2010年審計師《理論與實務》第十一章.03節(jié)

第三節(jié) 信息系統(tǒng)審計
    一、信息系統(tǒng)審計概述
    (一)信息系統(tǒng)審計的概念
    (二)信息系統(tǒng)審計的目標
    信息系統(tǒng)審計的總目標是通過評價信息系統(tǒng)本身的安全性、可靠性，從而合理保證信息系統(tǒng)所產(chǎn)生數(shù)據(jù)的準確性、完整性，從而保證企業(yè)資產(chǎn)安全性、完整性以及效率效果等目標。
    二、信息系統(tǒng)審計的內(nèi)容
    (一)信息系統(tǒng)內(nèi)部控制審計
    信息系統(tǒng)內(nèi)部控制與傳統(tǒng)內(nèi)部控制有所不同，分為一般控制和應用控制。
    一般控制是適用于信息系統(tǒng)的所有信息處理而設定的政策和措施，其目的在于保證所有的信息處理的準確性和可靠性。包含組織控制、開發(fā)維護控制、安全控制和軟硬件控制等。
    應用控制是適應特定的應用系統(tǒng)如工資核算系統(tǒng)等的控制要求，為保證應用系統(tǒng)的輸人、輸出、處理的正確性和可靠性而制定的政策和措施。應用控制包含輸人控制、輸出控制和處理控制。
    1 .一般控制審計
    (1)組織控制審計
    (2)信息系統(tǒng)的開發(fā)維護控制審計
    (3)安全控制審計
    (4)軟硬件控制審計
    2 .應用控制審計
    (1)輸人控制審計
    (2)處理控制審計
    (3)輸出控制審計
    (二)信息系統(tǒng)組成部分的審計
    1 .應用程序的控制措施是否健全有效
    2 .應用程序的合法性.
    3 .應用程序的正確性
    4 .應用程序的效率性
    【2007年試題】
    下列各項中，屬于信息系統(tǒng)內(nèi)部控制中應用控制的是：
    A. 組織控制 B. 安全控制
    C.處理控制 D.軟硬件控制
    【答案】C
    (三)信息系統(tǒng)生命周期的審計
    1 .信息系統(tǒng)的可行性。審計人員應檢查系統(tǒng)的可行性文檔，從經(jīng)濟上、技術(shù)上判斷系統(tǒng)是否可行，能否達到預期的經(jīng)濟效益和社會效益，系統(tǒng)的功能是否符合相關(guān)法律法規(guī)的規(guī)定。
    2 .信息系統(tǒng)開發(fā)、設計、編碼、測試等階段是否按照事先設計的文檔去執(zhí)行，開發(fā)過程的每一個階段是否完成階段目標，才轉(zhuǎn)人下一個階段。信息系統(tǒng)開發(fā)的文檔資料是否完整。系統(tǒng)的文檔資料包括可行性研究報告及其批準資料、系統(tǒng)分析與設計資料、程序設計資料以及測試資料和操作手冊等。
    3 .信息系統(tǒng)測試的全面性、適當性。系統(tǒng)在投入運行之前，要進行測試。測試一般由專門的系統(tǒng)測試人員來完成。審計人員應審查測試數(shù).據(jù)是否包括一些有代表性的錯誤數(shù)據(jù)，系統(tǒng)對錯誤數(shù)據(jù)是否進行正確處理等。
    4 .完成的信息系統(tǒng)功能上是否達到預定的需求，時間進度是否劃之內(nèi)，預算有沒有超過標準等。
    三、信息系統(tǒng)審計的技術(shù)方法
    (一)信息系統(tǒng)了解的方法
    1 .詢問法
    2 .檢查法
    3 .觀察法
    (二)信息系統(tǒng)描述的方法
    1 .文字描述法
    2 .表格描述法
    3 .圖形描述法
    (三)信息系統(tǒng)測試的方法
    1 .測試數(shù)據(jù)法
    2 .平行模擬法
    3 .嵌入審計模塊法
    4 .虛擬實體法
    5 .受控處理法
    6 .受控再處理法
    7 .程序代碼檢查法
    【2007年試題】
    綜合分析題 (本題包括三個案例答題，每個案例答題10分，共30分。每個案例答題包括5道小題，每道小題2分。每道小題各有四項備選答案，其中有一項或多項是符合題意的正確答案，全部選對得滿分。多選、錯選、不選均不得分。有多想項正確答案的小題，在無多選和錯選的情況下，選對一項得0.5分。)