请教 上市公司IT审计

企业信息化绩效评价是一项涉及范围广、内容复杂的系统工程，无论是评价工作的组织实施，还是评价结果的具体应用都必须遵循一定的制度规范。企业信息化建设向着纵深发展，必然要在更深层面上解决体制和机制问题，从宏观层面建立并推行企业信息化绩效评价的有关工作制度。1 政府通过政策法规进行引导由于企业自身的局限性，企业对绩效管理的认识需要经历一个从被动接受到主动认识的过程，如果仅靠企业自身逐渐建立和完善绩效管理制度将是一个漫长的过程。政府的政策推行和立法引导是完善企业绩效管理制度的捷径，有助于从宏观上创建重视绩效管理的氛围，由强制执行逐渐引导企业走向自主进行绩效管理的正轨。美国在推行IT绩效管理制度方面，政府起到非常重要的引导作用。自90年代以来，美国相继颁布了各种法令，通过政府行为引导组织重视IT的绩效。下面列举了一些美国政府所采取的措施:1990年颁布的《首席财务官法案》(CFO法):要求在对机构审查时关注财务声明中的绩效信息，包括系统评价信息，机构应该制定年度绩效计划，采用可度量的、可比较的绩效指标衡量相关的输出以及服务的水平。1993年与1994年，分别颁布了《政府绩效与成果法案》和《联邦获取简化法案》(FASA):法案要求联邦机构在评价时要考查成本、绩效、规划等几个方面。确定是否有耽误进度、超支、与能力不符的现象存在，该法案实际上将规划与责任、绩效统一起来。1995年，颁布了《削减纸张法案》。该法案要求机构建立信息资源管理目标，通过IT改善生产力与效率，主张通过工作过程重新设计以及IT的应用提高政府部门的工作效率。机构需要对IT的成本收益进行分析，并进行信息系统实施后的审查、验收以及文档的管理等。1996年，颁布了Clinger-Cohen法案;该法案要求制定利用IT改进目标的计划。绩效评价目标必须评价IT如何支持机构的计划、机构必须制定基准，在成本、速度、生产力、输出、质量、成果等方面提供一个可比较的基准，确保IT投资有效支持组织使命的管理过程。此外，年度绩效评价应该说明IT在机构中的具体运营情况。这些相继出台的立法都要求IT绩效管理的改善，并强调实施的责任以及强调结果导向的管理。法案中定义了成本绩效以及进度目标，提出通过IT来简化联邦组织的计划，这些法案的颁布促进了结果导向的绩效管理的发展。这些法案的颁布对IT绩效管理起到积极推动的作用。组织的高层领导不得不增强对IT绩效的重视程度。然而，对组织机构的管理者而言，其最终目标不只是要建立符合这些法令和法规要求的形式，而是如何使用有效的IT管理方法和系统来管理和衡量绩效。因此，绩效管理逐渐由政府强制执行过渡到企业要求自主评价的轨道上。美国政府在绩效管理的这套做法对我国也具有很强的借鉴意义。目前，我国政府已经通过法律规章制度对信息系统的开发、运行以及维护过程进行控制，以确保信息系统的安全与质量。尤其对于政府公开政务、银行、保险、国防安全等对安全和实时响应的要求很高，并关系着国际民生的信息系统，都通过法律和制度进行严格控制。对于一些上市公司，为了保护投资者的利益，法律法规方面的外部控制也起着很大的作用，必须按照一定的规章制度来进行。这说明我国政府在保证信息化的质量上已经发挥了重要作用。随着政府对信息化绩效的日趋重视，也会采用法律和制度的手段来规范企业信息化的绩效管理，出台相应的制度规范。例如，可以通过研究制定“企业信息化绩效评价办法”、“企业信息化绩效评价方法选择及工作程序”、“企业信息化绩效评价指标设置及标准选择”、“企业信息化绩效评价结果应用”等一系列统一的制度规范，对全国企业信息化绩效评价工作规则、工作程序、组织方式及结果应用等进行明确，这对推动信息化建设朝着理性、有序的方向发展具有非常深远的意义。2 引入IT审计制度要想实现信息化建设健康发展，虽然法律规章制度起到非常重要的作用，但是这远远不够。必须在业界范围内通过行业监控的形式来规范，落实组织内部控制及政府与市场监督体系的动态机制。目前，国内已经逐渐开始引入国际上较为通行的IT审计制度，来加强对整个信息化建设的控制。IT审计是一项独立的验证活动，主要是由独立的具有资格的第三方进行的对IT的有效性、效率和安全性进行审计。IT审计制度能够有效地控制信息资源投入的风险，从而确保信息资源的增值，有效地规范行业秩序。鉴于中国IT服务业未来巨大的增长空间，国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩中国市场，提供符合国际标准的信息系统审计服务，这也对我国发展IT审计起到一定的推动作用。3 发展第三方咨询服务发展第三方咨询服务也是促进绩效评估制度建立的一种有效举措。鉴于企业IT应用项目的复杂性，没有经历过实际项目的人根本无法把握整个项目的推进和有效规避风险，因此，企业需要第三方咨询服务机构即借助专业的IT管理咨询公司的帮助。通过独立的第三方提供的信息化管理诊断和业务流程优化咨询服务，对其信息化系统建设过程描绘清晰的远景，建立基于核心竞争战略的、以IT战略为主导的信息化总体规划，并建立基于IT战略规划的业务流程功能模型。第三方的管理咨询公司可以为企业用户提供从前期的IT战略咨询、信息化管理诊断、业务流程优化、信息化项目可行性研究、信息化系统总体规划、信息系统设计。在信息化实施过程中，第三方可以为信息化项目界定实施中与实施后评价标准，建立甲方、乙方沟通协调的平台，建立完整的企业信息化绩效评估体系，避免由于需求不明确、评估标准不统一而导致的企业信息系统建设延期的现象发生，从源头上降低信息化失败的风险，最终改善企业信息化绩效。

信息系统审计（又称IT审计）是为了信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向IT审计对象的最高领导层，提出问题与建议的一连串的活动。IT审计所关注的内容不单纯是对数据的处理，更不仅仅是财务信息，而是对组织整个信息系统的可靠性、安全性进行了解和评价，是一项通过审查与评价信息系统的规划、分析、设计、实现、运行和维护等一系列活动，以确定信息系统运行是否安全、可靠、有效，信息系统得出的数据是否可靠、准确，以及数据是否能有效存储的过程。

IT审计就是信息系统审计，主要介绍审计的历史和发展，对象、范围和意义对象、范围和意义计划。

知识方面的要求如下：

信息系统计划、开发和运营相关的知识： 信息系统构成相关的知识； 信息化战略、构想、提案、立项等相关的知识； 系统设计、程序设计、软件测试等相关知识； 系统 *** 作、数据管理等相关知识；

能力方面的要求如下： 系统审计的相关能力； 审计的立项、分析、评价相关的能力；信息收集、审核、审计方法掌握、技巧运用方面的能力；审计报告制作能力；

IT审计师必须具备全面的计算机软硬件知识，对计算机网络和信息系统的安全性具有高度而特殊的敏感意识，而且对财务会计和企业内部控制具有深刻的理解能力，要懂管理、懂经济、懂审计、懂计算机、懂内部控制、懂网络技术，既是审计专家，又是信息系统专家，以对计算机信息系统及软硬件的技术性审计来保证计算机审计质量的可靠性。

CISA，信息系统审计师，通常称为IT审计师，在国际上有着与CPA、律师、精算师等职业资格同等火爆的热度，但于中国却少有人知。近日，国家审计署的年轻官员李丹填补了中国IT审计师十几年的空白，成为中国内地通过考试获取该资格的第一人。

确实，目前在中国还很少有企业意识到IT审计师的重要性，甚至大多数人还不知道这个国际注册会计师队伍中的新角色的职能究竟是什么。但是如果有人说：有一天会计会消失，企业级的财务软件也将失去意义，你是会相信、怀疑、还是不置可否？实际上，当企业走到信息时代，传统的会计职能正在因企业全面实施ERP系统而淡化，集成的信息系统将从生产、经营活动的每一个瞬间、每一个角落获取经济活动产生的所有信息。

“由于企业的经营越来越依赖于信息系统，除了传统意义上的经营风险、控制风险和财务风险之外，企业信息系统安全性导致的信息风险日益增长。”德勤会计师行的高级合伙人鲍威尔说，“今天计算机审计所关注的内容已从单纯关注被审计单位电子数据的取得、分析、计算等数据处理业务延伸到了对计算机系统的可靠性、安全性进行了解和评价。CISA就是要审查一个企业的信息系统是否安全、稳定和有效，以保证通过信息系统得出的数据是准确、可靠的。” 来源：>

IT审计是在原来传统审计的财务审计和管理审计根底上，由于科学技术向经济管理范畴的浸透而产生的。

但是，到目前为止，IT审计在实质上并不是独立于财务审计和管理审计的第三大审计分支，而是其中的一类审计形态，其缘由在于网络环境的复杂性、实践 *** 作的复杂性、与传统审计的交融水平等要素都限制着IT审计的开展，。

将两者有机分离，从而进步IT审计质量，拓展IT审计技术办法在企业审计中应用的深度和广度，促进企业在审计上的革新。

计划阶段是整个审计过程的起点。其主要工作包括：

（1）了解被审系统基本情况

了解被审系统基本情况是实施任何信息系统审计的必经程序，对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象，以决定是否对该系统进行审计，明确审计的难度，所需时间以及人员配备情况等。

了解了基本情况，审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点，以决定是否对其进行审计。

（2）初步评价被审单位系统的内部控制及外部控制

传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用，企业信息系统进一步向深层次发展，这些变革无疑给企业带来了巨大的效益，但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境，信息系统内控制度的审计内容包括一般控制和应用控制两类。

一般控制是系统运行环境方而的控制，指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障，影响到计算机应用的成败及应用控制的强弱。主要包括：组织控制、 *** 作控制、硬件及系统软件控制和系统安全控制。

应用控制是对信息系统中具体的数据处理活动所进行的控制，是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施，信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性，不同的应用系统有着不同的处理方式和处理环节，因而有着不同的控制问题和不同的控制要求，但是一般可把它划分为：输入控制、处理控制和输出控制。

通过对信息系统组织机构控制，系统开发与维护控制，安全性控制，硬件、软件资源控制，输入控制，处理控制，输出控制等方而的审计分析，建立内部控制强弱评价的指标系统及评价模型，审计人员通过交互式人机对话，输入各评价指标的评分，内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计，实现对系统的预防性控制，检测性控制和纠正性控制。

（3）识别重要性

为了有效实现审计目标，合理使用审计资源，在制定审计计划时，信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准，系统的服务对象及业务性质，内控的初评结果。重要性的判断离不开特定环境，审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统，就越需要获取充分的审计证据，以支持审计结论或意见。

（4）编制审计计划

经过以上程序，为编制审计计划提供了良好准备，审计人员就可以据以编制总体及具体审计计划。

总体计划包括：被审单位基本情况；审计目的、审计范围及策略；重要问题及重要审计领域；工作进度及时间；审计小组成员分工；重要性确定及风险评估等。

具体计划包括：具体审计目标；审计程序；执行人员及时间限制等。 做好上诉材料的充分的准备，便可进行审计实施，具体包括以下内容：

（1）对信息系统计划开发阶段的审计

对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计，可以采用事中审计，也可以是事后审计。比较而言事中审计更有意义，审计结果的得出利于故障、问题的及早发现，利于调整计划，利于开发顺序的改进。

信息系统计划阶段的关键控制点有：计划是否有明确的目的，计划中是否明确描述了系统的效果，是否明确了系统开发的组织，对整体计划进程是否正确预计，计划能否随经营环境改变而及时修正，计划是否制定有可行性报告，关于计划的过程和结果是否有文档记录等等。

系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计，用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试，是系统开发完毕，进入试运行之前的必经程序。其关键控制点有:

分析控制点：是否己细致分析企业组织结构；是否确定用户功能和性能需求；是否确定用户的数据需求等。

设计控制点：设计界面是否方便用户使用；设计是否与业务内容相符；性能能否满足需要，是否考虑故障对策和安全保护等。

编程控制点：是否有程序说明书，并按照说明书进行编写；编程与设计是否相符，有无违背编程原则；程序作者是否进行自测；是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。

测试控制点：测试数据的选取是否按计划及需要进行，是否具有代表性；测试是否站在公正客观的立场进行，是否有用户参与测试；测试结果是否正确记录等。

（2）对信息系统运行维护阶段的审计

对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段，针对信息系统是否被正确 *** 作和是否有效地运行，从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。

输入审计的关键控制点有：是否制定并遵守输入管理规则，是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。

通信系统实施的是实际数据的传输，通信系统中，审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键控制点有：是否制定并遵守通信规则，对网络存取控制及监控是否有效等。

处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程，此时的审计主要针对数据输入系统后是否被正确处理。关键控制点有：被处理的数据，数据处理器，数据处理时间，数据处理后的结果，数据处理实现的目的，系统处理的差错率，平均无故障时间，可恢复性和平均恢复时间等。

数据库审计是保障数据库正确行使了其职能，如对数据 *** 作的有效性和发生异常 *** 作时对数据的保护功能(正确数据不丢失，数据回滚以保证数据的一致性)。其关键控制点有：对数据的存取控制及监视是否有效，是否记录数据利用状况，并定期分析，是否考虑数据的保护功能，是否有防错、保密功能，防错、保密功能是否有效等。

输出审计不同于测试阶段的输出审计，此时的输出是在实际数据的基础上进行的，对其进行审计可以对系统输出进行再控制，结合用户需求进行评价。关键控制点有：输出信息的获取及处理时是否有防止不正当行为和机密保护措施，输出信息是否准确、及时，输出信息的形式是否被客户所接受，是否记录输出出错情况并定期分析等。

运行管理审计是对人机系统中人的行为的审计。关键控制点有： *** 作顺序是否标准化，作业进度是否有优先级， *** 作是否按标准进行，人员交替是否规范，能否对预计于实际运行的差异进行分析，遇问题时能否相互沟通，是否有经常性培训与教育等。

维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键控制点有：维护组织的规模是否适应需要，人员分工是否明确，是否有一套管理机制和协调机制，维护过程发现的可改进点，维护是否得到维护负责人同意，是否对发现问题作了修正，维护记录是否有文档记载，是否定期分析，旧系统的废除是否在授权下进行等。 完成阶段是实质性的整个信息系统审计工作的结束，主要工作有:

整理、评价执行审计业务过程中收集到的证据。在信息系统审计的现代化管理时期，收集到的数据己存储在管理系统中，审计人员只需对其进行分析和调用即可。

复核审计底稿，完成二级复核。传统审计的三级复核制度对信息系统审计同样适用，它是保证审计质量、降低审计风险的重要措施。一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核，这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论；二级复核是在外勤工作结束时，由审计部门领导对工作底稿进行的重点复核。在审计工作办公自动化的今天，二级复核制度同样可以通过网上报送及调用得以实现。

评价审计结果，形成审计意见，完成三级复核，编制审计报告。评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进行最终的评价。这是审计人员决定发表何种类型审计意见的必要过程，所确定的可接受审计风险一定要有足够充分适当的审计证据支持。签发审计报告之前，应当随工作底稿进行最终(三级)复核，三级复核由审计部门的主任进行，主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。三级复核制度的坚持是控制审计风险的重要手段。审计报告是审计工作的最终成果，审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见，同时提出改进建议。

以上就是关于信息系统审计，简要写出应重点关注系统使用和绩效环节中的哪些内容全部的内容，包括:信息系统审计，简要写出应重点关注系统使用和绩效环节中的哪些内容、信息安全审计的主要内容有哪些、请教 上市公司IT审计等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！