对我国信息系统审计发展的思考,本文主要内容关键词为:信息系统论文,我国论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
信息系统审计工作不仅是审计技术发展的要求,也是深化审计工作的要求。通过信息系统的审计,可以发现错弊背后的体制上、系统控制上的原因,从本质上预防错漏的发生。 一、加快信息系统审计人才的培养 信息系统审计对审计人员的专业技能要求很高。因此,一方面审计机关要深挖潜力。通过对其进行持续不断地后续教育,鼓励在职人员开展计算机、经济管理、风险管理与控制、审计等知识的学习,加强对在职人员培养。同时,鼓励审计人员在更广泛的领域开展信息系统审计实践,不断的交流、总结经验和成果,以增强信息技术的审计能力。另一方面要巧借外力。目前,我国政府审计的项目审计组由审计组长、主审、审计人员组成,审计人员的分工主要以审计事项或审计年度为标准,审计成果则更多地关注财务数据,很少涉及固有风险分析与内部控制测试的内容。审计人员更多地把精力投入到财务数据的审查,而忽略了处理财务数据的软件是否安全、可靠。该模式的建立在一定程度上限制了审计人员的发展方向。美国审计部门及部分国际大型会计公司都配备了专门的信息系统审计人员与审计部门。为此,我国审计部门在组成审计组时,可以采取聘请信息系统审计专门人才加入审计组的协作审计方式,通过IT的外包,将大批外部IT开发人员适当转化为固定的IT内部审计人员,以提升信息系统审计工作成效(见附图1)。
二、深化IT审计内容 信息系统审计是由会计数据体系、计算机硬件和软件以及系统工作和维护人员组成。目前,我国的信息系统审计实务仍较多地停留在对有限的财务数据、业务数据的审计上,对计算机程序处理过程进行审计较少,已有的工作也还处于探索阶段。为此,审计部门要提升IT审计成效,就要进一步拓展IT审计范围,深化IT审计内容。总体说来,信息系统审计的内容主要由应用控制、一般控制和项目管理的审计所组成。 1.应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制审计即业务流程审计,它与一般控制审计相对应,主要对交易的完整性,准确性,有效性,机密性和可用性以及在应用处理中的数据的控制审计,通常分为应用程序级一般控制审计、业务流程控制审计、接口控制审计、数据管理系统控制审计等四类。 2.一般控制是系统运行环境方面的控制,指对信息系统构成要素(人、机器、文件)的控制。包括:信息系统总体控制,信息安全技术控制,信息安全管理控制。审计人员开展一般控制审计就是要对信息系统的开发、实施、维护及运行审计,对信息系统的环境安全和技术安全进行审查。 3.项目管理是信息系统绩效方面的管理。项目管理审计要关注信息系统建设的经济性、效益性、效果性。主要包括信息系统组成部分审计和信息系统生命周期的审计。信息系统组成部分审计以应用软件审计为主要内容,主要对应用程序的控制措施、合法性、正确性和效率性进行审查。信息系统生命周期的审计,则关注信息系统的规划、开发、设计、编码、测试等全过程。主要是对信息系统的可行性、全面性、适当性进行审查。 三、创新IT审计方法 在我国,信息系统审计的审计过程与一般审计过程一致,分为准备阶段、实施阶段和报告阶段。然而,它跟一般审计相比,更加强调审前调查和计算机审计的重要性。笔者认为,要创新信息系统审计工作方法,提升信息系统审计工作成效,必须牢牢把握审前调查、开展符合性测试和开展实质性测试这三大法宝。 1.深入开展审前调查,明确审计重点 审前调查对于信息系统审计非常重要。审计人员通过调查问卷、面谈、审阅系统描绘记录和实地观察等方法,详细了解信息系统的规模、性质和组织结构等基本情况,从而为确定审计重点、资源配备以及审计方案奠定基础。审前调查应当包括如下内容: 一是摸清完整性。主要是指制度的完整程度,关注被审计单位是否对信息系统的全过程实施了制度全覆盖,是否存在制度上的漏洞。审计人员要查阅应用系统产品、文档;IT管理规章制度;运维操作指南;故障维修与应急方案;安全策略及各类记录;设备操作手册及其他文档;与系统输入输出对应的流程和文档、记录等,从而对被审计单位内部控制的相关制度和信息系统运行环境进行重点了解,并进行初步评价。 二是识别重要性。审计人员要重点关注信息技术部门在被审计单位组织架构中的位置,了解被审计单位业务流程对信息化的依赖程度;审查被审计单位信息系统的组成及功能,确定信息系统审计重点关注的子系统;查看信息系统主要控制环节及岗位设置、使用信息系统员工的构成比例,确定被审单位业务连续性能力、信息处理能力,从而确定审计实施过程中的重点关注事项。 三是鉴别可靠性。通过重点了解数据完整程度;信息技术部门及其工作人员管理维护职责分工;财务、业务人员使用信息系统的职责分工;被审单位人员流、业务流和信息流等基本情况,开展初步的符合性测试,检查系统的安全可靠性。如果系统安全可靠性非常差,不能让审计人员信赖,则应当根据实际情况决定是否取消内部控制的符合性测试,而直接进行实质性测试并加大实质性测试的样本量。 2.开展符合性测试 符合性测试也称为内部控制测试,它的主要目的是检查企业的内部控制机制是否健全。在信息系统的符合性测试中,主要内容分为两个方面:一方面是企业的内部控制能在多大程度上确保会计信息系统中会计记录的正确性和可靠性,如输入、输出的授权控制,业务受理的审核,输入资料是否正确完整等。另一方面是内部控制的有效执行能在多大程度上保护资产的完整性,主要是计算机处理过程是否符合要求等。 通过以上两方面的评价,可以判断企业内部控制系统能在多大程度上防止或发现会计报表中的错误以及经营过程中的舞弊。如果系统安全可靠性比较高,则应对该系统给予较高的信赖,在实质性测试时,可以相应的减少测试的样本量,反之,则需增大样本量。如果符合性测试结果得出的审计风险偏高,而且被审计单位有可能利用会计信息系统进行舞弊的动机,且又不能提供完整的会计文字资料时,应该发表保留意见或拒绝表达意见的审计报告。 在符合性测试时,可考虑采用通过计算机进行审计的方法,常用的包括测试资料法、基本案例系统评估、追溯查验法、整合测试设施法、平行模拟法等。在此,笔者仅就较常用的测试资料法、整合测试设施法、平行模拟法加以阐述。 (1)测试资料法,即将不同存储介质中的测试数据或模拟数据分别由审计人员经手工核算和被审计单位会计信息系统进行处理比较处理结果,做出评价。它的重要环节之一是编辑测试资料。审计人员可利用企业在系统开发过程中设计的测试资料。但如果应用程序在系统实施后已发生过变动,则审计人员要编排补充性测试资料,侧重于测试系统应用程序中的已修改部分(见附图2)。 (2)整合测试设施法 整合测试设施法是审计人员可以在客户系统正常运作时,用测试数据对系统进行检测的一种方法。这种方法要在应用系统的文件中建立一个虚拟实体,并让应用系统处理该实体的审计测试数据。通常整合测试设施在系统开发时就作为一个模块或模块组内置于系统的应用程序之中,在整合测试设施的资料库里,真实的交易记录和“模拟”或测试主档用的记录同时存在。有些信息系统中可能另设一个虚拟交易档用以存放测试交易的结果。在系统的日常运作之时,测试交易和正常交易将汇集在一起输入系统处理(见附图3)。 (3)平行模拟法 平行模拟法要求审计师模拟客户信息系统应用程序的特点、性能编写自己的测试程序,然后用模拟程序处理由客户应用程序处理过的交易资料。模拟程序的输出结果可以用来和客户应用程序的处理结果相比较,从而对客户系统应用程序的可靠性作出评估(见附图4)。审计师在核对测试结果和实际结果时必须谨慎,因为导致对比结果不同的原因可能有两方面:一是客户的应用程序的确存在缺陷,二是模拟程序过于粗糙、简单导致差错,而并非客户应用程序存在问题。所以审计人员必须认真分析,方可得出正确的结论。
3.开展实质性测试 实质性测试是对被审计单位信息系统的程序、数据、文件进行测试,它的重点是对信息系统输出财务报表资料的检查,包括查验会计账户的余额和交易记录的准确性以及可靠性,并根据测试结果进行评价和鉴定。测试前,审计人员要向客户索取相应的资料,然后抽取样本执行实质性测试。测试方法主要有两种:嵌入审计模块法;通用审计软件法。目前而言,由于嵌入审计模块可能降低客户信息系统的作业效率,在实质性测试中较少采用。审计人员较常使用通用审计软件法。目前,我国审计系统通用的计算机审计软件为现场审计实施系统2011(简称为AO2011)。AO2011的功能主要集中在项目管理、财务数据、业务数据的采集转换及分析等,并没有设置信息系统审计的功能。为此,迫切地需要有一套高效实用的信息系统审计软件。美国在信息系统审计工作中,已设计出较为实用高效的审计软件(CA AT Ts),并被广泛应用,有效地帮助审计人员成功应对单机、网络、多用户等各种工作平台下的信息系统。为此,我国可以在现有审计软件AO2011的基础上,引进信息系统审计的技术,开发研制新的适用信息系统审计的分析工具。同时,信息系统软件的开发除了要符合审计原理、规程外,也要考虑审计人员的工作方式和习惯,由审计业务人员和计算机专业人员共同完成系统设计、开发、测试、运行、评审及维护等阶段,确保软件的实用性和可操作性。
标签:审计软件论文; 会计与审计论文; 审计方法论文; 审计流程论文; 控制测试论文; 审计目的论文; 内部控制论文; 信息系统规划论文;
