审计署武汉办积极探索信息系统审计成效显著
近年来,审计署驻武汉特派办高度重视信息系统审计,将其作为推动计算机审计工作再上新台阶的着力点,取得较好成效。2009、2010年度,武汉办紧紧围绕刘家义审计长提出的“安全性、有效性、经济性”三个着力点,共在5个审计项目中开展了信息系统审计,在审计思路、组织方式、方法技术方面均做出了有益的实践。
一、积极探索审计思路,项目呈现不同特色。目前,运用信息化手段提升管理水平和效率,已成为被审计单位的普遍选择,信息系统审计的重要性也随之日益显现。但是,多数被审计单位应用的信息系统结构复杂、数量众多而且涉及业务管理全流程,而审计的时间和人力资源相对有限。在此情况下,武汉办组织信息系统审计项目实施时,按“有面有点,重点揭露被审计单位信息系统中关键问题”这一思路开展,抓住重点、突出特色、注重效率。如某政策银行信贷管理系统审计,重点是“向商业银行外购的软件是否符合政策性银行业务需要”;某市环保部门信息系统审计,重点是“环保部门环境监测系统数据是否一致,信息是否有效共享”;中国海洋石油总公司(以下简称中海油)ERP系统审计,重点是“ERP项目实施是否实现了预期目标,运行效果如何”;中国人民财产保险股份有限公司(以下简称人保财险)核心业务系统审计,重点是“系统能否有效防范异常操作的产生”;全国社会保障基金理事会(以下简称社保理事会)信息管理系统审计,重点是“核算数据是否真实、完整”。在这5个项目中,审计人员牢牢抓住其信息系统运行和管理的特点,有的放矢,集中专业力量开展分析核查,使审计结论和建议更具有针对性,每个项目都呈现鲜明特色。
二、灵活安排组织方式,充分融入审计项目。武汉办所实施的5个信息系统审计项目,均采用“结合式”的方法,即服务于审计项目开展信息系统审计。一方面,在选择系统和确定审计事项时综合考虑与审计项目总体目标的关联程度、审计资源的充分程度和被审计单位对业务系统的依赖程度,另一方面,开展信息系统审计时紧密结合数据式审计,相互促进、相互补充,共同发挥计算机审计的功能。如在对中海油的审计中,发现对方使用的信息系统有160余个,但其ERP系统与日常经营管理最为密切相关,能有效回答内部控制是否到位、IT项目投资是否发挥效益等问题,因此选择该系统为审计对象。同时,审计人员下载了ERP系统的全部数据,并组织数据分析团队对数据进行了全面分析,形成数据分析报告。根据数据分析的结果,审计组确定了报表准确性、收发货量和单价等关键应用控制环节作为信息系统审计的重点,并进一步通过数据分析深入查找证据,信息系统审计和数据式审计相辅相成,效果良好。
三、认真研究方法技术,因地制宜有所创新。在信息系统审计中,武汉办计算机审计人员还根据每个项目的特点,积极探索一些行之有效的审计技术方法。一是数据对比分析法,如在某市环保部门的审计中,对不同系统的数据进行比对,在社保理事会的审计中,对不同时点采集的数据进行比对,以此方法查找系统是否留有非法修改的功能模块。二是测试环境中的模拟数据运行法,如人保财险审计中,被审计单位的生产系统均不允许直接操作,审计人员即在其测试环境中设计模拟数据运行,包括不符合校验条件、关键字段缺失、流程不全等异常操作。三是日志文件分析法,如在中海油ERP系统审计中,通过分析登录日志文件,发现大量用户长期未登录,使用效果不佳;在社保理事会审计中,分析日志文件发现有关人员跨年度对以前年度的明细账、记账凭证等进行修改。四是量化指标设计分析法,即在面对大型国有企业的ERP系统时,审计人员设计并计算关键绩效评价指标,如在中海油审计时,通过梳理业务流程,设计出“采购业务在线结算率”这一评价指标,对系统使用情况进行量化评价,最终揭示出该企业核心业务流程使用率不高,有力支持了“中海油ERP系统运行效果不佳”这一审计结论。(张海燕)
一、积极探索审计思路,项目呈现不同特色。目前,运用信息化手段提升管理水平和效率,已成为被审计单位的普遍选择,信息系统审计的重要性也随之日益显现。但是,多数被审计单位应用的信息系统结构复杂、数量众多而且涉及业务管理全流程,而审计的时间和人力资源相对有限。在此情况下,武汉办组织信息系统审计项目实施时,按“有面有点,重点揭露被审计单位信息系统中关键问题”这一思路开展,抓住重点、突出特色、注重效率。如某政策银行信贷管理系统审计,重点是“向商业银行外购的软件是否符合政策性银行业务需要”;某市环保部门信息系统审计,重点是“环保部门环境监测系统数据是否一致,信息是否有效共享”;中国海洋石油总公司(以下简称中海油)ERP系统审计,重点是“ERP项目实施是否实现了预期目标,运行效果如何”;中国人民财产保险股份有限公司(以下简称人保财险)核心业务系统审计,重点是“系统能否有效防范异常操作的产生”;全国社会保障基金理事会(以下简称社保理事会)信息管理系统审计,重点是“核算数据是否真实、完整”。在这5个项目中,审计人员牢牢抓住其信息系统运行和管理的特点,有的放矢,集中专业力量开展分析核查,使审计结论和建议更具有针对性,每个项目都呈现鲜明特色。
二、灵活安排组织方式,充分融入审计项目。武汉办所实施的5个信息系统审计项目,均采用“结合式”的方法,即服务于审计项目开展信息系统审计。一方面,在选择系统和确定审计事项时综合考虑与审计项目总体目标的关联程度、审计资源的充分程度和被审计单位对业务系统的依赖程度,另一方面,开展信息系统审计时紧密结合数据式审计,相互促进、相互补充,共同发挥计算机审计的功能。如在对中海油的审计中,发现对方使用的信息系统有160余个,但其ERP系统与日常经营管理最为密切相关,能有效回答内部控制是否到位、IT项目投资是否发挥效益等问题,因此选择该系统为审计对象。同时,审计人员下载了ERP系统的全部数据,并组织数据分析团队对数据进行了全面分析,形成数据分析报告。根据数据分析的结果,审计组确定了报表准确性、收发货量和单价等关键应用控制环节作为信息系统审计的重点,并进一步通过数据分析深入查找证据,信息系统审计和数据式审计相辅相成,效果良好。
三、认真研究方法技术,因地制宜有所创新。在信息系统审计中,武汉办计算机审计人员还根据每个项目的特点,积极探索一些行之有效的审计技术方法。一是数据对比分析法,如在某市环保部门的审计中,对不同系统的数据进行比对,在社保理事会的审计中,对不同时点采集的数据进行比对,以此方法查找系统是否留有非法修改的功能模块。二是测试环境中的模拟数据运行法,如人保财险审计中,被审计单位的生产系统均不允许直接操作,审计人员即在其测试环境中设计模拟数据运行,包括不符合校验条件、关键字段缺失、流程不全等异常操作。三是日志文件分析法,如在中海油ERP系统审计中,通过分析登录日志文件,发现大量用户长期未登录,使用效果不佳;在社保理事会审计中,分析日志文件发现有关人员跨年度对以前年度的明细账、记账凭证等进行修改。四是量化指标设计分析法,即在面对大型国有企业的ERP系统时,审计人员设计并计算关键绩效评价指标,如在中海油审计时,通过梳理业务流程,设计出“采购业务在线结算率”这一评价指标,对系统使用情况进行量化评价,最终揭示出该企业核心业务流程使用率不高,有力支持了“中海油ERP系统运行效果不佳”这一审计结论。(张海燕)
| 【关闭】 【打印】 |
