信息系统审计方法及其实务应用分析

作 者:

作者简介:
于波成,天健会计师事务所重庆分所;赵罡,中喜会计师事务所重庆分所

原文出处:
中国注册会计师

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2022 年 08 期

关 键 词:

字号:

      数字经济时代下,企业的管理手段和管理制度都发生了深刻变化,依托自动化业务系统、硬软件等构成了现代化企业的管理信息网络,在这样的环境下,传统审计工作模式难以有效识别企业信息系统存在的弊端,也无法准确判断一个企业内部控制是否合理及有效。尽管信息技术的发展为审计从业人员带来了更先进、更高效的工作模式,但目前我国审计行业从业人员对于信息化审计相关应用的了解程度并不高。在此背景下,本文着重介绍IS(信息系统)审计方法下信息系统流程审计、信息系统内部控制审计的概述、具体框架、程序应用,并结合国内某会计师事务所实施信息化审计业务的案例介绍IS审计方法在实务工作中的具体应用。

      一、IS审计方法的基本概念

      IS审计方法是一种专门针对企业信息系统审计而开发的审计方法,该方法独立于企业信息系统本身,通过审计证据的收集、评价,审计人员可以判断企业对信息系统的运用是否有助于企业内部控制的有效执行、企业目标的顺利实现、企业资源的高效利用等。

      在运用IS审计方法针对不同审计对象执行审计程序时,审计目标与审计业务内容之间通常有着相应的内部联系。也因此,在企业财务报表审核中,审计人员的工作侧重点主要集中在检查企业信息系统所提供数据的真实性、完整性。在内部控制审计中,审计人员的侧重点主要集中在检查信息系统程序合理性、信息系统安全性。审计目标随着审计业务的变化而变化,因此对IS审计方法的应用也会相应做出改变,从审计对象的角度可以将IS审计方法划分为“信息系统流程审计”“信息系统内部控制审计”两类。

      二、信息系统流程审计

      (一)方法概述

      信息系统流程审计主要包括信息系统流程的合理性审计、有效性审计、完整性审计三个方面,流程合理性审计通过对信息系统流程的程序、运行、维护等相关活动进行检测,检验信息系统流程本身是否可靠;流程有效性审计主要对信息系统产出物进行检查,即数据的准确性、真实性;流程完整性审计主要针对信息系统自身的运行逻辑和数据进行整体检测,识别信息系统流程中存在的漏洞或未能满足被审计单位实际经营需求的地方。

      (二)审计框架

      通过图1可以看出,运用IS审计方法对信息系统流程进行审计时,可以将信息系统流程合理性、信息系统流程有效性、信息系统流程完整性三个层面作为审计目标。审计人员通过审计目标的一、二级拆解确定具体的审计任务,再通过对审计任务的一、二级拆解执行具体的审计流程,并最终对信息系统流程的合理性、有效性、完整性做出准确评价。

      (三)审计程序的应用

      1.流程图检查。信息系统流程图是以企业信息系统的运行过程为基础所描绘,可以体现企业信息系统内部安全秩序和企业信息系统通过数据产生原理的框线图。流程图检验是指针对各种信息系统的流程图加以检验其总体设计是否合理、制度运行是否合理、业务处理及信息处理逻辑是否合理。通过查阅与检验网络系统中的流程图,审计人员能够迅速掌握审计网络系统的总体业务流程、重要节点信息等,从而为制定更详尽的审计程序提供基础。

      2.控制矩阵检查。控制矩阵是信息系统管理部门制作的与信息系统相关的,主要揭示信息系统风险与控制节点的矩阵表格。控制矩阵包括的内容主要有企业业务发展目标、业务方向、适用单位、不相容岗位、控制点、控制点分值、控制点相关研究资料、控制点财务报表认定等多个层次的内容。通过对信息系统控制矩阵的检查,审计人员可以充分了解信息系统审计业务的主要审计目标,并对审计过程中的相关风险点进行控制。

      3.系统检查。系统检查是指审计人员在完成对企业信息系统设计流程图、控制矩阵的初步检查后,对信息系统本身实施的进一步检查。系统检查既是对被审计单位提供的流程图、控制矩阵落实程度的检查,也是对系统流程合理性、有效性本身的检查。信息系统检查的主要手段包括试运行信息系统录入指令、系统功能浏览、随机检查等。

      

      4.嵌入审计程序测试。嵌入审计程序测试通常是针对信息系统流程安全性所做的特殊检查工作,也被称为受控处理法、嵌入审计程序法。嵌入审计程序测试有主动测试和被动测试两类方式,主动测试是指信息系统开发商事前主动整合了特定审计程序模块,并将其嵌入系统中,审计人员仅需执行上述审计程序,便可判断系统的程序是否稳定可靠。而另一种则是被动地嵌入审计程序测试,是指信息系统在设计开发期间未预留满足审计需求的功能模块,审计人员需要提供外部程序对信息系统的程序本身开展测试工作。从独立性的角度来看,被动式嵌入审计程序测试的可靠性显然高于主动式嵌入审计程序测试。但由于受到技术条件、软件兼容性等各方面的影响,当前主流的嵌入审计程序测试仍然广泛采用主动式测试方法。

      5.系统日志审计。系统日志审计是对信息系统本身的运行日志进行检查的一种审计程序,系统日志审计程序的主要目的有两个,一是为了发现潜在的系统程序、数据篡改现象,确认或排除企业管理层对信息系统的人为干扰迹象;二是通过对日志的检查,了解外部操作人员对信息系统录入指令或执行操作、维护、升级、权限修改的情况,能更加全面深入地了解这些信息平台系统业务流程的有效性、完整性。

相关文章: