Cómo hacer un buen trabajo en la auditoría de los sistemas de información a nivel de condado
La auditoría del sistema de información (Auditoría del sistema de información) es un proceso de obtención y evaluación de evidencia para determinar si el sistema de información puede garantizar la seguridad de los activos, la integridad de los datos, el uso eficiente de los recursos organizacionales y los objetivos organizacionales efectivos. implementación de (según lo define ISACA, la Asociación Internacional de Auditoría y Control de Sistemas de Información). En la actualidad, existen dos formas principales para que las agencias de auditoría auditen los sistemas de información. Una es utilizar la auditoría del sistema de información como parte de una auditoría regular para cumplir el objetivo general del proyecto de auditoría, es decir, combinar la auditoría de datos, la auditoría del sistema de información y la auditoría del control interno del sistema. La auditoría del sistema de información y la auditoría del control interno del sistema sirven para la auditoría de datos y extraen conclusiones a través de los datos de auditoría. El otro es un proyecto independiente que audita directamente la seguridad, confiabilidad y eficacia del propio sistema de información.
2. La urgencia de realizar una auditoría del sistema de información
Como tarea importante de la agencia nacional de auditoría, la auditoría del sistema de información es, hasta cierto punto, un producto inevitable del desarrollo de la informatización. .
(1) La realización de auditorías de los sistemas de información es un requisito para controlar los riesgos de auditoría. Al auditar cuentas en papel en los últimos años, también se deben auditar los controles internos y no se pueden realizar cuentas falsas. Del mismo modo, los datos electrónicos no pueden ser falsificados. Las auditorías de datos informáticos serán riesgosas si existen problemas con la seguridad, confiabilidad y eficacia de los sistemas de información de la unidad auditada que transportan datos electrónicos. La credibilidad y la fiabilidad del sistema son requisitos previos y condiciones básicas para la auditoría de datos.
(2) La realización de auditorías de sistemas de información es un requisito para cumplir plenamente con las responsabilidades de auditoría. En el entorno de la información, la auditoría de datos electrónicos, sistemas de información y controles internos del sistema debe ser "tres en uno". Durante el proceso de revisión estos tres elementos no pueden faltar. Sólo así podremos cumplir con los requisitos de una “auditoría integral y resaltar los puntos clave” y desempeñar plenamente nuestras responsabilidades de auditoría.
(A) Incrementar la conciencia sobre la auditoría de sistemas de información entre todos los auditores.
La opinión de que "los auditores que no dominen la tecnología informática perderán sus cualificaciones de auditoría" es aceptada básicamente por 80.000 auditores. En los últimos años, las computadoras se han utilizado ampliamente en el campo de la auditoría y se ha promovido vigorosamente la auditoría de datos. Sin embargo, la mayoría de las personas todavía tienen una comprensión insuficiente de las auditorías de los sistemas de información, una comprensión insuficiente de la necesidad y urgencia de realizar auditorías de los sistemas de información e incluso dudas sobre la viabilidad de realizar auditorías de los sistemas de información. Para garantizar que los datos generados por el sistema de información sean verdaderos y completos, y que el sistema de información sea seguro, confiable y eficaz, siempre que el sistema de información sea utilizado por la unidad auditada, el sistema de información debe ser auditado y el Se debe comprobar el control interno del sistema. Sólo así se podrá evitar que se auditen cuentas falsas.
(2) Prestar atención a la formación de los auditores de sistemas de información informática y mejorar continuamente sus habilidades de auditoría.
La auditoría de sistemas de información informática requiere mayores habilidades profesionales de los auditores, lo que requiere que los auditores tengan mayores habilidades informáticas además de las correspondientes habilidades de auditoría. Hay dos formas de conseguir un auditor de sistemas de información informáticos. Una es considerar las habilidades informáticas como una condición necesaria al contratar personal y cultivar continuamente sus propias habilidades de auditoría en el trabajo real; la segunda es brindar capacitación en conocimientos informáticos a los auditores existentes para mejorar sus capacidades de auditoría de tecnología de la información; Debido a la amplia gama de tecnología informática, la gran complejidad técnica y el rápido desarrollo de la tecnología de la información informática, se determina que los auditores de tecnología de la información, sin importar cómo la obtengan, deben recibir educación de seguimiento continua.
(3) La auditoría del sistema de información debe centrarse en tres eslabones.
(1) Enlace de control interno.
En los sistemas informáticos se deberán comprobar los siguientes aspectos para comprobar la eficacia del sistema de control interno: 1. Recursos del sistema de control de acceso. Incluye recursos físicos como terminales, servidores, cajas de conexión, documentación relacionada, etc. También incluye recursos lógicos como software, archivos y tablas del sistema, datos, etc. 2. Controlar el uso de los recursos del sistema. Los usuarios sólo deben operar con recursos autorizados para ellos. 3. Establecer un sistema que asigne recursos según la funcionalidad del usuario.
Separe las funciones de tareas importantes según usuarios o grupos de usuarios para reducir operaciones incorrectas no intencionadas, abuso de recursos del sistema y modificación no autorizada de datos. 4. Registre el uso del sistema. Establezca un registro cronológico de uso que incluya excepciones, quién desencadenó eventos relacionados con la seguridad y quién creó, modificó y eliminó información financiera. 5. Confirmar la exactitud del proceso de tratamiento. Utilice la información de control financiero generada para confirmar la finalización precisa de los procedimientos de tratamiento. 6. Los gerentes modifican el sistema de información financiera. Se debe garantizar que todas las modificaciones a los sistemas de información financiera estén autorizadas, documentadas, probadas exhaustivamente (independientemente) y, en última instancia, puestas en uso de manera controlada. 7. Proteger los sistemas de información financiera de virus informáticos. Debe existir un conjunto de controles para detectar virus y evitar que infecten los sistemas de información financiera.
(2) Enlace de datos.
En una auditoría, el auditor selecciona algunas transacciones para un examen detallado para confirmar si los registros de transacciones cumplen con los objetivos generales de la auditoría. El primero es verificar la información contable, incluida su integridad, puntualidad, cumplimiento y divulgación de información, incluso si todas las transacciones relacionadas con el año fiscal actual están registradas; si todas las transacciones registradas son razonables y están relacionadas con los registros del año fiscal actual; las transacciones registradas son precisas en términos de datos y cálculos: si las transacciones registradas cumplen con las disposiciones legales básicas y auxiliares y los requisitos de autoridades específicas si las transacciones registradas están clasificadas correctamente y cumplen con los requisitos de divulgación de información; El segundo es verificar la información contenida en los estados financieros, incluida su integridad, existencia, medición contable, propiedad y divulgación de información, incluido si todos los activos y pasivos están registrados: si todos los activos y pasivos registrados existen; si la medición de los activos y pasivos es; exacto, y si el cálculo Si el método cumple con los requisitos de las políticas contables formuladas de acuerdo con estándares razonables y consistentes: confirmar que los activos pertenecen a la unidad auditada, los pasivos deben ser asumidos por la unidad auditada, y si los activos y pasivos son generados por actividades económicas lícitas; activos, pasivos, capital e inventarios. Si se divulga correctamente. Al mismo tiempo, también se debe analizar la información comercial proporcionada por el sistema de información, como salario mensual total, lista de pagos, información de pedidos en una determinada etapa, etc. , descubra la situación básica de la transacción y rastree hasta la fuente de la información. La tecnología de auditoría asistida por computadora se puede utilizar para analizar la información anterior, resumir, clasificar, ordenar, comparar y seleccionar los datos de acuerdo con estándares específicos y realizar diversas operaciones.
(3) Transmisión y entrega de datos.
En los sistemas de información, algunos datos deben transferirse entre dos sistemas de información financiera o entre un sistema de información financiera y un sistema de información empresarial. Pueden surgir algunos problemas durante este proceso, especialmente la necesidad de volver a transferirlos manualmente. entrando. Por lo tanto, se debe prestar atención a los siguientes aspectos durante la auditoría: los datos pueden cambiar durante el proceso de transmisión; la nueva tabla de códigos de cuenta puede ser diferente de la anterior, lo que requiere el establecimiento de una correspondencia compleja entre los dos sistemas de información financiera: base de datos central Puede ser reemplazado por algunos servidores geográficamente dispersos; la calidad de los datos en el sistema de información financiera actual es deficiente cuando un sistema de información financiera programado se reemplaza por un sistema de información general, es necesario complementar muchos datos nuevos; Al verificar este enlace, debemos asegurarnos de que el mensaje de salida esté aprobado, completo y preciso, asegurarnos de que el mensaje de salida se envíe con precisión al destinatario designado dentro del tiempo acordado, asegurar que el mensaje de flujo sea completo, preciso y real.