信息系统审计经验交流3篇

信息系统审计经验交流3篇是为您推荐的内容,希望对您的学习工作带来帮助。

信息审计经验交流信息系统审计经验交流3篇

信息系统审计经验交流第1篇

信息系统审计,是指结合国家审计的现状和特点,紧紧围绕国家审计内容、范围和目标,对被审计单位用于经营决策、财务核算、业务管理的各类信息系统、系统内部控制系统以及信息系统产生的电子数据开展审计,以保证被审计单位财政财务收支的真实性、完整性和效益性,是常规审计方式的一种延伸,是信息化环境下审计方式方法的进一步精细化。

在我国国家审计融入世界审计主流,实现与国际接轨的大环境下,信息系统审计已经成为我国国家审计的一项重要工作内容,这是信息化发展到一定程度的必然结果。但是,我国的信息系统审计仍处于不断探索、逐步完善的阶段。目前,专门立项对某被审计单位信息系统开展独立式审计尚不成熟,信息系统审计只能是以常规审计为载体,分别开展数据式审计、系统审计和系统内部控制审计。在这种情况下,如何既能保证圆满完成既定审计目标,又能适时合理有成效地开展信息系统审计,就成为摆在所有审计机关面前的一大难题。本文将从审计项目实施流程的角度指出信息系统审计中的一些注意事项,以期能为广大审计人员提供参考。

项目准备阶段。调查了解被审计单位基本情况阶段,要紧紧围绕审计署制定的审计目标及审计重点,在了解被审计单位财政财务收支的同时,对被审计单位信息系统及其产生的电子数据进行全面系统的了解,主要包括被审计单位的信息系统、系统内部控制以及电子数据结构与数据字典。在此基础上,要完成被审计单位电子数据的采集与转换、信息系统模拟测试环境的搭建,系统内部控制点的分解,系统一般控制测评等。

制定方案阶段。首先要将信息系统审计实施方案包含于审计项目的总体方案之中,确定信息系统审计的实施目标和审计方式方法,在方案中要明确以下几个关系:明确信息系统审计重点事项以及常规审计重点事项之间的关系,明确信息系统审计阶段性结果与常规审计阶段性性结果间的关系,明确实施信息系统人员与常规审计实施人员间的相互配合关系,明确信息系统内部控制点的设置与被审计单位内部控制间的关系、明确各个控制点所对应的电子数据间变化以及电子数据所体现的业务逻辑对应关系。具体来说,信息系统审计目标是围绕署定项目目标制定,紧扣而不脱离;信息系统审计重点事项是署定项目重点事项的细化、补充和延伸;信息系统审计阶段性结果与署定项目常规审计阶段性结果是相互补充、相互完善、相互促进关系;实施信息系统人员与常规审计实施人员间相互配合,处于一种矩阵式方阵之中,相互互补、相互配合、及时交流;信息系统内部控制点与被审计单位内部控制点是一一对应关系(尽管其不会非常完备,只是控制方式、具体控制对象、表现形式不同),每个控制点的变动均会引起后台多张表的电子数据发生一系列变化,这种变化应该完全由系统控制,且逻辑严密,如果掺入了人为因素,数据将表现为异样。

项目实施阶段。信息系统审计实施与常规审计实施是一种相互协同、相互启发、相互印证关系,二者就每个重点事项、控制点进行测评和验证,审计所发现的阶段性结果,也需要有计划的及时沟通,做到相互促进。另外,信息系统审计取证与常规审计取证不同,其证据的表现形式灵活多样,可以通过填写表格、面谈笔录、与被审计单位技术人员一起验证某些具体操作让其出具书面证明、将电子数据及测评所表现的现象抓图或拍照、通过特定软件记录验证过程等方式形成的书面材料或电子数据为附件的证明材料。实施信息系统审计方法可以灵活多样,可以采用现场查看法、软件代码测试法、平行模拟法等,也可以和常规审计方法相互结合,从另一方面去验证,发现审计线索。

项目报告与总结阶段。信息系统审计可以单独出具审计报告,也可以将审计结论融入常规审计报告之中。一般做法是将信息系统审计结论融入常规审计报告之中的同时,再就信息系统审计单独出具一份全面的信息系统审计报告,因为常规审计报告往往不可能完全包括信息系统审计报告的全部内容。在做好审计报告后,及时就开展信息系统审计以及如何与常规审计相结合做好项目总结工作,总结经验,发现不足。

信息系统审计经验交流第2篇

一、审计机关开展信息系统审计的现实需求

通常信息化审计分为三种方式:一是利用计算机做为辅助工具,应用AO等软件实现查阅财务帐,处理审计电子数据而开展的计算机辅助审计;二是以财政、税务、金融、社保等为审计对象,以大量电子数据处理为审计方法,手工审计无法替代的计算机审计;三是针对审计对象计算机系统开展的,以检查计算机系统是否存在漏洞,计算机系统提供的审计所需电子数据是否真实、准确、完整为目标的计算机系统审计。

我们平时开展的信息化审计基本为计算机审计和计算机辅助审计,很少考虑审计对象用于财务、业务管理和OA办公的计算机系统是否存在违规作弊现象。近年我们在开展信息化审计时发现有些审计对象信息系统存在漏洞、提供的审计数据失真、甚至在信息系统上作弊的现象屡有发生,这种情况不仅使审计风险发生的机率大幅提高,而且成为阻碍信息化审计开展的瓶颈问题。

二、科学选择和合理安排计算机系统审计项目

信息系统审计是技术含量高的信息化审计,审计的主体是审计对象的信息化系统,因此并不是对所有单位都适合开展系统审计,只有科学选择信息系统审计对象才能做到有的放矢,事半功倍。审计对象选择的需考虑:

1.电算化程度高。审计对象采用财务管理软件和业务管理系统开展日常工作,如果审计对象业务规模较小且信息化程度不高,则应考虑采用计算机辅助审计或手工审计完成审计工作。

2.行业代表性强。审计对象在本行业中是龙头单位,具有行业代表性。通过对行业龙头单位的信息化审计,可将审计中整理的过程、积累的经验用于同行业其他项目的审计中,并将审计成果在全行业推广。

3.结果复用度高。审计项目的确定还要充分考虑审计效率、审计成本和审计的周期性。最好选择具有审计周期性的审计对象开展信息系统审计,这样不仅审计成本低、效率高,而且通过逐次审计可大幅度提高审计项目质量。

三、确定计算机系统审计方向目标

信息系统审计是一个通过收集系统审计证据,对信息系统是否能够维护数据资料的完整、安全,使审计对象的各项目标有效地实现,使各种资源得到高效地利用等方面做出判断的过程,应完成以下审计目标:

1、检测审计对象计算机系统有无嵌入式程序和后门程序等主动性作弊程序。包括加载程序、修改系统约束条件、直接操控后台数据库修改数据等主动性违规现象。

2、检测审计对象计算机系统有无约束性错误等被动性系统漏洞。根据各种法律法规和审计对象行业内部规定,整理出系统约束条件针对数据的输入输出和流转过程进行系统测试,以确定是否存在系统漏洞。

3、检测审计对象计算机系统提供的审计所需电子数据是否真实、完整。通常检测系统提供数据是系统审计过渡到计算机审计的主要衔接过程,也是开展其它审计工作的重要基础,这一过程需制定明确的操作标准和步骤,以防范可能产生的审计风险。

四、合理选择计算机系统审计方法

针对信息系统审计的方向和目标,我们摸索出以下审计方法:

1、顺查法。是指审计组在充分理解审计对象业务流程的基础上,按照业务发生的逻辑顺序对比分析数据,同时根据法律法规和行业内部规定制定测试内容,检测系统有无被动性系统漏洞的方法。如我们在对社保局五项基金审计时,整理出社保发放人员首先应是社保参保人员,不是特殊工种社保发放需达到60岁等若干系统测试内容,通过这些测试过程可基本判断出五项基金业务管理信息系统是否存在约束性漏洞,根据这些系统漏洞可进一步发现审计线索。

2、逆查法。所谓逆查法是指通过财务审计发现问题后,按照问题的性质和种类,在系统输入输出的边界上设计测试用例,检测系统有无加载嵌入式程序和直接修改后台数据库数据等主动性违规作弊现象。如我们开展的公积金审计中,通过对主贷和辅贷的身份证号码进行检索,审计组发现贷款数据中包含夫妻双方同时使用公积金贷款的记录,根据公积金管理的相关规定属于违规贷款。针对这种情况审计组对夫妻同时贷款的业务进行系统测试,结果表明系统存在审核约束,此类贷款业务无法通过公积金贷款管理系统审核,由此推断审计对象可能在计算机系统上作弊,经进一步核实,审计对象的信息系统管理人员承认在有相关领导签批的情况下,通过修改系统约束数据库然后复原的方式对夫妻同时贷款、提前还贷、延期还贷等多种违规贷款业务进行了信息系统违规办理。

3、核对法。核对法是指审计组对采集到的资料与审计对象的真实资料进行核对的方法,包括理解业务与实际业务的核对、电子数据与纸质数据的核对、输入数据与输出数据的核对。根据重要性水平和审计组实际情况,选择面谈法、全部核对法或抽样核对法,检测审计对象提供资料是否真实、完整、准确。如我们开展的广电局信息系统审计,由于审计组采集的电子数据量大,面对这些数据,首先审计组采取与广电局相关人员面谈并到一线参观等多种方式,将审计组的理解业务与广电局的实际业务进行核对;其次审计组采用全部核对法将业务数据汇总数与广电局各部门提供的相关数据进行核对;最后审计组采用抽样核对法在广电局各部门中选取抽样数据测试系统,核对输入输出数据。通过层层核对,审计组最终确认广电局提供的资料真实、完整。

五、开展计算机系统审计的法规依据探讨

根据《审计法实施条例》第四章第三十条“审计机关有权检查被审计单位运用电子计算机管理财政收支、财务收支的财务会计核算系统。被审计单位应当向审计机关提供运用电子计算机……”条例明确规定审计机关有权对被审计单位开展计算机系统审计。但关于计算机系统审计的标准、步骤、实施细则及处罚依据条例和中办的88号文并没有详细说明。另外信息系统审计属新生审计方式方法,许多审计标准和细节还需在实践探索中摸索磨合,诸如系统作弊的认定和取证过程也需要进一步明确和规范。

信息系统审计结果如何处理是系统审计的核心和关键问题,目前还没有相关法律法规对系统审计结果处理有明确规定。笔者认为,虽然没有对系统审计的直接相关规定,但可依据《审计法实施条例》变通参照,条例第三十二条规定:“审计机关有根据认为被审计单位可能转移、隐匿、篡改、毁弃会计凭证、会计账簿、会计报表以及其他与财政收支或者财务收支有关的资料的……”如果审计对象在计算机系统上作弊,我们可认定其篡改与财务收支有关的资料或认为其提供虚假财务信息。如果审计对象拒绝整改和配合,可按条例第四十九条比照执行。

信息系统审计经验交流第3篇

今年6月,根据省审计厅的统一部署,县审计局首次针对职工养老保险业务系统开展了信息系统应用控制专项审计,取得良好效果。

一、方法创新多。一是运用顺查法提高效率。审计人员改变以往从数据发现问题倒推到程序问题的做法,通过顺查法,利用测试账号模拟业务操作流程,将存在缺陷和漏洞的关键控制点,作为计算机辅助审计的重点,实现有的放矢,大大提高了审计效率。二是多种方法结合提升审计手段。除了访谈法、观察法、平行模拟法、程序运行结果检查法等方法以外,还结合了测试数据法、综合测试法、代码检查法等,实现了审计手段的提升。三是实现了对代码检查法的熟练运用。本次审计通过顺查法和综合测试法进行穿行测试发现系统存在的缺陷,再从代码找原因,不仅发现了系统出错的根本原因,而且节省了审计时间。

二是发现问题多。通过对养老申报征缴模块、业务审核模块等进行穿行测试,发现了如业务审核控制存在漏洞,未要求经办和审核职权分离,控制风险大;对退休待遇支付控制弱化,支付过程未要求加密,人为操作恶意篡改可能性大;事业和企业模块未实现共享,系统间多次转移易造成个人账户金额虚增;系统对一人多账户控制不严,存在重复参保、重复缴费等问题;个体职业者缴费基数上下限控制存在缺陷,手工输入导致少收养老金;系统在每月发放退休金(供养金)时对未成年供养人员已成年未设置预警和提示,造成多付供养金等八项系统控制缺陷和存在的问题,为被审计单位加强业务系统管理提出了改进的意见和建议。

三是涉及方面多。以往审计由于过多关注一般控制审计中的系统安全性,发现的多是一些数据库系统存在的漏洞和缺陷,而非业务系统的问题,对被审计单位来说无关痛痒。本次审计不仅关注信息系统一般控制安全性,而且重点关注了业务系统应用控制的有效性和可靠性,除了通过逆查法利用计算机审计从产生问题的结果反映到系统问题以外,审计人员以顺查法为主,直接通过设立测试账号、模拟业务流程等对业务系统的征缴、审核、计发、管理等模块和流程进行了全方位的审计,对业务系统存在缺陷和漏洞的关键控制点,通过编写计算机语句,审查因系统漏洞产生的违规结果,真正实现了数据和系统的穿行计算机审计,为今后进行全方位的信息系统审计提供了宝贵的经验。