信息系统调查是计算机审计在审前调查阶段的第一项工作,主要任务是了解和分析被审计单位的信息系统,为完成审前阶段的其他四项工作——编制数据需求清单、布置审计现场、下载转换数据和制定计算机审计方案打下基础。因此,信息系统调查质量将直接关系到整个项目的计算机审计效果。 目前,很多被审计对象的信息系统非常复杂,尤其是大型企业和银行。如何高质量地完成审前阶段信息系统调查?可以遵照以下三步走。 第一步,准备信息系统资料。 这部分的主要任务是搜集被审计对象信息系统的资料,包括子系统的组成、使用的软件和硬件、数据存储的内容和方式及操作使用说明等,以初步了解信息系统的状况。这个阶段应注意两个问题: 一是收集各种资料时要特别注意为数据采集做好铺垫。如:了解被审计单位各种数据存储情况,包括存放的主机操作系统,数据库类型格式以及下载的可行性。 二是关注信息系统的历史变更情况。系统的升级不仅带来数据内容和格式的变化,而且会弥补以前系统的不足。由此,审计人员可以了解以前系统的缺点,并将其作为审计线索。如:某银行一个二级支行2004年底以前100万元~500万元的贷款可以自行发放,而2004年系统升级后该类贷款全部由上级行审批。因此,审计重点关注了2004年系统升级前发放的100万元以上的贷款,结果发现该行存在重大违规问题。 第二步,辨识信息系统内容。 这部分的主要任务是弄清审计对象的信息化状况,掌握与审计相关的信息系统的数据存储和交换方式。但在实际工作中,往往因为被审计对象信息系统过于复杂而令审计人员感到无从下手,此时有两种方法可以尝试: 一是使用流程图的形式加以表示。流程图被广泛用于工程学中,它最大的优点是简洁、直观,有助于审计人员从总体上把握被审计对象的信息系统状况。具体做法如下:先用方框画出所有系统名称,再用直线连接有数据流交换的系统,并标出数据流的方向和内容。此时,注意区别哪些数据流是可靠的,哪些是不可靠的。 二是从财务系统出发,研究数据流过的路径,以掌握审计主要涉及系统的状况。一般来说,尽管被审计对象的各种系统千姿百态,但是财务系统也是审计人员最熟悉的。审计人员可以抓住财务系统的数据来源了解其他业务系统。步骤如下:首先,了解财务系统中哪些科目的数据是手工录入,哪些是其他系统自动转入。其次,对非自动转入的数据再去了解其来源于哪个业务系统,采集的周期是多长,采集的形式有哪些,该系统的数据是否有人为改动的可能。如某航空公司生产成本(航油)科目的数据来源于生产统计系统,每到月末技术人员从生产统计系统将本月的燃油消耗金额导出,再导入到会计系统生成主营业务成本。审计人员通过核实主营业务成本数据,发现该公司在2004年12月将生产统计系统燃油数据导出后经过人为更改后再导入会计系统,从而调节利润。再次,如果业务系统的数据又来源于另外一个业务系统,可以重复追踪下去。 第三步,筛选信息系统。 该部分主要任务是筛选出需要进行数据采集的子系统,并进一步落实数据采集范围。数据的采集、转换和存储均需要大量的人力和物力,因此审计人员必须有选择地采集ERP系统的数据,以使有限的资源达到最大的审计效益。在这个阶段要注意挑选出的系统数据来源必须可靠。所谓可靠一般需要被审计单位认可再加上审计人员的经验判断。如果被审计单位对数据可靠性不认可,将会给以后数据的使用造成很大的障碍。 以上三个步骤层层推进,使审计人员从千头万绪中框定计算机审计的范围,大大减轻后续的计算机审计工作量,达到迅速、准确地发现审计线索的目的。同时,成功的信息系统调查将为系统审计打下坚实的基础,因此该领域的进一步研究将具有深远的意义。此外,由于被审计对象业务的多样性,信息系统调查需要审计人员大量的经验判断,因此集审计和计算机经验为一体的复合型审计人员便成为该项工作不可缺少的人选。
某企业的信息系统分布图(部分)