确保信息系统审计质量应做好三篇文章
张磊 王健兵(审计署驻上海特派办)
【发布时间:2010年09月01日】
字号:【大】 【中】 【小】
    当前,对在审计项目中开展信息系统审计的必要性和重要性在国家审计机构中已经取得了统一的认识,《审计署2008至2012信息化发展规划》明确提出要探索符合中国国情的信息系统审计。同时,2010年审计署的工作计划中也明确了在一些审计项目中开展信息系统审计。信息系统审计工作正逐步深化。但是,信息系统审计在我国还是一个新的课题,没有现成的适合我国国情的模式可以借鉴,信息系统审计包含的全部内容都需要进行探索和研究。但是,另一方面,对于审计人员来说,审计质量是我们的生命线,我们必须予以保障。因此,在信息系统审计中如何确保审计质量成为当前我们必须研究的一个新课题。笔者结合近年来在审计项目中开展信息系统审计的实践,认为写好三篇文章,在一定程度上能够保障信息系统审计的质量。
    第一篇文章:写好审计实施方案
    
俗话说“好的开头是成功的一半”,对一个审计项目来说,审计实施方案的质量在一定程度上也决定了审计项目的质量。如何提高信息系统审计的审计实施方案质量,重点关注以下四个方面:
    一、业务描述
    根据被审单位业务需求设计来进行业务描述。从描述内容上看,对某项业务描述的概述,要以企业提供的会计报表为基础,从会计科目入手往下分析,分析各项业务影响哪些会计科目;从描述方式上看,在进行该项业务的图形描述时,要关注系统的设计文档,看是否有设计蓝图,同时审计人员也要根据对该项业务的实际了解来描述蓝图。对没有设计蓝图的业务流程要作为审计的一个重点关注方面,因为这意味着在信息系统开发中该项业务流程的设计属于软件开发过程中的系统设计缺失,可能会对整个信息系统带来安全隐患;在描述方法上看,如果采用功能流程图进行描述时,描述清楚该项业务涉及的部门、该项业务具体是干什么、在信息系统中属于哪个子系统等问题。如果采用应用系统的控制调查表进行业务描述,要精确到具体岗位、功能、人员、SQL语句等。
    二、系统描述
    主要是从软件功能设计部分来进行描述。需要注意以下三点内容:一是在描述系统内部控制时,要重点关注某项业务在系统中是如何实现控制的,包括功能、数据、输入、处理、输出等,用文字进行描述;二是在针对系统的某项业务的功能描述时,要注意关注该系统是通用系统还是专用系统,其影响范围是不一致的,同时也要关注参考资料是否是系统功能设计文档,如没有这方面的资料可借鉴,则说明其系统设计存在缺陷;三是在采用流程图对某项业务的数据流程描述时,由于数据流程是通过数据来体现的业务流程,对数据的控制是软件功能的一个主要方面,因此数据流程也是业务流程审计的主体。数据流程的描述既是符合性测试的基础,也是实质性测试的第一步。在描述数据流程时需要围绕业务事项来描写数据流的全过程,简单的业务流程要从所关注的事项描述起,如果是全面复杂的业务流程要从会计科目开始到最后数据的输出进行描述,而跨系统的业务流程也要对接口进行描述。
    三、系统分析
    在进行系统分析描述时,可以对某项功能由经验和原有案例进行分析判断;也可以结合业务流程、管理流程或者控制流程做符合性测试方案并进行符合性测试;还可以测试跟踪,包括对业务用例的跟踪,通过测试跟踪找到功能控制的SQL语句和控制过程以及数据流所涉及的具体数据库表格及表间关系。需要注意的是,在编写信息系统实施方案中的系统分析时不要忘记标识风险点,可以在流程图上标明并进行风险点特征描述;同时还可以结合企业本身已经标识的风险点,评价企业内控。
    四、系统评价
    系统评价的内容包括三个方面的内容,一是对内控的评价,包括对信息系统相关的制度、人员、机构的评价等;二是对信息系统审计涉及的软件系统进行评价;三是对某一制度、某一控制点的信息系统功能进行评价。
    第二篇文章:做好审计实质性测试方案
    
完成审计实施方案后,信息系统审计就是按照实施方案上制定的范围、重点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见。在这个阶段,应该重点做好审计实质性测试方案,以达到控制信息系统审计质量,需要注意以下几点:
    一、明确依据
    必须根据审计实施方案确定的审计目标开展实质性测试;根据符合性测试目标(重要性程度和风险程度)和对系统控制点的评价开展实质性测试,并用实质性测试来巩固和完善符合性测试结果。
    二、制定目标
    在实质性测试方案中必须明确测试方案的目标。比如对信息系统的内控制度,需要在测试中发现内控制度是否健全、执行情况等。
    三、具体测试对象
    在方案中要具体实质性测试的对象名称,时间和范围。要按照审计实施方案中确定的范围、对象和目标,在实质性测试方案中细化。对于每一个测试对象,都要进行细化。
    第三篇文章:写好审计报告
    正所谓“行百里者半九十”,信息系统审计的质量最终体现在审计报告上。因此,对于审计报告的质量必须予以重点关注,才能最终确保信息系统审计的质量。同样,控制审计报告的质量也需要注意以下几个方面:
    一、如实描述被审计单位信息系统的基本情况。
    清楚了解被审计单位的信息系统基本情况是开展信息系统审计的基础,因此在审计报告中应如实描述,应就被审计单位信息系统的组织、管理和内控情况等方面做如实说明。
    二、客观公正评价信息系统审计中发现的问题。
    对于审计过程中发现的问题,审计报告应该站在独立的角度,客观公正地进行评价。所有结论均要有审计底稿进行支撑,不能以个人主观代替客观标准。
    三、提出富有建设性的审计意见。
    要发挥好审计作为国家经济运行的免疫系统系统功能作用,一个重要的方面就是要根据审计发现的问题提出富有建设性的审计意见。审计一方面在于发现、揭示问题,更重要的是能够发挥免疫系统中的建设性作用,保障国家经济的平稳、健康运行。因此,在信息系统审计的审计报告中,也应该针对审计中发现的问题,有针对性的提出审计意见,以促进被审计单位更好的做好信息系统的规划、建设和管理,切实发挥审计免疫系统功能作用。
    虽然信息系统审计在国家审计中还处于萌芽期,实践中面临的大都是新的问题。但是,作为审计生命线的审计质量在审计项目实施中必须予以高度重视,笔者就如何在信息系统审计中控制审计质量发表一点愚见,以期抛砖引玉,希望能够引起更多审计同行的讨论、探索,更好地在国家审计中开展信息系统审计。(张磊 王健兵)



【关闭】    【打印】