COBIT在工商银行信息系统审计工作中应用的探讨

由 无敌客 分享时间：2023-08-05 11:20:24 加入收藏我要投稿点赞

第一篇：COBIT在工商银行信息系统审计工作中应用的探讨

作者：时间：2006-06-06

COBIT在工商银行信息系统审计工作中应用的探讨

在商业银行数据大集中的形势下，银行信息系统面临着两种威胁：一是利用计算机舞弊，二是灾难性破坏。计算机舞弊现象不仅存在于系统开发阶段，更容易发生在维护阶段。总行数据中心一旦发生灾难性破坏，受到影响的将是全行范围的所有分支机构和所有业务，经济%信誉和法律的损失将无法估量。为此，工商银行的行领导非常重视，除了进一步加强信息科技部门自身的内部控制和采取必要的措施之外，还于2002年在内审部门成立了专职的IT 审计处，重点对IT风险进行检查和控制，在IT审计方面做了一些有益的探索，取得了一些经验。

商业银行在应用COBIT的具体过程中，要注意以下几点：

1．从审计目的看，IT审计不仅包含对信息系统安全运行的状况提出评价，规

避操作风险，更应该使组织中的IT战略符合企业的战略目标，规避由于信息技术发展给企业带来的战略风险。在这一方面，COBIT的审计范围几乎涵盖了所有与IT相关的活动。而其他几个国际标准则各有不同，BS7799 侧重于与信息系统安全相关的活动，COSO 则侧重于企业自身内部控制，ITIL则是着重IT系统的交付和支持。更为重要的是，COBIT就如何进行IT审计，给出了详尽的指导性建议。就其适用的对象而言，只有COBIT的适用用户包含审计师，是从审计人员的角度来全面阐述了如何对企业面临的IT战略风险和操作运行风险进行审计和规避。因此，应该按照COBIT要求的控制目标，尽早对银行相关的IT过程进行审计。2．在应用COBIT标准时，应以COBIT为主，还要参照其他国际标准。COBIT

作为一个IT治理的通用标准和信息系统审计的框架体系，与其他的国际IT标准并不冲突。审计师在以COBIT作为主要参照标准的同时，针对信息系统审计的不同方面，可以借鉴不同的国际标准。如在对商业银行数据中心安全方面进行审计时，可以参照BS7799中的相应内容，也可以参照SSE—CMM的标准来进行;在涉及信息系统的交付和支持时，则可以采用

ITIL 中的内容来对数据中心的相关活动进行评价和审计;在对数据中心内控机制的建设情况进行评价时，就可参照COSO中的相应条款来比照评估。

3．对COBIT标准的采用，应结合商业银行自身的实际情况有选择地实施。

COBIT作为一个国际标准，比较强调其通用性，而对企业的具体情况有所忽视。在具体运用过程中，可依据自身特点，结合信息系统生命周期各个阶段的不同特点，有选择分阶段地来实施COBIT中所要求的内容。

4．在运用COBIT实施IT审计时，可从COBIT有关过程中的控制目标入手，进行风险分析，得出与该过程相关的风险控制目标，再从风险控制目标中导出与该目标相关的风险控制点。针对每个风险控制点，结合商业银行自身的技术特色，找出其所包含的风险检查点，风险检查点又可以组成对相关部分的检查表。针对检查的结果，与COBIT相关部分中的要求相比照，找出相关的薄弱点，并就此提出相应的改进意见。风险控制目标和风险检查点之间的推导方式主要有两种，一种是自下而上，即从具体的管理过程或技术实施措施入手，从中得出相应的风险控制点，对相应的风险控制点进行提炼，最后得到风险控制目标;一种是自上而下，从风险控制目标出发，将其进行分解，得到相应的风险控制点并对其进行细分，直到能够直接得出检查点为止。最后将得到的风险控制目标与COBIT相关过程的控制目标相比较，以确保整个信息系统审计目标的完整性。

七、我国商业银行IT审计发展的几点思考

商业银行IT 审计应审时度势, 紧密联系经营的新形势、新特点, 遵循先进的国际审计标准, 突出技术特色和风险导向, 大力开展非现场IT 审计。

1.紧密围绕银行的经营需求, 推动银行的公司治理及IT 治理。目前金融市场的竞争进一步加剧, 需要进行全面的风险管理, 对内部控制和内部治理也应进行彻底性的变革。IT 审计在这场变革中, 要把握方向, 加快体系建设, 提高审计层次, 促进IT 治理, 推动公司治理。因此，一方面，商业银行要切实落实《金融机构计算机安全保护工作暂行规定》要求，合理安排基础设施和安全防范措施。要充分重视IT内部审计的作用，发挥审计对安全管理的内控作用，在引入IT 审计后，加快完善公司治理机制，并保证内审的独立性。成立信息系统

风险控制委员会，定期对信息系统风险管理情况进行研究，推进IT审计中的故障发现、评估和风险控制措施的落实，督促指导IT 审计组的工作。另一方面，监管部门应加强对金融企业的IT 审计的监管，将IT 安全作为监管的重要内容，将IT 审计作为评价其安全性的重要因素，通过现场及非现场检查对商业银行等金融企业进行督促。同时，国家审计在金融计算机审计方面发展迅速，电子数据的采集分析等方面已有相当高的水平，但在对针对金融企业信息技术本身的审计方面，还应予以加强。

2.建立商业银行IT 审计规划。恰当的IT 审计方案与规划是IT 审计工作的核心基础，是保证审计目标实现，以及达到相关审计效果的关键。商业银行在引入IT 审计后，应对全系统信息系统建设设计整体的专业审计规划，制定年度工作目标及三年、五年风险控制目标，并与信息化建设发展相适应，形成IT 审计标准方案和计划。商业银行IT 审计方案与计划应包括：商业银行的信息系统现状分析、商业银行的内部控制现状初步评价、IT 审计的性质与范围、审计工作的组织安排、审计风险评估、审计费用与成本、实施时间计划、IT 审计方法、审计协调与沟通机制等。IT 审计实施的过程要求对审计计划确定的范围、要点、步骤、方法等内容，进行取证、测试与评价，最终形成IT 审计报告。

3.遵循国际通行准则, 建立国际标准框架下具有各行特色的标准和规范体系。从国际同业的实践看, 国际大型商业银行大多都在自己的IT 审计体系下, 遵循国际标准或规范, 按照国际通行的做法, 结合实际情况, 确立自己的IT 审计标准和规范。因而, 我国商业银行也可应把目前国际上公认的最先进、最权威的IT 审计标准———COBIT 作为核心标准, 同时借鉴《巴塞尔协议》、BS7799、COSO(Committee of Sponsoring Organizations of the Treadway Commision)、《萨班斯—奥克斯利法案》等其他国际标准和原则, 进而确立适合各行的IT 审计目标、对象、范围、方法、流程等, 具体指导IT 审计工作。同时，应进一步明确IT 审计的技术角色，突出IT 审计的技术特色，根据商业银行信息系统的技术架构和特点，结合审计资源条件，确立IT 审计对应的技术角色架构。可以考虑将IT 审计的技术角色划分为应用、系统、网络及硬件三个大类。不同的技术角色分别负责信息系统生命周期中不同阶段的不同技术领域的控

制、分析和评价，确立控制风险分布和控制重点，建立相应的风险评估指标，制定有效的控制检查表和检查点，提高商业银行IT 审计的专业化水平。

4.建立合理的IT 审计管理模式。现阶段，商业银行开展IT 审计应将现场审计与非现场审计有效结合，并利用好不同审计模式下取得的成果，形成互补。通过考察国际银行业界的IT 审计技术和手段，可以断定，借助先进技术实施非现场审计已是大势所趋。IT 审计可以通过采用灵活的、可配置的审计模型及数据分析探测工具，构筑起科学、有效的风险分析、监测、评价体系，进一步加强商业银行IT 审计的非现场审计，推动商业银行的审计信息化建设。但在审计开展过程中，要注意加强风险管理，规避IT 审计风险。在关注重要性的同时，要力求效益性，防止因审计不当导致银行新的风险发生。

5.加强注册信息系统审计师（Certified Information System Auditor，简称CISA）和IT 审计专业人才的培养。从当前商业银行审计人员素质来看，还不大适应IT 审计的要求。这主要归结于在IT 环境下商业银行内部审计人员工作发生的一系列重大变化，对内部审计人员素质要求进一步提高。首先，内部审计人员需要以内部控制专家的身份参与开发小组并监督计算机信息系统开发过程中的各项活动。其次，内部审计人员应及早参与到计算机系统的实施过程，提出宝贵意见和建议。因此，内部审计人员必须不断地注视信息技术的发展，掌握新方法与新技能，了解现代信息技术的用途及其对企业管理与信息处理的影响，使信息技术成为实施审计监督和加强控制的有力工具，并在现有的基础上掌握经营方面的重要知识和技能，以增强在经营领域的运作。目前虽然外包IT 内审的条件不成熟，但IT 业务外包是社会化分工的趋势，从长远来看，商业银行应增加IT技术尤其是通用技术的外包，将各系统行大批内部IT 开发人员适当转化为固定的IT 内部审计人员，从而进一步提高内审质量。

6.进行IT 审计人员的技术角色划分, 突出IT 审计的技术特色。根据各商业银行自己的信息系统技术体系及IT 审计资源, 划分不同的IT 审计技术角色, 突出IT审计的技术特色, 提升IT 审计层次。首先应分析掌握信息系统的技术和管理架构的特点, 然后结合现有的审计资源, 根据一般控制、应用控制和信息安全审计的要求,确立IT 审计对应的技术角色架构。可以初步将技术角色划分

为三个大类, 即应用类技术角色、系统类技术角色、信息和网络安全类技术角色。不同角色审计人员负责对信息系统中不同技术领域进行审计, 建立各自的控制风险分布和重点的模型, 并制定相应的风险评估指标, 确定有效的风险控制检查表和检查点。形成以三大技术分类为主线, 全面覆盖全行信息系统各个部门和信息系统发展生命周期全过程的IT 审计的技术体系。

7.推行风险管理, 突出IT 审计的风险导向。现阶段, 在复杂的信息系统技术和管理环境下的IT 审计无疑是有一定审计风险的。因此, IT 审计更要重视风险管理, 规避审计风险, 在注重重要性的同时, 要讲究效益性, 这也是在今后相当长的时间里要充分重视的。

在目前商业银行的环境下, 信息系统的审计应该是以风险管理为基础, 按照重要性原则, 对信息系统进行的一般控制审计和应用控制审计,并且贯穿了信息系统生命周期的全过程。商业银行IT审计工作应该按照先进的国际标准的要求, 本着科学、独立、审慎的精神, 依据各商业银行的实际情况来进行,只有这样, 才能达到IT 审计真正目的。通过信息系统审计（IT 审计），及时识别风险，完善控制措施，是商业银行构建全面风险管理体系的现实需求.实施IT 审计有力于商业银行信息系统项目的风险控制。加强对商业银行业务运营风险的防范。促进商业银行业务流程再造BPR（Business Process Reengineering,）。总之，在银行系统开展信息系统审计工作，是银行控制风险的的重要手段，在新形势下，银行要健康发展，就要积极迎接挑战、应对不断出现的新风险，防患于未然，才能抓住网络经济时代给银行带来的新机遇, 迎来银行业的新发展。

第二篇：移动护理信息系统在临床护理工作中的应用及意义

移动护理信息系统在临床护理工作中的应用及意义

随着移动护理信息系统在临床护理工作中的应用，越来越被管理者所接受，它方便、快捷、小巧、便于携带、操作性和实用性强，保证了护理安全，规范了护理行为，增强了护理人员法制意识。虽然具有上述优点，但在我国医疗行业起步较晚，在发展、普及过程中还存在一些有待解决的问题，当前国内各种文摘总结最多的只是对它的应用，而没有明确提出通过移动护理信息系统对医疗体系做出的巨大变革是改变护理过程中简单的一对一的服务，通过移动护理信息系统的多端口输入，达到所有信息在整个护理过程中的共享，从而整合整个医疗护理资源，达到整体护理的目的。本文就移动护理信息系统国内外发展情况、主要功能、对护理工作的作用、目前存在的不足及发展远景进行了分析。

移动护理信息系统是护士工作站在患者床边的扩展和延伸，其解决方案以医院信息系统为支撑基础，以掌上电脑(PDA)为平台，以无线局域网为传输交换信息平台，充分利用HIS的数据资源，实现了HIS向病房的扩展和数据的及时交换，极大地推动了医院的信息化建设和数字化发展趋势[1]。近年来，随着无线通信技术在国内医疗机构逐步得到推广应用，移动护理信息系统在临床护理工作中也发挥出显著的作用。现介绍如下。国内外移动护理信息系统的应用

2002年，北京协和医院开始在呼吸科试用临床移动护理信息系统，2004年底开始全院推行;2005年，解放军总医院开始在几个病区试用临床移动护理信息系统;此外，北京同仁医院、天坛医院、无锡市中医医院、解放军第302医院等单位也相继在临床使用了移动护理信息系统。临床移动护理信息系统的成功实施，提高了医护人员的工作效率。

在国外，PDA应用开始得比较早，但造价高昂[3]。PDA体积小巧、携带方便、价格低廉、功能性强，满足了护士随时随地获取患者信息的需求，越来越受到人们的重视[4]。欧美国家将掌上电脑大量应用于HIS的医学大全和药典参考，也应用于临床患者的跟踪系统。美国的Bicomerica公司为医生配备的ReadyScript解决方案，是一个保健现场无线手持设备开具处方和解决药物治疗管理方案。医生利用无线手持PDA，可以经因特网或其他电子连接将处方以电子方式传送到患者选择的药房，此外ReadyScript还为医生提供了一系列可提高他们工作效率与能力的工具和资料，从而使他们能够为患者提供更好的治疗及更大的便利[5]。有关资料报道，PDA在台湾数家医院的应用效果显著，且有些医院在移动式医疗信息管理建设方面已超过欧美等国家，台湾的新光医院和长庚医院都实施了移动医疗整合系统[6]。2 移动护士工作站功能

2.1 确认患者身份、查询与统计患者信息患者入院后，打印以住院号编码的条形码腕带，佩带于患者腕部作为身份标识。护士在床旁为患者进行治疗护理时，用PDA对患者手上的腕带扫描进行患者身份识别与确认。同时可确认患者给药单的条形码与患者腕带上的身标识条形码的信息均相关联。通过无线护士工作站可查看患者的基本信息，包括患者的住院号、床号、姓名、性别、年龄、入科时间、临床科室、诊断情况、主治医生、疾病状态、饮食情况、护理级别、体重、身高、手术时间、过敏史、费用等基本信息;利用在院患者的入院评估单与护理记录单，可随时获得患者的病情信息。

2.2 生命体征的实时采集 PDA 自动提示生命体征信息采集时间，护士随身携带PDA，将采集的护理数据即时在床头录入，保存后信息直接呈现于医生及护士工作站，HIS系统即时生成体温单、生命体征观察单、护理记录单等记录，同时将采集的时间和采集人等相关信息记录到数据库。当多次录入生命体征时，计算机可以自动筛选最靠近体温单记录点的各项生命体征数据绘制到体温单上，并自动识别与生命体征正常值差异最大的数据绘制至体温单上。与PC机上的HIS系统相比，PDA还能显示正在发热患者，以便医护人员及时发现患者病情变化，采取相应的措施。

2.3 出入量的录入、累加和查询 PDA 明确设置可录入的项目有体重、腹围、大便次数、尿量、呕吐物，各种出入量可随时录入。如果需要记录的项目在PDA里没有设置，可在“补充项目”中自行添加所需项目，并输入相应数据，添加的补充项目会在系统中自动保存，记录用户所输入的项目名称和单位，再次输入此项目时，只需要在“项目名称”中选择该项目即可。各种出入量录入后将自动累加，24

h累加结果自动记录在体温单上。

2.4 医嘱查询、执行与统计无线护士工作站的设置使医嘱的分时处理成为可能，系统将医嘱按临床路径进行拆分，PDA 上只显示当前班次需要执行的医嘱，并提醒护士需要执行医嘱的时间，在当前班次尚未执行的医嘱可选择性地交到下一班，交班后的医嘱在当前班次将不再显示，从而使护理工作程序更为清晰、明了。医生下达医嘱后，信息自动转移到PDA上，PDA会提示有新医嘱，提醒提取，护士可以随时随地在PDA上提取和转抄医嘱。经校对后护士可即时进行读取、查询、查对与执行。执行医嘱时，执行者只需在指定位置点击，即可自动生成该条医嘱的实际执行人和真正的执行时间。另外，护士可利用PDA上的远红外线，扫描患者的腕带和输液袋上的条形码，然后简单点击PDA上的触屏，就可将医嘱执行时间和执行人等信息直接保存到数据库中。护士长可随时查看全天的医嘱执行情况、各种护理记录的完成情况、病区护理量统计及护士工作量的权重。

2.5 患者护理过程的记录及护理工作量的统计责任护士随身携带PDA，特殊的时间治疗与护理可设置提示音，可在病房内随时以点击的方式将对患者测量到的结果、所执行的操作、观察到的病情、治疗和护理等情况以精确的时间记录于PDA 上，信息直接回传到HIS系统，呈现于医生及护士工作站。工作中的细节问题可以短信方式及时发送于医生PDA上，保持有效畅通的工作联系。床旁即时书写护理病历，包括记录单首页、一般护理记录单与危重护理记录单，PDA内设常用医学术语及护理记录单模板，录入过程简化，护士可点击选择或利用手写板功能稍加修改即可形成记录，工作效率增加。该系统还设有科主任查房移动记录功能，利用手写功能，查房时护士长可在床旁即时完成查房记录。移动护士工作站充分体现出护理记录的即时性与真实性。系统还可对护理工作项目进行统计，根据护士上班的时间、所执行各项操作签名的护理工作，统计出护士个人、病区或者全院某时间段内护理的危重人数、一级护理人数以及具体护理操作数量，通过科学加权使护理工作达到了量化，为科室建立二级考评制度提供了数据基础。

2.6 护理质量查房移动记录移动护士工作站有护理质量检查记录模块，分为本病区质量检查与院质量检查记录，其中院质量查房包括护理部联查和夜值班护士长查房。护理管理者行质量检查时，持PDA在病区发现问题时，选择检查内容，点击不合格项，当场由责任人口令确认，信息记录于数据库，即时上传到护理部，并自动汇总个人、病区、全院合格率。护理部助理只有查看权，无修改权。用PDA 进行移动护理质量检查，保证了记录的即时、真实;由管理者与当事人共同签名确认，保证了检查结果的公正、透明。同时，责任到人，为年底病区、个人考评提供了依据。另外，自动汇总功能也使护理部助理减少了以往文件输入及人工汇总时间。

2.7 条码扫描检验标本无论是传统的手工检验单模式还是标本容器条码化，都不能解决床旁标本采集容易出错的问题。引入PDA以后，抽血前护士在床旁先用PDA扫描患者腕带识别身份，提取检验医嘱，然后根据提示在试管架中选择所需试管，扫描试管条码后即可进行采血，省去了人工对照的麻烦，同时保证了试管与患者信息的一致性。

2.8 耗材的录入及费用显示在护理过程中所使用的耗材，可随时点击耗材对话框，选择相应的耗材名称、规格，即完成录入，可有效避免遗漏。同时，自动显示患者住院费用，便于通知患者缴纳治疗费用和解释费用支出。现有的系统是在医嘱转抄阶段就对其分解的医嘱项目进行了收费，如果患者因某种原因终止医嘱流程后，护士需通过退药、退单等手段将已收的费用再退给患者，易出现差错，移动护士工作站实现了确认医嘱执行后再收费。

2.9 字典库与护理工具库无线护士工作站中设立了护理计划中常用的护理诊断等字典库，包括目前北美护理诊断协会(north America nursing associa-tion，NANDA)正式通过的148个护理诊断和相关的护理措施等用词，将各种疾病与其主要的护理诊断与措施呈对应关系排列，避免了护理记录中繁冗重复。护理工具库内设置护士工作中常用的计算公式、各种评估表等，方便护士随时使用。

2.10 实时与信息传递医护人员工作的流动性比较大，PDA提供VOAP方式的小区电话、短信功能，更适合移动工作的特点，当有紧急情况时，可与医生护士及时联系。移动护士工作站对护理工作的作用

3.1 优化工作流程，提高工作效率因移动护士工作站与HIS资源共享，信息一经录入，多终端读取，简化护理记录程序，减少护士重复劳动，优化工作流程，使护士有更多时间护理患者，提高了患者的满意度。同时记录的准确性和及时性增强，提高了护理质量和工作效率。

3.2 建立标识系统，减少护理差错目前护理工作中患者的查对有许多不确定性，如同姓名、换床、患者意识障碍等，加上护士查对工作量大，人为出错的几率较大。基于患者标识系统的条码或射频识别技术，护士在床旁为患者进行操作时，用PDA对患者进行确认，极大地提高了患者身份识别的准确性，为临床管理路径提供了辅助手段，确保了治疗过程中患者、时间、诊疗行为的准确性。快捷、方便、有效的医嘱查询，也能最大限度地防止医嘱漏执行。用PDA床旁扫描检验标本，保证了采样信息的实时性与正确性，彻底解决了标本采集在源头出错而造成医疗纠纷的问题。

3.3 解决签字问题，规范文书书写长期以来医嘱执行的签字问题没有得到较好的解决，特别是长期医嘱，HIS系统中不能实现，而移动护士工作站中医嘱的拆分实现了所有医嘱执行后即可签名的功能。签名方法可直接点击，签名时间为服务器提取数据时的时间。移动护士工作站的使用实现了医嘱全程跟踪，满足了卫生部和中医药管理局《病历书写基本规范(试行)》长期医嘱执行后应签署执行时间和执行人姓名的要求。另外，使用PDA后，无需再打印各种分类执行单，随着电子病历归档，护理工作真正实现了“无纸化”办公。

3.4 加强质量控制，杜绝护理差错移动护士工作站使护理质控深入到医疗护理过程的每个环节，实现了实时环节控制，使终末式管理变为环节控制。即时的信息存取，降低了错误率。护士长能够很方便地随时掌握全科的护理工作动态，加大了对工作过程的监控及管理，及时发现医疗护理过程中各环节的问题，可及时采取相应的措施，将事后管理变成事前管理，增加了护理管理的深度。

3.5 规范护理行为，增强法制观念由于每条医嘱与实际执行人形成一对一的关系，记录医嘱的执行时间、用药途径，对病情观察的时间、观察数据即时进行录入，不但规范了护士的行为，同时为护理工作提供了可靠的数据资料，避免了在医嘱执行过程中责任区分不清。

3.6 提供法律证据，避免护患纠纷基于HIS系统的安全机制，移动护士工作站准确、实时、完整地记录医嘱执行时间和执行人，并且永久保存医嘱记录，为医疗举证倒置提供了法律依据。

3.7 加强医护配合，提高患者满意度 PDA的医嘱提示音、短信功能等为繁忙的临床护理工作提供了科学有效的保障，减少了医护语言沟通中的信息传递失误，同时责任护士能及时有效地为患者提供各种治疗与护理信息，有利建立良好的护患关系，使患者满意度上升。

3.8 促进管理创新，树立护理品牌移动护士工作站的应用，使护理管理更加严谨规范，由定量管理向定性管理转变、由经验管理向科学管理转变，以数据资料为依据，实行对个人、科室、全院护理工作绩效考评、合理调配人力资源，促进了医院护理管理科学化、正规化的进程。实施移动化的医院，降低了人力资源投入和耗材成本的同时，提高了工作效率，提高了医院的管理水平，树立了“精美护理品牌”意识，增加了医院的竞争力。移动护理信息系统存在不足

(1)由于存储容量大，每次切换模块时速度较慢，有待进一步研发。(2)由于我国医疗信息化程度低，无线网络仍然存在一定的安全隐忧，如何保护移动用户的合法信息(账户、密码等)，使患者的隐私不受侵犯，是一项迫切需要解决的问题。(3)移动医疗的需求还未完全成熟、医疗行业的复杂性、供方技术不成熟、产业链没完全做好准备等都在一定程度上影响其规模和全面发展[7]。(4)医疗信息化的成本不菲，而中国的医疗信息化投入较低，医院的信息化主要靠自力更生，边积累边发展。由于患者涌向大型医院，很多小医院门可罗雀，收入都是问题，信息化投入自然更要打个问号了。其次是来自医院的障碍，包括管理、观念因素等。(5)特殊的领域，存在着二次开发的现实需求。不同医院、不同用户势必需要适应各自工作环境和工作任务的移动办公、治疗或护理的要求。(6)但繁忙的护理操作中，会发生PDA跌落和碰撞的事情，对无线终端设备造成损坏。(7)国内大多数中小医院还没有建立HIS系统，导致HIS市场分化。

综上所述，如何实现移动护理信息系统，在现阶段并不是购买硬件就能达到，只能在现有基础上进行有效整合，在硬件和软件功能逐步提升中进行改进。

病人床边移动护理系统

医学教育网

将一个腕带套在病人手腕上，护士手持一个手掌大小的掌上电脑，在病人床旁，对病人腕带上的条形码扫描后，掌上电脑里即出现了病人的所有医嘱等信息。护士将医嘱执行情况和病人的体征等情况，逐项记录在电脑中。这个由北京协和医院信息中心和北京远卓科技有限公司共同合作研发的，能跟踪医嘱全过程的国内首个“病人床边移动护理系统”，经过两年多的研制，近日在协和医院正式投入使用。这一系统的运行，填补了我国医疗信息技术在临床护理工作领域应用的空白，为临床护理和管理工作，提供了新式“武器” 医学教育网搜集整理。

近年来，信息技术已广泛应用到了医院临床，主要是医生工作站和护士工作站。这些系统的应用，虽然使医院病房医护工作实现了计算机操作，提高了工作效率，但仍有因无法跟踪医嘱全过程等而产生的许多问题。如原有的HIS系统只跟踪到医嘱转抄，即把医嘱分解成为可操作的执行项目，按照这些项目，系统执行收费，不再全程跟踪医嘱的实际执行。这就使得一些重要的医疗信息在实际执行中无法电子化，因而在医疗质量监控和病人费用跟踪等方面会产生一些无法解决的问题。而“病人床边移动护理系统”实现了对医嘱实际执行的全过程跟踪，具有原有的HIS系统无法替代的优势：

首先，它能够完整地闭合医嘱的生命周期，使护理质量监控和护理工作量的量化成为可能，对提高医院整体的护理水平起到很大的促进作用。

医学教育网

其次，移动护理系统通过对条码技术的使用，能够用电子化的手段来帮助医护人员尽可能地减少医嘱执行过程中可能产生的医疗差错，确保对病人能够在正确的时间得到正确的治疗。

再者，它能完整准确的确认病人已使用的材料和产生的治疗费用。既能节省时间又可最大限度地保证数据的准确性。

医学教育网搜集整理

该系统投入使用后还会带来很多其他的便利。例如，通过移动设备PDA对病人体征信息进行记录后，今后的体征记录将能够实现脱纸的电子化记录，体征单也可以被打印出来供医生参考，这样就减少了护士手动记录体征数据和描点画图的烦琐过程，护士可以得到更多的时间和精力去关注病人。在此系统基础上，实现对护士工作量和护理人力资源的科学化计算机管理也将能够变为现实。

“病人床边移动护理系统”的硬件采用的是掌上电脑PDA和病房护士工作站计算机相结合的硬件架构。经过培训，该系统近日将在内科、外科的8个病房中开始使用，每10张床配一台掌上电脑。

移动护理信息系统存在问题：

一、因医疗行业的复杂性，因观念因素护理人员还没有对过去的模式中脱离出来，造成接受难度

第三篇：信息系统审计

1、信息系统审计的概念，内容，流程？

答：（1）概念信息系统审计是指根据公认的标准和指导规范，对信息系统从规划、实施到运行维护各个环节进行审查评价，对信息系统及其业务的完整性、有效性、效率性、安全性等进行监测、评估和控制的过程，以确定预定的业务目标得以实现，斌提出一系列改进建议的管理活动。

（2）内容：主要包括内部控制系统审计、系统开发审计、应用程序审计、数据文件审计等。a.内部控制系统审计。信息系统的内部控制系统由两个子系统构成：一是一般控制系统，它是系统运行环境方面的控制，为应用程序的正常运行提供外围保障。另一子系统是应用控制系统，它是针对具体的应用系统和程序而设置的各种控制措施。

b.系统开发审计。是指对信息系统开发过程所进行的审计，这是一种事前审计。

c.应用程序审计。其决定了数据处理的合规性、正确性。对应用程序的审计，可以对程序直接进行审查，也可以通过数据在程序上的运行进行间接测试。

d.数据文件审计。在信息系统中，各种凭证、账簿及报表中的数据均以数据文件的形式存储在硬盘或软盘等存储介质中，对数据文件进行审计，可以将该文件打印出来进行检查，也可以在计算机内直接进行审查。

（3）流程：主要的分为准备阶段、实施阶段、终结阶段。

a.准备阶段：

1、明确审计任务。

2、组成信息系统审计小组。

3、了解被审计系统的基本情况。

4、制定信息系统审计方案；

b.实施方案：

1、对被审计系统的内部控制制度进行健全性调查和符合性测试。

2、对帐表单证或数据文件的实质性审查；

c.终结阶段：

1、整理归纳审计资料。

2、撰写审计报告。

3、发出审计结论和决定。

4、审计资料的归档和管理。

2、常见的IT治理标准有哪些，各自的作用是什么？

答：常见的IT治理标准有ITIL，COBIT，BS 7799，PRINCE2。

（1）ITIL（Information Technology Infrastructure Library），即信息技术基础构架库，一套被广泛承认的用于有效IT服务管理的时间准则。1980年以来，英国政府商务办公室为解决“IT服务质量不佳”的问题，逐步提出和完善了一整套对IT服务的质量进行评估的方法体系。

（2）COBIT，（Control Objectives for Information and related Technology）：信息和相关技术的控制目标。它是由信息系统审计与控制协会，于1996年推出的用于IT审计的知识体系。作为IT治理的核心模型，其包括34个信息技术过程控制，并归集为IT规划和组织、系统获得和实施、交付与支持以及信息系统运行性能监控4个领域。目前COBIT是国际上公认的IT管理与控制标准。

（3）BS 7799（ISO/IEC17799）：国际信息安全管理标准体系。该标准包括信息系统安全管理和安全认证两大部分，是参照英国国家标准BS 7799而来的。它是一个详细的安全标准，包括安全内容的所有准则，由10个独立的部分组成，每一节都覆盖了不同的主题和区域。该体系主要解决企业的信息安全管理上的问题，为企业提供了一个完整的管理框架，不断改进信息安全管理水平，使机构或企业的信息安全以最小代价达到需要的水准。

（4）PRINCE2（Projects In Controlled Environments）是一种对项目管理的某些特定方面提供支持的方法。PRINCE2描述了一个项目如何被切分成一些可供管理的阶段，以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。PRINCE2的视野并不仅仅限于对具体项目的管理，还覆盖了在组织范围对项目的管理。

3、常见的信息系统开发方法，对其中的一到两种展开说明？

答：常见的信息系统开发方法有软件开发生命周期法、原型法、面向对象法、计算机辅助开发方法、基于组件的开发方法、基于Web应用开发方法。以下对软件开发生命周期法进行

说明。

软件开发生命周期法（Software Development Life Cycle，SDLC）是系统分析员和系统开发者常用的软件开发方法。软件开发生命周期法能够生产高质量的软件，满足业务和用户的需求，在开发进度和成本控制下进行软件开发生产，是一种有效保证成本，提高效益的软件开发方法。通过应用传统的SDLC方法，已经成功开发出了大量的业务应用系统。其各个阶段及其基本内容如下：

1、第一阶段——可行性研究。确定实施系统在提高生产效率或未来降低成本方面的战略利

益，确定和量化新系统可以节约的成本，评价新系统的成本回收期。

2、第二阶段——需求定义。一是定义需要解决的问题，二是定义所需的解决方案及方案应

当具有的功能和质量要求。该阶段还要确定是采用定制开发的方法还是供应商提供的软件包。

3、第三阶段A——系统设计（当决定自行开发软件时）。以需求定义为基础，建立一个系

统基线和子系统的规格说明，以描述系统功能如何实现，各个部分之间接口如何定义，系统如何使用已选择的硬件、软件和网络设施等。

4、第三阶段B——系统获取（当决定购买现成软件包时）。以需求定义为基础，向软件供

应商发出请求建议书（RFP）。商品软件的选择要从多方面进行考虑。

5、第四阶段A——系统开发（当决定自行开发软件时）。使用系统设计说明书来设计编程

和实现系统过程。在这个阶段，要进行各个层次的测试，以验证和确认开发的系统。

6、第四阶段B——系统配置（当决定购买现成软件包时）。如果决定选用商品化的软件包

时，需要按照企业的需求进行系统客户化工作，对系统进行剪裁。这种剪裁最好是通过配置系统参数来实现，而不是通过修改程序源代码。

7、第五阶段——系统实施。这个阶段是在最终用户验收测试完成、用户签署正式文件后进

行。系统还需要通过一些认证和鉴定过程，来评价应用系统的有效性。

8、第六阶段——实施后维护。随着一个新系统或彻底修改的系统的成功实施，应当建立正

式的程序来评估系统的充分性和评价成本效益或投资回报。这样可为后续的系统开发项目管理提供改进意见。

当一个项目的需求稳定、定义准确时，生命周期法使用起来最有效，改方法适用于在开发工作的早期建立总体的系统构架。

4、IT服务管理的定义，包括哪些内容？

答：（1）IT服务管理（IT Service Management，ITSM）有以下两种使用比较广泛的定义：

1、IT服务管理是一种以流程为导向、以客户为中心的方法。它通过整合IT服务于企业业

务，提高了企业的IT服务提供和服务支持的能力和水平。

2、IT服务管理是一套通过SLA（服务级别协议）来保证IT服务质量的协同流程。它融合了系统管理、网络管理、系统开发管理等管理活动以及变更管理、资产管理、问题管理等许多流程理论和实践。

（2）ITIL主题框架包括6个主要模块，即服务管理、业务管理、ICT（信息与通信技术）基础设施管理、贯穿业务和IT基础设施的应用管理、IT服务管理实施规划和集中的安全管理。

08信息2班0804100229徐怡

第四篇：信息系统审计重点

信息系统审计

电子计算机在数据处理的发展过程可分为三个阶段：数据的单项处理阶段、数据的综合处理阶段、数据的系统处理阶段。

数据处理电算化以后，对传统的审计产生了巨大的影响，主要表现在：

1、对审计线索的影响~~~~

2、对审计方法和技术的影响~~~~~~

3、对审计人员的影响~~~~~

4、对审计准则的影响~~~~~~ 信息系统审计的定义：信息系统审计是根据公认的标准和指导规范，对信息系统从规划、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整性、有效性、效率性、安全性等进行检测、评估和控制的过程，以确认预订的业务目标得以实现，并提出一系列改进建议的管理活动。

信息系统的主体：有胜任能力的信息系统独立审计机构或人员信息系统审计的对象：被审计的信息系统

信息系统审计工作的核心：客观地收集和评估证据

信息系统审计的目的是评估并提供反馈、保证及建议。关注之处被分为三类：可用性、保密性、完整性。

信息系统审计的特点：审计范围的广泛性、审计线索的隐蔽性、易逝性、审计取证的动态性、审计技术的复杂性。（真是为一道简答题。在P6，详细看一下各段内容，概括下再答题）信息系统审计目标：

1、保护资产的完整性

2、保证数据的准确性

3、提高系统的有效性

4、提高系统的效率性

5、保证信息系统的合规性与合法性

信息系统的主要内容：内部控制系统审计（分为一般控制系统、应用控制系统，对信息系统的内部控制系统进行审计的目的是在内部控制审计的基础上对信息系统的处理结果进行审计、加强内部控制，完善内部控制系统）系统开发审计(信息系统开发审计是对信息系统开发过程进行的审计，审计目的一是要检查开发的方法、程序是否科学，是否含有恰当的控制；二是要检查开发过程中产生的系统文档资料是否规范。)应用程序审计（审查应用程序有两个目的，意识测试应用控制系统的符合性，二是通过检查程序运算和逻辑的正确性达到实质性测试目的）数据文件审计（审计目的一是对数据文件进行实质性测试，二是通过数据文件的审计，测试一般控制或应用控制的符合性，但主要是为了实质性测试）（这是道简答题，在P8各个小概括下）

信息系统审计的基本方法：绕过信息系统审计、通过信息系统审计信息系统审计的步骤（大题P11）：

准备阶段：明确审计任务，组成信息系统审计小组，了解被审计系统的基本情况，指定信息系统审计方案，发出审计通知书实施阶段：对被审计系统的内部控制制度进行健全性调查和符合性测试，对账表单证或数据文件的实质性审查

终结阶段：整理归纳审计资料，撰写审计报告，发出审计结论和决定，审计资料的归档和管理

国际信息系统审计准则：由信息系统审计与控制协会（ISACA）颁布和实施的。ISACA是国际上唯一的信息系统审计专业组织，通过制定和颁布信息系统审计标准、指南和程序来规范审计师的工作，它由三个层次构成：审计标准（审计标准是整个信息系统准则体系的总纲，是制定审计指南和作业程序的基础和依据）审计指南（审计指南为审计标准的应用提供了指引，信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求，在应用过程中灵活运用专业判断并纠正任何偏离准则的行为）

作业程序（作业程序提供了信息系统审计师在审计过程中可能遇到的审计程序的示例）信息系统审计师应具备的素质（大题P18-19）

应具备的理论知识:传统审计理论、信息系统管理理论、计算机科学、行为科学理论

应具有的实践技能：参加过不同类别的工作培训、参与专业的机构或厂商组织的研讨会，动态掌握信息技术的新发展对审计实践的影响、具有理解信息处理活动的各种技术、理解并熟悉操作环境，评估内部控制的有效性、理解现有与未来系统的技术复杂性，以及它们对各级操作与决策的影响、能使用技术的方法去识别系统的完整性、要参与评估与使用信息技术相关的有效性、效率、风险等、能够提供审计集成服务并为审计员工提供指导，与财务审计师一起对公司财务状况做出说明、具备系统开发方法论、安全控制设计、实施后评估等、掌握网络相关的安全实践、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。IT治理定义：德勒定义：IT治理是一个含义广泛的概念，包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。

IT治理必须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争；IT治理和其他治理主体一样，是管理执行人员和利益相关者的责任（以董事会为代表）；IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险；IT治理包括管理层、组织结构、过程，以确保IT维护和拓展组织战略目标；应该合理利用企业的信息资源，有效的集成与协调；确保IT及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段；引导IT战略平衡系统的投资，支持企业，变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争。

IT治理和IT管理的关系：IT管理是在既定的IT治理模式下，管理层为实现公司的目标二采取的行动，IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司，即使有很好的IT管理体系，就想一座地基不牢固的大厦；同时，没有公司IT管理体系的流畅，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。

公司治理和IT治理：公司治理，驱动和调整IT治理。同时，IT能够提供关键的输入，形成战略计划的一个重要组成部分，即IT影响企业的战略竞争机遇。IT治理标准：ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型：不存在、初始级、可重复级、已定义级、已管理级、已优化级（主要内容及其作用在P47-48）

信息系统内部控制：是一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊、确保信息系统提供信息的真实、合法、完整，而制定和实施的一系列政策与程序措施。凡是与信息系统的建立、运作维护、管理和业务处理有关的部门、人员和活动，都属于信息系统内部控制的对象，可分为一般控制和应用控制。

信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制，其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。

信息系统应用控制是用于对具体应用系统的控制，一个应用系统一般由多个相关计算机程序组成，有些应用系统可能是复杂的综合系统，牵涉到多个计算机程序和组织单元，与此相对应，应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。良好的一般控制是应用控制的基础，可以为应用控制的有效性提供有力的保障，某些应用控制的有效性取决于计算机整体环境控制的有效性。当计算机整体环境控制薄弱时，应用控制就无法真正提供合理保障。如果一般控制审计结果很差，应用控制审计结果很差，应用控制审计就没有进行的必要。

审计逻辑访问安全策略：知所必需原则

审查离职员工的访问控制：请辞、聘用合同期满和非自愿离职数据库加密：一般采用公开密钥加密方法系统访问控制及其审计：系统访问就是利用计算机资源达到一定目的的能力，对计算机化的信息资源的访问可以基于逻辑方式，也可以基于物理方式。物理访问控制可以限制人员进出敏感区域。对计算机信息的物理访问与逻辑访问应当建立在“知所必需”的基础上，按照最小授权原则和职责分离原则来分配系统访问权限，并把这些访问规则与访问授权通过正式书面文件记录下来，作为信息安全的重要文件加以妥善管理。身份识别与验证（简答题P65-66）：逻辑访问控制中的身份识别与验证是一种提供用户身份证明的过程，在这个过程中，用户向系统提交有效的身份证明，系统验证这个身份证明后向用户授予访问系统的能力。可分为三类：“只有你知道的事情”“只有你拥有的东西”“只有你具有的特征” 例子：账号与口令、令牌设备、生物测定技术与行为测定技术。逻辑访问授权：一般情况下逻辑访问控制基于最小授权原则，支队因工作需要访问信息系统的人员进行必要的授权。当用户在组织变换工作角色时，在赋予他们新访问权限时，一般没有及时取消旧的访问权限，这就会产生访问控制上的风险。所以当员工职位有变动时，信息系统审计师就要及时审核访问控制列表是否做了有效变更。灾难恢复控制及其审计：信息系统的灾难恢复和业务持续计划是组织中总的业务持续计划和灾难恢复计划的重要组成部分。恢复策略与恢复类型：热站、温站、冷站、冗余信息处理设施、移动站点、组织间互惠协议。BCP中多个计划文件：业务持续性计划（BCP）、业务恢复计划（BRP）、连续作业计划（COOP）连续支持计划、IT应急计划、危机通信计划、事件响应事件、灾难恢复计划（DRP）、场所紧急计划（OEP）

异地备份：完全备份、增量备份、差分备份

灾难恢复与业务持续计划的审计：主要任务是理解与评价组织的业务连续性策略，及其组织业务目标的符合性；参考相应的标准和法律法规，评估该计划的充分性和时效性；审核信息系统及终端用户对计划所做的测试的结果，验证计划的有效性；审核异地存储设施机器内容、安全和环境控制，以评估异地存储站点的适当性；通过审核应急措施、员工培训、测试结果，评估信息系统及其终端用户在紧急情况下的有效反应能力；确认组织对业务持续性计划的维护措施存在并有效。

应用控制概念：应用控制是为适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。应用控制涉及各种类型的业务，每种业务及其数据处理尤其特殊流程的要求，这决定了具体的应用控制的设计需结合具体的业务。单另一方面。由于数据处理过程一般都是由输入、处理和输出三个阶段构成，从这一共性出发，可将应用控制划分为输入控制、处理控制和输出控制。应用控制也是由手工控制和程序化控制构成，但以程序化控制为主。

软件维护的种类：纠错行为化、适应性维护、完善性维护、预防性维护服务管理：面向IT基础设施管理的服务支持、面向业务管理的服务提供

IT服务提供流程主要面对付费的机构和个人客户，负责为客户提供高质量、低成本的IT服务。任务：根据组织的业务需求，对服务能力、持续性、可用性等服务级别目标进行规划和设计，同时还必须考虑到这些服务目标所需要耗费的成本。主要包括服务水平管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。

IT服务的服务支持主要面向终端用户，负责确保IT服务的稳定性与灵活性，用于确保终端用户得到适当的服务，以支持组织的业务功能。服务支持流程包括体现服务接触和沟通的服务台职能和5个运作层次的流程，即配置管理、事务管理、问题管理、变更管理、发布管理。应用程序审计的内容：

审查程序控制是否健全有效：程序中输入控制的审计、程序中处理控制的审计、程序中输出控制的审计。

审查程序的合法性P168 简单论述

审查程序编码的正确性：目标和任务不明确、系统设计差错、程序设计说明书错误、程序语法或逻辑错误

审查程序的有效性：在具体编写程序前应简化算术表达式及逻辑表达式、细心的分析多层嵌套循环，以确定能否把一些语句或表达式转移到循环体制外、尽量避免采用多维数组、尽量避免采用指针及复杂的表、采用“快”的算法；不要把不同的数据类型混在一起；只要可能就采用整形数的算法运算和布尔表达式。应用程序审计方法：对应用程序进行审计，往往是计算机辅助审计方法与手工审计方法的结合。

检测数据法：是指审计人员把一批预先设计好的监测数据，利用被审程序加以处理，并把处理的结果与预期的结果作比较，以确定被审程序的控制与处理功能是否恰当、有效的一种方法。

平行模拟法：是指审计人员自己或请计算机专业人员编写的具有和被审计程序相同处理和控制的模拟程序，用这种程序处理当期的实际数据，并以处理的结果与被审计程序的处理结果进行比较，以评价被审程序的处理和控制功能是否可靠的一种方法嵌入审计程序法：是指被审计信息系统的设计和开发阶段，在被审的应用程序中嵌入为执行特定的审计功能而设计的程序段，这些程序段可以用来收集审计人员感兴趣的资料，并且建立一个审计控制文件，用来存储这些资料，审计人员通过这些资料的审核来确定被审程序的处理和控制功能的可靠性。

程序追踪法：是一种对给定的业务，跟踪被审程序处理步骤的审查技术。一般可由追踪软件来完成，也可利用某些高级语言或数据库管理系统中的跟踪指令被审查程序的处理。

第五篇：信息系统审计工作制度

信息系统审计工作

今天，信息系统已成为企业业务处理的中枢，信息系统的可靠、安全、效率左右着企业的命运。企业不仅要在内部设立信息系统审计部门，实施内部审计，还必须委托外部信息系统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。要实施独立的信息系统审计，确立信息系统审计制度是十分重要的。

因此，为了规范部门内部工作流程和质量控制，协助其他部门了解信息系统审计部门的业务支持范围、工作内容及工作流程，促进部门间就项目中设计的信息系统审计业务范围进行有效沟通，协调项目工作计划的界定和质量管理，避免因项目中工作职责和工作范围界定不明确而降低审计工作的效率和效果，特制订此信息系统审计制度。

本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作，为财务审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围，信息系统审计的工作程序及方法，以及信息系统审计对客户能够达成的效果等，特作以下介绍说明。

一、信息系统审计何时介入

信息系统审计（IT Audit）是信息系统鉴证业务中的一种。信息系统审计是根据业务和信息控制目标，针对信息系统环境内设定的控制，通过搜集和评估审计证据，对信息系统控制的有效性发表结论或意见的过程。

信息系统审计有四个层面：

1.它的目的是对信息系统控制的有效性发表评估结论或审计意见。有效性包括控制设计的有效性和执行有效性；

2.它的对象是信息系统环境中的各种控制流程或机制，包括IT 一般控制和应用控制；3）

3.它的内容是搜集和评估审计证据；

4.它的依据是业务控制目标，比如系统是否有效实施控制保证财务软件计算的固定资产折旧程序是否准确。通过执行信息系统审计，可以协助财务审计团队了解和评价信息系统的可靠性和安全性及财务数据的完整性和准确性。

财务审计团队在财务审计业务计划阶段，需对客户的信息系统环境进行调查，若客户的信息系统环境评估结果为复杂时，需邀请信息系统审计人员介入共同探讨审计计划，根据业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质（如：是否为高度自动化）、交易数量及信息系统的管理方式（如：若信息系统由第三方管理，则需考虑是否需要SAS70或者相关的报告）确定信息系统审计业务支持服务范围，并在信息系统审计计划中以书面的形式记录业务约定。若客户的信息系统环境评估结果为不复杂时，信息系统审计工作可由审计团队完成，必要时信息系统审计团队可以提供知识和技术的支持和咨询服务。

其中，若在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化（如：银行，保险，电信，和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息系统处理业务），仅仅执行实质性程序无法提供足够的审计证据时，在约定信息系统审计业务服务范围时，需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实性、完整性、准确性、截止性的审计程序。

在约定信息系统审计是否介入时，需要考虑如下因素：

▪系统的复杂性；

 ▪业务的本质；

 ▪财务审计团队的技能和知识；

 ▪系统的位置（例如，如果包含一个服务组织，SAS70或相关的报告能否被使用）；

 ▪处理的本质（例如高度自动化）和交易的数量。

在评估信息系统是否复杂时，我们认为以下特征是复杂信息系统的指标：

▪客户实施编程和/或开发；

▪信息系统处理过程高度自动化，很少或者没有人工干预；

▪不同的系统接口；

▪信息系统使用批处理（计划任务）；

▪实施了新系统或者系统间进行了转换；

▪使用了单点登录（SSO）或者集中权限管理（CRM）系统。

二、信息系统审计业务范围

信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。信息系统审计业务范围包括：

（一）为财务审计团队提供信息系统审计业务支持；

（二）支持企业内部控制审计；

（三）开展独立的信息系统审计业务；

（四）对信息系统控制及安全方面提供独立建议的咨询服务。

（一）为财务审计团队提供信息系统审计业务支持

信息系统审计业务为财务审计提供合理保证，其提供的支持服务内容包括：

1.信息系统一般控制：

▪IT控制环境/关键职责分离；

▪主要业务和财务系统的开发以及程序变更管理；

▪IT系统运维管理，如数据批处理、数据备份、数据中心维护；

▪业务和财务系统环境中关键的信息安全和权限控制管理，包括用户账户和授权管理、应用系统安全、数据库系统安全、操作系统安全、和网络安全。

2.应用控制：

支持重要业务流程的各应用和接口系统中固化在程序中的关键控制点。这要根据财务审计团队确定的业务流程而定。比如销售、采购、库存、应收、应付、总账、资金、电子商务、银行存贷等。

3.根据业务复杂性确定的其他控制：

如根据重大账户余额，交易类型或披露事项的重大错报风险的评估结果，对依赖于计算机生成的信息执行信息（CGI）控制测试，计算机辅助审计（CAATs）测试，会计分录测试（JET）等。

（二）支持企业内部控制审计

信息系统审计对企业的内部控制审计提供支持，对特定基准日内部控制设计与运行的有效性进行审计，其主要内容包括：

1.恰当地计划内部控制审计工作；

2.实施审计工作，评价内部控制是否可以应对舞弊风险，测试内部控制设计与运行的有效性；

3.评价企业内部控制缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷；

4.获取充分、适当的证据，为在内部控制审计中对内部控制有效性发表意见和对控制风险结果评估提供支持。

（三）开展独立的信息系统审计业务

独立的信息系统审计业务是通过实施信息系统审计工作，对公司、机构或组织是否达成信息技术管理目标进行综合评价，并基于评价意见提出管理建议，协助组织信息技术管理人员有效地履行其受托责任以达成公司、机构或组织的信息技术管理目标。

独立的信息系统审计业务也可通过实施信息系统审计工作来对公司、机构或组织所提供的专业化服务（如电子商务、人力资源与薪酬管理外包、在线数据备份等）进行综合评价从而达到以下目标：

1.判断一切与该公司、机构或组织所提供的专业化服务相关的流程、操作及管理是否合乎行业标准；

2.保障使用此类专业服务的公司或个人的信息安全性；

3.基于评价意见提出整改建议，从而帮助此类专业服务提供商更好地拓展市场与开放客户群体。

信息系统审计部门能够为客户提供的独立的信息系统审计业务内容包括：

▪企业信息系统控制合规审计报告；

▪企业信息系统运行和控制系统设计及评估；

▪企业萨班斯法案审计服务；

▪其他。

其目的是保证其信息技术战略充分反映该组织的业务战略目标，提高公司、机构或组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性，提高信息系统运行的效果与效率，合理保证信息系统的运行符合法律法规及监管的相关要求。

（四）对信息系统控制及安全方面提供独立建议的咨询服务

信息系统咨询业务是指结合信息系统安全、企业内部控制管理与外部审计等多方面的专业知识，提供与信息安全相关的信息化建设、信息安全诊断、信息技术认证及ERP系统相关的咨询业务。

信息系统审计部门能够为客户提供的独立的信息系统咨询业务内容包括：

▪企业信息系统战略策划和评估；

▪企业信息系统执行及项目管理监理咨询；

▪企业信息系统安全评估；

▪企业萨班斯法案咨询服务；

▪企业专业服务系统的行业评估；

▪其他。

三、信息系统审计程序

（一）信息系统审计一般程序

审计程序一般可分为四个阶段，即准备阶段、实施阶段、审计结论和执行阶段、异议和复审阶段。信息系统审计也可分为这四个阶段，同时结合自身的特殊要求，运用本身特有的方法，对信息系统进行评价。

1.准备阶段

初步调查被审计单位信息系统基本状况，拟定科学合理的计划，一般应包括以下主要工作：

（1）调查了解被审计单位信息系统的基本情况，如信息系统的硬件配置、系统软件的选用、应用软件的范围、网络结构、系统的管理结构和职能分工、文档资料等，调查完成后将审前调查情况记录下来。

（2）提前三天送达审计通知书，要求被审计单位对所提供资料的真实性、完整性作出书面承诺，明确彼此的责任、权利和义务。

（3）初步评价被审计单位的内部控制制度，以便确定符合性测试的范围和重点。

（4）确定审计重要性、确定审计范围。

（5）分析审计风险。

（6）制定审计实施方案。在审计实施方案中除了对时间、人员、工作步骤及任务分配等方面作出安排以外，还要合理确定符合性测试、实质性测试的时间和范围，以及测试时的审计方法和测试数据。

在安排利用计算机辅助审计时，还需列出所选用的通用软件或专用软件。对于复杂的信息系统，也可聘请专家，但必须明确审计人员的责任。

2.实施阶段

实施阶段是审计工作的核心，也是信息系统审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法，进行取证、评价，综合审计证据，借以形成审计结论，发表审计意见。实施阶段的主要工作应包括以下两个方面的内容：

（1）符合性测试。进行符合性测试应以系统安全可靠性的检查结果为前提。如果系统安全可靠性非常差，不值得审计人员信赖，则应当根据实际情况决定是否取消内控制度的符合性测试，而直接进行实质性测试并加大实质性测试的样本量。在信息系统的符合性测试项目中，主要内容应该是确认输入资料是否正确完整，计算机处理过程是否符合要求。如果系统安全可靠性比较高，则应对该系统给予较高的信赖，在实质性测试时，就可以相应地减少实质性测试的样本量。

（2）实质性测试。实质性测试应该是对被审计单位信息系统的程序、数据、文件进行测试，并根据测试结果进行评价和鉴定。进行实质性测试须依赖于符合性测试的结果，如果符合性测试结果得出的审计风险偏高，而且被审计单位有利用信息系统进行舞弊的动机与可能，并且被审计单位又不能提供完整的会计文字资料，此时审计人员应考虑对会计报表发表保留意见或拒绝表示意见的审计报告。进行实质性测试时，可考虑采用通过计算机和利用计算机进行审计的方法，具体包括：

①测试数据法：就是将测试数据或模拟数据分别由审计人员进行手工核算和被审计单位信息系统进行处理，比较处理结果，作出评价；

②受控处理法：就是选择被审计单位一定时期（最好是12月份）实际业务的数据分别由审计人员和会计电算化系统同时处理，比较结果，作出评价。

（3）利用辅助审计软件直接审查信息系统的数据文件。审计人员可利用现场审计实施系统软件（AO）直接对数据进行数据转换，数据查询，抽样审计，查账，账务分析等测试，得出结论，作出评价。

3.审计结论和执行阶段

审计人员对信息系统进行符合性测试和实质性测试后，整理审计工作底稿，编制审计报告时，除对被审单位会计报表的合理性、公允性发表意见，作出审计结论外，还要对被审单位信息系统的处理功能和内部控制进行评价，并提出改进意见。

审计报告完成后，先要征求被审单位的意见，并报送审计机关和有关部门。审计报告一经审定，所作的审计结论和决定需通知并监督被审单位执行。

4.异议和复审阶段

被审单位对审计结论和决定若有异议，可提出复审要求，审计部门可组织复审并作出复审结论和决定。特别是被审单位信息系统有了新的改进时，还需组织后续审计。

（二）信息系统审计协调程序

为财务审计团队提供信息系统审计业务支持服务前，为了合理安排信息系统审计工作计划，财务审计项目负责人与信息系统审计部门应执行下列协调程序：

1.财务审计项目负责人在制定当年审计计划时应考虑所需信息系统审计部门进行审计支持的内容与实行时间；

2.财务审计项目负责人提前在9月底将所需信息系统审计时间告知信息系统审计部门，与信息系统审计部门讨论确定服务内容，预约部门成员；