信息系統審計的幾點體會

關于信息系統審計的幾點體會

為保證審計質量，從本世紀初開始，信息系統審計作為一種全新的審計思維和審計方式越來越收到重視。所信息系統審計，是指通過收集和評價審計證據，對信息系統是否能夠保護資產的安全、維護數據的完整、使單位的目標得以有效地實現、使組織的資源得到高效地使用等方面作出判斷的過程。在審計中，信息系統審計關注的重點為系統是否存在不安全或不穩定的因素，防止公司的財務和業務數據出現失真。 　　在我國的審計實踐中，信息系統審計成果似乎并明顯，原因主要是目前存在以下三大困難：一是審計人員難以在短時間內透徹了解被審計單位的信息系統。一般來說，信息系統有通用和定制兩種。通用的信息系統多用于小型的數據管理，由專業的軟件公司開發后打包在市場銷售，被審計單位人員僅僅是使用者，審計人員無法獲得開發設計的細節；而定制的系統多用于大型的數據管理，由軟件公司或內部的開發部門根據企業的應用量身定做，這類系統技術文檔和技術支持比較完善，但是由于系統過于龐大，細節設計過于復雜，審計人員在有限的審計時間內難以對系統進行評估。二是難以發現系統內的瑕疵。從表面看，信息系統的各項令人眼花繚亂的模塊好像都很正常，無論是從開發文檔還是操作手冊都不會直接列出系統的瑕疵，而且在現場審計中，審計人員一般不允許對正在運行的系統進行測試，較難識別系統的問題。三是難以評估系統瑕疵所導致的后果。在審計實踐中，即使審計人員發現了信息系統的瑕疵，但是未發現該瑕疵導致的已經存在的后果，常常使得審計結論缺乏直接證據�！　‰m然信息系統審計面對以上諸多難題，但是筆者認為審計人員可以打破常規，從以下幾個方面創造性地開展審計工作�！　∈紫�，審計人員可以通過整體評價被審計單位的信息系統重要性的基礎上，確定審計重點。為了提高信息系統審計的效率，選取的系統最好滿足下列條件：屬于被審計單位的核心業務或財務系統，系統數據的真實性和完整性對被審計單位的安全生產和損益核算有著直接影響，同時要求該系統有著完整的技術文檔，最好能夠獲得數據庫管理員和系統開發公司維護人員的支持。當然，如果系統功能很簡單，可不受上述條件限制�！　∑浯�，審計人員應用內控測試和數據審計兩種方式對選定的系統進行分析，一般能迅速找出信息系統存在的瑕疵，尤其是人為舞弊的線索�！　�1.信息系統的內部控制測試。審計人員在了解系統業務處理流程的基礎上對信息系統進行內控測試，然后作出風險評價。根據COSO發布的《內部控制－整體框架》，內控測試主要包含四個方面的內容：對控制環境的測試、對風險的評估、對信息與溝通的測試和對監督的測試。在進行信息系統審計時，可以對目標系統的上述四個方面對系統進行測試評價，測試目的：　�。�1）控制環境管理層的技術和管理水平合格的系統管理層人員需要有技術和業務的雙重背景，可以組織系統的運行升級和處理突發的意外情況。否則，容易出現系統不能良好地支持業務運行等情況�！　。�2）維護和操作人員的技術水平系統的維護和操作人員需要有可以完成工作職責的技術水平，否則容易出現系統無法推廣和各種意外頻出等情況�！　。�3）組織結構及職權與責任分配不恰當的職權分配容易給人為篡改數據及越權操作提供便利。　　同時，分析系統的組織結構可以確定審計的重點位于集團公司的哪個層面�！　。ǎ保┢髽I高層的重視程度企業高層重視系統才能獲得足夠的資源；　�。ǎ玻┡c系統有關人員的誠信和道德價值水平該指標評估人員是否有影響系統真實性和安全性的動機；　�。ǎ常�對信息與溝通的測試目標系統與其它系統之間的數據傳輸關系了解系統所處的位置；　�。ǎ矗┫到y所記錄的信息在企業內部和外部的傳輸情況了解信息使用的情況；　�。ǎ担�對監督的測試內部和外部審計部門的信息系統審計為評價系統的可靠性搜集資料；　�。ǎ叮┫到y安全性和真實性的檢查頻率和力度；　�。ǎ罚�對風險的評估分析系統所支持的業務流程從業務的角度找出影響系統安全性和完整性的因素；　�。ǎ福┱页鲲L險的關鍵控制點作為下一步審計的重點；　　（９）執行各種測試手段。如：穿行測試、繪制風險控制矩陣等。 　　2.由計算機輔助審計得出的異常數據結果來分析信息系統所存在的問題。計算機輔助審計是一種常用的審計手段，通過它對各種數據進行分析，然后根據數據的分析結果追尋被審計單位信息系統存在的問題。在審計人員發現被審計單位的信息系統中的數據存在不真實、不完整的情況時，可以從信息系統的角度進一步了解導致數據問題的原因，一般采用追根溯源的辦法，將問題層層分類。如系統數據不真實或不準確，一般可能存在設計或操作兩方面的原因。就設計方面而言，既有考慮不周所致，也有故意預留后門的情形，針對其實際原因，分別采用相應的對策，或改進設計，或關閉后門并追究相關人員責任；對于操作方面而言，也存在工作疏忽、越權操作和蓄意偽造等多方面原因，可以針對性地采用批評教育、完善制度和追究人員責任進行懲戒等方式予以整改　　第三，根據已經發現的問題，對系統進行延伸，進一步追查系統存在問題所引致財務收支失真等方面的問題�！　」P者在審計實踐中，應用上述方法實施了對B通訊公司的信息系統審計，效果良好。在開始系統審計前，對B通訊公司正在使用的數十個信息系統進行逐一排查后，決定對計費系統實施審計，主要基于兩點重要原因：　　一是該計費系統屬于B公司的核心業務信息系統。主要功能是對B公司多種通訊業務計費、批價及按客戶匯總，并結合客戶使用的套餐計算出每個客戶當月的應交費金額，而后登記實際交費金額。在每月月結之后，計費系統按照會計科目的口徑自動匯總計算本月財務應計收入金額和實收金額，再通過接口程序自動傳輸到財務系統中生成記帳憑證并核算主營業務收入。由于計費系統是B公司核算收入的主要依據，它的真實性和完整性對B公司的損益計算非常重要�！　《�是該計費系統是某軟件公司為B公司定制的信息系統，該軟件公司一直對其進行維護升級，對計費系統的設計細節較為清楚，有利于審計工作的開展。　　在對計費系統進行內控測試時，很快就發現了如下疑點：第一，計費系統的組織結構和職權分配存在不妥之處。計費系統的大部分運營管理工作都在分公司層面，母公司并未對分公司的計費操作進行直接管理，且分公司擁有計費系統所有管理權限。第二，B公司管理層可能存在誠信問題。幾年前，B公司就提出了很高的收入目標。近幾年由于市場競爭激烈，B公司的市場份額不斷縮小，產品單位售價不斷降低，但收入額卻沒有降低。同時，由于收入完成情況優秀，管理層還獲得了提職。第三，計費系統接受的檢查監督過少。近兩年，B公司的上級IT部門未針對計費系統的真實性進行過檢查，僅有一家會計事務所對其進行過評估，未發現明顯風險點。第四，B公司的計費系統管理員對所管理的數據庫的數據結構非常熟悉，能清晰知曉多個計費系統的設計細節，不符合信息系統設計和操作職責分離的要求�！　∮捎谟嬞M系統設計復雜，僅各類套餐就達上百個，決定對計費系統數據開展了計算機輔助審計，審計發現B公司近幾年一直存在虛增收入的情況。此時，開展信息系統審計的條件已經成熟，審計組以數據審計為突破口，檢查計費系統各個處理流程，發現B公司的計費系統存在嚴重的系統漏洞，數據庫管理人員可以繞開數據庫中各種校驗和限制措施，虛列數據。從2005年起，B公司為了完成收入考核目標，其市場部和技術中心聯合改動計費系統的數據，達到虛增收入的目的，年虛增幅度最高達12％�！　∮缮厦娴睦�子可以看出，信息系統審計作為一種全新的審計手段和審計理念，可以較好地從信息系統的角度發現舞弊問題和內控漏洞，使得審計內容不斷豐富完整，較好降低審計風險。審計人員只要敢于嘗試，在當前信息化條件下的審計實踐中，其成效十分顯著。

【信息系統審計的幾點體會】相關文章：

內部審計外部化的幾點思考12-09

信息系統內部控制審計初探03-21

企業信息系統審計的研究12-10

關于制約審計機關開展信息系統審計的問題成因及對策03-20

關于完善審計項目審理制度的幾點思考03-10

完善任期經濟責任審計的幾點建議03-20

國際信息系統審計發展史12-10

審計項目審理制度的幾點思考經濟論文11-17

對審計專業案例教學法應用的幾點思考03-22

關于財政專項資金審計問題的幾點探討12-01