随着计算机技术和网络技术的迅猛发展,企业高度依赖于信息系统来提高效率、改进服务、加强管理,从而提高劳动生产率。会计电算化、电子商务(EC)、管理信息系统(MIS)、企业资源计划(ERP)的逐步实施与普及应用,企业也面临前所未有的信息风险,信息系统的安全、可靠、效率和功能完善比以往任何时候都更加重要。基于信息系统的重要性及IT挑战,产生了对信息系统进行控制和审计的需求,即信息系统内部控制和信息系统审计ISA。我国大中型国有企业近年来开始实行会计核算集中管理,各种财务信息系统应运而生,国有企业二级单位不再编制会计报表,只进行日常会计凭证处理工作,所有的经济业务都是通过财务网络完成。企业审计如何适应这一管理模式,本文拟从近几年国有企业开展财务信息系统审计的情况,分析财务信息系统审计的特点,总结存在的问题及审计对策。
图 信息系统内部控制实施的9个阶段 一、财务信息系统审计的运行方式 实行财务信息系统审计,为了确保信息系统审计数据的真实、可靠,就必须要有一个良好的信息系统审计环境,包括建立一个良好的内部控制环境和信息系统的安全环境,这就要求我们要逐步从两个方面扩展传统财务收支审计的内涵,一是在信息系统审计中评价被审计单位内部控制建设和执行情况,既要检查执行流程和规章制度情况,更要从完善制度、制度设计的有效性上着眼,从治本上下工夫,减少低级、重复的错误。二是要定期对处理财务数据的信息系统进行审计,确保系统的安全和可靠。 财务信息系统内部控制的实施是信息技术管理来实现的,CobiT框架是信息技术管理的通用标准,具有通用性、一般性。在运用CobiT框架来控制企业信息化时,要根据企业的实际情况把它个性化和具体化。 表1 CobiT对COSO的映射表及CobiT的高层次控制目标汇总表
(1)企业通过CobiT的成熟度模型,必须了解自己信息化管理和控制所处的状态,了解自身的薄弱环节,使得企业具有信息化管理和控制的概念。 (2)企业在应用CobiT框架时,要根据企业的战略目标来确定企业信息化的准则,了解需要投入的IT资源、可以达到的IT目标,以及每个IT流程的运转情况。 (3)企业应以CobiT的34个IT处理过程为模版,结合企业的业务流程和信息系统的具体情况,建立基于企业特殊要求的IT流程,然后提出每个IT流程的控制目标,并将其细化到任务活动的控制目标,使得每一个IT活动都有具体的控制标准。 (4)信息系统审计是CobiT框架的一个部分,是对企业信息化控制的一个不可忽略的环节。IT审计人员应根据企业信息化的具体情况,以CobiT框架的审计指南为蓝本,对信息化的成果进行审计。 如左下图所示,信息系统内部控制的实施通常由9个阶段构成:1、计划和范围;2、执行风险评估;3、识别重要的控制:4、文件化控制;5、评价控制设计;6、评价运营效力;7、识别并改进不足;8、文件化过程和结果;9、建立持续性。其中,步骤2和步骤3是实施内部控制的重要环节。通过步骤2,对特定的风险区域及IT风险进行风险评估,识别与信息系统相关联的风险以及相关的IT资源;通过步骤3,对系统所涉及的域、过程、活动进行信息系统的应用控制及一般性控制的识别。 在实施过程中,应充分利用高层次控制目标汇总表(表1)。组织管理人员可以清楚看到,在信息系统生命周期各阶段的各项工作中,各项IT标准的重要性和对哪些资源应实施控制。信息系统管理和控制人员可方便地通过分析CobiT的控制目标汇总表,了解和掌握每个IT过程中最重要和相对重要的控制目标,并根据这些应达到的控制目标,设置适当的控制程序对有关的IT资源实施控制。 实行财务信息系统审计后,所有的经济业务都实时地反映在财务信息系统上,加之国有企业上市后,外部监管较严,违规违纪问题呈逐年下降的趋势,借鉴内控体系测试相关抽样原则,对经济业务实行抽审,审计人员可以随时查看被审计单位的经济业务处理情况,现场审计时间比过去减少一半,既抓住了重点,又提高了审计效率。 (一)更加注重财务管理的过程控制 传统的财务收支审计由于是事后审计,实施审计时间也就是现场审计时间,而信息系统审计下,随时都处于审计状态,审计情况如何,存在什么问题、问题是如何落实的,都需要留下审计的痕迹,因此,在具体审计工作中,要求审计人员做好样本审查的记录工作,包括可能存在问题、测试步骤、落实情况,及时形成信息系统审计工作备忘录。 (二)财务收支审计的组织方式实现创新 传统财务收支审计下,由于时间紧、任务重,对一个单位的财务收支审计是由审计小组成员共同完成的,而在信息系统审计下,审计人员可以随时上网对被审计单位财务收支情况进行审查,在连续审计状态下,一名审计人员有足够的时间对一个单位进行信息系统审计,但为了保证信息系统审计质量,提高信息系统审计的客观性,对一个单位的信息系统审计至少应有三人控制,以减少重大漏审和错审现象。