对我国信息系统审计发展的思考

作 者:

作者简介:
褚晓芬,韶关市审计局

原文出处:
广东审计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2014 年 12 期

关 键 词:

字号:

      信息系统审计工作不仅是审计技术发展的要求,也是深化审计工作的要求。通过信息系统的审计,可以发现错弊背后的体制上、系统控制上的原因,从本质上预防错漏的发生。

      一、加快信息系统审计人才的培养

      信息系统审计对审计人员的专业技能要求很高。因此,一方面审计机关要深挖潜力。通过对其进行持续不断地后续教育,鼓励在职人员开展计算机、经济管理、风险管理与控制、审计等知识的学习,加强对在职人员培养。同时,鼓励审计人员在更广泛的领域开展信息系统审计实践,不断的交流、总结经验和成果,以增强信息技术的审计能力。另一方面要巧借外力。目前,我国政府审计的项目审计组由审计组长、主审、审计人员组成,审计人员的分工主要以审计事项或审计年度为标准,审计成果则更多地关注财务数据,很少涉及固有风险分析与内部控制测试的内容。审计人员更多地把精力投入到财务数据的审查,而忽略了处理财务数据的软件是否安全、可靠。该模式的建立在一定程度上限制了审计人员的发展方向。美国审计部门及部分国际大型会计公司都配备了专门的信息系统审计人员与审计部门。为此,我国审计部门在组成审计组时,可以采取聘请信息系统审计专门人才加入审计组的协作审计方式,通过IT的外包,将大批外部IT开发人员适当转化为固定的IT内部审计人员,以提升信息系统审计工作成效(见附图1)。

      

      二、深化IT审计内容

      信息系统审计是由会计数据体系、计算机硬件和软件以及系统工作和维护人员组成。目前,我国的信息系统审计实务仍较多地停留在对有限的财务数据、业务数据的审计上,对计算机程序处理过程进行审计较少,已有的工作也还处于探索阶段。为此,审计部门要提升IT审计成效,就要进一步拓展IT审计范围,深化IT审计内容。总体说来,信息系统审计的内容主要由应用控制、一般控制和项目管理的审计所组成。

      1.应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制审计即业务流程审计,它与一般控制审计相对应,主要对交易的完整性,准确性,有效性,机密性和可用性以及在应用处理中的数据的控制审计,通常分为应用程序级一般控制审计、业务流程控制审计、接口控制审计、数据管理系统控制审计等四类。

      2.一般控制是系统运行环境方面的控制,指对信息系统构成要素(人、机器、文件)的控制。包括:信息系统总体控制,信息安全技术控制,信息安全管理控制。审计人员开展一般控制审计就是要对信息系统的开发、实施、维护及运行审计,对信息系统的环境安全和技术安全进行审查。

      3.项目管理是信息系统绩效方面的管理。项目管理审计要关注信息系统建设的经济性、效益性、效果性。主要包括信息系统组成部分审计和信息系统生命周期的审计。信息系统组成部分审计以应用软件审计为主要内容,主要对应用程序的控制措施、合法性、正确性和效率性进行审查。信息系统生命周期的审计,则关注信息系统的规划、开发、设计、编码、测试等全过程。主要是对信息系统的可行性、全面性、适当性进行审查。

      三、创新IT审计方法

      在我国,信息系统审计的审计过程与一般审计过程一致,分为准备阶段、实施阶段和报告阶段。然而,它跟一般审计相比,更加强调审前调查和计算机审计的重要性。笔者认为,要创新信息系统审计工作方法,提升信息系统审计工作成效,必须牢牢把握审前调查、开展符合性测试和开展实质性测试这三大法宝。

      1.深入开展审前调查,明确审计重点

      审前调查对于信息系统审计非常重要。审计人员通过调查问卷、面谈、审阅系统描绘记录和实地观察等方法,详细了解信息系统的规模、性质和组织结构等基本情况,从而为确定审计重点、资源配备以及审计方案奠定基础。审前调查应当包括如下内容:

      一是摸清完整性。主要是指制度的完整程度,关注被审计单位是否对信息系统的全过程实施了制度全覆盖,是否存在制度上的漏洞。审计人员要查阅应用系统产品、文档;IT管理规章制度;运维操作指南;故障维修与应急方案;安全策略及各类记录;设备操作手册及其他文档;与系统输入输出对应的流程和文档、记录等,从而对被审计单位内部控制的相关制度和信息系统运行环境进行重点了解,并进行初步评价。

      二是识别重要性。审计人员要重点关注信息技术部门在被审计单位组织架构中的位置,了解被审计单位业务流程对信息化的依赖程度;审查被审计单位信息系统的组成及功能,确定信息系统审计重点关注的子系统;查看信息系统主要控制环节及岗位设置、使用信息系统员工的构成比例,确定被审单位业务连续性能力、信息处理能力,从而确定审计实施过程中的重点关注事项。

      三是鉴别可靠性。通过重点了解数据完整程度;信息技术部门及其工作人员管理维护职责分工;财务、业务人员使用信息系统的职责分工;被审单位人员流、业务流和信息流等基本情况,开展初步的符合性测试,检查系统的安全可靠性。如果系统安全可靠性非常差,不能让审计人员信赖,则应当根据实际情况决定是否取消内部控制的符合性测试,而直接进行实质性测试并加大实质性测试的样本量。

相关文章: