三级复核。

二、信息系统审计的方法、技术与工具

由于信息系统本身的多样性和复杂性，信息系统审计的难度也随之增加。面对错综复杂的信息系统和审计环境，要求审计师可以根据审计组织及信息系统的实际情况，结合审计目标、成本效益、审计小组的人员与设备配置情况等，采用多种方法、技术和工具来帮助他们进行审计工作。

1.常规的审计方法、技术与工具

常规的审计方法包括面谈法、问卷调查法、系统评审会、流程图检查、程序代码检查、程序代码比较和测试等。但在高度计算机化的信息系统中，只采用常规审计法显然是不够的，无论是审计证据的收集、评价，还是实现审计工作的现代化，都需要借助计算机来高效完成。

2.计算机辅助审计的技术与工具

信息系统被普遍应用与企业生产、管理及经营活动的各个环节，审计师为达到审计目的，必须要收集大量储存于计算机中的数据，并借助于计算机对这些数据进行分析，以得出审计的结论。因此审计师在收集证据并分析证据时，必需利用计算机辅助审计工作，计算机辅助审计技术（ComputerAssistedAuditTechniques，简称CAAT）越来越成为审计师不可或缺的手段。

计算机辅助审计技术可以使信息系统审计师独立收集审计信息，按照预定审计目标访问和分析数据、报告系统产生和维护的记录的可靠性等审计发现。所用信息来源的可靠性为得出审计结论提供了再保证。

常用的计算机辅助审计软件与技术：共用软件、测试数据、应用程序检查、审计专家系统、整体测试、快照、系统控制审计审核文档、其他特殊的审计软件等。三、信息系统审计的应用价值

信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。信息系统审计为企业信息系统的有效管理提供了一系列详细的审计方法，从项目计划开始介入信息系统建设的每个环节，从项目的初始阶段一直到运营阶段的全过程，给予项目投资者风险控制的评价和建议，提高信息系统的投资效益。

信息系统审计可以查出各种错误和舞弊，合理地保证企业信息系统及其处理、产生的信息的真实性、完整性与可靠性；可以促进企业更有效地融入到社会生活中；可以促进企业改进内部控制，加强管理，提高信息系统实现组织目标的效率。信息系统审计在信息化过程中，帮助企业建立健全的内部控制制度，进行系统诊断。确定信息化的目标和内容，帮助企业调整现有的管理框架和流程或修改软件产品使其更好地服务于管理的需要。

参考文献:

[1]胡克瑾:IT审计[M].电子工业出版社，2004.

[2]孙强:信息系统审计:安全、风险管理与控制[M].机械工业出版,2003.

信息系统审计论文第2篇

众所周知，审计质量是评价审计工作水平高低的标准，是会计师事务所的生命。审计质量的高低直接影响审计目标的实现，对社会经济的发展与稳定产生着直接或间接的影响。由于早期计算机应用比较简单，计算机审计业务主要关注被审计单位电子数据的取得、分析、计算等数据处理业务，还称不上信息系统审计；随着信息时代的到来，网络的普及及计算机信息系统的建立为信息系统审计带来了前所未有的机遇和挑战。

一、计算机信息系统环境下对审计质量的影响

（一）审计线索的减少

审计线索，亦称“审计轨迹”，在计算机信息系统环境下，会计核算主要由计算机完成，计算机只记录最后处理结果，忽略中间处理过程，数据形成依据的记录减少。储存于磁性介质上的会计数据具有存取方便、修改与删除不留痕迹的特点，这又给审计的追踪带来重重困难。因此，计算机信息系统环境下审计线索的减少和追踪困难的增加，必定给审计质量带来重大影响。

（二）审计对象的限制

审计对象是审计监督、检查和评价的客体，具体体现为被审计单位的各项经济活动及其反映的资料。在计算机信息系统环境下，注册会计师进行审计的依据是计算机的输出信息，审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息，其他敏感性信息则极有可能被人为掩藏。这样，注册会计师处于被动地位，难以获取充足的审计证据支持其审计结论，审计质量显然要受到影响。

（三）审计内容的扩展

手工系统中，审计内容就是有关财务会计的信息，而计算机环境下的审计内容还包括会计电算化系统的开发与设计、会计软件的程序以及数据库管理系统。此外，注册会计师还应该确定系统的开发与设计方法是否合理，是否严格按照分析、设计，测试、运行、维护的步骤进行，分析是否全面、设计是否恰当、测试是否充分，会计软件执行程序是否与实际操作中的业务流程一致，数据库管理系统是否有效，会计软件是否能够予以信赖，并以会计软件处理输出的结果作为审计对象。

（四）审计方法的落后

目前，被审计单位的财务工作多采用计算机进行数据处理，会计电算化软件功能日臻完善，但是审计软件的发展远远没有跟上会计软件发展的步伐，同时大部分注册会计师对计算机信息系统还不太熟悉，绝大多数审计业务仍停留在绕过计算机进行审计的阶段。但是这种方法的运用以系统必须留有足够的、肉眼可以识别的审计线索为条件，如前文所述，审计线索缺乏是计算机环境的一个特点，因此，绕过计算机审计的方法难以保证计算机环境下的审计质量。

（五）注册会计师计算机知识的缺乏

在计算机环境下，从审计计划的制定到审计程序的确定，从审计技术的选择到审计方法的采用，都必须由注册会计师操作和指挥。这要求注册会计师不仅要有丰富的会计、财务、审计知识和技能，熟悉财经法律以及其他的审计依据，而且还应当掌握计算机知识及应用技术，掌握数据处理和管理技术；不仅要懂得审计软件的操作方法，而且还应当根据审计过程中所出现的种种问题，即时编写出各种测试、审计程序模块。

二、计算机信息系统环境下提高审计质量的对策

为了提高在计算机信息系统环境下的审计质量，在财务审计中，变绕过计算机审计为穿过计算机审计，对计算机内部数据处理的详细过程直接进行审查。内容包括以下几个方面。

（一）积极开展计算机信息系统的事前审计

通过事前审计监督，对计算机信息系统建立的内部控制的严密完善性、系统的合规合法性以及系统的可审性等进行评价，保证计算机信息系统运行以后数据处理结果的真实性和正确性，防止和减少计算机信息系统信息失真风险的发生。

（二）定期对被审系统的内部控制制度进行审计

对计算机信息系统的内部控制进行审查和评价是提高计算机信息系统环境下审计质量的有效措施之一。通过对被审计系统内部控制制度的健全性调查和实际执行情况的符合性测试，找出控制的弱点，提出强化内部控制措施，督促被审计单位完善内部控制系统。（三）重视计算机信息系统的事后审计

通过事后审计，对计算机信息系统的电子账以及打印输出资料的真实性、合法性进行评价，防止和揭露计算机信息失真的风险。

通过以上分析，在计算机信息系统环境下审计的业务范围已经扩展到了符合性测试领域。为财务报表审计提供服务只是信息系统审计业务内容很小的一部分，与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务在不断涌现。

三、加快发展信息系统审计

信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中，传统审计服务的收入比例在迅速下降，风险控制服务和管理咨询服务收入的比重大大提高，而这些收入中增长的部分往往又和IT环境审计和信息系统安全审计服务有关。所以，应该从三个方面发展信息系统审计工作。

（一）内部控制环节的变化，使许多传统的控制手段已经失去意义，评价和改进内部控制必须以信息系统的运转为基础

计算机信息系统下的内部控制虽然与手工会计系统的目标是一致的，但是与手工会计系统相比，由于计算机有自动处理的功能，内部处理的不可控制性要求采用更为严格的方法。所以在控制方式、内容、手段等方面均不同于手工会计系统的内部控制。

1．职权制审查：即从组织机构角度审查信息系统中各种人员的职责与权利、联系与牵制。

2．人员素质审查：即是否有以提高人员素质为目的的控制措施。

3．硬件及环境审查：即对存档的系统设计文本中有关硬件的资料审查。

4．运行审查：即对计算机在输入、处理、输出过程中的运行情况审查。

5．修改方式及保密措施审查：审查操作修改程序是否只有一个入口，即凭证输入口；发现错误是否采用重新输入凭证的方式加以修改；是否修改后有修改痕迹；各主要功能模块是否设置操作口令，程序是否建立保密制度。

（二）控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点

由于企业经营越来越依赖于信息系统，除了传统意义上的经营风险、控制风险和财务风险之外，企业信息系统安全性导致的信息风险也日益增长。非授权用户常常利用信息系统本身存在的脆弱性对系统进行非法访问，这种非法访问使系统中储存信息的完整性受到威胁，使信息被修改或破坏而不能继续使用，更为严重的是系统中有价值的信息被非法篡改、伪造、窃取或删改而不留任何痕迹。此外，计算机还容易受各种自然灾害和各种误操作的破坏。必须认识到信息系统的这种脆弱性，采取有效措施来保证信息系统的安全。

信息系统审计论文第3篇

（Why）随着被审计单位经济业务活动对信息系统依赖程度越来越高，信息系统已经逐渐融入各项经济活动当中。但是，信息系统存在的漏洞和缺陷、非法舞弊程序、人为操作错误、病毒感染、黑客攻击、系统故障等导致被审计单位经济业务数据失真的各种风险也在进一步加大，也就是说信息系统本身的安全性、可靠性直接威胁和影响到信息系统所产生经济业务电子数据的真实、准确和完整。因此，基于现代风险基础审计理论的政府审计，必须考虑与经济业务活动相关的信息系统产生的风险因素，突破传统政府审计业务范围，涵盖信息系统审计内容。如果忽视对信息系统本身的审计，审计机关审计人员审计依赖的被审计电子数据的真实性就会成为“空中楼阁”，就有可能出现“假账真审”的问题。目前，各级政府部门、企事业单位为了提高信息化水平，纷纷加大资金投入，推进信息系统建设，建立统一数据集中平台，信息系统已经成为国家的一项投资巨大的重要资产。这就要求审计机关审计人员在对这些机构实施经济效益审计、绩效审计、经济责任审计等审计项目时，必须考虑信息系统资产因素，对信息系统实施相关审计，以有效揭示信息系统在安全、可靠、合法、效率、效果和效益等方面存在的问题，防范信息系统风险，保障信息系统安全、可靠运行，促进信息系统资源的有效利用，提高信息系统资源运用的收益水平。由此，在政府审计项目中，考虑到信息系统的影响因素，迫切需要大力开展结合型政府信息系统审计，而不是可审可不审的问题。

二、结合型政府信息系统审计的目标是什么

（What）信息系统审计目标是信息系统审计行为的出发点，它指明了审计工作方向，并指导着信息系统审计实践活动（王振武等，2011）。我国政府审计以维护国家财政经济秩序，提高财政资金使用效益，促进廉政建设，保障国民经济和社会健康发展为职能，以国家经济活动的真实性、合规性和效益性为总体目标。因此，我国政府审计机关实施的结合型政府信息系统审计，也应遵守真实、合规和效益的根本目标。审计机关审计人员在各项具体政府审计项目中，不能笼统地将一般意义上信息系统审计的安全性、可靠性、合法性和有效性目标作为结合型政府信息系统审计具体目标，这既不符合结合型政府信息系统审计的特点和需求，也不具备实际可操作性、指导性。如果信息系统审计目标因素与具体政府审计项目目标不相关，将起不到应有的作用，是多余的、不必要的，从成本效益角度来说，是对审计资源的浪费。审计人员应避免根据自己的理解来确定目标，造成混淆不清。结合型政府信息系统审计贯穿于各政府审计项目之中，成为审计全过程的一部分，其具体审计目标应根据国家审计机关实施审计项目预期要完成的任务和结果，即具体政府审计目标，以及所涉及的信息系统情况等综合确定。例如，政府财政财务收支审计的目标是财政财务收支情况的真实性、合规性和效益性，其审计的数据来源于相关信息系统产生的财务电子数据，而数据是否真实、完整，直接依赖于相关信息系统是否安全、可靠，由此可以确定政府财政财务收支审计中信息系统审计的目标是安全性、可靠性。又如，在国有企业绩效审计中，绩效审计的目标是效率性、效果性和效益性，虽然信息系统与绩效审计不直接相关，但是信息系统作为企业的一项重要资产，且信息系统建设的投入金额巨大，因此，在国有企业绩效审计中也应包括信息系统资产的绩效审计，这就决定了国有企业绩效审计中信息系统审计的目标应该是效率性、效果性和效益性。上述示例也表明，结合型政府信息系统审计具体目标随政府审计项目的不同而存在一定的差异性，也就是说政府审计具体目标的多元性决定了结合型政府信息系统审计具体目标的多元性，必须根据具体政府审计项目综合确定。

三、结合型政府信息系统审计的重点在哪里

（Where）结合型政府信息系统审计的成效取决于审计机关审计人员对信息系统审计重点内容的把握程度。审计人员应该在分析清楚各政府审计项目中信息系统审计具体目标的基础之上，确定信息系统审计意图和需要解决的问题，并根据“全面审计、突出重点”、“先系统本身后系统环境”的原则确定信息系统审计重点事项（唐剑，2012）。此外，还应考虑成本效益原则，尽力减少与政府审计目标不相关的、多余的、不必要的信息系统审计内容。

（一）结合型政府信息系统重点

审计对象的选择被审计单位一般建立有多个信息系统，依据结合型政府信息系统审计的特点，不需要也不必要将被审计单位的所有信息系统纳入重点关注的审计对象，只需要根据与被审计业务活动相关的程度选择目标信息系统。如何选择信息系统重点审计对象？审计机关审计人员选择的主要原则应是依据被审计单位核心业务对信息系统的依赖性以及被审计单位信息系统的复杂性确定需要重点调查和审计测试的信息系统的范围和深度。一般来说，越高度依赖的信息系统，就应该作为重点审计的对象；越复杂的信息系统，就应该扩大重点审计对象范围。例如，在财务收支审计中，被审计单位ERP系统由财务、采购、销售、库存、质量、人力资源等多个子系统组成，由于财务收支数据直接依赖于财务子系统，所以理应将其作为审计的重点，然而ERP系统又是一个集成化的复杂系统，审计人员还应扩大审计范围和深度，需要将ERP系统中系统管理子系统以及其他子系统的基础设置、凭证处理等模块也作为审计的重点。

（二）结合型政府信息系统内部控制

测试重点

内容的确定现代风险基础政府审计是建立在内部控制的测评基础之上，根据内部控制的符合性测试结果实施业务数据的实质性测试。信息系统内部控制测试是对信息系统内部控制的可靠性、健全性和有效性进行的测试。基于结合型政府信息系统审计的经济监督和重在审计业务数据的特点，以及政府审计人员信息技术能力限制，为避免将对信息系统的审计引入技术陷阱（李春青，2008），审计人员应重点选择信息系统中容易产生数据风险的部分，作为信息系统内部控制测试的重点内容。而信息系统的硬件、软件、应用程序、数据、人员、制度等组成要素中，对业务数据直接产生影响的主要有信息系统数据、应用程序、人员和制度，因此审计人员在结合型政府信息系统审计中应选择信息系统数据、应用程序、人员、制度作为审计测试的重点，只在必要的时候再根据实际情况适当关注信息系统的软硬件环境。

（三）信息系统效率、效果和效益审计重点

内容的选择在结合型政府信息系统审计中，对行政事业单位、企业的效益审计、绩效审计、经济责任审计等政府审计项目中涉及的信息系统效率、效果和效益审计，其审计范畴从属于政府审计项目的范畴，只是审计对象中包括信息系统资产。因此，在这种结合型政府信息系统审计中，审计机关审计人员审计信息系统效率、效果和效益应从被审计单位正在运行使用中的信息系统资源的有效利用、促进产品或服务目标实现、降低产品或服务成本和增加产品或服务收益的角度选择重点审计内容：（1）效率性审计应重点评价使用中的信息系统对提高被审计单位劳动生产率所作的贡献，如节省人力、提高人员工作效率等；（2）效果性审计应重点评价使用中的信息系统使被审计单位业务、管理和决策等方面得到改善和提升，如满足业务处理需求、促进业务流程改进、增强信息交流与共享、提升客户服务能力、提高管理决策水平等；（3）效益性审计应重点评价使用中的信息系统的资金投入以及产生效益之比，资金投入包括信息系统运维资金投入、升级改造资金投入等方面，产生效益则可以从降低产品或服务成本、提高资金周转速度、提高产品或服务收入、增强竞争力等方面考虑。

四、结合型政府信息系统审计如何实施

（How）结合型政府信息系统审计作为信息系统审计的一个特例，两者在审计技术、方法、手段等方面理应具有一定的一致性。但是，审计机关审计人员在借鉴目前常用信息系统审计方法的同时，需要结合具体政府审计项目，立足审计人员的信息技术审计能力相对较弱、业务审计能力较强的审计专长，以审计人员的业务思路和职业判断为工作核心（王亚清，2012），积极探索富有实效的信息系统审计与传统审计相结合的方法。

（一）如何做好信息系统审前调查

在进行结合型政府信息系统审计调查时，审计机关审计人员可以将被审计信息系统调查与被审计项目业务调查结合进行，将信息系统调查作为业务调查的延伸。一方面，可运用询问法、观察法、查阅法、调查表法、流程图法等传统审计调查的方法，将被审计单位业务活动情况与信息系统情况调查融合在一起，一并调查了解被审计单位整体和业务活动情况、信息系统环境（如硬件环境、软件环境、组成、结构、分布等）、内部控制制度（含信息系统内部控制制度）、手工和计算机信息系统处理过程（如业务流程、运行流程、人员操作流程等）及执行情况；另一方面，可运用计算机辅助审计方法获取被审计业务电子数据，调查了解被审计信息系统数据处理情况等。两种方法相互补充，既能全面了解被审计单位业务活动情况，又能够摸清被审计单位信息系统基本运作情况，实现信息系统审计调查与整个审计工作调查的衔接，从而确保审计调查的效率、质量。

（二）如何做好信息系统内部控制测试

在结合型政府信息系统审计中，审计机关审计人员可运用熟悉的传统审计测试方法，辅以计算机辅助审计测试方法对前述确定的信息系统数据、应用程序、人员、制度等重点内容进行审计测试。具体可采用：（1）传统审计方法。通常可采用询问法、观察法、检查法、核对法、比较法、数据分析法等方法。如：询问或观察职责分离制度、人员操作制度、运行维护制度的执行情况；观察有关人员对信息系统访问是否设定口令、系统操作是否违反职责分离原则；查阅系统日志文件、操作记录，查看系统中是否有非法访问记录和报告，有无未经授权的用户操作系统；观察、检查系统功能设置、程序化控制、权限设置、系统参数配置等是否合理、有效，如权限设置是否符合职权要求，人员岗位变动或离职前是否及时进行权限锁定或删除，客户数据是否进行唯一性检验，财务软件是否存在反结账、反记账等功能；核对、比较原始凭证与数据库凭证文件数据的一致性，以测试凭证数据输入控制的有效性；对数据库文件数据采用数据分析法，如分析数据文件中操作员代码、数据异常值、数据间的关联关系、数据间的平衡或合计关系等审查是否存在非法用户或越权操作、参数设置的有效性、数据处理是否存在错误等以测试数据处理控制的有效性，也可通过数据分析反推系统中存在的非法功能和漏洞，等等。（2）计算机辅助测试方法。通常可采用计算机数据审计软件工具、整体测试法、平行模拟法、虚拟实体法、受控处理法等方法。如利用计算机审计软件（OA）、数据库管理系统（Access、Sqlserver）、Excel等获取和分析被审计信息系统数据输入、处理、输出控制；运用整体测试法、平行模拟法、虚拟实体法、受控处理法等方法（张瑜，2012），测试系统的处理和控制功能是否恰当、可靠，接口程序是否存在缺陷等。除此以外，对于信息系统硬件、软件、网络安全等方面内部控制测试，由于其技术性较强，审计人员可重点从系统管理的视角着手。一般采用面谈法、询问法、观察法、测试软件等，重点审查计算机安全和管理制度的执行情况、是否建立安全认证机制、是否建立针对系统故障的应急安全机制、软硬件来源的合法性，观察硬件是否进行有效的保养、隔离，查看系统是否安装防火墙、安装防病毒软件、定期检测和清除计算机病毒，利用漏洞扫描工具和网络检测诊断工具等对网络环境进行测试和评估。

（三）如何做好信息系统效率、效果与效益审计

对于结合型政府信息系统审计中的效率、效果与效益性审计，应遵循可操作、实用性原则，审计机关审计人员可通过询问、观察、查阅资料、发放调查表和比较分析等方法，重点了解信息系统的各项功能在被审计单位日常工作过程中的使用情况，了解信息系统功能设置能否满足系统目标，了解信息系统保障被审计单位信息资源共享、业务有效开展和履行情况，了解信息系统运维成本和效益并进行定量化分析处理，对比被审计单位信息系统规划、运营目标，运用一定的评价方法（如平衡计分卡法、层次分析法、模糊综合法等）（张静等，2011）进行评价，给出审计结论和审计建议。就目前来说，信息系统的效率、效果和效益审计在我国仍然处于理论和实践探索阶段，缺少规范的指导，缺乏完善的评价指标体系，因此，如何科学、准确地评价信息系统的效率、效果和效益，仍然存在不小的难度。

五、结束语

信息系统审计论文第4篇

［论文摘要］本文分析了信息系统环境下审计工作系统的功能特征、运作环节以及系统的构成，介绍了系统测试的方法，以期提高审计信息化水平，提高审计效率和效果。

数据库技术在审计信息管理中的广泛运用，能为审计人员充分、有效、便利地提供信息，为满足快捷决策需要奠定了基础。其主要设计思想是将分析决策所需的大量数据从传统的操作环境中分离出来，把分散的、难以访问的操作数据转换成集中统一、随时可用的信息而建立的一个大的数据库，其中存储了所有审计数据。

一、审计工作系统的功能特征

在审计工作系统中，审计数据库将信息按照主题来进行组织、管理、控制，审计系统对信息的组织、管理、控制方式一般具有以下特征：

1.一致性

不同来源的多种数据一旦进入数据库，就必须按照统一的主键和结构与编码规则重新组合，因而在审计系统中的数据信息具有一致性的特点。当业务事件发生时，所有原始数据被适当加工成标准编码的源数据，集成于一个逻辑数据库(或数据仓库)，而不是重复存储于多个低耦合系统中。数据库不只记录符合会计事项定义的业务事件，而且记录管理者想要计划、控制和评价的所有业务事件，并且存储业务活动中多方面的细节信息。任何授权用户都可以通过数据库所存储的数据来定义和获取所需的有用信息，这样既能提供多种视图驱动应用所能提供的全部视图，又能避免数据重复存储和数据不一致的问题。此外，这种体系结构还实现了信息处理的实时控制，数据库中的处理单元在业务发生时捕捉业务数据，既能执行业务规划和控制，又能校验数据的准确性和完整性。

2.时间变量

审计数据库中的数据键始终包括时间元素，数据保存的时间通常较长，具有作历史比较和趋势分析预测的长期数据基础。数据库技术是将计算机应用于数据管理而产生的一种新的技术，它仅是审计信息系统凭借的一种新的管理手段，对于数据库的基本要素和管理对象——审计信息的源数据，并不是指没有经过任何加工的原始数据，而是在原始数据的基础上，经过了类似于会计流程中的原始凭证确认、统—会计科目标准编码等加工后所形成的数据。

二、审计工作系统的运作环节

审计数据库在审计工作系统的运作过程大致有如下4个重要方面：

1.数据获取

获取企业的数据信息，记录数据信息的功能和处理过程。根据审计人员的需要，对在数据库中运算所需的数据通过一定的方式进行采集，可以得到企业完整而清晰的数据信息，选取和不断更新数据，保证数据的一致性，使审计信息系统的数据不断更新与补充，并使数据在审计信息系统内部各部件之间可以沟通；利用现有系统的信息，确定从企业数据到审计信息系统的数据模型所必需的转化／综合模式。生成审计信息数据，是进行审计工作的数据基础，类似于传统手工环境下的审计对象。审计信息系统上的财务信息不再是简单的纯文本传统财务信息，它是特定协议标准格式，如超文本格式(HTML)的电子报表，所有数据只要点击都可以被随意移植使用。通过网络传输而来的电子报表按照一定的协议标准格式编制，也可以转换成审计信息系统所需的数据。通过数据获取环节，把这些数据转换成审计信息系统所能识别的形式，或直接采用被审计单位所提供电子数据加工出审计信息系统想要的形式。

2.数据管理

此环节包括会计信息库和用户信息库两部分，前者主要依据数据库技术进行管理，注重于对信息的分类、组织、维护、检索等，对存储的数据建立模型，通过数据模型来对信息进行保存和管理；后者主要包括有关用户个性特征的信息，个性特征数据结构设计是这部分的关键问题，决定了个性化信息服务系统服务质量的优劣，也是实现信息服务自动化和智能化的关键。通过将各种数据装入数据管理库之中，生成必需的、能为审计人员所直接使用的数据管理库，或通过其他方法为审计人员提供查询工具，以便审计人员能方便地从数据管理库中获取所需的信息，并可以通过一定的形式将其输出。生成审计工作所需的数据管理库包含各种审计计算底稿、审定表、审计报告、管理建议书等信息的结构化数据库，并形成与其他部件进行联系的桥梁。

3.分析推理

这是审计信息系统中对信息流进行控制的核心，其主要功能是接受审计人员通过审计信息系统传来的信息需求，判断需求指向的是已存在的信息，还是不存在的信息，或者是哪一层次的信息。对已存在的信息可直接调出并通过用户浏览器予以显示，对不存在的信息需要进行记录，并判断是否经适当可行的计算或处理即可提供，如是，则进行计算处理并显示；否则，作为遗留问题提示进行特别设置处理。此环节是审计工作数据库的主要组成部分之一，可以利用采集到的数据信息，根据程序设置，推断出审计人员工作需要的可能解；提供方便的审计分析模块。

4.解释报告

审计软件可以提供审计报告生成功能，审计人员可以通过它选择具体的信息项目、类型和表达形式，主要内容包括：（1）设置报告模式。模式中列有会计系统中与要素模块相应的数据项目，模式中的项目与含有多种会计方法的对话框或序列框相联，以便审计人员选择他们需要的会计方法来处理其选择的信息项目。（2）初始选择。在生成报告时，现行的会计准则和法规作为初始选择存放在对话框架或子对话框中。如不进行任何选择，审计人员可以得到一份通用的标准的审计报告。（3）选择项目。除初始选择以外，模式报告还提供可选择项目来满足审计人员不同的信息报告要求，这些选择项目可以是会计准则和法规、会计计量和估价方法、财务信息与非财务信息的类型、报告的频率、范围、使用的语言、形式等，提供可选择项目能够增强交互性相对化特征，既能满足审计人员的特殊信息报告需要，又能减少报告使用人员的信息负担。（4）帮助功能。可以采取3种方式：自动显示专业技术概念解释；在对话框中提供环境敏感帮助；一个全面的包括如何应用更复杂的会计技术和方法的目录。帮助功能可以避免审计人员和报告使用者有限的时间被信息的多样化这种无实际意义的工作浪费，有利于及时、准确、有效地寻找有用信息，提高对信息的利用效率。

三、审计工作系统的组成及内容

1.审计项目管理部分

通过建立审计项目管理组件，对每一个被审计项目的各方面情况进行记录并生成电子档案，可以让审计人员更方便地查阅、了解被审计单位的情况，让审计项目的新进人员可以更快熟悉工作；可以建立审计质量控制系统，明确审计人员的工作职责。2.审计法规管理部分

可以自动检查有关处理是否合法合规，能完成法规资料的录入、修改、删除、检索、打印等功能。检索功能不仅可以为用户按各种条件查找审计法规的目录，而且可以根据目录查找法规全文，可以按要求摘要其中的内容并打印输出。审计法规数据库也可以单独成为一个软件，现已成功地应用于审计工作第一线，是我国目前开发和应用较成功的专项审计软件之一。

3.审计操作管理部分

审计操作管理的功能：（1）参考功能。提供计算机审计中常用的工具、手段、可使用的审计程序，其主要内容有：审计环境建立、查询、抽样、汇总与计算、排序与分类、财务与效益分析、编制与输出工作底稿、打印各类审计文件等。（2）图像处理功能。通过对图像显示参数的设置，可以使审计结果以图表的形式表达出来，可以让内部审计人员直观地了解被审计单位的情况。（3）底稿处理功能。能完成审计工作底稿及有关参数和数据的增、删、改等维护工作。针对计算机系统还能自动查找、计算、输入底稿所需数据，并按格式打印，针对手工系统则可以提示审计人员输入有关数据，并进行计算性复核。

4.专用程序管理部分

对于一些需要对外报送资料的项目，尤其是需要送交政府部门的项目，有的政府部门可能提供了单独的审计软件，或者需要单独配备专用的审计功能，以满足政府部门的数据需要。还有的审计项目因数据量大，牵涉面广，并且各被审计单位的情况又不尽一致，为了对这些项目进行有效的审计，也需要针对每个项目的不同情况，单独配备专用的审计功能，以满足审计工作的要求。

四、审计工作系统的测试方法

1.现场交易选择测试数据

对被审计单位的现场交易作标记输入到应用程序中，把带标记的交易当作测试数据。采用这种方法，应用程序中必须有特定的计算机程序能够识别出带标记的交易，并且使这些交易既要更新应用系统的主文件，同时也要更新做检测用的虚拟实体。现场交易作标记选择和识别带记号的交易测试数据有多种策略：第一，在源文件中或屏幕布局中包含一个专门的标识字段，用来表示一笔交易既为正常交易又为带记号交易。由审计人员来选择确定对哪些现场交易作标记，所选交易的特征可以与测试数据的设计相一致，也可以根据制定的抽样计划进行选择。第二，在应用系统的程序中嵌入审计软件模块，利用审计软件来选择交易并给交易加标记使其成为带记号交易。第三，在应用系统中嵌入抽样程序，抽样程序具有根据抽样计划给交易作标记，并使其成为带记号交易的功能。不论采用何种策略，应用系统中必须有相应的处理程序，专门处理带标记的交易。

2.自行设计测试数据

自行设计测试数据是将测试数据与现场交易数据一同输入应用系统。采用这种方法，审计人员应当根据所要使用的测试数据特征设计并创建测试数据。自行设计测试数据的优点是覆盖面广，可全面测试系统；但设计和建立测试数据要花费一定的时间和费用。笔者认为，应用程序进行检测时，首先要在应用程序的文件中建立一个虚拟实体，并让应用程序处理该实体的审计测试数据。如果应用程序是工资系统，可在其数据库中建立一个虚拟的职员资料库；如果应用程序是存货系统，可在其数据库中建立一个虚拟的存货项目。将带标记的实际数据或模拟数据一同输入应用程序和审计软件进行处理，通过将应用程序对数据处理的结果同审计软件处理的结果进行比较，可确定应用程序的处理和控制功能是否恰当、可靠。当应用程序非常庞大或复杂时，全面追踪通过系统的不同执行路径会有一定难度，审计人员对交易进行审查时，可以在应用系统的重要处理发生点嵌入软件，当交易通过不同处理点时，嵌入软件可捕捉交易的过程。为证实不同关键点的处理，审计人员使用软件捕捉交易的前后过程，通过检验前后过程及其变换，评价交易处理的真实性、准确性和完整性。

主要参考文献

［1］WayneMoreandDavidHendrey．ITAuditRenewal［J］.InternalAuditor，l999，（4）：17.

信息系统审计论文第5篇

一、信息系统审计概要

1）信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程(国际信息系统审计与控制协会ISACA的定义。

2）目前审计机关信息系统审计主要有两种方式,一种是将信息系统审计作为常规审计的一部分,为实现审计项目的总体目标服务,即数据审计、信息系统审计和系统内部控制审计"三位一体"的结合方式.信息系统审计和系统内部控制审计为数据审计服务,通过审计数据得出结论.另一种是独立立项的,直接审计信息系统本身的安全性、可靠性和有效性。

二、为什么要开展信息系统审计

信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然产物。

(一)开展信息系统审计是控制审计风险的要求.近几年,审计纸质账目时,内部控制也要审计,不能假账真审.同样的道理也不能假电子数据真审,如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。

(二)开展信息系统审计是全面履行审计职责的要求.信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须"三位一体",在审计过程中,这三项内容不能少.只有这样,我们才能完成审计署党组强调的"全面审计,突出重点"的要求,全面履行审计职责。

三、信息系统审计与常规审计之间的区别与联系

1）信息系统审计是常规审计的一部分，是以常规审计理论为理论基础的，两者之间有紧密的联系，也存在一定的区别。

2）两者的联系是：信息系统审计继承了常规审计的基本理论与方法，与常规的审计一样。在立场上，要求信息系统审计师站在独立的立场上，通过选择特定的审计对象，采用询问、检查、分析、模拟、测试等方法获得客观的审计证据，来判断其与既定标准的符合程度。在程序上，信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作，实现审计目标。

3）两者的区别也比较明显，主要表现在：首先，信息系统的审计对象不同于常规审计的财务领域，而是信息系统，包括基础设施，软硬件管理，信息安全，网络管理合通信等；其次，信息系统审计提出了更多的审计法与审计程序，这都是常规审计所不具备的，比如对某软件进行审计时，要采用技术含量相当高的测试，对网络安全审计时要采用穿透性测试（模拟成黑客进行各种攻击以验证其安全性）；第三，信息系统审计不光是事后审计，主要关注系统的运行现状，在某种情况下，直接参与项目的开发或变更过程，以保证足够的控制得以顺利实施；最后，信息系统审计的咨询价值显得更高，信息化的风险很高，信息系统审计师可凭借其专门知识和实践经验，受托或主动服务于被审计单位的管理者或其业务人员，在企业信息化过程中，帮助企业建立健全内部控制制度，进行系统诊断，根据企业需求，确定信息化的目标和内容，选择合适的信息系统。

四．如何使信息系统审计与常规审计有机结合

1）在项目计划上的相结合

信息系统通过选择特定的审计对象，采用询问、检查、分析、模拟、测试等方法获得客观的审计证据，来判断其与既定标准的符合程度。在程序上，经过信息系统审计，审计项目计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作，实现审计目标。

2）在项目实施过程中相结合

（1）全面开展对项目实施过程中电子数据的审计，包括会计电子数据和业务管理电子数据。采取的具体方法是：1.精确复核。运用计算机，对各种项目数据进行精确复核，既可以对全辖并表机构的会计报表与汇总报表进行全面复核，又可以从会计流水账逐级核对至总账，还可以将业务管理数据与会计报表数据进行复核；2.编制计算机程序进行辅助计算。可以编制计算机程序对有比例关系的项目进行计算，然后与实际记录进行比较，找出产生差异的记录；3.对一些异常会计记录和交易进行筛选和查询，为审计人员提供审计线索，主要是根据某一特征进行筛选分析，从不同角度分析可疑问题线索。

（2）以信息系统审计对项目实施时，对项目管理系统的内部控制情况进行初步的调查和评价，重点是权限管理、参数表的设置和修改控制等是否有效，被审计单位对交易录入的原始数据是否实施相应的控制，信息系统的数据流和业务流程是否吻合；3.通过系统日志等文件分析一些重大事件的原因，避免在项目实施过程中发生不可预测影响。

3）在资源配制上相结合

常规审计在我国的审计实践中，对项目资源存在的漏端很难察觉，原因主要是以下三大困难：一是审计人员难以在短时间内透彻了解被审计单位的项目存在弊病。一般来说，小型的数据管理，由专业的软件公司开发后打包在市场销售，被审计单位人员仅仅是使用者，审计人员无法获得开发设计的细节；而定制的系统多用于大型的数据管理，由软件公司或内部的开发部门根据企业的应用量身定做，这类系统技术文档和技术支持比较完善，但是由于系统过于庞大，细节设计过于复杂，审计人员在有限的审计时间内难以对系统进行评估。二是难以发现系统内的瑕疵。从表面看，常规审计的各项令人眼花缭乱审计方法无论是从开发文档还是操作手册都不会直接察觉系统的瑕疵，而且在现场审计中，审计人员一般不允许对正在运行的系统进行测试，较难识别系统的问题。三是难以评估系统瑕疵所导致的后果。在审计实践中，即使审计人员发现了常规审计存在的某些瑕疵，但是未发现该瑕疵导致的已经存在的后果，常常使得审计结论缺乏直接证据。

信息系统审计作为一种全新的审计手段和审计理念，首先，审计人员可以通过整体评价被审计单位的项目管理系统重要性的基础上，确定审计重点。其次，审计人员应用内控测试和数据审计两种方式对选定的项目管理系统进行分析，一般能迅速找出项目管理信息系统存在的瑕疵，尤其是人为舞弊的线索。第三，根据已经发现的问题，对系统进行延伸，进一步追查系统存在问题所引致财务收支失真等方面的问题。可以较好地从信息系统的角度发现舞弊问题和内控漏洞，使得审计内容不断丰富完整，较好降低审计风险。

五、在常规审计后，开展信息系统审计的意义

1）信息系统审计是未来审计发展的必然，未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。

2）维护信息时代的市场经济秩序

市场经济是建立在信用基础上的，信息系统审计应当充当信息时代经济生活中公正的鉴证人起着维护市场经济稳定的作用。信息时代竞争的加剧，信息流的电子传播方式等，使市场对及时和相关信息的需求越来越多，现有财务报告模式的局限性性日渐突出。现有财务报告是以历史成本为计量基础的、周期性的向利益相关者报告。在新经济环境中，信息系统审计师应能够以在线、实时的信息为基础提供鉴证，通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。提供实时报告鉴证对保护公众利益和保护资本市场的有序发展是非常有意义的。

信息系统审计论文第6篇

(一)企业应加强内部控制

随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。

(二)内部审计是企业内部监督机制的重要组成部分

内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。

二、内部审计在防范信息系统风险中面临的问题

(一)信息系统安全管理机制不健全

企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。

(二)内部审计在信息系统风险防范中的角色缺乏独立性

内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。

(三)内审部门技术力量薄弱造成对信息系统审计形成风险

审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。

三、加强风险防范的措施和对策

(一)构建信息系统安全管理组织及规范体系

加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的(二)关注信息系统的稳定性、安全性和有效性审计

首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现

(三)改善内审机构,提高内审人员素质,培养信息系统审计师

为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。

(四)聘请专家进行协助

内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。

论文关键词:内部审计信息系统风险防范

论文摘要:内部控制是社会经济发展到一定阶段的产物,其内容在不断的发展与变化,而内部审计是内部监督机制的重要组成部分。目前计算机信息系统已在企业中广泛使用,而在内部审计过程中如何加强计算机信息系统的风险防范,是企业内部控制过程中迫切需要解决的问题。

企业信息系统化的运用,原来的手工控制则变为手工与电脑控制相结合或全部由电脑自动进行控制。计算机信息系统的广泛使用,与技术管理相对薄弱和稽核监督的长期空白已形成了尖锐的矛盾。信息系统风险控制能力差的现状,迫切需要我们加强风险管理和监控。

信息系统审计论文第7篇