系统审计的系统审计方法
2024-05-11 04:21
1. 系统审计的系统审计方法
关于审计方法概念的表达,归纳起来大致有两种不同的观点:一是狭义的审计方法,即认为审计方法是审计人员为取得充分有效审计证据而采取的一切技术手段;另一种是广义的审计方法,即认为审计方法不应只是用来收集审计证据的技术,而应将整个审计过程中所运用的各种方式、方法、手段、技术都包括在审计方法的范畴之内。本书采用第二种观点, 即审计方法(audit method)是指审计人员为了行使审计职能、完成审计任务、达到审计目标所采取的方式、手段和技术的总称。审计方法贯穿于整个审计工作过程,而不只存于某一审计阶段或某几个环节。随着信息系统审计实践的丰富与信息系统审计理论的发展,信息系统审计除了运用传统审计的方法外,还大量借鉴了计算机学科的一些方法为我所用,如软件测试方法,电子取证方法等 。
2. 系统审计的介绍
系统审计(又称信息系统审计)指对一个信息系统的运行状况进行检查与评价,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标。
3. 信息系统审计的依据是什么
信息系统审计师须了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。 (1) -般公认信息系统审计准则包括职业准则、ISACA公告和职业道德规范。职业准则可归类为:审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证(Certified Information System Auditor,CISA)持有者有关职业上及个人的指导规范。 (2)信息系统的控制目标信息系统审计与控制协会在1 996年公布的COBIT被国际上公认是最先进、昂权威的安全与信息技术管理和控制的标准,目前已经更新至第3版。它在商业风险、控制霈要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师,而且更重要的是可用于全面指导管理者与业务过程的所有者。商业实践中越来越多地包含了对业务过程所有者的全面授权,因此他们承担着业务过程所有方面的全部责任。特别地,这其中包含着要提供足够的控制。COBIT框架为业务过程所有者提供了一个工具,以方便他们承担责任。其框架包括四大部分:架构、控制目标、审计指南及执行概要。COBIT架构着重各项处理的高层次控制,控制目标则着重于各项IT处理或对该架构所包括的34项IT处理的特定详细控制目标,每一项IT处理都有5~25个详细控制目标,控制目标使整体架构和详细控制目标密切对应,相互一致。详细控制目标有18种主要来源,涵盖现行的及法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的预期结果或目标的叙述,以提供全球所有的产业有关IT控制的明确方针及实际最佳的应用。 (3)其他法律及规定每个组织不论规模大小或属于何种产业,都需要遵守政府或外部对与电脑系统运作、控制,及电脑、程序、信息的使用情况等有关的规定或要求,对于一向受严格管制的行业,尤其要注悫遵守。以国际性银行为例,若因不良备份及复原程序而无法提供适当的服务水准,其公司及员工将受严重处罚。此外,由于对EDP及信息系统的依赖性加重,许多国家极力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员必须考虑与组织目标、计划及与信息服务部门/职能/工作的责任及工作等有关的外部规定或要求。
4. 审计依据的审计依据的特点
审计依据既是明显可见的,又不是固定不变的,它随着国家管理的规范和单位管理的加强,旧的标准不断淘汰,新的标准不断建立。因此,无论什么样的审计依据,只能在一定的范围内、一定的区域中和一定的时间内是有效的,同时各类依据所具有的权威性也是有很大差别的。(一)权威性审计依据是判断被审单位经济活动合法性、有效性及真实性的准绳,又是作为提出审计意见、做出审计决定的根据或理由。因此,任何审计依据都具有一定的权威性或公认性,否则不足以引用为依据。但是,不同层次的依据,其权威性大小不一样。如国家的法律、法规是衡量经济活动是否合法、合规的依据,它具有很高的权威性,全国都公认它,依据它提出审计意见,做出审计决定一般是正确无误的。再如单位内部制订的规章制度、预算、计划、定额、标准、历史数据等,则不具备上述法律、法规的权威性,但依然是用来衡量经济活动优劣的重要依据,对于这类依据主要强调它的公认性和可接受性,一般要由审计人员和被审查单位协商后确定。(二)层次性审计依据一般是由审计主体以外的国家机关、管理部门、业务部门、技术部门和企业单位制订的。审计依据因管辖范围和权威性大小不同而有不同的层次。一般来说,制订的单位级别越高,其管辖的范围越广,其权威性越大。最高层次的依据是国家立法机关的法律;其次是国务院颁布的各种行政法规及政策、指令、规划等;再次是地方立法机关和行政机构制定的地方性法律、法规;然后是被审计单位主管部门制定的规章制度、下达的计划和提出的技术经济指标等;最低层次依据是被审计单位内部制定的各种规章制度、计划、预算、定额、标准等。值得提出的是,如果是涉外审计,还要引用国际及有关国家法规、制度为审计依据,国际上的法规应高于各国的法律、法规。审计依据的层次越高,其管辖的幅度越宽,其适用的范围越广,其权威性越大。这是因为高层次依据主要是国家制订的法律、法规,适用于全国,而且低层次的法规及规章制度不能违反最高层次的法规,只能在此基础上进行研究和加以具体化。(三)地域性从空间上看,很多审计依据还要受到地域性限制。由于各国的社会经济制度不同和生产力发展水平不同,其审计依据和内容也各不相同,因此一个国家不能照搬另一个国家的审计依据。我国各地区、各部门的实际情况和发展水平也不相同,因此,其适用的审计依据也各不相同。审计人员在进行审计判断时,必须注意到地区差别、行业差别和单位差别。(四)时效性从时间上看,各种审计依据都有一定的时效性,不是在任何时期、任何条件下都适用。作为衡量经济活动是否真实、合法和有效的审计依据属于上层建筑的范畴,它会因经济基础的发展变化而不断变化,也即是在不断地变更和修订之中。这就要求审计人员在审计工作中,密切注意各种依据的变化,选用在被审计事项发生时有效的判断依据,而不能以审计时现行的法律、法规、规章制度作为判断依据,也不能以过时的法律、法规、规章制度作为判断依据,更不能以旧的审计依据来否定现行的经济活动,或用新的审计依据来否定过去的经济活动。(五)相关性审计依据的相关性,主要是指所引用的审计依据应与被审计项目和应证实的目标相关。审计人员所做的审计判断,所表示的审计意见以及所做出的审计决定是否正确无误,是否令人信服,与审计人员所使用的审计依据的相关程度及针对性强弱关系很大。审计依据的相关性,首先表现在所选用的依据与被审计事项是相关的,能够判定被审计事项是否真实、合法与有效;其次是能说明审计人员提出的审计意见、做出的审计决定有充足的理由;三是针对某一被证实的事项来说,所选用的各种依据能从不同的角度去证实,并能说明一定的程度,这些依据也是相关的。经济效益审计依据除了具有上述五种特征外,还具有相对性、先进性、动态性、可控性、计量性等特点。作为财务审计的依据大多数在全国范围内是统一的,但作为经济效益审计的依据,如经济效益指标,不同行业、不同时期则不相同,同一行业、同一企业、同一指标也有不同的评价标准。经济效益审计的目的主要是为了促进被审计单位提高经济效益,因此,作为衡量其效益高低的依据,应该具有一定的先进性,这样有利于激励被审计单位努力提高经济效益。财务审计依据一般能相对稳定在一定的时期内,但经济效益评价依据随着国家经济政策、科学技术、管理要求的变化而不断变更,其计划、定额等依据每年均有变化。用作经济效益评价依据,应该是单位可以控制的指标,否则就会失去评价意义。如衡量原材料利用的经济效益,应当以材料单耗、材料利用率来衡量,而不宜以单位产品的材料成本作为衡量标准,因为材料成本中涉及的购入价单位无法完全控制。要准确地衡量被审计单位经济效益的状况,一般应以计量性指标为宜,如各种指标、数据等,而不宜用一般口号、原则等定性指标。
5. 系统审计的系统审计分类
(一)按审计内容进行分类 1、财政财务审计。是指审计机构对国家机关、企事业单位的财政、财务收支活动和反映其经济活动的会计资料进行的审计。 2、经济效益审计。是指审计机构对被审单位或项目的经济活动包括财政、财务收支活动的效益性进行审查。 3、财经法纪审计。是指国家审计机关和内部审计部门对严重违反财经法纪的行为所进行的专项审计。 (二)按审计主体进行分类 1、国家审计。也称政府审计。是指由国家审计机关所实施的审计。 2、社会审计。也称注册会计师审计。 3、内部审计。也称部门和单位审计。是指由部门内部独立于财会部门以外的专职审计机构所进行的审计。 (三)按照审计工作进行的时间分类 1、事前审计。是指经济业务发生以前所进行的审计。即对计划、预算的编制,以及对基本建设项目和固定资产投资决策的可行性研究等所进行的审计。 2、事中审计。是指在计划、预算或投资项目执行过程中对其所发生的经济活动进行的审计。 3、事后审计。是指经济业务发生以后进行的审计。 审计和会计的区别: 产生的前提不同 会计是为了加强经济管理,适应对劳动耗费和劳动成果进行核算和分析的需要而产生的;审计是因经济监督的需要,也即是为了确定经营者或其他受托管理者的经济责任的需要而产生的。 两者性质不同 会计是经营管理的重要组成部分,主要是对生产经营或管理过程进行反映和监督;审计则处于具体的经营管理之外,是经济监督的重要组成部分,主要对财政、财务收支及其他经济活动的真实、合法和效益进 行审查,具有外在性和独立性。 两者对象不同 会计的对象主要是资金运动过程,也即是经济活动价值方面;审计的对象主要是会计资料和其他经济信息所反映的经济活动。 方法程序不同 会计方法体系由会计核算、会计分析、会计检查三部分组成,包括了记账、算账、报账、用账、查账等内容,其中会计核算方法包括设置账户、复式记账、填制凭证、登记账簿、成本计算、财产清查、会计报表等记账、算账和报账方法,其目的是为管理和决策提供必须的资料和信息; 审计方法体系由规划方法、实施方法、管理方法等组成,而实施方法主要是为了确定审计事项、收集审计证据、对照标准评价,提出审计报告与决定,使用资料检查法、实物检查法、审计调查法、审计分析法、审计抽样法等,其目的是为了完成审计任务。
6. 系统审计的系统审计分类
(一)按审计内容进行分类 1、财政财务审计。是指审计机构对国家机关、企事业单位的财政、财务收支活动和反映其经济活动的会计资料进行的审计。 2、经济效益审计。是指审计机构对被审单位或项目的经济活动包括财政、财务收支活动的效益性进行审查。 3、财经法纪审计。是指国家审计机关和内部审计部门对严重违反财经法纪的行为所进行的专项审计。 (二)按审计主体进行分类 1、国家审计。也称政府审计。是指由国家审计机关所实施的审计。 2、社会审计。也称注册会计师审计。 3、内部审计。也称部门和单位审计。是指由部门内部独立于财会部门以外的专职审计机构所进行的审计。 (三)按照审计工作进行的时间分类 1、事前审计。是指经济业务发生以前所进行的审计。即对计划、预算的编制,以及对基本建设项目和固定资产投资决策的可行性研究等所进行的审计。 2、事中审计。是指在计划、预算或投资项目执行过程中对其所发生的经济活动进行的审计。 3、事后审计。是指经济业务发生以后进行的审计。 审计和会计的区别: 产生的前提不同 会计是为了加强经济管理,适应对劳动耗费和劳动成果进行核算和分析的需要而产生的;审计是因经济监督的需要,也即是为了确定经营者或其他受托管理者的经济责任的需要而产生的。 两者性质不同 会计是经营管理的重要组成部分,主要是对生产经营或管理过程进行反映和监督;审计则处于具体的经营管理之外,是经济监督的重要组成部分,主要对财政、财务收支及其他经济活动的真实、合法和效益进 行审查,具有外在性和独立性。 两者对象不同 会计的对象主要是资金运动过程,也即是经济活动价值方面;审计的对象主要是会计资料和其他经济信息所反映的经济活动。 方法程序不同 会计方法体系由会计核算、会计分析、会计检查三部分组成,包括了记账、算账、报账、用账、查账等内容,其中会计核算方法包括设置账户、复式记账、填制凭证、登记账簿、成本计算、财产清查、会计报表等记账、算账和报账方法,其目的是为管理和决策提供必须的资料和信息; 审计方法体系由规划方法、实施方法、管理方法等组成,而实施方法主要是为了确定审计事项、收集审计证据、对照标准评价,提出审计报告与决定,使用资料检查法、实物检查法、审计调查法、审计分析法、审计抽样法等,其目的是为了完成审计任务。
7. 内部审计中的信息系统审计的内容
内部审计中的信息系统审计的内容
伴随着大数据时代的到来,企业的信息系统越来越系统化,呈现出与企业目标有机融合的整体性,随着信息技术和企业业务发展而不断发展的动态性,包含子系统众多的复杂性等特性,一句话,信息系统越来越复杂了。下面是我为大家带来的关于内部审计中的信息系统审计的内容的知识,欢迎阅读。
划分责任方
定义审计边界、确定审计范围的责任方有以下两个层面:
决策层面
决策层面即董事会、管理层根据企业发展的战略需求或者管理需求提出对IT相关项目的审计要求。这种要求是宏观性的,是大的方向。例如保护企业信息安全是大数据时代企业生存和发展面临的一个非常重要的问题,一旦董事会、管理层决定加强这方面的保护力度,或者发现了问题的隐患,就会提出对信息系统数据、信息安全控制方面的审计。
执行层面
执行层面即审计部门要根据企业计划的安排,根据决策层授权提出的方向,定义具体审计的范围和内容。如根据决策层关于数据、信息安全的大方向,需要审计信息系统中的哪些子系统、一般控制的哪些内容、哪些管理制度,都要一一详细、具体定义。
视情况而定
在对信息系统开展的审计中,可能存在以下三种情况:
生命周期审计
第一种情况是对信息系统生命周期进行同步审计,对每一个流程都开展详细审计。这种情况作为企业内部审计都会遇到,也是企业内部审计的一项职责。尽管如此,对每一个治理和管理流程开展审计时,也要明确的定义好每个流程的边界。
系统审计
第二种情况是对已经开发好、并投入运行的系统开展审计。这类审计的目的是评估信息系统的功能是否达到了企业需要,是否需要更新。这类系统是企业整个信息系统的一个部分,是其中的一个或者几个子系统。开展这种情况的审计时要明确审计的是什么?是哪一个或者哪几个子系统,把需要审计的对象摘取出来,与审计目的无关的不要涉及。
业务审计
第三种情况常常是和企业业务审计结合在一起的,如检查企业对供应商管理的审计中,要检查到信息系统中供应商子系统;检查企业人力资源管理时,涉及到人力资源管理子系统。在开展这类审计时,要明确业务涉及到的信息系统是什么系统,范围是什么,系统的边界如何划分,审计应该审计的内容。处理好上述三种情况,就能在制定审计计划时列出明确的范围,在实施审计时突出重点,有条不紊。
伴随着大数据时代的到来,企业的信息系统越来越系统化,呈现出与企业目标有机融合的整体性,随着信息技术和企业业务发展而不断发展的动态性,包含子系统众多的复杂性等特性,一句话,信息系统越来越复杂了。如现在在很多企业推行的ERP、SAP系统,包含的子系统动辄以千计,涵盖企业的供应商、进货、库存、生产、销售、销售商、财务会计、管理会计、人力资源等各个方面,包含的数据表更是数以万计。企业内部审计对如此复杂的系统开展审计,在实务中,会感觉十分迷茫。那么在内部审计中信息系统的审计究竟审什么呢,我们有必要对其进行一些深入讨论。
信息系统的审计首先要考虑的问题是定义审计什么,也就是审计信息系统的哪一个部分,审计的范围如何界定。在安排审计计划时都要科学划定审计的边界,而不能笼统地对企业整个信息系统都开展全面的审计,因为那样做,会超越审计的实际需要,造成力不从心,无法实施或无力胜任的困境。在企业内部审计实务中还常常会遇到根据企业面临的风险或特殊需要,而安排信息系统审计专项审计的情况,如信息和数据安全专项审计、信息系统建设投资专项审计、外包专项审计、内部控制合规性专项审计等等,遇到这类情况,也要首先定义审计的内容和范围。
划分责任方
定义审计边界、确定审计范围的责任方有以下两个层面:
决策层面
决策层面即董事会、管理层根据企业发展的战略需求或者管理需求提出对IT相关项目的审计要求。这种要求是宏观性的,是大的方向。例如保护企业信息安全是大数据时代企业生存和发展面临的一个非常重要的问题,一旦董事会、管理层决定加强这方面的保护力度,或者发现了问题的隐患,就会提出对信息系统数据、信息安全控制方面的.审计。
执行层面
执行层面即审计部门要根据企业计划的安排,根据决策层授权提出的方向,定义具体审计的范围和内容。如根据决策层关于数据、信息安全的大方向,需要审计信息系统中的哪些子系统、一般控制的哪些内容、哪些管理制度,都要一一详细、具体定义。
视情况而定
在对信息系统开展的审计中,可能存在以下三种情况:
生命周期审计
第一种情况是对信息系统生命周期进行同步审计,对每一个流程都开展详细审计。这种情况作为企业内部审计都会遇到,也是企业内部审计的一项职责。尽管如此,对每一个治理和管理流程开展审计时,也要明确的定义好每个流程的边界。
系统审计
第二种情况是对已经开发好、并投入运行的系统开展审计。这类审计的目的是评估信息系统的功能是否达到了企业需要,是否需要更新。这类系统是企业整个信息系统的一个部分,是其中的一个或者几个子系统。开展这种情况的审计时要明确审计的是什么?是哪一个或者哪几个子系统,把需要审计的对象摘取出来,与审计目的无关的不要涉及。
业务审计
第三种情况常常是和企业业务审计结合在一起的,如检查企业对供应商管理的审计中,要检查到信息系统中供应商子系统;检查企业人力资源管理时,涉及到人力资源管理子系统。在开展这类审计时,要明确业务涉及到的信息系统是什么系统,范围是什么,系统的边界如何划分,审计应该审计的内容。处理好上述三种情况,就能在制定审计计划时列出明确的范围,在实施审计时突出重点,有条不紊。
;
8. 系统审计的系统审计职能
系统审计具有审计,控制,管理等三大职能 。审计职能。所谓审计职能,就是以相关规定、标准等为评价依据,评价被审计对象的信息资产和信息系统是否安全、可信,反映的财务收支和经济活动的电子轨迹是否合法、合规、合理和有效,从而督促被审计对象遵纪守法,提高经济效益。 控制职能。内部信息系统审计人作为企业内部控制系统中一个重要组成部分,是企业内部控制的再控制,因其受企业主要负责人的直接领导,能够站在企业发展的全局来分析和考虑问题,检查信息系统运行是否得到有效控制,以及控制程度和效果,提出控制中存在的不足和问题,实现控制系统的最终目标。 管理职能。信息系统审计师有义务和责任对企业的信息资产安全与信息系统运行状况提供决策咨询,确保IT发展与企业的战略一致,在工作中发现问题,对制度、管理和控制等方面有针对性地提供咨询服务,预防出现大的信息技术风险和管理漏洞,企业各管理层提供服务,不断改进经营管理水平。
最新文章
热门文章
推荐阅读