浅谈如何实施信息系统审计

2014-11-08 22:33:44 大云网　点击量：评论 (0)

如何加强和改善公司内部控制状况，建立和完善公司内控体系呢？谈到这个问题，大多数人就很自然联想到了公司治理，而当前IT治理作为公司治理中必不可少的关键环节，通过加强企业的IT治理水平，就可以促进企业改善

　记录和描述信息系统内部控制制度的方法有三种：

　　1、书面说明法

　　书面说明法是将调查得到的内部控制制度记录下来，并用文字详细叙述的方法。运用这种方法时，审计人员往往是按着主要经济业务的运行顺序，或每一经济活动的流程环节向有关人员一一询问并予以记录，最后整理结合，形成文字说明材料。书面说明法的优点是可以根据实际情况灵活地选择内容，并且能做出较深入和具体的描述。但这种方法也有局限性，针对经济业务复杂、经济活动环节较多的企业，用书面说明难免冗长。

　　2、调查表法

　　调查表法是指审计人员将那些与保证信息的正确性和可靠性以及保证资产的完整性有密切关系的事项列作调查对象，设计成标准化的调查表，交由企业有关人员填写，再由审计人员收集调查结果，统一将问题归纳整理。调查表的优点是调查范围明确，省时省力，可以提高评审工作效率；审计人员通过调查表可以抓住企业内部控制中的强点和薄弱环节。但这种方法也有局限性，如果调查表的问题设置不当，就不能客观全面地反映内部控制制度的情况。

　　3、流程图法

　　流程图是指用特定的符号和图形来描述某项业务的整个处理过程，用图解的形式将主要经营环节和凭证，记录传递关系直观地表达出来的一种方法。流程图的优点是，可以把文字叙述减少到最低程度，形象直观，能帮助审计人员较快地发现控制系统的薄弱环节。其缺点是，绘制流程图技术不过关，就不能准确地反映被审单位的内部控制制度，就会影响审计工作质量。

　　（二）对内部控制进行初步评价

　　审计人员在完成内部控制制度的描述之后，通过与被审单位相关人员座谈和实地观察，了解硬件配置、软件运行及维护、相关人员操作经验等计算机信息系统使用环境，并根据取得的资料对被审单位的内部控制制度进行评价。

　　1、评价内部控制的健全性。

　　评价内部控制的健全性既要从总体的一般控制来评价，又要从具体的应用控制来评价。一般控制是信息系统有可能安全、可靠地运行和处理的前提。如果没有恰当的控制环境，没有强有利的制度保证，不管系统设计的如何好，程序和数据也会被篡改，整个系统的安全就没有保证。因此，一般控制如有缺陷，将对整个信息系统产生普遍的影响，即使应用控制很强，也难以发挥其功能。同样，如果应用控制有缺陷，则会直接影响到数据输入、处理和输出的正确性。

　　2、评价内部控制的合理性。

　　评价信息系统内部控制的合理性，主要考虑的布局是否合理，有没有不必要的控制，评价时要特别注意信息系统应用控制中的程序化控制。

　　（三）对内部控制的执行情况进行符合性测试

　　即使再健全的内部控制，在实际业务处理过程中也不一定被认真执行，因此，应检查被审单位内部控制过程中形成的文件和记录，包括各种操作日志、软件修改记录、灾难恢复记录等，并对其实际执行情况还要进行符合性测试。

　　符合性测试的几种方法：

　　1、检查证据法

　　审计人员通过对有关会计资料和文件的审查，来确定内部控制制度是否被遵循以及遵循的程度。

　　2、重新测试法

　　审计人员选择某一项经济业务，按照内部控制制度规定的业务处理程序重新实做一遍，来审查被审单位进行的业务处理程序是否达到理想的效果。

　　3、实地观察法

　　审计人员到业务处理现场实地观察，来考核内部控制的执行是否良好。

　　（四）提出内部控制测评结果