浅析信息系统审计的制约因素

/CHINAMANAGEMENTINFORMATIONIZATION浅析信息系统审计的制约因素张延琳袁余昕袁袁培袁杨雨婷渊南京审计大学管理科学与工程学院信息管理系袁南京211815冤［摘要］回顾了信息系统审计的发展和信息系统审计的主要内容袁对信息系统审计开展的制约因素进行了分析袁并提出了相应的对策遥［关键词］信息系统审计曰信息系统风险曰制约因素doi:10.3969/j.issn.1673-0194.2016.19.022［中图分类号］F239.6［文献标识码］A［文章编号］1673-0194渊2016冤19-0036-02［收稿日期］2016-07-11［基金项目］南京审计大学大学生创新创业训练计划项目渊项目编号院14冤曰江苏省审计信息工程重点实验室开放课题渊AIE201207冤。员信息系统审计的发展现状圆园世纪远园年代袁随着会计信息化的发展袁使得审计人员也面临着新的挑战袁耘阅孕审计作为信息系统审计的雏形应运而生遥苑园年代美国内部审计师协会发表的杂粤悦报告袁提出了多种计算机辅助审计技术袁对利用计算机对信息系统直接进行审计进行了初步探索遥愿园年代时袁信息系统审计逐步成熟并专业化袁怨园年代时袁信息系统审计开始高速发展遥国际信息系统审计与控制协会制定并颁布了一系列相关准则和指南袁确立了信息系统审计的标准袁并推出了悦陨杂粤的专业资格认证遥圆信息系统审计的主要内容按照陨杂粤悦粤协会推出的审计指南悦韵月陨栽袁信息系统审计的内容可以分为四个主要部分咱员暂院计划与组织尧开发与获取尧交付与支持尧运行与监控遥这四个部分或者称为领域又进一步细分为多个流程渊猿源个流程冤尧并制定了相应的信息系统控制目标渊圆员远个控制目标冤遥对控制目标的检查就构成了信息系统审计的基础袁在具体的审计项目中袁可以进行剪裁遥而这猿源个流程袁也覆盖了信息系统的整个生命周期遥猿信息系统审计开展的制约因素虽然信息系统审计已经有了国际上成熟的标准和组织袁国内很多行业如金融尧保险尧通信等行业也有迫切的需求袁但是信息系统审计在国内的开展却不尽人意遥制约信息系统审计开展的因素主要有以下方面遥3.1对信息系统的认识不足信息系统本身和信息系统所处的环境有联系又有区别的两个问题遥由于多数审计人员缺乏信息系统的专业背景袁因此在审计中很容易主要关注信息系统的环境等显性问题袁如具体的信息系统设备的采购和管理问题袁而忽视了信息系统的功能是否满足需求的关键问题遥另一方面袁审计风险来自于审计人员的判断袁信息系统审计在实施时很容易演变成信息系统是否存在问题袁源自于审计人员的技术水平袁而不是系统本身的安全性和可靠性咱圆暂遥3.圆信息系统审计的标准难以确定审计是一种特殊的评价袁而评价的前提在于标准遥信息系统审计涉及到系统开发尧系统安全尧数据与信息的处理尧存储和管理尧会计信息处理自动化尧表示代码化尧内部控制程序化等诸多广泛尧复杂的计算机专业技术环节袁其技术性较高遥而我国信息化发展的不平衡和多样性袁导致被审计的信息系统对象的多样性袁为审计部门开展信息系统审计提出了挑战遥另外袁由于我国信息系统审计正处于起步阶段袁对审计机关如何开展信息系统审计尚在积极探索中袁导致长期以来缺乏具备可操作的信息系统审计准则和操作指南遥信息系统审计的实施和开展更多依赖于个人经验袁缺乏统一的标准袁难以形成持续和标准化的流程遥3.猿信息系统审计的人才缺乏任何工作的开展最终都是由人来完成遥作为新兴的审计领域袁目前尚缺乏既熟悉审计业务又掌握计算机技术的复合型审计人才是一个普遍存在的问题咱猿暂遥实施信息系统审计所涉及的知识面非常广袁涉及到管理科学尧心理学和行为科学尧信息系统等多个学科袁并对从业人员的经验有一定要求袁才能在复杂的环境中对信息系统的风险有深刻清晰地认识遥信息系统本身的风险并不是最重要的袁关键的是对信息系统业务产生的影响要有正确的理解遥野功夫在诗外冶袁对信息系统风险的识别的根本在于对业务的深刻理解袁而这往往是懂技术尧没经验的技术人员欠缺的袁这也导致了很多有证书尧但缺乏经验的审计人员觉得信息系统审计难以开展的真正原因遥源信息系统审计开展的对策4.员深化认识李金华审计长早在员怨怨愿年提出的野不掌握计算机技术袁将会失去审计资格冶袁充分说明了开展信息系统审计的重要性遥在国内审计队伍中袁也有很多原来并非技术出身的人员却在计算中国管理信息化悦hinaManagementInformationization2016年10月第19卷第19期Oct.袁2016Vol援19袁No援1936Copyright©博看网系统的风险与审计张金城袁李庭燎渊南京审计大学袁南京211815冤［摘要］分析了ERP系统的主要风险袁将ERP系统审计分为ERP系统实施过程中的审计与ERP系统实施后的审计两种类型袁并对审计内容进行了初步探讨遥［关键词］ERP审计曰ERP风险曰信息系统审计doi:10.3969/j.issn.1673-0194.2016.19.023［中图分类号］F239.1［文献标识码］A［文章编号］1673-0194渊2016冤19-0037-02［收稿日期］2016-06-21［基金项目］江苏省高校自然科学研究重大项目渊12KJA630001冤曰江苏省审计信息工程重点实验室开放课题渊AIE201207冤遥耘砸孕是集成业务尧管理尧财务的全系统袁是对企业物流尧资金流尧信息流进行一体化管理的软件系统咱员暂遥耘砸孕系统的系统审计是信息系统审计的一个子集袁是对业务审计的重要支撑咱圆暂遥耘砸孕系统下对传统的审计模式寓审计程序和方法等都带来了冲击咱猿暂袁应充分认识到新形势下对耘砸孕系统的风险进行分析和审计的重要性遥员耘砸孕系统的风险普通的商业活动中袁企业组织都承担一定的风险袁建立风险控制或安全防护可以降低这些风险遥但如果控制手段不充分袁组织就有可能面临巨大的风险袁并遭受损失遥任何陨栽环境都会产生特定的脆弱性和威胁遥脆弱性是基于陨栽系统的薄弱点或缺点袁某种系统功能或资源被误用或者其他一些具有破坏性的威胁产生袁都会引发这些系统弱点对企业环境造成破坏遥威胁可能来自于物理环境袁也可能是人为造成的遥破坏性事件的风险不可能被完全排除袁但企业可以运用控制手段将这些风险降低到合理水平遥耘砸孕系统的风险包括院渊员冤技术误用遥信息技术必须与用户的需求相适应袁才能最大化地满足这些需求袁技术与需求不匹配会导致企业资源浪费遥常见的错误企业在没有准备好情况下引进新技术袁经验表明袁一项新技术的早期用户通常要花费大量的资源来学习使用这项新技术遥导致技术误用的原因有院使用者未熟练掌握新的硬件技术和软件技术曰安装新硬件和软件技术前未经过充分策划曰系统分析员辕程序员使用技术时操作失误遥渊圆冤未能有效控制技术遥陨栽部门把绝大部分精力都放在了与新技术实施有关的问题上袁大量研究表明他们通常没有时间去开发和安装技术控件袁结果企业不得不花费资源去解决新技术带来的问题遥技术环境需要控制袁有效的控制才能保证适当的程序在恰当的时机运行袁同时保证文件安装正确以及操作员机审计领域取得了很好的成果遥因此袁技术并不是开展信息系统审计真正的困难遥况且技术的发展日新月异袁对于任何人来说都是一个不断学习的过程遥最终要的是要保持学习的精神袁才能在新的信息化的环境下形成正确的认识遥4.圆学习标准没有做过财务工作的人袁很难做好财务审计袁因为缺乏对什么是对什么是错的客观评价遥同样袁要开展信息系统审计袁就要求从业人员对信息系统要有基本的理解遥要注意的一点是袁这里并不是强调审计人员的开发技能袁而是要求审计人员要能够识别信息系统的风险遥4.猿培养队伍缺乏精通计算机又精通审计的人才观点袁某种程度上来说反映了认识中对独特资源依赖的狭隘观点袁认为一个高手可以解决所有问题遥而事实上这样的专家很难在短期内培养袁即使培养出来了袁也很难在固定的岗位上留得住遥更合适的做法应该是形成好的尧成熟的机制和流程袁培养一支具备全面技能的队伍遥主要参考文献咱员暂李庭燎袁王洁援联合国儿童基金会信息系统审计的实施与特点咱允暂援南京审计学院学报袁圆园员圆渊员冤院缘愿原远圆援咱圆暂唐剑援当前开展信息系统审计面临的难点和建议咱允暂援审计与理财袁圆园员圆渊圆冤院员怨原圆园援咱猿暂赵长明援我国二手房地产交易价格风险的核算咱允暂援统计与决策袁圆园员源渊员冤院50-52.中国管理信息化悦hinaManagementInformationization2016年10月第19卷第19期Oct.袁2016Vol援19袁No援1937Copyright©博看网