《中國審計》2007年第06期 張京奕 2007年7月2日
--------------------------------------------------------------------------------
信息系統審計是一個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面作出判斷的過程。
信息系統審計的方法
信息系統審計過程與一般審計過程一樣,分為準備階段、實施階段和報告階段。其中,準備階段和報告階段所涉及的技術方法與財務審計所運用的技術方法區別不大,而實施階段所涉及的技術方法則具有信息技術的特色。在實施階段,針對被審計的信息系統,審計人員所開展的工作可以分為三個層次,即了解、描述和測試。
計算機信息系統環境下審計技術方法與手工環境下傳統的審計技術方法相比,相應增加了計算機技術的內容。對信息系統審計的方法既包括一般方法即手工方法,也包括應用計算機審計的方法。信息系統審計的一般方法主要用于對信息系統的了解和描述,包括:面談法、系統文檔審閱法、觀察法、計算機系統文字描述法、表格描述法、圖形描述法等。應用計算機的方法一般用于對信息系統的控制測試,包括:測試數據法、平行模擬法、在線連續審計技術(通過嵌入審計模塊實現)、綜合測試法、受控處理法和受控再處理法等。應用計算機技術的審計方法主要是指計算機輔助審計技術與工具的運用。但不能把計算機輔助審計技術與工具的使用過程與信息系統審計等同起來。在信息系統審計的過程中,仍然需要運用大量的手工審計技術。
信息系統審計應關注的重點環節
1.數據環節
在審計中,必須使用一種方法能夠向前、向后追蹤單個交易和資產記錄,以便使審計人員選擇一些交易對其進行詳細檢查,確認交易記錄是否符合一般的審計目標。如對會計事項信息的檢查,要檢查它的完整性、時效性、合規性和信息披露等方面,檢查內容包括與本會計年度有關的交易是否全部記錄在冊;所有記錄的交易是否都是合理發生的并與本會計年度有關;記錄的交易是否數據準確,計算無誤;記錄的交易是否符合基本的和輔助的法律規定,符合特定權威機構的要求;對記錄的交易是否進行正確的分類,并符合信息對外披露的要求等。對財務報表信息的檢查,要檢查完整性、存在性、會計計量、所有權以及信息披露等方面,檢查內容包括是否記錄了所有的資產和負債;所有記錄的資產和負債是否都是存在的;對資產和負債的計量是否精確,計算方法是否符合按合理性、一致的標準制定的會計政策的要求;確認資產是被審主體所有的、負債是被審主體應該承擔的,并且資產和負債是否由合法的經濟活動產生的;資產、負債、資本和存貨是否都得到正確的披露。同時對信息系統提供的業務信息也要進行分析,例如每月的工資總數、某階段的付款清單和訂貨信息等,要弄清基本的交易情況,并一直追蹤到信息源。對上述信息的分析可以采用計算機輔助審計技術,按照特定的標準對數據進行匯總、分類、排序、比較和選擇,并進行各種運算。
2.內部控制環節
內部控制一般而言是指組織經營管理者為了維護財產物資的安全、完整,保證會計信息的真實、可靠,保證經營管理活動的經濟性、效率性和效果性以及各項法律和規范的遵守,而對經營管理活動進行調整、檢查和制約所形成的內部管理機制,是組織為實現管理目標而形成的自律系統。計算機系統的內部控制主要分為應用控制、一般控制和管理控制等三個方面,在審計過程中要對被審計單位內控制度進行評價,包括電算化系統的內控制度。為了對系統的內控制度進行評價,審計人員必須驗證內部控制系統是否存在,并能提供令人滿意的證據證明它正在有效地發揮作用。在計算機系統中,應檢查以下方面來證明內控制度的有效性:(1)控制系統資源的存取。包括物理資源,例如終端、服務器、連接盒、相關文檔等;還包括邏輯資源,如軟件、系統文件和表、數據等。(2)控制系統資源的使用。用戶應該只能對授權給他們的那些資源進行操作。(3)建立按用戶職能分配資源的制度。把重要的任務/功能按用戶或用戶組進行分離,以減少無意的誤操作、濫用系統資源和對數據的非授權修改。(4)記錄系統的使用情況。按時間順序建立一個使用記錄,記錄內容應包括例外事例和與安全有關的事件是由誰觸發的,財務信息的創建、修改和刪除是由誰完成的。(5)確認處理過程的準確性。用產生財務控制信息,確認處理過程的準確完成。(6)管理人員對財務信息系統的修改。應該保證財務信息系統的所有修改都是經過授權、有文檔記錄、經過徹底(獨立地)測試的,確認最后以一種有控制的方式投入使用。(7)保護財務信息系統免遭計算機病毒的襲擊。必須建立一套控制措施,檢測病毒,防止病毒感染財務信息系統。
3.數據傳輸轉移環節
在信息系統中,有些數據需要在兩個財務信息系統或財務信息系統與業務信息系統之間相互轉移,在此過程中可能會出現一些問題,尤其是在需要手工重新錄入時。因此在審計時要重點關注以下方面:在轉移過程中數據可能會發生變化;新的科目代碼表與老的可能不一樣,需要在兩個財務信息系統之間建立復雜的對應關系;中心數據庫可能被一些地理上分散的服務器取代;當前財務信息系統中的數據質量不佳;當用一個總的信息系統取代一個預定財務信息系統時,需要補充許多新的數據。在檢查這一環節時,一定要保證輸出的消息是經過批準、完整和精確的,保證輸出的消息在約定時間內準確地發送給指定的接收者,保證流入的消息是完整、準確和真實可靠的。
信息系統審計案例分析
2006年,在對某酒店開展的審計中,對酒店信息系統的安全性、可靠性進行了測試。測試結果發現信息系統在數據傳輸和運算上存在錯誤,通過數據驗證,證明錯誤產生的原因是由信息系統本身缺陷造成的。上述審計結果得到了被審計單位的認可,促使被審計單位更換了信息系統,提高了計算機管理水平。
這次審計之所以能取得一定的效果,主要是注意從數據和內控制度入手,利用計算機輔助審計技術和手工審計技術相結合開展信息系統審計。(1)在數據環節上,信息系統審計和數據審計對系統數據的利用角度是不一樣的。數據審計側重于數據之間的關聯,是審計數據的結果;而信息系統審計側重于數據的真實完整性,是通過測試數據的真實完整性來審計信息系統的安全性和可靠性。在審計中,通過詳細了解信息系統的數據庫結構,對比數據庫中表文件的記錄數量大小和字段完整程度,確定需要查詢的數據庫表文件,把主表的數據完整性作為重點的測試目標。(2)在內部控制和數據傳輸環節,通過繪制組織機構圖、系統流程圖和現場走訪等方式,全面了解酒店的業務流程和工作特點。通過摸清酒店的業務流程,跟蹤基礎數據流在業務流程中的走向,鎖定數據的大量運算點,是確定審計方向的關鍵。信息系統中所有業務活動的發生都集中體現在基礎數據流上,基礎數據流是一個信息系統的重要構成要素,數據的大量運算點是測試系統運行安全性和可靠性的關鍵點。在此基礎上,確定了夜審日報匯總、會議團體客房轉賬和業務系統與財務核算系統手工傳輸數據三個系統模塊,作為對信息系統進行安全性、可靠性測試的重點。這三個模塊是信息系統內數據大量運算和系統間傳輸數據的關鍵點,由于基礎數據在運算、自動傳輸和手工傳輸過程中存在發生錯誤和被調整修改的可能性,因此利用計算機輔助審計技術進行驗證。
在驗證過程中,通過分步驟編寫查詢語句和程序,調出數據生成中間表進行比對,發現疑點,根據疑點特征繼續比對,直到發現錯誤點。在SQL語句不能保證完成大批量查詢和比對任務的情況下,采用計算能力更強、運算速度更快的JAVA來編寫查詢程序,起到了事半功倍的效果。
(作者單位:審計署建設建材審計局)
