第一篇:某市人民医院信息系统审计案例
某市人民医院信息系统审计案例 【点击数: 1271 】【时间:2011-12-07 17:13:00.0】
一、案例摘要
(一)审计项目基本情况
1.案例名称:某市人民医院信息系统审计案例
2.所属审计项目名称:某市人民医院信息系统审计 3.审计实施单位:某市审计局
4.主要审计人员:张庆红(组长)、徐晓东(主审)、葛玉玲。5.审计实施的时间:2010年4月26日至2010年5月31日。
(二)具体审计事项类别及名称 1.一般控制审计(GC):
(1)总体IT控制环境审计—IT规划和计划审计(GC-1)、IT组织结构审计(GC-2)、IT管理政策审计(GC-3)(2)基础设施控制审计—机房物理环境控制审计(GC-4)、硬件设备采购管理控制审计(GC-5)、系统软件采购管理控制审计(GC-6)
(3)信息系统生命周期控制审计—系统开发控制审计(GC-7)、系统采购控制审计(GC-8)、系统变更控制审计(GC-9)(4)信息安全控制审计—逻辑访问控制审计(GC-10)、网络安全控制审计(GC-11)、操作系统安全控制审计(GC-12)、数据库系统安全控制审计(GC-13)、最终用户控制审计(GC-14)(5)信息系统运营维护控制审计—系统维护控制审计(GC-15)、系统变更管理控制审计(GC-16)、系统灾难恢复控制审计(GC-17)2.应用控制审计(AC):
(1)业务流程控制审计—业务授权与审批控制审计(AC-1)、数据输入控制审计(AC-2)、数据输出控制审计(AC-4)(2)数据控制审计—对主数据的审计(AC-5)、对业务参数的审计(AC-6)、对重要信息的审计(AC-7)(3)接口控制审计—数据接口审计(AC-9)
(4)系统外控制审计—补偿性控制审计(AC-11)
(三)采用的审计技术和方法
本次审计,我们在审前调查时所采用的技术方法主要有:问卷调查表法、会议座谈法、实地查看法。掌握某市人民医院信息系统基本概况。
对HIS系统分析时采用的技术方法主要有:资料审阅法、流程图检查法、数据核对法、模拟操作法。对信息系统的安全性、可靠性和健壮性进行评估。
对数据库业务数据分析时采用的技术方法主要有:SQL语句查询法、钩稽关系效验法、横纵向比较法、量本利分析法等。重点审查业务数据的真实性、完整性和效益性。
(四)审计发现和建议情况
此次信息系统审计是与人民医院绩效审计相结合的一次尝试,通过审计,我们出具审计移送处理书1份,将人民医院信息科科长潘某移送市纪委,目前案件已侦察结束,法院最后判决:潘某犯受贿、贪污和挪用公款罪,处以12年有期徒刑并没收非法所得5万元。
完成信息系统审计报告1份,反映该院信息系统在安全性、可靠性方面存在的4个问题;在相关性方面存在的2个问题;在合法性、合规性方面存在的2个问题;在数据的真实性、准确性等方面存在的3个问题。提出了3条具有针对性的审计建议。
完成了绩效审计报告1份,报告得到充分肯定,分管韩市长批示:“该审计报告内容全面,反映问题准确,希望市人民医院认真落实审计建议,不断提高医院管理水平。”该项目在省厅2010年度全省优秀审计项目评选中荣获表彰奖。
出具审计决定书1份,对医院超标准加价、药品调价滞后等违规收费XX万元进行处罚。
市人民医院按照审计报告的要求,建立健全了《信息系统管理制度》、《医疗设备采购管理制度》、《成本核算管理制度》等9条内部控制制度。
二、被审计单位信息系统基本情况
(一)被审计单位信息系统建设和管理情况
市人民医院使用的医院信息管理系统(HIS)是由市某软件开发公司1999年开发的,系统于2002年进行测试,2003年4月正式运行使用。系统采用PowerBuilder进行开发,后台数据库为SQL2005。
医院信息管理系统采用了c/s结构模式,服务器端操作系统为windows2003,客户端操作系统为windows2000/XP。该院每年都投入资金对其硬件环境进行升级改造,目前共有服务器7台、计算机220台、交换机26台、硬件防火墙2台,打印机115台。医院中心机房放置了温度、湿度探测器,同时配备了UPS不间断电源和自动灭火系统,为系统正常运行提供了保障。
(二)被审计单位对信息系统业务依赖程度
人民医院信息管理系统(HIS)根据功能的要求,分为十三大子模块:门诊挂号、门诊划价收费、药库管理、门诊药房管理、病区药房管理、住院管理、病区医嘱管理、人事工资管理、病案管理、物资管理、院长查询、经济核算、公费医疗等,基本包括了医院的主要业务和管理需求。
(三)被审计单位信息系统组织管理情况
人民医院设置了信息科,专职进行软件开发、系统维护和设备维修等。
(四)被审计单位信息系统运行情况
从维护日志来看,该院医院信息管理系统在不断地进行系统升级和功能完善,数据库出现异常的情况越来越少。在审计组现场审计期间,该信息系统运行正常,未发现服务器宕机等异常现象。
(五)被审计单位信息系统总体业务数据流程情况
该系统业务流程主要分为,患者就医、就诊,药库采购药品入库、发出药品出库,挂号费用、门诊(住院)费用和采购费用的结算等方面。
(六)被审计单位信息系统电子数据情况
本次审计我们取得了截止到2010年3月10日的数据库备份数据。HIS系统全库业务数据总量约32.6G,其中:2008年约有1240万条记录,数据大小为4.8G;2009年约有1650万条记录,数据大小6.4G。目前数据量年增长率为15%左右。
三、被审计单位信息系统控制情况
人民医院重视该院对信息系统维护的投入,也制定了相应的管理制度,实现了对信息化管理过程的控制。HIS系统的运行正常,基本满足了人民医院的主要业务需求。
(一)一般控制方面
在一般控制方面总体情况较好,但是也存在着设备采购管理不合规,系统安全性和可靠性有待加强。
(二)应用控制方面
在应用控制方面人民医院做了大量工作,对业务流程进行了控制。其数据处理逻辑和输入、输出控制较好。通过对系统操作人员权限管理,实现了对数据库的访问、修改等操作进行控制。数据接口方面也能保证该系统与市医保系统、农保系统进行日常的业务数据交换。但存在业务数据的真实性和准确性欠缺的问题,系统使用效率性和效益性有待提高。
四、信息系统审计总体目标
通过审计,对人民医院信息系统架构与流程的合法性和合规性,系统的安全性和可靠性,运行的效率性和效益性,重点数据的真实性和完整性进行检查,了解我市人民医院信息系统的运行状况,发现该系统在使用和管理过程中存在的问题,促进被审计单位信息系统的完善,使之在业务活动中发挥更加有效的作用。
五、审计重点内容及审计事项
(一)一般控制审计
重点审计总体IT环境、基础设施控制、信息系统生命周期控制、信息安全控制、信息系统运营维护控制等方面的情况。
1.审计目标
通过一般控制审计,对信息系统的基本情况、合法合规性、真实完整性、安全可靠性、效率效益性等情况有全面的了解和掌握。
2.审计测试过程
在审前准备阶段,审计组搜集了医院收费的相关文件和资料,采集了数据库业务数据,获取了数据字典。发放问卷调查表来了解情况:一是发放信息系统控制矩阵的调查表,这个表有9张,针对的是医院信息系统,我们要求人民医院信息科填写。二是给医院的使用信息系统的医生、门诊病人和住院病人发放满意度调查表。表里有信息信息系统使用情况,有医院收费情况,有医生服务态度等内容。还通过在院长办公室举行座谈交流,了解财务情况以及信息系统使用情况,并且还对机房、设备和业务窗口进行了实地查看,了解和掌握市中医院信息管理系统运行的基本情况。再汇总调查情况拟订具体的、可操作的审计实施方案。
在审计实施阶段,审计组参照《医院信息系统软件基本功能规范》对其内部控制机制进行了初步评估,确定了审计重点。具体审计以下五个事项:(1)总体IT控制环境审计
A.具体审计目标:主要查看信息系统的组织结构和管理政策是否健全。
B.审计测试过程:通过会议座谈、问卷调查和资料查阅等方法,审计组取得了关于医院信息系统建设的会议纪要、科室职能等资料,了解到人民医院对信息系统建设十分重视,成立了济仁软件公司对医院信息系统进行开发、维护。每年医院都投入大量资金对设备和系统进行更新,信息系统由信息科设专人负责,系统的建设有计划、有规划。C.发现问题和建议:在审计中我们也发现,只有2名技术人员掌握HIS系统关键技术,且未签定保密协议。建议市人民医院加强信息系统方面的学习,培养信息管理业务骨干。
(2)基础设施控制审计
A.具体审计目标:查看机房物理环境是否有效控制;对硬件设备、系统软件采购管理是否控制;硬件、软件管理制度有无建立健全和执行到位。
B.审计测试过程:通过实地查看的方法,审计发现,人民医院的新机房正在兴建,原有机房还在使用中。新机房按照《电子信息系统机房设计规范》(GB50174-2008)、《电子信息系统机房施工及验收规范》(GB50462-2008)、《电子信息系统机房工程设计与安装》(GJBT1093)等国家标准和规定进行操作,机房建设比较规范,相关水、火灾探测设备,灭火装置、续电设备、空调等设施齐全。市人民医院也制定了《机房管理制度》,对机房安全和维护进行管理。
在设备采购管理控制方面,人民医院计算机等设备采购数量多、金额较大,我们将此作为重点进行审计。具体步骤:
一是采集转换人民医院的财务数据。市人民医院财务软件使用的是会稽山AC.NET标准会计软件,我们将2007-2009年数据转换到AO中。二是运用SQL语句进行查询。
三是对得出的近3年的电脑采购情况进行分析。审计发现,市人民医院电脑设备采购金额越来越大,但设备采购未纳入政府集中采购,也未执行招投标管理。
四是审计中发现,有部分电脑供货单位为某济仁软件开发公司。该公司是医院的下属公司,总经理由医院信息科科长担任。
C.发现问题和建议:审计人员决定对采购电脑的票据进行延伸审查,最终发现有2笔票据存在疑点,经过分析核实,决定作移送处理。同时建议市人民医院建立健全《医疗设备采购管理制度》,按照要求将电脑等设备纳入政府集中采购。
(3)信息系统生命周期控制审计
A.具体审计目标:查看信息系统开发是否规范,系统变更是否在可控范围内。
B.审计测试过程:通过资料查阅法,对照《医院信息系统软件评审管理办法》、《医院信息系统软件基本功能规范》的要求,重点查看了《系统设计方案书》、《分析说明书》、《数据要求说明书》、《维护手册》等资料。审计发现,医院信息管理系统为自主设计、开发,开发资料基本齐全,数据要求规范,系统也进行过初步测试。
C.发现问题和建议:该信息系统使用后多次进行开发和完善,缺乏相应变更方案的审核控制,虽然系统运行正常,但是无相关的客户验收报告或第三方验收报告,信息系统至今未经过验收,稳定性无法保证。(4)信息安全控制审计
A.具体审计目标:网络、操作系统数据库是否安全,有无防灾措施。
B.审计测试过程:(1)通过实地查看、资料查阅等方法,审计发现,人民医院进行了IP地址管理和用户权限分配,用户端安装了瑞星杀毒软件和硬件还原卡,部分用户操作系统漏洞安装了补丁。
(2)通过上机查看、模拟操作,利用组建的局域网和基于备份数据还原模拟的HIS系统核对用户权限,未发现系统模块控制问题。利用SQL语句,对备份数据进行查找,找到数据库存放用户权限管理的表格(ryqx人员权限表),分析权限分配情况,具体步骤:一是查看系统管理员身份用户。二是对用户密码进行查询分析。
C.发现问题和建议:①人民医院内、外网未完全物理隔离,局域网内部分电脑可以访问因特网,可以下载资料到电脑中,内、外网连接也未通过任何设备或程序加以控制。②可登陆用户522位,其中72位用户的密码为空。
③“系统管理员”权限的用户有8位,存在数据安全隐患。
(5)信息系统运营维护控制审计
A.具体审计目标:查看系统操作管理控制和灾难恢复控制功能是否完善。
B.审计测试过程:通过组建局域网,进行模拟操作的方法,测试了HIS系统的系统管理、住院管理、挂号系统、门诊收费、病区药房等模块功能,查看系统的硬件和软件是否支持HIS系统的正常运行。通过现场观察的方法,查阅系统日志、运行维护记录等资料,对系统操作管理控制和系统灾难恢复控制制度进行审计。市人民医院建立了《网络管理员及其主要工作关键设备的管理》的制度,完善了《操作手册》的内容,能够将数据库数据备份完整。
C.发现问题和建议:系统存在维护日志不完整;业务数据都通过服务器磁盘进行存储、备份,磁盘数据容易被删除、修改,存在数据丢失的风险。
(二)应用控制审计
重点审计信息系统业务授权与审批失控等方面的情况;数据的真实性、完整性情况;业务数据的合法性、合规性、效益性情况。1.审计目标
通过对业务流程控制、数据控制、接口控制、补偿性控制审计,主要检查信息系统业务流程是否合法合规,数据是否真实完整。
2.审计测试过程
(1)业务流程控制审计
A.具体审计目标:通过对信息系统业务流程的分析,查出系统在安全性和可靠性等方面存在的薄弱环节。B.审计测试过程:通过流程图分析法,绘制业务流程图,对业务流程图中关键控制点进行分析,查看是否存在漏洞。通过业务流程分析,审计发现在药品价格调整控制点上,存在漏洞。
C.发现问题和建议:调价记录共有5894条,其中4904条记录编制、审核为同一人。医院未建立《岗位职责分离制度》,使得药品调价管理环节上存在漏洞。(2)数据控制审计
A.具体审计目标:对主数据的审计主要是:对业务收入的真实性审计;药品价格、特殊医疗器材价格的审查;对重复、超范围、超标准收取医疗服务费情况的审计等。对业务参数的审计主要是检查药品价格、收费项目等重要参数的合规性和准确性。对重要信息的审计主要是对业务数据的重要字段合理性进行检查,分析系统在设计、录入、存储上存在的问题。B.审计测试过程:
①对业务参数的审计。我们将收费项目编码和药品编码作为重要的业务数据参数,具体审计步骤:
一是采用数据核对法,核对数据库中收费项目和药品名称。对照苏价费[2005]213号文件内容,未发现可疑的项目编码以及药品名称的问题。
二是采用钩稽关系效验法。①将费用表中的收费情况和收费项目进行关联,查找出住院病人和门诊病人费用表中药品和医疗服务价格异常的数据。分析疑点发现,造成数据异常的原因是药品价格调整。②根据调价文件,查找调价时间大于调价文件规定时间。审计发现,药品价格未及时调整。2009年度,系统未严格执行苏价工[2009]320号、扬价工[2009]147号等相关规定,有XX种药品延期1-5天调价,涉及相关记录1145条,金额X.XX万元。初步认为该系统对重要业务参数缺乏严格控制。
②对重要信息的审计。主要是对人民医院的核心表中重要字段进行检查,查看系统在控制上是否存在不够严谨的问题。
具体步骤:一是完整性审查。通过SQL查询分析的方法,对病人信息表等核心表进行分析,发现代表病人唯一的ID字段长度不一致,存在为空、句号、加号的现象。病人的姓名、性别存在数字等现象。同时还存在同一个住院号,病人入院时间晚于出院时间等异常现象。
二是冗余性审查。审计发现“费用表”等重要的业务数据表中还存在测试数据。医院信息管理系统中208张表有61张是无记录的空表。
我们对医院人员信息进行核对,发现离岗超过1年的人员,仍可以登陆系统,系统人员信息未及时清理。
经过分析,初步认为该系统基本信息不完整,对业务数据录入未严格进行控制,存在冗余数据影响系统安全。③对主数据的审计。
①我们结合SQL语句查询并编写了计算机审计方法,对数据的真实性和准确性方面进行审计分析。a.真实性审计。
具体步骤为:一是通过SQL查询,统计出各个年度业务收入。审计中我们抽查了2009年门诊挂号收入。二是通过AO系统对财务数据进行分析,得出2009年门诊挂号收入。
三是比较业务数据与财务数据,分析得出2009年门诊挂号收入一致,初步认为系统对业务数据真实性方面进行了控制。b.准确性审计。
套用编码收费审计步骤:一是查找出药库记账表中,采购、库存药品的编码。
二是查找出病人缴纳的费用编码。
三是将药品编码和费用编码进行关联,查出无采购、无库存,但是在使用的编码作为审计疑点。
四是进一步分析审计疑点,求出套用编码收费的金额。
审计最终发现,一次性巾单(编码N058)2009年度采购数量为0,库存数量为0,但是销售给住院病人XXXXX条,涉及金额XX.XX万元。
对医疗器械加价情况进行审计,发现可吸收缝线(编码o001200)采购价XX.X元/根,销售给病人XX元/根,2009年度共计销售XXXX根,涉及金额XX万元。
住院床位费用审计步骤:一是根据住院病人基本信息表,计算出入院日期和出院日期的时间差。按照入院当天计算,出院当天不计算的规定,更新当天入院又出院的数据。
二是不同的病床有不一样的收费标准,我们在项目收费表中查找出不同病床的不同收费标准。
三是由于每个病人的每条收费记录对应每个收费编码,我们根据住院病人费用表,统计出病人住院的天数。四是求出病人住院的天数与入院日期和出院日期的时间差不一致的数据,作为审计疑点。
查询得出:2007年1月至2009年8月有XXXX人次住院病人多计病人床位天数XXXX天,多收床位费用X.XX万元。经过抽查核对住院档案,我们发现多收住院费为医保处结帐和系统更新造成数据库时间差异,实际未多收。初步认为信息系统在数据准确性方面有待加强。
②结合人民医院绩效项目审计,对业务数据中设备产生的效益分析。采用量本利分析法对医用直线加速器进行盈亏平衡分析。
分析得出:该设备保本点为年放疗XXXX人次,而2009年实际放疗人次为XXXX人次,故该设备一直处于亏损状态。采用横纵向比较法,对数据进行分析。通过横向比较得出:(1)资产负债率控制较好,虽高于全市,但2008年低于扬州其他县(市);(2)药品周转天数逐年减少,并低于全市及扬州其他县(市),资金使用效率进一步显现;(3)床位使用率、床位周转次数逐年提高,并高于全市,与业务收入逐年增长相匹配。与扬州其他县(市)相比,2008年床位使用率高于高邮、宝应,床位周转次数高于江都;(4)管理费用占业务支出比率逐年递减,并低于高邮、宝应,支出结构趋于合理。
通过纵向比较得出:药品收入占医药收入比重在逐年增大,且2008年超过了50%(2009年达53.5%)。说明市人民医院业务收入呈过多依赖药品收入的趋势,医疗机构“以药养医”的现象短期仍难改变。药占比变化情况如下图:(3)接口控制审计
A.具体审计目标:对接口控制的审计主要是:对逻辑层接口标准的审计;对传输层数据传输、转换实现的审计;对控制层差错控制、无效传输的审计。
B.审计测试过程:我们采用模拟测试等方法对HIS系统与医疗保险专线接口进行分析,系统按日进行汇总对账,经过抽查,数据能准确、完整的传输到信息系统中。C.发现问题和建议:未发现审计疑点。(4)系统外控制审计
A.具体审计目标:关注系统外的补偿性控制措施。
B.审计测试过程:通过人为操作对系统进行补偿性控制。
审计发现,市人民医院通过病区工作站、医务管理等55个不同的应用程序,对信息系统操作管理进行了有效控制。
六、对案例的自我分析与评价
(一)案例亮点
一是围绕“安全性、有效性和经济性”的总体目标,服务了绩效审计项目的开展。在本次信息系统审计项目的实施过程中,我们强调了信息系统的效益性审计和分析。重点关注成本收益分析,审查其信息系统的硬件投入及可衡量收益;关注风险控制分析,审查其系统的软件投入与保障力;关注可持续性发展能力分析,审查其系统的可扩展性和升级跟进能力,充分体现了绩效审计的鲜明特色。
二是构建了系统模拟环境,降低了审计的风险。在此次审计过程中,我们搭建了一个3人的小型域网,组建了客户端和服务器,安装了医院的HIS系统,对数据库数据进行移植,最后进行了程序的调试。通过组建模拟环境,一方面可以对应用程序进行破坏性测试,查看系统的可靠性,另一方面,也可以减少在对方服务器上的操作,杜绝误操作的出现,降低审计风险。
三是尝试编写审计方法,提高了审计效率。在对该院业务数据的测试过程中,审计组对床位费用、套用编码收费等审计内容进行科学的归纳总结,梳理出有规律性的东西,在此基础上编写了审计方法,对相关业务数据进行批量处理,达到了高效便捷的目的,同时,有益于日后医院审计项目中类似事项的推广与使用。
(二)体会与启发
本次信息系统审计结合了绩效审计,圆满完成了审计任务。审计结果及建议得到被审单位的重视和采纳,收到了很好的审计效果,也为今后开展信息系统审计工作提供了一个成功的范例。这次审计不但使得我们积累了信息系统审计经验,还开拓了我们信息系统审计的思路,给了我们很多启发:
一是要收集大量资料。信息系统不同于财务收支审计,它的审计范围大,覆盖面广。我们不能仅仅依靠被审计单位提供的资料,还需要从其他渠道获得资料。在本案例中,我们不但收集了人民医院的财务数据、业务数据、内控制度,还从病人手中获得问卷反馈信息。大量的资料使得我们审计报告充实,审计评价内容更加准确,审计风险大幅降低。
二是要注重审前调查。审前调查是确定审计重点、实施现场审计的基础。在本审计项目中,我们运用资料查阅法、座谈法、现场观察法、问卷调查法等四种方法对医院进行了审前调查,例如,我们调查了群众满意度,调查业务流程,调查信息系统安全情况。全面、细致的调查,使得我们该信息系统审计项目事半功倍。
三是要转变审计方式。在这次信息系统审计的过程中,我们积极转变传统的财务收支审计思路,打破以查找违法违纪问题为主的思维框框,找准信息系统审计的切入点,坚持以排查可能存在的异常现象,分析产生问题原因,提出针对性的审计建议为主线,切实发挥信息系统审计的“系统免疫”功能。
四是要创新审计方法。审计方法不但影响了审计效率,还影响审计报告的质量。在信息系统审计中,我们抛弃以前财务收支的核算法、复对法、统计法等方法,运用绘制流程图法、数据核对法、模拟操作法、横纵向比较法、量本利分析法、SQL语句查询法、钩稽关系效验法、会议座谈法、问卷调查等方法,提高信息系统审计的广度和深度。
第二篇:信息系统审计
1、信息系统审计的概念,内容,流程?
答:(1)概念信息系统审计是指根据公认的标准和指导规范,对信息系统从规划、实施到运行维护各个环节进行审查评价,对信息系统及其业务的完整性、有效性、效率性、安全性等进行监测、评估和控制的过程,以确定预定的业务目标得以实现,斌提出一系列改进建议的管理活动。
(2)内容:主要包括内部控制系统审计、系统开发审计、应用程序审计、数据文件审计等。a.内部控制系统审计。信息系统的内部控制系统由两个子系统构成:一是一般控制系统,它是系统运行环境方面的控制,为应用程序的正常运行提供外围保障。另一子系统是应用控制系统,它是针对具体的应用系统和程序而设置的各种控制措施。
b.系统开发审计。是指对信息系统开发过程所进行的审计,这是一种事前审计。
c.应用程序审计。其决定了数据处理的合规性、正确性。对应用程序的审计,可以对程序直接进行审查,也可以通过数据在程序上的运行进行间接测试。
d.数据文件审计。在信息系统中,各种凭证、账簿及报表中的数据均以数据文件的形式存储在硬盘或软盘等存储介质中,对数据文件进行审计,可以将该文件打印出来进行检查,也可以在计算机内直接进行审查。
(3)流程:主要的分为准备阶段、实施阶段、终结阶段。
a.准备阶段:
1、明确审计任务。
2、组成信息系统审计小组。
3、了解被审计系统的基本情况。
4、制定信息系统审计方案;
b.实施方案:
1、对被审计系统的内部控制制度进行健全性调查和符合性测试。
2、对帐表单证或数据文件的实质性审查;
c.终结阶段:
1、整理归纳审计资料。
2、撰写审计报告。
3、发出审计结论和决定。
4、审计资料的归档和管理。
2、常见的IT治理标准有哪些,各自的作用是什么?
答:常见的IT治理标准有ITIL,COBIT,BS 7799,PRINCE2。
(1)ITIL(Information Technology Infrastructure Library),即信息技术基础构架库,一套被广泛承认的用于有效IT服务管理的时间准则。1980年以来,英国政府商务办公室为解决“IT服务质量不佳”的问题,逐步提出和完善了一整套对IT服务的质量进行评估的方法体系。
(2)COBIT,(Control Objectives for Information and related Technology):信息和相关技术的控制目标。它是由信息系统审计与控制协会,于1996年推出的用于IT审计的知识体系。作为IT治理的核心模型,其包括34个信息技术过程控制,并归集为IT规划和组织、系统获得和实施、交付与支持以及信息系统运行性能监控4个领域。目前COBIT是国际上公认的IT管理与控制标准。
(3)BS 7799(ISO/IEC17799):国际信息安全管理标准体系。该标准包括信息系统安全管理和安全认证两大部分,是参照英国国家标准BS 7799而来的。它是一个详细的安全标准,包括安全内容的所有准则,由10个独立的部分组成,每一节都覆盖了不同的主题和区域。该体系主要解决企业的信息安全管理上的问题,为企业提供了一个完整的管理框架,不断改进信息安全管理水平,使机构或企业的信息安全以最小代价达到需要的水准。
(4)PRINCE2(Projects In Controlled Environments)是一种对项目管理的某些特定方面提供支持的方法。PRINCE2描述了一个项目如何被切分成一些可供管理的阶段,以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。PRINCE2的视野并不仅仅限于对具体项目的管理,还覆盖了在组织范围对项目的管理。
3、常见的信息系统开发方法,对其中的一到两种展开说明?
答:常见的信息系统开发方法有软件开发生命周期法、原型法、面向对象法、计算机辅助开发方法、基于组件的开发方法、基于Web应用开发方法。以下对软件开发生命周期法进行
说明。
软件开发生命周期法(Software Development Life Cycle,SDLC)是系统分析员和系统开发者常用的软件开发方法。软件开发生命周期法能够生产高质量的软件,满足业务和用户的需求,在开发进度和成本控制下进行软件开发生产,是一种有效保证成本,提高效益的软件开发方法。通过应用传统的SDLC方法,已经成功开发出了大量的业务应用系统。其各个阶段及其基本内容如下:
1、第一阶段——可行性研究。确定实施系统在提高生产效率或未来降低成本方面的战略利
益,确定和量化新系统可以节约的成本,评价新系统的成本回收期。
2、第二阶段——需求定义。一是定义需要解决的问题,二是定义所需的解决方案及方案应
当具有的功能和质量要求。该阶段还要确定是采用定制开发的方法还是供应商提供的软件包。
3、第三阶段A——系统设计(当决定自行开发软件时)。以需求定义为基础,建立一个系
统基线和子系统的规格说明,以描述系统功能如何实现,各个部分之间接口如何定义,系统如何使用已选择的硬件、软件和网络设施等。
4、第三阶段B——系统获取(当决定购买现成软件包时)。以需求定义为基础,向软件供
应商发出请求建议书(RFP)。商品软件的选择要从多方面进行考虑。
5、第四阶段A——系统开发(当决定自行开发软件时)。使用系统设计说明书来设计编程
和实现系统过程。在这个阶段,要进行各个层次的测试,以验证和确认开发的系统。
6、第四阶段B——系统配置(当决定购买现成软件包时)。如果决定选用商品化的软件包
时,需要按照企业的需求进行系统客户化工作,对系统进行剪裁。这种剪裁最好是通过配置系统参数来实现,而不是通过修改程序源代码。
7、第五阶段——系统实施。这个阶段是在最终用户验收测试完成、用户签署正式文件后进
行。系统还需要通过一些认证和鉴定过程,来评价应用系统的有效性。
8、第六阶段——实施后维护。随着一个新系统或彻底修改的系统的成功实施,应当建立正
式的程序来评估系统的充分性和评价成本效益或投资回报。这样可为后续的系统开发项目管理提供改进意见。
当一个项目的需求稳定、定义准确时,生命周期法使用起来最有效,改方法适用于在开发工作的早期建立总体的系统构架。
4、IT服务管理的定义,包括哪些内容?
答:(1)IT服务管理(IT Service Management,ITSM)有以下两种使用比较广泛的定义:
1、IT服务管理是一种以流程为导向、以客户为中心的方法。它通过整合IT服务于企业业
务,提高了企业的IT服务提供和服务支持的能力和水平。
2、IT服务管理是一套通过SLA(服务级别协议)来保证IT服务质量的协同流程。它融合了系统管理、网络管理、系统开发管理等管理活动以及变更管理、资产管理、问题管理等许多流程理论和实践。
(2)ITIL主题框架包括6个主要模块,即服务管理、业务管理、ICT(信息与通信技术)基础设施管理、贯穿业务和IT基础设施的应用管理、IT服务管理实施规划和集中的安全管理。
08信息2班0804100229徐怡
第三篇:信息系统审计重点
信息系统审计
电子计算机在数据处理的发展过程可分为三个阶段:数据的单项处理阶段、数据的综合处理阶段、数据的系统处理阶段。
数据处理电算化以后,对传统的审计产生了巨大的影响,主要表现在:
1、对审计线索的影响~~~~
2、对审计方法和技术的影响~~~~~~
3、对审计人员的影响~~~~~
4、对审计准则的影响~~~~~~ 信息系统审计的定义:信息系统审计是根据公认的标准和指导规范,对信息系统从规划、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整性、有效性、效率性、安全性等进行检测、评估和控制的过程,以确认预订的业务目标得以实现,并提出一系列改进建议的管理活动。
信息系统的主体:有胜任能力的信息系统独立审计机构或人员 信息系统审计的对象:被审计的信息系统
信息系统审计工作的核心:客观地收集和评估证据
信息系统审计的目的是评估并提供反馈、保证及建议。关注之处被分为三类:可用性、保密性、完整性。
信息系统审计的特点:审计范围的广泛性、审计线索的隐蔽性、易逝性、审计取证的动态性、审计技术的复杂性。(真是为一道简答题。在P6,详细看一下各段内容,概括下再答题)信息系统审计目标:
1、保护资产的完整性
2、保证数据的准确性
3、提高系统的有效性
4、提高系统的效率性
5、保证信息系统的合规性与合法性
信息系统的主要内容:内部控制系统审计(分为一般控制系统、应用控制系统,对信息系统的内部控制系统进行审计的目的是在内部控制审计的基础上对信息系统的处理结果进行审计、加强内部控制,完善内部控制系统)系统开发审计(信息系统开发审计是对信息系统开发过程进行的审计,审计目的一是要检查开发的方法、程序是否科学,是否含有恰当的控制;二是要检查开发过程中产生的系统文档资料是否规范。)应用程序审计(审查应用程序有两个目的,意识测试应用控制系统的符合性,二是通过检查程序运算和逻辑的正确性达到实质性测试目的)数据文件审计(审计目的一是对数据文件进行实质性测试,二是通过数据文件的审计,测试一般控制或应用控制的符合性,但主要是为了实质性测试)(这是道简答题,在P8各个小概括下)
信息系统审计的基本方法:绕过信息系统审计、通过信息系统审计 信息系统审计的步骤(大题P11):
准备阶段:明确审计任务,组成信息系统审计小组,了解被审计系统的基本情况,指定信息系统审计方案,发出审计通知书 实施阶段:对被审计系统的内部控制制度进行健全性调查和符合性测试,对账表单证或数据文件的实质性审查
终结阶段:整理归纳审计资料,撰写审计报告,发出审计结论和决定,审计资料的归档和管理
国际信息系统审计准则:由信息系统审计与控制协会(ISACA)颁布和实施的。ISACA是国际上唯一的信息系统审计专业组织,通过制定和颁布信息系统审计标准、指南和程序来规范审计师的工作,它由三个层次构成: 审计标准(审计标准是整个信息系统准则体系的总纲,是制定审计指南和作业程序的基础和依据)审计指南(审计指南为审计标准的应用提供了指引,信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求,在应用过程中灵活运用专业判断并纠正任何偏离准则的行为)
作业程序(作业程序提供了信息系统审计师在审计过程中可能遇到的审计程序的示例)信息系统审计师应具备的素质(大题P18-19)
应具备的理论知识:传统审计理论、信息系统管理理论、计算机科学、行为科学理论
应具有的实践技能:参加过不同类别的工作培训、参与专业的机构或厂商组织的研讨会,动态掌握信息技术的新发展对审计实践的影响、具有理解信息处理活动的各种技术、理解并熟悉操作环境,评估内部控制的有效性、理解现有与未来系统的技术复杂性,以及它们对各级操作与决策的影响、能使用技术的方法去识别系统的完整性、要参与评估与使用信息技术相关的有效性、效率、风险等、能够提供审计集成服务并为审计员工提供指导,与财务审计师一起对公司财务状况做出说明、具备系统开发方法论、安全控制设计、实施后评估等、掌握网络相关的安全实践、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。IT治理定义:德勒定义:IT治理是一个含义广泛的概念,包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,IT相关风险的适当管理。
IT治理必须与企业战略目标一致,IT对于企业非常关键,也是战略规划的组成,影响战略竞争;IT治理和其他治理主体一样,是管理执行人员和利益相关者的责任(以董事会为代表);IT治理保护利益相关者的权益,使风险透明化,指导和控制IT投资、机遇、利益、风险;IT治理包括管理层、组织结构、过程,以确保IT维护和拓展组织战略目标;应该合理利用企业的信息资源,有效的集成与协调;确保IT及时按照目标交付,有合适的功能和期望的收益,是一个一致性和价值传递的基本构建模块,有明确的期望值和衡量手段;引导IT战略平衡系统的投资,支持企业,变革企业,或者创建一个信息基础架构,保证业务增长,并在一个新的领域竞争。
IT治理和IT管理的关系:IT管理是在既定的IT治理模式下,管理层为实现公司的目标二采取的行动,IT治理规定了整个企业IT运作的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司,即使有很好的IT管理体系,就想一座地基不牢固的大厦;同时,没有公司IT管理体系的流畅,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
公司治理和IT治理:公司治理,驱动和调整IT治理。同时,IT能够提供关键的输入,形成战略计划的一个重要组成部分,即IT影响企业的战略竞争机遇。IT治理标准:ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型:不存在、初始级、可重复级、已定义级、已管理级、已优化级(主要内容及其作用在P47-48)
信息系统内部控制:是一个单位在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊、确保信息系统提供信息的真实、合法、完整,而制定和实施的一系列政策与程序措施。凡是与信息系统的建立、运作维护、管理和业务处理有关的部门、人员和活动,都属于信息系统内部控制的对象,可分为一般控制和应用控制。
信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制,其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。
信息系统应用控制是用于对具体应用系统的控制,一个应用系统一般由多个相关计算机程序组成,有些应用系统可能是复杂的综合系统,牵涉到多个计算机程序和组织单元,与此相对应,应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。良好的一般控制是应用控制的基础,可以为应用控制的有效性提供有力的保障,某些应用控制的有效性取决于计算机整体环境控制的有效性。当计算机整体环境控制薄弱时,应用控制就无法真正提供合理保障。如果一般控制审计结果很差,应用控制审计结果很差,应用控制审计就没有进行的必要。
审计逻辑访问安全策略:知所必需原则
审查离职员工的访问控制:请辞、聘用合同期满和非自愿离职 数据库加密:一般采用公开密钥加密方法 系统访问控制及其审计:系统访问就是利用计算机资源达到一定目的的能力,对计算机化的信息资源的访问可以基于逻辑方式,也可以基于物理方式。物理访问控制可以限制人员进出敏感区域。对计算机信息的物理访问与逻辑访问应当建立在“知所必需”的基础上,按照最小授权原则和职责分离原则来分配系统访问权限,并把这些访问规则与访问授权通过正式书面文件记录下来,作为信息安全的重要文件加以妥善管理。身份识别与验证(简答题P65-66):逻辑访问控制中的身份识别与验证是一种提供用户身份证明的过程,在这个过程中,用户向系统提交有效的身份证明,系统验证这个身份证明后向用户授予访问系统的能力。可分为三类:“只有你知道的事情”“只有你拥有的东西”“只有你具有的特征” 例子:账号与口令、令牌设备、生物测定技术与行为测定技术。逻辑访问授权:一般情况下逻辑访问控制基于最小授权原则,支队因工作需要访问信息系统的人员进行必要的授权。当用户在组织变换工作角色时,在赋予他们新访问权限时,一般没有及时取消旧的访问权限,这就会产生访问控制上的风险。所以当员工职位有变动时,信息系统审计师就要及时审核访问控制列表是否做了有效变更。灾难恢复控制及其审计:信息系统的灾难恢复和业务持续计划是组织中总的业务持续计划和灾难恢复计划的重要组成部分。恢复策略与恢复类型:热站、温站、冷站、冗余信息处理设施、移动站点、组织间互惠协议。BCP中多个计划文件:业务持续性计划(BCP)、业务恢复计划(BRP)、连续作业计划(COOP)连续支持计划、IT应急计划、危机通信计划、事件响应事件、灾难恢复计划(DRP)、场所紧急计划(OEP)
异地备份:完全备份、增量备份、差分备份
灾难恢复与业务持续计划的审计:主要任务是理解与评价组织的业务连续性策略,及其组织业务目标的符合性;参考相应的标准和法律法规,评估该计划的充分性和时效性;审核信息系统及终端用户对计划所做的测试的结果,验证计划的有效性;审核异地存储设施机器内容、安全和环境控制,以评估异地存储站点的适当性;通过审核应急措施、员工培训、测试结果,评估信息系统及其终端用户在紧急情况下的有效反应能力;确认组织对业务持续性计划的维护措施存在并有效。
应用控制概念:应用控制是为适应各种数据处理的特殊控制要求,保证数据处理完整、准确地完成而建立的内部控制。应用控制涉及各种类型的业务,每种业务及其数据处理尤其特殊流程的要求,这决定了具体的应用控制的设计需结合具体的业务。单另一方面。由于数据处理过程一般都是由输入、处理和输出三个阶段构成,从这一共性出发,可将应用控制划分为输入控制、处理控制和输出控制。应用控制也是由手工控制和程序化控制构成,但以程序化控制为主。
软件维护的种类:纠错行为化、适应性维护、完善性维护、预防性维护 服务管理:面向IT基础设施管理的服务支持、面向业务管理的服务提供
IT服务提供流程主要面对付费的机构和个人客户,负责为客户提供高质量、低成本的IT服务。任务:根据组织的业务需求,对服务能力、持续性、可用性等服务级别目标进行规划和设计,同时还必须考虑到这些服务目标所需要耗费的成本。主要包括服务水平管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。
IT服务的服务支持主要面向终端用户,负责确保IT服务的稳定性与灵活性,用于确保终端用户得到适当的服务,以支持组织的业务功能。服务支持流程包括体现服务接触和沟通的服务台职能和5个运作层次的流程,即配置管理、事务管理、问题管理、变更管理、发布管理。应用程序审计的内容:
审查程序控制是否健全有效:程序中输入控制的审计、程序中处理控制的审计、程序中输出控制的审计。
审查程序的合法性P168 简单论述
审查程序编码的正确性:目标和任务不明确、系统设计差错、程序设计说明书错误、程序语法或逻辑错误
审查程序的有效性:在具体编写程序前应简化算术表达式及逻辑表达式、细心的分析多层嵌套循环,以确定能否把一些语句或表达式转移到循环体制外、尽量避免采用多维数组、尽量避免采用指针及复杂的表、采用“快”的算法;不要把不同的数据类型混在一起;只要可能就采用整形数的算法运算和布尔表达式。应用程序审计方法:对应用程序进行审计,往往是计算机辅助审计方法与手工审计方法的结合。
检测数据法:是指审计人员把一批预先设计好的监测数据,利用被审程序加以处理,并把处理的结果与预期的结果作比较,以确定被审程序的控制与处理功能是否恰当、有效的一种方法。
平行模拟法:是指审计人员自己或请计算机专业人员编写的具有和被审计程序相同处理和控制的模拟程序,用这种程序处理当期的实际数据,并以处理的结果与被审计程序的处理结果进行比较,以评价被审程序的处理和控制功能是否可靠的一种方法 嵌入审计程序法:是指被审计信息系统的设计和开发阶段,在被审的应用程序中嵌入为执行特定的审计功能而设计的程序段,这些程序段可以用来收集审计人员感兴趣的资料,并且建立一个审计控制文件,用来存储这些资料,审计人员通过这些资料的审核来确定被审程序的处理和控制功能的可靠性。
程序追踪法:是一种对给定的业务,跟踪被审程序处理步骤的审查技术。一般可由追踪软件来完成,也可利用某些高级语言或数据库管理系统中的跟踪指令被审查程序的处理。
第四篇:信息系统审计工作制度
信息系统审计工作
今天,信息系统已成为企业业务处理的中枢,信息系统的可靠、安全、效率左右着企业的命运。企业不仅要在内部设立信息系统审计部门,实施内部审计,还必须委托外部信息系统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。要实施独立的信息系统审计,确立信息系统审计制度是十分重要的。
因此,为了规范部门内部工作流程和质量控制,协助其他部门了解信息系统审计部门的业务支持范围、工作内容及工作流程,促进部门间就项目中设计的信息系统审计业务范围进行有效沟通,协调项目工作计划的界定和质量管理,避免因项目中工作职责和工作范围界定不明确而降低审计工作的效率和效果,特制订此信息系统审计制度。
本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作,为财务审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围,信息系统审计的工作程序及方法,以及信息系统审计对客户能够达成的效果等,特作以下介绍说明。
一、信息系统审计何时介入
信息系统审计(IT Audit)是信息系统鉴证业务中的一种。信息系统审计是根据业务和信息控制目标,针对信息系统环境内设定的控制,通过搜集和评估审计证据,对信息系统控制的有效性发表结论或意见的过程。
信息系统审计有四个层面:
1.它的目的是对信息系统控制的有效性发表评估结论或审计意见。有效性包括控制设计的有效性和执行有效性;
2.它的对象是信息系统环境中的各种控制流程或机制,包括IT 一般控制和应用控制;3)
3.它的内容是搜集和评估审计证据;
4.它的依据是业务控制目标,比如系统是否有效实施控制保证财务软件计算的固定资产折旧程序是否准确。通过执行信息系统审计,可以协助财务审计团队了解和评价信息系统的可靠性和安全性及财务数据的完整性和准确性。
财务审计团队在财务审计业务计划阶段,需对客户的信息系统环境进行调查,若客户的信息系统环境评估结果为复杂时,需邀请信息系统审计人员介入共同探讨审计计划,根据业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质(如:是否为高度自动化)、交易数量及信息系统的管理方式(如:若信息系统由第三方管理,则需考虑是否需要SAS70或者相关的报告)确定信息系统审计业务支持服务范围,并在信息系统审计计划中以书面的形式记录业务约定。若客户的信息系统环境评估结果为不复杂时,信息系统审计工作可由审计团队完成,必要时信息系统审计团队可以提供知识和技术的支持和咨询服务。
其中,若在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化(如:银行,保险,电信,和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息系统处理业务),仅仅执行实质性程序无法提供足够的审计证据时,在约定信息系统审计业务服务范围时,需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实性、完整性、准确性、截止性的审计程序。
在约定信息系统审计是否介入时,需要考虑如下因素:
▪系统的复杂性;
▪业务的本质;
▪财务审计团队的技能和知识;
▪系统的位置(例如,如果包含一个服务组织,SAS70或相关的报告能否被使用);
▪处理的本质(例如高度自动化)和交易的数量。
在评估信息系统是否复杂时,我们认为以下特征是复杂信息系统的指标:
▪客户实施编程和/或开发;
▪信息系统处理过程高度自动化,很少或者没有人工干预;
▪不同的系统接口;
▪信息系统使用批处理(计划任务);
▪实施了新系统或者系统间进行了转换;
▪使用了单点登录(SSO)或者集中权限管理(CRM)系统。
二、信息系统审计业务范围
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。信息系统审计业务范围包括:
(一)为财务审计团队提供信息系统审计业务支持;
(二)支持企业内部控制审计;
(三)开展独立的信息系统审计业务;
(四)对信息系统控制及安全方面提供独立建议的咨询服务。
(一)为财务审计团队提供信息系统审计业务支持
信息系统审计业务为财务审计提供合理保证,其提供的支持服务内容包括:
1.信息系统一般控制:
▪IT控制环境/关键职责分离;
▪主要业务和财务系统的开发以及程序变更管理;
▪IT系统运维管理,如数据批处理、数据备份、数据中心维护;
▪业务和财务系统环境中关键的信息安全和权限控制管理,包括用户账户和授权管理、应用系统安全、数据库系统安全、操作系统安全、和网络安全。
2.应用控制:
支持重要业务流程的各应用和接口系统中固化在程序中的关键控制点。这要根据财务审计团队确定的业务流程而定。比如销售、采购、库存、应收、应付、总账、资金、电子商务、银行存贷等。
3.根据业务复杂性确定的其他控制:
如根据重大账户余额,交易类型或披露事项的重大错报风险的评估结果,对依赖于计算机生成的信息执行信息(CGI)控制测试,计算机辅助审计(CAATs)测试,会计分录测试(JET)等。
(二)支持企业内部控制审计
信息系统审计对企业的内部控制审计提供支持,对特定基准日内部控制设计与运行的有效性进行审计,其主要内容包括:
1.恰当地计划内部控制审计工作;
2.实施审计工作,评价内部控制是否可以应对舞弊风险,测试内部控制设计与运行的有效性;
3.评价企业内部控制缺陷,按其影响程度分为重大缺陷、重要缺陷和一般缺陷;
4.获取充分、适当的证据,为在内部控制审计中对内部控制有效性发表意见和对控制风险结果评估提供支持。
(三)开展独立的信息系统审计业务
独立的信息系统审计业务是通过实施信息系统审计工作,对公司、机构或组织是否达成信息技术管理目标进行综合评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行其受托责任以达成公司、机构或组织的信息技术管理目标。
独立的信息系统审计业务也可通过实施信息系统审计工作来对公司、机构或组织所提供的专业化服务(如电子商务、人力资源与薪酬管理外包、在线数据备份等)进行综合评价从而达到以下目标:
1.判断一切与该公司、机构或组织所提供的专业化服务相关的流程、操作及管理是否合乎行业标准;
2.保障使用此类专业服务的公司或个人的信息安全性;
3.基于评价意见提出整改建议,从而帮助此类专业服务提供商更好地拓展市场与开放客户群体。
信息系统审计部门能够为客户提供的独立的信息系统审计业务内容包括:
▪企业信息系统控制合规审计报告;
▪企业信息系统运行和控制系统设计及评估;
▪企业萨班斯法案审计服务;
▪其他。
其目的是保证其信息技术战略充分反映该组织的业务战略目标,提高公司、机构或组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规及监管的相关要求。
(四)对信息系统控制及安全方面提供独立建议的咨询服务
信息系统咨询业务是指结合信息系统安全、企业内部控制管理与外部审计等多方面的专业知识,提供与信息安全相关的信息化建设、信息安全诊断、信息技术认证及ERP系统相关的咨询业务。
信息系统审计部门能够为客户提供的独立的信息系统咨询业务内容包括:
▪企业信息系统战略策划和评估;
▪企业信息系统执行及项目管理监理咨询;
▪企业信息系统安全评估;
▪企业萨班斯法案咨询服务;
▪企业专业服务系统的行业评估;
▪其他。
三、信息系统审计程序
(一)信息系统审计一般程序
审计程序一般可分为四个阶段,即准备阶段、实施阶段、审计结论和执行阶段、异议和复审阶段。信息系统审计也可分为这四个阶段,同时结合自身的特殊要求,运用本身特有的方法,对信息系统进行评价。
1.准备阶段
初步调查被审计单位信息系统基本状况,拟定科学合理的计划,一般应包括以下主要工作:
(1)调查了解被审计单位信息系统的基本情况,如信息系统的硬件配置、系统软件的选用、应用软件的范围、网络结构、系统的管理结构和职能分工、文档资料等,调查完成后将审前调查情况记录下来。
(2)提前三天送达审计通知书,要求被审计单位对所提供资料的真实性、完整性作出书面承诺,明确彼此的责任、权利和义务。
(3)初步评价被审计单位的内部控制制度,以便确定符合性测试的范围和重点。
(4)确定审计重要性、确定审计范围。
(5)分析审计风险。
(6)制定审计实施方案。在审计实施方案中除了对时间、人员、工作步骤及任务分配等方面作出安排以外,还要合理确定符合性测试、实质性测试的时间和范围,以及测试时的审计方法和测试数据。
在安排利用计算机辅助审计时,还需列出所选用的通用软件或专用软件。对于复杂的信息系统,也可聘请专家,但必须明确审计人员的责任。
2.实施阶段
实施阶段是审计工作的核心,也是信息系统审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见。实施阶段的主要工作应包括以下两个方面的内容:
(1)符合性测试。进行符合性测试应以系统安全可靠性的检查结果为前提。如果系统安全可靠性非常差,不值得审计人员信赖,则应当根据实际情况决定是否取消内控制度的符合性测试,而直接进行实质性测试并加大实质性测试的样本量。在信息系统的符合性测试项目中,主要内容应该是确认输入资料是否正确完整,计算机处理过程是否符合要求。如果系统安全可靠性比较高,则应对该系统给予较高的信赖,在实质性测试时,就可以相应地减少实质性测试的样本量。
(2)实质性测试。实质性测试应该是对被审计单位信息系统的程序、数据、文件进行测试,并根据测试结果进行评价和鉴定。进行实质性测试须依赖于符合性测试的结果,如果符合性测试结果得出的审计风险偏高,而且被审计单位有利用信息系统进行舞弊的动机与可能,并且被审计单位又不能提供完整的会计文字资料,此时审计人员应考虑对会计报表发表保留意见或拒绝表示意见的审计报告。进行实质性测试时,可考虑采用通过计算机和利用计算机进行审计的方法,具体包括:
①测试数据法:就是将测试数据或模拟数据分别由审计人员进行手工核算和被审计单位信息系统进行处理,比较处理结果,作出评价;
②受控处理法:就是选择被审计单位一定时期(最好是12月份)实际业务的数据分别由审计人员和会计电算化系统同时处理,比较结果,作出评价。
(3)利用辅助审计软件直接审查信息系统的数据文件。审计人员可利用现场审计实施系统软件(AO)直接对数据进行数据转换,数据查询,抽样审计,查账,账务分析等测试,得出结论,作出评价。
3.审计结论和执行阶段
审计人员对信息系统进行符合性测试和实质性测试后,整理审计工作底稿,编制审计报告时,除对被审单位会计报表的合理性、公允性发表意见,作出审计结论外,还要对被审单位信息系统的处理功能和内部控制进行评价,并提出改进意见。
审计报告完成后,先要征求被审单位的意见,并报送审计机关和有关部门。审计报告一经审定,所作的审计结论和决定需通知并监督被审单位执行。
4.异议和复审阶段
被审单位对审计结论和决定若有异议,可提出复审要求,审计部门可组织复审并作出复审结论和决定。特别是被审单位信息系统有了新的改进时,还需组织后续审计。
(二)信息系统审计协调程序
为财务审计团队提供信息系统审计业务支持服务前,为了合理安排信息系统审计工作计划,财务审计项目负责人与信息系统审计部门应执行下列协调程序:
1.财务审计项目负责人在制定当年审计计划时应考虑所需信息系统审计部门进行审计支持的内容与实行时间;
2.财务审计项目负责人提前在9月底将所需信息系统审计时间告知信息系统审计部门,与信息系统审计部门讨论确定服务内容,预约部门成员;
3.信息系统审计部门搜集所有信息系统审计需求,按照项目时间安排信息系统审计人员工作计划,并与财务审计项目团队、客户协调;
4.信息系统审计部门及时完成外勤工作、底稿编制和底稿审核,并把结论书面告知财务审计项目团队,并与财务审计团队对信息系统审计部门的最后结论达成口头或书面共识;
5.信息系统审计部门将按照事务所要求归档、保管底稿。
其他信息系统项目的工作计划参照上述信息系统审计业务支持服务,与相关方及时沟通制定审计计划,在制定的项目时间内完成工作。
(三)信息系统审计结果报告程序
信息系统审计部门实施信息系统审计的计划、程序、证据、结论等底稿都会按照相应的审计准则进行记录和保存。
1.在财务审计系统审计风险评估当中,信息系统审计部门不会出具某种审计报告,而是出具评估结论,一般以底稿备忘录的形式提交给财务审计团队。该备忘录总结信息系统审计中评估的范围、方法、时间/区间、结论、重大控制缺陷或风险点等内容。
2.在独立的信息系统审计业务和咨询业务中,会出具独立的审计报告。报告将以事务所名义签发。
第五篇:信息系统审计方法浅谈
信息系统审计方法浅谈
随着当前信息技术的发展,地方各级资金管理部门投入大量资金,开发了各种各样的信息系统软件,用于管理资金或实行会计电算化,信息系统的建设的合法性、软件开发的规范性、系统运行的安全性以及程序设置合规性等问题,成为审计关注的重点,开展信息系统审计成为审计机关避免“假账真审”、降低审计风险题中应有之义。
信息系统审计主要目标是确认信息系统的合法性、可靠性、机密性、有效性和安全性等,通过审查信息系统的运行状况,发现信息系统在使用和管理过程中存在的问题,确定是否存在漏洞和缺陷,有无非法和错误的处理和控制的薄弱环节,客观评价系统的现状,促进被审计调查单位进一步加强信息系统管理,完善信息系统功能,保证资金的安全与完整,防范利用计算机系统进行欺诈与舞弊,并提出具有建设性的建议。
信息系统审计重点内容主要有以下三个方面:
一、信息系统运行方面,主要包括:
1、系统安全性,审查信息系统的物理安全性,是否可以有效防止被非法使用,相关安全制度是否齐全,机房进出是否执行登记制度等;中心机房是否建设为标准机房,电源是否为单独供电或双路供电并配备UPS电源,服务器是否配置机柜;机房内是否摆放纸箱等可燃物品,墙体地板、天花等是否按防火标准建设或改造,是否配备防雷设施,地板是否经过防火、防静电处理,配备防静电设施;是否建有磁带库、虚拟带库等系统以备份系统数据,是否建有冗灾备份系统,以确保数据信息安全。
2、系统可靠性,审查硬件、软件是否有效能够保证业务的正常运行,操作系统和数据库是否为正版软件并及时更新,数据库是否能够满足运行需要,系统是否存在漏洞,是否易受病毒、木马、黑客等攻击,导致数据丢失、篡改等;杀毒软件病毒库及防火墙是否及时更新。
3、系统机密性,审查数据访问权限的保密性,是否存在数据被非法用户访问,不相容的权限是否设置单选或者禁用,是否存在同时操作前台和后台,既能办理业务,又能审核业务等,隐私数据的保密是否有力;操作系统及数据库是否加密存储用户口令,系统日志是否保留用户登录、操作系统模块和业务模块的相关信息;是否存在大量共享文件夹及文件,导致系统安全风险。
4、系统合法性,审查信息系统的开发、管理、运营是否符合法律、法规、规章的规定。重要信息是否为必填项或符合规范录入要求。
5、系统效益性,查信息化建设是否坚持成本节约原则,资源的利用是否坚持效率性原则,信息系统是否达到信息化建设目标。
二、信息系统管理方面,主要包括:
1、内部控制制度,主要审查信息系统是否建立相关内部控制及实际执行,关注各个控制
措施之间的相关性,业务运行结果是否与财务数据一致,某一控制是否存在补偿性或是重叠性的控制。
2、保障措施,主要审查各个环节、各个业务部门之间的联接、系统运营后勤保障、售后服务合同签订及后期实施情况等,查看是否存在薄弱环节,是否能有效保障系统的正常安全运行。
三、政策执行方面,主要包括:
1、政策执行,主要地方政策是否符合中央或省级政策的有关条目及法律法规的规定。
2、业务流程,主要审查信息系统是否严格按照流程进行运营,是否存在漏洞等。信息系统审计主要采取的方法:
1、座谈及现场察看,采取与信息化部门、用户及相关人员进行座谈,查阅与信息系统相关的文档、程序等,实地查看机房、业务终端、器材等。
2、计算机辅助审计,利用AO软件的查询、计算、分类、抽样选择、排序、数据文件联结、比较、合并等功能进行审查。
3、测试数据,通过测试数据样本,评价信息系统是否能够正确处理所有业务数据,是否能够对处理过程实施一定控制。
4、应用程序检查,检查系统软件开发过程中是否设置相应控制措施。
5、聘请计算机专家,为审计师提供指导及其他有价值的信息。
6、整体测试,在软件系统内置入虚构实体,并以测试资料或正式资料,针对该实体进行处理,以验证其正确性。
点击咨询 