浅谈如何开展计算机信息系统审计
彭夫恒(江苏省邳州市审计局)
随着计算机及网络技术的迅速发展,审计人员面临的原始资料不再仅仅是手工的凭证、账簿和报表,而是计算机信息系统本身及其高度集中的大量电子数据。未来一段时期内,审计机关要想完成“全面审计,突出重点”的审计目标,担负起社会经济运行的“免疫系统”作用,就必须要使信息系统审计有所作为,这迫使我们必须加快信息系统审计的步伐。
一、什么是信息系统审计
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程(国际信息系统审计与控制协会ISACA的定义)。目前审计机关信息系统审计主要有两种方式,一种是将信息系统审计作为常规审计的一部分,为实现审计项目的总体目标服务,即数据审计、信息系统审计和系统内部控制审计“三位一体”的结合方式。信息系统审计和系统内部控制审计为数据审计服务,通过审计数据得出结论。另一种是独立立项的,直接审计信息系统本身的安全性、可靠性和有效性。
二、开展信息系统审计的紧迫性
信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然产物。
(一)开展信息系统审计是控制审计风险的要求。近几年,审计纸质账目时,内部控制也要审计,不能假账真审。同样的道理也不能假电子数据真审,如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。
(二)开展信息系统审计是全面履行审计职责的要求。信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须“三位一体”,在审计过程中,这三项内容不能少。只有这样,我们才能完成“全面审计,突出重点”的要求,全面履行审计职责。
三、现阶段如何开展信息系统审计
(一)提高全体审计人员信息系统审计的意识。
“审计人员不掌握计算机技术,将失去审计资格”这一观点基本得到了八万审计人员的认同,这些年计算机在审计领域得到了普遍的应用,数据审计得到了有力的推进,但大多数人对于信息系统审计的认识还不到位,对开展信息系统审计的必要性、紧迫性认识不足,甚至对开展信息系统审计的可行性持怀疑态度。为保证信息系统产生的数据真实完整,信息系统的安全、可靠和有效,重大的审计项目,只要被审计单位应用的是信息系统,我们就必须审计信息系统,检查系统内部控制,只有这样才能防止假账真审。
(二)重视计算机信息系统审计人才的培养,不断提高其审计技能。
计算机信息系统审计对审计人员的专业技能要求较高,除了需要审计人员具备相应的审计技能外,还要具备较高的计算机水平。计算机信息系统审计人员的获得有两个渠道,一是在配备人员时就将计算机技能作为一个必要条件,在实际工作中不断培养其审计技能;二是对现有审计人员进行计算机知识的培训,增强其信息技术审计能力。由于计算机技术涉及的范围广、技术复杂性强、计算机信息技术快速发展的特点,决定了不论以何种方式获得的信息技术审计人员,都要对其进行持续不断的后续教育。
(三)信息系统审计应重点关注三个环节
(1)内部控制环节。
在计算机系统中,应检查以下方面来证明内控制度的有效性:1.控制系统资源的存取。包括物理资源,例如终端、服务器、连接盒、相关文档等;还包括逻辑资源,如软件、系统文件和表、数据等。2.控制系统资源的使用。用户应该只能对授权给他们的那些资源进行操作。3.建立按用户职能分配资源的制度。把重要的任务功能按用户或用户组进行分离,以减少无意的误操作、滥用系统资源和对数据的非授权修改。4.记录系统的使用情况。按时间顺序建立一个使用记录,记录内容应包括例外事例和与安全有关的事件是由谁触发的,财务信息的创建、修改和删除是由谁完成的。5.确认处理过程的准确性。用产生财务控制信息,确认处理过程的准确完成。6.管理人员对财务信息系统的修改。应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底(独立地)测试的,确认最后以一种有控制的方式投入使用。7.保护财务信息系统免遭计算机病毒的袭击。必须建立一套控制措施,检测病毒,防止病毒感染财务信息系统。
(2)数据环节。
在审计中,审计人员选择一些交易对其进行详细检查,确认交易记录是否符合一般的审计目标。一是检查会计事项信息,要检查它的完整性、时效性、合规性和信息披露等方面,检查内容包括与本会计年度有关的交易是否全部记录在册;所有记录的交易是否都是合理发生的并与本会计年度有关;记录的交易是否数据准确,计算无误:记录的交易是否符合基本的和辅助的法律规定,符合特定权威机构的要求;对记录的交易是否进行正确的分类,并符合信息对外披露的要求等。二是检查财务报表信息,要检查完整性、存在性、会计计量、所有权以及信息披露等方面,检查内容包括是否记录了所有的资产和负债:所有记录的资产和负债是否都是存在的;对资产和负债的计量是否精确,计算方法是否符合按合理性、一致的标准制定的会计政策的要求:确认资产是被审主体所有的、负债是被审主体应该承担的,并且资产和负债是否由合法的经济活动产生的;资产、负债、资本和存货是否都得到正确的披露。同时对信息系统提供的业务信息也要进行分析,例如每月的工资总数、某阶段的付款清单和订货信息等,要弄清基本的交易情况,并一直追踪到信息源。对上述信息的分析可以采用计算机辅助审计技术,按照特定的标准对数据进行汇总、分类、排序、比较和选择,并进行各种运算。
(3)数据传输转移环节.
在信息系统中,有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移,在此过程中可能会出现一些问题,尤其是在需要手工重新录入时。因此在审计时要重点关注以下方面:在转移过程中数据可能会发生变化;新的科目代码表与老的可能不一样,需要在两个财务信息系统之间建立复杂的对应关系:中心数据库可能被一些地理上分散的服务器取代;当前财务信息系统中的数据质量不佳;当用一个总的信息系统取代一个预定财务信息系统时,需要补充许多新的数据。在检查这一环节时,一定要保证输出的消息是经过批准、完整和精确的,保证输出的消息在约定时间内准确地发送给指定的接收者,保证流人的消息是完整、准确和真实可靠的。
一、什么是信息系统审计
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程(国际信息系统审计与控制协会ISACA的定义)。目前审计机关信息系统审计主要有两种方式,一种是将信息系统审计作为常规审计的一部分,为实现审计项目的总体目标服务,即数据审计、信息系统审计和系统内部控制审计“三位一体”的结合方式。信息系统审计和系统内部控制审计为数据审计服务,通过审计数据得出结论。另一种是独立立项的,直接审计信息系统本身的安全性、可靠性和有效性。
二、开展信息系统审计的紧迫性
信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然产物。
(一)开展信息系统审计是控制审计风险的要求。近几年,审计纸质账目时,内部控制也要审计,不能假账真审。同样的道理也不能假电子数据真审,如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。
(二)开展信息系统审计是全面履行审计职责的要求。信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须“三位一体”,在审计过程中,这三项内容不能少。只有这样,我们才能完成“全面审计,突出重点”的要求,全面履行审计职责。
三、现阶段如何开展信息系统审计
(一)提高全体审计人员信息系统审计的意识。
“审计人员不掌握计算机技术,将失去审计资格”这一观点基本得到了八万审计人员的认同,这些年计算机在审计领域得到了普遍的应用,数据审计得到了有力的推进,但大多数人对于信息系统审计的认识还不到位,对开展信息系统审计的必要性、紧迫性认识不足,甚至对开展信息系统审计的可行性持怀疑态度。为保证信息系统产生的数据真实完整,信息系统的安全、可靠和有效,重大的审计项目,只要被审计单位应用的是信息系统,我们就必须审计信息系统,检查系统内部控制,只有这样才能防止假账真审。
(二)重视计算机信息系统审计人才的培养,不断提高其审计技能。
计算机信息系统审计对审计人员的专业技能要求较高,除了需要审计人员具备相应的审计技能外,还要具备较高的计算机水平。计算机信息系统审计人员的获得有两个渠道,一是在配备人员时就将计算机技能作为一个必要条件,在实际工作中不断培养其审计技能;二是对现有审计人员进行计算机知识的培训,增强其信息技术审计能力。由于计算机技术涉及的范围广、技术复杂性强、计算机信息技术快速发展的特点,决定了不论以何种方式获得的信息技术审计人员,都要对其进行持续不断的后续教育。
(三)信息系统审计应重点关注三个环节
(1)内部控制环节。
在计算机系统中,应检查以下方面来证明内控制度的有效性:1.控制系统资源的存取。包括物理资源,例如终端、服务器、连接盒、相关文档等;还包括逻辑资源,如软件、系统文件和表、数据等。2.控制系统资源的使用。用户应该只能对授权给他们的那些资源进行操作。3.建立按用户职能分配资源的制度。把重要的任务功能按用户或用户组进行分离,以减少无意的误操作、滥用系统资源和对数据的非授权修改。4.记录系统的使用情况。按时间顺序建立一个使用记录,记录内容应包括例外事例和与安全有关的事件是由谁触发的,财务信息的创建、修改和删除是由谁完成的。5.确认处理过程的准确性。用产生财务控制信息,确认处理过程的准确完成。6.管理人员对财务信息系统的修改。应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底(独立地)测试的,确认最后以一种有控制的方式投入使用。7.保护财务信息系统免遭计算机病毒的袭击。必须建立一套控制措施,检测病毒,防止病毒感染财务信息系统。
(2)数据环节。
在审计中,审计人员选择一些交易对其进行详细检查,确认交易记录是否符合一般的审计目标。一是检查会计事项信息,要检查它的完整性、时效性、合规性和信息披露等方面,检查内容包括与本会计年度有关的交易是否全部记录在册;所有记录的交易是否都是合理发生的并与本会计年度有关;记录的交易是否数据准确,计算无误:记录的交易是否符合基本的和辅助的法律规定,符合特定权威机构的要求;对记录的交易是否进行正确的分类,并符合信息对外披露的要求等。二是检查财务报表信息,要检查完整性、存在性、会计计量、所有权以及信息披露等方面,检查内容包括是否记录了所有的资产和负债:所有记录的资产和负债是否都是存在的;对资产和负债的计量是否精确,计算方法是否符合按合理性、一致的标准制定的会计政策的要求:确认资产是被审主体所有的、负债是被审主体应该承担的,并且资产和负债是否由合法的经济活动产生的;资产、负债、资本和存货是否都得到正确的披露。同时对信息系统提供的业务信息也要进行分析,例如每月的工资总数、某阶段的付款清单和订货信息等,要弄清基本的交易情况,并一直追踪到信息源。对上述信息的分析可以采用计算机辅助审计技术,按照特定的标准对数据进行汇总、分类、排序、比较和选择,并进行各种运算。
(3)数据传输转移环节.
在信息系统中,有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移,在此过程中可能会出现一些问题,尤其是在需要手工重新录入时。因此在审计时要重点关注以下方面:在转移过程中数据可能会发生变化;新的科目代码表与老的可能不一样,需要在两个财务信息系统之间建立复杂的对应关系:中心数据库可能被一些地理上分散的服务器取代;当前财务信息系统中的数据质量不佳;当用一个总的信息系统取代一个预定财务信息系统时,需要补充许多新的数据。在检查这一环节时,一定要保证输出的消息是经过批准、完整和精确的,保证输出的消息在约定时间内准确地发送给指定的接收者,保证流人的消息是完整、准确和真实可靠的。
| 【关闭】 【打印】 |
