国家网络空间安全人才培养基地
图片展示
国家基地

信息系统审计是怎么回事儿?

作者:NISP证书管理中心 浏览: 发表时间:2021-03-01 10:22:12 来源:国家网络空间安全人才培养基地

     每当亲朋好友问起在做什么工作时,如果简单回答做审计,他们都会默认是财务审计,并抛出一系列他们对于财审的认知来向你求证;但如果说做系统审计,一时间空气凝固,如不继续详细解释,话题将迅速终结,因为基本没人知道系统审计是干嘛的。

那么系统审计到底是做什么的?

      这得要从系统审计的诞生背景说起。随着信息技术的快速发展,企业的业务、财务也越来越依赖各种系统,一方面各种流程及相关控制实现线上化、自动化,数据完全电子化,在信息系统的支撑下企业运营效率提升、业务风险得到更好的管控;另一方面信息系统自身也带来了各种新的风险。

      系统审计在验证信息技术治理有效性、信息系统安全性等大前提下,通过检查自动控制、系统间数据传输,运用计算机辅助审计技术获取可靠完整准确的业务数据和财务数据,以帮助财务审计获取充分有效的审计证据来得出合理的审计结论;除此之外,系统审计还能帮助企业识别与防控与信息系统相关的安全风险,减少信息系统相关的欺诈与舞弊,满足监管要求。

      那么,系统审计师们经常做的事有哪些呢?

(一)穿行测试

      系统审计中最基础的一项工作便是摸清企业的业务流程以及业务财务数据在系统间的流转。

      在财务审计确定纳入审计范围的财务报表科目后,系统审计便会通过穿行测试(Walkthrough),即从头到尾追踪一笔交易或事件,来了解影响这些财务报表科目的业务流程,并识别流程层面的风险、是否存在应对这些风险的控制。

      日常生活离不开买买买,下面就以大家最熟悉的电商企业为例,来介绍系统审计如何做穿行测试。

      首先要选择一笔需要穿测的订单。系统审计师通常会自行下单购物(这个我喜欢),在真实生产环境中完整体验整个业务流程。从下单到收货,系统审计师作为买家能从电商app中获取到该笔订单的一系列基础信息,还能了解到这笔订单背后各岗位人员(采购、运营、物流等)在各时点在各系统中进行的业务操作是如何决定或影响订单数据的,比如采购人员如何进行货物采购并改变进销存管理系统中的库存数量和成本信息,运营人员在活动管理系统如何配置优惠券或者活动(满减、预付款、新人优惠价等)并最终影响销售价格,仓储物流人员如何进行打包发货并更新物流信息,客户人员如何进行退货退款等订单售后管理。

      通过穿测一笔订单,系统审计师就能基本梳理清楚整个售前售中售后流程,了解订单相关数据在各系统间如何生成并流转,以及流程中包含的各种影响收入、成本的关键自动控制。

      这些自动控制就像十字路口的信号灯,让业务按照规则有序运行。

      在系统出现之前,这些控制可能都是线下手工执行的,财务审计师便能进行相关控制测试,但在控制实现线上化、自动化后,就要求系统审计师参与进来,以更好地理解控制的设计,并进行相应的专业测试。

(二)计算机辅助审计技术(CAATs)

      除此之外,系统审计师还会获取数据库中这笔订单的各种关键数据字段及所在的数据表,并理清各数据字段之间的勾稽关系,比如实收款=商品单价*数量-优惠券抵减金额-满减抵扣金额。

      有了对数据结构的充分了解,系统审计师便可以利用计算机辅助审计技术(CAATs)进行一项越来越重要的工作,即数据的提取与检查分析。

      数据本身是没有价值的,让众人趋之若鹜的是数据背后的信息。海量的业务数据既为各企业的管理决策提供依据,也为审计工作提供了大量的价值信息。

      系统审计师便是审计工作中挖掘数据价值的灵魂人物,将财务审计师提出的数据需求转化成清晰明确的数据提取语言,包括从哪些表根据哪些条件筛选出哪些字段,进而从后台数据库提取出完整准确的业务数据。

      这些后台提取的业务交易数据,包含了交易从一开始到结束的所有关键线索,比如订单号、订单状态、订单创建时间、付款时间、确认收货时间、物流信息、商品总价、优惠金额、实付金额、经过加密后的特殊信息(收货地点、收货人)等。

      每个孤立的线索本身可能并没有太多信息,但当它们被系统审计师串在一个完整的交易链路上,相关价值信息便隐隐可见。

      系统审计师基于各项数据之间的关系、各项数据在现实中的正常情况,使用各种数据分析工具来进行大数据分析,快速高效地对全量数据进行核验,从不同维度验证业务数据的真实性,任何不符合逻辑的异常情况都将无处躲藏。

      同时,系统审计还能通过数据处理与深层次的分析,从数据中挖掘有价值的信息,为后续审计工作提供启发和思路。系统审计师利用计算机辅助审计技术对业务数据与财务数据进行全量核对,也能进一步验证财务数据是否完整准确。

(三)信息系统一般控制(ITGC)

      执行以上工作有一个重要前提,那就是信息系统一般控制(ITGC)执行的有效性。

      信息系统一般控制就像是地基,依赖信息系统的自动控制、业务数据就像是地基上建起的房子,要想房子牢靠,地基稳定是必须的。

      信息系统一般控制通常针对都是一些基础的风险,比如未实现职责分离可能导致舞弊;权限未经合理有效审批可能导致非授权的访问,进而造成数据被不合理篡改或数据泄露;系统开发和变更没有经过充分的测试或者未经授权可能导致巨大的故障,影响业务正常运行,业务数据混乱等。

      因此,系统审计会重点关注这些基础风险,对职责分离、权限管理、系统开发变更管理、机房物理安全、网络安全等进行检查,确保企业充分防范和识别各种可能的风险。

      信息系统一般控制得到有效执行,也就意味着这个系统得到了良好的管理,依赖这个系统的自动控制才可能被依赖,财务审计也就能相应的减少实质性程序,提高审计效率、降低审计成本;从这些系统后台数据库导出的业务数据也更可靠。

      当然围绕着系统,还有很多其他的咨询工作可以做。作为系统审计师,可以通过对业务和财务系统的深入了解,直观感受各种商业模式;同时这也是一项充满挑战的工作,日新月异的信息技术对系统审计师提出了越来越高的要求,只有不断学习和思考,才能掌控并灵活运用技术去提升审计工作价值。

      什么样的人适合做这个?或者有没有特别的要求,比如得学计算机等?

      其实并不要求有专门的计算机背景,欢迎各个不同领域和专业的孩子们来报名。

      计算机这些技术相信以后慢慢会更加普及化,各个领域的人们都会用。

      我觉得更重要的是有个很好的逻辑思维能力,系统化条理化认识事物的能力,会帮助我们快速的学习和掌握知识。


信息系统审计是怎么回事儿?
系统审计在验证信息技术治理有效性、信息系统安全性等大前提下,通过检查自动控制、系统间数据传输,运用计算机辅助审计技术获取可靠完整准确的业务数据和财务数据,以帮助财务审计获取充分有效的审计证据来得出合理的审计结论;除此之外,系统审计还能帮助企业识别与防控与信息系统相关的安全风险,减少信息系统相关的欺诈与舞弊,满足监管要求。
长按图片保存/分享
更多NISP授权运营机构

国家网络空间安全人才培养基地

国家信息安全水平考试(NISP)专项证书管理中心

客服中心
二维码
添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了
京ICP备18045154号-8