随着计算机及通讯技术的发展，大型企业核心业务越来越依赖于信息系统，管理手段日趋网络化、数据化和系统化。为解决信息系统人为舞弊、数据被非法篡改的风险，企业审计近年来逐步探索开展了信息系统审计，但大型企业信息系统纷繁复杂、结构庞大，在审计时间、人力有限的情况下，如何提升信息系统审计的质量，是现阶段企业审计必须考虑的问题。下面，笔者就结合多年来信息系统审计实践，谈谈如何通过明确信息系统审计的原则、重点和主要内容，进一步提升企业信息系统审计质量。
    
    一、以紧密结合审计业务开展为原则
    根据ITIL、COBIT、BS7799、PRINCE2等常用IT治理标准及实践，信息系统审计主要包括内部控制系统审计、系统开发审计、应用程序审计和数据审计。选择从何种角度入手开展信息系统审计，这要从国家审计的本质进行思考。审计因受托责任的产生而产生，又因受托责任的发展而发展。国家审计目标在于检查、评价公共受托责任的履行情况，其最终目的在于强化公共责任，国家审计本质上重视被审计对象公共受托责任——业务的履行情况。因此，现阶段信息系统审计虽然有其相应的审计目标、内容和流程，但实施信息系统审计时，需要大力推广采取“结合式”的审计方式，即围绕信息系统业务流程，以系统内部控制测评为基础，将财务收支审计、数据审计和系统审计相结合，由此及彼、互为支撑，完成对重要审计事项的核查。现阶段成果突出的典型信息系统审计案例，采取的都是“结合式”信息系统审计方式，这也印证了当前环境下这种审计方式的生命力。
    
    二、以业务流程内部控制有效性为重点
    根据COBIT的观点，信息系统审计的根本目标在于推断企业不断进行风险识别和风险分析，完善信息系统内部控制。内部控制有四大目标：资产安全、信息准确可靠、业务运行效果效率、法规及管理方针的贯彻。既然国家审计重视被审计对象公共受托责任履行情况，就要关注信息准确可靠、法规及管理方针的贯彻，至于资产安全、业务运行效果效率更强调作为企业管理层的责任。

    因此，现阶段信息系统目标应放在信息系统是否实现企业相关信息、数据准确、完整地传递，体现国家、企业相关政策法规的要求，这也意味着我们应把信息系统审计的切入点放在信息系统业务流程内部控制效性，只有业务流程内部控制是充分、有效的，才能实现上述审计目标。
    
    三、以内部控制环境、控制活动审计为主要内容
    内部控制主要包括五大要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。信息与沟通、内部监督主要通过企业内部各部门协作、沟通实现，审计的重点是对信息系统内部控制环境、控制活动的有效性进行审查，并进行风险评估。
    （一）审计内部控制环境。根据《企业内部控制规范》的定义，内部控制环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等；COSO则指出，内部控制环境包含了一个组织的基调，影响人们对风险的意识，并且为其他所有风险管理提供约束和结构。内部控制环境是信息系统的业务流程内部控制的重要组成部分，很大程度上决定了企业信息系统业务流程内部控制的质量与水平，审计要进行深入调查了解，为下一步对业务流程内部控制活动有效性审计奠定基础。
    （二）审计内部控制活动的有效性。控制活动是指企业信息系统中体现的将风险控制在可承受度之内的控制措施；控制活动是内部控制的核心环节。基于业务流程内部控制开展信息系统审计的核心，就是要关注内部控制活动是否缺失、有效性较弱或不相关，导致信息系统系统难以充分实现信息、数据准确完整传递，体现国家、企业相关政策法规要求的目标。
    （三）审计核心控制点。任何系统都有核心控制点，基于业务流程内部控制角度开展信息系统审计，就是要在内部控制环境评估基础上，重点关注业务流程在信息系统体现的核心控制点，从而在审计资源、时间有限的情况，最大限度把握系统、把握系统业务流程内部控制风险。
    （四）评估内部控制风险。所谓评估内部控制风险，就是审计在对内部控制环境、控制活动深入调查分析之后，采用定性与数据分析等定量相结合的方法，按照风险状况及其影响程度等，对审计发现的信息系统存在的业务流程内部控制风险进行评估，尤其是核心控制点内部控制活动、环境缺失、有效性偏弱或不相关带来的风险进行评估。
    （五）提出审计建议。根据前述内部控制风险的定性与定量评估结果，审计建议企业对信息系统的业务流程内部控制进行改造和梳理，推动企业结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略，不断完善信息系统业务流程内部控制。（夏军峰）

【关闭】    【打印】