浅谈如何开展计算机信息系统审计

包括信息科技治理、信息科技风险管理、信息安全管理、信息系统开发测试管理、信息科技运行维护和业务连续性等方面。

商业银行信息科技风险审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。

依据银监会颁发的《商业银行信息科技风险管理指引》对商业银行的信息科技及其风险管理工作进行全面的审计，内容包括信息科技治理、信息科技风险管理、信息安全管理、信息系统开发测试管理、信息科技运行维护和业务连续性等方面。

1、有迹象表明被审计单位误解审计目标和范围。

2、需要修改约定条款或增加特别条款。

3、被审计单位高级管理人员近期发生变动。

4、被审计单位所有权发生重大变动。

5、被审计单位的性质或规模发生重大变化。

6、法律法规的规定发生变化。

7、编制财务报表采用的财务报告编制基础发生变更。

8、其他报告要求发生变化。

审计业务约定书，是指会计师事务所与客户签订的，用以记录和确认审计业务的委托与受托关系、审计工作的目标和范围、双方的责任以及出具报告的形式等事项的书面合同。

签订审计业务约定书的目的是为了明确委托人与受托人的责任与义务，敦促双方遵守约定事项并加强合作，以保护会计师事务所和被审计单位的各自利益。在独立审计实务中，签订审计业务约定书具有以下几方面作用：

1、增进了解，加强合作。签订审计业务约定书的过程，就是会计师事务所与委托人和被审计单位之间相互了解的过程，体现在会计师事务所对委托目的，被审计单位基本概况等方面的了解，也体现在被审计单位对审计目的、审计范围、审计依据、审计责任等的了解，有利于加强双方的合作。

2、明确义务，划分责任审计约定书应对双方的责任和义务做出明确的规定，以求尽可能减少各方对另一方的误解，减少审计业务中涉及处理事项的互相推诿现象。如果出现法律诉讼，审计业务约定书是确定会计师事务所和委托人双方应负责任的重要依据。

3、为检查业绩提供依据利用审计业务约定书可以鉴定审计业务的完成情况，也可以用于检查双方义务的履行情况。

未来一段时期内，审计机关要想完成“全面审计，突出重点”的审计目标，担负起社会经济运行的“免疫系统”作用，就必须要使信息系统审计有所作为，这迫使我们必须加快信息系统审计的步伐。

信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整，以及有效率地利用组织的资源并有效果地实现组织目标的过程（国际信息系统审计与控制协会ISACA的定义）。目前审计机关信息系统审计主要有两种方式，一种是将信息系统审计作为常规审计的一部分，为实现审计项目的总体目标服务，即数据审计、信息系统审计和系统内部控制审计“三位一体”的结合方式。信息系统审计和系统内部控制审计为数据审计服务，通过审计数据得出结论。另一种是独立立项的，直接审计信息系统本身的安全性、可靠性和有效性。

二、开展信息系统审计的紧迫性

信息系统审计作为国家审计机关的一项重要工作，是信息化发展到一定程度的必然产物。

（一）开展信息系统审计是控制审计风险的要求。近几年，审计纸质账目时，内部控制也要审计，不能假账真审。同样的道理也不能假电子数据真审，如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题，计算机数据审计就会存在风险，系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。

（二）开展信息系统审计是全面履行审计职责的要求。信息化环境下的审计，电子数据、信息系统、系统内部控制审计必须“三位一体”，在审计过程中，这三项内容不能少。只有这样，我们才能完成“全面审计，突出重点”的要求，全面履行审计职责。

（一）提高全体审计人员信息系统审计的意识。

“审计人员不掌握计算机技术，将失去审计资格”这一观点基本得到了八万审计人员的认同，这些年计算机在审计领域得到了普遍的应用，数据审计得到了有力的推进，但大多数人对于信息系统审计的认识还不到位，对开展信息系统审计的必要性、紧迫性认识不足，甚至对开展信息系统审计的可行性持怀疑态度。为保证信息系统产生的数据真实完整，信息系统的安全、可靠和有效，重大的审计项目，只要被审计单位应用的是信息系统，我们就必须审计信息系统，检查系统内部控制，只有这样才能防止假账真审。

（二）重视计算机信息系统审计人才的培养，不断提高其审计技能。

计算机信息系统审计对审计人员的专业技能要求较高，除了需要审计人员具备相应的审计技能外，还要具备较高的计算机水平。计算机信息系统审计人员的获得有两个渠道，一是在配备人员时就将计算机技能作为一个必要条件，在实际工作中不断培养其审计技能；二是对现有审计人员进行计算机知识的培训，增强其信息技术审计能力。由于计算机技术涉及的范围广、技术复杂性强、计算机信息技术快速发展的特点，决定了不论以何种方式获得的信息技术审计人员，都要对其进行持续不断的后续教育。

（三）信息系统审计应重点关注三个环节

（1）内部控制环节。

在计算机系统中，应检查以下方面来证明内控制度的有效性：1控制系统资源的存取。包括物理资源，例如终端、服务器、连接盒、相关文档等；还包括逻辑资源，如软件、系统文件和表、数据等。2控制系统资源的使用。用户应该只能对授权给他们的那些资源进行 *** 作。3建立按用户职能分配资源的制度。把重要的任务功能按用户或用户组进行分离，以减少无意的误 *** 作、滥用系统资源和对数据的非授权修改。4记录系统的使用情况。按时间顺序建立一个使用记录，记录内容应包括例外事例和与安全有关的事件是由谁触发的，财务信息的创建、修改和删除是由谁完成的。5确认处理过程的准确性。用产生财务控制信息，确认处理过程的准确完成。6管理人员对财务信息系统的修改。应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底(独立地)测试的，确认最后以一种有控制的方式投入使用。7保护财务信息系统免遭计算机病毒的袭击。必须建立一套控制措施，检测病毒，防止病毒感染财务信息系统。

（2）数据环节。

在审计中，审计人员选择一些交易对其进行详细检查，确认交易记录是否符合一般的审计目标。一是检查会计事项信息，要检查它的完整性、时效性、合规性和信息披露等方面，检查内容包括与本会计年度有关的交易是否全部记录在册；所有记录的交易是否都是合理发生的并与本会计年度有关；记录的交易是否数据准确，计算无误：记录的交易是否符合基本的和辅助的法律规定，符合特定权威机构的要求；对记录的交易是否进行正确的分类，并符合信息对外披露的要求等。二是检查财务报表信息，要检查完整性、存在性、会计计量、所有权以及信息披露等方面，检查内容包括是否记录了所有的资产和负债：所有记录的资产和负债是否都是存在的；对资产和负债的计量是否精确，计算方法是否符合按合理性、一致的标准制定的会计政策的要求：确认资产是被审主体所有的、负债是被审主体应该承担的，并且资产和负债是否由合法的经济活动产生的；资产、负债、资本和存货是否都得到正确的披露。同时对信息系统提供的业务信息也要进行分析，例如每月的工资总数、某阶段的付款清单和订货信息等，要弄清基本的交易情况，并一直追踪到信息源。对上述信息的分析可以采用计算机辅助审计技术，按照特定的标准对数据进行汇总、分类、排序、比较和选择，并进行各种运算。

(3)数据传输转移环节

在信息系统中，有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移，在此过程中可能会出现一些问题，尤其是在需要手工重新录入时。因此在审计时要重点关注以下方面：在转移过程中数据可能会发生变化；新的科目代码表与老的可能不一样，需要在两个财务信息系统之间建立复杂的对应关系：中心数据库可能被一些地理上分散的服务器取代；当前财务信息系统中的数据质量不佳；当用一个总的信息系统取代一个预定财务信息系统时，需要补充许多新的数据。在检查这一环节时，一定要保证输出的消息是经过批准、完整和精确的，保证输出的消息在约定时间内准确地发送给指定的接收者，保证流人的消息是完整、准确和真实可靠的。

以上就是关于商业银行信息科技风险审计主要都包括哪些方面全部的内容，包括:商业银行信息科技风险审计主要都包括哪些方面、连续审计情况下，哪些情况下注册会计师应当考虑重新签订审计业务约定书、浅谈如何开展计算机信息系统审计等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！