信息系统审计应实现两个融合

作 者:
杨琴 

作者简介:
杨琴 南京审计学院信息科学学院

原文出处:
中国审计报

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2008 年 10 期

关 键 词:

字号:

      信息系统审计作为国家审计机关的工作内容,是信息化发展到一定程度的必然结果。国家审计具备自身的特殊性,信息系统审计在国家审计中也还处于探索阶段,为了适应信息系统审计的新需求,有必要在现有的思维模式上进行调整,以便在信息系统审计的过程中切实发挥国家审计的作用。

      数据审计与业务审计相融合

      现有审计以数据审计为主要方法。在现有的国家审计工作中,审计人员开展审计工作时主要使用的是数据审计的方法,以被审单位的数据作为审计主要内容。在审计实务中所使用的审计软件,例如AO、ACL等也主要是数据分析和挖掘的工具,这些工具通过将数据库中的数据抽取出来,利用软件提供的方法或审计经验来分析是否存在异常数据,然后再溯本求源,判断是否发生了严重的违规或舞弊行为。

      数据审计与业务审计相融合的必要性。在信息系统中,业务都通过信息系统来处理,数据的完整性、正确性和合法性在很大程度上要由信息系统中实现的业务流程和业务规则来保证,如果信息系统作在较大的漏洞,业务流程和业务规则就会面临失控的局面,很容易产生不正确和不合法的数据,而且篡改数据的行为也很容易发生,数据库中看起来正确的数据可能是一种假象,容易蒙蔽审计人员的眼睛,给国家审计工作的准确性带来巨大的挑战。在这种情况下,仅仅从数据入手来判断是否有舞弊行为、经济行为是否合法显然是不够的,必须结合被审单位的业务流程和业务规则进行审计,分析业务流程中存在的控制点,通过一定的测试方法来检查信息系统中是否实现了这些控制点,如果没有,是否存在手工方式的补充性控制手段。审计人员开始审计时首先应该将被审单位的业务流程和业务规则分析整理清楚,在判断业务流程控制点是否得到有效控制的基础上,再通过数据审计的方法对被审单位的数据作进一步的分析,将业务审计和数据审计有机结合起来,才能从根本上实现信息系统审计的目的,而不应该仅仅关注被审单位的数据库、数据结构。

      结果导向与风险控制相融合

      现有审计注重结果导向。在现有的国家审计中,审计工作的目的是抓大案要案,这种极强的目的性导致审计人员在进行审计时都是从已经发生的业务入手,通过分析已经发生的业务数据查出违规现象,而不是以风险为导向从风险控制的角度去进行分析,因此审计人员在工作的过程中普遍缺乏风险管理和风险控制的意识。

      结果导向与风险控制相融合的必要性。任何组织都会面临风险,风险控制是阻断不良事件发生的重要手段。当今社会在享受信息化带来的各种好处的同时也面临着信息化所带来的特定风险,诸如数据的安全性、审计轨迹的易失性等。忽视这些风险不仅会给被审单位带来巨大影响,而且会给国家审计工作带来诸多困难,因此在信息系统审计领域,审计人员除了要关注结果,还要具备风险控制的理念和意识。在开展审计工作时,结合企业的业务流程分析被审单位面临哪些风险,分析风险发生的概率和严重程度,不同的风险要通过不同的措施进行控制,这些控制措施就体现在业务流程的各种控制点上,控制点是否实施以及实施的有效性将直接关系到数据的质量,而分析控制点就一定要从风险控制的角度入手,风险是内容,控制是手段,两者密不可分。

相关文章: