审计信息管理系统设计(精选9篇)
1.审计信息管理系统设计 篇一
信息系统审计
电子计算机在数据处理的发展过程可分为三个阶段:数据的单项处理阶段、数据的综合处理阶段、数据的系统处理阶段。
数据处理电算化以后,对传统的审计产生了巨大的影响,主要表现在:
1、对审计线索的影响~~~~
2、对审计方法和技术的影响~~~~~~
3、对审计人员的影响~~~~~
4、对审计准则的影响~~~~~~ 信息系统审计的定义:信息系统审计是根据公认的标准和指导规范,对信息系统从规划、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整性、有效性、效率性、安全性等进行检测、评估和控制的过程,以确认预订的业务目标得以实现,并提出一系列改进建议的管理活动。
信息系统的主体:有胜任能力的信息系统独立审计机构或人员 信息系统审计的对象:被审计的信息系统
信息系统审计工作的核心:客观地收集和评估证据
信息系统审计的目的是评估并提供反馈、保证及建议。关注之处被分为三类:可用性、保密性、完整性。
信息系统审计的特点:审计范围的广泛性、审计线索的隐蔽性、易逝性、审计取证的动态性、审计技术的复杂性。(真是为一道简答题。在P6,详细看一下各段内容,概括下再答题)信息系统审计目标:
1、保护资产的完整性
2、保证数据的准确性
3、提高系统的有效性
4、提高系统的效率性
5、保证信息系统的合规性与合法性
信息系统的主要内容:内部控制系统审计(分为一般控制系统、应用控制系统,对信息系统的内部控制系统进行审计的目的是在内部控制审计的基础上对信息系统的处理结果进行审计、加强内部控制,完善内部控制系统)系统开发审计(信息系统开发审计是对信息系统开发过程进行的审计,审计目的一是要检查开发的方法、程序是否科学,是否含有恰当的控制;二是要检查开发过程中产生的系统文档资料是否规范。)应用程序审计(审查应用程序有两个目的,意识测试应用控制系统的符合性,二是通过检查程序运算和逻辑的正确性达到实质性测试目的)数据文件审计(审计目的一是对数据文件进行实质性测试,二是通过数据文件的审计,测试一般控制或应用控制的符合性,但主要是为了实质性测试)(这是道简答题,在P8各个小概括下)
信息系统审计的基本方法:绕过信息系统审计、通过信息系统审计 信息系统审计的步骤(大题P11):
准备阶段:明确审计任务,组成信息系统审计小组,了解被审计系统的基本情况,指定信息系统审计方案,发出审计通知书 实施阶段:对被审计系统的内部控制制度进行健全性调查和符合性测试,对账表单证或数据文件的实质性审查
终结阶段:整理归纳审计资料,撰写审计报告,发出审计结论和决定,审计资料的归档和管理
国际信息系统审计准则:由信息系统审计与控制协会(ISACA)颁布和实施的。ISACA是国际上唯一的信息系统审计专业组织,通过制定和颁布信息系统审计标准、指南和程序来规范审计师的工作,它由三个层次构成: 审计标准(审计标准是整个信息系统准则体系的总纲,是制定审计指南和作业程序的基础和依据)审计指南(审计指南为审计标准的应用提供了指引,信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求,在应用过程中灵活运用专业判断并纠正任何偏离准则的行为)
作业程序(作业程序提供了信息系统审计师在审计过程中可能遇到的审计程序的示例)信息系统审计师应具备的素质(大题P18-19)
应具备的理论知识:传统审计理论、信息系统管理理论、计算机科学、行为科学理论
应具有的实践技能:参加过不同类别的工作培训、参与专业的机构或厂商组织的研讨会,动态掌握信息技术的新发展对审计实践的影响、具有理解信息处理活动的各种技术、理解并熟悉操作环境,评估内部控制的有效性、理解现有与未来系统的技术复杂性,以及它们对各级操作与决策的影响、能使用技术的方法去识别系统的完整性、要参与评估与使用信息技术相关的有效性、效率、风险等、能够提供审计集成服务并为审计员工提供指导,与财务审计师一起对公司财务状况做出说明、具备系统开发方法论、安全控制设计、实施后评估等、掌握网络相关的安全实践、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。IT治理定义:德勒定义:IT治理是一个含义广泛的概念,包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,IT相关风险的适当管理。
IT治理必须与企业战略目标一致,IT对于企业非常关键,也是战略规划的组成,影响战略竞争;IT治理和其他治理主体一样,是管理执行人员和利益相关者的责任(以董事会为代表);IT治理保护利益相关者的权益,使风险透明化,指导和控制IT投资、机遇、利益、风险;IT治理包括管理层、组织结构、过程,以确保IT维护和拓展组织战略目标;应该合理利用企业的信息资源,有效的集成与协调;确保IT及时按照目标交付,有合适的功能和期望的收益,是一个一致性和价值传递的基本构建模块,有明确的期望值和衡量手段;引导IT战略平衡系统的投资,支持企业,变革企业,或者创建一个信息基础架构,保证业务增长,并在一个新的领域竞争。
IT治理和IT管理的关系:IT管理是在既定的IT治理模式下,管理层为实现公司的目标二采取的行动,IT治理规定了整个企业IT运作的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司,即使有很好的IT管理体系,就想一座地基不牢固的大厦;同时,没有公司IT管理体系的流畅,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
公司治理和IT治理:公司治理,驱动和调整IT治理。同时,IT能够提供关键的输入,形成战略计划的一个重要组成部分,即IT影响企业的战略竞争机遇。IT治理标准:ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型:不存在、初始级、可重复级、已定义级、已管理级、已优化级(主要内容及其作用在P47-48)
信息系统内部控制:是一个单位在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊、确保信息系统提供信息的真实、合法、完整,而制定和实施的一系列政策与程序措施。凡是与信息系统的建立、运作维护、管理和业务处理有关的部门、人员和活动,都属于信息系统内部控制的对象,可分为一般控制和应用控制。
信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制,其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。
信息系统应用控制是用于对具体应用系统的控制,一个应用系统一般由多个相关计算机程序组成,有些应用系统可能是复杂的综合系统,牵涉到多个计算机程序和组织单元,与此相对应,应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。良好的一般控制是应用控制的基础,可以为应用控制的有效性提供有力的保障,某些应用控制的有效性取决于计算机整体环境控制的有效性。当计算机整体环境控制薄弱时,应用控制就无法真正提供合理保障。如果一般控制审计结果很差,应用控制审计结果很差,应用控制审计就没有进行的必要。
审计逻辑访问安全策略:知所必需原则
审查离职员工的访问控制:请辞、聘用合同期满和非自愿离职 数据库加密:一般采用公开密钥加密方法 系统访问控制及其审计:系统访问就是利用计算机资源达到一定目的的能力,对计算机化的信息资源的访问可以基于逻辑方式,也可以基于物理方式。物理访问控制可以限制人员进出敏感区域。对计算机信息的物理访问与逻辑访问应当建立在“知所必需”的基础上,按照最小授权原则和职责分离原则来分配系统访问权限,并把这些访问规则与访问授权通过正式书面文件记录下来,作为信息安全的重要文件加以妥善管理。身份识别与验证(简答题P65-66):逻辑访问控制中的身份识别与验证是一种提供用户身份证明的过程,在这个过程中,用户向系统提交有效的身份证明,系统验证这个身份证明后向用户授予访问系统的能力。可分为三类:“只有你知道的事情”“只有你拥有的东西”“只有你具有的特征” 例子:账号与口令、令牌设备、生物测定技术与行为测定技术。逻辑访问授权:一般情况下逻辑访问控制基于最小授权原则,支队因工作需要访问信息系统的人员进行必要的授权。当用户在组织变换工作角色时,在赋予他们新访问权限时,一般没有及时取消旧的访问权限,这就会产生访问控制上的风险。所以当员工职位有变动时,信息系统审计师就要及时审核访问控制列表是否做了有效变更。灾难恢复控制及其审计:信息系统的灾难恢复和业务持续计划是组织中总的业务持续计划和灾难恢复计划的重要组成部分。恢复策略与恢复类型:热站、温站、冷站、冗余信息处理设施、移动站点、组织间互惠协议。BCP中多个计划文件:业务持续性计划(BCP)、业务恢复计划(BRP)、连续作业计划(COOP)连续支持计划、IT应急计划、危机通信计划、事件响应事件、灾难恢复计划(DRP)、场所紧急计划(OEP)
异地备份:完全备份、增量备份、差分备份
灾难恢复与业务持续计划的审计:主要任务是理解与评价组织的业务连续性策略,及其组织业务目标的符合性;参考相应的标准和法律法规,评估该计划的充分性和时效性;审核信息系统及终端用户对计划所做的测试的结果,验证计划的有效性;审核异地存储设施机器内容、安全和环境控制,以评估异地存储站点的适当性;通过审核应急措施、员工培训、测试结果,评估信息系统及其终端用户在紧急情况下的有效反应能力;确认组织对业务持续性计划的维护措施存在并有效。
应用控制概念:应用控制是为适应各种数据处理的特殊控制要求,保证数据处理完整、准确地完成而建立的内部控制。应用控制涉及各种类型的业务,每种业务及其数据处理尤其特殊流程的要求,这决定了具体的应用控制的设计需结合具体的业务。单另一方面。由于数据处理过程一般都是由输入、处理和输出三个阶段构成,从这一共性出发,可将应用控制划分为输入控制、处理控制和输出控制。应用控制也是由手工控制和程序化控制构成,但以程序化控制为主。
软件维护的种类:纠错行为化、适应性维护、完善性维护、预防性维护 服务管理:面向IT基础设施管理的服务支持、面向业务管理的服务提供
IT服务提供流程主要面对付费的机构和个人客户,负责为客户提供高质量、低成本的IT服务。任务:根据组织的业务需求,对服务能力、持续性、可用性等服务级别目标进行规划和设计,同时还必须考虑到这些服务目标所需要耗费的成本。主要包括服务水平管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。
IT服务的服务支持主要面向终端用户,负责确保IT服务的稳定性与灵活性,用于确保终端用户得到适当的服务,以支持组织的业务功能。服务支持流程包括体现服务接触和沟通的服务台职能和5个运作层次的流程,即配置管理、事务管理、问题管理、变更管理、发布管理。应用程序审计的内容:
审查程序控制是否健全有效:程序中输入控制的审计、程序中处理控制的审计、程序中输出控制的审计。
审查程序的合法性P168 简单论述
审查程序编码的正确性:目标和任务不明确、系统设计差错、程序设计说明书错误、程序语法或逻辑错误
审查程序的有效性:在具体编写程序前应简化算术表达式及逻辑表达式、细心的分析多层嵌套循环,以确定能否把一些语句或表达式转移到循环体制外、尽量避免采用多维数组、尽量避免采用指针及复杂的表、采用“快”的算法;不要把不同的数据类型混在一起;只要可能就采用整形数的算法运算和布尔表达式。应用程序审计方法:对应用程序进行审计,往往是计算机辅助审计方法与手工审计方法的结合。
检测数据法:是指审计人员把一批预先设计好的监测数据,利用被审程序加以处理,并把处理的结果与预期的结果作比较,以确定被审程序的控制与处理功能是否恰当、有效的一种方法。
平行模拟法:是指审计人员自己或请计算机专业人员编写的具有和被审计程序相同处理和控制的模拟程序,用这种程序处理当期的实际数据,并以处理的结果与被审计程序的处理结果进行比较,以评价被审程序的处理和控制功能是否可靠的一种方法 嵌入审计程序法:是指被审计信息系统的设计和开发阶段,在被审的应用程序中嵌入为执行特定的审计功能而设计的程序段,这些程序段可以用来收集审计人员感兴趣的资料,并且建立一个审计控制文件,用来存储这些资料,审计人员通过这些资料的审核来确定被审程序的处理和控制功能的可靠性。
程序追踪法:是一种对给定的业务,跟踪被审程序处理步骤的审查技术。一般可由追踪软件来完成,也可利用某些高级语言或数据库管理系统中的跟踪指令被审查程序的处理。
2.审计信息管理系统设计 篇二
在基本建设项目审计信息系统的总体设计阶段, 设计人员依照分析人员在与审计人员交流后形成的需求分析结果, 完成对系统的功能设计、运行环境设计、技术架构设计和数据库设计等项工作。具体内容包括:通过对该系统业务逻辑的理解, 设计出系统的总体结构, 进而自顶向下, 逐层深入, 将系统划分为若干个功能模块[2]。通过对审计现场实际环境的了解, 设计方便适用的网络环境、WEB应用服务器、数据库服务器、客户端等;按照系统的性能需要, 将该系统分为表现层、服务层、业务逻辑层、数据访问层等四个层次, 为系统实现阶段的开发工作打下基础;从概念模型出发, 对数据库系统实施建模, 最终形成能够满足基本建设项目审计实际需要的数据表结构。下面, 从这四个方面内容对系统总体设计进行讨论。
二、功能设计
1. 功能边界划分
根据用户需求说明中的描述, 依照审计项目组在审计前期准备和审计实施阶段开展审计工作的实际状况, 整个系统总体分为三大部分:系统管理、项目管理、数据管理。而三大部分的组建和实施又分为两个阶段:审前准备和审计实施。在一般情况下, 审前准备阶段包括了项目管理和系统管理;审计实施阶段包括了项目管理和数据管理两个部分。按照顺序依次要做的工作为:系统管理的组建, 到项目管理的组建, 再到数据管理的组建。其中项目管理是作为审计系统准备和实施两个阶段的连接纽带, 就像一座桥梁, 是整个审计系统构成的关键所在。
整个审计系统在以上三大组成部分和两大实施阶段的模块划分的基础上, 又可以进一步的细化为:
一、系统管理的划分:部门管理、用户管理、角色管理、权限管理、基础数据管理、国标定额管理, 日志管理等功能;
系统管理中的各个模块中, 国家定额管理可以整合进基础数据管理当中, 其余几大模块均为独立运行完成各自工作。其中角色管理细化分为系统角色管理和项目角色管理;日志管理细化为应用日志、系统日志和日志设置。
二、项目管理的划分:项目信息维护、项目人员管理等功能;
三、数据管理的划分:数据采集、数据分析、数据查询等功能。
其中, 数据采集是数据分析和数据查询的基础和联系纽带, 细化分为模版下载、数据导入、数据展示三个部分。数据采集也是数据管理中的重点和基础。数据分析分为审计对比分析、疑点解释汇总、对比分析结果三部分。数据查询分为SQL查询器、查询与导出两部分。数据分析和数据查询将共享数据采集模块所收集到的数据。
以上就是审计系统三大组成模块的大概细化构成。
2. 数据流图
根据用户需求说明中的描述, 该系统的主要数据对象包括:系统管理员设置的角色、用户和权限信息, 普通用户填写的专家经验、国标与地方定额信息, 项目管理员编辑的项目基本信息、审计人员采集到的被审计单位基本建设项目业务信息系统后台数据库中的数据等。下面, 我们从数据输入、传递、处理、存储等方面, 综合反映该系统所必须完成的业务逻辑, 生成该系统的数据流图, 如图2.2所示:
3. 功能结构
按照功能边界划分和业务逻辑的要求, 基本建设项目的审计信息系统中各个模块之间的关系和实现的功能可以这样划分:
一、审计实施:
1、项目管理: (1) 项目信息维护; (2) 项目人员管理。
2、数据采集: (1) 数据导入; (2) 模版下载; (3) 数据展示。
3、数据分析: (1) 审计对比分析; (2) 疑点解释服务。
4、数据查询: (1) SQL查询器; (2) 简单查询 (单表查询与导出、模型查询与导出、国标定额查询) 。
二、审计前期准备:
1、项目管理:项目信息维护。
2、系统管理: (1) 角色管理 (系统角色管理、项目角色管理) ; (2) 部门管理; (3) 用户管理; (4) 基础数据管理 (项目类型、行业地区、国标定额模版下载、国标定额导入) ; (5) 专家经验管理; (6) 日志管理 (应用日志、系统日志、日志设置) 。
这样, 对于整个审计系统中各个模块之间的关系和实现的功能就可以一目了然了。
三、运行环境设计
本文所涉及系统的主要使用对象是审计项目组, 他们的工作方式主要是下户审计, 这种灵活机动的工作方式需要审计人员在被审计单位现场临时的INTRANET网络来开展工作, 该系统的运行环境设计是针对该系统运行过程中所需要的网络环境、数据库服务器、WEB服务器和客户端所进行的。
1、网络环境
首先必须提供不低于100M宽带速度的小型局域办公网络环境。整个网络环境数据由路由器、WEB应用服务器、数据库服务器、客户端的若干台审计人员的电脑组成。路由器作为该网络环境的枢纽, 应使用具有无线功能的路由器, 然后使用不低于100M网线分别将WEB应用服务器、数据库服务器与路由器进行连接, 客户端的审计人员则使用带有无线网卡的电脑与路由器连接, 这样, 就形成了整个畅通无阻的网络环境。
2、数据库服务器
数据库服务器主要用于数据存储, 其软硬件环境如下:
(1) 软件环境:
>操作系统选择Windows 2003简体中文版
>数据库选择MS SQL Server 2008或以上版本
(2) 硬件环境
>2*1.5 GHz 32-bit或64-bit处理器
>4 GB系统内存
>100 GB硬盘分区
3. Web应用服务器
Web应用服务器主要用于数据计算, 其软硬件环境如下:
(1) 软件环境:
>操作系统选择Windows 2003简体中文版
>要求安装IIS6.0或以上
>要求安装framework3.5 SP1框架
>要求安装Ms Chart
>数据库选择MS SQL Server 2008或以上版本
(2) 硬件环境
>2*1.5 GHz 32-bit或64-bit处理器
>2 GB系统内存
>40 GB硬盘分区
4.客户端
客户端主要用于审计人员现场办公, 其软硬件环境如下:
(1) 软件环境:
>操作系统选择Windows XP简体中文版
>安装IE8或以上
>安装Office 2003
(2) 硬件环境
>1 GHz 32-bit或64-bit处理器
>1 GB系统内存
>20 GB硬盘分区
>显示器分辨率在1024X768像素及以上
四、技术架构设计
为了更好适应审计人员不断变化的需求, 保证系统的扩展性、易用性、安全性和稳定性, 该系统的系统架构采用B/S架构, 技术架构采用主流的MVC设计模式和.NET分层架构, 将系统划分为表现层、服务层、业务逻辑层和数据访问层, 实现系统各个层次代码的有效封装、运行管理和安全通信。其中, 表现层包括UI组件和UI处理组件, 用于为用户提供操作界面;服务层充当表现层与业务逻辑层之间的服务接口;业务逻辑层包含业务工作流、业务组件与业务实体等各种类文件;数据访问层包括数据访问组件和服务代理, 数据访问组件用于与数据库、XML文件等数据源发生交互, 服务代理用于访问各种WEB Service。最终, 我们制定出该系统的技术架构:在保证系统安全性、正常管理和数据交换的通畅前提下, 表现层 (包括UI组件和UI处理组件) 完成与客户端的数据交换、处理;数据访问层 (包括数据访问组件和服务代理) 完成与数据源、各个WEB服务器之间的数据交换、处理工作;业务逻辑层 (包含业务工作流、业务组件与业务实体等各种类文件) 作为纽带则在表现层和数据访问层之间做出协调、数据分析、整合等工作。
五、数据库设计
1. 概念结构设计的作用
在充分了解审计业务需求的基础上, 我们将这些需求抽象为较稳定的信息结构, 从审计业务中逐一抽象出各种实体、实体属性和关系。同时, 绘制出E-R (实体-关系) 模型, 用于描述基本建设项目审计业务的整体结构。本文所涉及系统使用了形象的图标和语言进行描述, 现仅以生成“工程量清单与工程计量对比分析模型”有关部分为例, 描述该系统的E-R (实体-关系) 模型, 该模型的作用, 是给审计业务的概念模型顺利转变关系模型打下良好坚实的基础。
2. 逻辑结构设计
在概念结构设计的基础上, 将审计业务的概念模型转换为关系模型, 以SQL Server 2008数据库的DBMS所支持的数据模型为目标, 进行数据库逻辑结构设计[30]。经过对数据模型的不断优化, 最终形成符合3NF要求的关系型数据库模型[31].
3. 物理结构设计
在确定关系型数据库模型的基础上, 按照审计现场数据库服务器的配置要求, 确定数据库的存储结构和存取方法, 并且评价该物理结构的时间和空间上的效率, 以满足审计业务的实际需要。进行数据库逻辑结构设计后, 选择适当配置的服务器, 建立该系统的数据, 所需要的数据一般可分为十一个部分, 分别为:
(1) T_STAFF (项目人员表) ;
(2) T_PROFESSIONALEXPERIENCE (专家经验表) ;
(3) T_EXPERIENCE_MODEL (专家经验与对比分析模型关系表)
(4) T_PROJECT (项目表) ;
(5) T_CONTRACT (合同数据表) ;
(6) T_LISTOFQUANTITIES (工程量清单表) ;
(7) T_ENGINEERINGMEASUREMENT (工程计量数据表) ;
(8) T_ANALYSEMODEL (分析模型表) ;
(9) T_ANALYSEPROJECTLISTMeasurement (工程量清单与计量对比分析模型表) ;
(10) T_DOUBTEXPLAINS (疑点解释表) ;
(11) T_ANALYSERESULT (审计分析结果表) ;
3.浅议信息系统审计 篇三
众所周知,审计质量是评价审计工作水平高低的标准,是会计师事务所的生命。审计质量的高低直接影响审计目标的实现,对社会经济的发展与稳定产生着直接或间接的影响。由于早期计算机应用比较简单,计算机审计业务主要关注被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计;随着信息时代的到来,网络的普及及计算机信息系统的建立为信息系统审计带来了前所未有的机遇和挑战。
一、计算机信息系统环境下对审计质量的影响
(一)审计线索的减少
审计线索,亦称“审计轨迹”,在计算机信息系统环境下,会计核算主要由计算机完成,计算机只记录最后处理结果,忽略中间处理过程,数据形成依据的记录减少。储存于磁性介质上的会计数据具有存取方便、修改与删除不留痕迹的特点,这又给审计的追踪带来重重困难。因此,计算机信息系统环境下审计线索的减少和追踪困难的增加,必定给审计质量带来重大影响。
(二)审计对象的限制
审计对象是审计监督、检查和评价的客体,具体体现为被审计单位的各项经济活动及其反映的资料。在计算机信息系统环境下,注册会计师进行审计的依据是计算机的输出信息,审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息,其他敏感性信息则极有可能被人为掩藏。这样,注册会计师处于被动地位,难以获取充足的审计证据支持其审计结论,审计质量显然要受到影响。
(三)审计内容的扩展
手工系统中,审计内容就是有关财务会计的信息,而计算机环境下的审计内容还包括会计电算化系统的开发与设计、会计软件的程序以及数据库管理系统。此外,注册会计师还应该确定系统的开发与设计方法是否合理,是否严格按照分析、设计,测试、运行、维护的步骤进行,分析是否全面、设计是否恰当、测试是否充分,会计软件执行程序是否与实际操作中的业务流程一致,数据库管理系统是否有效,会计软件是否能够予以信赖,并以会计软件处理输出的结果作为审计对象。
(四)审计方法的落后
目前,被审计单位的财务工作多采用计算机进行数据处理,会计电算化软件功能日臻完善,但是审计软件的发展远远没有跟上会计软件发展的步伐,同时大部分注册会计师对计算机信息系统还不太熟悉,绝大多数审计业务仍停留在绕过计算机进行审计的阶段。但是这种方法的运用以系统必须留有足够的、肉眼可以识别的审计线索为条件,如前文所述,审计线索缺乏是计算机环境的一个特点,因此,绕过计算机审计的方法难以保证计算机环境下的审计质量。
(五)注册会计师计算机知识的缺乏
在计算机环境下,从审计计划的制定到审计程序的确定,从审计技术的选择到审计方法的采用,都必须由注册会计师操作和指挥。这要求注册会计师不仅要有丰富的会计、财务、审计知识和技能,熟悉财经法律以及其他的审计依据,而且还应当掌握计算机知识及应用技术,掌握数据处理和管理技术;不仅要懂得审计软件的操作方法,而且还应当根据审计过程中所出现的种种问题,即时编写出各种测试、审计程序模块。
二、计算机信息系统环境下提高审计质量的对策
为了提高在计算机信息系统环境下的审计质量,在财务审计中,变绕过计算机审计为穿过计算机审计,对计算机内部数据处理的详细过程直接进行审查。内容包括以下几个方面。
(一)积极开展计算机信息系统的事前审计
通过事前审计监督,对计算机信息系统建立的内部控制的严密完善性、系统的合规合法性以及系统的可审性等进行评价,保证计算机信息系统运行以后数据处理结果的真实性和正确性,防止和减少计算机信息系统信息失真风险的发生。
(二)定期对被审系统的内部控制制度进行审计
对计算机信息系统的内部控制进行审查和评价是提高计算机信息系统环境下审计质量的有效措施之一。通过对被审计系统内部控制制度的健全性调查和实际执行情况的符合性测试,找出控制的弱点,提出强化内部控制措施,督促被审计单位完善内部控制系统。
(三)重视计算机信息系统的事后审计
通过事后审计,对计算机信息系统的电子账以及打印输出资料的真实性、合法性进行评价,防止和揭露计算机信息失真的风险。
通过以上分析,在计算机信息系统环境下审计的业务范围已经扩展到了符合性测试领域。为财务报表审计提供服务只是信息系统审计业务内容很小的一部分,与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务在不断涌现。
三、加快发展信息系统审计
信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中,传统审计服务的收入比例在迅速下降,风险控制服务和管理咨询服务收入的比重大大提高,而这些收入中增长的部分往往又和IT环境审计和信息系统安全审计服务有关。所以,应该从三个方面发展信息系统审计工作。
(一)内部控制环节的变化,使许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础
计算机信息系统下的内部控制虽然与手工会计系统的目标是一致的,但是与手工会计系统相比,由于计算机有自动处理的功能,内部处理的不可控制性要求采用更为严格的方法。所以在控制方式、内容、手段等方面均不同于手工会计系统的内部控制。
1.职权制审查:即从组织机构角度审查信息系统中各种人员的职责与权利、联系与牵制。
2.人员素质审查:即是否有以提高人员素质为目的的控制措施。
3.硬件及环境审查:即对存档的系统设计文本中有关硬件的资料审查。
4.运行审查:即对计算机在输入、处理、输出过程中的运行情况审查。
5.修改方式及保密措施审查:审查操作修改程序是否只有一个入口,即凭证输入口;发现错误是否采用重新输入凭证的方式加以修改;是否修改后有修改痕迹;各主要功能模块是否设置操作口令,程序是否建立保密制度。
(二)控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点
由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,企业信息系统安全性导致的信息风险也日益增长。非授权用户常常利用信息系统本身存在的脆弱性对系统进行非法访问,这种非法访问使系统中储存信息的完整性受到威胁,使信息被修改或破坏而不能继续使用,更为严重的是系统中有价值的信息被非法篡改、伪造、窃取或删改而不留任何痕迹。此外,计算机还容易受各种自然灾害和各种误操作的破坏。必须认识到信息系统的这种脆弱性,采取有效措施来保证信息系统的安全。
减少被审计单位的信息风险、提高信息系统的安全性,其中最重要的手段是系统开发审计。在信息系统开发过程中控制信息系统中的不安全因素,使信息系统减少有意的或无意的差错。目前,我国大多数企业正处于信息系统的应用及逐步完善阶段,系统开发审计应该是我国信息系统审计师的主要业务范围。
4.审计管理信息系统论文 篇四
经管系审计学 梅卉美 080303016
当今,在竞争激烈的环境中,信息已成为现代生产体统中,最重要的投入。我们知道,信息系统是一个人造系统,它由人、硬件、软件和数据资源组成,目的是及时、正确地收集、加工、存储、传递和提供信息,实现组织中各项活动的管理、调节和控制。由此管理人员和决策者所面临的问题是如何把信息看做是一种有价值的基础性资源,认识信息在物质社会中的先导作用。这样便有了管理信息系统。管理信息系统是一个由人、计算机等组成的能进行管理信息收集、传递、储存、加工、维护和使用的系统。管理信息系统能实测企业的各种运行情况,利用过去的数据预测未来,从全局出发辅助企业进行决策,利用信息控制企业的行为,帮助企业实现其规划目标。建立管理信息系统是完成这个使命的重要途径,也是实现管理现代化的重要步骤,它已成为经营管理和决策部门的客观需要,也是一种基础性建设。
随着计算机技术和信息技术的发展,审计管理的信息化成为审计工作发展的趋势和目标我们知道,由此,我们便将管理信息系统深入到审计这个领域上来,借此发挥管理信息系统在审计方面的作用。比如已经成功的案例——金审工程。
金审工程的主要目标是建成对财政、银行、税务、海关等部门和重点国有企业事业单位的财务信息系统及相关电子数据进行密切跟
踪,对财政收支或者财务收支的真实、合法和效益实施有效监督的信息化系统,建立起一个适应信息化的崭新审计模式——“预算跟踪 + 联网核查”。它的核心业务包括审计实施系统:审计导向系统、信息采集系统、数据分析系统、抽样统计系统、专业审计系统、审计处理系统联网审计系统:财政联网审计系统、金融联网审计系统、企业联网审计系统、其他联网审计系统(社保、国家重点建设项目单位等)业务办公系统:业务管理系统、日常办公系统、审计决策系统信息资源系统。
金审工程给我国审计管理信息系统做出了典范。但是我们也必须认识到我国的审计管理信息系统的工作目前还处于探索阶段,还没有形成一套成形的专业规范,也没有形成一支能够全面开展管理信息系统在审计业务上的人才队伍。目前我国会计审计界所进行的一些计算机审计的探索和尝试以及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。无论是国际上大型的跨国公司还是国内一些规模较大的企业都在不断地扩大信息技术在其经营活动和会计领域应用范围,运用传统的会计审计知识已经不能对这样的客户进行风险评估、内控测试与评价,从而无法进行真正意义上的“风险基础模式”的审计业务,进而也影响到我国会计师行业审计业务的质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。因此,有必要解决审计管理信息系统现阶段的这些问题。
我认为,首先,审计信息化管理的思路,应该以实现内部审计全面信息化为目标,只有输入的审计数据十分可靠,才能获得有用的审计管理信息。这是需要解决的最基础的问题。再者,要发掘人才。21世纪,什么最贵,人才最贵。培养新一代的审计管理信息系统的工作人员,培养他们运用这项技术的能力,成为解决问题的战略性方法。最后,要依托集团局域网和外部互联网并达到远程审计和实时监控的目的,以此提高审计质量和效率。
我们之所以研究一个事物,是基于它于我们的重要性的。审计管理信息系统也不例外。审计管理信息系统可以帮助审计部门更好地履行内部审计职能,规范审计操作流程,在实施审计项目、进行审计管理的过程中,获取和记录有关审计业务操作与管理的各类信息,并根据需要对信息进行深入的加工和利用。审计管理信息系统主要实现审计业务信息的集中管理,为审计项目实施和审计工作流程管理提供工具支持。审计管理信息系统通过建立一套规范、全面的审计业务信息和组织结构体系,以审计底稿和问题台账等审计项目信息为核心,对审计业务操作流程和日常审计管理过程中生成的各类审计业务信息进行统一采集和整合。提供审计机构、审计人员、审计项目、被审计机构和被审计业务领域等不同维度的数据展现、统计、分析和挖掘工具平台。
就我国来说,普及审计管理信息系统具有许多重要意义。审计管理信息系统有利于维护信息时代的市场经济秩序。信息时代竞争的加剧,信息流的电子传播方式等,使市场对及时和相关信息的需求越来
越多,现有财务报告模式的局限性性日渐突出。现有财务报告是以历史成本为计量基础的、周期性的向利益相关者报告。这些报表往往要在事实发生30天或是更长的时间后才能发布给报表使用者,因此要用这些财务报表来作“实时决策”是不可能的。对投资者、分析者和监管者而言,这些报表不过是企业某个时点的“快照”而非持续性报告。今天的利益相关者要求“即需即取”的、格式化的数据来帮助他们更好的进行投资决策。商业信息的在线和实时披露是不可扭转的必然趋势。信息时代的财务报告模式将会是是以企业的业绩评估为基础,在线的、实时的信息披露。在新经济环境中,信息系统审计师应能够以在线、实时的信息为基础提供鉴证,通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。提供实时报告鉴证对保护公众利益和保护资本市场的有序发展是非常有意义的。
5.2信息安全检查与审计管理制度 篇五
信息安全检查与审计管理制度
第一章 总则
第一条 为了加强xxxx网络中心(以下简称“网络中心”)信息安全检查与审计工作管理,确保信息安全管理符合国家有关要求,特制订本制度。
第二条 本规定适用于xxxx网络中心。
第二章 安全检查
第三条 信息安全检查包括各业务处室自查和信息安全部门定期执行的安全检查。
第四条 各业务处室的自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况,自查工作应保留自查结果。自查应至少一个季度组织一次。
第五条 信息安全部门执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和业务处室自查结果抽查等。安全检查应至少半年组织一次。
第六条 自查和安全检查均应在检查之前形成检查表,自查检查表应经过业务处室领导审核通过,安全检查表应经过信息安全工作小组审核通过。
第七条 应严格按照检查表实施检查,检查完毕,记录下所有检查结果,检查记录需经各业务处室领导签字认可。
第 1
页 第八条 应对检查记录进行归档,只有授权人员可以访问阅读
第九条 应对检查结果进行汇总分析,形成安全检查报告,检查报告应对问题进行分析,提出解决建议。
第十条 应制定措施防止安全检查结果的非授权散布,只对经过授权的人员通报安全检查结果。
第十一条 各业务处室应阅读并理解安全检查报告,在信息安全处的指导下对出现的问题进行整改。信息安全处应对整改过程进行监督,并将整改结果报送信息安全工作小组。
第三章 安全审计
第十二条 安全审计作为整体审计工作的一个部份,依据审计工作相关管理办法开展安全审计工作。
第十三条 安全审计人员的配备应根据实际情况,采用如下方法的一种,原则上应以审计部门培养自身独立的安全审计人员为主,其他手段为辅。
1、由审计部门独立完成,使用审计部门具备相应技能的人员完成审计工作;
2、由审计部门和信息中心共同完成,信息中心指派熟悉技术的人员配合审计部门完成审计工作,本情形需注意审计独立的原则,进行交叉审计;
3、聘请外部专业审计单位完成审计工作 第十四条 安全审计的内容主要包括:
第 2
页
1、相关法律法规的符合情况;
2、管理部门的相关管理要求的符合情况;
3、现有安全技术措施的有效性;
4、安全配置与安全策略的一致性;
5、安全管理制度的执行情况;
6、安全检查和自查的检查结果及检查报告;
7、日志信息是否完整记录;
8、各类重要记录是否免受损失、破坏或伪造篡改;
9、检查系统是否存在漏洞;
10、检查数据是否具备安全保障措施。
第十五条 安全审计工作应具有独立性,避免有舞弊的情况发生。
第十六条 安全审计的方式分为:
1、全面审计:即审计内容覆盖安全管理范围内的所有部门,以及所有信息安全控制措施要求的检查。
2、专项审计:即审计内容只涉及部分部门,或部分信息安全控制措施要求的检查。
第十七条 无论是采用全面审计还是专项审计方式,安全审计应每一年对所有的部门,以及所有的信息安全控制措施要求至少进行过一次审计。
第十八条 被审计方应积极配合信息安全审计工作,应对审计结果进行确认。
第 3
页 第十九条 安全审计工作中发现的不符合事项应按照审计管理相关制度要求进行改进。审计部门应将改进过程和结果通告给信息安全工作小组。
第四章 附则
第二十条 本制度的解释权归xxxx网络中心。
第二十一条 本制度自发布之日起生效。
第 4
6.审计信息管理系统设计 篇六
工业和信息化部经济责任审计管理暂行办法
(工信部财[2009]532号)
为了进一步加强制度建设,规范经济责任审计工作,根据《中华人民共和国审计法》、《工业和信息化部内部审计工作规定(试行)》,工业和信息化部在国务院法制办《经济责任审计工作条例》(征求意见稿)的基础上,结合工作实际,研究制定了《工业和信息化部经济责任审计管理暂行办法》,现已印发。
工业和信息化部经济责任审计管理暂行办法
第一章 总 则
第一条 为了完善权力制约机制,加强对领导干部的监督和管理,规范经济责任审计工作,根据《 中华人民共和国审计法》以及《工业和信息化部内部审计工作规定(试行)》,制定本办法。
第二条 本办法适用于工业和信息化部所属行政事业单位法定代表人的经济责任审计工作。
第三条 本办法所称经济责任,是指法定代表人因其所任职务而对本单位的财政收支、财务收支、国有资产管理以及有关经济活动应当履行的职责、义务。
第四条 法定代表人离开所任职岗位,应当依法接受经济责任审计。根据工作需要,经济责任审计也可以在法定代表人任职期间进行。
第五条 经济责任审计结果应当作为任免、奖惩被审计法定代表人的依据。
第六条 经济责任审计工作所需的机构、人员、经费应当予以保证,经费列入财务预算。
第二章 组织与管理
第七条 工业和信息化部人事教育司(以下简称人事教育司)负责经济责任审计的组织工作,进行经济责任审计工作的委托。
第八条 工业和信息化部财务司(以下简称财务司)负责经济责任审计的实施工作,根据工作委托,对被审计法定代表人开展经济责任审计。
第九条 部内有关部门根据责任分工,对经济责任审计发现的问题和线索,依法依规进行追究和处理。
第十条 经济责任审计应当有计划地进行。人事教育司、财务司根据工作需要研究确定审计计划。
第三章 内容与要求
第十一条 经济责任审计应当包括以下主要内容:
(一)被审计法定代表人任职期间单位的事业发展和经营发展情况;
(二)有关法律法规和国家政策的执行情况;
(三)财政收支、财务收支以及资产管理情况;
(四)重大经济决策情况;
(五)对外投资的管理和效益情况;
(六)与经济活动相关的内部管理控制情况;
(七)被审计法定代表人遵守有关廉政规定情况;
(八)其他与被审计法定代表人履行经济责任相关的情况。
第十二条 被审计法定代表人以及其所在单位或者原任职单位,应当提供以下资料:
(一)单位的基本情况,包括单位组织结构、资本结构、重要资产产权证明、重要投资合同、贷款合同目录、主管部门有关政策的批准文件等;
(二)单位的管理情况,包括单位内部决策程序以及执行情况、内控制度以及执行情况等;
(三)任职期间单位的财务会计资料、统计资料、单位外部审计报告和管理建议书等;
(四)任职期间单位重大事项,包括重大投资决策、重大诉讼、重大资产损失等;
(五)任职期间单位各工作计划、工作报告和工作总结;
(六)任职期间的决策机构办公会会议纪要以及纪录;
(七)其他经济监督部门对本单位检查后提出的工作报告和处理意见;
(八)其他相关资料。
第十三条 被审计法定代表人以及其所在单位或者原任职单位须对所提供资料的真实性、完整性负责,并签字确认。
第十四条 审计工作需向其他部门或单位调查核实有关情况的,被审计法定代表人以及其所在单位或者原任职单位应当予以协助。
第十五条 经济责任审计结果报告的内容应当包括:
(一)被审计法定代表人以及其所在单位或者原任职单位的基本情况;
(二)审计的依据、方法、内容和范围;
(三)任期期间财政收支、财务收支以及资产管理状况;
(四)对外投资管理以及收益情况;
(五)任期内存在的主要经济问题;
(六)审计评价;
(七)审计意见或建议;
(八)其他需要说明的情况。
第四章 步骤与程序
第十六条 人事教育司依据经济责任审计计划,进行经济责任审计项目委托,明确被审计法定代表人任期经济责任审计的起止时间,原则上审计起止时间不超过五年。
第十七条 财务司接受经济责任审计项目委托后,组成审计组,制定审计方案,确定审计重点,配置审计资源。
第十八条 财务司应当在经济责任审计实施前3个工作日,向被审计法定代表人以及其所在单位或者原任职单位送达审计通知书。遇有特殊情况,可以在召开进点会议时送达。
第十九条 财务司在实施经济责任审计时,应当会同人事教育司组织召开有被审计法定代表人以及有关人员参加的进点会议。被审计法定代表人应当在会议上报告任职期间经济责任的履行情况。
第二十条 审计人员在现场审计过程中,通过审查会计凭证、会计账簿、财务会计报告、有关信息系统以及电子数据,查阅与审计事项有关的文件、资料,检查现金、实物、有价证券,向有关单位和个人调查等方式进行审计,并取得证明材料。
第二十一条 审计人员在经济责任审计过程中,遇有重大问题可以提请被审计单位有关部门协助,有关部门应当及时予以协调解决。
第二十二条 审计人员在经济责任审计过程中,发现被审计法定代表人以及其所在单位或者原任职单位存在严重违反国家法律法规行为的,应当及时向财务司报告。
第二十三条 经济责任现场审计工作完成后,审计组应当及时向财务司提交审计报告。
审计报告报送财务司前应当书面征求被审计法定代表人以及其所在单位或者原任职单位的意见。被审计法定代表人以及其所在单位或者原任职单位应当在收到审计报告初稿后10个工作日内提出书面意见;逾期未提出书面意见的,视为无异议。
审计组应当将审计报告连同被审计法定代表人以及其所在单位或者原任职单位的书面意见一并报送财务司。
第二十四条 财务司在对审计报告、被审计法人代表经济责任履职报告、被审计法定代表人以及其所在单位或者原任职单位对审计报告提出的书面反馈意见进行审议和研究的基础上,向人事教育司提交经济责任审计结果报告,并将报告送被审计法定代表人以及其所在单位或者原任职单位。
被审计法定代表人对审计结果有异议的,可向有关部门申诉。
第五章 审计评价与责任界定
第二十五条 审计评价应当以审计查证或认可的事实、有关法律法规和国家政策、标准等为依据,实事求是,客观公正地对被审计法定代表人任职期间履行经济责任方面的决策能力、管理水平、经营效果,以及遵守法律法规、国家政策情况,作出经济责任审计评价。
第二十六条 责任界定是指依照法律法规和有关规定,对被审计法定代表人任职期间不履行或者不正确履行经济责任的行为应当承担的责任进行界定,包括直接责任、主管责任和领导责任。
第二十七条 本办法所称直接责任,是指法定代表人对其任职期间履行经济责任过程中的下列行为应当承担的责任:(一)直接违反法律法规和国家其他有关规定、单位内部管理规定的行为;
(二)授意、指使、强令、纵容、包庇下属人员违反法律法规和国家其他有关规定、单位内部管理规定的行为;
(三)失职、渎职行为;
(四)其他应当承担直接责任的行为。
第二十八条 本办法所称主管责任,是指除直接责任外,法定代表人对其直接主管的工作不履行或者不正确履行经济责任的行为应当承担的责任。
第二十九条 本办法所称领导责任,是指除直接责任外,法定代表人对其非直接主管的职责范围内的工作不履行或者不正确履行经济责任的行为应当承担的责任。
第六章 附 则
第三十条 审计人员依法独立实施经济责任审计,任何单位和个人不得拒绝、阻碍,不得打击报复。
第三十一条 审计人员对在审计工作中知悉的国家秘密、被审计法定代表人所在单位或者原任职单位的商业秘密和被审计法定代表人的个人隐私,负有保密的义务。
第三十二条 按照干部管理权限,对本办法规定的被审计法定代表人以外的其他负责人的经济责任审计,可由有关部门或者其所任职单位参照本办法的规定组织实施。
第三十三条 部主管的社会团体法定代表人的经济责任审计工作可参照本办法执行。
第三十四条 本办法由财务司和人事教育司依据职责分工负责解释。
第三十五条 本办法自发布之日起施行。
7.审计信息管理系统设计 篇七
1.1内部控制审计
1.1.1内部控制审计定义
内部控制审计是通过对被审计单位的内部控制的审查、分析测试、评价, 确定其可信程度, 从而对内部控制是否有效做出鉴定的一种现代审计方法。
1.1.2内部控制审计的内容
审计其实是对被审计事项合规性的审查, 内部控制审计就是对内部控制五要素的一个审查, 这五要素就是美国COSO委员会提出的《内部控制-整合框架》中的“控制环境、风险评估、控制活动、信息与沟通、监察”。在内部控制审计过程中, 审计师在审计过程中查看被审企业是否对企业的内部环境有着很好的认识, 认识是否中肯, 是否存在夸大或贬低的情况;对企业进行风险评估, 将审计师自己所进行的风险评估与被审单位进行的风险评估进行比对, 查漏补缺。
1.2信息化内部控制审计
信息化内部控制审计与内部控制审计内容、方法其实基本相似, 最大的不同就在于, 信息化内部控制审计考虑了信息环境对内部控制的影响。它的内容更多的是涉及到信息化环境下的内部控制问题, 审计师更多的关注是信息技术在企业中使用的范围, 评价信息技术的使用对企业经营管理过程中可能带来的风险, 评估信息技术对财务报表等等各方面的影响。
2信息系统审计
2.1信息系统审计定义
信息系统审计是一个利用各种手段和工具对企业进行收集和评价审计证据, 并以此来判断其信息系统是否能够保护企业资产的安全、维护企业数据的完整, 能否有效地保证企业目标的实现, 并能使企业资源得到高效地利用等方面做出判断的过程。
2.2信息系统审计的内容
信息系统审计内容通常包括对企业组织层面信息技术控制、信息技术一般性控制、业务流程层面相关应用控制的审计。企业组织层面信息技术的审计要考虑的是信息技术对在内部控制审计所关注的五要素“控制环境、风险评估、控制活动、信息与沟通、监察”的影响, 如在控制环境因素中, 审计师要关注信息技术战略规划与企业发展战略规划的契合度、信息技术治理制度体系的建设以及信息技术部门的组织结构和关系以及信息技术教育和培训等情况。信息技术一般性控制关注的是构建信息系统所涉及到的技术及安全:计算机硬件系统、计算机软件系统如网络架构、操作系统、数据库、应用系统, 还包括使用信息系统相关人员以及规章规程, 以确保信息系统的稳定运行, 支持应用控制的有效性。如信息安全管理、系统变更管理、系统开发与采购管理、系统运行管理等。企业业务流程层面应用控制是为了保证信息系统能够准确、完整、及时完成企业数据的处理过程而设计的信息技术控制, 所以审计师应关注与数据输入、处理及输出环节的相关的控制过程。除了上述审计活动之外, 审计师还可根据企业的需求以及企业可能面临的特殊风险, 设计信息系统专项审计满足企业发展战略, 如:信息系统开发实施项目的专项审计、信息系统安全审计、信息技术投资专项审计等。
2.3信息系统审计过程和方法
典型的信息系统审计过程内部通常有下面几个阶段:1确定审计对象:明确将要审计的领域。2确定审计目标:明确审计目的。3审计范围:明确组织中要检查的具体系统、职能或单元。4制定初步审计计划:确定所需要的技术技能和资源, 检查信息的来源, 确认审计地点或设施。5搜集数据的审计程序和步骤:确定对控制进行测试, 验证审计方法和工具, 确定访谈对象名单, 确定需要检查的部门政策、标准和指南。6评价测试或检查结果的程序。7确定与管理人员沟通的程序。8审计报告:确定追踪审计程序测试和评价运营效果以及效率, 确定控制测试程序检查和评价文档、政策和规程的合理性。
和传统手工环境下的审计技术和方法相比, 信息系统审计的方法既包括一般方法即手工方法, 如询问控制相关人员、观察特定控制的运用、审阅文件和报告等方法, 同时也根据信息系统的特性, 应用计算机辅助审计工具和技术对信息系统进行穿行测试、追踪信息系统处理数据痕迹、验证系统控制和计算逻辑以及登录信息系统进行系统查询等方法。审计人员对信息系统审计进行评估时应获得充分、可靠及相关的审计证据以支持审计结论完成审计目标。在信息系统审计过程中, 我们要注意几个问题:1由于较多的计算和报表等都是信息系统自助完成的, 审计师在审计时要关注数据的来源、 去向是否明晰, 对数据报表审查功能是否完备等。2数据在两个信息系统之间进行数据传输时, 要制定一套规章来保证数据在传输过程中的完整性、准确性和真实可靠性。3信息系统审计师在使用计算机审计软件工具获取审计证据时, 要注意对原数据的保护, 不能对原始数据进行分析, 防止造成审计证据的丧失。4信息系统审计师对被审单位内部控制环节进行审计时, 要关注其内部控制系统是否存在并证明它正在有效地发挥作用。具体地应在这几个方面检查内控制度的有效性:控制系统资源的存取、控制系统资源的使用、建立用户职能分配资源的制度、确认处理过程的准确性、保护财务系统免遭计算机病毒的攻击。
3信息化内部控制审计与信息系统审计的联系
通过对信息化内部控制审计、信息系统审计的定义、内容等基本概念的介绍和分析, 我们对两个审计概念有清楚的了解。不管是信息系统审计还是信息化内部控制审计, 它们都是企业为防范风险、进行有效监管为主要目的的审计体系, 以此构建全方位的企业管理过程的控制体系。对企业来说财务管理尤为重要, 企业运营的决策很大程度依赖于财务报表等相关财务报告, 在信息化环境下, 财务报告信息是由会计信息系统依据日常财务信息统计计算获得的, 会计信息系统的有效运行依赖于内部控制的有效性。信息系统审计关注信息技术的应用与信息系统运行的有效性, 信息化内部控制审计关注信息技术的应用与内部控制的有效性, 从上述分析可以看出, 信息化内部控制审计与信息系统审计存在着许多联系。
3.1目标一致性
内部控制审计是对公司内部控制有效性的审计, 信息系统审计是对组织信息系统管理以及应用的综合评价, 似乎并不相同, 但是两者的最终目的是一致的, 它们都是建立企业的风险控制、监管体系保证企业管理人员得到完整的、真实可靠的管理信息。而且, 信息系统审计的内容在很大程度上与内部控制审计内容有着密切的相关性。企业管理信息系统通过收集企业日常运行的数据经过加工处理后产生了各管理层所需要的管理信息, 信息系统的运行依赖于内部控制的有效。因此, 内部控制的有效性, 是为了信息系统的有效运行, 是为了获得高质量的管理信息, 更有效地为企业管理人员服务。
3.2都属于鉴证业务
一般的鉴证业务定义是指注册会计师对鉴证对象信息提出结论, 以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。我们认为内部控制审计和信息系统审计都属于专门的签证业务。审计人员在进行财务报表审计时, 根据已发布的各个准则对内部控制进行调查和测试, 目的是确定控制风险水平。当风险控制水平确定后, 审计人员在审计期间要考虑内部控制的有效性。而审计人员执行内部审计业务是一项专门的审计任务, 他事先与委托人就内部控制审计范围达成一致意见, 只要是业务约定书确定的内部控制审计范围, 审计人员都要进行审计, 也可将内部控制审计与财务报表审计整合进行。因此, 财务报告内部控制审计也是基于责任方认定的鉴证业务。
根据信息系统审计定义, 信息系统审计是以独立第三方的身份对被审计单位的信息系统以及信息系统应用发表意见, 这种意见明显属于合理保证的鉴证业务的范畴。ISACA提出的用于描述IT管理框架的COBIT, 已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。我国的信息系统审计准则基于COBIT的思想建立一套完善的企业信息系统审计的内部监控体系, 认为信息系统的开发、运行和维护以及信息技术相关的内部控制的设计、执行和监控是组织及其相关人员的责任, 实施信息系统审计工作并出具审计报告是信息系统审计人员的责任。这就说明了信息系统审计属于基于责任方认定的合理保证鉴证业务。
3.3基于风险控制的审计形式
我们知道内部控制有一项基本要素是“风险评估”, 同样的, 内部控制审计中采取的就是风险导向审计模式, 由审计师对被审单位的风险进行分析, 确定被审单位是否已经意识到了所有的风险, 或者说是否存在被审单位忽略的风险。对意识到的风险, 审查其控制活动, 确保控制到位, 不存在遗漏的地方;对于被审单位没有意识到的风险, 提出审计意见、提出控制活动, 建议被审单位重视这些被疏忽但是却不容小觑的潜在风险。
同样的, 信息系统审计也是采用了同样的风险导向审计模式, 在正式的审计活动展开之前, 先对被审单位进行风险评估, 了解被审单位风险控制是否到位, 根据风险评估结果决定信息系统审计师对被审单位进行的合规性测试、复合性测试的量的大小, 运用风险导向审计模式可以极大的减少信息系统审计师的工作量, 帮助信息系统审计师选取一种最优化、智能的测试方法获取想要的审计证据。所以说信息化内部控制审计与信息系统审计在这一点上是相同的。
3.4审计结果可以借鉴
从信息系统审计的审计过程来看, 不难发现, 在信息系统审计过程中有一项比较重要的调查就是“被审企业是否存在内部控制”, 这一项调查结果直接影响信息系统审计师后续审计工作的展开, 若是内部控制充分, 则信息系统审计师只需要进行少量的符合性测试和实质性测试, 审计工作量大大减少;若是内部控制不充分甚至于不存在内部控制, 则信息系统审计师需要进行大量的实质性测试甚至于对所有内容进行测试, 若是对一个大型企业大范围的进行实质性测试的话, 审计进度可能会延期。
因此, 我们的信息化内部控制审计就是对企业的内部控制有效性进行的审计活动, 该审计活动最终会出具被审单位内部控制是否有效的审计报告。同样都是对被审单位内部控制有效性进行的调查研究, 不难想出, 这两种审计活动在内部控制有效性审查这一部分存在很多相同的基础调查。所以, 信息化内部控制审计与信息系统审计两者的审计结果是相互通用的。信息系统审计师在审计时, 可以根据内部控制审计的审计结果, 适当地增加或减少内部控制调查的力度;反之, 内部控制审计师在审计时, 可以根据信息系统审计过程中内部控制的调查结果, 决定自己内部控制调查的工作重心。在一项调查工作中发现的问题可以为另一项调查提供线索和思路。需要注意的是, 一项调查结果并不能代替另一项调查, 就好比信息系统审计过程中对内部控制所做的调查并不能够完全代替内部控制审计, 因为两者对内部控制活动的关注程度、关注方面存在着很大的不同, 这也是信息化内部控制审计与信息系统审计的一大不同点。
4信息化内部控制审计与信息系统审计的区别
以上分析可以看出信息化内部控制审计与信息系统审计存在着一定的联系, 但从定义上来看, 两者在审计的对象、内容以及结果都是很大区别的。
4.1审计内容不同
这一点是最显而易见的。信息化内部控制审计的对象是企业的内部控制, 审计师在审查过程中会去重点关注的是被审单位首先是否存在内部控制制度以及制度是否健全;其次, 内部控制制度是否只是摆设, 是否积极主动的去实行;然后是制度是否有效, 最后才是根据审计师观察的结果得出改进意见等。而信息系统审计可能更加关注的就是信息系统是否有效了, 它包括了信息化的内部控制方方面面。
4.2对内部控制的关注程度不同
信息系统审计和内部控制审计都会关注企业的内部控制。但是两种审计模式对内部控制的关注目的是不同的。信息化内部控制审计中, 评价内部控制的目的是为了对内部控制本身的有效性发表审计意见;而信息系统审计评价内部控制只是为了评估被审单位对风险是否做到了有效控制。如果信息系统审计师不想审查被审单位的内部控制, 他可以不做。然而信息化内部控制审计却不能做到这一点, 这也是两者之间的一大不同。
4.3审计结果不同
根据其定义, 信息化内部控制审计中, 审计师会出具关于内部控制有效性的意见。在信息系统审计中, 审计师会对相关信息系统运行做出判断, 并提出意见。两者出具的是完全不同的两种报告, 所以说内部控制审计与信息系统审计的审计结果不同。
5总结
信息化时代已然来临, 随着计算机的普及与应用, 完全脱离计算机进行审计的审计活动是不存在的。如上分析, 信息化内部控制审计与信息系统审计存在许多的共同点, 而且相关的基础调查、结论等可以共用, 可以考虑将信息化内部控制审计与信息系统审计做一个适当的整合, 减少审计工作的冗余, 更加高效、正确地完成审计工作。
摘要:企业内部控制审计与信息系统审计都是以防范风险、有效监管为主要目的, 来构建全方位的企业管理过程的控制体系。但是由于信息技术渗透到企业管理的每一个过程, 使得两者的审计界限变得模糊。为了分析两者的区别和联系, 本文将从内部控制审计和信息系统审计的基本概念出发, 阐述它们各自的审计对象、审计内容以及审计结果, 以此说明两者的异同点。
关键词:信息化,审计,内控
参考文献
[1]骆良彬, 张白.企业信息化过程中内部控制问题研究[J].会计研究, 2008 (5) .
[2]陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究, 2007 (01) .
8.浅谈信息系统审计的内容和策略 篇八
摘 要 伴随着科技进步和企业管理理念的发展,越来越多的组织更加依赖于信息技術。与此同时,对信息系统审计的研究和实践也正不断发生着变化。笔者认为,信息系统审计有其自身的特点,是审计的新领域,与传统审计相对独立,应从组织的整体风险控制、价值实现以及整个审计体系的角度来重新认识。
关键词 信息系统 信息技术 审计内容 策略
伴随着科技进步和企业管理理念的发展,以计算机技术、通信技术以及网络技术为主要内容的信息技术在社会各行业的管理中正发挥着越来越重要的作用。无论是企事业单位,还是政府公共服务机构,都越来越依赖于信息系统。信息系统的可靠性、有效性和效率性影响着组织的正常运转。
与此同时,对信息系统审计的研究和实践也正不断发生着变化。从计算机辅助审计到面向系统数据的审计,再到对应用系统的审计,信息系统的审计范围和领域不断扩大。目前,对信息系统审计的认识受到较多传统审计的影响,不少研究人员认为信息系统条审计是传统审计的补充和延伸,是为传统审计提供支撑和服务的。但笔者认为,信息系统审计有其自身的特点,是审计的新领域,对信息系统审计的认识和研究要从企业整体风险控制、价值实现以及整个审计体系的角度来重新认识。
一、信息系统审计的内容
从信息系统在组织中所处地位以及信息系统的开发、运行和维护过程分析,信息系统审计应包括对IT治理结构审计等9个方面的主要内容。
1.对IT治理结构与实施的审计。信息技术过去被认为仅仅是企业组织战略的强化器,而现在被认为是组织战略的重要组成部分,越来越受到管理层的关注。通过有效使用安全、可靠的信息和适用的技术,IT治理有助于企业获得成功。因此,在对信息系统审计中,审计人员应首先关注组织的IT治理机构,判断组织是否做到了IT与业务的融合,并保持目标一致。
2.对系统开发过程的审计。传统的系统开发生命周期法(SDLC)仍是目前大多数系统开发的首选方式。审计人员的职责是参与全过程的监督和评价。
3.对系统和运行的审计。信息系统的运行承担了计算机系统软件、硬件的日常支持工作。
4.对应用控制的审计。审计人员应通过对重要应用程序组件和贯穿系统的事务流的识别,审核系统中的事务进入点、处理点和输出点,以发现控制弱点。一般可以通过审核用户活动报告和违例报告,以及通过平行作业、整体测试等方法来实现对应用控制的审计。
5.对系统安全策略的审计。随着组织对信息系统的依赖性越来越强,信息安全问题正变得日益突出,信息资产比传统资产更容易受到损害。一般而言,为了有效保护信息资产,组织需要建立信息安全管理的一些要素,关键的有:高级管理层的承诺与支持、信息安全政策与程序、组织、安全意识与教育、监督与符合性审核、应急处理与响应。
6.对逻辑访问控制的审计。逻辑访问控制是通过一定的技术方法去控制用户可以利用什么样的信息,可以运行什么样的程序,可以修改什么样的数据。这些控制可以内置在操作系统中,通过单独的访问控制软件进行调用;也可以内置在应用系统、数据库系统和网络控制设施(实时性能监测)中。
7.对物理访问控制的审计。物理访问的暴露可能使企业的业务资源面临非授权访问,导致组织受损。组织一般通过使用胸牌、内存卡、门锁、生物测定设备等限制人员进出机房和数据中心等敏感区域。
8.对环境控制的审计。环境风险可能来自自然灾害,还可能来自电力故障、设备故障、温度、湿度、静电、恐怖袭击等方面。
9.业务连续性计划的审计。业务连续性计划(BCP)是组织为避免关键业务功能中断,减少业务风险而建立的一个控制过程。一般包括对支持组织关键功能的人力、物力需求和关键功能所需的最小级别服务水平的连续性保证。BCP的目标就是要把组织的剩余风险和因意外事件产生的风险降到组织可接受的程度。BCP主要包括灾难恢复计划、作业计划和重建计划。
二、信息系统审计的策略
1.评估现有审计人员的专业胜任能力,补充完善审计人力资源。“知己知彼”才能有效开展审计项目。前面着重阐述的是审计对象,是“彼”,面对新的审计领域,审计人员自身也需要客观审视“己”的专业胜任能力。目前,我国内审人员绝大多数来自财务和审计专业,从事IT开发和管理的人员凤毛麟角,接受过信息系统审计培训的人员也极少。从9个方面的审计内容看,仅在对IT治理结构和实施以及环境控制审计两个方面,目前的审计人员能够基本胜任,其余7个方面都不能完全胜任。这是开展信息系统审计的最大障碍,因此,尽快补充新的审计人力资源是当务之急。
补充完善审计人力资源的途径有两个:一是直接招聘有信息系统背景的审计人员;二是签订信息系统审计业务外包协议。两种途径各有利弊,审计部门负责人可以视具体情况灵活掌握。
2.对现有信息系统的再认识。信息系统是个大系统、大概念,其中包含了众多小的应用系统。以某市通信公司为例,该公司除了使用了上级统一开发的MSS、CRM、综合营帐系统和物资管理系统等之外,又结合自身管理需要陆续开发了增值业务系统、中间渠道管理系统等20多个小型管理应用系统。
要对如此庞杂的系统进行审计,审计人员须要对整个信息系统进行有效的归类整理,划清生产系统、管理系统和支撑系统等的界限,分析系统与系统之间的相互联系,识别核心系统与非核心系统,为下一步具体实施审计奠定良好的基础。
3.制定信息系统审计的长期规划。信息系统审计的内容繁杂,专业技术性强,有效实施审计不可能“全面开花”,一蹴而就。制定长期规划十分必要。与其他长期规划制定工作类似,信息系统审计的长期规划要与组织的价值目标相一致,需要明确审计的最终目的和任务。规划时间一般为5年,规划期内各年的主要任务和重点工作清楚,并对完成规划所需的人力资源、物质资源等有科学的测算。
4.确定中短期审计目标和重点审计领域。中短期审计目标就是将长期规划具体化,主要明确今后2到3年内的具体审计项目。这些项目的确定需要注意以下几个原则:
(1)与组织中短期的经营管理目标一致。
(2)符合长期规划的步骤。
(3)内容具体,可操作性强。
(4)有相应的考核评价体系。
同时,在具体实施中短期审计计划过程中,要注意量力而行,对暂时不能完成的长期规划任务,要及时反馈,适时修订。
5.协调好自审与业务外包的关系。考虑到人力资源成本、管理专业化以及人类认知的固有局限性,目前国际上通行的信息系统审计方式是采用审计人员与外聘专家共同工作的方式。彼此发挥自身优势,取长补短。笔者认为,在信息系统审计中,一般不宜采取完全外包的方式,这不利于审计人员专业素质的提升,也不利于组织信息安全管理。通常,在信息系统审计开展的初期,外包审计的范围可稍大一些,之后,应逐步降低,并保持在适当的比例水平。
6.建立良好的沟通渠道。同传统审计一样,“沟通”在信息系统审计中也显得十分重要。良好的外部沟通有利于审计人员更为全面地认识信息系统的内在控制过程,有利于审计目标与管理目标的结合,有利于审计结果的落实和执行。
另外,还需要做好审计人员的内部沟通,实现审计信息共享。一方面,信息系统审计人员要注意搜集在其他财务审计项目中发现的异常而又暂时难以解决的信息系统方面的问题,提高信息系统审计的针对性和实用性;同时,信息系统审计人员还应将可信赖的信息系统及时反馈给财务审计人员,以减少他们相应的测试工作量,提高审计工作效率,实现整体审计目标。
参考文献:
[1]陈婉玲.COBIT及其在信息系统控制与审计中的应用.审计研究.2006.(131).
[2]刘宝岭.信息系统审计实务手册.北京金领前程信息服务中心.2006.
9.审计信息管理系统设计 篇九
本卷共分为1大题50小题,作答时间为180分钟,总分100分,60分及格。
一、单项选择题(共50题,每题2分。每题的备选项中,只有一个最符合题意)1.某大型制造公司在进行生产作业时间安排时非常依赖先进的高端软件,在控制生产产品的机器时非常依赖自动化软件,在与客户沟通交流时非常依赖网络应用程序。那么,公司在将其计算机操作业务外包时可能面临的最大风险是什么? A:硬件成本上升; B:返工成本增加; C:生产率下降; D:丧失灵活性。
2.一个设备制造商设有订货登记系统的拨号进入端口,以方便世界范围内的客户在需要的时候方便地进行订货。该制造商承诺在全世界范围内95%的零件订货可以在48小时之内送货。由于某些电子零件的成本和敏感性,供货商需要设立订货登记系统访问的安全措施。对访问的安全性进行监视的最好技术是 A:订货登记系统的集成检测设备。B:通过订货登记系统对业务进行追踪。C:订货登记业务的业务选择。
D:对不成功的访问企图进行日志登记。
3.某内部审计师运用通用审计软件从组织中一年的银行账户中挑选有代表性的统计样本。内部审计师证实了样本中的所有支付都经适当批准的支持文件,并且注意到所有支付都在期限内支付。根据这个信息,内部审计师可以推论 A:银行对账单与机构的账簿记录一致 B:全年支付的发票被适当地批准和归档 C:保证及时支付的控制按预期执行 D:b和c 4.在项目进度安排的关键时刻增加资源去缩短某些活动时间的过程是 A:应急
B:德尔菲技术
C:原材料需求计划编制 D:分支和范围的解决方法
5.某内部审计师正根据《专业实务框架》,评估机构风险管理程序的充分性。该内部审计师应该
A:寻求有关方面关于风险管理程序的关键目标正在得到实现的保证 B:承认所有机构为管理风险而应用的技术是大同小异的 C:确定并接受机构所面临的风险程序
D:在处理风险管理程序的评估工作时采用与计划审计业务时应用的风险分析完全相同的方式方法。
6.在通货膨胀时期,某国中央银行可以采取以下哪种方法来稳定经济形势? A:调低银行贴现率 B:鼓励收取更高的税率 C:出售政府证券
D:调低银行准备金要求 7.内部审计师对公司各项计算机应用程序的访问安全控制进行审查。他发现每项应用中都编制了访问控制程序,那么应向管理当局提出的最好的建议是 A:取消内设的访问控制 B:考虑使用访问控制软件 C:考虑使用实用软件
D:将内设访问控制的使用扩展到新的应用程序中
8.在证实应付账款项目清单时,以下哪项是对分析性测试的最佳描述? A:比较应付账款项目清单的项目和应付账款分类账或未支付的凭证文件。B:比较应付账款项目清单的余额和以前年度的余额。
C:比较从所挑选的债权人处收到的函证回函和应付账款明细分类账。D:检查能够支持应付账款项目清单中所选项目的供货商发票。
9.分支机构经理认为内部审计为高级管理履行监督职能,内审人员应如何是他们改变这种认识并说明自身合作性的一面? A:进一步强调控制职能。B:提高审计技术。
C:加强调查性项目的保密性,减少畏惧心理。D:更多提请被审计人的关注。
10.当雇员从公司指定的旅行社购买机票时,有关机票的信息,包括机仓等级、购买日期以及公司旅行政策中规定的最低可选择的票费标准都将报告给部门经理。这种报告提供的信息是
A:公司旅行政策的执行质量。
B:确认处理雇员差旅报告数据所必要的成本。C:部门的预算数与实际数的对比。D:支持雇主降低经营费用。
11.如果执行有效的话,以下控制程序中最有可能降低上述环境下舞弊发生可能的是 A:要求采购业务在不同供应商之间定期轮换。B:要求三个采购代理进行岗位轮换。
C:要求将验收报告直接传递给应付帐款部门。
D:要求由收货部门进行存货永续盘存的更新记录。12.有限合伙公司的形式一般用于控制 A:合伙公司的总体责任 B:一些合伙人的责任范围 C:合伙公司的持续时间 D:合伙人提取资金的情况
13.下列各项措施中有助于管理当局更好地加强对储存于外部仓库中存货实物控制的是 A:将入库单、出库单与存货记录相核对。B:增加投保范围。
C:将存货实存数与会计记录相核对。D:向仓库保管员定期核证存货数量。
14.利用下列资料回答问题3—5某审计人员正对某分部的经营业绩进行审计。该分部的销售、毛利(gross margin)和净利润均存在超常增长的情形。下列情形中最不可能表明该分部可能存在销售舞弊的是
A:分部经理补贴的很大一部分取决于报告的该部门利润; B:年终后存在大量的销售退回记录; C:审计人员对销售发票进行随机抽样,但无法找到与十一、十二月份的大量销售业务相应的运输凭单;
D:本年度中该部门的一大主要的竞争对手破产了。
15.某专做定货的厂家应用时间安排程序将起始时间发送至各个不同部门的服务器,该厂把编写所有的起始时间视为单一的一项交易,所有服务器在任何时候都获得完全一致的时间安排信息,这点至关重要,如果一个或多个服务器无法使用,那么,该交易应该 A:委托其他方面进行处理 B:被复制 C:分散进行 D:重新处理
16.为使组织稀缺资源得到最有效率的配置做了准备。II.属于检查型控制程序。III.不必要,因为是根据所产生的利润来对每名产品经理进行评价。A:只有I正确。B:I、Ⅲ正确。C:Ⅱ、Ⅲ正确。
D:I、Ⅱ和Ⅲ都正确。
17.以下哪项内部审计计划工具在性质上是通用的,并可用于确保各时期的恰当业务范围 A:长期计划; B:业务工作方案;
C:内部审计活动的预算; D:内部审计活动的章程。
18.以下哪项公司差旅政策最不可能产生成本效率? A:与旅馆、航空公司和租车公司谈判签署企业间协议。B:针对已取消的机票预定情况追踪贷方金额。
C:选择最便宜的现有空中旅行方案,但不考虑出差总时间和总距离。D:在可能的情况下,在旅游淡季时前往位于旅游区的地方出差。
19.内部审计师已完成分部工作方案的审计,并决定对公司的配送程序进行修改。业务客户同意并实施了修正的程序。内部审计师应该
A:研究问题并在审计报告中建议应该采取的措施; B:联合开发并沟通恰当的建议;
C:沟通问题并保证管理层会采取恰当的措施;
D:在审计报告中指出客户决定并实施了纠正措施。
20.有些公司应用组织严密的“指挥+控制”管理方法,但这么做在哪方面的风险更大 A:由于无法在决策者之间达成一致意见,会延误应对问题的行动; B:低层员工不愿意应对上层犯下的错误,从而导致负面后果的产生; C:由于员工认为领导不力,员工士气会被销蚀;
D:管理层无视控制措施,从而导致公司资源被浪费和滥用。21.分析性程序的以下哪项结果表明存在过时的商品 A:存货周转率下降;
B:总收益与销售额的比率降低; C:存货与应付款的比率下降; D:存货与应收款的比率下降。
22.下列哪种变动会导致置信区间范围变窄 A:置信水平从95%增至99% B:置信水平从95%下降至90% C:误拒风险的可接受水平降低 D:精确度提高
23.一家大型国际咨询公司的地区办事处的经理可以从公司总部的数据库中访问到人力资源的信息。为了使这种访问的效果更好,提出了使用分布式数据库的建议,有关个人的数据可以存储在地区办事处的计算机中,但经理们可以在世界范围内对其进行访问。这项建议的风险是下列哪一项?I.在网络或计算机出现故障时数据库的完整性可能得不到维护。Ⅱ.同集中化的系统相比数据更加容易受到攻击。Ⅲ.不相容的职责分离在公司的总部可能得不到贯彻。Ⅳ.数据更新可能没有集中化的系统那样快。A:a.只有I、Ⅱ和Ⅲ B:b.I、Ⅱ、lIl和Ⅳ全有 C:c.只有I、Ⅱ和Ⅳ D:d.只有l和Ⅱ
24.内部审计师关心的是存货的整体计价。将下列有关存货计价认定的证据按照证明力由强到弱的顺序排列I、计算单个产品存货周转率。II、通过与市场部经理谈论产品的销售情况来评估周转率小于或等于2.0的所有存货项目的变现价值。III、计算所有存货产品的可实现净值(NRV)(使用审计软件按照以前的售价来计算NRV)并且比较NRV与成本。Ⅳ、对存货进行统计抽样,并审查最新的购货文件(发票和验收单)来计算存货成本。A:I,II,III,Ⅳ B:I,Ⅳ,II,III C:Ⅳ,I,III,II D:II,III,Ⅳ,I 25.某专做定货的厂家应用时间安排程序将起始时间发送至各个不同部门的服务器,该厂把编写所有的起始时间视为单一的一项交易,所有服务器在任何时候都获得完全一致的时间安排信息,这点至关重要,如果一个或多个服务器无法使用,那么,该交易应该 A:委托其他方面进行处理 B:被复制 C:分散进行 D:重新处理
26.内部审计部门使用整合测试法(ITF)对其薪金处理进行测试。内部审计部门确认了计算机程序中设置的关键控制与处理步骤,设定了测试数据来测试计算机程序,并提交了整年的测试交易。假定内部审计师在测试结果中未发现任何差异,他们可以得出以下哪项结论
A:该系统准确地计算了员工全年的工作时间,并且这些工作时间数已恰当地送交薪金部门并得到了准确的处理;
B:所有员工的全年工资都是准确支付的,并且这些支付是准确计算的;
C:计算机化的应用软件及其控制程序在过去的年份里对工资的处理是准确的; D:以上答案都正确。
27.以下哪一项表明在市场部门可能发生了舞弊? A:付给一个新供货商的大额费用没有证明性文件资料。B:控制环境能够被描述为“非常松散”,但是,本部门的管理层认为该看法是合理的,因为本部门需要创新。
C:某经理的生活方式似乎超出了一位市场经理的薪水所能提供的生活方式。D:以上都是。
28.业务范围的确定应足以实现业务的目标。在制定业务计划时,内部审计师应该考虑 A:重大的不合规性的可能性; B:包括在业务工作方案中的信息; C:业务程序的结果; D:所需资源。
29.当内部审计师开展能够带来增值并改善机构业务的咨询服务时 A:内部审计师不可能通过此种咨询业务提供保证服务。
B:如果内部审计师承接同一客户的保证服务,此种服务有损内部审计师的客观性。C:此种服务应该与内部审计部门章程中所反映的部门权限相一致。
D:除了咨询业务的客户,此种服务不要求审计师负责向任何其他方面传达信息。30.下列哪项是审计方案中的恰当步骤。A:声明这项审计。B:观察有关的程序。C:定义审计目标。
D:对审计报告进行规划。
31.首席审计执行官应该制定目标并将其作为内部审计活动计划过程的内容。以下哪项是内部审计目标的特征 A:可考评并能实现; B:有预算并经批准; C:已计划并能实现; D:被要求并经批准。
32.某合规性审计业务没有发现任何不合规问题,但确实发现被审计机构没有建立相关制度来确保对适用法律法规的遵守。审计师的责任是Ⅰ、在报告中反映没有发现任何严重不合规问题Ⅱ、在报告中反映被审计机构存在严重控制缺陷,因为管理层没有建立确保合规制度Ⅲ、与管理层会面,确定应采取何种纠正措施Ⅳ、开展监测,以确定是否已采取纠正措施 A:只有Ⅰ和Ⅲ是对的 B:只有Ⅰ是对的 C:只有Ⅱ和Ⅲ是对的 D:Ⅰ,Ⅱ,Ⅲ和Ⅳ都对
33.下列哪一程序可以取得有关应收账款坏账准备充足性的最相关证据? A:函证应收账款。
B:分析下月应收账款账户的回款情况。
C:检查有关应收账款核销的控制,以保证所有核销的坏账都经过管理层的批准。D:通过对应收账款账龄和当前相关经济数据进行分析来确定坏账准备的充足性。34.在一个大型组织里,信息中心咨询台没有配备足够人员的最大风险是 A:增加了对应用进行审计的难度。B:应用系统缺乏足够的文档支持。
C:增加了使用未经许可程序代码的可能性。D:用户操作系统室不断出现错误。35.为在组织内营造一种积极的景象,首席审计执行官计划实施那些强调潜在成本将被节约的保证业务,并在业务最终报告中删除消极的审计发现。以下首席审计执行官的做法中哪些违反了《标准》?I.在没有修订内部审计部门章程或咨询审计委员会前改变审计业务的重心。II.在业务最终报告中删除消极的审计发现。III.在业务最终报告中突出反映关于成本节约的审计建议。A:只有I。B:I和Ⅱ。C:I和Ⅲ。D:Ⅱ和III。
36.假设你所在的公司打算收购一家小型有毒废品处理公司,作为内部审计师,你是兼并过程中尽职调查小组的一员,你作为内部审计师的职责最不可能包括 A:审查被收购公司取得废品原料的程序,并与法律规定相比较 B:评估最近控告废品处理公司的诉讼影响 C:分析公司对贷款合同的合规性和披露情况 D:评估废品处理公司经营的效率性和获利能力
37.在应付账款工作的审计过程中,内部审计师计划与供应商联系以便核实账款余额。对这类与组织外部单位的联系是在何处进行授权的 A:内部审计活动的章程
B:内部审计实务专业实务标准 C:内部审计道德行为规范
D:内部审计活动的政策与程序
38.在六西格玛方法中,在以下哪一个阶段中使用了因果关系图? A:定义 B:分析 C:改进 D:控制
39.在对无法解释的存货减少进行测试过程中,某内部审计师对在永续盘存记录下的存货增加进行测试。由于内部控制测试的缺陷,记录在验收报告中的信息可能并不可靠。在这种情况下,下列文件中能提供关于存货增加的最佳证据的是 A:采购申请 B:采购订单 C:供应商发票 D:供应商对账单
40.在测试某公司是否遵守公司反优先雇佣法案的政策时,内部审计师发现(1)5%的雇员是少数民族(2)过去从未雇佣过少数民族审计师可以得到的最适当的结论是 A:关于遵守反优先雇佣法案的证据是不充足的。
B:由于有5%的雇员来自少数民族,分公司有效地遵守了公司政策。C:公司政策不能被审计,因此也不可能被执行 D:分公司违反了公司政策
41.观察法被认为是一项可靠的审计程序,但是它的用途有限。尽管如此,这种方法仍被用于许多不同的业务场合。对于观察法作为一种审计技术,以下表述正确的是 A:在填制内部控制调查问卷时,它是最有效的方法
B:除了存在性,它在证实其他任何审计认定时都是不充分的 C:在了解被审计期间交易是如何处理时,它是最有说服力的方法 D:在确认是否发生舞弊行为时,它是最有说服力的方法
42.编制与维修费有关的工作底稿时,以下哪项是不必要的特征
A:内部审计师在完工时已签名并在工作底稿中标注了完工日期,尽管工作底稿的编制提前了4个工作日;
B:显示开展业务之前的所有月份的全部修理费用;
C:首席审计执行官是工作底稿的最初审核人,尽管工作底稿是由其他人编制的; D:显示上个月的资产、厂房和设备的总购置成本。
43.审计政策要求没有管理部门的回应,最终审计报告不能发出。除了要求的管理部门回应外,一个发现了重大问题的审计事项是完整的。评估以下行动过程,选出最优的选项? A:提出关于注意到的重要事项的中期报告。
B:修改审计政策,允许管理部门在一段特定的时间期限内作出反应。C:等待管理部门的回应,然后签发审计报告。D:与外部审计师讨论这种情形。44.衍生品交易的两大基石是什么? A:股票和债券 B:股票和期权 C:期权与远期合约 D:债券与远期合约
45.在审计业务计划中,内部审计师应该检查所有相关的信息。下列哪一种信息来源最可能帮助识别那些怀疑违反环境法规的行为 A:与经营经理讨论; B:检查贸易订单;
C:与外部审计人员在业务合作过程中进行的讨论; D:检查机构报送政府机构的函件。
46.部门经理人员请外面专家来测试和安装应用软件的新版,但未记载其中的变动。下列哪一风险属于这一事件的风险 A:已加工数据的可靠性降低;
B:这一变更可能未经适当主管部门的适当授权; C:使用者可能不知程序已更动;
D:这一变更可能未经相关测试即告运行。
47.某新来的助理审计人员受命对他并不熟悉的某一领域进行审计。由于时间上的限制,没有配备相应的监督人员。该审计人员受领这一任务是出于增加经验的考虑,但明显地审计领远远超过他的胜任能力。不过该审计人员仍编制出全面的工作底稿并向管理当局报告了审计结果。在该情形下
A:审计部门使用不熟悉相关业务的审计人员,违反了准则的规定; B:审计部门未提供充分的监督工作,违反了准则的规定;
C:既然《道德标准》未涉及监督,内部审计主管未违反《道德标准》; D:审计部门遵循了准则及《道德标准》。
48.一个规模非常小的内部审计部门的首席审计执行官刚接到管理层请求,要对一个极端复杂而首席审计执行官和内部审计部门没有该方面专业技术的领域实施审计。该项审计业务属于内部审计部门的职责。管理层已表示,因为涉及高风险,希望近期尽快开展该项业务。首席审计执行官以下反映中哪项违反了《标准》?
A:与管理层讨论该项审计业务的时限,确定是否有充足的时间去增长适当的专业知识。B:与管理层讨论向外部采购该复杂领域审计服务的可能性。C:因为涉及高风险领域,接受该项审计业务并马上展开工作。D:为审计组增加一名外部顾问,协助实施审计业务。49.一个恰当记录的工作底稿应 A:简洁但完整;
B:遵守唯一的格式和安排;
C:含有业务客户使用的所有的格式和程序的例子; D:不包含业务客户记录的复印件。
50.在对一个防御工程承建商的建造部分进行审计的过程中,审计人员遇到了一个方案,该方案好像在一项成本加成(cost--pulls)政府合同中增加了不当成本。审计人员与高级管理者讨论该行为,管理者建议征求法律顾问的意见。审计人员这样做了。在审核了政府合同之后,法律顾问表示这种做法有问题,但他认为这种做法在技术上没有违反政府合同。根据法律问的意见,审计人员决定在正式呈交给管理当局和审计委员会的审计报告中不对的该行为加以讨论,但仍将法律顾问的道路网口头告知管理当局。审计人员这要做违反了IIA的道德准则吗?
A:没有违反。如果怀疑有舞弊行为,应该追查至行为发生的分部内部。
B:没有违反。审计人员与组织中的适当人员继续讨论此事并且得出了该行为不属于舞弊的结论。
C:违反。因为所有重要信息都应当向审计委员会报告。
【审计信息管理系统设计】推荐阅读:
内部信息系统审计10-27
对基层央行业务系统审计信息化的思考11-10
信息审计师08-28
信息安全审计范围09-06
审计局信息公开自查情况汇报07-26
铜山县审计信息化 实现07-30
审计信息化建设情况的报告08-05
医院内部审计的信息化建设初探07-17
浅议IT 审计对我国信息化建设促进作用10-25
信息系统设计07-29