信息系统审计论文范文

夜上海论坛前言：我们精心挑选了数篇优质信息系统审计论文文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

（一）信息系统审计的定义。中国内部审计协会（2014）认为信息系统审计是指“内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动”。按照上述定义，信息系统审计的重点跟传统审计一样，还是专注于内部控制与流程，但关注点不同，信息系统审计的关注点是信息系统的控制和流程，而不仅仅只关注相关的制度和规范。

夜上海论坛 （二）信息系统审计的目标。信息系统审计和控制联合会（ISACA）COBIT框架认为组织内部的信息系统需求三原则是：质量、成本和安全，即在保证信息系统满足组织需求的前提下，尽可能避免组织内外部风险，并减少研发和维护成本。因此信息系统审计的目标就是对组织信息系统的运行的可靠性，数据的真实性和安全性提供评价。

夜上海论坛 （三）信息系统审计的步骤。由于大多数高校内审机构在“数字化校园”开发阶段并没有参与其中。本文所述的信息系统审计专指信息系统运行维护阶段的审计。

夜上海论坛 1.审计准备阶段。信息系统审计准备阶段步骤与传统审计类似，通过从被审计单位获取相关信息系统管理的规章制度，找负责系统维护管理的工作人员座谈，实地观察等方式，完成审前调查，进行风险评估、初步确定审计重点和制定审计实施方案等工作。

2.审计实施阶段。信息系统审计在实施阶段分为两部分，分别为信息系统一般控制审计和应用控制审计。一般控制审计往往比应用控制审计更为重要，因为应用控制的有效性常常受到一般控制的影响。根据审计项目不同，审计人员可以只实施一般控制审计或者两者结合进行审计。（1）一般控制审计。一般控制审计又可以分为硬件和软件两部分，两部分的审计重点和方法有所不同，分别为：对硬件的审计通过实地观察法实施，主要有审计网络接口是否安全，是否有硬件防火墙，硬件设备存放环境是否安全，防火、防雷、防盗措施是否完备，是否装备了UPS，在硬件出现故障时是否制定了应急响应计划等。对软件的审计通过抽样、观察和面谈实施，审计重点为：一是系统管理控制，主要有系统设定的职责分离是否合理，授权管理是否充分，是否做到一个系统账户对应一个工作人员，是否确保了只有被授权的用户才能对特定资源和数据进行访问等；二是软件安全控制，主要有是否安装了杀毒软件，软件是否定时升级，未经授权的软件能否安装，是否有系统操作规范等；三是数据管理控制，主要有数据传输是否加密，系统数据是否定期备份，有无冗余备份，数据修改是否按照规定程序进行审核，向外部传输系统数据是否有身份认证，是否定期对数据质量进行检查等。（2）应用控制审计。信息系统应用控制是指为保证应用程序处理数据时按照组织流程运行，确保数据的完整性和真实性的控制，包括输入控制、处理控制、输出控制三部分。输入控制包括输入授权、数据转换和编辑校验，处理控制包括运行总数控制、计算机匹配和批处理控制，输出控制包括复核系统处理日志、审核输出文本、审核程序。对应用控制的审计，主要通过分析性复核和计算机辅助模拟的方法，审计重点为信息系统业务的控制点设置是否合理，数据处理程序最多运行数，是否有审核系统日志程序等。

3.报告阶段。内审人员根据实施阶段编制的工作底稿，出具审计报告初稿，与被审单位充分沟通后，修改审计报告，报相关层级领导审核后，签发正式审计报告。

二、高校做好信息系统审计的措施

1.转变观念，提高开展信息系统审计必要性的认识。“数字化校园”建成以后，高校内部控制环境已经悄然发生改变，内部审计要想充分发挥其独有的管理评价职能，必须迎头而上，及时开展信息系统审计。不少内审机构认为信息系统审计专业性太强，无从着手，实际上信息系统审计的核心并没有改变，还是对信息系统控制的评价，并没有超出审计人员专业知识的范畴。

2.结合实际，建立信息系统审计的体系。当前，国际上已经有比较成熟的关于信息系统审计的体系，那就是信息系统审计和控制联合会（ISACA）COBIT体系，但完全照搬肯定是不行的，在实际操作中，内审机构必须结合国情、校情，进行修订更改，出台符合自身工作实际的、具备可操作性的信息系统审计体系，以规范审计工作。

3.加强对内审人员的培养。内审机构可以通过以下方式提高内审人员业务素质：一是鼓励内审人员取得CISA资格。由ISACA颁发国际信息系统审计师（CISA）执业证书是唯一在国际上获得认可的证书，具有很强的权威性。二是在聘请外部审计机构进行信息系统审计的同时，让内审人员参与其中，做到边实践边总结，起到“以审带练”的作用。

第2篇

关键词：信息系统审计;企业信息化;信息系统

夜上海论坛 信息化是国家现代化的基本标志，也是一个国家综合国力的集中体现。信息化建设是一项长期的、综合的系统工程，在改善企业运作管理水平、提高工作效率的同时，也产生了巨大的风险。因此，建立信息系统审计制度，发展信息系统审计是信息化过程中必不可少的制度保证和手段。

一、信息系统审计的概述

1.信息系统审计的定义

信息系统审计（InformationSystemAudit信息系统，简称ISA）目前还没有公认的通用定义，国际信息系统审计领域的权威专家RonWeber将它定义为：收集并评估证据，以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源。可通俗的理解为是对信息系统的规划、开发、实施、运行和维护等各个环节进行评价，确保其符合企业经营目标的过程。

2.信息系统审计的业务内容

信息系统审计的业务内容包括计算机资源管理审计、软硬件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计。

夜上海论坛 信息系统审计项目按生命周期来划分，一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计。

夜上海论坛 信息系统开发过程中的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的。信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计；信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计。

3.信息系统审计的流程

信息系统审计流程包括三个阶段即:审计计划阶段、审计实施阶段和审计完成阶段。

夜上海论坛 计划阶段是信息系统审计流程的第一步，主要任务是了解被审系统的基本情况；与委托单位签订业务约定书；初步评价被审系统的内部控制及外部控制；确定重要性水平；分析审计风险和编制审计计划。

实施阶段的主要任务是根据重要性水平、风险和计划获取有关资料；进行符合性测试和实质性测试；对测试结果进行分析；找出导致结果的原因。

夜上海论坛 完成阶段的主要任务是整理、评价审计证据；复核工作底稿，完成二级复核，汇总审计差异，同被审系统管理层交流；对重要性水平和风险进行最终评价，形成审计意见，编制审计报告，完成三级复核。

二、信息系统审计的方法、技术与工具

夜上海论坛 由于信息系统本身的多样性和复杂性，信息系统审计的难度也随之增加。面对错综复杂的信息系统和审计环境，要求审计师可以根据审计组织及信息系统的实际情况，结合审计目标、成本效益、审计小组的人员与设备配置情况等，采用多种方法、技术和工具来帮助他们进行审计工作。

1.常规的审计方法、技术与工具

夜上海论坛 常规的审计方法包括面谈法、问卷调查法、系统评审会、流程图检查、程序代码检查、程序代码比较和测试等。但在高度计算机化的信息系统中，只采用常规审计法显然是不够的，无论是审计证据的收集、评价，还是实现审计工作的现代化，都需要借助计算机来高效完成。

2.计算机辅助审计的技术与工具

信息系统被普遍应用与企业生产、管理及经营活动的各个环节，审计师为达到审计目的，必须要收集大量储存于计算机中的数据，并借助于计算机对这些数据进行分析，以得出审计的结论。因此审计师在收集证据并分析证据时，必需利用计算机辅助审计工作，计算机辅助审计技术（ComputerAssistedAuditTechniques，简称CAAT）越来越成为审计师不可或缺的手段。

夜上海论坛 计算机辅助审计技术可以使信息系统审计师独立收集审计信息，按照预定审计目标访问和分析数据、报告系统产生和维护的记录的可靠性等审计发现。所用信息来源的可靠性为得出审计结论提供了再保证。

常用的计算机辅助审计软件与技术：共用软件、测试数据、应用程序检查、审计专家系统、整体测试、快照、系统控制审计审核文档、其他特殊的审计软件等。三、信息系统审计的应用价值

夜上海论坛 信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。信息系统审计为企业信息系统的有效管理提供了一系列详细的审计方法，从项目计划开始介入信息系统建设的每个环节，从项目的初始阶段一直到运营阶段的全过程，给予项目投资者风险控制的评价和建议，提高信息系统的投资效益。

信息系统审计可以查出各种错误和舞弊，合理地保证企业信息系统及其处理、产生的信息的真实性、完整性与可靠性；可以促进企业更有效地融入到社会生活中；可以促进企业改进内部控制，加强管理，提高信息系统实现组织目标的效率。信息系统审计在信息化过程中，帮助企业建立健全的内部控制制度，进行系统诊断。确定信息化的目标和内容，帮助企业调整现有的管理框架和流程或修改软件产品使其更好地服务于管理的需要。

参考文献:

[1]胡克瑾:IT审计[M].电子工业出版社，2004.

夜上海论坛 [2]孙强:信息系统审计:安全、风险管理与控制[M].机械工业出版,2003.

第3篇

夜上海论坛 ［论文摘要］本文分析了信息系统环境下审计工作系统的功能特征、运作环节以及系统的构成，介绍了系统测试的方法，以期提高审计信息化水平，提高审计效率和效果。

夜上海论坛 数据库技术在审计信息管理中的广泛运用，能为审计人员充分、有效、便利地提供信息，为满足快捷决策需要奠定了基础。其主要设计思想是将分析决策所需的大量数据从传统的操作环境中分离出来，把分散的、难以访问的操作数据转换成集中统一、随时可用的信息而建立的一个大的数据库，其中存储了所有审计数据。

一、审计工作系统的功能特征

夜上海论坛 在审计工作系统中，审计数据库将信息按照主题来进行组织、管理、控制，审计系统对信息的组织、管理、控制方式一般具有以下特征：

1.一致性

不同来源的多种数据一旦进入数据库，就必须按照统一的主键和结构与编码规则重新组合，因而在审计系统中的数据信息具有一致性的特点。当业务事件发生时，所有原始数据被适当加工成标准编码的源数据，集成于一个逻辑数据库(或数据仓库)，而不是重复存储于多个低耦合系统中。数据库不只记录符合会计事项定义的业务事件，而且记录管理者想要计划、控制和评价的所有业务事件，并且存储业务活动中多方面的细节信息。任何授权用户都可以通过数据库所存储的数据来定义和获取所需的有用信息，这样既能提供多种视图驱动应用所能提供的全部视图，又能避免数据重复存储和数据不一致的问题。此外，这种体系结构还实现了信息处理的实时控制，数据库中的处理单元在业务发生时捕捉业务数据，既能执行业务规划和控制，又能校验数据的准确性和完整性。

2.时间变量

夜上海论坛 审计数据库中的数据键始终包括时间元素，数据保存的时间通常较长，具有作历史比较和趋势分析预测的长期数据基础。数据库技术是将计算机应用于数据管理而产生的一种新的技术，它仅是审计信息系统凭借的一种新的管理手段，对于数据库的基本要素和管理对象——审计信息的源数据，并不是指没有经过任何加工的原始数据，而是在原始数据的基础上，经过了类似于会计流程中的原始凭证确认、统—会计科目标准编码等加工后所形成的数据。

二、审计工作系统的运作环节

审计数据库在审计工作系统的运作过程大致有如下4个重要方面：

1.数据获取

获取企业的数据信息，记录数据信息的功能和处理过程。根据审计人员的需要，对在数据库中运算所需的数据通过一定的方式进行采集，可以得到企业完整而清晰的数据信息，选取和不断更新数据，保证数据的一致性，使审计信息系统的数据不断更新与补充，并使数据在审计信息系统内部各部件之间可以沟通；利用现有系统的信息，确定从企业数据到审计信息系统的数据模型所必需的转化／综合模式。生成审计信息数据，是进行审计工作的数据基础，类似于传统手工环境下的审计对象。审计信息系统上的财务信息不再是简单的纯文本传统财务信息，它是特定协议标准格式，如超文本格式(HTML)的电子报表，所有数据只要点击都可以被随意移植使用。通过网络传输而来的电子报表按照一定的协议标准格式编制，也可以转换成审计信息系统所需的数据。通过数据获取环节，把这些数据转换成审计信息系统所能识别的形式，或直接采用被审计单位所提供电子数据加工出审计信息系统想要的形式。

2.数据管理

此环节包括会计信息库和用户信息库两部分，前者主要依据数据库技术进行管理，注重于对信息的分类、组织、维护、检索等，对存储的数据建立模型，通过数据模型来对信息进行保存和管理；后者主要包括有关用户个性特征的信息，个性特征数据结构设计是这部分的关键问题，决定了个性化信息服务系统服务质量的优劣，也是实现信息服务自动化和智能化的关键。通过将各种数据装入数据管理库之中，生成必需的、能为审计人员所直接使用的数据管理库，或通过其他方法为审计人员提供查询工具，以便审计人员能方便地从数据管理库中获取所需的信息，并可以通过一定的形式将其输出。生成审计工作所需的数据管理库包含各种审计计算底稿、审定表、审计报告、管理建议书等信息的结构化数据库，并形成与其他部件进行联系的桥梁。

3.分析推理

这是审计信息系统中对信息流进行控制的核心，其主要功能是接受审计人员通过审计信息系统传来的信息需求，判断需求指向的是已存在的信息，还是不存在的信息，或者是哪一层次的信息。对已存在的信息可直接调出并通过用户浏览器予以显示，对不存在的信息需要进行记录，并判断是否经适当可行的计算或处理即可提供，如是，则进行计算处理并显示；否则，作为遗留问题提示进行特别设置处理。此环节是审计工作数据库的主要组成部分之一，可以利用采集到的数据信息，根据程序设置，推断出审计人员工作需要的可能解；提供方便的审计分析模块。

4.解释报告

夜上海论坛 审计软件可以提供审计报告生成功能，审计人员可以通过它选择具体的信息项目、类型和表达形式，主要内容包括：（1）设置报告模式。模式中列有会计系统中与要素模块相应的数据项目，模式中的项目与含有多种会计方法的对话框或序列框相联，以便审计人员选择他们需要的会计方法来处理其选择的信息项目。（2）初始选择。在生成报告时，现行的会计准则和法规作为初始选择存放在对话框架或子对话框中。如不进行任何选择，审计人员可以得到一份通用的标准的审计报告。（3）选择项目。除初始选择以外，模式报告还提供可选择项目来满足审计人员不同的信息报告要求，这些选择项目可以是会计准则和法规、会计计量和估价方法、财务信息与非财务信息的类型、报告的频率、范围、使用的语言、形式等，提供可选择项目能够增强交互性相对化特征，既能满足审计人员的特殊信息报告需要，又能减少报告使用人员的信息负担。（4）帮助功能。可以采取3种方式：自动显示专业技术概念解释；在对话框中提供环境敏感帮助；一个全面的包括如何应用更复杂的会计技术和方法的目录。帮助功能可以避免审计人员和报告使用者有限的时间被信息的多样化这种无实际意义的工作浪费，有利于及时、准确、有效地寻找有用信息，提高对信息的利用效率。

三、审计工作系统的组成及内容

1.审计项目管理部分

通过建立审计项目管理组件，对每一个被审计项目的各方面情况进行记录并生成电子档案，可以让审计人员更方便地查阅、了解被审计单位的情况，让审计项目的新进人员可以更快熟悉工作；可以建立审计质量控制系统，明确审计人员的工作职责。2.审计法规管理部分

可以自动检查有关处理是否合法合规，能完成法规资料的录入、修改、删除、检索、打印等功能。检索功能不仅可以为用户按各种条件查找审计法规的目录，而且可以根据目录查找法规全文，可以按要求摘要其中的内容并打印输出。审计法规数据库也可以单独成为一个软件，现已成功地应用于审计工作第一线，是我国目前开发和应用较成功的专项审计软件之一。

3.审计操作管理部分

审计操作管理的功能：（1）参考功能。提供计算机审计中常用的工具、手段、可使用的审计程序，其主要内容有：审计环境建立、查询、抽样、汇总与计算、排序与分类、财务与效益分析、编制与输出工作底稿、打印各类审计文件等。（2）图像处理功能。通过对图像显示参数的设置，可以使审计结果以图表的形式表达出来，可以让内部审计人员直观地了解被审计单位的情况。（3）底稿处理功能。能完成审计工作底稿及有关参数和数据的增、删、改等维护工作。针对计算机系统还能自动查找、计算、输入底稿所需数据，并按格式打印，针对手工系统则可以提示审计人员输入有关数据，并进行计算性复核。

4.专用程序管理部分

对于一些需要对外报送资料的项目，尤其是需要送交政府部门的项目，有的政府部门可能提供了单独的审计软件，或者需要单独配备专用的审计功能，以满足政府部门的数据需要。还有的审计项目因数据量大，牵涉面广，并且各被审计单位的情况又不尽一致，为了对这些项目进行有效的审计，也需要针对每个项目的不同情况，单独配备专用的审计功能，以满足审计工作的要求。

四、审计工作系统的测试方法

1.现场交易选择测试数据

对被审计单位的现场交易作标记输入到应用程序中，把带标记的交易当作测试数据。采用这种方法，应用程序中必须有特定的计算机程序能够识别出带标记的交易，并且使这些交易既要更新应用系统的主文件，同时也要更新做检测用的虚拟实体。现场交易作标记选择和识别带记号的交易测试数据有多种策略：第一，在源文件中或屏幕布局中包含一个专门的标识字段，用来表示一笔交易既为正常交易又为带记号交易。由审计人员来选择确定对哪些现场交易作标记，所选交易的特征可以与测试数据的设计相一致，也可以根据制定的抽样计划进行选择。第二，在应用系统的程序中嵌入审计软件模块，利用审计软件来选择交易并给交易加标记使其成为带记号交易。第三，在应用系统中嵌入抽样程序，抽样程序具有根据抽样计划给交易作标记，并使其成为带记号交易的功能。不论采用何种策略，应用系统中必须有相应的处理程序，专门处理带标记的交易。

2.自行设计测试数据

自行设计测试数据是将测试数据与现场交易数据一同输入应用系统。采用这种方法，审计人员应当根据所要使用的测试数据特征设计并创建测试数据。自行设计测试数据的优点是覆盖面广，可全面测试系统；但设计和建立测试数据要花费一定的时间和费用。笔者认为，应用程序进行检测时，首先要在应用程序的文件中建立一个虚拟实体，并让应用程序处理该实体的审计测试数据。如果应用程序是工资系统，可在其数据库中建立一个虚拟的职员资料库；如果应用程序是存货系统，可在其数据库中建立一个虚拟的存货项目。将带标记的实际数据或模拟数据一同输入应用程序和审计软件进行处理，通过将应用程序对数据处理的结果同审计软件处理的结果进行比较，可确定应用程序的处理和控制功能是否恰当、可靠。当应用程序非常庞大或复杂时，全面追踪通过系统的不同执行路径会有一定难度，审计人员对交易进行审查时，可以在应用系统的重要处理发生点嵌入软件，当交易通过不同处理点时，嵌入软件可捕捉交易的过程。为证实不同关键点的处理，审计人员使用软件捕捉交易的前后过程，通过检验前后过程及其变换，评价交易处理的真实性、准确性和完整性。

主要参考文献

［1］WayneMoreandDavidHendrey．ITAuditRenewal［J］.InternalAuditor，l999，（4）：17.