审计实务
企业如何进行信息系统内部控制审计?(上)
添加日期:2014年12月18日
《企业内部控制应用指引第18条———信息系统》第二条规定:“本指引所称信息系统,是指企业利用计算机和电子通信技术,对企业内部控制进行集成、转化和提升所形成的信息化管理平台。”
现代社会,企业都需通过建立一套信息系统基础结构来处理和提炼大量数据,以形成有助于企业进行决策的信息。
信息系统内部控制审计,就是对被审计单位信息系统内部控制设计与运行的有效性的审查和评价活动,对促使被审计单位加强信息系统内部控制建设,防范可能出现的信息系统风险具有重要意义。
企业应当建立对信息系统内部控制的审计制度,明确审计机构或人员的职责权限,定期或不定期地进行检查。内审部门或人员应检查信息系统的开发、运行与维护业务内部控制制度是否健全,各项规定是否得到有效执行。
审计依据
笔者认为,信息系统内部控制审计的依据,除了国家关于信息系统管理方面的法律法规,企业制定的信息系统管理制度及《企业内部控制手册》中有关信息系统的内容外,还应该包括国家、行业协会与被审计单位有关企业信息系统方面的规范及标准等。
审计目标
信息系统内部控制审计的目标,就是保证信息系统内部控制设计和运行的有效性,促使企业预防和控制信息系统风险,包括:
(一)证实信息系统管理内部控制是否建立、健全并有效执行。
(二)证实各项信息系统业务是否合法、合规等。
审计内容
信息系统内部控制审计内容,因审计主体、审计要求及审计方式的不同而不同。采用传统的全面审计方式,信息系统内部控制审计是审查和评价信息系统内部控制设计和运行的有效性两个方面,范围包括信息系统的开发、运行与维护等业务。
采用现代以风险为导向的审计方式,应以信息系统风险为导向,审计已经设计完成的信息系统内部控制及其相关的管理制度是否有效执行,是否有效控制了信息系统风险;已经设计信息系统各控制点的控制措施是否有效实施,是否有效防止了各控制环节的风险;是否根据业务、环境等的变化持续改进信息系统内部控制等。
审计程序
关于信息系统内部控制审计程序,一般包括信息系统内部控制有效性调查、初步评价、风险评估、控制测试、评价缺陷、审计评价、形成意见等。
(一)调查了解
调查了解,就是调查了解信息系统内部控制设计和运行的基本情况,是信息系统内部控制审计实施阶段的首要环节。
信息系统调查这项工作是在内部控制审计总体工作准备阶段的基础上进行的,涉及具体内容很多,也因单位的不同而不同。对信息系统内部控制调查了解的方法有文字叙述法、调查表法、流程图法、控制矩阵法等。这些方法各有其特点,经常综合运用。实际审计工作中,为提高信息系统内部控制审计效率,调查了解工作应同信息系统现场测试工作一并进行,不宜为满足调查而走形式。
(未完待续)