국제회계사연합회 (IFAC) 산하의 국제감사실무위원회 (IAPC) 는 일찍이 컴퓨터 정보 시스템 환경의 감사를 연구하고 관련 기준을 발표했다. 지금까지 컴퓨터 정보 시스템 환경 감사 내용에 관한 6 가지 국제 감사 지침이 공포되었다. 독립 실행형 시스템, 온라인 시스템, 데이터베이스 시스템 아래의 전자 데이터 처리 환경이 회계 시스템에 미치는 영향, 내부 통제에 대한 연구 및 평가에 대한 보충 규정이 있습니다. 이러한 표준의 내용을 요약하고 소개했다.
첫째, 정보 시스템 환경에서의 감사. 이 표준은 컴퓨터 정보 시스템 환경에서 감사의 목적과 범위, 기술 및 역량 요구 사항, 감사 계획 고려 사항, 내부 통제 연구, 평가 및 위험 평가의 영향, 감사 절차 수립 및 시행시 주의해야 할 측면을 규정합니다. 이 표준은 컴퓨터 정보 시스템 환경에서의 감사에 대한 일반적인 원칙과 지침만 규정하고 있으며, 기타 5 가지 표준이나 실무 공고는 이 표준의 보완 또는 확장입니다.
컴퓨터 정보 시스템 환경에서 감사를 실시할 때 감사인은 합의 계획의 컴퓨터 하드웨어, 소프트웨어 및 처리 시스템, 컴퓨터 정보 시스템의 내부 통제에 대한 연구 및 평가, 그리고 컴퓨터 지원 감사 기술을 포함한 감사 절차에 어떤 영향을 미치는지 충분히 이해해야 합니다. 감사자는 사용하는 특정 감사 방법에 따라 감사 절차를 수행하는 컴퓨터 정보 시스템 처리에 대해서도 충분히 이해해야 합니다.
둘째, 위험 평가와 내부 통제-컴퓨터 정보 시스템의 환경 특성과 주의사항. 본 실무 공고는 제 1 준칙을 보완하여 컴퓨터 정보 시스템 환경의 특징, 컴퓨터 정보 시스템 환경 내 내부 통제의 내용과 평가 방법을 명확히 하였다.
감사자는 컴퓨터 정보 시스템의 기능, 컴퓨터 처리의 중앙 집중식 또는 배포, 사용되는 컴퓨터 하드웨어 및 소프트웨어, 데이터 재설정 등 감사 계획과 관련된 컴퓨터 정보 시스템 환경에 대한 정보를 수집해야 합니다.
감사원은 종합적인 계획을 세울 때 다음과 같은 사항을 고려해야 합니다. 내부 통제 종합 평가에서 컴퓨터 정보 시스템 제어의 신뢰성을 결정합니다. 컴퓨터 정보 시스템의 기능을 검사하는 방법, 장소 및 시간에 대한 계획을 세우다. 컴퓨터 지원 감사 기술을 이용하여 감사 계획을 세우다.
셋째, 컴퓨터 정보 시스템 환경 독립적 인 마이크로 컴퓨터. 이 실무 공고는 첫 번째 기준을 보완하며 마이크로컴퓨터 시스템과 그 특징, 마이크로컴퓨터 환경에서의 내부 통제, 마이크로컴퓨터 환경이 감사 절차에 미치는 영향을 설명합니다.
이 가이드라인에 따르면 마이크로컴퓨터가 회계 시스템에 미치는 영향과 관련 위험은 일반적으로 (1) 마이크로컴퓨터가 회계 처리에 적용되는 범위에 따라 달라질 수 있습니다. 미처리 금융 업무의 유형과 중요성 신청서에 사용된 서류와 절차의 성격. 마이크로컴퓨터 환경의 내부 통제에는 관리 부서의 마이크로컴퓨터 운영에 대한 규정과 통제가 포함되어야 합니다. 절차 및 데이터 보안 소프트웨어 및 데이터 무결성 제어; 하드웨어, 소프트웨어 및 데이터 백업 제어.
넷째, 컴퓨터 정보 시스템 환경인 온라인 컴퓨터 시스템. 이 실무 공고는 첫 번째 기준을 보완하며 온라인 컴퓨터 시스템과 그 특징, 온라인 컴퓨터 환경에서의 내부 통제, 온라인 컴퓨터 환경이 감사 절차에 미치는 영향을 설명합니다.
수칙은 액세스 제어, 비밀번호 제어, 시스템 개발 및 유지 관리 제어, 프로그래밍 및 비즈니스 기록 제어 등 온라인 처리에 특히 중요한 몇 가지 일반적인 제어 절차를 강조합니다. 또한 온라인 처리에 특히 중요한 응용 프로그램 제어에는 터미널 장치 처리 및 편집 전에 적절한 권한 부여가 포함됩니다. 합리성 및 기타 검증 테스트, 마감 테스트, 파일 제어 및 균형 제어
온라인 환경이 회계 시스템 및 관련 위험에 미치는 영향은 일반적으로 (1) 건식 회계 애플리케이션이 있는 온라인 시스템 처리의 범위에 따라 달라집니다. 처리 된 금융 사업의 유형과 중요성; 사용된 응용프로그램 문서 및 절차의 특성입니다.
다섯째, 컴퓨터 정보 시스템 환경-데이터베이스 시스템. 이 실무 공고는 첫 번째 기준을 보완하여 데이터베이스 시스템과 해당 특성, 데이터베이스 시스템 아래의 내부 통제, 데이터베이스 환경이 감사 절차에 미치는 영향을 명확히 합니다.
여섯째, 컴퓨터 지원 감사 기술. 이 표준은 첫 번째 표준의 확장으로, 감사 소프트웨어와 테스트 데이터의 두 가지 보조 감사 기술, 컴퓨터 지원 감사 기술의 범위와 고려해야 할 요소, 컴퓨터 지원 감사 기술 응용 프로그램에서 공인 회계사의 주요 작업 및 제어 수단을 정의합니다.
"지침" 에 따르면 컴퓨터 지원 감사 기술은 시스템 규정 준수 및 데이터 신뢰성 프로그램의 응용 프로그램에 입력 파일 및 가시적 감사 추적이 없는 경우에 적용될 수 있습니다. 컴퓨터 지원 감사 기술을 사용하면 감사 절차의 효율성과 효율성을 높일 수 있습니다.
컴퓨터 지원 감사 기술은 여러 가지가 있으며, 국제 감사 표준은 감사 목적으로 사용되는 감사 소프트웨어와 데이터 테스트 기술의 두 가지를 설명합니다. 감사 소프트웨어는 감사 절차의 일부로 단위 회계 시스템의 중요한 감사 데이터를 처리할 수 있습니다. 데이터 테스트 기술은 감사 절차를 수행할 때 회사의 컴퓨터 시스템에 데이터를 입력하고 얻은 결과를 미리 결정된 결과와 비교하는 데 사용됩니다.
감사 계획을 세울 때, 감사원은 노무와 컴퓨터 지원 감사 기술의 적절한 결합을 고려해야 한다. 컴퓨터 지원 감사 기술의 사용 여부를 결정할 때 고려해야 할 요소는 감사인의 컴퓨터 지식, 전문 지식 및 경험입니다. 컴퓨터 지원 감사 기술 및 적절한 컴퓨터 장비가 있는지 여부 수동 테스트를 수행할 수 없습니다. 효과와 효율성 시간 요소.
정보 시스템 감사의 핵심 링크
[날짜: 2007 년 5 월 28 일] 출처: 저자: 국가감사국 건축건축자재감사국 장정이 [서체: 중소형]
정보 시스템 감사는 감사 증거를 수집하고 평가하여 정보 시스템이 자산 보안을 보호하고, 데이터 무결성을 유지하고, 감사 대상 단위의 목표를 효과적으로 달성하며, 조직의 자원을 효율적으로 활용할 수 있는지 여부를 판단하는 프로세스입니다.
정보 시스템 감사 방법
정보 시스템 감사 프로세스는 일반 감사 프로세스와 마찬가지로 준비 단계, 구현 단계 및 보고 단계로 나뉩니다. 이 중 준비 단계와 보고 단계에 관련된 기술 방법은 재무 감사에 사용되는 기술 방법과 크게 다르지 않으며, 구현 단계에 관련된 기술 방법은 정보 기술의 특징을 가지고 있습니다. 구현 단계에서 감사인이 수행하는 작업은 이해, 설명 및 테스트의 세 가지 수준으로 나눌 수 있습니다.
컴퓨터 정보 시스템 환경의 감사 방법은 수작업 환경의 기존 감사 방법에 비해 컴퓨터 기술 함량을 증가시킵니다. 정보 시스템 감사 방법에는 일반적인 방법, 즉 수동 방법과 컴퓨터 감사를 적용하는 방법이 모두 포함됩니다. 정보 시스템 감사의 일반적인 방법은 주로 인터뷰, 시스템 파일 검토, 관찰, 컴퓨터 시스템 텍스트 설명, 양식 설명, 그래픽 설명 등 정보 시스템을 이해하고 설명하는 데 사용됩니다. 컴퓨터 기반 접근 방식은 일반적으로 테스트 데이터 방법, 병렬 시뮬레이션 방법, 온라인 연속 감사 기술 (임베디드 감사 모듈을 통해 구현), 통합 테스트 방법, 제어 처리 방법, 제어 재처리 방법 등 정보 시스템을 제어하고 테스트하는 데 사용됩니다. 컴퓨터 기술을 이용한 감사 방법은 주로 컴퓨터 지원 감사 기술과 도구를 적용하는 것을 가리킨다. 그러나 컴퓨터 지원 감사 기술 및 도구를 사용하는 프로세스는 정보 시스템 감사와 동일할 수 없습니다. 정보 시스템 감사 과정에서 여전히 대량의 수동 감사 기술이 필요하다.
정보 시스템 감사는 핵심 링크에주의를 기울여야합니다.
1. 데이터 전송기
감사자가 세부 검사를 위해 일부 거래를 선택하고 거래 레코드가 전체 감사 목표를 충족하는지 확인할 수 있도록 감사에서 개별 거래 및 자산 레코드를 앞뒤로 추적하는 방법을 사용해야 합니다. 회계 정보를 점검할 경우 현재 회계년도와 관련된 모든 거래가 기록되어 있는지 여부를 포함하여 무결성, 적시성, 규정 준수 및 정보 공개를 확인해야 합니다. 기록 된 모든 거래가 합리적이며 현재 회계 연도와 관련이 있는지 여부; 기록된 거래가 데이터 및 계산에 정확한지 여부: 기록된 거래가 기본 및 보조 법률 규정을 준수하는지 여부, 특정 기관의 요구 사항을 충족하는지 여부 기록된 거래가 올바르게 분류되었는지, 정보 공개 요구 사항을 충족하는지 여부 재무제표의 정보를 점검하려면 모든 자산과 부채가 계상되었는지 여부를 포함하여 무결성, 존재, 회계 측정, 소유권 및 정보 공개를 확인해야 합니다. 즉, 모든 계상된 자산과 부채가 있는지 여부를 확인해야 합니다. 자산과 부채의 측정이 정확한지, 계산 방법이 합리적이고 일관된 기준에 따라 제정된 회계 정책의 요구 사항을 충족하는지 여부: 자산이 감사기관의 소유인지, 부채가 감사기관이 부담해야 하는지, 자산과 부채가 합법적인 경제활동에 의해 생성되는지 여부 자산, 부채, 자본 및 재고가 제대로 공개되었는지 여부 동시에 정보 시스템에서 제공하는 업무 정보 (예: 월별 임금 총액, 지불 명세서, 일정 단계의 주문 정보 등) 도 분석해야 합니다. , 기본 거래 상황을 파악하고 정보 소스로 거슬러 올라갑니다. 컴퓨터 지원 감사 기술을 사용하여 이러한 정보를 분석하고, 특정 기준에 따라 데이터를 요약, 분류, 정리, 비교 및 선택할 수 있으며, 다양한 작업을 수행할 수 있습니다.
2. 내부 통제 링크
일반적으로 내부 통제는 조직의 관리자가 재산 물자의 안전과 완전성을 유지하기 위해 회계 정보의 진실성과 신뢰성을 보장하기 위해 경영 관리 활동의 경제성, 효율성과 유효성, 각종 법률 및 규범의 준수를 보장하는 것을 말합니다. 경영 관리 활동을 조정, 검사 및 구속하는 내부 관리 메커니즘. 그것은 조직이 관리 목표를 달성하기 위해 형성한 자율체계이다. 컴퓨터 시스템의 내부 통제는 주로 응용 제어, 일반 제어 및 관리 제어의 세 가지 측면으로 나뉩니다. 감사 과정에서 전산화 시스템의 내부 통제 제도를 포함한 감사기관의 내부 통제 제도를 평가해야 한다. 시스템의 내부 통제 시스템을 평가하기 위해서는 감사원이 내부 통제 시스템이 있는지 확인하고 효과적인 역할을 하고 있다는 만족스러운 증거를 제공해야 합니다. 컴퓨터 시스템에서는 내부 제어 시스템의 유효성을 증명하기 위해 (1) 제어 시스템 리소스에 대한 액세스를 확인해야 합니다. 터미널, 서버, 연결 상자, 관련 문서 등과 같은 물리적 리소스를 포함합니다. 또한 소프트웨어, 시스템 파일 및 양식, 데이터 등과 같은 논리적 리소스도 포함되어 있습니다. (2) 시스템 자원의 사용을 통제한다. 사용자는 자신에게 부여된 자원에 대해서만 작업을 수행해야 합니다. (3) 사용자 기능에 따라 자원을 할당하는 시스템을 구축한다. 중요한 작업 기능을 사용자 또는 사용자 그룹에 따라 분리하여 의도하지 않은 오작동, 시스템 리소스 남용 및 데이터의 무단 수정을 줄입니다. (4) 시스템 사용을 기록하십시오. 예외, 보안 관련 이벤트를 트리거한 사람, 재무 정보 생성, 수정 및 삭제를 완료한 사람 등 시간순으로 사용 기록을 설정합니다. (5) 치료 과정의 정확성을 확인하다. 생성된 재무 통제 정보를 사용하여 치료 과정의 정확한 완료를 확인합니다. (6) 관리자는 재무 정보 시스템을 수정합니다. 재무 정보 시스템에 대한 모든 수정 사항이 승인, 기록, 철저한 (독립) 테스트를 거쳐 최종적으로 통제된 방식으로 운용되도록 해야 합니다. (7) 금융 정보 시스템을 컴퓨터 바이러스로부터 보호한다. 바이러스를 탐지하고 바이러스가 재무 정보 시스템에 감염되는 것을 막기 위해 일련의 통제 조치를 세워야 한다.
3. 데이터 전송 및 전송 링크
정보 시스템에서 일부 데이터는 두 재무 정보 시스템 사이 또는 재무 정보 시스템과 비즈니스 정보 시스템 간에 전달되어야 하며, 특히 수동 재입고가 필요한 경우 이 과정에서 문제가 발생할 수 있습니다. 따라서 감사에서 다음과 같은 측면에 주의해야 합니다. 전송 중 데이터가 변경될 수 있습니다. 새로운 계정 코드 테이블은 이전과 다를 수 있으며 두 재무 정보 시스템 간에 복잡한 대응 관계를 구축해야 합니다. 중앙 데이터베이스는 지리적으로 분산된 서버로 대체될 수 있습니다. 현재 재무 정보 시스템의 데이터 품질이 좋지 않습니다. 예정된 재무 정보 시스템을 일반 정보 시스템으로 대체할 때 많은 새로운 데이터를 보충해야 합니다. 이 링크를 확인할 때 출력 메시지가 승인, 완료 및 정확한지, 출력 메시지가 지정된 시간 내에 지정된 수신자에게 정확하게 전송되는지, 스트림의 메시지가 완전하고 정확하며 진실인지 확인해야 합니다.
정보 시스템 감사 사례 분석
2006 년 한 호텔 감사에서 호텔 정보 시스템의 안전성과 신뢰성을 테스트했다. 테스트 결과에 따르면 이 정보 시스템은 데이터 전송 및 운영에 오류가 있는 것으로 나타났습니다. 데이터 검증을 통해 오류의 원인은 정보 시스템 자체의 결함으로 인한 것으로 판명되었습니다. 위에서 언급한 감사 결과는 감사기관의 승인을 받아 감사기관의 정보 시스템 교체를 촉진하고 컴퓨터 관리 수준을 높였다.
이번 감사가 어느 정도 효과를 거둘 수 있었던 것은 주로 데이터와 내부 통제 체계를 중시하고 컴퓨터 지원 감사 기술과 인공 감사 기술을 결합한 방식으로 정보 시스템 감사를 실시하는 것이다. (1) 데이터 링크에서는 정보 시스템 감사 및 데이터 감사가 다양한 각도에서 시스템 데이터를 사용합니다. 데이터 감사는 데이터 간의 관련성에 초점을 맞추고 감사 데이터의 결과입니다. 정보 시스템 감사는 데이터의 실제 무결성, 즉 데이터의 실제 무결성을 테스트하여 정보 시스템의 보안과 신뢰성을 감사하는 데 중점을 둡니다. 감사에서 정보 시스템의 데이터베이스 구조에 대해 자세히 알아보고, 데이터베이스에 기록된 수와 필드의 무결성을 비교하여 쿼리할 데이터베이스 테이블 파일을 결정하고, 마스터 테이블의 데이터 무결성을 주요 테스트 대상으로 삼는다. (2) 내부 통제 및 데이터 전송 측면에서 조직도, 시스템 흐름도 및 현장 방문을 그려 호텔의 비즈니스 프로세스 및 작업 특성을 포괄적으로 이해합니다. 호텔의 비즈니스 프로세스를 파악하고, 비즈니스 프로세스의 기본 데이터 흐름 추세를 추적하고, 데이터의 많은 운영 지점을 잠그는 것이 감사 방향을 결정하는 열쇠입니다. 정보 시스템의 모든 비즈니스 활동은 정보 시스템의 중요한 구성 요소인 기본 데이터 스트림에 집중되어 있으며, 데이터의 많은 운영 지점이 시스템 보안 및 신뢰성을 검증하는 열쇠입니다. 이를 바탕으로 연간 검토 일보고 요약, 회의실 흐름, 비즈니스 시스템과 재무 회계 시스템 간의 수동 데이터 전송 3 개 시스템 모듈을 정보 시스템 보안 및 신뢰성에 대한 테스트 중점으로 파악했습니다. 이 세 모듈은 정보 시스템에서 대량의 데이터 조작과 시스템 간 데이터 전송의 관건이다. 작동 중에 자동 변속기와 수동 변속기가 모두 오류와 조정 수정이 발생할 수 있으므로 컴퓨터 지원 감사 기술을 사용하여 기본 데이터를 검증합니다.
검증 중에 쿼리 문과 프로그램을 단계별로 작성하고, 비교를 위해 중간 테이블을 생성하기 위해 데이터를 호출하고, 의심스러운 점을 찾고, 잘못된 점을 찾을 때까지 의심스러운 점의 특징에 따라 비교를 계속합니다. SQL 문이 대규모 쿼리 및 비교 작업의 완료를 보장할 수 없는 경우 보다 강력하고 빠른 JAVA 를 사용하여 쿼리 프로그램을 작성하면 적은 비용으로 더 많은 작업을 수행할 수 있습니다.