基于业务流程内部控制的信息系统审计一般性框架研究
夏军峰(审计署昆明办)
【发布时间:2013年07月08日】
字号:【大】 【中】 【小】
    摘要:本文对基于业务流程内部控制开展信息系统审计的必然性分析的基础上,提出了五个方面的审计内容和重点,并拟定了确定信息系统审计对象等六个方面的一般性审计步骤。
    关键词:业务流程  内部控制  信息系统  审计   框架
    
    一、基于业务流程内部控制开展信息系统审计的提出
    
    刘家义审计长2011年7月8日在中国审计学会第三次理事论坛上阐述国家审计与国家治理关系时指出,现阶段转变经济发展方式、促进经济又好又快发展这一国家治理的着力点,要求审计机关关注中央宏观调控政策的落实情况和实施效果,关注经济发展的质量和效益,关注经济结构的战略性调整情况和效果,关注国家经济安全问题,为党和政府科学决策提供及时、可靠的信息。
    这就要求我们必须全面关注企业生产经营状况,必须对信息化环境下的业务流程的内部控制情况开展审计,因为只有信息系统业务流程内部控制是有效的,其存储的生产经营业务数据才可能是真实、完整的,数据审计、分析才有意义,从而才能对包括生产结构、核心竞争力、自主创新能力、落实国家产业政策等内容在内的生产经营状况发表科学、客观的评价意见,提出有价值、具备可操作性的改进建议,推动企业审计更好地发挥推动国家治理的作用。
    但由于信息系统功能发挥通过后台进程实现,隐蔽性强,导致传统的内部控制测试手段诸如观察、复核和穿行测试等手段在信息化条件下作用大打折扣。如何通过业务流程的内部控制情况开展审计,确保信息系实现企业相关信息、数据准确、完整地传递和体现国家、企业相关政策法规的要求,是现阶段审计必须考虑的问题。
    
    二、基于业务流程内部控制开展信息系统审计的必然性
    
    (一)企业信息系统发展特点决定。从国内外企业信息化的发展趋势看,信息系统以业务为中心的特征日趋明显,就是信息系统以业务流程为主要的管理对象,实现业务流程可视、可调整、可管理,以便区分重要的和不重要的业务,把资源投入到更能产生价值的业务中。其它的对象如组织结构、用户、角色、权限等,围绕怎样更好地实现业务流程而设置,是辅助对象。从我国现阶段信息系统发展趋势看,大型企业的采购、生产、销售等主要业务流程已经实现信息化管理,但现阶段企业业务流程建设“重信息化、轻内部控制”的情况较为突出,业务流程信息化在有力提升企业经营管理效率的同时,也使得舞弊损失成十倍甚至百倍的放大。
    (二)企业内部控制发展要求决定。财政部2009年7月正式实行《企业内部控制基本规范》提出,企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。这意味着加强推动信息系统业务流程内部控制制度建设仍是企业现阶段重要课题,具体说,就是要审查信息系统业务流程内部控制的有效性,是否能保证企业相关信息、数据准确、完整地传递;是否能够体现国家、企业相关政策法规的要求。
    (三)企业信息系统现实状况及审计资源决定。大型企业普遍采用商业开发或购买国外成熟软件的方式完成业务流程相关信息系统集成、部署,审计人员很难在短时间内采取审查原代码等方式直接开展信息系统审计,如目前大型企业普遍采用德国SAP公司开发的SAP ERP系统,作为生产经营管理平台,从审计实践情况看,该ERP系统结构异常复杂,使用单位也不掌握其核心内容,审计难以直接对其开展审计。但任何系统,都需要通过业务流程内部控制,确保数据传递的准确完整性以及体现国家、企业政策法规的要求,而业务流程内部控制要求由被审计单位提出,相对具体、明确,这就为从业务流程内部控制角度入手开展信息系统审计提供了现实可能。
    
    三、基于业务流程内部控制的信息系统审计主要内容及重点
    
    根据《企业内部控制基本规范》定义,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。内部控制主要包括五大要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。
    信息与沟通、内部监督主要通过企业内部各部门协作、沟通实现,审计的重点是对信息系统内部控制环境、控制活动的有效性进行审查,并对信息系统业务流程内部控制环境、活动缺失或有效性较弱而带来的风险进行评估。
    (一)审计内部控制环境。根据《企业内部控制规范》的定义,内部控制环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。COSO则指出,内部控制环境包含了一个组织的基调,影响人们对风险的意识,并且为其他所有风险管理提供约束和结构。内部控制环境是信息系统的业务流程内部控制的重要组成部分,很大程度上决定了信息系统业务流程内部控制的质量与水平,审计要进行深入调查了解,为下一步对业务流程内部控制活动有效性审计奠定基础。
    (二)审计内部控制活动的有效性。控制活动是指企业信息系统中体现的将风险控制在可承受度之内的控制措施;控制活动是内部控制的核心环节。基于业务流程内部控制信息系统审计的核心,就是要关注内部控制活动是否缺失或有效性较弱,导致信息系统系统难以充分实现信息、数据准确完整传递,体现国家、企业相关政策法规要求的目标。内部控制活动有效性分析,可以从内部控制活动有效性缺失、偏弱和不相关的层面进行。
    (三)审计核心控制点。任何系统都有核心控制点,基于业务流程内部控制角度开展信息系统审计,就是要通过内部控制环境评估,关注业务流程在信息系统体现的核心点,从而在审计资源、时间有限的情况,最大限度把握系统、把握系统业务流程内部控制风险。
    (四)评估业务流程内部控制风险。所谓评估内部控制风险,就是针对内部控制环境、控制活动进行深入调查分析之后,审计采用定性与数据分析等定量相结合的方法,按照风险状况及其影响程度等,对审计发现的信息系统业务流程内部控制风险进行评估,尤其是核心控制点内部控制活动、环境缺失、有效性偏弱或不相关带来的风险进行评估。
    (五)提出审计建议。根据前述内部控制风险的定性与定量评估结果,审计建议企业对信息系统业务流程内部控制进行改造和梳理,推动企业结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
    
    四、基于业务流程内部控制信息系统审计的一般性步骤
    
    (一)确定信息系统审计对象。审计对象的确定是审计的首要因素。选择合适信息系统开展审计,是信息系统审计能否取得成效、针对企业业务发展提出具有价值的审计建议、进一步提升审计的层次与质量的关键。从审计实践看,具体应从涉及业务的重要性、信息系统建设的成熟度、数据的完整性、审计成果的及时性等方面进行综合考虑。
    1.所涉及审计业务在组织中的地位。审计要突出重点,信息系统审计也不例外。大型企业组织的信息系统众多,信息系统审计要选择所涉及业务在企业组织占据主要地位的信息系统开展审计。如在中石油集团领导人经济责任审计中,我们选择涉及油气当量35%的天然气与管道ERP系统开展审计。只有这样,才能把握企业的主要经营状况、存在的主要突出问题,审计也才能更好地发挥出免疫系统功能。
    2.信息系统建设的成熟度。按照COBIT的观点,审计需要对风险及控制情况进行评估,信息系统审计也存在此项问题。一个信息系统成熟度不高,处于初步应用、不断改进阶段,审计就难以对其的风险及控制情况发表准确、适当和有价值的意见。因此,信息系统建设的成熟度也是信息审计对象确定时必须考虑的重要因素。
    3.系统数据情况。数据是业务流程处理结果的准确记录,要反映业务流程内部控制情况,就必须对系统数据进行分析把握,而数据分析必须考虑数据的完整性及数据质量,只有数据完整、数据质量好,数据分析结果才是完整而有价值的。
    4.所涉及业务的社会影响度。国家审计要充分发挥国家治理功能,就必须加大对社会、民生等具有社会影响力问题的介入。因此,审计所选择的信息系统所涉及的业务是否社会、民生所关注的,也是我们确定审计对象的重要考虑因素。
    根据上述分析,我们形成审计对象选定表:
    审计对象选定表

评价内容

评价等级

权重

得分

所涉及审计业务在组织中的地位

信息系统建设的成熟度

系统数据情况

所涉及业务的社会影响度

    表1
    备注:评价等级我们给予A、B、C、D、E,相应给予95分、80分、70分、60分、50分;所涉及审计业务在组织中的地位、信息系统建设的成熟度、系统数据情况、所涉及业务的社会影响度,根据审计实践情况,我们分别给予0.4、0.2、0.2、0.2的权重。
    (二)审计业务流程内部控制环境。根据国家审计准则的定义,信息系统内部控制可以分为一般控制和应用控制。相应,信息系统业务流程内部控制环境也存在一般控制环境与应用控制环境。
    1.审计一般控制环境。
    信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。一般控制是信息系统业务流程内部控制的重要环节。要根据上述要求,对一般控制环境保证信息系统业务流程一般控制贯彻落实情况进行审计:   
    
    (1)审计控制环境总体情况。
    控制环境总体情况审计表

审计事项

审计方式

工作底稿

1.了解企业的IT 战略和规划的制定、实施情况

访谈信息科技部门负责人及相关技术人员

2.评价岗位分工和职责划分是否合理,是否有明确规定的流程,是否在实际作业活动中认真执行

通过检查IT部门组织机构和管理流程,可以通过调阅岗位分析与描述文件,检查角色的授权、职责情况进行

3.相关职位需要的技能和经验满足程度

可以抽查部分人员,检查其岗位和职责、本人经验和技能与岗位的要求是否一致

4.环境安全情况

实地检查机房环境,关注是否通过相关部门的验收,选址是否足够安全,是否制定了火灾应急计划等,相关安全管理制度是否得到落实等

    表2
    (2)审计一般控制环境。
    一般控制环境总体情况审计表

审计事项

审计方式

工作底稿

1.系统的用户满意度、对核心业务流程的覆盖程度、设备利用合理性、性能价格比

了解选择开展审计的信息系统在企业总体信息化建设和ERP系统建设中的地位,建设背景,推广、上线使用情况

2.关注软件系统安全性

关注操作系统安全性、数据库安全性、应急计划的制和落实情况、灾难备份恢复有效性。可以通过发放系统环境安全性控制调查表、检查故障处理手册等予以完成。

    表3
    2.审计应用控制环境。
    信息技术应用控制,是指在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。应用控制是信息系统业务流程内部控制的核心环节。要根据上述要求,对控制环境保证信息系统业务流程应用控制贯彻落实情况进行审计。具体有可分为业务流程设计、处理控制审计:
    业务流程设计控制审计表

评价事项

评价方式

工作底稿

1.评价业务流程设计与实际业务需求的吻合性,评价业务流程设计规划的完备性

调阅系统各业务流程设计文档

2.评价职责分离的合理性

理解应用系统关键流程,确定应分离职责,建立不相容职责分离矩阵

3.评价用户权限授权审批管理制度

访谈安全主管和业务部门主管

4.评价用户权限审批制度是否严格执行、权限申请是否得到业务部门和IT部门主管审批,用户权限是否基于用户工作岗位和职责

调阅用户权限申请表;运行权限系统报表,或执行SQL语句从权限表中直接取出权限数据;现场观察应用程序操作,核查是否严格按相关规定执行业务流程

    表4
    业务流程处理审计控制评价表

评价事项

评价方式

工作底稿

1.评价系统是否为业务流程风险提供合理人工或自动化控制措施

调阅系统各业务流程设计文档

2.评价相关控制点执行的有效性

现场观察业务流程关键环节的操作

3.评价接口规划是否符合法律法规要求、接口规划是否涵盖数据采集、转换、传输、系统容错处理和访问权限等方面内容。

调阅系统业务接口规划

4.评价接口数据处理完整性

综合采用接口规划文档审阅,接口程序测试以及接口数据分析

5.评价接口容错机制有效性

查阅系统接口处理日志

6.评价接口用户的系统访问权限是否经过严格授权和审批,其所拥有的权限是否与其工作职责相匹配

调阅接口权限分配文件,获得权限实际配置数据

    表5
    要通过上述了解、评价,对企业的信息系统总体以及选择开展审计的信息系统的业务流程内部控制环境进行深入分析、审计、评价,为下一步工作奠定基础。
    (三)审计内部控制核心点。审计信息系统业务流程内部控制核心点,就业务而言,就是审计业务的核心环节,如销售业务系统,其核心就是价格、销售数量的确定;就信息系统本身而言,目前大型企业基本都是采取购买商业,单个系统本身一般不会存在严重的业务流程控制缺陷,关键是不同系统间接口的内部控制情况,系统间接口属于系统之间“过渡地带”,内部控制往往较为薄弱,尤其生产系统与财务系统之间接口而开展的舞弊活动较为频繁,需要审计加以重点关注。
    (四)审计控制活动有效性。控制活动的有效性是内部控制的核心环节。要关注业务流程内部控制活动是否缺失或有效性较弱、不相关,导致信息系统难以充分实现信息、数据准确完整传递,体现国家、企业相关政策法规要求的目标。
    一是关注内部控制缺失问题。内部控制缺失,指的是某一事项的内部控制在信息系统设计、开发时在业务流程中没有体现,如实行国家统一定价的销售业务,价格应实行总部层面统一控制,各使用单位若能对价格进行修订,则属于内部控制缺失。如在A集团公司B业务系统审计中发现,B业务实行国家统一定价,但业务设计蓝图却明确销售价格主数据由各使用单位自行制订,没有实行总部层面的同一约束控制,导致个别销售单位违反国家价格政策,随意自行调整B业务销售价格的问题。
    二是关注内部控制活动有效性弱问题。内部控制活动有效性弱,指的是某一事项内部控制虽在信息系统设计、开发过程中体现,但控制性不强、存在漏洞,在业务流程中,使用单位、个人可以人为地对信息、数据传输进行干预。如在A集团B业务系统审计发现,系统虽然设计、开发都要求,其数据来源于生产系统自动传输,但实际上生产系统向B系统传输数据时,使用单位出于税收计缴、应收账款金额控制等考虑,可以通过选择等方式人为干预数据传输,导致数据信息传递不完整、不准确。
    三是关注内部控制活动不相关问题。内部控制活动不相关,指的是某一业务事项内部控制虽在信息系统设计、开发过程中体现但不相关,无法在业务流程中对业务事项起到控制作用。如在B集团C业务系统审计发现,该系统在数据中心主服务器、使用单位的应用服务器都存放报销比例数据,但各使用单位未使用主服务器报销比例数据而是使用应用服务器报销比例数据,对应用服务器上传至主服务器的结算数据进行审核。由于应用服务器未实现与主服务器自动同步更新,存在自定、更新不及时、使用历史遗留数据的问题,导致费用结算不准确。费用结算审核这一内部控制虽存在但不相关,没有实际意义。
    (五)评估信息系统业务流程内部控制风险。通过内部控制环境的调查、分析和评估,并通过审查业务设计蓝图等手段对内部控制活动有效性开展审计后,可以初步对信息系统业务流程内部控制存在的内部控制活动、环境缺失或有效性偏弱、不相关等问题进行定性,但若要对因此带来的风险进行量化评估,则必须通过建立数据分析模型的方式进行。2011年我们在A集团B业务系统审计中,通过建立10个以上的数据分析分型,对该系统部分事项内部控制缺失或有效性偏弱所带来的风险,进行了准确的评估,得到了被审计单位的高度重视。
    (六)提出审计整改建议。审计的目的是为了推动整改。要针对上述发现业务流程内部控制活动、环境缺失或有效性偏弱、不相关等问题,审计从业务流程内部控制要求出发,要针对性地提出审计建议,推动企业持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略,进一步完善业务流程的内部控制。(夏军峰)
    
    参考文献:
    1.《信息系统审计实务》,石爱中主编,中国时代经济出版社2012年11月版;
    2.《基于内部控制开展ERP系统审计的思考》,夏军峰,《中国内部审计》2012年第11期;
    3. 刘家义:《国家审计与国家治理》,2011年7月8日在中国审计学会第三次理事论坛上的讲话。
【关闭】    【打印】