《亚洲审计组织绩效审计指南附件1:信息技术环境中的效益审计》由会员分享,可在线阅读,更多相关《亚洲审计组织绩效审计指南附件1:信息技术环境中的效益审计(4页珍藏版)》请在金锄头文库上搜索。
1、附件1:信息技术环境中的效益审计介绍1. 信息技术(IT技术)在公共部门计划的编制、执行和监督中有着越来越广泛 的应用。备单位之间信息的共享和体化有可能导致安全得不到保障、非法复制 信息等问题的出现。审计人员不仅应对信息技术的使用有所了解,还应制定战略, 使用先进技术,保障风险承担者在信息技术的使用、系统安全、合理进程的控制 和输出信息的完整性和准确性等方面获得效益。2. 良好的信息技术系统的价值在于:能够提供具有较高效益和效用的程序传 导机制。系统有潜力降低服务成本,提供大量额外服务,包括程序效益信息,其 更高的效率、安全和控制保障都是人工系统所不具备的。但信息系统也有可能会 造成重大系统错
2、误,其对单位效益的不利影响之大也是人工系统所无法比拟的。3. 本附件旨在阐述在信息技术环境下进行效益审计的一些重要思考,而更为 详尽的审计指南,应由各最高审计机关根据被审计单位的信息技术环境来编制。4. 在信息技术环境中,效益审计应遵循以下相互关联的步骤进行:全面了解被审计单位的信息技术系统以及其系统对效益审计目标的重要 性;确认要实现效益审计目标,需要对信息技术系统的哪些部分进行分析(如 对系统开发的审计,对环境和应用控制的审计),并聘用信息技术审计专家负责 此项工作;以及开发并使用合适的计算机辅助审计技术(CAATs),为审计提供方便。5 .信息技术环境下的效益审计将:查明信息技术控制中的
3、漏洞,以及由此产生的对被审计单位“效率、经济 和效用性”的影响;和行业内先进水平对比,检查被审计单位的信息技术系统的开发和维护行 为;和行业内先进水平对比,并与被审计单位的公司化管理相联系,比较被审 计单位信息技术战略计划、风险管理和项目管理行为;判别系统输出是否满足被审计单位质量和服务交付参数;以及评估信息技术系统(特别同项目计划、执行、监督和反馈相联系)是否能提 高被审计单位项目管理的经济、效率和效用性。规划和资源供给6. 同任何其他形式的审计一样,在信息技术环境下的效益审计也需要进行规 划。在规划进程中,应根据被审计单位采用/引进信息技术系统的目标制定审计 目标的框架,并确定在审计关注的
4、几个重点:系统的安全、控制和效益。在规划 进程中,还应辨别被审计单位所使用的信息技术系统、计算机系统和软件包。计 划中还需辨明被审计单位信息技术系统的主要潜在风险。7. 在信息技术环境下的效益审计需要专业技术,应分配具备信息技术、审计 和会计知识的经过专业培训的人员从事效益审计。在专业技术性最强的领域,可 以考虑聘请咨询顾问。最高审计机关还应考虑获取相应的硬件和软件工具。审计 人员应接受内容广泛的培训,掌握最新的技术发展和信息技术审计方面的信息。涉及信息技术系统开发的效益审计8. 涉及信息技术系统开发的效益审计应判别被审计单位是否做到:以行政批准的方式决定开发信息技术系统,即被审计单位对信息技
5、术也实 施公司化管理;项目管理程序己到位;满足对时间、成本、系统功能和效益等目标的要求;采用合适的系统开发方式;以及工作程序(包括内部审计的介入)己到位,确保新系统涵盖所有必要的控制 和审计线索,可以满足被审计单位和风险承担者的要求。涉及信息技术系统运行的效益审计9. 以下是审计人员应考虑的一些较为重要的应予关注事项,在审计时,应根 据被审计单位的不同情况选择修改后具体实施:对被审计单位信息技术的战略和运营管理,包括对信息技术实施的总体公 司化管理;在被审计单位内部实施的信息技术项目管理,包括被审计单位在立法和其 他截止期限方面的记录;被审计单位在信息技术方面的风险管理;信息技术系统设计、开发
6、和维护控制;是否符合各种准则(包括外部准则);应用控制;审核控制(包括审计线索);商业连贯性安排;数据完整性(包括可能使用计算机辅助审计工具进行的数据抽样);信息存取访问控制,以及网络和计算机的物理和逻辑安全(包括互联网防 火墙);在防范非法软件方面的控制;效益管理和效益衡量;以及在审计中出现的其他事项。10. 在进行评估时,审计人员可以:检查同信息技术系统的开发和运行相关的档案和其他文件;使用合适的软件包测试中央网络化计算机系统控制;对交易样本进行测试(包括计算机辅助审计工具的使用),以验证系统性能 和相关的控制;以及同重要的工作人员交换意见。在信息技术环境下进行的审计的因素11 .审计人员
7、还将检验信息技术系统是否提高了被审计单位对其计划程序进 行管理的效率,以及信息技术系统的采用是否为被审计单位的风险承担者带来了 任何有益的影响。12 .审计人员还可以检验信息技术系统是否有利于计划程序管理水平的提 高。应予评估的领域包括:信息技术应服务于被审计单位的工作目标,因此应成为被审计单位运营工 作的一部分;信息技术的操作需要高素质的合格人员;信息技术对机构运营工作的促进作用应以运营效率为衡量标准;信息技术能否带来收益应以被审计单位内的结构优化调整为先决条件;以 及相比而言,正常的效益评估可能较难实施。13. 在对被审计单位的信息技术系统是否能体现效益的提高进行评估之外, 效益审计人员还
8、应评估信息技术系统是否能增加工作透明度、保障经济责任和实 现完善的管理。计算机辅助审计工具14. 审计人员越来越经常使用计算机辅助审计工具(CAATs) o CAATs使用常规 (自定义)开发的软件程序,协助实施审计,既可以用于系统交易信息的抽样,也 可以在对系统进行整体测试时应用。CAATs工具可以完成下列工作:访问被审计单位的数据库,并抽取信息;根据特定的标准,对大量信息进行加总、汇总、排序、比较和选取操作;对数据进行列表、检验和进行运算;进行抽样、统计处理和分析;根据特定审计需求提供报告;以及通过输出电子审计工作底稿的方式,提高编制索引、进行复核和报告的效 率,使制定审计计划、实现有效控
9、制更为容易。15. CAATs还可以用于验证程序处理过程和数据分析。审计人员应开发计算机 辅助审计工具,并进行人员培训。开发和修改CAATs I具时,应根据被审计单位 得信息技术环境和审计目标来进行。16. CAATs既可以用于信息技术环境下的效益审计,也可以用于非信息技术环 境下的效益审计。互联网17. 作为一种研究、计划、联络和报告工具,互联网正在发挥着越来越重要 的作用。审计人员应充分熟悉互联网,以便运用互联网,协助开展效益审计,同 时明确掌握互联网对效益审计的影响(被审对象使用互联网)o报告18. 提交效益审计报告之前,应拟订报告草稿,尽量减少技术术语的使用, 方便管理人员、立法机构成员和公众理解报告。如果不可避免要使用技术术语, 应对其进行解释。
