关于企业信息系统审计方法的几点思考
魏沛锋(审计署驻昆明特派办)
【发布时间:2011年03月14日】
字号:【大】 【中】 【小】
    
    
    信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。信息系统审计不仅要对系统信息的合法性、公允性进行审计,还要对信息系统的硬件和软件,以及整个信息系统的安全性、稳定性、内部控制的健全性与有效性等方面进行审计,指出被审计单位信息系统内部管理和控制上的薄弱环节,提高其信息系统的可靠性和真实性,有效地防止利用信息技术随意篡改系统信息或破坏磁介质上的数据等舞弊行为的发生。因此,信息系统审计目标不仅仅在于应用计算机进行审计(即传统EDI审计或计算机辅助审计),更重要的是要对信息系统本身的安全性、稳定性及其实现组织目标的有效性进行实时的检查、评价和改造。信息系统审计主要包括信息系统开发过程审计、一般控制审计和应用控制审计三个方面。
    一、企业信息系统审计在国家审计中的定位
    企业信息系统审计在国家审计中的作用十分突出。从企业信息化的发展历史可以看出,由于审计人员所面临的审计对象的不断变化,促使审计方式也随之改变,信息系统审计便应运而生。由于我国的信息系统审计工作尚未完全开展,一些计算机审计的探索与尝试仍然局限在电子数据的采集与处理领域,对信息系统的安全与控制的问题还没有充分的认识。从逻辑上讲,对系统的依赖是现代审计的基本策略,如果被审计对象全面采用计算机化的信息系统,而审计人员又没有对信息系统进行了解和审计,那么这种审计得出结论的可靠性就要受到质疑。政府审计在这方面所面临的问题日益严峻,“不搞计算机审计,我们就会失去审计的资格”已经逐渐成为审计界的共识,作为国家审计机关,在规划审计工作时应充分重视信息系统审计的内容。对被审计单位的信息系统进行审计已迫在眉睫。
    二、企业信息系统审计的主要内容
    企业信息系统审计是一个获取并评价证据,以研判信息系统是否能够保证资产的安全、有效以及提供真实、完整的系统信息的动态循环流程。在审计的计划阶段,要对被审单位的计算机系统进行了解,初步确定在后续的审计步骤中是否打算审验被审单位的计算机系统,并制定实施阶段的审计计划;在实施阶段,按照制定的测试计划,对计算机系统的控制进行测试。具体说来,企业信息系统审计主要有三部分。一是规划。是指对企业审计活动或具体审计项目进行合理组织和安排时所采用的各种措施和手段。其目的在于确定信息系统审计目标,合理分配各种审计资源,以保证信息系统审计工作经济而有效地进行。二是实施。是指对企业信息系统进行具体审计时所采用的各种程式、措施和手段。其目的在于证实审计目标,搜集充分有效的证据,以保证信息系统审计结论和决定有可靠的依据。三是管理。是指对审计主体活动及审计过程进行控制和调节的各种措施和手段,其目的在于提高审计质量和审计效率,保证各种审计资源得到有效的使用。由于信息系统审计范围可变性大,其管理内容、手段多种多样,最主要的有审计主体、审计质量和审计信息等方面的管理。
    三、企业信息系统审计方法综述
    根据信息系统审计的一般过程,可将企业信息系统审计方法分为三大类:规划方法、实施方法和管理方法。
    (一)企业信息系统审计规划方法。
    其主要内容包括计划制定方法、程序确定方法、方案设计方法等。计划制定方法主要是涉及如何设计系统审计总体目标以及对审计活动长、短期安排。程序确定方法主要是指对一般系统审计步骤的设计问题,包括对系统审计准备、实施与结束工作的具体安排。方案设计方法主要是涉及对具体信息系统审计项目进行审计的要点、审计顺序、审计时间、人员分工等部署问题。
    (二)企业信息系统审计实施方法。
    信息系统审计实施方法是审计最基本的方法,既包括了一定的程式,又包括了各种技术手段,主要内容包括信息系统审核稽查方法、信息系统审计记录方法、信息系统审计评价方法和信息系统审计报告方法。
    1.信息系统审核稽查方法
    是指搜集审计证据时所采取的各种方式和技术。其主要目的在于查明事实真相,证实被审计问题。它又可以分为系统检查法和审计技术两大类。
    系统检查法:是根据系统的观点,以确定对被审计资料或被审计活动进行审查的顺序和审查的范围。包括顺查、逆查、直查等顺序检查法和详查、抽查、重记等范围检查法。如果把系统检查法理解为确定搜集审计证据的顺序和范围,那么审计技术方法则是为了搜集审计证据而采取的具体措施和手段。
    审计技术:可以根据审计工具和其适用的信息系统分为手工审计技术和电脑审计技术。手工审计技术,也称一般审计技术,系指采用手工审计或适用于手工操作信息系统的各种技术;根据其适用范围的大小,又可以分为基本审计技术和辅助审计技术。基本审计技术系指用来搜集直接审计证据的技术,如审阅、核对、盘存等技术;辅助审计技术是用来搜集审计线索或间接证据的技术,如询问、分析、推理等技术。电脑审计技术,主要是指采用电脑审计或适用于电算化信息系统的各种审账术,如模拟数据、重新处理和程序检查等技术。
    2.信息系统审计记录方法
    是指对审计记录文件的设计、填制与审阅的各种方法。审计记录,有益于全面而系统地反映审计的过程和结果,为形成审计的结论和决定提供充分依据,为编写审计报告提供完整的资料,同时也有利于确定审计人员审计行为的恰当性和应负的责任范围。
    3.信息系统审计评价方法
    是指根据查明的事实,对照审计标准以判定是非的方法。通过审计评价,可以确定被审计资料是否真实、正确和可信,以及确定被审计经济业务和经济活动是否合法、合理和有效。信息系统审计评价方法根据其适用范围的大小可分为一般评价方法和特定评价方法:一般评价方法是指适用于对各种被审计项目进行评价的程式和技术;特定评价方法是指只适用于对某些具体对象的评价要点与要求。
    4.信息系统审计报告方法
    是指对审计报告进行设计、编写与审定的方法。信息系统审计报告方法,有益于对每次审计活动的过程和结果进行综合而有重点的反映,以便于审计委托单位或审计机关对被审计单位或被审计项目做出正确的结论和处理决定,还便于被审计单位及有关部门了解审计结果以及明确各自的责任范围。
    (三)企业信息系统审计管理方法。
    1. 信息系统审计主体管理方法
    主要是指对审计机构和审计人员的管理方法,如机构设置、人员编制、岗位责任、人员培训考核等管理方法。
    2. 信息系统审计质量管理方法
    主要是指质量标准制定、质量控制与考核等管理方法,如质量目标管理、审计过程监控等,其目的在于制约影响质量的各种消极因素,以力求提高审计质量、避免或减少审计风险。 
    3. 信息系统审计信息管理方法
    是指对审计信息收集、处理、存贮与应用的各种措施和手段,如信息管理的一般方法、审计统计方法、审计档案管理方法等,其目的在于保证审计信息资源得到有效的开发和使用,以利于沟通审计情况,更好地发挥审计在宏观管理方面的作用。
    四、加大企业信息系统审计力度,发挥好审计“免疫系统”功能
    如何在企业信息系统审计过程中有效地发现一般性和特殊性问题,从被审计单位纷繁复杂的信息系统中分析出有价值的审计线索是我们面前迫切需要解决的问题。通过研究信息系统审计的一般流程,突出信息系统审计的可行性方法,归纳成具有系统性和科学性的方法,可以对信息系统审计工作起到促进作用,达到完善审计技术的目的。随着计算机及网络技术的迅速发展,审计机关要想完成“全面审计,突出重点”的审计目标,负起社会经济运行的“免疫系统”作用,就必须加大企业信息系统审计力度,加快信息系统审计的步伐。(魏沛锋)
    
【关闭】    【打印】