信息系统审计之我见
徐炜(江苏省南通市审计局)
【发布时间:2010年03月11日】
字号:【大】 【中】 【小】
    随着信息技术的广泛应用,以计算机和网络应用为核心的信息系统日益普及,对这些系统功能设置的合理性、运行的有效性、数据处理的正确性、数据维护的完整性和安全性等的检查则成为信息系统审计的主要内容,在此基础上对系统运行和维护情况作出审计评价。它既包括传统的财政财务收支审计以及对业务数据的审核,又更高于传统的审计,在审计相关数据的同时,更多的关注产生这些数据的系统(软件)的完备性、有效性及安全性。
    国务院办公厅于2001年下发的《关于利用计算机信息系统开展审计工作有关问题的通知》明确规定“审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统(以下简称计算机信息系统)。被审计单位应当按照审计机关的要求,提供与财政收支、财务收支有关的电子数据和必要的计算机技术文档等资料……”,“审计机关发现被审计单位的计算机信息系统不符合法律、法规和政府有关主管部门的规定、标准的,可以责令限期改正或者更换。在规定期限内不予改正或者更换的,应当通报批评并建议有关主管部门予以处理。审计机关在审计过程中发现开发、故意使用有舞弊功能的计算机信息系统的,要依法追究有关单位和人员的责任”,“审计机关对被审计单位电子数据真实性产生疑问时,可以对计算机信息系统进行测试……”这些规定为国家审计机关开展信息系统审计提供了依据。
    提到信息系统审计,很容易让人与审计软件联系起来。应该说,信息系统审计在很大程度上审的就是软件,但又绝非软件本身,也绝非为了审软件而审软件。就某一个完整、有效的信息系统而言,包括基础设施、软硬件的管理、信息安全、网络管理和通信等,应该是涵盖应用过程中所涉及到的方方面面。我们对它进行审计,审什么?是对其所涉及到内容的逐一审计还是有所取舍、有所侧重?笔者认为,审计从来都不是包打天下,就如经济责任审计一样,一个地方大员任期内要审的东西很多,但审计机关的职责就是紧紧围绕经济责任这一主题而非其他。信息系统审计的主题就是通过实施审计程序对该系统生成数据的真实性、完整性做出合理保证,进而确保对该数据的审计是有意义的,而非假账真审、假数真查。
    从基层审计机关的角度来看,就现阶段而言,信息系统审计的目的在于确信所审计的相关数据是真实的、完整的,是未经过特殊处理或“粉饰”过的。基于这一目的,信息系统审计的内容至少应当包括:
    1、人员权限设置的合理性及内部控制运行的有效性。任何一个软件,要达到其功能,必须通过人的操作。一个信息系统,人员的管理及其权限的分配与设置对该系统能否有效运行至关重要。与传统领域一样,这里同样存在内部控制与不相容岗位分离的问题。大家最常见的通过用户名和口令进入系统就属于人员管理的范畴,在此基础上可分配和设置各自的职责和权限,例如我们所使用的AO系统中就是通过设置人员角色(组长、主审、复核等)来分配不同的权限。而我们在银行柜台办理业务时常看到的前台人员需要业务经理(主管)刷卡授权后才能完成操作则是系统内部控制的一种。而前台操作人员不得接触后台数据与出纳会计不得记往来帐一样,都属于必须分离的不相容岗位。这些管理与内控措施是否健全、运行是否有效,是审计人员必须首先关注的问题。当然这里还有个权限设置是否合理、运行是否经济的问题。
    2、软件功功能的完备性。一个系统得以生存的根本所在是能够有效的满足客户需求,因此对它的基本要求是能用和够用,能够满足客户日常业务需求,并带有一定的扩展功能。涉及到主程序的科学、合理、有效、计算公式的正确、准确等,这是整个系统的核心所在。也是对审计人员要求最高的部分。
    3、数据维护的安全、完整。能否安全、完整的记录操作中生成的数据,关系到一个系统的成败。笔者认为,一个好的数据维护方案至少应当做到以下几点:一是进出有记录,即任何一个人员(以系统设置的用户名的方式)任何时候进入系统以及退出系统,都应当有详实的记录;二是操作有痕迹,即任何一个用户在系统中做过的增、删、改、查操作都应当有案可查;三是数据有备份,及时的备份及科学的备份方式对系统的安全运行至关重要。说到底,审计时就是要看有没有健全、有效的维护日志,同时还要重点关注是否存在“超级用户”通过“后门”直接修改数据的情况。
    4、其他需要关注的问题,如操作人员是否具备胜任能力等。
    如何开展信息系统的审计?传统的“报表-账簿-凭证-票据”的模式已远远不能适应。笔者认为,要结合各单位、各项目的实际情况,从熟悉被审计单位的业务流程入手,了解、分析其需要计算机软件实现的功能,掌握业务流程中的关键控制环节;在此基础上,看软件(系统)已有的功能模块是否满足业务需求、是否适应业务需要,尤其是内部控制点是否应设尽设,各内控环节的运行是否有效。必要时,可根据被审计单位的业务特征,设计若干个极端案例在软件(系统)中进行模拟测试,看实际操作中人员分工和权限分配以及内部控制运行的有效性,重点关注是否存在后门直接修改后台数据以及直接通过前台软件非法修改关键数据;通过与预计结果的对比,看软件(系统)运行结果的正确性。同时,也可抽取某一功能模块直接对其数据进行分析,根据业务流程和相关政策规定设计算法并编写相关运行语句重新计算(运行),对该模块总体数据处理结果的正确性进行验证,并进一步推断软件(系统)运行结果的正确性。
    在进行模拟测试时需要注意的是,要确保被审计单位相关系统及原始数据不被破坏,如需直接在系统上操作,如穿行测试等,可由被审计单位人员按照审计设计的测试方案操作,审计人员在旁观看,类似于传统领域中的监盘方式,尽量避免审计人员直接操作软件以规避风险。
    信息系统审计是一个全新的领域,要做好这项工作就必须从理念上打破传统的思维模式,跳出就数据审数据的老路子,这对审计人员也就提出了更高的要求。
    第一,审计人员必须熟悉审计业务。熟悉审计业务是做好这项工作的根本,信息系统审计,顾名思义,其最终的落脚点还是在审计上,无论是传统的审计技术与方法,还是运用计算机技术实施的审计程序,都是开展信息系统审计所不可或缺的。审计业务能力是基石,只有基础牢固,万丈高楼才能拔地而起。
    第二,审计人员必须熟悉被审计单位的业务流程。熟悉流程是做好信息系统审计的前提,只有深入了解了被审计单位的业务流程,才能知道其所使用的系统需要以及应当实现的功能,才能知道现有的功能模块是否满足其业务的需要。更重要的是,只有熟悉了业务流程,才能掌握整个流程中的关键环节,进而看系统中是否设置了相应的控制点,并针对各关键点作进一步的测试,评价系统中内控的有效性。
    第三,审计人员还应熟悉常用的数据结构和开发平台。熟悉常用数据与开发平台,是提高信息系统审计质量的保障。任何一套软件,尤其是业务处理软件,都会以电子数据的形式保存其处理的结果,对这些数据的了解与掌握,将极大的提高审计的效率。我们平常所接触到的被审计单位所使用的软件(系统)除了财务软件一般为购买的商品化的软件(如用友、金蝶等)外,涉及到其业务循环的软件(系统)大多为上级部门统一委托开发后统一配发或自行委托开发,例如,《港闸区征地农民参保信息系统》就是由区农保处自行委托专业人员开发设计。对一些常用开发平台的了解,将帮助审计人员了解这些软件(系统)的核心内容,对掌握其系统流程的结构、相应功能的实现、具体算法的设计等将起到事半功倍的效果。(作者:   徐炜   江苏省南通市审计局)
【关闭】    【打印】