关于公司信息系统审计的几点认识

时间：2010-01-26 14:23:32 来源：作者：

　　近日，审计署刘家义审计长提出了“信息系统应用责任审计是经济责任审计7个组成方面之一”的观点，为公司信息系统审计指明了方向和目标。我有幸参加了审计署组织的第一次与经济责任审计相结合的公司信息系统审计项目，下面结合工作实际谈一下我对公司信息系统审计的几点认识：

　　一、公司信息系统审计是实现评价领导人信息系统应用责任的重要技巧

　　目前，大型公司在组织形态走向分散化的同时其管理的集约化程度不断提高，依靠集中的信息管理，很多大公司建立了比較发达的“神经系统”，不仅基本实现了财务统一管理，在业务领域也实现了分布式应用、集中化管理，信息系统的复杂度和数据量随之迅速增长。因此，目前依靠传统的计算机审计思路和技巧，很难对信息化程度较高的大型公司的领导人的信息系统应用责任做出评价，但咱们通过信息系统审计能够从绝对程度上回答公司全面的内控和管理情况，从而达到评价公司领导人的信息系统应用责任的目的。虽然目前通过信息系统审计技巧较难查出大案要案，与当前审计环境和要求有绝对矛盾，但从长远看，公司信息系统审计绝对有生命力和发展前途。

　　二、公司信息系统审计的技巧环节及主要内容

　　在国内信息系统审计指南还未发布的情况下，咱们本次公司信息系统审计主要参照2009年美国联邦政府责任办公室发布的《联邦信息系统控制审计手册》（以下简称FISCAM）提供的技巧环节和主要内容，结合中国公司审计的实际情况开展。具体情况是：

　　（一）公司信息系统审计的技巧环节

　　FISCAM提供了一种根据在政府审计标准中提及的“一般公认的政府审计标准（GAGAS）”来执行信息系统控制审计的技巧，结合本次审计，我认为公司信息系统的基本技巧环节为：一是理解审计的总体目标和信息系统控制审计的范围，二是理解被审计单位的运营情况和关键业务流程，三是全面理解被审计单位的网络架构，四是识别审计关注的关键审计域，五是初步评价信息系统风险，六是识别关键控制点，七是进行符合性考试，八是根据符合性考试结果进行实质性考试，最后是形成审计报告。

　　（二）公司信息系统审计的主要内容

　　我认为公司信息系统审计主要基于内部控制开展，信息系统内部控制是为了保证信息系统的有效性、可靠性和安全性，提高信息系统运营效率，确保信息准确、完整、可靠，有效保护信息资产，利用各种手段和技术，对信息系统实施的管理和控制过程。信息系统内部控制能够划分为一般控制和应用控制。

　　一般控制是对信息系统的开发、实施、维护和运行所进行的控制，主要目标为数据安全，保护应用程序，并确保计算机在异常中断情况下能持续运行。一般控制所采用的控制措施普遍适用于所有的应用系统，为应用系统提供了环境上的保证。

　　应用控制即业务流程应用程序级的控制，是指与被审计单位具体业务活动相关的控制，与一般控制相对应。应用控制既能够在信息系统内实现，也能够以手工方式实现。FISCAM定义应用控制为：对交易的完整性，准确性，有效性，机密性和可用性以及在应用处理中的数据的控制，一般分为应用程序级一般控制、业务流程控制、接口控制、数据管理系统控制等四类控制。

　　三、公司信息系统审计的知识才能要求

　　公司信息系统审计涉及多学科，需要高素质的综合型审计人员，审计人员必须具备开展信息系统审计所需要的审计、内部控制与信息技术专业才能，应当取得审计署计算机审计资格和信息系统审计资格，掌握信息系统基本知识，如具备财务会计、大型数据库、网络安全、内部控制等方面的知识，同时具备绝对的计算机辅助审计才能，能熟练运用外部资源进行信息系统审计考试。必要时，咱们还需从外部聘请专家解决专业才能不足的问题。

　　FISCAM中对信息系统审计人员的专业才能也提出了具体要求，如业务流程控制审计就需具备以下专业知识和才能：一是有关应用数据完整性、准确性、有效性和机密性的实务、策略和技术的知识；二是每个业务流程处理周期中的典型应用的知识；三是使用通用审计软件包对应用程序数据进行数据分析和考试，以及计划、提取与评价数据样本分析和评价组织的应用控制，并界定其优缺点的才能。（审计署驻重庆特派办）

来顶一下

返回首页

东奥会计课程

相关文章

栏目更新

栏目热门