县区级审计机关信息系统审计初探
张真(江苏省徐州市泉山区审计局)
为充分发挥审计“免疫系统”功能,顺应审计信息化建设,顺应电子化的时代特点,越来越多的审计机关对信息系统审计进行了探讨和研究,并取得丰硕的成果。下面就县区审计机关开展信息系统审计的一些问题进行初步探讨。
一、县区审计机关信息系统审计方式的选择
总体来说,信息系统审计分为两类,一种是独立的信息系统审计,还有一种是与财务收支审计相结合的信息系统审计。信息系统审计在我国还处于起步阶段,审计署还没有制定出信息系统审计准则和指南,实际操作中,各级审计机关立足于实际情况,选择适宜自己的审计方式。笔者认为,县区审计机关应选择与财务收支相结合的审计。这是因为:
㈠审计对象的特点。县区级审计机关信息系统审计的对象一般在医院、基金、财政等单位或部门。这些单位或部门与上级单位或部门相比,业务简单,所采用的信息系统逻辑关系不复杂,便于本单位日常管理维护和升级,被审计单位的业务处理基本上与资金流动是重合的,县区审计机关面对的审计对象中,财务收支系统一般处于中心地位或是使用最频繁的系统,不象大型企业集团中,信息系统由多个子系统组成。另一方面,有的农村乡镇或涉农街道办事处还没有统一的信息系统。
㈡审计人员结构及知识构成的互补。县区审计机关中40岁以上审计人员所占比重较大。这些“老财审”有丰富的财务知识和富有的工作经验,普遍计算机基础知识薄弱,对数据库、应用程序等技术掌握不够,但他们扎实的业务功底往往可以帮助年轻审计人员发现一个单位的症结所在。俗话说“拔出萝卜带出泥”。财务数据在信息系统最终输出后没被人为修改而存在不合理的地方,只能说明这个信息系统要么在程序处理上存在问题,要么就是被审计单位在信息系统管理中有舞弊嫌疑。实践证明,财务收支审计与信息系统审计结合、财务收支审计人员与计算机审计人员相结合,分别采取由表及里的倒推和由内到外的审计,往往能起到事半功倍的作用。
二、县区审计机关信息系统审计的薄弱环节
由于审计经验不足等原因,在审计中也暴露出不少的问题:
㈠审计方法单一。信息系统审计的基本方法有两种形式,一是基于“黑箱理论”的绕过信息系统审计,还有一种 是运用信息系统进行审计。前者是指审计人员不审查信息系统内的程序和文件,只审查输入数据和打印输出资料和管理制度的方法。后者除了审查上述内容外,还要对系统内的程序和文件进行审查。以某市信息系统审计为例,90%的县区审计机关采取的是第一种方法,这其中又有30%的单位对关键环节采取了第二种方法。前者审计技术简单,计算机基础不高的人员也可以进行审计,但是审计结论的质量不能保证。
㈡“宁滥勿缺”。这里的“宁滥勿缺”指的是审计人员对信息系统设备投入评价的一个导向。实际审计工作中,很多县区审计机关的审计报告,都把重点放在设备投入不足,对系统运行的安全性、效益性的影响上,关注的重点是“缺”或某个功能的投入不够充分。而没有对已投入的设备的效率、资源利用率进行审查,忽视了经济性审查。被审计单位的设备是否符合业务需求?部分环节有没有冗余的设备?是不是所有的设备都得到了充分的调用?有没有超标准、超需求投入的情况?这些问题都没有关注。
㈢重硬件偏软件。通过对某市信息系统审计案例进行分析,笔者发现95%的县区审计机关只关注硬件投入,评价硬件设施的维护及监控,基本上没有审计机关关注被审计单位的软件建设和维护。大家在使用计算机的时候都有这样的经验,计算机出现故障只有很小一部分是硬件故障,大部分原因是由于软件不兼容、软件未及时升级、使用盗版软件等原因造成的。现阶段审计重点与硬软件的出错几率比例倒置。实际上,软件的维护及相关文档才更有利于审计人员评价系统运行效率及质量。
㈣忽视网络架构控制及其审计。信息化的一大特点是资源共享。为了这一目的,很多被审计单位都是局域网、客户机/服务器(C/S)架构及互联网等方式相结合的方式。很多审计机关在审计时关注的是内部管理,目的是防疏堵漏而忽视了网络条件下外部的风险。网络条件下,业务人员不经意的疏漏对信息系统安全带来的影响,有时候是毁灭性的。对网络架构控制进行审计,降低其控制风险,是安全性审计中必不可少的一个部分。
㈤概念的混淆。信息系统审计的一个重点就是信息系统的合法性、合规、真实性审计。但笔者发现在审计实践中,有的审计人员将其与数据的真实、合规等同起来。这是完全不同的范畴。比如:某人去医院看病,使用的是别人的医保卡,这是决绝不允许的,那么,他拿着此卡从挂号到诊疗再到拿药或者住院治疗,在医院管理系统中产生的数据实际上虚假的,但每个数据的录入、处理都是符合数据规则和操作规程的,信息系统的每个处理都是根据此数据的正常处理,你能据此评价该系统不合规吗?再比如某医院药品违规加价,录入到药库中的药品零售价是违规的,在门诊及住院病人诊疗中,各检查模板、收费模板调用的都是该数据,最终造成了多收取病人医药费用的结果,这是医院的违规行为,是人及财务管理的问题,能因此评价该系统不合规吗?审计人员要分清这些,不要一查合规性,就直奔数据而忽视程序而去。
三、县区审计机关加强信息系统审计的措施
县区审计机关与上级审计机关相比,业务技能及人员构成都有一定的差距,要针对自己的弱点,提升自己的能力。
㈠转变审计观念。有的人可能会说,我们都已经进行信息系统审计了,观念还不行吗?信息系统审计是审计一种类型,它的实施并不代表观念的更新。如果审计人员的观念还是停留在查错纠弊,那么对信息系统的审计也只能是蜻蜓点水,只能发现一些明显或无关紧要的小错误、小毛病。只有树立了审计要发挥“免疫系统”功能的审计观念,才能理解信息系统审计的重要意义,才能沉下身,钻进去的发现信息系统中错弊,帮助被审计者建立、健全管理机制,把问题从源头就消灭掉。
㈡加大人员培训。开展信息系统审计需要一批既掌握现代审计理论与实务又了解计算机技术的复合型知识结构的专业人才,仅仅依靠审计署举办审计中级培训,无论从时间和机会上都是远远不能满足县区审计局的要求的。县区审计局要从自己的实际出发,积极向上级审计机关学习,一方面培养“通理论、懂实务”的高端人才,另一方面从具体问题入手,以案例培训等形式培养应用型人才。而后通过“传、帮、带”和“1+1>2”的学习理念,提高全体工作人员的业务技能。(张真)
一、县区审计机关信息系统审计方式的选择
总体来说,信息系统审计分为两类,一种是独立的信息系统审计,还有一种是与财务收支审计相结合的信息系统审计。信息系统审计在我国还处于起步阶段,审计署还没有制定出信息系统审计准则和指南,实际操作中,各级审计机关立足于实际情况,选择适宜自己的审计方式。笔者认为,县区审计机关应选择与财务收支相结合的审计。这是因为:
㈠审计对象的特点。县区级审计机关信息系统审计的对象一般在医院、基金、财政等单位或部门。这些单位或部门与上级单位或部门相比,业务简单,所采用的信息系统逻辑关系不复杂,便于本单位日常管理维护和升级,被审计单位的业务处理基本上与资金流动是重合的,县区审计机关面对的审计对象中,财务收支系统一般处于中心地位或是使用最频繁的系统,不象大型企业集团中,信息系统由多个子系统组成。另一方面,有的农村乡镇或涉农街道办事处还没有统一的信息系统。
㈡审计人员结构及知识构成的互补。县区审计机关中40岁以上审计人员所占比重较大。这些“老财审”有丰富的财务知识和富有的工作经验,普遍计算机基础知识薄弱,对数据库、应用程序等技术掌握不够,但他们扎实的业务功底往往可以帮助年轻审计人员发现一个单位的症结所在。俗话说“拔出萝卜带出泥”。财务数据在信息系统最终输出后没被人为修改而存在不合理的地方,只能说明这个信息系统要么在程序处理上存在问题,要么就是被审计单位在信息系统管理中有舞弊嫌疑。实践证明,财务收支审计与信息系统审计结合、财务收支审计人员与计算机审计人员相结合,分别采取由表及里的倒推和由内到外的审计,往往能起到事半功倍的作用。
二、县区审计机关信息系统审计的薄弱环节
由于审计经验不足等原因,在审计中也暴露出不少的问题:
㈠审计方法单一。信息系统审计的基本方法有两种形式,一是基于“黑箱理论”的绕过信息系统审计,还有一种 是运用信息系统进行审计。前者是指审计人员不审查信息系统内的程序和文件,只审查输入数据和打印输出资料和管理制度的方法。后者除了审查上述内容外,还要对系统内的程序和文件进行审查。以某市信息系统审计为例,90%的县区审计机关采取的是第一种方法,这其中又有30%的单位对关键环节采取了第二种方法。前者审计技术简单,计算机基础不高的人员也可以进行审计,但是审计结论的质量不能保证。
㈡“宁滥勿缺”。这里的“宁滥勿缺”指的是审计人员对信息系统设备投入评价的一个导向。实际审计工作中,很多县区审计机关的审计报告,都把重点放在设备投入不足,对系统运行的安全性、效益性的影响上,关注的重点是“缺”或某个功能的投入不够充分。而没有对已投入的设备的效率、资源利用率进行审查,忽视了经济性审查。被审计单位的设备是否符合业务需求?部分环节有没有冗余的设备?是不是所有的设备都得到了充分的调用?有没有超标准、超需求投入的情况?这些问题都没有关注。
㈢重硬件偏软件。通过对某市信息系统审计案例进行分析,笔者发现95%的县区审计机关只关注硬件投入,评价硬件设施的维护及监控,基本上没有审计机关关注被审计单位的软件建设和维护。大家在使用计算机的时候都有这样的经验,计算机出现故障只有很小一部分是硬件故障,大部分原因是由于软件不兼容、软件未及时升级、使用盗版软件等原因造成的。现阶段审计重点与硬软件的出错几率比例倒置。实际上,软件的维护及相关文档才更有利于审计人员评价系统运行效率及质量。
㈣忽视网络架构控制及其审计。信息化的一大特点是资源共享。为了这一目的,很多被审计单位都是局域网、客户机/服务器(C/S)架构及互联网等方式相结合的方式。很多审计机关在审计时关注的是内部管理,目的是防疏堵漏而忽视了网络条件下外部的风险。网络条件下,业务人员不经意的疏漏对信息系统安全带来的影响,有时候是毁灭性的。对网络架构控制进行审计,降低其控制风险,是安全性审计中必不可少的一个部分。
㈤概念的混淆。信息系统审计的一个重点就是信息系统的合法性、合规、真实性审计。但笔者发现在审计实践中,有的审计人员将其与数据的真实、合规等同起来。这是完全不同的范畴。比如:某人去医院看病,使用的是别人的医保卡,这是决绝不允许的,那么,他拿着此卡从挂号到诊疗再到拿药或者住院治疗,在医院管理系统中产生的数据实际上虚假的,但每个数据的录入、处理都是符合数据规则和操作规程的,信息系统的每个处理都是根据此数据的正常处理,你能据此评价该系统不合规吗?再比如某医院药品违规加价,录入到药库中的药品零售价是违规的,在门诊及住院病人诊疗中,各检查模板、收费模板调用的都是该数据,最终造成了多收取病人医药费用的结果,这是医院的违规行为,是人及财务管理的问题,能因此评价该系统不合规吗?审计人员要分清这些,不要一查合规性,就直奔数据而忽视程序而去。
三、县区审计机关加强信息系统审计的措施
县区审计机关与上级审计机关相比,业务技能及人员构成都有一定的差距,要针对自己的弱点,提升自己的能力。
㈠转变审计观念。有的人可能会说,我们都已经进行信息系统审计了,观念还不行吗?信息系统审计是审计一种类型,它的实施并不代表观念的更新。如果审计人员的观念还是停留在查错纠弊,那么对信息系统的审计也只能是蜻蜓点水,只能发现一些明显或无关紧要的小错误、小毛病。只有树立了审计要发挥“免疫系统”功能的审计观念,才能理解信息系统审计的重要意义,才能沉下身,钻进去的发现信息系统中错弊,帮助被审计者建立、健全管理机制,把问题从源头就消灭掉。
㈡加大人员培训。开展信息系统审计需要一批既掌握现代审计理论与实务又了解计算机技术的复合型知识结构的专业人才,仅仅依靠审计署举办审计中级培训,无论从时间和机会上都是远远不能满足县区审计局的要求的。县区审计局要从自己的实际出发,积极向上级审计机关学习,一方面培养“通理论、懂实务”的高端人才,另一方面从具体问题入手,以案例培训等形式培养应用型人才。而后通过“传、帮、带”和“1+1>2”的学习理念,提高全体工作人员的业务技能。(张真)
| 【关闭】 【打印】 |
