內(nèi)部審計中的信息系統(tǒng)審計的內(nèi)容

時間：2024-08-05 23:34:33 國際注冊內(nèi)部審計師我要投稿

相關(guān)推薦

　　劃分責任方

　　定義審計邊界、確定審計范圍的責任方有以下兩個層面：

　　決策層面

　　決策層面即董事會、管理層根據(jù)企業(yè)發(fā)展的戰(zhàn)略需求或者管理需求提出對IT相關(guān)項目的審計要求。這種要求是宏觀性的，是大的方向。例如保護企業(yè)信息安全是大數(shù)據(jù)時代企業(yè)生存和發(fā)展面臨的一個非常重要的問題，一旦董事會、管理層決定加強這方面的保護力度，或者發(fā)現(xiàn)了問題的隱患，就會提出對信息系統(tǒng)數(shù)據(jù)、信息安全控制方面的審計。

　　執(zhí)行層面

　　執(zhí)行層面即審計部門要根據(jù)企業(yè)計劃的安排，根據(jù)決策層授權(quán)提出的方向，定義具體審計的范圍和內(nèi)容。如根據(jù)決策層關(guān)于數(shù)據(jù)、信息安全的大方向，需要審計信息系統(tǒng)中的哪些子系統(tǒng)、一般控制的哪些內(nèi)容、哪些管理制度，都要一一詳細、具體定義。

　　視情況而定

　　在對信息系統(tǒng)開展的審計中，可能存在以下三種情況：

　　生命周期審計

　　第一種情況是對信息系統(tǒng)生命周期進行同步審計，對每一個流程都開展詳細審計。這種情況作為企業(yè)內(nèi)部審計都會遇到，也是企業(yè)內(nèi)部審計的一項職責。盡管如此，對每一個治理和管理流程開展審計時，也要明確的定義好每個流程的邊界。

　　系統(tǒng)審計

　　第二種情況是對已經(jīng)開發(fā)好、并投入運行的系統(tǒng)開展審計。這類審計的目的是評估信息系統(tǒng)的功能是否達到了企業(yè)需要，是否需要更新。這類系統(tǒng)是企業(yè)整個信息系統(tǒng)的一個部分，是其中的一個或者幾個子系統(tǒng)。開展這種情況的審計時要明確審計的是什么?是哪一個或者哪幾個子系統(tǒng)，把需要審計的對象摘取出來，與審計目的無關(guān)的不要涉及。

　　業(yè)務(wù)審計

　　第三種情況常常是和企業(yè)業(yè)務(wù)審計結(jié)合在一起的，如檢查企業(yè)對供應商管理的審計中，要檢查到信息系統(tǒng)中供應商子系統(tǒng);檢查企業(yè)人力資源管理時，涉及到人力資源管理子系統(tǒng)。在開展這類審計時，要明確業(yè)務(wù)涉及到的信息系統(tǒng)是什么系統(tǒng)，范圍是什么，系統(tǒng)的邊界如何劃分，審計應該審計的內(nèi)容。處理好上述三種情況，就能在制定審計計劃時列出明確的范圍，在實施審計時突出重點，有條不紊。

　　伴隨著大數(shù)據(jù)時代的到來，企業(yè)的信息系統(tǒng)越來越系統(tǒng)化，呈現(xiàn)出與企業(yè)目標有機融合的整體性，隨著信息技術(shù)和企業(yè)業(yè)務(wù)發(fā)展而不斷發(fā)展的動態(tài)性，包含子系統(tǒng)眾多的復雜性等特性，一句話，信息系統(tǒng)越來越復雜了。如現(xiàn)在在很多企業(yè)推行的ERP、SAP系統(tǒng)，包含的子系統(tǒng)動輒以千計，涵蓋企業(yè)的供應商、進貨、庫存、生產(chǎn)、銷售、銷售商、財務(wù)會計、管理會計、人力資源等各個方面，包含的數(shù)據(jù)表更是數(shù)以萬計。企業(yè)內(nèi)部審計對如此復雜的系統(tǒng)開展審計，在實務(wù)中，會感覺十分迷茫。那么在內(nèi)部審計中信息系統(tǒng)的審計究竟審什么呢，我們有必要對其進行一些深入討論。

　　信息系統(tǒng)的審計首先要考慮的問題是定義審計什么，也就是審計信息系統(tǒng)的哪一個部分，審計的范圍如何界定。在安排審計計劃時都要科學劃定審計的邊界，而不能籠統(tǒng)地對企業(yè)整個信息系統(tǒng)都開展全面的審計，因為那樣做，會超越審計的實際需要，造成力不從心，無法實施或無力勝任的困境。在企業(yè)內(nèi)部審計實務(wù)中還常常會遇到根據(jù)企業(yè)面臨的風險或特殊需要，而安排信息系統(tǒng)審計專項審計的情況，如信息和數(shù)據(jù)安全專項審計、信息系統(tǒng)建設(shè)投資專項審計、外包專項審計、內(nèi)部控制合規(guī)性專項審計等等，遇到這類情況，也要首先定義審計的內(nèi)容和范圍。