2.信息系统内部控制的评价
根据控制实施的范围不同,信息系统的内部控制包括一般控制和应用控制两部分。信息系统一般控制是指与多个应用系统有关的政策和程序,有助十保证会计信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。应用控制是指对会计信息系统中具体的数据处理功能的控制,是为适合各种数据处理的特殊控制要求,保证数据处理能完整、准确地完成而建立的内部控制。
3.信息系统应用程序审计
信息系统的核心就是程序编码,程序质量的高低,直接决定了信息系统整体水平的高低。因此,应用程序的审计是信息系统审计的重要内容,也是信息系统审计中最困难的任务之一。实践证明,程序是差错与舞弊最容易发生的地方,只有对应用程序进行审计,才能对系统的正确性、可靠性等作出公正的评价。应用程序审计的内容主要包括:审查程序内部控制的健全性和有效性,程序的合法性,对数据处理和控制的及时性、正确性和可靠性,以及程序的纠错能力和容错能力。
4.信息系统数据文件审计
要对会计信息系统输出信息的真实性、正确性、合法性等进行评价,必须对数据文件进行审计。数据文件审计包括对打印输出的数据文件的审计和存贮在磁性介质上的数据文件的审计。数据文件审计的内容包括两个方面,一是审查数据文件的一般控制和应用控制的健全性和有效性,二是审查数据文件内容的真实性与正确性。
需要进一步说明的是,信息系统也可以采用双重目的测试,即符合性测试和实质性测试同时进行,许多审计方法如同用审计软件法等,即可用于符合性测试,又可用于实质性测试。
四、信息系统审计的常用方法
由于信息系统的复杂性,信息系统审计与传统的财务审计在审计对象、目标与方法上存在很大的不同,当然在执行信息系统审计时传统财务审计的某些方法依然适用,例如可以通过面谈法和问卷调查法了解被审计信息系统的基本情况及内部控制的总体情况。但信息系统审计主要是利用计算机辅助审计技术和工具进行,在信息系统审计工作中常用的计算机辅助审计技术有:
(一)测试数据法
测试数据法是指由审计人员将预先设计好的测试数据(包括正常的、有效的业务数据和不正常的、无效的业务数据)输入被测试程序加以处理,并将处理结果与事先计算的结果进行对比分析,从而验证有关应用程序处理逻辑和控制的有效性、可靠性和完整性的方法。
