一、计算机审计概述 近几年来,计算机审计已经被广泛应用于业务审计中。审计人员利用各种审计分析工具,通过对业务数据的采集和筛查分析,实现对企业经营管理活动、内部风险控制状况的全面、连续、动态监测和评价,有效提高了审计质量和效率。计算机审计在企业内外部审计中均得到迅速发展。审计分析工具既可以是简单的适用于小型企业和会计师事务所使用的EXCEL办公软件,也可以是复杂的适用于大型企业海量数据处理的基于商业智能平台开发的专用系统。比较普遍的计算机审计的工作形式和内容如下
1.目标信息系统数据采集。根据审计目的和要求的不同,须确定采集目标系统及相应的数据范围,按照一定频度(或时间区间、时点)采集审计对象目标信息系统数据,并确保数据的真实性、完整性、可靠性。 2.审计分析建模。利用各种计算机审计分析工具,根据审计人员的审计思路,以审计模型的形式对审计线索和结果进行集中管理和共享,提供丰富的分析方法,支持审计人员进行对比分析、变动分析、趋势分析等,将审计思路流程化、模型化。通过模型的运行,实现对被审计对象连续、全面的审计分析,及时发现疑点,为现场审计提供有效的线索和依据。 3.风险监测和评估。支持审计人员定义或设置重要的指标、比率,通过对这些指标及其变动趋势的持续、不间断的监测和分析,及时发现审计对象的风险,结合以往审计的结果和内部控制评价,对风险状况进行评估。 二、传统的信息系统审计工具介绍 信息系统审计,是审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。传统的信息系统审计工具在信息安全审计领域中的应用比较普遍,如系统扫描工具、日志审计工具、数据库安全审计工具等,其主要原理如表1所示。
三、计算机审计在信息系统审计中的应用 把计算机审计应用于信息系统审计中,通过采集与信息系统审计相关的数据,并在此基础上进行审计思路建模和筛查分析,从而发现审计线索,指导现场审计,将有效拓展信息系统审计的审计工具和方法,为信息系统审计开辟一条新的、更为灵活的路径。 本文从数据质量审计、信息安全审计、系统控制三个方面举例说明计算机审计在信息系统审计中的应用。 1.数据质量审计。案例1:系统关键数据项缺失情况审计。审计目的、数据采集、审计建模和结果分析、风险监测与评估如图2所示。从审计目的“找出关键业务信息字段为空或不符合数据录入标准的业务记录”出发,首先了解关键数据项业务含义,进而判定“关键数据项”存储位置、字段属性(是否必输、录入标准等),明确数据采集的范围和频度。其次,审计建模,以关键业务信息“组织机构代码”为例,该数据项属于客户信息的必输项,录入规则为长度9位,由数字或大写拉丁字母构成,根据上述规则,建立模型筛选条件,将缺失总量与记录总量对比,计算出该关键业务数据项的缺失比率。从模型运行结果发现的问题中抽样进行核查,分析总结其成因有如下三种情况:一是系统控制缺失。如未对录入长度进行有效控制,未按照客户性质、所在国别对该数据字段的录入进行差异化管理。二是历史遗留问题。系统升级改造后,数据迁移时产生的缺失。三是存在违规操作情况。最后,根据审计发现评估风险,出具审计意见。审计意见具体可以包括:完善系统管理功能,强化控制,按照客户类型等对必输项进行优化配置;规范组织机构代码录入标准,保证业务与系统控制的一致性、合规性;及时维护缺失信息等。后续可根据审计频度等不同的要求,继续利用该模型开展追踪审计,监测审计发现问题整改情况,评估剩余风险。
2.信息安全审计。案例2:用户密码管理情况审计。明确审计目的“找出不符合目标系统用户密码安全管理策略的问题”后,首先结合目标系统密码安全管理策略的具体要求,如“每隔3个月更改用户密码”进行数据源定位,按照审计范围和频度要求采集目标系统用户、密码存储及变更等数据。其次,在审计建模时将不符合密码安全管理策略的要求设定为筛查条件,如“超过3个月更改系统用户密码”。从模型运行结果发现的问题中抽样进行核查,分析总结其成因有如下三种情况:一是用户离职或部门发生变迁,未及时对系统用户进行清理。二是用户对密码安全管理意识薄弱,未按照要求对密码进行变更。三是系统未设置对密码变更管理的控制。最后,根据审计发现评估风险,出具审计意见。审计意见具体可以包括:对系统用户进行清理;完善密码安全管理系统控制功能等。后续可继续利用该模型开展追踪审计,监测审计发现问题整改情况,评估剩余风险。案例3:多人使用同一用户登录系统。根据审计目的“找出同一个用户在不同终端同时在线的情况”,说明多人使用同一用户进行业务操作,违反规定。首先,定位数据源,按照审计范围和频度要求采集数据。其次,在审计建模时以同一时点(精确至秒)、同一用户(用户ID)在不同机器(通过IP地址判定)登录目标系统为线索,找出疑点记录,并追溯目标用户登录后进行的业务操作信息。从模型运行结果发现的问题中抽样进行核查,分析总结其成因有如下两种情况:一是存在用户被授权管理多用户账号的情况。二是系统未对多终端同时登录进行限制。最后,根据审计发现评估风险,出具审计意见。审计意见具体可以包括:完善系统业务授权功能;增加系统业务操作记录,以便进行深入的信息安全追踪分析;加强用户账号授权审批管理机制;优化系统控制等。后续可继续利用该模型开展追踪审计,监测审计发现问题整改情况,评估剩余风险。