內部審計中的信息系統審計的內容

時間：2024-08-05 23:34:33 國際注冊內部審計師我要投稿

相關推薦

內部審計中的信息系統審計的內容

　　伴隨著大數據時代的到來，企業(yè)的信息系統越來越系統化，呈現出與企業(yè)目標有機融合的整體性，隨著信息技術和企業(yè)業(yè)務發(fā)展而不斷發(fā)展的動態(tài)性，包含子系統眾多的復雜性等特性，一句話，信息系統越來越復雜了。下面是yjbys小編為大家?guī)淼年P于內部審計中的信息系統審計的內容的知識，歡迎閱讀。

　　劃分責任方

　　定義審計邊界、確定審計范圍的責任方有以下兩個層面：

　　決策層面

　　決策層面即董事會、管理層根據企業(yè)發(fā)展的戰(zhàn)略需求或者管理需求提出對IT相關項目的審計要求。這種要求是宏觀性的，是大的方向。例如保護企業(yè)信息安全是大數據時代企業(yè)生存和發(fā)展面臨的一個非常重要的問題，一旦董事會、管理層決定加強這方面的保護力度，或者發(fā)現了問題的隱患，就會提出對信息系統數據、信息安全控制方面的審計。

　　執(zhí)行層面

　　執(zhí)行層面即審計部門要根據企業(yè)計劃的安排，根據決策層授權提出的方向，定義具體審計的范圍和內容。如根據決策層關于數據、信息安全的大方向，需要審計信息系統中的哪些子系統、一般控制的哪些內容、哪些管理制度，都要一一詳細、具體定義。

　　視情況而定

　　在對信息系統開展的審計中，可能存在以下三種情況：

　　生命周期審計

　　第一種情況是對信息系統生命周期進行同步審計，對每一個流程都開展詳細審計。這種情況作為企業(yè)內部審計都會遇到，也是企業(yè)內部審計的一項職責。盡管如此，對每一個治理和管理流程開展審計時，也要明確的定義好每個流程的邊界。

　　系統審計

　　第二種情況是對已經開發(fā)好、并投入運行的系統開展審計。這類審計的目的是評估信息系統的功能是否達到了企業(yè)需要，是否需要更新。這類系統是企業(yè)整個信息系統的一個部分，是其中的一個或者幾個子系統。開展這種情況的審計時要明確審計的是什么?是哪一個或者哪幾個子系統，把需要審計的對象摘取出來，與審計目的無關的不要涉及。

　　業(yè)務審計

　　第三種情況常常是和企業(yè)業(yè)務審計結合在一起的，如檢查企業(yè)對供應商管理的審計中，要檢查到信息系統中供應商子系統;檢查企業(yè)人力資源管理時，涉及到人力資源管理子系統。在開展這類審計時，要明確業(yè)務涉及到的信息系統是什么系統，范圍是什么，系統的邊界如何劃分，審計應該審計的內容。處理好上述三種情況，就能在制定審計計劃時列出明確的范圍，在實施審計時突出重點，有條不紊。

　　伴隨著大數據時代的到來，企業(yè)的信息系統越來越系統化，呈現出與企業(yè)目標有機融合的整體性，隨著信息技術和企業(yè)業(yè)務發(fā)展而不斷發(fā)展的動態(tài)性，包含子系統眾多的復雜性等特性，一句話，信息系統越來越復雜了。如現在在很多企業(yè)推行的ERP、SAP系統，包含的子系統動輒以千計，涵蓋企業(yè)的供應商、進貨、庫存、生產、銷售、銷售商、財務會計、管理會計、人力資源等各個方面，包含的數據表更是數以萬計。企業(yè)內部審計對如此復雜的系統開展審計，在實務中，會感覺十分迷茫。那么在內部審計中信息系統的審計究竟審什么呢，我們有必要對其進行一些深入討論。

　　信息系統的審計首先要考慮的問題是定義審計什么，也就是審計信息系統的哪一個部分，審計的范圍如何界定。在安排審計計劃時都要科學劃定審計的邊界，而不能籠統地對企業(yè)整個信息系統都開展全面的審計，因為那樣做，會超越審計的實際需要，造成力不從心，無法實施或無力勝任的困境。在企業(yè)內部審計實務中還常常會遇到根據企業(yè)面臨的風險或特殊需要，而安排信息系統審計專項審計的情況，如信息和數據安全專項審計、信息系統建設投資專項審計、外包專項審計、內部控制合規(guī)性專項審計等等，遇到這類情況，也要首先定義審計的內容和范圍。