基于人员流、业务流和信息流统筹开展信息系统审计,本文主要内容关键词为:信息系统论文,信息流论文,人员论文,业务论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、信息系统审计的内涵
国际信息系统审计委员会(ISACA)将信息系统审计的定义为:一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程。
国家审计署对信息系统审计的定义为:审计机关通过对被审计单位信息系统的综合检查和审计评价,促进该系统的稳定、安全、可靠和有效运行,确保审计机关获取的由该系统产生的数据的真实性和完整性。
从上述两个定义可以看出,信息系统审计强调对系统的合法性合规性、安全性可靠性、效率性效益性进行检查与评价,关注系统是否存在不安全或不稳定的因素,防止财务和业务数据失真。虽然信息系统审计的审计对象和内容与传统审计存在一定区别,但信息系统审计的最终落脚点还是立足于审计的根本目标,即监督被审计单位财政收支、财务收支及有关经济活动的真实性、合法性和效益性。
二、开展信息系统审计的必要性
信息系统审计作为国家审计机关的工作内容,是信息化发展到一定程度的必然结果。它既有一些传统审计条件下某些审计内容新的表现形式,又有与信息技术紧密联系的新的审计内容。
1.开展信息系统审计是控制审计风险的要求
系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件,如果被审计单位信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,就会带来假电子数据真审的情况。
2.开展信息系统审计是全面履行审计职责的要求
信息化环境下的审计,数据审计、信息系统审计、系统内控审计必须“三位一体”,在审计过程中,三项内容不可或缺。只有这样,我们才能完成“全面审计,突出重点”的要求,全面履行审计职责。
3.开展信息系统审计是信息化下审计发展的必由之路
随着信息技术在各个领域的广泛使用,传统审计、计算机辅助审计已经不能完全满足审计工作的要求。信息化环境下,审计内容和范围、内部控制、审计线索、审计方法等都发生了重大变化,未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。
三、基于人员流、业务流、信息流统筹开展信息系统审计
人员流、业务流和信息流,是任何一个组织机构运营管理过程中的三个系统要素。三者的有机结合,是组织机构正常有效运作的基础和保障。信息化环境下,这三个系统要素显得尤为关键,也为我们开展信息系统审计提供了新的视角。
1.基于人员流开展信息系统审计
在信息系统中,关键人员主要有三类:系统管理员、操作人员和维护人员。其中,系统管理员拥有系统的全部操作权限,如果仅依靠其自身的职业操守和道德准绳进行约束,而没有采取有效的措施对其进行监控,会给信息系统带来较大的风险。操作人员主要利用已有的程序,通过系统来处理业务和数据。在理想的情况下,一方面应当加强对操作人员的业务指导,通过系统顺利完成各项操作;另一方面应当尽量避免让操作人员对程序有充分的了解,这样才能使其没有机会在运行程序前或运行程序时篡改数据。维护人员主要负责系统运行过程中出现的各类技术问题的维护,维护人员一般直接参与系统的开发设计,对系统的内部结构有着清晰的了解,如果系统管理员不对其加以牵制的话,若维护人员与操作人员相互串通,接触具体的业务操作,就会出现利用系统进行违规操作谋取私利的风险。
在审计过程中,审计人员可以综合采用商谈法、问卷调查法、查阅系统日志记录等方式,了解系统中相关人员登录系统的用户名、密码和权限设置情况,分析人员的职权与责任分配是否恰当,操作人员的权限是否细化,是否真正实现了不相容职务的相互牵制。通过对人员流开展审计,发现普遍存在的一些问题。例如,部分操作人员没有按规程操作系统,存在一定的越权操作和非授权操作现象;部分操作人员登录口令设置过于简单,易被他人窃取利用;系统日志记录的信息不够详细,对操作人员具体的操作信息没有记载等。这些问题的存在都不同程度地给系统带来了安全隐患,影响到数据的真实性和完整性。
2.基于业务流开展信息系统审计
在组织管理中,业务流是指一组共同为履行管理职能、提供各项服务而开展业务活动所规定的程序与规范。不管是在手工处理环境还是信息化环境下,业务流都是客观存在的。业务流一般跨越多个部门,各个部门间的业务既相互牵制又相互关联。在手工处理环境下,一般按照工作职能划分组织机构,各个部门只对自己的工作负责,无人对流程负责。在信息化环境下,对业务流的审计主要关注两个方面:
(1)通过信息系统是否建立起跨部门的直接连通渠道,使原来无法直接连接和沟通的业务能够实时、直接地连接和沟通。
(2)信息系统能否控制业务的真实完整反映,系统可以控制的关键点是否都实施了相应的控制措施,关键控制点的设置是否合理有效。
在审计过程中,通过对业务流程的梳理,绘制出业务流程图,从业务的角度寻找可能影响系统安全性和完整性的关键控制点,并对这些关键控制点进行测试,以充分检测系统可能存在的漏洞。在对关键控制点的测试中,审计人员应充分进行符合性测试和实质性测试。所谓符合性测试,主要是为了确定关键控制点的设计和执行是否有效,进而实施的审计程序。如果发现关键控制点的设计存在某种缺陷,有可能影响数据的真实性和完整性,我们应进一步实施实质性测试,将此缺陷对系统产生的实际影响予以量化。
3.基于信息流开展信息系统审计
从广义的角度来看,组织机构其实是一个信息流的集合,信息流的传递与处理构成了所有行为活动的基础,信息流同时又是对业务活动状况的反映和记录,其来源于一系列输入与输出信息的节点组成的业务处理流程与决策流程。
在手工处理环境下,通过对各项业务的处理、记录、汇总,最终形成一定的数据及文字资料,这是信息主要的表现形式,信息的真实性和完整性主要受制于业务的处理流程。在信息化环境下,所有信息都是通过系统进行输入、处理并输出,因此对信息流关注的重点转向于系统对信息传递的控制。在审计过程中,我们主要关注三个问题,即信息如何进入系统、系统如何处理信息、系统如何输出信息。
(1)信息如何进入系统。在信息进入系统的过程中,应着重考虑两方面问题。首先,信息的来源是否真实完整。如果进入系统的信息本身就是不完整或不真实的,那么最终输出的信息也就失去了其本身存在的价值。例如,在非税收缴管理系统中,部分非税收入仍然由代征点征收,并未完全纳入非税收缴管理系统中,因而系统生成的数据并不能完整地反映全部非税收入的征收情况。其次,系统对原始信息的录入是否实施了相应的控制措施。即在录入信息过程中,系统是否设置了相应的控制措施来识别和纠正不合理甚至是错误的信息录入。例如,在财务核算系统中是否设计了借贷平衡控制、会计科目合法性控制等,对于大额、异常的数据录入是否设计了警告设置等。
(2)系统如何处理信息。信息录入系统后,系统对信息的处理过程体现为信息在系统内部的传递过程。审计时,应从两方面重点考虑影响信息传递失真的可能性因素。首先,关注系统内务模块之间以及不同系统平台之间标准规范是否统一,模块之间以及系统平台之间有无实现有效的对接。通过对不同模块、系统分别进行审计,并重点关注接口部分,评价模块、系统间的互联互通是否顺畅。其次,关注系统外部的影响。外部的威胁主要来自病毒攻击、黑客入侵等有意图、有目的的攻击行为,以及一些不可预见的灾害,重点关注被审计单位是否架设了防火墙和杀毒软件等技术措施加以防范,是否在系统主机上安装了有安全隐患的软件,是否建立了相应的预防机制。
(3)系统如何输出信息。信息经过系统的处理后,在输出过程中存在两种主要情形影响信息输出的真实完整性。一是系统中有可能被人为地嵌入非法的舞弊程序,例如,银行系统结算利息时,将利息的尾数部分通过某个程序自动结转至另一系统中,输出的信息仅是四舍五入后的部分。二是在系统中设置过渡程序,对中间数据进行再加工和调整。例如,在非税收缴管理系统中,账务核算系统中设置了过渡科目,将应缴财政预算款先放在往来科目中核算,再根据入库任务人为调节预算收入的入库数,导致预算收入不能及时足额地缴库,影响了预算收入的真实完整性。
人员流、业务流、信息流三者既相互区别,又相互联系,人员流是各项业务活动以及信息处理的主体,信息流是对业务流的反映和记录,业务流最终必须通过人员流对信息流的处理来实现。信息系统审计是一项全面、系统的工作,审计过程中,三者并不是孤立地进行,我们应从三个系统要素入手,统筹考虑,综合分析,并充分利用计算机辅助审计等审计方法完善对信息系统的审计。