浅谈信息系统审计风险的特征及防范
贺荷(江苏省徐州市审计局)
随着计算机技术、信息技术和网络技术的广泛应用与普及,企业的经营、管理和核算模式正在发生较大的变化,各种计算机管理系统不断涌现,由此引发的企业会计信息系统和经营管理系统的构成要素的变革使审计人员面临的原始资料不再仅仅是手工的凭证、账簿和报表,而是计算机信息系统本身及其高度集中的大量电子数据。在这种情况下,以审查真实性、合法性和效益性为目的的国家审计,不可避免地受到审计对象信息化高速发展所带来的冲击与挑战。
但由于信息系统本身特点所具有的脆弱性,将使审计遇到风险。审计风险因客户的信息系统和内部控制使用计算机而呈现出新的特征。作为科技发展产物的信息系统审计,对审计人员来说是作为一种全新的审计方式,如何降低信息系统审计风险,怎样防范信息系统审计风险,正在成为审计理论和审计实践面临的新课题。
一、信息系统审计风险概述
(一)信息系统
信息系统简言之就是运用知识对信息加以利用以协助形成企业能力的人机系统。
信息系统不是单纯的机器,不能用单一的眼光来看待信息系统,而是人机相互配合、相互协作的系统,就必须把信息系统放到整个企业中,将其视为一个相互协调、相互配合、相互进化的生态环境。对于任何一个经济组织,建设信息系统的目的就是要有助于增强应用对象的竞争力。信息系统的核心内容就是对信息的利用,这种利用是全方位的利用,而不仅包括信息采集、传输、存储、显示、利用,还包括对信息置信度的评价、信息的综合、信息的压缩、信息的馈入等内容。
(二)信息系统审计范围
信息系统审计范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等。
(三)信息系统审计风险
关于审计风险,目前国内外审计职业界还没有形成一个完全一致的定义。但各种不同的定义对审计风险基本涵义的表述是一致的,即审计风险是指审计人员对存有重大错报和漏报的财务报表,审计后却认为该重大错报和漏报并不存在从而发表与事实不符的审计意见的风险。即可以认为审计风险应该包括以下三个层次:审计人员未能觉察出重大错误的风险、审计人员发表了一个不恰当审计意见的风险、审计职业风险。因而信息系统审计风险由固有风险、控制风险和检查风险三个要素组成。
所谓固有风险是指在假定被审计单位没有任何相关的内部控制的情况下,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指客户内部控制结构政策或程序未能及时防止或察觉重大错误的可能性。也就是说,控制风险是指内部控制结构未能及时预防或发现经济业务中的某些主要偏差的不法行为,致使财务报表失真的概率。检查风险是指内部控制未能察觉并纠正财务报表中的重大错误,运用审计程序也未能发现这些错误的可能性。其中,固有风险和控制风险与被审计单位内部控制是否存在、是否有效有关,审计人员对此无法控制,审计人员所能控制的只有检查风险。检查风险是必然存在的风险,但因受审计资源、审计时间等因素的影响,审计人员不能根除检查风险。审计人员可以通过研究和评价被审计单位的内部控制,对被审计单位固有风险和控制风险的高低作出评价,在此基础上便可确定实质性测试的性质、时间和范围,以便将检查风险以及总体审计风险降低至可接受的水平。
二、信息系统审计风险的特征
(一)信息系统审计固有风险的特征
1、存在原始数据被录入错漏的可能性。在信息系统中,大量的基础数据在展示层依靠人工录入,如果被录入信息的错漏在信息系统设定值之内,或信息系统未对录入值进行限制校对,就将错误予以掩盖,从而可能产生新的审计风险因素。
笔者在进行某信息系统审计时就发现大量须人工录入的电子数据与原始数据不符,甚至漏录一些重要信息。
2、存在审计线索被减少或消除的可能性。手工环境中,会计处理的每一个步骤都有文字记录和经手人签名,审计线索清晰。但在信息系统环境中,从原始数据录入到报表的自动生成,主要由信息系统完成,存储介质只记录最后处理结果,忽略中间处理过程,数据形成依据的记录减少。传统的审计线索不复存在,利用信息技术也难以实现如签名、盖章等这些使审计线索证据化的操作,对审计人员查找审计线索带来了较大困难。
3、存在电子数据被滥用、篡改和丢失的可能性。手工系统中,纸质介质上的信息易于辨认、追溯。而在信息系统环境下,由于存储介质的改变,信息高度集中于信息系统内,储存于磁性介质上的电子数据具有存取方便、修改与删除不留痕迹的特点,信息系统应用程序被恶意篡改或非法入侵,造成经济损失的可能性致使审计的固有风险增大。一旦用户非法进入信息系统,数据被拷贝,甚至可能被进行非法篡改而不留下任何痕迹。计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也极易破坏和修改电子数据,造成实际数据与电子数据不相符,增加固有审计风险的可能性。
(二)信息系统审计控制风险的特征
1、存在约束机制失效的可能性。
在手工条件下,内部控制一般表现为对人的控制,强调职责分清,相互牵制,采用的手段主要是利用纸面信息,进行手工核对和检查,责任容易明确,结果也比较直观。但是在信息系统中,内部控制转变为对人和机器两方面的控制,而且主要是对机器的控制为主:一是通过划分操作员的责任范围,设置权限和密码实现人员职责分工;二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于在信息系统中许多不相容职责相对集中,可能因为不恰当的授权而加大舞弊的风险,权限设置的重叠或跨责任中心越权设置,使这一控制措施有可能形同虚设。
2、存在会计数据异常的可能性。手工系统下,会计数据异常的可能性几乎不存在;而在信息系统下,这种可能性难以通过有效的内控制度消除,必须以先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的机率。就多数会计软件看,对数据录入的一致性和正确性控制,会计数据处理的安全性和连续性控制,软件设计还是比较慎密的。但对集成化程度较高的业务管理软件,数据的共享性和一致性还不完善,系统设计时可能没有考虑到审计工作的需要,没有留下充分的审计线索。笔者在进行某信息系统审计时就发现该业务系统在开发使用的前期存在将以还完款的客户的贷款记录予以删除,这就造成历史记录不完整,无法追溯历史数据予以审计核查。
3、存在实时控制失控的可能性。一些会计软件对现金和银行存款的收付业务不能进行实时有效的控制手段。对于企业内部发生的经济业务,多数软件是通过人工填制记账凭证,从各系统入口录入到电脑,部分软件虽通过系统实时地录入,但可能与凭证数据不同步;对于现金和银行存款收付业务,不仅数据难以实时同步,而且存在双方数据不一致的可能性。
(三)信息系统审计检查风险的特征
1、存在难以查找历史资料的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据,由于软件版本的升级、平台的迁移等被审计软件的更新换代,可能导致难以从往年账套里读取历史数据,迫使审计人员不得不从浩如烟海的文档中手工收集和整理历史数据,这不仅降低了审计效率,而且还将带来更多的检查风险。
2、存在难以全面检查测试的可能性。手工系统下,内部控制的情况看得见、摸得着,都有据可查;而在计算机信息系统环境下,内部控制主要依赖于软件本身,内部控制融于系统软件之中使审计人员无法通过传统方法觉察,这就要求审计人员设计测试数据来测试软件的控制能力。如果在进行计算机信息系统设计时考虑不周,计算机信息系统可能无法判断出某类数据是否符合逻辑,对不合理的数据可能也会进行日常处理。并且对错误数据的处理还具有重复性和连续性,从而可能导致审计人员误认为是正常处理。由于多数审计人员并非电脑专家,要在有限的审计时间里设计完善的测试数据是不现实的。
3、存在难以取得全面资料风险的可能性。在机信息系统环境下,审计人员进行审计的依据是信息系统的输出信息,审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息,其他敏感性信息则极有可能被人为掩藏。这样,审计人员处于被动地位,难以获取充足的审计证据支持其审计结论,加大了信息系统审计的检查风险。
4、存在难以控制技术风险的可能性。对网络交易而言,当在交易环节中人工干涉变得越来越少时,对控制信息技术是否有效进行的检查将更具实际意义。信息技术控制包括数据存储控制和数据处理控制等,如对程序变化的检查确保以系统程序按管理层的意图运行;在网络灾难导致数据存储平台或数据处理平台瘫痪时,灾难防御计划能使信息处理功能迅速恢复,这些都是任何信息化交易需要加以关注的基本审计风险。随着网络交易越来越广泛,围绕顾客为特征的、并基于计算机或因特网的信息处理过程,对审计人员而言,降低这种检查风险将比任何时候都更具重要意义。
三、信息系统审计风险的控制措施
在信息系统审计风险的三个要素中,固有风险和控制风险与被审计单位内部控制是否存在、是否有效有关,审计人员对此无法控制,审计人员所能控制的只有检查风险。审计人员可以通过研究和评价信息系统内部控制,对信息系统固有风险和控制风险的高低做出评价,在此基础上便可确定实质性审计的内容范围,以便将检查风险以及总体信息系统审计风险降低至可接受的水平。具体的控制措施如下:
(一)提高审计主体的素质。
审计主体广义上就是具体审计组织。作为承载着促进国家计划的实现,合理利用资源,保护社会主义财产,维护财经法纪,提高经济效益在极其重要的作用的审计机关,审计人员知识结构、道德修养的组成决定了其水平的高低。因此审计机关应该注重审计人员知识结构的合理搭配,改善人员知识结构,同时加强政治思想教育,提高审计机关整体水平。
从审计工作的具体实施来看,审计人员是审计的主体,其素质的高低与审计风险的大小直接相关。因此,提高审计人员的政治、业务素质是防范审计风险的有效途径。审计人员应树立全球的视野,研究当今信息系统审计的总体状况、发展趋势,在充分吸收国内外成熟理念和做法的基础上开展审计实务。在信息系统审计实践中不断提炼总结,加强信息系统审计方法体系研究。在审计活动中要始终保持独立性,规范自身行为,严格履行职责和权力;及时了解国家政策法规,避免对现行政策不理解而做出不适当审计结论,构成审计风险;不断提高对会计、审计、计算机、信息系统等专业理论水平;定期接受职业培训和继续教育,从自身素质的提高上来防范审计风险。
(二)审查审计客体的固有风险和控制风险
审计客体就是审计监督的对象,被审计单位的经营活动和管理活动。在信息系统下审计客体的活动都是通过计算机的信息系统处理的电子数据反映出来的。因此信息系统审计就是对信息系统的内在处理系统和电子数据的审查。
1、常规的事后审计
对计算机信息系统的电子资料的真实性、合法性进行评价,防止和揭露信息系统失真的固有风险和控制风险。
首先,了解被审计单位情况。由于在信息系统的引入过程中存在误区,许多使用信息系统的企业经常存在两种情况:一是和原有的系统并行,一是全面取代旧的系统。因此在前期阶段,审计人员应充分了解被审计单位情况,了解被审计单位的信息系统是否真正意义上使用,运行过程中是否出现过重大问题。处于并行阶段的,很多情况下新旧信息系统之间会存在一个差额,要了解这个差额的形成原因,以及企业如何处置;了解新的信息系统是否正常运行,以便在不同的情况下,制定不同的审计计划。要熟悉和理解被审计单位信息系统软件中所包含的管理思想。要注重与单位的相关管理人员沟通,必要时可与企业的软件供应商沟通,以充分利用软件本身的统计、分析比较功能,获得丰富的分析性复核资料。
其次,了解主要业务流程。应对各个业务流程模块的内部逻辑和各个模块的大致框架、信息交互,尤其是从数据流方面有整体了解。
再次,重点关注信息系统内部控制。信息系统的内部控制包括一般控制和应用控制,在进行一般控制的审计时应考虑组织与管理控制,应用系统开发和系统控制、计算机操作控制、系统软件控制、数据和程序控制。在进行应用控制审计时应考虑输入控制、计算机处理与数据文件控制、输出控制。在加强对信息系统内部控制的审计,还应考虑信息系统内部控制的缺乏交易轨迹、同类交易处理的一致性、缺乏职责分工、在特定方面发生错误与舞弊行为的可能性较大、与手工处理存在差异、内部控制依赖于计算机处理等特征。
2、积极开展信息系统的事前、事中控制
通过事前审计监督,对计算机信息系统建立的内部控制的严密完善性、系统的合规合法性以及系统的可审性等进行评价,保证计算机信息系统运行以后数据处理结果的真实性和正确性,防止和减少信息系统固有风险和控制风险的发生。定期对被审系统的内部控制制度进行审查和评价是提高计算机信息系统环境下审计质量的有效措施之一。通过对被审计系统内部控制制度的健全性调查和实际执行情况的符合性测试,找出控制的弱点,提出强化内部控制措施,督促被审计单位完善内部控制系统,也可以防止和减少信息系统固有风险和控制风险的发生。
对于可能客观存在的审计风险,审计人员必须保持职业谨慎,运用专业判断,对被审计单位的审计风险各要素进行全面的评估,确定可接受的审计风险水平。
(三)运用科学有效的审计方法,减少检查风险。
目前,审计人员所采用的审计方法尤其是对信息系统审计的方法离有效控制审计风险还有相当的距离,所以审计人员要根据科技发展要求掌握先进的信息系统审计技术与审计方法。在审计活动中应该交叉使用各种审计方法,降低因审计方法的选择单一而诱发的审计风险。交叉使用审计方法所获取的审计证据无论从数量上还是质量上都显得更充分,从对审计风险的控制来看,交叉使用多种审计方法无疑有利于降低审计风险。
(四)健全各项法律制度,完善审计准则
法律法规、审计准则是审计人员判断是非的标准和适度。法律的健全程度直接影响审计风险的大小。信息系统审计有别于传统审计业务,它的特殊性和进行审计所需的专门技术要求制定出信息系统审计准则。相关部门应尽早出台适合我国国家审计的信息系统审计准则,以解决当前信息系统审计目标不明,内容不清的现状。(贺荷 江苏省徐州市审计局)
但由于信息系统本身特点所具有的脆弱性,将使审计遇到风险。审计风险因客户的信息系统和内部控制使用计算机而呈现出新的特征。作为科技发展产物的信息系统审计,对审计人员来说是作为一种全新的审计方式,如何降低信息系统审计风险,怎样防范信息系统审计风险,正在成为审计理论和审计实践面临的新课题。
一、信息系统审计风险概述
(一)信息系统
信息系统简言之就是运用知识对信息加以利用以协助形成企业能力的人机系统。
信息系统不是单纯的机器,不能用单一的眼光来看待信息系统,而是人机相互配合、相互协作的系统,就必须把信息系统放到整个企业中,将其视为一个相互协调、相互配合、相互进化的生态环境。对于任何一个经济组织,建设信息系统的目的就是要有助于增强应用对象的竞争力。信息系统的核心内容就是对信息的利用,这种利用是全方位的利用,而不仅包括信息采集、传输、存储、显示、利用,还包括对信息置信度的评价、信息的综合、信息的压缩、信息的馈入等内容。
(二)信息系统审计范围
信息系统审计范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等。
(三)信息系统审计风险
关于审计风险,目前国内外审计职业界还没有形成一个完全一致的定义。但各种不同的定义对审计风险基本涵义的表述是一致的,即审计风险是指审计人员对存有重大错报和漏报的财务报表,审计后却认为该重大错报和漏报并不存在从而发表与事实不符的审计意见的风险。即可以认为审计风险应该包括以下三个层次:审计人员未能觉察出重大错误的风险、审计人员发表了一个不恰当审计意见的风险、审计职业风险。因而信息系统审计风险由固有风险、控制风险和检查风险三个要素组成。
所谓固有风险是指在假定被审计单位没有任何相关的内部控制的情况下,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指客户内部控制结构政策或程序未能及时防止或察觉重大错误的可能性。也就是说,控制风险是指内部控制结构未能及时预防或发现经济业务中的某些主要偏差的不法行为,致使财务报表失真的概率。检查风险是指内部控制未能察觉并纠正财务报表中的重大错误,运用审计程序也未能发现这些错误的可能性。其中,固有风险和控制风险与被审计单位内部控制是否存在、是否有效有关,审计人员对此无法控制,审计人员所能控制的只有检查风险。检查风险是必然存在的风险,但因受审计资源、审计时间等因素的影响,审计人员不能根除检查风险。审计人员可以通过研究和评价被审计单位的内部控制,对被审计单位固有风险和控制风险的高低作出评价,在此基础上便可确定实质性测试的性质、时间和范围,以便将检查风险以及总体审计风险降低至可接受的水平。
二、信息系统审计风险的特征
(一)信息系统审计固有风险的特征
1、存在原始数据被录入错漏的可能性。在信息系统中,大量的基础数据在展示层依靠人工录入,如果被录入信息的错漏在信息系统设定值之内,或信息系统未对录入值进行限制校对,就将错误予以掩盖,从而可能产生新的审计风险因素。
笔者在进行某信息系统审计时就发现大量须人工录入的电子数据与原始数据不符,甚至漏录一些重要信息。
2、存在审计线索被减少或消除的可能性。手工环境中,会计处理的每一个步骤都有文字记录和经手人签名,审计线索清晰。但在信息系统环境中,从原始数据录入到报表的自动生成,主要由信息系统完成,存储介质只记录最后处理结果,忽略中间处理过程,数据形成依据的记录减少。传统的审计线索不复存在,利用信息技术也难以实现如签名、盖章等这些使审计线索证据化的操作,对审计人员查找审计线索带来了较大困难。
3、存在电子数据被滥用、篡改和丢失的可能性。手工系统中,纸质介质上的信息易于辨认、追溯。而在信息系统环境下,由于存储介质的改变,信息高度集中于信息系统内,储存于磁性介质上的电子数据具有存取方便、修改与删除不留痕迹的特点,信息系统应用程序被恶意篡改或非法入侵,造成经济损失的可能性致使审计的固有风险增大。一旦用户非法进入信息系统,数据被拷贝,甚至可能被进行非法篡改而不留下任何痕迹。计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也极易破坏和修改电子数据,造成实际数据与电子数据不相符,增加固有审计风险的可能性。
(二)信息系统审计控制风险的特征
1、存在约束机制失效的可能性。
在手工条件下,内部控制一般表现为对人的控制,强调职责分清,相互牵制,采用的手段主要是利用纸面信息,进行手工核对和检查,责任容易明确,结果也比较直观。但是在信息系统中,内部控制转变为对人和机器两方面的控制,而且主要是对机器的控制为主:一是通过划分操作员的责任范围,设置权限和密码实现人员职责分工;二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于在信息系统中许多不相容职责相对集中,可能因为不恰当的授权而加大舞弊的风险,权限设置的重叠或跨责任中心越权设置,使这一控制措施有可能形同虚设。
2、存在会计数据异常的可能性。手工系统下,会计数据异常的可能性几乎不存在;而在信息系统下,这种可能性难以通过有效的内控制度消除,必须以先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的机率。就多数会计软件看,对数据录入的一致性和正确性控制,会计数据处理的安全性和连续性控制,软件设计还是比较慎密的。但对集成化程度较高的业务管理软件,数据的共享性和一致性还不完善,系统设计时可能没有考虑到审计工作的需要,没有留下充分的审计线索。笔者在进行某信息系统审计时就发现该业务系统在开发使用的前期存在将以还完款的客户的贷款记录予以删除,这就造成历史记录不完整,无法追溯历史数据予以审计核查。
3、存在实时控制失控的可能性。一些会计软件对现金和银行存款的收付业务不能进行实时有效的控制手段。对于企业内部发生的经济业务,多数软件是通过人工填制记账凭证,从各系统入口录入到电脑,部分软件虽通过系统实时地录入,但可能与凭证数据不同步;对于现金和银行存款收付业务,不仅数据难以实时同步,而且存在双方数据不一致的可能性。
(三)信息系统审计检查风险的特征
1、存在难以查找历史资料的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据,由于软件版本的升级、平台的迁移等被审计软件的更新换代,可能导致难以从往年账套里读取历史数据,迫使审计人员不得不从浩如烟海的文档中手工收集和整理历史数据,这不仅降低了审计效率,而且还将带来更多的检查风险。
2、存在难以全面检查测试的可能性。手工系统下,内部控制的情况看得见、摸得着,都有据可查;而在计算机信息系统环境下,内部控制主要依赖于软件本身,内部控制融于系统软件之中使审计人员无法通过传统方法觉察,这就要求审计人员设计测试数据来测试软件的控制能力。如果在进行计算机信息系统设计时考虑不周,计算机信息系统可能无法判断出某类数据是否符合逻辑,对不合理的数据可能也会进行日常处理。并且对错误数据的处理还具有重复性和连续性,从而可能导致审计人员误认为是正常处理。由于多数审计人员并非电脑专家,要在有限的审计时间里设计完善的测试数据是不现实的。
3、存在难以取得全面资料风险的可能性。在机信息系统环境下,审计人员进行审计的依据是信息系统的输出信息,审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息,其他敏感性信息则极有可能被人为掩藏。这样,审计人员处于被动地位,难以获取充足的审计证据支持其审计结论,加大了信息系统审计的检查风险。
4、存在难以控制技术风险的可能性。对网络交易而言,当在交易环节中人工干涉变得越来越少时,对控制信息技术是否有效进行的检查将更具实际意义。信息技术控制包括数据存储控制和数据处理控制等,如对程序变化的检查确保以系统程序按管理层的意图运行;在网络灾难导致数据存储平台或数据处理平台瘫痪时,灾难防御计划能使信息处理功能迅速恢复,这些都是任何信息化交易需要加以关注的基本审计风险。随着网络交易越来越广泛,围绕顾客为特征的、并基于计算机或因特网的信息处理过程,对审计人员而言,降低这种检查风险将比任何时候都更具重要意义。
三、信息系统审计风险的控制措施
在信息系统审计风险的三个要素中,固有风险和控制风险与被审计单位内部控制是否存在、是否有效有关,审计人员对此无法控制,审计人员所能控制的只有检查风险。审计人员可以通过研究和评价信息系统内部控制,对信息系统固有风险和控制风险的高低做出评价,在此基础上便可确定实质性审计的内容范围,以便将检查风险以及总体信息系统审计风险降低至可接受的水平。具体的控制措施如下:
(一)提高审计主体的素质。
审计主体广义上就是具体审计组织。作为承载着促进国家计划的实现,合理利用资源,保护社会主义财产,维护财经法纪,提高经济效益在极其重要的作用的审计机关,审计人员知识结构、道德修养的组成决定了其水平的高低。因此审计机关应该注重审计人员知识结构的合理搭配,改善人员知识结构,同时加强政治思想教育,提高审计机关整体水平。
从审计工作的具体实施来看,审计人员是审计的主体,其素质的高低与审计风险的大小直接相关。因此,提高审计人员的政治、业务素质是防范审计风险的有效途径。审计人员应树立全球的视野,研究当今信息系统审计的总体状况、发展趋势,在充分吸收国内外成熟理念和做法的基础上开展审计实务。在信息系统审计实践中不断提炼总结,加强信息系统审计方法体系研究。在审计活动中要始终保持独立性,规范自身行为,严格履行职责和权力;及时了解国家政策法规,避免对现行政策不理解而做出不适当审计结论,构成审计风险;不断提高对会计、审计、计算机、信息系统等专业理论水平;定期接受职业培训和继续教育,从自身素质的提高上来防范审计风险。
(二)审查审计客体的固有风险和控制风险
审计客体就是审计监督的对象,被审计单位的经营活动和管理活动。在信息系统下审计客体的活动都是通过计算机的信息系统处理的电子数据反映出来的。因此信息系统审计就是对信息系统的内在处理系统和电子数据的审查。
1、常规的事后审计
对计算机信息系统的电子资料的真实性、合法性进行评价,防止和揭露信息系统失真的固有风险和控制风险。
首先,了解被审计单位情况。由于在信息系统的引入过程中存在误区,许多使用信息系统的企业经常存在两种情况:一是和原有的系统并行,一是全面取代旧的系统。因此在前期阶段,审计人员应充分了解被审计单位情况,了解被审计单位的信息系统是否真正意义上使用,运行过程中是否出现过重大问题。处于并行阶段的,很多情况下新旧信息系统之间会存在一个差额,要了解这个差额的形成原因,以及企业如何处置;了解新的信息系统是否正常运行,以便在不同的情况下,制定不同的审计计划。要熟悉和理解被审计单位信息系统软件中所包含的管理思想。要注重与单位的相关管理人员沟通,必要时可与企业的软件供应商沟通,以充分利用软件本身的统计、分析比较功能,获得丰富的分析性复核资料。
其次,了解主要业务流程。应对各个业务流程模块的内部逻辑和各个模块的大致框架、信息交互,尤其是从数据流方面有整体了解。
再次,重点关注信息系统内部控制。信息系统的内部控制包括一般控制和应用控制,在进行一般控制的审计时应考虑组织与管理控制,应用系统开发和系统控制、计算机操作控制、系统软件控制、数据和程序控制。在进行应用控制审计时应考虑输入控制、计算机处理与数据文件控制、输出控制。在加强对信息系统内部控制的审计,还应考虑信息系统内部控制的缺乏交易轨迹、同类交易处理的一致性、缺乏职责分工、在特定方面发生错误与舞弊行为的可能性较大、与手工处理存在差异、内部控制依赖于计算机处理等特征。
2、积极开展信息系统的事前、事中控制
通过事前审计监督,对计算机信息系统建立的内部控制的严密完善性、系统的合规合法性以及系统的可审性等进行评价,保证计算机信息系统运行以后数据处理结果的真实性和正确性,防止和减少信息系统固有风险和控制风险的发生。定期对被审系统的内部控制制度进行审查和评价是提高计算机信息系统环境下审计质量的有效措施之一。通过对被审计系统内部控制制度的健全性调查和实际执行情况的符合性测试,找出控制的弱点,提出强化内部控制措施,督促被审计单位完善内部控制系统,也可以防止和减少信息系统固有风险和控制风险的发生。
对于可能客观存在的审计风险,审计人员必须保持职业谨慎,运用专业判断,对被审计单位的审计风险各要素进行全面的评估,确定可接受的审计风险水平。
(三)运用科学有效的审计方法,减少检查风险。
目前,审计人员所采用的审计方法尤其是对信息系统审计的方法离有效控制审计风险还有相当的距离,所以审计人员要根据科技发展要求掌握先进的信息系统审计技术与审计方法。在审计活动中应该交叉使用各种审计方法,降低因审计方法的选择单一而诱发的审计风险。交叉使用审计方法所获取的审计证据无论从数量上还是质量上都显得更充分,从对审计风险的控制来看,交叉使用多种审计方法无疑有利于降低审计风险。
(四)健全各项法律制度,完善审计准则
法律法规、审计准则是审计人员判断是非的标准和适度。法律的健全程度直接影响审计风险的大小。信息系统审计有别于传统审计业务,它的特殊性和进行审计所需的专门技术要求制定出信息系统审计准则。相关部门应尽早出台适合我国国家审计的信息系统审计准则,以解决当前信息系统审计目标不明,内容不清的现状。(贺荷 江苏省徐州市审计局)
| 【关闭】 【打印】 |
