《信息系统审计系列之—》由会员分享,可在线阅读,更多相关《信息系统审计系列之—(7页珍藏版)》请在金锄头文库上搜索。
1、审计研究简报第 8 期(总第 169 期)审计署审计科研所 2008 年 7 月 3 日信息系统审计的组织方式及其适用性分析信息系统审计的组织方式及其适用性分析信息系统审计,是指通过对被审单位信息系统的组成部分及其规划、研发、实施、运行、维护等过程进行审查,就被审单位的信息系统的安全、可靠、有效和效率性以及信息系统能否有效地使用组织资源并帮助实现组织目标发表意见的审计。信息系统审计由于其审计内容、目标、准则、方法等的鲜明特点,使其成为一种独立的审计类型。近年来,随着被审单位特别是一些国家机关、大型国企、商业银行信息化水平的不断提高,审计机关也越来越多地采用信息系统审计的方式来进行审计。要做好信
2、息系统审计,必须合理有效地组织信息系统审计活动。在我国国家审计中,专门进行的信息系统审计的单位和项目还不多。根据与财务审计的关系,可以把信息系统审计分为与财务审计相结合的信息系统审计和专门进行的信息系统审计。相应的,信息系统审计的组织方式也可以分为与财务审计相结合的组织方式和专门进行的组织方式。一、与财务审计相结合的组织方式一、与财务审计相结合的组织方式所谓与财务审计相结合的组织方式,是指在财务审计的过程中运用信息系统审计的有关手段所进行审计的组织方式。这一组织方式从本质上来说并不是完全意义上的信息系统审计,而是在财务审计过程中加入了信息系统审计的手段和方法。1、与财务审计相结合的信息系统审计
3、的审计目标与财务审计相结合的信息系统审计一般是根据财务审计的需要提出的,因此这种信息系统审计应该为减少财务审计的风险服务,为财务审计提供最低限度的保证。(1)保证信息系统软件和相关模块没有经过非法篡改。在信息化条件下,被审单位的财政财务收支数据是通过信息系统处理和输出的。如果信息系统及其相关模块被非法篡改,就难以保证被审单位财政财务收支数据的真实性和合法性。从被审单位信息系统的来源来看,有相当大的部分的信息系统是从专业软件公司购买的商品软件,还有小部分是被审单位根据业务发展的需要,自主投资开发建设的信息系统。从专业软件公司购买的商品软件,在交付使用前一般要经过公司的质量检查,而且独立开发软件的
4、公司与被审单位相对独立,其信息系统的真实、合法和有效性能够得到一定保证。但是对于那些自主投资研发的信息系统,一些被审单位“天生”的趋利避害本能使其有通过在信息系统上作弊,实现自己目的的动机。审计中,也发现了通过在信息系统研发中预留“后门” ,或是篡改相关信息系统模块作弊的例子。审计实践中发现的这些情况,给审计人员敲响了警钟,要求财务审计人员关注信息系统是否经过非法篡改,合理保证其真实、合法和有效性,才能尽量减少财务审计风险。(2)保证与信息系统相关的内部控制存在并且有效。信息系统的真实、合法和有效、效率等目标是通过内部控制措施加以实现的。在信息化环境下,不仅被审单位的生产经营和管理的指令要输入
5、到信息系统中去,而且生产经营和管理的结果也要通过信息系统输出来加以反馈,从一定程度上来说,信息系统就是被审单位的大脑和中枢神经,内部控制的作用则是保证大脑和神经中枢的正常运行。信息系统的内部控制是否存在并且有效,直接影响了信息系统的真实、合法和有效性,进而影响了财务审计中财政、财务收支数据的真实、合法性和准确性。可以设想的是,如果信息系统的内部控制根本不存在或者虽然存在但执行无效的话,那么信息系统输出的财政财务收支数据的真实、合法性、准确性就难以保证,财务审计的风险将大大提高。内部控制测评是信息系统审计的重要内容,通过对信息系统有关的内部控制进行测评,并提出相关的意见建议,有利于审计人员从风险
6、控制的角度去控制财务审计的风险。如果经过审计发现信息系统内部控制根本不存在或者无效的话,那么审计人员就有理由相信被审单位的财政财务收支数据发生错弊的风险大大增加,从而在财务审计过程中加大实质性测试的程度和水平,进而从整体上减少财务审计的风险。(3)在财务审计重点关注的领域,应重点进行信息系统审计,以保证信息系统为实现被审单位的目标服务。财务审计重点关注的领域一般也是被审单位所应实现的目标。例如在国有企业审计中应重点关注国有资产的保值增值;在上市公司审计中应重点关注收入、成本、利润的真实完整性;在社保资金的审计中应重点关注资金的安全性;在财政专项资金的审计中应关注专项资金使用的合法性等。信息系统
7、作为被审单位管理环节中的重要一环,对实现这些目标具有不可替代的作用,尤其是在重要部门的业务系统中,可以说从信息系统的设计环节开始到运行等,就考虑到了业务的侧重点和实现目标的需要。被审单位的财政财务收支数据有很多方面,国家审计除了要从整体上关注财政财务收支数据的真实、公允性之外,重要的是根据被审单位的目标,有所侧重的进行重点审计,为国家决策服务。一般来说信息系统的目标与被审单位的目标具有相近性。审计人员在信息系统审计中,在财务审计重点关注的领域,应重点关注信息系统及相应的模块是否处理正确、合法、功能完备,内部控制是否健全有效等,是否为实现被审单位的目标服务。2、与财务审计相结合的组织方式的特点(
8、1)事先没有专门立项计划。审计一般要经过立项才能实施,与财务审计相结合的组织方式没有针对信息系统审计的专门立项计划,只是在审计过程中发现信息系统出现问题或者根据需要的时候才进行信息系统审计。当然,没有专门立项计划并不表明就没有计划,在经过财务审计发现需要进行信息系统审计后,还是要对信息系统审计进行计划,明确审计的目标、范围、人员分工、时间等,使信息系统审计有章可循。(2)只是针对部分业务或系统进行信息系统审计。与财务审计相结合进行的信息系统审计是在财务审计过程中根据发现的问题或者根据需要而进行的。这种定位决定了不可能对信息系统做出全面审计,而是根据财务审计中发现的信息系统的缺陷,或者根据需要,
9、针对部分业务或系统模块进行审计。比如说在财务审计中发现财务系统中对折旧的计算方法有误,企业的累计折旧数据不准确。那么在进行信息系统审计的时候,应着重对财务系统中折旧处理模块进行审计,保证企业折旧计提会计处理的正确性。(3)没有专门的信息系统审计报告。与财务审计相结合的信息系统审计在立项的时候是以财务审计的名义立项的,本质上还是财务审计,因此审计报告的结果应该是财务审计的内容,没有专门的信息系统审计报告。而财务审计报告中却不能缺少信息系统审计的相关内容,审计人员可以根据需要将信息系统审计的内容体现在报告中。比如说可以在对被审单位的意见建议部分,根据发现的信息系统存在的缺陷和漏洞,提出相关的建设性
10、的意见建议。这种财务审计报告与信息系统审计报告相结合的特点,是与财务审计相结合的信息系统审计的定位相适应的。二、专门进行信息系统审计的组织方式二、专门进行信息系统审计的组织方式根据信息系统审计与财务审计的关系,除了与财务审计相结合的组织方式外,还有专门进行信息系统审计的组织方式。1、专门进行信息系统审计的组织方式的含义所谓专门进行是指项目经过单独立项、单独实施并单独出具审计报告。经过单独立项、单独实施并且单独出具审计报告进行信息系统审计的方式,就是专门进行信息系统审计的组织方式。(1)单独立项。审计项目立项是根据事业发展的需要和各方面综合意见,将拟开展的审计项目的审计依据、内容、范围、方式、时
11、间、人员等基本情况报送审计机关批准同意的行政程序。只有经过审计机关立项批准的审计项目才能实施,从这个角度看审计立项可以看作是审计机关对审计人员开展审计的授权。而是否单独立项则决定着审计项目的地位,是独立进行,还是从属于其他审计项目。作为专门进行的信息系统审计,必须是经过单独立项批准的,不从属于其他财务审计项目。(2)单独实施。专门进行信息系统审计的组织方式,必须单独实施。单独实施意味着信息系统审计要在人员、时间、经费等审计资源方面与其他财务审计分开。信息系统审计在审计的内容以及审计人员的知识结构等方面,都与其他财务审计有很大区别。因此单独实施信息系统审计,既符合专门的信息系统审计的概念,也是信
12、息系统审计自身的内在要求。(3)单独出具审计报告。专门进行的信息系统审计还必须单独出具审计报告。审计报告作为审计工作的最终成果,在审计项目中具有标志性意义。一般来说单个立项审计项目应单独出具一份审计报告。作为专门进行的信息系统审计,既然是单独立项又是单独实施的,就应单独出具审计报告。2、专门进行的信息系统审计的目标相比与财务审计相结合的组织方式,专门进行信息系统审计的组织方式的目标不在于减少财务审计风险,而是放在信息系统本身。首先要审查的是信息系统的性能,看信息系统的性能是否满足系统设置的目标,即满足信息系统本身的安全、可靠、效率和效果等目标。其次要审查信息系统的大环境,看信息系统是否符合信息
13、化发展战略和业务发展战略的要求,即信息系统本身的目标如何与整个组织的目标相适应。3、专门进行信息系统审计的组织方式的特点(1)技术性比较强。专门进行的信息系统审计是全面的信息系统审计,审计对象不仅包括被审单位的信息系统,而且覆盖系统生命周期的全过程。要对信息系统及其生命周期进行了解、测试和评价,需要掌握一些专门方法和技巧。在对信息系统进行测试,特别是对应用程序及其相关内部控制措施进行测试的时候,必须要采用计算机辅助审计技术。信息系统审计高技术性的特点决定了信息系统审计人员必须是兼具计算机和会计审计业务知识的复合型人才,这对审计人员的素质提出了更高的要求。(2)取证工作具有动态性。在一些重要的部
14、门和企事业单位中,信息系统是其生产经营和日常运转所必不可少的工具,一旦信息系统停止运行就会造成损失和工作瘫痪,所以审计人员需要在信息系统运行的过程中取证,这不仅给审计人员的取证工作带来的一定难度。同时它也可能影响被审单位的信息系统的正常运行。(3)具有一定复杂性。这种复杂性主要体现在信息系统的技术性和多样性上。信息系统尤其是一些大型信息系统在软硬件和网络上采用了最先进的信息技术,不了解这方面的技术就很难进行审计。而且不同的信息系统,其物理结构不一样,采用的计算机软件、硬件就会有所不同,这就决定了审计人员对被审系统进行了解、测试和评价具有一定的复杂性。三、两种组织方式适用性的分析三、两种组织方式
15、适用性的分析现阶段由于专门进行的信息系统审计项目还不多,与财务审计相结合的信息系统审计方式是实践中最常见的组织方式。与财务审计相结合的信息系统审计一般是伴随着财务审计进行的,在审计方案、审计人员、审计时间、审计报告等方面都是同时进行的,其目的也主要是为财务审计服务,减少财务审计的风险。一般来说,在发生下列情况时,可以考虑采用与财务审计相结合的信息系统审计。(1)在财务审计之前,审前调查发现被审单位可能存在信息系统方面的问题,为了减少审计风险,先对信息系统进行审计,然后再针对信息系统薄弱环节,有针对性地进行财务审计。根据审计署计算机技术中心发布的计算机审计审前调查指南计算机审计实务公告第 8 号
16、第 17 条的规定:“根据审前调查的初步结果,审计组认为被审单位所使用的软件或者信息系统可能存在瑕疵或者缺陷,进而可能对于电子数据的真实性、完整性产生重要影响时,应当建议在审计实施方案中增加检查信息系统的内容。 ”审计机关和审计组在编制审计方案前,应根据审计项目的规模和性质,安排适当的人员和时间,对被审单位的有关情况进行考察。由于信息技术手段在被审单位广泛运用,考察的内容还应包括被审单位所使用的信息系统、电子数据、业务流程对信息化的依赖程度、与信息系统有关的管理机构及管理方式以及开展计算机审计的环境条件等。审前调查的结果表明,如果被审单位的信息系统及相关方面不存在实质性问题,则可以直接进行数据审计。如果被审单位的信息系统存在明显错误或缺陷,则需要根据错误和缺陷的具体情况,开展信息系统的审计,减少财务审计的风险。这种根据审前调查结果决定是否进行信息系统审计的方式,是一种以财务审计为主导的方式。在这种方式中,虽然也进行信息系统审计,但信息系统审计最终是为减少财务审计风险服务的。信息系统审计以发现信息系统可能增加财务风险为开始,以通过信息系统
