信息系统审计技术与方法的应用瓶颈及应对之策
徐 磊 (审计署长沙办)
【发布时间:2013年07月05日】
字号:【大】 【中】 【小】
    近年来,随着被审计单位信息化水平不断提高,信息系统的应用领域不断扩大,使得人们对信息系统产生了极大的依赖,这种依赖为信息系统审计提供了十分广阔的发展空间,但是传统的手工审计方法已经难以适应现代审计的发展,审计人员对审计手段更新与升级的诉求越来越迫切。
    
    面临的瓶颈:
    数据真实性和完整性要求的挑战。信息系统审计技术与方法必须建立在数据真实、完整的基础上,得出的结果才是真实有效的。近年,中国信息化建设飞速发展,数据格式多样化、数据源多元化、数据修改成本降低、数据冗余加剧,给信息系统审计技术与方法的应用带来更大的挑战。在信息系统中,从原始数据进入计算机到结果数据的输出,中间的数据处理集中由程序指令自动完成,绝大部分的文字记录消失,取而代之的是相关的日志记录数据,存储在磁盘上的数据很容易被修改、删除、隐匿、转移,又无明显的痕迹,当然同样包括日志数据,因此,部分信息系统审计技术与方法发现疑点的可能性减少了,同时增加了审计风险。
    信息系统中看不见的内控制度。在传统手工系统中,内部控制制度与实际控制结合紧密,内控测试的全过程是看得见、摸得着的。在信息系统中,内控制度的实现比手工系统中的更加细化与完善,但是信息系统中的内部控制技术和方法却发生了很大的变化,所有控制过程转化成隐式事务,如何抓住关键控制点、利用信息系统审计技术与方法切入给信息系统审计带来更大的难度。事实证明,如果信息系统的内部控制有漏洞,会造成比手工系统更为严重的失误和损失。
    数据接口问题带来的麻烦。信息系统审计发展之所以滞后于信息化发展的重要原因在于信息系统多种多样、信息系统接口标准也不统一,由此所形成的凭证、账簿、报表等格式也是多样化的,给审计带来了很大的麻烦。在运用信息系统审计技术与方法进行审计的时候,审计人员必须按不同的格式进行标准化处理,加重了审计人员的工作负担,也产生了双重操作可能带来的错误。而且格式的转换增加了审计环节,给数据真实性和完整性带来新的风险,使的已显隐蔽的审计线索更加难以捉摸,同时电子证据的认同度大打折扣。
    信息系统审计的专业人才欠缺。信息系统审计技术与方法近年来发展迅速,理论日趋成熟,新的技术与方法不断扩充,应该说信息系统审计体系已经逐步建立及完善,但是信息系统审计技术与方法的应用一直难以推广、新技术的应用案例也屈指可数,其中主要原因是信息系统审计的专业人才欠缺,特别是缺乏能针对企业大型ERP开展信息系统审计的人才,致使信息系统审计技术与方法的应用难以取得令人满意的成绩。
    
    应对之策:
    保障数据的关口前移。数据采集是开展信息系统审计的基础,是一个复杂的系统化的过程。在采集数据之前,必须做好详尽充分的准备工作:深入调查被审单位信息系统的建设、运行情况;收集系统设计文档、数据库设计文档;从内控制度、数据流程和财务报表入手,明确提取数据范围。其中在分析财务报表方面可开发专用模型分析,不但有利于业务人员进行各指标的趋势分析,同时有利于推广报表分析经验。
    传统的内控审计方法仍然有效。针对信息系统中隐式的内部控制,不能一味追求计算机技术与方法,仍然要采用传统的内控测试方法,具体包括编制《内控测评调查问卷》、审查管理办法、审计访谈等,只有这样才能看得见、摸得着。首先应全面收集被审单位的内控管理制度、社会审计和内审报告等资料,根据审计目标结合被审单位各部门职责完成内控调查问卷;审查信息系统开发和测试中的审评结果和修改意见等,然后采取突击审计的方式,采用事先不通知操作员或程序员的情况下,把系统中正在运行的数据和日志记录拷贝出来进行审查,以验证信息系统内控制度是否合理、各环节数据流转是否脱节,是否存在监控盲点等。
    利用外部数据验证接口的逻辑关系。应全面检查系统接口、系统间数据传输的风险及薄弱环节。着重对被审计单位系统接口的传输情况进行了调查,同时应用外部关联数据法,通过分析系统与关联系统(接口)的逻辑关系,将系统间的数据进行比对,验证关键数据的一致性,并关注数据的差异点,以审查信息系统间的数据不完整、不对称问题。值得一提的是,信息系统设计应严格按照国家标准进行设计与开发,如《财经信息技术会计核算软件数据接口》(GB/T 24589-2010)。由于信息系统数据接口的不统一,不仅增加了审计的难度,更妨碍了信息系统审计的迅速发展。
    以项目开展驱动人才建设。我国信息系统审计还处在初级阶段,项目的安排对信息系统审计的发展和信息系统审计人才的建设起到至关重要的作用。2010年至2011年,审计署共开展企业审计项目22个,其中制造业占50.00%,建筑业占18.18%,采矿业、电力及煤气的生产和供应业、信息传输业各占9.09%,交通运输、仓储及邮政业占4.55%。总的来说被审计单位行业较为分散,各审计项目之间缺乏借鉴意义;同一行业连续开展信息系统审计的情况不多,信息系统审计缺乏延续性,这些都对企业信息系统发展和人才队伍建设产生了不利影响。所以在企业信息系统审计项目的选择过程中,应考虑企业的信息化发展水平、企业的财务、业务与信息化的结合程度以及企业信息化的风险等相关因素,来加以综合考虑。另一方面应综合考虑项目安排对信息系统审计的发展与信息系统审计人才的建设。(徐  磊)
【关闭】    【打印】