内部审计中的信息系统审计的内容

时间:2024-08-05 23:34:33 国际注册内部审计师 我要投稿
  • 相关推荐

内部审计中的信息系统审计的内容

  伴随着大数据时代的到来,企业的信息系统越来越系统化,呈现出与企业目标有机融合的整体性,随着信息技术和企业业务发展而不断发展的动态性,包含子系统众多的复杂性等特性,一句话,信息系统越来越复杂了。下面是yjbys小编为大家带来的关于内部审计中的信息系统审计的内容的知识,欢迎阅读。

  划分责任方

  定义审计边界、确定审计范围的责任方有以下两个层面:

  决策层面

  决策层面即董事会、管理层根据企业发展的战略需求或者管理需求提出对IT相关项目的审计要求。这种要求是宏观性的,是大的方向。例如保护企业信息安全是大数据时代企业生存和发展面临的一个非常重要的问题,一旦董事会、管理层决定加强这方面的保护力度,或者发现了问题的隐患,就会提出对信息系统数据、信息安全控制方面的审计。

  执行层面

  执行层面即审计部门要根据企业计划的安排,根据决策层授权提出的方向,定义具体审计的范围和内容。如根据决策层关于数据、信息安全的大方向,需要审计信息系统中的哪些子系统、一般控制的哪些内容、哪些管理制度,都要一一详细、具体定义。

  视情况而定

  在对信息系统开展的审计中,可能存在以下三种情况:

  生命周期审计

  第一种情况是对信息系统生命周期进行同步审计,对每一个流程都开展详细审计。这种情况作为企业内部审计都会遇到,也是企业内部审计的一项职责。尽管如此,对每一个治理和管理流程开展审计时,也要明确的定义好每个流程的边界。

  系统审计

  第二种情况是对已经开发好、并投入运行的系统开展审计。这类审计的目的是评估信息系统的功能是否达到了企业需要,是否需要更新。这类系统是企业整个信息系统的一个部分,是其中的一个或者几个子系统。开展这种情况的审计时要明确审计的是什么?是哪一个或者哪几个子系统,把需要审计的对象摘取出来,与审计目的无关的不要涉及。

  业务审计

  第三种情况常常是和企业业务审计结合在一起的,如检查企业对供应商管理的审计中,要检查到信息系统中供应商子系统;检查企业人力资源管理时,涉及到人力资源管理子系统。在开展这类审计时,要明确业务涉及到的信息系统是什么系统,范围是什么,系统的边界如何划分,审计应该审计的内容。处理好上述三种情况,就能在制定审计计划时列出明确的范围,在实施审计时突出重点,有条不紊。

  伴随着大数据时代的到来,企业的信息系统越来越系统化,呈现出与企业目标有机融合的整体性,随着信息技术和企业业务发展而不断发展的动态性,包含子系统众多的复杂性等特性,一句话,信息系统越来越复杂了。如现在在很多企业推行的ERP、SAP系统,包含的子系统动辄以千计,涵盖企业的供应商、进货、库存、生产、销售、销售商、财务会计、管理会计、人力资源等各个方面,包含的数据表更是数以万计。企业内部审计对如此复杂的系统开展审计,在实务中,会感觉十分迷茫。那么在内部审计中信息系统的审计究竟审什么呢,我们有必要对其进行一些深入讨论。

  信息系统的审计首先要考虑的问题是定义审计什么,也就是审计信息系统的哪一个部分,审计的范围如何界定。在安排审计计划时都要科学划定审计的边界,而不能笼统地对企业整个信息系统都开展全面的审计,因为那样做,会超越审计的实际需要,造成力不从心,无法实施或无力胜任的困境。在企业内部审计实务中还常常会遇到根据企业面临的风险或特殊需要,而安排信息系统审计专项审计的情况,如信息和数据安全专项审计、信息系统建设投资专项审计、外包专项审计、内部控制合规性专项审计等等,遇到这类情况,也要首先定义审计的内容和范围。

  划分责任方

  定义审计边界、确定审计范围的责任方有以下两个层面:

  决策层面

  决策层面即董事会、管理层根据企业发展的战略需求或者管理需求提出对IT相关项目的审计要求。这种要求是宏观性的,是大的方向。例如保护企业信息安全是大数据时代企业生存和发展面临的一个非常重要的问题,一旦董事会、管理层决定加强这方面的保护力度,或者发现了问题的隐患,就会提出对信息系统数据、信息安全控制方面的审计。

  执行层面

  执行层面即审计部门要根据企业计划的安排,根据决策层授权提出的方向,定义具体审计的范围和内容。如根据决策层关于数据、信息安全的大方向,需要审计信息系统中的哪些子系统、一般控制的哪些内容、哪些管理制度,都要一一详细、具体定义。

  视情况而定

  在对信息系统开展的审计中,可能存在以下三种情况:

  生命周期审计

  第一种情况是对信息系统生命周期进行同步审计,对每一个流程都开展详细审计。这种情况作为企业内部审计都会遇到,也是企业内部审计的一项职责。尽管如此,对每一个治理和管理流程开展审计时,也要明确的定义好每个流程的边界。

  系统审计

  第二种情况是对已经开发好、并投入运行的系统开展审计。这类审计的目的是评估信息系统的功能是否达到了企业需要,是否需要更新。这类系统是企业整个信息系统的一个部分,是其中的一个或者几个子系统。开展这种情况的审计时要明确审计的是什么?是哪一个或者哪几个子系统,把需要审计的对象摘取出来,与审计目的无关的不要涉及。

  业务审计

  第三种情况常常是和企业业务审计结合在一起的,如检查企业对供应商管理的审计中,要检查到信息系统中供应商子系统;检查企业人力资源管理时,涉及到人力资源管理子系统。在开展这类审计时,要明确业务涉及到的信息系统是什么系统,范围是什么,系统的边界如何划分,审计应该审计的内容。处理好上述三种情况,就能在制定审计计划时列出明确的范围,在实施审计时突出重点,有条不紊。


【内部审计中的信息系统审计的内容】相关文章:

成本内部审计的主要内容08-18

2016年注会《审计》考点:内部审计信息系统开发09-04

内部审计具体准则之内部控制审计04-26

2016年注会《审计》知考点:内部审计信息系统开发09-15

内部审计具体准则绩效审计08-31

内部审计与外部审计的联系与区别05-31

新内部审计准则对内部审计的职能定位07-22

内部审计具体准则-内部审计质量控制08-26

外部审计如何转为内部审计09-04

内部审计具体准则-审计档案工作06-16