高校信息系统审计论文范文

一、信息系统审计的主要内容

（一）信息系统审计的定义。中国内部审计协会（2014）认为信息系统审计是指“内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动”。按照上述定义，信息系统审计的重点跟传统审计一样，还是专注于内部控制与流程，但关注点不同，信息系统审计的关注点是信息系统的控制和流程，而不仅仅只关注相关的制度和规范。

（二）信息系统审计的目标。信息系统审计和控制联合会（ISACA）COBIT框架认为组织内部的信息系统需求三原则是：质量、成本和安全，即在保证信息系统满足组织需求的前提下，尽可能避免组织内外部风险，并减少研发和维护成本。因此信息系统审计的目标就是对组织信息系统的运行的可靠性，数据的真实性和安全性提供评价。

（三）信息系统审计的步骤。由于大多数高校内审机构在“数字化校园”开发阶段并没有参与其中。本文所述的信息系统审计专指信息系统运行维护阶段的审计。

1.审计准备阶段。信息系统审计准备阶段步骤与传统审计类似，通过从被审计单位获取相关信息系统管理的规章制度，找负责系统维护管理的工作人员座谈，实地观察等方式，完成审前调查，进行风险评估、初步确定审计重点和制定审计实施方案等工作。

2.审计实施阶段。信息系统审计在实施阶段分为两部分，分别为信息系统一般控制审计和应用控制审计。一般控制审计往往比应用控制审计更为重要，因为应用控制的有效性常常受到一般控制的影响。根据审计项目不同，审计人员可以只实施一般控制审计或者两者结合进行审计。（1）一般控制审计。一般控制审计又可以分为硬件和软件两部分，两部分的审计重点和方法有所不同，分别为：对硬件的审计通过实地观察法实施，主要有审计网络接口是否安全，是否有硬件防火墙，硬件设备存放环境是否安全，防火、防雷、防盗措施是否完备，是否装备了UPS，在硬件出现故障时是否制定了应急响应计划等。对软件的审计通过抽样、观察和面谈实施，审计重点为：一是系统管理控制，主要有系统设定的职责分离是否合理，授权管理是否充分，是否做到一个系统账户对应一个工作人员，是否确保了只有被授权的用户才能对特定资源和数据进行访问等；二是软件安全控制，主要有是否安装了杀毒软件，软件是否定时升级，未经授权的软件能否安装，是否有系统操作规范等；三是数据管理控制，主要有数据传输是否加密，系统数据是否定期备份，有无冗余备份，数据修改是否按照规定程序进行审核，向外部传输系统数据是否有身份认证，是否定期对数据质量进行检查等。（2）应用控制审计。信息系统应用控制是指为保证应用程序处理数据时按照组织流程运行，确保数据的完整性和真实性的控制，包括输入控制、处理控制、输出控制三部分。输入控制包括输入授权、数据转换和编辑校验，处理控制包括运行总数控制、计算机匹配和批处理控制，输出控制包括复核系统处理日志、审核输出文本、审核程序。对应用控制的审计，主要通过分析性复核和计算机辅助模拟的方法，审计重点为信息系统业务的控制点设置是否合理，数据处理程序最多运行数，是否有审核系统日志程序等。

3.报告阶段。内审人员根据实施阶段编制的工作底稿，出具审计报告初稿，与被审单位充分沟通后，修改审计报告，报相关层级领导审核后，签发正式审计报告。

二、高校做好信息系统审计的措施

1.转变观念，提高开展信息系统审计必要性的认识。“数字化校园”建成以后，高校内部控制环境已经悄然发生改变，内部审计要想充分发挥其独有的管理评价职能，必须迎头而上，及时开展信息系统审计。不少内审机构认为信息系统审计专业性太强，无从着手，实际上信息系统审计的核心并没有改变，还是对信息系统控制的评价，并没有超出审计人员专业知识的范畴。

2.结合实际，建立信息系统审计的体系。当前，国际上已经有比较成熟的关于信息系统审计的体系，那就是信息系统审计和控制联合会（ISACA）COBIT体系，但完全照搬肯定是不行的，在实际操作中，内审机构必须结合国情、校情，进行修订更改，出台符合自身工作实际的、具备可操作性的信息系统审计体系，以规范审计工作。

3.加强对内审人员的培养。内审机构可以通过以下方式提高内审人员业务素质：一是鼓励内审人员取得CISA资格。由ISACA颁发国际信息系统审计师（CISA）执业证书是唯一在国际上获得认可的证书，具有很强的权威性。二是在聘请外部审计机构进行信息系统审计的同时，让内审人员参与其中，做到边实践边总结，起到“以审带练”的作用。

4.在现有“数字化校园”平台的基础上，提供计算机辅助审计软件接口。“数字化校园”的建成，为内部审计实现审计方式的转变提供了可能。通过软件接口，内部审计能够随时监控学校各部门执行制度和程序情况，实现事中审计，更好地发挥内部审计职能。

作者：李涛单位：襄樊职业技术学院监察审计处