2017审计师考试《审计理论与方法》章节重点：信息系统审计

　　第三节　信息系统审计

　　一、信息系统审计概述

　　(一)信息系统审计的概念

　　信息系统审计指的是对用于经营决策、业务管理和财务核算的(组成部分)信息系统及其内部控制措施以及信息系统生命周期进行的审计。

　　(二)信息系统审计的目标

　　总目标：通过对信息系统本身的安全性、可靠性、有效性和效率性等进行评价，从而合理保证信息系统所产生数据的准确性、完整性，最终促进企业资产安全性、完整性以及企业总目标的实现。

　　(三)信息系统审计在国家审计中的开展方式

　　信息系统审计在国家审计中的开展主要有两种方式：

　　一种是辅助于传统审计目标纳入传统审计的框架，在这种方式中信息系统审计主要是作为一种技术法服务于传统审计。(利用“计算机信息系统”审计)

　　另外一种是独立的信息系统审计，这种方式中信息系统审计是作为独立的审计类型对信息系统本身的安全性、可靠性、有效性和效率性发表意见。(对“计算机信息系统”审计)

　　本节中所指的是后一种。

　　二、信息系统审计的内容

　　信息系统审计的内容主要由信息系统内部控制审计、信息系统组成部分审计以及信息系统生命周期审计所组成。

　　(一)信息系统内部控制审计

　　1.一般控制审计

　　(1)组织控制审计。

　　(2)信息系统的开发维护控制审计。

　　(3)安全控制审计。

　　(4)软硬件控制审计。

　　2.应用控制审计

　　(1)输入控制审计。

　　(2)处理控制审计。

　　(3)输出控制审计

　　【例题4·多选题】下列属于系统内部控制审计中一般控制审计内容的有：

　　A.组织控制

　　B.安全控制

　　C.软硬件控制

　　D.输入控制

　　E.处理控制

　　[答疑编号6162110104]

　　(二)信息系统组成部分的审计

　　从信息系统的组成来看，信息系统是由人、计算机硬件、系统软件、应用软件所组成的计算机系统。

　　其中应用程序(软件)审计包括：

　　1.应用程序的控制措施是否健全有效。

　　2.应用程序的合法性。

　　3.应用程序的正确性。

　　4.应用程序的效率性。

　　【例题5·多选题】对信息系统组成部分的审计时信息系统审计的内容之一，其审计内容包括有：

　　A.计算机硬件

　　B.系统软件

　　C.安全控制

　　D.应用软件

　　E.组织控制

　　[答疑编号6162110105]

　　(三)信息系统生命周期的审计

　　信息系统的生命周期包括信息系统的规划、开发、设计、编码、测试等全过程。包括：

　　1.信息系统的可行性。

　　2.信息系统开发、设计、编码、测试等阶段是否完成阶段目标，才转入下一个阶段。

　　3.信息系统测试的全面性、适当性。

　　4.完成的信息系统功能上是否达到预定的需求，时间进度是否控制在计划之内，预算有没有超过标准等。

　　三、信息系统审计的技术方法

　　信息系统审计过程与一般的审计过程一样，分为审计准备、审计实施和审计终结阶段。

　　主要介绍审计实施阶段的审计技术方法。

　　审计实施阶段，审计人员的工作又可以分为三个层次：了解、描述和测试。

　　(一)信息系统了解的方法，如询问、检查、观察等。

　　(二)信息系统描述的方法包括：文字描述法、表格描述法和图形描述法。

　　(三)信息系统测试的方法：了解和描述方法在传统审计中同样有，但是信息系统测试的方法却是信息系统审计独有的。(7种，定义判断)

　　【例题6·单选题】下列有关信息系统审计技术方法的表述，正确的是：

　　A.调查了解信息系统不能采用询问、检查、观察等传统方法

　　B.描述信息系统的方法与常规审计中描述内部控制的方法不同

　　C.信息系统测试的方法是信息系统审计独有的

　　D.信息系统审计与传统审计在终结阶段有很大的区别

　　[答疑编号6162110106]

　　1.测试数据法：审计人员设计一套虚拟的业务数据，将其输入到计算机中，观察比较输出是否与预期相符。

　　2.平行模拟法：审计人员开发一个与被审计单位信息系统或程序模块功能完全相同的模拟系统，将被审计单位的真实数据放入模拟系统中运行，观察其输出是否与被审计单位信息系统相一致。

　　3.嵌入审计模块法：在被审计单位的信息系统中加入为审计而编写的程序代码。嵌入的模块成为信息系统的组成部分，并可以在特定的时间间隔或是条件触发时为审计人员提供有关数据和报告。

　　4.虚拟实体法：对测试数据法的改良，一般做法是在信息系统中建立虚拟的实体(如虚拟的供应商、客户、员工等)，然后将虚拟实体的有关数据与真实的运行数据一起输入信息系统进行处理，最后将虚拟实体的输出结果与预期进行比较，确定信息系统的控制功能是否发生作用。

　　5.受控处理法：审计人员在对被审计单位的真实业务数据在处理之前先进行核实，核实之后在被审计单位的信息系统上监督处理或亲自处理，并将处理结果与预期结果进行比较分析，以判断被审计单位的系统是否符合预定的要求。

　　6.受控再处理法：是将已经由被审计单位处理过的真实数据，在审计人员的监督下，或由审计人员亲自在相同的信息系统或以前保存的程序副本上再处理一次，将二次处理的结果与以前处理的结果相比较，判断当前的信息系统程序是否符合既定要求。

　　7.程序代码检查法

　　程序代码检查法是通过检查源程序代码的内部运行逻辑来发现所存在的问题，并对程序是否符合规章制度规定、能否完成预定功能及其质量进行评判的方法。

　　【例题7·单选题】下列各项中，不属于信息系统测试方法的是：

　　A.测试数据法

　　B.平行模拟法

　　C.图形描述法

　　D.虚拟实体法

　　[答疑编号6162110107]