基层审计机关信息系统审计模式初探
韩正 李修虎(江苏省徐州市贾汪区审计局)
【发布时间:2009年10月23日】
字号:【大】 【中】 【小】
    摘要:本文从一个感性事例入手阐明信息系统审计势在必行,通过基层审计机关的观念、技术、效果、实践结果等四个方面的分析,得出现阶段结合型模式更适合基层审计机关的实际,进而提出了结合型模式具体内容即“信息系统审计+财政财务审计+绩效审计”一种全新的审计模式,着重阐述了其内容、注意事项,并结合基层审计机关实施的实例,介绍这种审计模式在实践中的应用。本文从理论和实践角度,对基层审计机关开展信息系统审计的组织方式进行大胆的探索。
    关键词:基层审计   信息系统   审计模式  
    一、基层信息系统审计模式的提出
    先从一个感性的信息系统案例谈起:2007年9月,西安市医保中心使用未经测试、未经验收的软件系统将医保资金打入个人账户时,先是重复给18万余人账户多打入医保资金1090万元;在发现错误扣回这些资金时,竟又多扣了1.85万人账户上的资金。为恢复数据,该中心被迫紧急叫停西安市医保信息系统,在长达7天的时间里,全市130万市民拿着医保卡却无法购药、无法就医,西安市社保局局长厅局级干部张平均因信息系统混乱诱发的“权力法规”而丢了官。
    随着计算机和网络技术的迅速发展,信息系统无处不在,被审计单位不仅仅在会计核算实现了电算化管理,而且在业务流程环节也实现了计算机信息管理。对于审计人员而言,首先面对被审计单位的信息系统,其次才是由信息系统产生的业务数据、财务数据等资料。如果审计人员未对信息系统进行审计,仅对它产生的财务数据、业务数据进行审查,那么审计结论的可靠性就要受到质疑,审计风险也就在所难免。传统的财政财务审计,在以“金关”、“金税”、“金财”以及ERP系统为代表的信息系统时代受到了巨大冲击。国家前审计长李金华同志的断言“不搞计算机审计,我们就会失去审计的资格”,实际上,这已经成为各级审计机关的共识。信息系统审计已成为当今审计发展的大势所趋,正如国家分管计算机工作的副审计长石爱中同志所言“把信息系统审计作为一种审计常态,换句话说,作为正常审计程序的一环”。
    纵观基层审计机关开展信息系统审计的情况,采用的审计模式大体分为三类:一类是独立型信息系统审计模式,一般是对信息系统进行单纯的、专业的分析;二是结合型的信息系统审计模式,具体工作与常规审计类型相结合,表现为与财政财务收支审计相结合、与绩效审计相结合等;三是“伪信息系统审计”模式,即仅利用计算机辅助审计功能对被审计单位的电子数据进行采集和分析,挂个信息系统审计的“名”,并未非对信息系统本身实施审计,实质上是对电子数据审计。
    区县级基层审计机关必须搞好信息系统审计,否则难以落实“全面审计、突出重点”的要求,无法实现融入世界审计主流的目标,那么哪种信息系统审计模式才是基层审计的最佳选择?
    二、基层信息系统审计模式的适应性分析
    从基层审计机关的观念、技术、效果、实践结果等四个方面对独立型和结合型两种模式进行分析,探索基层信息系统审计模式最佳的组织方式。
    (一)审计观念接受性分析
    基层审计机关常规性审计工作主要包含财政财务收支、经济责任、固定资产投资审计等,审计观念仍局限在查错纠弊上,审计习惯于“就账审账”,对信息系统的理解还停留在计算机辅助审计或辅助审计软件开发及应用的层次上,尚未全面树立制度基础审计和风险审计的理念。如果区县审计机关从一开始确立独立型的信息系统审计模式,审计人员在思想观念上难以接受,同时审计思路难以衔接,会造成不知如何下手,从而引起畏难情绪,望而却步。
    结合型信息系统审计模式可以与审计人员日常审计工作结合起来,在思想认识上感觉到熟悉,在潜移默化中接受并实现思想的飞跃。特别是在信息系统审计探索阶段,区县审计机关的审计人员需要一个过渡时期,而结合型的信息系统审计模式恰恰符合现阶段区县审计机关工作人员的思维方式和审计方法。
    (二)审计人才技术胜任性分析
    独立型审计模式要求高,主要体现三个方面:一是具有很强的技术性,信息系统审计需要掌握一些专门方法和技巧,常常要采用计算机辅助审计技术,审计人员操作时存在一定难度;二是具有一定的风险性,审计可能影响被审单位的信息系统的正常运行,审计人员的取证存在一定难度;三是具有一定复杂性,不同的信息系统其物理结构不一样,采用的计算机软件、硬件就会有所不同,这就决定了审计人员对被审系统进行了解、测试和评价具有一定的复杂性。总体来说,独立型审计模式要求的人员专业素质高。目前,基层审计机关参加审计署干部培训中心开展的计算机中级水平培训的人数比例不到总人数的30%,参加注册信息系统审计师培训的人员更少,基层审计机关专业计算机人员尚不到总人数的10%。专业人才少、知识结构单一、审计经验欠缺,导致独立型信息系统审计的目标难以实现。
    相比之下,结合型信息系统审计具备天然的优势,它对专业技术要求相对较浅,涉及到财务审计、业务审查多方面内容,而这些正是基层审计人员的优势,轻车熟路、运用自如,在实际审计过程结合信息系统审计,容易达到由此及彼、步步深入的效果。特别是在基层审计机关信息系统审计工作的起步阶段,从专业知识和业务技能的胜任能力来考虑,结合型信息系统审计模式更适合现阶段区县审计机关的实际。
     (三)审计取得效果性分析
    独立型与结合型信息系统审计模式下,基层审计机关都进行不同程度的尝试与探索,从两种项目取得的成效来看,采取结合型信息系统审计模式取得成效更加显著。具体体现在:结合型审计成本低、在具体审计实践中相比容易操作、审计面比较宽,更容易发现被审计单位存在的问题,审计成果转化率高,因而取得的成效大于单纯的独立型信息系统审计模式。
    (四)审计实践结果分析
    从目前实践来看,专门进行的信息系统审计主要适用于一些大型信息系统的审计,如投资大、关系国计民生的重大信息系统。基层信息系统审计的规模小、耗资低,独立进行信息系统审计成本太高,有条件的审计机关可以进行独立型审计模式的探索和尝试。但是,如果要把信息系统工作作为基层审计机关工作的常态,至少现阶段基层审计机关独立型审计模式难以实施。
    综上所述,现阶段结合型信息系统审计模式更加适合区县审计机关开展信息系统工作的实际。
    三、基层结合型信息系统审计模式的内容
    目前,基层审计机关独立开展信息系统审计的难度大,基层审计机关在审计实践中普遍采用与财政财务审计结合、或者与绩效审计结合等模式,为审计工作提供了很大的便利,但随着社会经济及审计事业的进一步发展,结合型审计模式也应创新。
    《审计署2008至2012年审计工作发展规划》中提出:“坚持多种审计类型的有效结合和全面推进绩效审计,到2012年每年所有的审计项目都开展绩效审计”的要求。
    刘家义审计长2009年在计算机审计科研评审会议上说过,计算机审计研究不应孤立进行,要结合财政审计、财务审计,加强对企业、财政等相关领域的研究,形成财政、企业 “一条线”的计算机审计模式。
    由此,结合基层审计实际,我们提出了基层信息系统审计的新模式:“信息系统审计+财政财务审计+绩效审计”三者相结合的审计模式,其具体内涵为:基层审计机关在审计实施中,一般是从被审计单位的信息系统入手,通过实施信息系统审计,在确保被审计单位信息系统安全、可靠和数据真实、完整的情况下,对被审计单位经济活动的真实性、合法性和效益性进行监督, 通过加强信息系统管理,促进被审计单位提高资金利用的经济性、效率性和效果性。这种审计模式下,信息系统审计是财政财务收支审计的保障,是整个审计过程中的出发点;财政财务收支审计与信息系统审计密不可分,两者在审计内容、方式方法上可以有机结合,利用财政财务审计的内容和经验,及时发现系统的薄弱环节和漏洞,财政财务审计的重要事项,往往都是系统审计处理的重要业务模块;绩效审计是系统审计的落脚点和着眼点,信息系统审计发现的所有问题最终要体现在被审计单位加强管理,提高系统的利用绩效上。
    三种审计类型能够有机结合主要基于以下四点:
    一是审计目标的一致性,信息系统审计的总体目标是通过评价信息系统本身的安全性、可靠性,从而合理保证信息系统所产数据的准确性、完整性,从而保证企业资产安全性、完整性以及效率效果性;财政财务收支审计的目标是对被审计单位财政财务收支的真实、合法和效益进行审计监督;绩效审计的目标是被审计对象的对经济性、效率性和效果性的审计,通常所说的“3E”审计。从这一点来说,三种审计类型的落脚点都是对被审计单位绩效进行审计监督,这一点符合审计署五年发展规划的要求。
    二是审计对象的趋同性,信息系统审计的对象主要是计算机系统内各模块,财政财务收支审计对象是被审计单位的会计资料,绩效审计对象,审计机关国际组织(INTOSAI)概述为对人力、财力和其他资源的使用效率进行审计,包括检查信息系统、绩效评价和监督机制等内容。可见绩效审计包含了信息系统审计及财政财务审计的对象和内容,而财政财务审计对象必然包括电子数据资料及信息系统输出的其他各类非财务数据等,由此可见三种审计类型都涉及被审计的信息系统。只有把财政财务资料和信息系统审计有机结合,才能充分发挥审计“免疫系统”功能。
    三是审计程序的相同性。信息系统审计、财政财务收支审计还是绩效审计,审计程序上大体都遵循审计立项阶段、审计的准备阶段、审计的实施阶段、审计的报告阶段和后续跟踪阶段,每个阶段实施的审计程序基本相通,存在相通之处,在审计程序上三者可以融合。
    四是审计方法的交融性,信息系统审计的方法,除了信息系统测试的方法如数据测试法、受控再处理法等方法外;还采用询问法、检查法、观察法等方法、这些方法在财政财务收支审计、绩效审计中都大量运用,三者有着相互交融之处,可以在审计过程中相互结合,相互借鉴,达到全面审计的目标。
    四、基层信息系统模式在具体实践中的运用和成效
    徐州市贾汪区审计局2007年度首次对贾汪区新型农村合作医疗基金信息系统进行探索实践,取得了良好的效果。通过对新型农村合作医疗基金信息系统的开发、管理和营运等方面的审计,发现新农合基金信息系统在设计软件补偿模块功能设置、系统软件容错性不强、内部控制制度不健全等5项信息系统的问题;财务收支审计查实全区2007年参合病人少补偿988966.02元,部分医院利用系统容错性差,变造、伪造参合人员3800名,套取补偿资金45万余元;提出了进一步建立和完善系统控制制度、完善新农合基金管理系统功能、加强对数据进行认真检查、完善新补偿弥补措施等8条建议。被审计单位出台文件2个,2名计算机管理人员受到内部处理。
    系统审计历时39天,成员共5人,其中计算机专业人才仅一名,面对人员少、无经验、任务重的局面,审计经过周密调查,大胆采用了“信息系统审计+财政财务审计+绩效审计”的审计模式,实践证明该模式为及时、圆满完成审计任务发挥了重大作用。审计组首先通过系统后台数据的审查,确保了数据的真实性、完整性,杜绝了以往的“就账审账”的现象。然后,审计组把财政财务审计和信息系统审计有机结合,利用财政财务审计人员的经验和做法,确定重要的经济业务、找出系统舞弊及控制薄弱的环节,进而对上述重要业务和关键环节的系统流程或系统模块进行重点的分析核实,找出系统的问题。这样做有三点好处:一是从思路上容易被审计人员接受;二是,财政审计经验被充分利用,违规违纪问题最终要在系统中有所反应,由此根据财政审计经验,容易找出系统控制的薄弱点,发现系统问题;三是财政审计和系统审计程序基本相同,很多方法可以互相结合,互相借鉴,产生“1+1>2”的效果。本次审计中,参合病人少补偿近百万元的问题就是首先通过财务审计发现,进而沿着财务审计的线索追踪至新农合补偿系统设置,最终通过系统测试、验算,发现该补偿系统的部分参数设置不符合文件规定,造成了应补资金未能补偿到位的问题。在审计建议下,被审计单位花费数万元,重新开发了“二次补偿”的软件补充系统。审计对新农合信息系统对专项资金使用、管理及效益的影响进行分析,找出深层次的问题,提高资金管理效果,资金利用效率和效益,让新农合资金切实为民服务,解决“看病难、看病贵”的社会矛盾。本次审计,发现新农合参合人员系统控制存在薄弱点,容易出现虚假参合人员的现象,如参合人员姓名中出现非法字符如*、&等,严重影响资金利用效果,审计发现的问题被审计单位进行了整改,审计建议得以落实,大大提高了财政资金的使用效益。
    五、基层信息系统审计模式应注意的问题
    基层审计机关采用“信息系统审计+财政财务审计+绩效审计”实施审计时,为了达到三者的有机结合,提高审计工作效率和效果,在审计实施的四个阶段应注意以下问题:
    (一)审前准备阶段首先要重点把握审计立项,未雨绸缪、早做计划,基层审计机关应根据自身业务能力情况确定信息系统审计项目,把握好“五性”原则,即重要性、可行性、主动性、风险性、增值性;其次搞好前期调查,把握审计重点,在财政财务审计调查内容中应注重信息系统的调查,可以向系统使用和管理人员发放调查问卷或者调查表、查阅或者索取有关的资料等方式,通过分析性复核,确定信息系统在保障数据的安全性、完整性发挥的作用,以此确定审计重点。
    (二)审计实施阶段从降低审计风险的角度出发,对财政财务审计相关的内容进行重点审计。一般来说,基层结合型系统审计重点关注以下四个方面:信息系统下电子数据的真实性、完整性审计,避免“假”账真审;信息系统控制审计,能否保证系统运行的安全性、有效性和效率性;信息系统对重要的经济业务的处理功能审计,是否能够满足实际需求;信息系统的控制功能审计,查找系统中的控制薄弱点和漏洞,确保信息系统使用的效益性。
    (三)在审计报告阶段环节,信息系统审计报告没有统一的规范格式,结合型审计可以不必单独出具系统审计报告,但相关系统审计内容应加入审计报告,审计报告的主要包括:被审计单位信息系统基本情况介绍、绩效评价、系统审计实施情况、发现的信息系统、财务收支、影响效益的主要问题和原因、审计建议。
    (四)在审计跟踪阶段,审计人员不仅对发现的财政财务和绩效问题进行整改跟踪,还要对信息系统发现的问题进行整改跟踪,查看被审计单位是否整改落实,整改效果是否优化了被审计单位的软件、是否有利于被审计单位的工作等。
    主要参考资料:
    1、《信息系统审计实例》,主编:董明灿 华夏文化艺术出版社
    2、《信息系统审计内容与方法》执笔:庄明来 吴沁红 李俊 中国时代经济出版社
    3、《西安社保局局长因系统问题损害市民利益被免职》http://news.sohu.com/20080728/n258420028.shtml
    4、《国外信息系统审计案例》 中国时代经济出版社
    5、《信息系统审计:审计发展的新路径》  中国审计2008年第3期


    
【关闭】    【打印】