中级审计师

第三节 信息系统审计

一、信息系统审计概述

　　(一)信息系统审计的概念

(二)信息系统审计的目标

信息系统审计的总目标是通过评价信息系统本身的安全性、可靠性，从而合理保证信息系统所产生数据的准确性、完整性，从而保证企业资产安全性、完整性以及效率效果等目标。

二、信息系统审计的内容

　　(一)信息系统内部控制审计

信息系统内部控制与传统内部控制有所不同，分为一般控制和应用控制。

一般控制是适用于信息系统的所有信息处理而设定的政策和措施，其目的在于保证所有的信息处理的准确性和可靠性。包含组织控制、开发维护控制、安全控制和软硬件控制等。

应用控制是适应特定的应用系统如工资核算系统等的控制要求，为保证应用系统的输人、输出、处理的正确性和可靠性而制定的政策和措施。应用控制包含输人控制、输出控制和处理控制。

1 .一般控制审计

(1)组织控制审计

(2)信息系统的开发维护控制审计

(3)安全控制审计

(4)软硬件控制审计

2 .应用控制审计

(1)输人控制审计

(2)处理控制审计

(3)输出控制审计

　　(二)信息系统组成部分的审计

1 .应用程序的控制措施是否健全有效

2 .应用程序的合法性.

3 .应用程序的正确性

4 .应用程序的效率性

【2007年试题】下列各项中，属于信息系统内部控制中应用控制的是：（ ）。

A. 组织控制
B. 安全控制
C.处理控制
D.软硬件控制

【答案】C

       (三)信息系统生命周期的审计
       1 .信息系统的可行性。审计人员应检查系统的可行性文档，从经济上、技术上判断系统是否可行，能否达到预期的经济效益和社会效益，系统的功能是否符合相关法律法规的规定。

2 .信息系统开发、设计、编码、测试等阶段是否按照事先设计的文档去执行，开发过程的每一个阶段是否完成阶段目标，才转人下一个阶段。信息系统开发的文档资料是否完整。系统的文档资料包括可行性研究报告及其批准资料、系统分析与设计资料、程序设计资料以及测试资料和操作手册等。

3 .信息系统测试的全面性、适当性。系统在投入运行之前，要进行测试。测试一般由专门的系统测试人员来完成。审计人员应审查测试数.据是否包括一些有代表性的错误数据，系统对错误数据是否进行正确处理等。

4 .完成的信息系统功能上是否达到预定的需求，时间进度是否划之内，预算有没有超过标准等。

三、信息系统审计的技术方法

       (一)信息系统了解的方法

1 .询问法

2 .检查法

3 .观察法

　　(二)信息系统描述的方法

1 .文字描述法

2 .表格描述法

3 .图形描述法

(三)信息系统测试的方法

1 .测试数据法

2 .平行模拟法

3 .嵌入审计模块法

4 .虚拟实体法

5 .受控处理法

6 .受控再处理法

7 .程序代码检查法

（责任编辑：）