信息系统一般控制审计过程实例解析

作 者:

作者简介:
张玉琳,贺颖奇,北京国家会计学院

原文出处:
财会学习

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2014 年 01 期

关 键 词:

字号:

      随着信息技术在企业应用越来越广泛,信息系统控制和审计已经成为很多企业面临的迫切问题。信息系统控制包括一般控制和应用控制两部分,一般控制包括规划与组织控制、系统建设控制、日常运行控制等。应用控制与实际系统的业务有关,主要包括输入控制、处理控制、输出控制。对一般控制的审计就是要获取证据鉴证在被审期间企业有关的制度和规程是否健全,计算机信息系统是否按规定的制度和规程工作,控制的作用是否达到了预期的结果。

      一、信息系统审计的计划阶段

      计划阶段是信息系统审计过程的起点。计划阶段的主要任务是了解被审计单位以及业务和系统运营情况;识别风险和内部控制;以及确定审计的性质、范围和重点等。

      (一)了解被审计单位业务和系统运营情况

      审计人员首先需要了解被审单位的基本情况,主要包括业务和系统运营情况。通过对这些基本情况的调查了解,可以对被审单位审计的固有风险进行初步评价。

      本文对信息系统一般控制的审计实例是一家提供医疗保险服务的公司(以下以R公司代称)为背景。R公司总部位于上海,在全国多地拥有分公司和业务部门。公司信息部负责整个公司信息系统的管理和维护工作。公司现在用的主要业务系统——医疗保险管理系统(HIMS)是由公司2003年自主研发的,系统于2005年进行测试,2006年3月正式运行使用。到今天系统经过了多次改版和升级。系统采用VS.NET进行开发,后台数据库为SQL Server 2005。医疗保险管理系统采用了B/S结构模式,现在服务器端操作系统为windows 7.0,客户端操作系统主要为Windows XP。公司每年都投入资金对其硬件环境进行升级改造,目前共有服务器10台、计算机1200多台、交换机87台、硬件防火墙6台,打印机103台。公司机房在北京总部办公大楼一楼,放置了温度、湿度探测器,同时配备了UPS不间断电源和自动灭火系统,为系统正常运行提供了保障。

      (二)识别风险和内部控制

      识别风险和内部控制是信息系统审计阶段的关键环节。了解被审单位的内部控制尤其是信息系统内部控制,对内部控制的健全和有效性进行评估,初步确定控制风险的大小,才能有效地制定信息系统审计的目标、范围和需要采取的有效审计方法。

      R公司信息部对公司信息系统硬件、软件和网络的管理主要是采取管理小组的组织架构,信息部主要分为软件组、设备组和网络组三个管理组。R公司很重视对信息系统维护的投入,也制定了相应的管理制度,实现了对信息化管理过程的控制。HIMS系统总体运行正常,基本满足了R公司主要的业务需求。在一般控制方面,R公司制定了《信息系统软件基本功能规范》,对系统操作和维护进行制度管理;也制定了《机房管理制度》,对机房安全和维护进行管理。在系统开发控制方面,相关文档有《信息系统软件评审管理办法》、《系统需求分析报告》、《系统设计说明书》、《数据字典》、《维护手册》等资料。对于网络管理和系统管理,R公司建立有《网络管理员主要工作关键及设备管理制度》以及《操作手册》等资料。

      根据对R公司信息系统基本情况和一般控制的了解,分析得出R公司在一般控制方面主要存在的风险点有:

      (1)信息系统的管理和职责分离;

      (2)计算机机房管理制度是否得到有效执行和监督;

      (3)自主开发的HIMS业务系统,使用是否达到规划、开发预期目标;

      (4)HIMS是否严格按照信息系统开发管理规范进行;

      (5)信息系统进行了多次更新和完善,至今没有验收,系统变更的控制;

      (6)计算机等设备采购数量多、金额较大,对设备采购管理的控制。

      (三)系统审计目标、范围和方法

      为合理地使用审计资源,审计计划阶段需要制定科学、合理的审计目标,确定审计的范围以及明确审计过程中需要采取的审计方法。

      在R公司信息系统审计过程中,确定的审计目标是通过对R公司信息系统的一般控制审计,对系统架构与流程的合法性和合规性、系统的安全性和可靠性、运行的效率性和效益性进行检查,了解HIMS系统的运行状况,发现该系统在使用和管理过程中存在的问题,促进被审计单位信息系统的完善,使之在业务活动中发挥更加有效的作用。

      在R公司信息系统审计中确定的一般控制审计范围主要包括IT控制环境审计(IT组织架构审计、IT管理政策审计等),IT基础设施控制审计(机房物理环境控制审计、硬件设备采购控制审计、系统软件采购管理控制审计),信息系统生命周期控制审计(系统开发控制审计、更新与维护控制审计),系统安全控制审计(网络安全控制审计、操作系统安全控制审计、数据库系统安全控制审计、最终用户控制审计)等。

      审计计划中确定了主要审前调查技术方法有:询问法、问卷调查表法、实地查看法,以掌握信息系统基本概况。对HIMS系统分析拟采取的审计技术方法主要有:资料审阅法、流程图检查法、故障树法、重新执行法,以对信息系统的安全性、可靠性和健壮性进行评估。

      通过对企业信息系统的审前调查和审计计划的制定,能够更好地为审计实施和后续报告阶段打下坚实的基础。

      二、信息系统审计的实施阶段

      实施阶段是根据审计计划阶段确定的范围、重点、步骤和方法,进行有针对的地取证、评价,并形成审计结论的过程。实施阶段主要由控制测试和实质性程序两个阶段构成。

      控制测试的目的是检查内部控制措施是否健全有效。审计人员需要对被审单位的控制系统进行识别、测试和评价,从而确定后续的实质性程序的性质、范围和程度。

      实质性程序是对信息系统控制进行详细测试,以获得这些控制在审计期间是否真实存在并合法有效的证据。信息系统审计实质性程序与财务审计实质性程序相比,程序的手段、内容、方法、对象都有所不同。

相关文章: