开展信息系统审计的做法和几点体会

作 者:

作者简介:

原文出处:
中国审计报

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2007 年 02 期

关 键 词:

字号:

      最近,我们在对某酒店的信息系统审计中,对信息系统的安全性、可靠性进行了测试,发现了信息系统在数据传输和运算上存在一些错误和缺陷,审计结果得到了被审计单位的认可,促使被审计单位更换了信息系统,提高了计算机管理水平。这次审计之所以能取得一定的成果,是因为采用了不同于以往数据审计的思路和方法。

      具体的做法

      一、做好前期调查。通过绘制组织机构图和现场走访等方式,全面了解酒店的业务流程和工作特点,在全面了解酒店内控制度和业务流程的基础上,重点关注房费收入、餐饮收入等数据的安全、完整。

      二、用好计算机审计中已有的通常做法和成熟经验,对信息系统结构进行分析。通过数据转换、查阅资料、填写调查表、绘制业务和系统流程图等方法,详细了解信息系统的数据库结构,通过对比数据库中表文件的记录数量大小和字段完整程度,确定需要查询的数据库表文件,做到把握总体,突出重点。

      三、找准切入点。在这次审计中,确定以基础数据流为主线,跟踪基础数据流在数据库结构中的走向,找出其在数据库结构中的大批量运算点,以大批量运算点作为信息系统审计切入点,针对信息系统在大批量运算点可能发生的运算和传输等错误,展开安全性、可靠性的测试。

      1.通过分析业务流程和信息系统数据流程,确定了夜审日报汇总、会议团体客房转账和业务系统与财务核算系统手工传输数据三个环节,作为对信息系统进行安全性、可靠性测试的重点环节。这三个环节是信息系统内数据大量运算和系统间手工传输数据对接的关键点,基础数据在运算、自动传输和手工传输过程中,存在发生错误和被调整修改的可能性。2.按照“由面到线,由线到点”的原则,分步骤编写查询语句和程序,调出数据生成中间表进行比对,发现疑点,根据疑点特征继续比对,直到发现错误点在SQL语句不能保证完成大批量查询和比对任务的情况下,采用计算能力更强、运算速度更快的JAVA来编写查询程序,起到了事半功倍的效果。

      几点体会

      一、在计算机审计体系中,信息系统审计是基础,只有确保信息系统的安全可靠,才能保证系统内数据的真实完整。因此,应大力开展信息系统审计,开拓创新,勇于探索。同时,要认识到信息系统审计是计算机审计体系的一个重要组成部分,必须在用好计算机审计中已有的通常做法和成熟经验的基础上,才能搞好信息系统审计。

      二、从这次审计的情况来看,数据库中所有业务活动的发生都集中体现在基础数据流上,基础数据流是一个数据库的重要构成要素,数据的大量运算点是测试数据库系统运行安全性、可靠性的关键点。

      三、信息系统审计和数据审计对系统数据的利用角度是不一样的。数据审计侧重于数据之间的关联,是审计数据的结果,而信息系统审计侧重于数据的真实完整性,是通过测试数据的真实完整性来审计信息系统的安全性和可靠性。

相关文章: