会计信息系统安全性审计概述 修改后的审计法第三十二条给审计机关开展会计信息系统安全性审计提供了充分的法律依据。目前,信息系统审计在我国尚无通用、规范的界定。根据国际信息系统审计委员会对信息系统审计的定义,我们认为:会计信息系统安全性审计是国家审计机关根据审计法授权,依照计算机审计准则的规定,通过运用有效的方法和程序,对会计电算化信息系统的物理设置,系统运行等进行检查,以验证和评价系统提供的数据是否正确、准确和安全的一项审计活动。 会计信息系统安全性审计的主要内容 会计信息系统的安全性直接影响到审计人员对数据的信赖程度和审计风险的控制程度。结合审计实践,笔者认为会计信息系统安全性审计的主要内容应集中在系统环境、内控制度以及数据审查三个环节。 1.会计信息系统环境安全的审计。 会计信息系统主要依靠计算机的自动数据处理功能,任何微小的差错或干扰,都会给系统带来严重后果。因此,会计信息系统安全性审计首先应关注对系统环境安全和内在风险的评估。 一是检查硬件的安全性。审计人员必须对硬件设备管理情况进行评价,检查被审计单位是否制定硬件管理制度,是否设专人管理设备等。然后通过实地观察等方法审查,在审计报告中予以反映。 二是检查网络系统的安全性。网络技术具有一定的开放性,审计人员在审计过程中应重点关注系统防火墙设置、通信线路的安全、系统安全漏洞,检查网络传输数据是否采取控制措施等,对会计信息系统环境进行评价。 2.会计信息系统内部控制制度执行的审计。 对内部控制制度的审查与评价,既是审计的基础,又是审计的前提。目前,会计信息系统的内部控制制度,有些是通过程序的设计和运行来实现“程序化”控制,有些则是通过建立管理工作制度来实现“制度化”控制。因此,审计人员只有先确认系统内部控制制度已有效实施,才能确认系统所提供数据的安全、可靠。 一是对会计软件合法性、正确性进行调查。财会软件有很多版本,也有根据行业特点开发设计的软件,这些系统及其附带程序的设计是否严谨与合理会直接影响财务数据的真伪。对此,审计人员应全面了解被审计单位会计信息系统财务软件来源及使用情况,系统的管理、维护、运行和操作等内容。运用符合性测试方法重点剖析系统核算模块,了解数据处理流程,分析程序的逻辑结构;检查信息系统的数据流和业务流程是否吻合,确定程序的会计核算基础以及数据处理、生成是否能满足会计处理的各种需要。 同时,对数据输入控制和处理控制实施实质性测试。通过输入错误数据,检查系统对输入数据是否可以及时捕捉或发现异常情况,并自动提醒或警示操作员进行检查和修改,评价系统校验能力。通过实际操作,进一步了解和掌握系统操作日志是否完全记录所有操作,是否存在非正常修改、删除功能等情况,检查系统操作的完整性和正确性。 二是检查内部控制管理情况。如果单位管理制度不健全或实施不力,会给相关人员的舞弊行为以可乘之机。因此,审计人员需重点关注单位的内部控制管理情况。 首先,应检查被审计单位的组织管理控制。审查单位是否建立恰当的组织机构和职责分工制度,审核复查机制是否有效执行,不同人员间是否实现相互牵制、相互制约。其次,应检查操作管理控制。审查是否制定适当的权限标准体系,其权限管理、登陆和修改控制是否有效执行,是否规定了数据备份及机器的使用范围等等。第三,应检查系统维护控制。对日常为保障系统正常运行而进行的系统软硬件安装、调试、备份等工作进行审查。 3.会计数据安全性和完整性审计。 环境安全以及内部控制制度的审计,均是为保证会计信息系统数据的正确、公允所作的间接辅助审计。在此基础上,最为实质的保障方法就是对所采集的电子数据进行安全审查。 一是精确复核。对数据进行分析性复核,对部分会计数据进行计算,与实际记录进行比较,列明产生差异的记录,作出核实结论。 二是查找审计线索。审计过程中,审计人员可根据系统的某一特征对系统所提供数据从不同角度进行筛选分析,或通过审计软件对一些异常会计记录进行筛选和查询,亦可通过被审计单位会计信息系统的日志文件分析部分重大事件产生原因,分析其对会计系统整体的影响,进而发现系统异常表征,从而发现审计线索。 开展会计信息系统安全性审计的建议 1.增强紧迫感。各级审计机关应高度重视开展会计信息系统安全性审计工作,把此项工作作为审计转型期延展审计深度,推动计算机辅助审计,强化监管的重要一环,以进一步推动审计法的全面贯彻实施。同时,要做好审计宣传工作,提高各部门配合审计机关开展会计信息系统安全性审计的认识,推动各部门积极主动建立和完善计算机信息系统,主动接受审计机关的依法检查,及时提供有关数据和资料。 2.增强认知感。审计机关应结合计算机辅助审计的推进实施,着手对辖区内被审计单位的会计信息系统使用情况进行全面摸底,建立信息系统对象库,掌握并分析各系统使用情况。3.加强人才培养。审计机关应进一步加大计算机知识的培训力度,提高审计人员的综合素质,不断提升其适应现代审计的能力;应着手培养一个、一组或一批精通信息技术的计算机专家型人才,充分利用其专业能力开展数据库分析、网络系统安全评估以及审计软件开发等高技术审计工作。