高校信息系統(tǒng)審計論文范文
本站小編為你精心準備了高校信息系統(tǒng)審計論文參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
一、信息系統(tǒng)審計的主要內容
(一)信息系統(tǒng)審計的定義。中國內部審計協(xié)會(2014)認為信息系統(tǒng)審計是指“內部審計機構和內部審計人員對組織的信息系統(tǒng)及其相關的信息技術內部控制和流程所進行的審查與評價活動”。按照上述定義,信息系統(tǒng)審計的重點跟傳統(tǒng)審計一樣,還是專注于內部控制與流程,但關注點不同,信息系統(tǒng)審計的關注點是信息系統(tǒng)的控制和流程,而不僅僅只關注相關的制度和規(guī)范。
(二)信息系統(tǒng)審計的目標。信息系統(tǒng)審計和控制聯(lián)合會(ISACA)COBIT框架認為組織內部的信息系統(tǒng)需求三原則是:質量、成本和安全,即在保證信息系統(tǒng)滿足組織需求的前提下,盡可能避免組織內外部風險,并減少研發(fā)和維護成本。因此信息系統(tǒng)審計的目標就是對組織信息系統(tǒng)的運行的可靠性,數(shù)據(jù)的真實性和安全性提供評價。
(三)信息系統(tǒng)審計的步驟。由于大多數(shù)高校內審機構在“數(shù)字化校園”開發(fā)階段并沒有參與其中。本文所述的信息系統(tǒng)審計專指信息系統(tǒng)運行維護階段的審計。
1.審計準備階段。信息系統(tǒng)審計準備階段步驟與傳統(tǒng)審計類似,通過從被審計單位獲取相關信息系統(tǒng)管理的規(guī)章制度,找負責系統(tǒng)維護管理的工作人員座談,實地觀察等方式,完成審前調查,進行風險評估、初步確定審計重點和制定審計實施方案等工作。
2.審計實施階段。信息系統(tǒng)審計在實施階段分為兩部分,分別為信息系統(tǒng)一般控制審計和應用控制審計。一般控制審計往往比應用控制審計更為重要,因為應用控制的有效性常常受到一般控制的影響。根據(jù)審計項目不同,審計人員可以只實施一般控制審計或者兩者結合進行審計。(1)一般控制審計。一般控制審計又可以分為硬件和軟件兩部分,兩部分的審計重點和方法有所不同,分別為:對硬件的審計通過實地觀察法實施,主要有審計網(wǎng)絡接口是否安全,是否有硬件防火墻,硬件設備存放環(huán)境是否安全,防火、防雷、防盜措施是否完備,是否裝備了UPS,在硬件出現(xiàn)故障時是否制定了應急響應計劃等。對軟件的審計通過抽樣、觀察和面談實施,審計重點為:一是系統(tǒng)管理控制,主要有系統(tǒng)設定的職責分離是否合理,授權管理是否充分,是否做到一個系統(tǒng)賬戶對應一個工作人員,是否確保了只有被授權的用戶才能對特定資源和數(shù)據(jù)進行訪問等;二是軟件安全控制,主要有是否安裝了殺毒軟件,軟件是否定時升級,未經(jīng)授權的軟件能否安裝,是否有系統(tǒng)操作規(guī)范等;三是數(shù)據(jù)管理控制,主要有數(shù)據(jù)傳輸是否加密,系統(tǒng)數(shù)據(jù)是否定期備份,有無冗余備份,數(shù)據(jù)修改是否按照規(guī)定程序進行審核,向外部傳輸系統(tǒng)數(shù)據(jù)是否有身份認證,是否定期對數(shù)據(jù)質量進行檢查等。(2)應用控制審計。信息系統(tǒng)應用控制是指為保證應用程序處理數(shù)據(jù)時按照組織流程運行,確保數(shù)據(jù)的完整性和真實性的控制,包括輸入控制、處理控制、輸出控制三部分。輸入控制包括輸入授權、數(shù)據(jù)轉換和編輯校驗,處理控制包括運行總數(shù)控制、計算機匹配和批處理控制,輸出控制包括復核系統(tǒng)處理日志、審核輸出文本、審核程序。對應用控制的審計,主要通過分析性復核和計算機輔助模擬的方法,審計重點為信息系統(tǒng)業(yè)務的控制點設置是否合理,數(shù)據(jù)處理程序最多運行數(shù),是否有審核系統(tǒng)日志程序等。
3.報告階段。內審人員根據(jù)實施階段編制的工作底稿,出具審計報告初稿,與被審單位充分溝通后,修改審計報告,報相關層級領導審核后,簽發(fā)正式審計報告。
二、高校做好信息系統(tǒng)審計的措施
1.轉變觀念,提高開展信息系統(tǒng)審計必要性的認識。“數(shù)字化校園”建成以后,高校內部控制環(huán)境已經(jīng)悄然發(fā)生改變,內部審計要想充分發(fā)揮其獨有的管理評價職能,必須迎頭而上,及時開展信息系統(tǒng)審計。不少內審機構認為信息系統(tǒng)審計專業(yè)性太強,無從著手,實際上信息系統(tǒng)審計的核心并沒有改變,還是對信息系統(tǒng)控制的評價,并沒有超出審計人員專業(yè)知識的范疇。
2.結合實際,建立信息系統(tǒng)審計的體系。當前,國際上已經(jīng)有比較成熟的關于信息系統(tǒng)審計的體系,那就是信息系統(tǒng)審計和控制聯(lián)合會(ISACA)COBIT體系,但完全照搬肯定是不行的,在實際操作中,內審機構必須結合國情、校情,進行修訂更改,出臺符合自身工作實際的、具備可操作性的信息系統(tǒng)審計體系,以規(guī)范審計工作。
3.加強對內審人員的培養(yǎng)。內審機構可以通過以下方式提高內審人員業(yè)務素質:一是鼓勵內審人員取得CISA資格。由ISACA頒發(fā)國際信息系統(tǒng)審計師(CISA)執(zhí)業(yè)證書是唯一在國際上獲得認可的證書,具有很強的權威性。二是在聘請外部審計機構進行信息系統(tǒng)審計的同時,讓內審人員參與其中,做到邊實踐邊總結,起到“以審帶練”的作用。
4.在現(xiàn)有“數(shù)字化校園”平臺的基礎上,提供計算機輔助審計軟件接口。“數(shù)字化校園”的建成,為內部審計實現(xiàn)審計方式的轉變提供了可能。通過軟件接口,內部審計能夠隨時監(jiān)控學校各部門執(zhí)行制度和程序情況,實現(xiàn)事中審計,更好地發(fā)揮內部審計職能。
作者:李濤單位:襄樊職業(yè)技術學院監(jiān)察審計處
