정보 시스템 감사 (Information system audit) 는 정보 시스템이 자산의 보안, 데이터 무결성, 조직 자원의 효율적인 활용 및 조직 목표의 효과적인 실현 (ISACA, 국제 정보 시스템 감사 및 통제 협회가 정의) 을 보장할 수 있는지 여부를 판단하는 증거 수집 및 평가 프로세스입니다. 현재, 감사기관의 정보 시스템 감사는 주로 두 가지 방법이 있다. 하나는 정보 시스템 감사를 일반 감사의 일부로 하여 감사 프로젝트의 전반적인 목표인 데이터 감사, 정보 시스템 감사 및 시스템 내부 통제 감사를 결합하는 것입니다. 정보 시스템 감사 및 시스템 내부 통제 감사는 데이터 감사를 위해 서비스되며 데이터 감사를 통해 결론을 도출합니다. 다른 하나는 정보 시스템 자체의 보안, 신뢰성 및 유효성을 직접 감사하는 독립 프로젝트입니다.
둘째, 정보 시스템 감사 실시의 긴급 성
정보시스템 감사는 국가감사기관의 중요한 업무로서 정보화가 어느 정도 발전하는 필연적인 산물이다.
(a) 정보 시스템 감사를 수행하는 것은 감사 위험을 통제하는 요구 사항입니다. 요 몇 년 동안 종이 장부를 감사할 때, 내부 고발도 감사해야지, 가짜 장부를 만들어서는 안 된다. 마찬가지로, 전자 데이터도 위조할 수 없다. 감사 대상 기관이 전자 데이터를 호스팅하는 정보 시스템의 보안, 신뢰성 및 유효성에 문제가 있을 경우 컴퓨터 데이터 감사에 위험이 있습니다. 시스템의 신뢰성과 신뢰성은 데이터 감사의 전제 조건이자 기본 조건입니다.
(2) 정보 시스템 감사를 실시하는 것은 감사 책임을 전면적으로 이행하는 요구 사항이다. 정보화 환경에서 전자 데이터, 정보 시스템 및 시스템 내부 통제의 감사는 반드시' 삼위일체' 여야 한다. 감사 과정에서 이 세 가지 내용을 빼놓을 수 없다. 그래야만' 전면적인 감사, 중점 강조' 요구 사항을 완성하고 감사 책임을 전면적으로 이행할 수 있다.
(a) 정보 시스템 감사에 대한 모든 감사인의 인식을 제고한다.
"감사원이 컴퓨터 기술을 익히지 않으면 감사자격을 잃게 된다" 는 견해는 기본적으로 8 만 명의 감사인의 승인을 받았다. 최근 몇 년 동안 컴퓨터는 감사 분야에서 광범위하게 응용되어 데이터 감사가 크게 추진되었다. 그러나 대부분의 사람들은 정보 시스템 감사에 대한 인식이 부족하고, 정보 시스템 감사를 실시할 필요성과 긴박성에 대한 인식이 부족하며, 정보 시스템 감사를 실시할 가능성에 대해서도 의심을 품고 있다. 정보 시스템에 의해 생성 된 데이터의 진실성과 완전성을 보장하기 위해 정보 시스템은 안전하고 효과적이며, 정보 시스템이 감사 기관에 의해 사용되는 한 정보 시스템을 감사하고 시스템의 내부 통제를 확인해야합니다. 그래야만 가짜 장부가 감사되는 것을 막을 수 있다.
(2) 컴퓨터 정보 시스템 감사인에 대한 교육을 중시하고 감사 기술을 지속적으로 향상시킨다.
컴퓨터 정보 시스템의 감사는 감사인의 전문 기술 요구 사항이 높기 때문에 감사자는 적절한 감사 기술뿐 아니라 컴퓨터 기술도 더 많이 갖추어야 합니다. 컴퓨터 정보 시스템 검토자를 얻는 두 가지 채널이 있습니다. 하나는 인력 배치 시 컴퓨터 기술을 필수조건으로 실제 업무에서 지속적으로 자신의 감사 기술을 양성하는 것이다. 두 번째는 기존 감사인에 대한 컴퓨터 지식 교육을 실시하여 정보 기술 감사 능력을 높이는 것이다. 컴퓨터 기술은 광범위하고 기술적 복잡성이 강하며, 컴퓨터 정보 기술의 발전이 신속하기 때문에 어떤 방식으로든 얻은 정보기술 감사원이 지속적인 후속 교육을 받아야 한다고 결정했습니다.
(c) 정보 시스템 감사는 세 가지 측면에주의를 기울여야한다.
(1) 내부 통제 링크.
컴퓨터 시스템에서는 내부 제어 시스템의 유효성을 증명하기 위해 다음과 같은 측면을 확인해야 합니다. 1. 액세스 제어 시스템 리소스 터미널, 서버, 연결 상자, 관련 문서 등과 같은 물리적 리소스를 포함합니다. 또한 소프트웨어, 시스템 파일 및 양식, 데이터 등과 같은 논리적 리소스도 포함되어 있습니다. 2. 시스템 자원의 사용을 제어합니다. 사용자는 자신에게 부여된 자원에 대해서만 작업을 수행해야 합니다. 사용자 기능에 따라 자원을 할당하는 시스템을 구축하십시오. 중요한 작업 기능을 사용자 또는 사용자 그룹에 따라 분리하여 의도하지 않은 오작동, 시스템 리소스 남용 및 데이터의 무단 수정을 줄입니다. 4. 시스템 사용을 기록합니다. 예외, 보안 관련 이벤트를 트리거한 사람, 재무 정보 생성, 수정 및 삭제를 완료한 사람 등 시간순으로 사용 기록을 설정합니다. 치료 과정의 정확성을 확인하십시오. 생성된 재무 통제 정보를 사용하여 치료 과정의 정확한 완료를 확인합니다. 관리자는 재무 정보 시스템을 수정합니다. 재무 정보 시스템에 대한 모든 수정 사항이 승인, 기록, 철저한 (독립) 테스트를 거쳐 최종적으로 통제된 방식으로 운용되도록 해야 합니다. 7. 금융 정보 시스템을 컴퓨터 바이러스로부터 보호합니다. 바이러스를 탐지하고 바이러스가 재무 정보 시스템에 감염되는 것을 막기 위해 일련의 통제 조치를 세워야 한다.
(2) 데이터 체인.
감사에서 감사자는 트랜잭션 레코드가 전체 감사 목표를 충족하는지 확인하기 위해 세부 검사를 위해 일부 트랜잭션을 선택합니다. 첫째, 회계 정보 (무결성, 적시성, 규정 준수 및 정보 공개 포함) 를 점검하고, 현재 회계년도와 관련된 모든 거래가 기록되어 있는지 여부를 포함합니다. 기록 된 모든 거래가 합리적이며 현재 회계 연도와 관련이 있는지 여부; 기록된 거래가 데이터 및 계산에 정확한지 여부: 기록된 거래가 기본 및 보조 법률 규정을 준수하는지 여부, 특정 기관의 요구 사항을 충족하는지 여부 기록된 거래가 올바르게 분류되었는지, 정보 공개 요구 사항을 충족하는지 여부 두 번째는 모든 자산과 부채가 계상되었는지 여부를 포함하여 무결성, 존재, 회계 측정, 소유권 및 정보 공개를 포함한 재무제표의 정보를 확인하는 것입니다. 모든 계상된 자산과 부채가 있는지 여부 자산과 부채의 측정이 정확한지, 계산 방법이 합리적이고 일관된 기준에 따라 제정된 회계 정책의 요구 사항을 충족하는지 여부: 자산이 감사기관의 소유인지, 부채가 감사기관이 부담해야 하는지, 자산과 부채가 합법적인 경제활동에 의해 생성되는지 여부 자산, 부채, 자본 및 재고가 제대로 공개되었는지 여부 동시에 정보 시스템에서 제공하는 업무 정보 (예: 월별 임금 총액, 지불 명세서, 일정 단계의 주문 정보 등) 도 분석해야 합니다. , 기본 거래 상황을 파악하고 정보 소스로 거슬러 올라갑니다. 컴퓨터 지원 감사 기술을 사용하여 이러한 정보를 분석하고, 특정 기준에 따라 데이터를 요약, 분류, 정리, 비교 및 선택할 수 있으며, 다양한 작업을 수행할 수 있습니다.
(3) 데이터 전송 및 전송.
정보 시스템에서 일부 데이터는 두 재무 정보 시스템 사이 또는 재무 정보 시스템과 비즈니스 정보 시스템 간에 전달되어야 하며, 특히 수동 재입고가 필요한 경우 이 과정에서 문제가 발생할 수 있습니다. 따라서 감사에서 다음과 같은 측면에 주의해야 합니다. 전송 중 데이터가 변경될 수 있습니다. 새로운 계정 코드 테이블은 이전과 다를 수 있으며 두 재무 정보 시스템 간에 복잡한 대응 관계를 구축해야 합니다. 중앙 데이터베이스는 지리적으로 분산된 서버로 대체될 수 있습니다. 현재 재무 정보 시스템의 데이터 품질이 좋지 않습니다. 예정된 재무 정보 시스템을 일반 정보 시스템으로 대체할 때 많은 새로운 데이터를 보충해야 합니다. 이 링크를 확인할 때 출력 메시지가 승인, 완료 및 정확한지, 출력 메시지가 지정된 시간 내에 지정된 수신자에게 정확하게 전송되는지, 스트림의 메시지가 완전하고 정확하며 진실인지 확인해야 합니다.