计算机审计项目管理探讨

作 者:

作者简介:
王智玉 乔鹏,审计署计算机中心

原文出处:
中国审计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2010 年 05 期

关 键 词:

字号:

      多年实践证明,信息技术在审计业务中的应用不仅仅是技术方法创新的问题,同时还存在为了让新的技术方法切实发挥作用,需要对组织职能、审计程序等作相应调整的问题,也就是企业信息化中常提到的业务流程再造(BPR)问题。

      计算机审计项目有着鲜明的新技术特征,对审计项目的人员配置、计划安排、设备资源都有着特殊的需要。决定计算机审计项目成败的,不单单是计算机和审计技术问题,审计项目的管理创新也愈发显得重要。只有正确、得当的过程管理,才会有最终的成功结果。在计算机审计项目管理中有几个问题值得关注,包括信息技术部门人员与审计业务部门人员的分工合作问题;计算机审计的审计程序问题;审计技术与数据分析技术的结合应用问题等。

      分工与合作

      在被审计单位高度依赖信息化方式运作,信息系统所提供的报告信息对审计人员作出审计结论非常重要的情况下,审计业务部门应考虑与信息技术部门分工、合作,共同完成审计项目。

      开展计算机审计项目过程中,信息技术人员主要负责与被审计单位IT技术人员接洽,参与审计人员的业务调查,理解业务、了解信息系统、获取数据、理解数据;培训审计人员,使其理解、使用数据;与审计人员一起根据了解到的业务、内部控制情况和风险分析结果,确定审计重点,进行数据分析和现场取证,以及审计项目后期的报告、审计资料数据归档工作等。

      审计业务部门近年来培养了一批经过计算机审计中级培训的复合型审计人才,他们的优势在于精通审计业务并掌握计算机技术工具方法。信息技术部门派出的信息技术审计人员,优势在于精通信息技术专业知识并具备审计业务知识。两者均是复合型人才,又各有侧重。两者的成功合作,是整个项目取得成功的必要基础。

      这方面,一些特派办的计算机审计处,将处里的技术人员固定派到各个业务处室参加审计项目,为审计项目提供技术支持,取得了不错的应用效果。在2009年联合国审计人员初任培训中,审计署境外审计司要求所有参与审计项目的信息技术人员首先成为一个合格的审计人员。只有这样,信息技术人员才能真正知道审计要做什么,如何去做,才能让信息技术的优势真正在审计业务中发挥作用。

      审计程序

      计算机审计采用了新的技术方法,有其独有的新特征和对审计程序的变化要求,甚至形成新的审计组织方式、工作方式。当前计算机审计的一个重要做法是获取、利用被审计单位的数据,开展数据分析。确定被审计单位有什么数据,我们需要什么数据,以及如何去使用这些数据,需要做一些前期准备工作。具体体现在审计程序上,主要包括:在审计计划阶段,要了解业务流程、内部控制、信息系统;理解电子数据;实施初步的数据分析,制订审计实施方案。在现场实施阶段,要针对一些重点内容进行落实取证,或者根据了解到的情况及时调整审计方案,进行补充分析取证。

      由于被审计单位业务的一贯性和连续性,审计人员不必等到被审计单位财年结束后才进点审计,可以增加计划阶段时间,利用往年业务数据,进行非现场的数据分析,摸清被审计单位的业务规律特征,发现一贯存在的问题。这样到财年末进入审计现场时,只需要做相关验证和就后期业务运用相同的方法进行取证就可以了。这样一来可以减少现场工作的不确定性,确保审计质量,控制审计风险,减轻工作压力。

      审计项目的组织管理,部分体现在审计程序上。能否考虑信息化因素,能否正确地组织管理项目,是决定审计项目中计算机应用成败的关键。一些地方和业务部门在这方面进行了大胆尝试,取得了不错的应用效果。

      数据分析技术与审计技术的结合

      信息技术在审计业务中的应用,产生了数据分析方法,也称为计算机辅助审计技术方法。数据分析方法为审计人员分析、检查被审计单位的业务提供了高效、便捷的途径。该方法只有针对正确的审计目标、内容、步骤去实施,才能获得具体成果,发挥作用。因此,数据分析是一种工具和方法,服从于审计目标、内容、步骤的需要。审计人员结合被审计单位的具体业务环境情况,运用风险基础审计方法,来确定审计重点,确定重要审计事项的审计目标、内容和步骤。

      风险基础审计模式,为指导审计人员计划、实施审计项目提供了很好的理论框架。该模式所依赖的工具是:评估固有风险;测试和评估控制风险;控制、降低检查风险。在审计计划阶段,对固有风险进行分析,了解测试和内部控制,以及对控制风险进行评估,是指导审计人员规划审计资源配置,制定审计计划的重要决策依据。

      针对重大错弊风险(固有风险和控制风险的综合)较高的报表项目,分析可能存在的风险,设计审计步骤,利用数据分析技术方法进行测试检查。

      同时,数据分析也可以用于控制测试。每项控制活动,都针对特定的控制目标和风险。控制是否存在,是否得到有效执行,在数据上都有一定的表现特征。通过对数据的分析检查,可以快速、有效地确定重要的控制是否存在、是否得到有效执行。一旦确定某项控制存在缺陷,应评估是否存在其他的弥补控制。如果同样不存在,则需要判定该项业务的控制风险为高。审计人员需要据此调整审计计划,以此控制检查风险。

      不管是在计划阶段还是实施阶段,不管是做符合性测试还是做实质性测试,其中涉及的基本过程是一致的,即分析风险、确定审计目标、设计审计步骤、采用数据分析方法和程序、验证结果与取证。所以说,数据分析技术方法的应用,一定是以风险分析为导向,结合具体业务开展的。

相关文章: