基层审计机关开展信息系统审计的几点思考,本文主要内容关键词为:信息系统论文,基层论文,几点思考论文,机关论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
在信息技术向人们工作、生活的每一个角落发起全面冲击的大潮中,信息技术不仅改变着人们的行为方式,同时也改变人们的思维方式。审计这个以鉴证财务信息的真实、公允为核心的行业不可避免地受到信息技术飞速发展所带来的冲击与挑战,这种冲击不仅是技术上的,而且也迫使我们对传统审计的理解和认识重新审视。随着信息化技术的发展,以计算机和网络为特征的信息系统日益普及,一些企事业单位不仅仅在财务上实现了电算化,购销、人事等环节也都实现了计算机管理,以ERP、MRP-Ⅱ为代表的企业信息系统的高度集成逐渐开始普及,使我们审计工作面临全新领域的拓展,也给我们的审计工作带来了巨大的挑战。本文试就基层审计机关如何开展信息系统审计的问题作些粗浅的探讨。
一、什么是信息系统审计
根据国际信息系统审计委员会(ISACA)的定义“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现目标的过程。”所以信息系统审计所关注的内容不单纯是对电子数据的处理,更不仅仅是财务信息,而是对企业整个信息系统的可靠性、安全性进行了解和评价,是一项通过审查与评价信息系统的规划、开发、实施、运行和维护等一系列活动,以确定信息系统运行是否安全、可靠、有效,信息系统得出的数据是否可靠准确以及数据是否能有效的存储的过程。从纵向(生命周期)看,信息系统审计覆盖了以电子计算机为核心的信息系统从计划、分析、设计、编程、测试、运行、维护到报废的全过程的各种业务;从横向(各阶段截面)看,它包含对硬软件的获取审计、软件审计、应用程序审计、数据完整性审计、安全审计和生命周期共同业务(如文档管理、人员管理、进度管理、外部委托、灾难恢复)审计等内容。
二、为什么要开展信息系统审计
(一)信息系统集成是企业信息化发展的必然要求?
从19世纪80年代至今,被审计对象内部的信息处理发展经历了:手工处理、部分计算机处理、会计系统全面计算机化、企业信息系统的集成化四个过程,相对应的我们审计的对象也在变化,从人和纸质文档——打印出来的纸质文档——电子数据——ERP、MRP-Ⅱ集成系统。
从企业信息化的发展历程可以看出,由于审计人员所面临的审计对象的不断变化,促使审计的方式随之改变,信息系统审计也就在这种历史背景下应运而生。
(二)信息系统审计是审计理论与技术发展的必然结果?
随着审计理论与技术的发展,审计模式经历了详细审计、系统基础审计和风险基础审计三个阶段。现代审计十分强调对系统控制的依赖。它的基本观点是:设计上合理并且得到执行的控制制度是我们相信财务信息的重要依据。对于控制得好的领域,我们分配较少的审计资源;控制较弱的领域,分配较多的审计资源;如果控制不可依赖,我们则跳过控制测试环节,直接对账户余额和交易发生额进行测试。
在会计信息手工处理的环境下,系统的控制也是由人工完成的,对系统控制的了解和测试也可以由普通审计人员运用一般的财务审计知识来完成。由于计算机化的信息系统的介入,信息系统的控制越来越多地由计算机来完成,ERP的实现甚至改变了手工环境下的管理方式及业务流程,一般的财务审计知识已无法满足对系统和系统控制进行了解及测试的需要。而由于计算机信息系统的运用,使得审计人员对系统控制更加依赖,直接对如此庞大的数据量进行审计已经是不可想象的。信息系统审计因此也从财务审计的一个可以省略的环节成为不可缺少的工作内容,甚至可以独立作为一项审计的任务。
(三)开展信息系统审计是控制审计风险的要求
ERP的实现使被审计单位的信息系统不仅仅是一个个孤立的系统,而是集财务、人事、供销、生产为一体的综合性的信息系统,财务信息只是这个系统所处理信息的一部分,单独的财务系统已不存在。在这种情况下,审计人员只有对整个系统进行全面了解,才能把握审计对象的总体情况,避免审计风险。如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,那么这样审计得出的结论就要受到置疑,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。
(四)开展信息系统审计是全面履行审计职责的要求
信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须“三位一体”,在审计过程中,这三项内容不能少。只有这样,我们才能完成“全面审计、突出重点”的要求,全面履行审计职责。
三、开展信息系统审计面临的问题
(一)审计观念亟待转变
观念问题也就是认识问题。如果不转换审计观念,将审计的目标局限为查错纠弊,势必将信息系统审计与当前中心工作对立起来。目前、很多审计人员特别是基层审计人员,把审计仅仅理解为“查账”,而对信息系统审计的理解也只能停留在计算机辅助审计或辅助审计软件开发及应用的层次上。审计纸质账目时,内部控制也要审计,不能假账真查。在信息化环境下,审查处理电子数据和评估其完整性及可靠性,对所处理数据进行事事控制和稽核,已成为新形势下对审计人员极具挑战性的工作。
(二)信息系统审计的专业人才缺乏
开展信息系统审计需要一批既掌握现代审计理论与实务又了解计算机技术的复合型知识结构的专业人才,目前审计署干部培训中心开展的注册信息系统审计师培养及与之相关的在审计人员中进行计算机知识的培训工作,正是为了适应这一现实需要。但从目前的人员数量和知识结构上看,还远远达不到要求。
(三)没有信息系统审计的行业标准与实务指南
信息系统审计发展到一定阶段,必须由行业组织出面将实践经验加以总结,并把有关概念、工作流程和技术方法固定、统一起来,形成行业的标准和规范。这将是信息系统审计进一步发展的基础。这也是所有行业发展的共同规律。没有标准和规范,所有的实践活动只能局限在低水平上重复。目前我国尚没有一个完整的、成熟的具有示范作用的审计案例,也缺少具备实际指导意义的相关信息系统审计准则和操作指南。
四、目前基层审计机关开展信息系统审计的几点想法:
(一)要分层次进行信息系统审计人才的培养
近几年,基层审计机关通过各种形式加大计算机审计培训力度,不少审计人员对常见的数据库系统有了比较熟悉的了解,在审计工作中能运用AO软件等开展审计。但是,对于目前信息系统普遍使用的大型数据库系统、信息系统开发、组成和内部控制等计算机技术了解有限,导致目前开展信息系统审计存在很大的技术障碍。开展信息系统审计人才的培养需要从两个方面入手:
一是加强对基层审计机关领导、科室负责人、审计组长等人员的培训,使他们树立信息系统审计的意识,懂得一些信息系统审计知识,了解其基本方法、步骤,知道在项目中如何安排信息系统审计的内容。只有全面树立系统基础审计或风险基础审计的观念,才能理解信息系统审计的重要意义。审计中发现的很多错弊,都是由于管理上出了漏洞,也就是系统出了问题。一个管理完善的、控制良好的系统,应该能够防止、发现或纠正自身存在的问题。审计的任务就是帮助被审计者建立、健全这种机制,而不应该是代替被审计者去履行他们的“管理责任”或“会计责任”。
二是加强信息系统专业人才的培养,可以通过选送具有计算机专业背景的审计人员和通过计算机中级培训考试的业务骨干参加审计署信息系统审计培训班的方式,从信息安全、网络系统、操作系统、应用系统、数据库技术、灾备恢复等方向进行深入培养,使之成为信息系统审计专业人才,能够编制信息系统审计方案,担任信息系统审计主审。
(二)要努力探索基层审计机关信息系统审计实践
主要是通过基层审计机关对一些具备条件的被审计对象,尝试开展信息系统审计方面的实践工作,以摸索出适合基层开展信息系统审计的标准和业务工作流程。具体做法如下:
1、选择合适的审计项目
由于受基层审计机关从事信息系统审计的人才缺乏、被审计单位的信息化程度不同的条件制约,基层审计机关在开展信息系统审计时,可以从每年的审计项目中选取1-2个适合开展信息系统审计的项目。选取的信息系统审计项目的原则是:属于被审计单位的核心业务或财务系统,系统数据的真实性和完整性对被审计单位的安全生产和损益核算有着直接影响,同时要求该系统有着完整的技术文档,最好能够获得数据库管理员和系统开发公司维护人员的支持。
2、成立信息系统审计课题组
抽调计算机专业人员和通过计算机中级考试的业务骨干组成课题组,深入分析被审计单位的业务流程、作业模式,了解这些功能如何在信息系统中实现的。有些被审计单位的信息系统非常庞大,细节设计很复杂,审计人员在有限的时间内要弄懂吃透,需要以科学的态度来钻研解决,成立课题组,坚持边学习边实践边总结的工作方法,有利于工作的开展。
3、在审前调查阶段对被审计单位的信息系统的可靠性和内部控制进行初步的评价。主要调查信息系统的使用范围,网络安全和数据的备份等情况,以保证信息系统数据的安全、完整;对信息系统的内部控制情况进行初步的调查和评价,重点是权限管理、参数表的设置和修改控制等是否有有效,信息系统的使用者和系统的开发者是否分离,被审计单位对交易录入的原始数据是否实施相应的控制,信息系统的数据流和业务流程是否吻合;以及通过系统日志等文件分析一些重大事件的原因,分析对整体信息系统的影响。
4、在审计实施阶段根据电子数据审计得出的异常数据结果来分析信息系统所存在的问题
获取电子数据包括会计电子数据和业务管理电子数据后,全面开展对电子数据的审计,运用计算机对各种数据进行复核,可以对会计总账明细账和报表复核,还可以将业务管理数据与会计报表数据进行复核;编制计算机程序或利用SOL查询语句进行查询和分析,发现被审计单位的信息系统中的数据存在不真实、不完整的情况时,可以从信息系统的角度进一步了解导致数据问题的原因,一般采用追根溯源的办法,将问题层层分类;根据已经发现的问题,对系统进行延伸,进一步追查系统存在问题所导致财务收支失真等方面的问题。
5、对信息系统审计作出审计评价,依据在信息系统审计中所发现的问题及信息系统的使用、维护、管理中存在的薄弱环节形成独立、客观、公正的评价。
信息系统审计作为一种全新的审计手段和审计理念,可以较好地从信息系统的角度发现舞弊问题和内控漏洞,使得审计内容不断丰富完善,较好地降低审计风险。基层审计机关如何开展信息系统审计,需要我们在实际工作中积极尝试,不断地思考总结,更好地适应审计工作的发展。
标签:审计软件论文; 审计计划论文; 审计准则论文; 会计与审计论文; 审计方法论文; 审计目标论文; 信息系统规划论文; 电脑论文;