联网审计模式下的税收征管信息系统审计研究
沈娟(江苏省苏州市审计局)
摘要:从财务审计到数据审计再到信息系统审计,审计组织方式也从人工审计到基于数据的分析审计再逐渐过渡到联网审计模式下的信息系统审计。本文将对信息系统审计的必要性和可行性进行研究,分析信息系统审计的现状和困难,通过我局近年来对信息系统审计的实践探索总结经验,提出对信息系统审计的对策思考。
关键词:联网 信息系统 审计 COBIT模型 增值
一、信息系统审计的必要性和可行性研究。
从人工处理阶段到ERP系统,信息系统的集成度越来越高,而随着信息系统信息技术的不断发展,审计环境也正在逐渐演变。从财务审计到数据审计再到信息系统审计,审计组织方式也从人工审计到基于数据的分析审计再逐渐过渡到联网审计模式下的信息系统审计。
国际信息系统审计协会(ISACA)将信息系统审计定义为“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效果地实现组织目标地过程”。信息系统审计不仅要对被审计对象采用的信息系统的安全性、可靠性以及控制的有效性进行了解、测试与评价,而且要对被审计对象的业务流程中信息系统控制存在的不足做出判断并提出改进建议,起到一定的增值作用。
(一)必要性研究:审计环境的变化使信息系统审计应运而生。
1.被审计单位数据的电子化程度不断提高,需要审计人员对电子数据的真实性、完整性进行审计,对于电子数据的载体——信息系统的审计应运而生。对于从被审计单位获取的电子数据(包括业务数据与财务数据),必须对经信息系统处理后的电子信息的真实性和完整性审查,避免假账真审,不仅关系到审计成本而且影响着审计结果。
2.信息系统的安全性影响着信息系统中的电子数据的真实性和完整性,因此,对信息系统的安全性开展审计就显得尤为重要。信息系统安全性的影响因素:一是网络安全、系统的荷载能力、信息系统的交替、应急预案等信息系统关键技术等。二是内部管理工作流程、内部控制的建立健全及其有效性等。在信息系统的安全中,人的影响作用是不容忽视的,首先信息系统是由人开发设计的,难免会存在一定的缺陷或不足。再者,在实施过程中,人为的操作疏忽和干预系统控制也会对信息系统的安全产生威胁。
3.从绩效的角度来讲,对信息系统的开发及其运行绩效实施审计的呼声越来越高。不论是政府机关还是企业对信息系统的依赖程度不断提高,对信息系统的需求也越来越多,信息系统频繁更新换代。政府机关的信息系统往往存在着投入大,开发的系统功能不完善,系统不稳定等情况。有些系统还未完全投入使用,又开始新系统的开发,信息系统的生命周期过短,时常会有损失浪费的现象。
(二)可行性研究:审计的增值作用以及相关的业务知识基础和审计模式的不断创新增强了信息系统审计的可行性。
1.审计的增值作用能促进被审计单位问题的解决,信息系统审计若能得到被审计单位的支持,通常能收到相对不错的成效。信息系统通常存在不能完全迎合用户的需求、软硬件的配合程度差导致系统作用不能完全发挥以及对操作人员的业务水平需求等问题,这些问题甚至会对组织目标的实现产生负面影响。信息系统审计对信息系统实施的各阶段进行审计,并对存在的问题提出切实可行的建议,这样可以帮助被审计单位更好的解决问题,往往也较容易得到被审计单位的支持,有助于信息系统审计的开展。
2.随着信息技术不断推广,甚至渗透到人们的日常生活中,如上网冲浪、运用互联网强大的信息检索能力、利用OFFICE软件进行文字处理、电子表格数据存储分析等普及率越来越高。在这样的环境下,审计人员对信息技术方面的知识或多或少都会有一定的了解。而从高等院校毕业输送至审计队伍的审计人员,对信息技术的了解程度更是可以对缩短信息系统审计发展历程产生一定的积极作用。
3.信息系统审计模式正在逐步创新和完善。在信息化环境下,审计人员可以通过充分的审前调查,了解被审计单位的业务流程和信息系统运行能力,并通过联网审计技术来进行电子数据的采集,可直接对原始数据库中的数据进行审计,根据审计目标清理整合数据,运用“审计风险筛选矩阵”方法进行审计风险分析和风险评价,并以此为重点开展延伸审计,落实审计发现的问题并取证,最终得出审计评价。
如我局近年开展的财税联网审计,针对“预算跟踪、联网核查”审计模式的需求,定时采集被审计单位数据库,动态预警可疑数据,生成预警报告,实现了数据的动态采集和实时分析。这样的审计模式不仅可以避免因被审计单位提供虚假财务数据而产生的审计风险,也可以实现对被审计单位的数据的定时采集和动态预警,大大提高了财政审计工作的时效性,初步实现了财政审计工作从静态审计向动态审计、事后审计向事中审计的转变。
二、开展信息系统审计的方式、方法、人才、技术等方面现状和困难。
(一)现有的信息系统审计往往注重数据的分析利用,而对系统本身的安全性、可靠性、有效性等重视不足,处于逐步由数据审计向完全信息系统审计过渡阶段。
无论是业务处理还是财务处理,整个过程的轨迹最终都会以各种形式存储于电子数据中。信息系统审计应通过对信息系统从开发、运行到后期维护的整个生命周期过程开展全面审查,从信息系统的安全性、数据库中存储数据的完整性、系统的可靠性、有效性以及效率性等方面来评价信息系统能否达到预期目标,并为改善信息系统运行效果提出审计建议。在以上方面,当前信息系统审计的实施大部分还停留在电子数据的采集转换和清理分析利用阶段,虽财税联网审计模式初步实现了事后审计向事中审计的过渡,但联网审计的介入也仅是通过信息系统审计对数据的真实、完整性提供保证,最终落脚点仍在数据的分析上,忽视系统本身的安全性、可靠性、有效性等,注重业务处理逻辑而忽略系统算法的合理和优化等,这显然与完整意义上的信息系统审计的目标存在一定差距。
(二)业务需求对信息系统的依赖程度日益加深,信息系统的构成也越来越复杂,而评价信息系统的标准却相对缺乏。
被审计单位的业务需求不同,构建的信息系统也不尽相同,且由于开发模式、知识产权等原因,系统开发公司和系统用户缺乏提供系统开发、运行相关资料的主动性和积极性。开展信息系统审计,审计人员必须先对信息系统有全面的了解,且目前各个部门采用的信息系统各异,仅财政部门各地所采用的信息系统不尽相同,了解系统所需的时间和精力与审计资源的现状反差极大,使得信息系统审计的难度加大。
COBIT(Control Obiectives for Information and related Technology)模型是由ISACA公布的被国际上公认为较权威的安全与信息技术管理和控制标准,由于我国信息化发展的现状,还不能与之直接接轨。我国审计对信息系统审计的相关评价标准相对还不完善,只有中国内部审计协会发布了《内部审计具体准则第28号——信息系统审计》,在一定程度上影响了我国信息系统审计的查错纠偏以及其他后续审计事项的公信力。
(三)信息系统生命周期偏短,更新换代频繁。
在改革开放、经济飞速发展的大背景下,被审计单位的信息系统的存续时间较短,多则三至五年,少则一年,变革驱动业务需求的变化,新老系统交替较为频繁。而新老系统往往存在一定差异,更替阶段电子数据容易出现丢失或者是重复的现象,影响到了电子数据的真实、完整性,从而影响到审计结论。
(四)信息系统审计专业人才缺乏。
信息系统审计人员不仅要掌握一定的经济管理和财务知识,而且还必须掌握计算机知识,能够运用现代审计技术方法, 选用适当的评价标准,对信息系统的安全性、可靠性和有效性进行评价,并提出完善系统的建议。目前既掌握信息技术又具备现代审计技术能力的审计人员数量还不多,审计人员大多仍以财务专业为主,远远不能适应开展信息系统审计的需要。
三、风险基础审计模式下我局利用联网审计技术开展财税信息系统审计案例实证分析。
COBIT模型在信息系统审计方面,不仅提供了信息系统整个生命周期过程的系统管理控制指南,而且还提供了信息系统审计指南,为审计人员如何评估信息系统的固有风险与控制风险提供了衡量标准。信息系统审计人员可以用COBIT模型中适应我国信息系统发展现状的具体指标为参考,运用风险审计模式理念,在系统论的指导下,围绕审计目标和重点审计内容,评价信息系统核心功能的运行状况和影响系统核心功能的内外部环境,对被审计信息系统在各个重点层面上是否达到控制目标发表意见。
以下仅通过我局基于COBIT模型运用联网审计模式开展税收征管情况审计的流程来对信息系统审计目标、审计风险、审计内容、审计方法等进行实证分析:
(一)税收征管系统审计实施流程。
审前调查阶段:了解税务部门征收情况;特别是了解信息系统是否进行升级维护或者更换;获取系统设计说明书、数据结构字典、用户操作手册等文档资料。
审计计划阶段:参考历年税收审计的实施情况识别评估审计风险,包括被审计系统的控制有效性等;制定审计实施方案,初步明确审计重点内容及实施方法;发出审计通知书等。
审计实施阶段:以审计实施方案为导向进行征管系统数据采集、数据清理转换、数据分析,运用分析性复核,筛选重点审计风险控制环节;对税收征管系统设计、系统运行安全可靠性进行检查;对系统内部控制开展符合性测试,根据符合性测试的结果来决定实质性测试的程序和范围。
审计终结阶段:出具信息系统审计结论;将审计结果与被审计单位沟通;对信息系统及相关业务流程提出针对性建议并监督其整改落实。
税收征管系统审计流程图
(二)税收征管系统审计目标。
通过运用联网审计技术手段,采集税收征管系统数据并对税收征管系统的安全性、稳定性、可靠性等进行评估,为获取征管数据的真实完整提供保证。基于真实完整的征管数据对近年来不同行业及税种的税源增减变化情况以及重点税源企业近年税收贡献变化情况进行分析,做到联网审计的监控,发挥审计免疫系统的预警作用,适时对地税征管各环节包括征管系统控制中存在的问题提出切实可行的审计意见和建议,促进税务部门依法治税,强化税收征管力度,规范税收征管行为,并为政府及各职能部门研究制定促进地方经济发展的政策提供参考依据,起到审计的增值作用。
(三)税收征管系统重要性水平的确定和审计风险评估。
1.重要性水平的确定
税收征管活动围绕税款的征收入库和减免、退库展开,根据初步分析性复核和历次税收审计的情况,将征纳、减免和退库环节重要性水平定为10万元。
2.审计风险评估
在信息系统审计的过程中,如果审计人员对信息系统内部可能出现的缺陷或错误的情况判断失误,过分依赖信息系统的控制的有效性或不依赖信息系统的控制,都可能会影响审计方式、审计成本等甚至审计结果的客观性和增值性。而这种判断失误的可能性本身就是信息系统的审计风险。
审计风险=固有风险×控制风险×检查风险
COBIT模型将控制目标按照域、过程和任务活动逐步细化,定义了四个域的34 个高层次控制目标以及318 个具体控制目标。选取COBIT模型在规划与组织、获取与实施、交付与支持、监控四个域中部分控制过程,规划与组织域对应系统生命周期的系统分析阶段,获取与实施域对应系统设计和测试实施阶段,交付与支持域对应系统运行维护阶段,而监控域则应贯穿于整个生命周期。
具体来说,就是在组织目标层面上分析税收征管目标和征管业务不相符、税收征管系统组织结构中不能有效达成系统目标的风险;在日常组织管理层面上,分析税收征管系统不能满足的业务需求、征管系统开发与变更不规范对系统安全产生威胁、信息资产安全等风险;在征管业务层面上,分析人力资源管理的有效性和效率、程序开发与维护完整性和可靠性、数据管理的安全性、内部控制的适当性等风险。利用管理学中“Balance Score Card”(平衡记分卡)的方法,从价值贡献、内部过程、客户角度和未来发展四个角度来分析征管系统应用与征管业务的因果关系,结合上述各层面的风险分析构建征管系统指标体系,再评估征管系统目标、运行成效与指标体系差距的程度,确定其固有风险和控制风险水平。然后根据预定的可接受的审计风险水平来确定检查风险,并根据检查风险水平决定实质性测试的程序和范围。
COBIT模型下税收征管系统风险评估
根据上述风险评估的情况,初步确定可接受的税收征管审计总体审计风险为3%,固有风险水平因具体环节和纳税人不同有所差异,控制风险为30%。
将征纳、减免和退库分解为一般征纳、门临征纳、检查征纳、税款减免、税款退回五项主要内容,分别对审计风险模型中各要素风险水平进行评估:
检查风险表
对以上五项重点审计事项,视审计具体实施情况,适时调整对固有风险、控制风险的评估,不断修正,并据此确定实质性测试的程序和范围,并根据实质性测试结果和其他审计结果对固有风险和控制风险进行最终评估,如评估结果高于初步评估的风险水平,考虑追加相应的审计测试。这也就是“审计风险筛选”的过程。
(四)税收征管系统重点审计内容和方法。
1.税收征管系统使用不稳定、用户权限设置控制不当等系统设计阶段存在的缺陷。
信息系统的设计缺陷可能会导致系统无法满足用户需求、数据存储的不完整、软件的兼容性差、稳定性不足、用户权限设置不当,可以人工对数据库数据进行修改等。审计方法:审计人员可通过调阅税收征管系统设计说明书、观察系统界面、检查部分模块详细设计及软硬件配置等、利用系统测试的方法对征管系统进行功能测试,评估征管系统是否满足用户需求;开展性能测试,检查征管系统是否达到了一定的性能指标,如系统响应时间、容错能力等。
实例:税收会计统计报表应如实反映税务部门各项减免税款的真实完整情况。某税务局税收会统报表中的“减免税金”数据与业务数据长期存在着不一致。审计人员通过流程图检查法,即要求系统管理员提供生成会统报表的流程图,分析各个程序之间的关联性和逻辑性,审阅减免数据的取数是否完整。再者审计人员运用测试数据法,将一组测试数据输入系统中,并对系统运行结果与预期结果进行比较。通过上述方法,审计人员确认该局税收征管信息系统中的会统报表模块存在设计缺陷。
2.税收征管系统数据库数据的真实完整性、准确性。
数据库数据的安全、完整是审计的前提,审计人员把预先设定的测试数据通过税收征管系统系统运行,将运行结果与预期结果进行比较,测试系统数据处理的准确性。此外还需审查数据库中各种各样的操作日志文件,这些文件记录了数据库异常情况、用户的登陆以及用户操作等信息,利用这些文件可以检查数据库运行的性能情况,还可以审查用户对数据库的各种操作。如日志文件记录了用户连接数据库的信息,哪个用户、连接时间、进行了哪些操作等信息,这些信息都能为审计人员评价数据库数据的安全、完整提供参考。再如,数据的完整性可以通过外部第三方的数据来进行验证,如将税收征管系统产生的报表数据与金库报表进行比对,评价征管系统中的数据是否完整。
实例一:在对地税征管系统审计时采用内控调查表法,即询间、观察、查阅系统的文档资料,调查系统的内部控制措施,并结合实地观察法即对中心机房的防雷、防潮、抗干扰等基本保证措施进行检查。审计人员发现存在防雷、防潮等保护措施较弱、数据库未进行异地备份、灾难恢复计划内容不够完整、未安装入侵检测系统等情况。
实例二:利用计算机辅助审计工具和技术根据税款征收数据表和税款退还数据表,计算各级次各税种收入和税款退回,审查与金库报表反映的各级次各税种收入和税款退回是否一致,验证业务数据的真实完整性和准确性。审计人员发现金库退还报表与税收退回数据总额一致,但是部分税种在级次上、税种上存在着一定偏差。
3.基于真实完整的征管数据的税收征管征纳、减免和退库等主要业务流程审查。
通过系统中减免税、退库报表以及业务台帐数据,利用电子数据进行分析,抽样选取相关减免税报批或备案资料以及相关批复等资料,审查减免、退库业务是否真实、合法。通过系统中稽查专用文书,比对稽查税务检查通知书台帐与稽查结论文书台帐,评价稽查征纳环节是否存在不足。对系统中电子征管数据中各税种的勾稽关系进行审查,有针对性的选取部分延伸企业核实税务局在税收政策执行、税源管理以及征管方面的薄弱环节,从侧面评价征管系统的处理逻辑和控制功能的效率和效果。
实例一:根据信息系统的特性,采用“穿行测试”,即追踪门临申报纳税交易在信息系统中的处理全过程。从而筛选有税务登记证号的纳税人通过门临申报纳税的所有记录,重点关注通过门临缴纳税款金额较大的税款记录,分析未正常申报而通过门临缴纳税款的原因。同时利用计算机辅助审计工具和技术分析多年门临征收税款情况,从整体上把握门临税款随时间的变化趋势,以及各年门临税款的总额;分析各征管分局门临征收税款的时间变化情况,查找趋势不一致的征管分局,分析合理性,锁定疑点,通过延伸审计进一步落实审计疑点。
实例二:采用观察法即对信息系统的功能界面并进行系统查询,检查税收征管系统中加收滞纳金模块的功能设计,结合数据测试法,利用一组测试数据对滞纳金的计算正确与否进行测试。再通过税款数据来比对纳税人申报纳税的缴款期限与税款入库日期之间的逻辑关系,审查税务机关对税款入库日期超过缴款期限的纳税记录是否足额征收滞纳金。审计人员发现纳税人税款所属期的选择功能部分被锁定,以前年度的税款需与征管分局联系后方能申报,纳税人为了减少滞纳金支出而未选择正确的税款所属期,且也有部分未及时申报缴纳的税款未加收滞纳金,滞纳金的实际征收仍然存在着很大的漏洞。
(五)税收征管信息系统审计成果。
通过对税收征管系统的审计,近年来对税收征管系统中的缺陷提出了针对性建议,如加强征管分局业务台帐数据与会计统计的信息交换与沟通、对纳税人重复上传电子财务报表记录设置作废字段以保证数据的准确性、滞纳金征收不到位等,并查补了上千万应征未征税收,还在延伸审计中发现了改制国企占用大量国有资金的情况,追回国有资金2600余万元,同时通过审计与有关部门的协作机制,向有关部门移送审计线索多条,审计线索均得到了落实处理。
四、对信息系统审计评价标准、人才建设和创新审计方法等的对策思考。
(一)建立健全信息系统审计操作体系。信息系统审计的发展亟需建立与完善信息系统审计适用的相关政策和审计准则,使信息系统审计有据可依、实施规范,从法律层面上保证信息系统审计得以顺利开展;制定完整的审计准则体系包括基本准则、具体准则、实务公告与执业规范操作指南等信息系统审计准则体系,对信息系统审计提供指导;制定包括安全性、可靠性、合法性、有效性、效率性等各项信息系统审计评价指标体系,使审计人员能对信息系统作出客观评价,并对信息系统设计缺陷以及对被审计单位的影响甚至被审计单位的业务流程中存在的不足做出判断并提出改进建议,起到对被审计单位的增值作用。
(二)培养专业信息系统审计人才,健全复合型人才培养机制。一方面,要加强对审计人员信息系统审计能力和技术的培训,对有一定信息技能基础的审计人员提供信息系统审计培训,拓展其相应知识、技术、能力,不仅能掌握信息系统审计的基本原则,而且能获得深入开展信息系统审计的技能。另一方面,对信息技术专业的IT 人员提供会计与审计知识培训。专业的IT人员对信息系统安全性、可靠性以及设计和控制环节中的不足有较深的认识,但由于缺乏管理学理论和会计审计知识,难以对系统设计以外的问题作出正确的评价。因此,拓展IT人员的财务专业知识有助于使IT人员能与财务审计人员一同去实施完整的信息系统审计,收到更好的审计效果。
(三)创新信息系统审计的方法,利用联网审计等先进技术手段结合绩效审计的理念开展风险导向信息系统审计。
信息系统运行绩效的审计包括该系统是否达到了预期用户需求,该系统是否有助于组织目标更好的实现。如网站建设效应、信息系统对组织管理的效果、人员、资金等运行成本的节约等。审计人员可以通过联网审计模式及时获取被审计单位的系统数据信息,通过对数据的分析、辅以国家宏观政策调整、行业经营状况、经济形势等其他外部信息,充分运用被审计单位系统上线前后产生的积极和负面效应来对信息系统运行绩效进行较全面的评价。
关键词:联网 信息系统 审计 COBIT模型 增值
一、信息系统审计的必要性和可行性研究。
从人工处理阶段到ERP系统,信息系统的集成度越来越高,而随着信息系统信息技术的不断发展,审计环境也正在逐渐演变。从财务审计到数据审计再到信息系统审计,审计组织方式也从人工审计到基于数据的分析审计再逐渐过渡到联网审计模式下的信息系统审计。
国际信息系统审计协会(ISACA)将信息系统审计定义为“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效果地实现组织目标地过程”。信息系统审计不仅要对被审计对象采用的信息系统的安全性、可靠性以及控制的有效性进行了解、测试与评价,而且要对被审计对象的业务流程中信息系统控制存在的不足做出判断并提出改进建议,起到一定的增值作用。
(一)必要性研究:审计环境的变化使信息系统审计应运而生。
1.被审计单位数据的电子化程度不断提高,需要审计人员对电子数据的真实性、完整性进行审计,对于电子数据的载体——信息系统的审计应运而生。对于从被审计单位获取的电子数据(包括业务数据与财务数据),必须对经信息系统处理后的电子信息的真实性和完整性审查,避免假账真审,不仅关系到审计成本而且影响着审计结果。
2.信息系统的安全性影响着信息系统中的电子数据的真实性和完整性,因此,对信息系统的安全性开展审计就显得尤为重要。信息系统安全性的影响因素:一是网络安全、系统的荷载能力、信息系统的交替、应急预案等信息系统关键技术等。二是内部管理工作流程、内部控制的建立健全及其有效性等。在信息系统的安全中,人的影响作用是不容忽视的,首先信息系统是由人开发设计的,难免会存在一定的缺陷或不足。再者,在实施过程中,人为的操作疏忽和干预系统控制也会对信息系统的安全产生威胁。
3.从绩效的角度来讲,对信息系统的开发及其运行绩效实施审计的呼声越来越高。不论是政府机关还是企业对信息系统的依赖程度不断提高,对信息系统的需求也越来越多,信息系统频繁更新换代。政府机关的信息系统往往存在着投入大,开发的系统功能不完善,系统不稳定等情况。有些系统还未完全投入使用,又开始新系统的开发,信息系统的生命周期过短,时常会有损失浪费的现象。
(二)可行性研究:审计的增值作用以及相关的业务知识基础和审计模式的不断创新增强了信息系统审计的可行性。
1.审计的增值作用能促进被审计单位问题的解决,信息系统审计若能得到被审计单位的支持,通常能收到相对不错的成效。信息系统通常存在不能完全迎合用户的需求、软硬件的配合程度差导致系统作用不能完全发挥以及对操作人员的业务水平需求等问题,这些问题甚至会对组织目标的实现产生负面影响。信息系统审计对信息系统实施的各阶段进行审计,并对存在的问题提出切实可行的建议,这样可以帮助被审计单位更好的解决问题,往往也较容易得到被审计单位的支持,有助于信息系统审计的开展。
2.随着信息技术不断推广,甚至渗透到人们的日常生活中,如上网冲浪、运用互联网强大的信息检索能力、利用OFFICE软件进行文字处理、电子表格数据存储分析等普及率越来越高。在这样的环境下,审计人员对信息技术方面的知识或多或少都会有一定的了解。而从高等院校毕业输送至审计队伍的审计人员,对信息技术的了解程度更是可以对缩短信息系统审计发展历程产生一定的积极作用。
3.信息系统审计模式正在逐步创新和完善。在信息化环境下,审计人员可以通过充分的审前调查,了解被审计单位的业务流程和信息系统运行能力,并通过联网审计技术来进行电子数据的采集,可直接对原始数据库中的数据进行审计,根据审计目标清理整合数据,运用“审计风险筛选矩阵”方法进行审计风险分析和风险评价,并以此为重点开展延伸审计,落实审计发现的问题并取证,最终得出审计评价。
如我局近年开展的财税联网审计,针对“预算跟踪、联网核查”审计模式的需求,定时采集被审计单位数据库,动态预警可疑数据,生成预警报告,实现了数据的动态采集和实时分析。这样的审计模式不仅可以避免因被审计单位提供虚假财务数据而产生的审计风险,也可以实现对被审计单位的数据的定时采集和动态预警,大大提高了财政审计工作的时效性,初步实现了财政审计工作从静态审计向动态审计、事后审计向事中审计的转变。
二、开展信息系统审计的方式、方法、人才、技术等方面现状和困难。
(一)现有的信息系统审计往往注重数据的分析利用,而对系统本身的安全性、可靠性、有效性等重视不足,处于逐步由数据审计向完全信息系统审计过渡阶段。
无论是业务处理还是财务处理,整个过程的轨迹最终都会以各种形式存储于电子数据中。信息系统审计应通过对信息系统从开发、运行到后期维护的整个生命周期过程开展全面审查,从信息系统的安全性、数据库中存储数据的完整性、系统的可靠性、有效性以及效率性等方面来评价信息系统能否达到预期目标,并为改善信息系统运行效果提出审计建议。在以上方面,当前信息系统审计的实施大部分还停留在电子数据的采集转换和清理分析利用阶段,虽财税联网审计模式初步实现了事后审计向事中审计的过渡,但联网审计的介入也仅是通过信息系统审计对数据的真实、完整性提供保证,最终落脚点仍在数据的分析上,忽视系统本身的安全性、可靠性、有效性等,注重业务处理逻辑而忽略系统算法的合理和优化等,这显然与完整意义上的信息系统审计的目标存在一定差距。
(二)业务需求对信息系统的依赖程度日益加深,信息系统的构成也越来越复杂,而评价信息系统的标准却相对缺乏。
被审计单位的业务需求不同,构建的信息系统也不尽相同,且由于开发模式、知识产权等原因,系统开发公司和系统用户缺乏提供系统开发、运行相关资料的主动性和积极性。开展信息系统审计,审计人员必须先对信息系统有全面的了解,且目前各个部门采用的信息系统各异,仅财政部门各地所采用的信息系统不尽相同,了解系统所需的时间和精力与审计资源的现状反差极大,使得信息系统审计的难度加大。
COBIT(Control Obiectives for Information and related Technology)模型是由ISACA公布的被国际上公认为较权威的安全与信息技术管理和控制标准,由于我国信息化发展的现状,还不能与之直接接轨。我国审计对信息系统审计的相关评价标准相对还不完善,只有中国内部审计协会发布了《内部审计具体准则第28号——信息系统审计》,在一定程度上影响了我国信息系统审计的查错纠偏以及其他后续审计事项的公信力。
(三)信息系统生命周期偏短,更新换代频繁。
在改革开放、经济飞速发展的大背景下,被审计单位的信息系统的存续时间较短,多则三至五年,少则一年,变革驱动业务需求的变化,新老系统交替较为频繁。而新老系统往往存在一定差异,更替阶段电子数据容易出现丢失或者是重复的现象,影响到了电子数据的真实、完整性,从而影响到审计结论。
(四)信息系统审计专业人才缺乏。
信息系统审计人员不仅要掌握一定的经济管理和财务知识,而且还必须掌握计算机知识,能够运用现代审计技术方法, 选用适当的评价标准,对信息系统的安全性、可靠性和有效性进行评价,并提出完善系统的建议。目前既掌握信息技术又具备现代审计技术能力的审计人员数量还不多,审计人员大多仍以财务专业为主,远远不能适应开展信息系统审计的需要。
三、风险基础审计模式下我局利用联网审计技术开展财税信息系统审计案例实证分析。
COBIT模型在信息系统审计方面,不仅提供了信息系统整个生命周期过程的系统管理控制指南,而且还提供了信息系统审计指南,为审计人员如何评估信息系统的固有风险与控制风险提供了衡量标准。信息系统审计人员可以用COBIT模型中适应我国信息系统发展现状的具体指标为参考,运用风险审计模式理念,在系统论的指导下,围绕审计目标和重点审计内容,评价信息系统核心功能的运行状况和影响系统核心功能的内外部环境,对被审计信息系统在各个重点层面上是否达到控制目标发表意见。
以下仅通过我局基于COBIT模型运用联网审计模式开展税收征管情况审计的流程来对信息系统审计目标、审计风险、审计内容、审计方法等进行实证分析:
(一)税收征管系统审计实施流程。
审前调查阶段:了解税务部门征收情况;特别是了解信息系统是否进行升级维护或者更换;获取系统设计说明书、数据结构字典、用户操作手册等文档资料。
审计计划阶段:参考历年税收审计的实施情况识别评估审计风险,包括被审计系统的控制有效性等;制定审计实施方案,初步明确审计重点内容及实施方法;发出审计通知书等。
审计实施阶段:以审计实施方案为导向进行征管系统数据采集、数据清理转换、数据分析,运用分析性复核,筛选重点审计风险控制环节;对税收征管系统设计、系统运行安全可靠性进行检查;对系统内部控制开展符合性测试,根据符合性测试的结果来决定实质性测试的程序和范围。
审计终结阶段:出具信息系统审计结论;将审计结果与被审计单位沟通;对信息系统及相关业务流程提出针对性建议并监督其整改落实。
|
(二)税收征管系统审计目标。
通过运用联网审计技术手段,采集税收征管系统数据并对税收征管系统的安全性、稳定性、可靠性等进行评估,为获取征管数据的真实完整提供保证。基于真实完整的征管数据对近年来不同行业及税种的税源增减变化情况以及重点税源企业近年税收贡献变化情况进行分析,做到联网审计的监控,发挥审计免疫系统的预警作用,适时对地税征管各环节包括征管系统控制中存在的问题提出切实可行的审计意见和建议,促进税务部门依法治税,强化税收征管力度,规范税收征管行为,并为政府及各职能部门研究制定促进地方经济发展的政策提供参考依据,起到审计的增值作用。
(三)税收征管系统重要性水平的确定和审计风险评估。
1.重要性水平的确定
税收征管活动围绕税款的征收入库和减免、退库展开,根据初步分析性复核和历次税收审计的情况,将征纳、减免和退库环节重要性水平定为10万元。
2.审计风险评估
在信息系统审计的过程中,如果审计人员对信息系统内部可能出现的缺陷或错误的情况判断失误,过分依赖信息系统的控制的有效性或不依赖信息系统的控制,都可能会影响审计方式、审计成本等甚至审计结果的客观性和增值性。而这种判断失误的可能性本身就是信息系统的审计风险。
审计风险=固有风险×控制风险×检查风险
COBIT模型将控制目标按照域、过程和任务活动逐步细化,定义了四个域的34 个高层次控制目标以及318 个具体控制目标。选取COBIT模型在规划与组织、获取与实施、交付与支持、监控四个域中部分控制过程,规划与组织域对应系统生命周期的系统分析阶段,获取与实施域对应系统设计和测试实施阶段,交付与支持域对应系统运行维护阶段,而监控域则应贯穿于整个生命周期。
具体来说,就是在组织目标层面上分析税收征管目标和征管业务不相符、税收征管系统组织结构中不能有效达成系统目标的风险;在日常组织管理层面上,分析税收征管系统不能满足的业务需求、征管系统开发与变更不规范对系统安全产生威胁、信息资产安全等风险;在征管业务层面上,分析人力资源管理的有效性和效率、程序开发与维护完整性和可靠性、数据管理的安全性、内部控制的适当性等风险。利用管理学中“Balance Score Card”(平衡记分卡)的方法,从价值贡献、内部过程、客户角度和未来发展四个角度来分析征管系统应用与征管业务的因果关系,结合上述各层面的风险分析构建征管系统指标体系,再评估征管系统目标、运行成效与指标体系差距的程度,确定其固有风险和控制风险水平。然后根据预定的可接受的审计风险水平来确定检查风险,并根据检查风险水平决定实质性测试的程序和范围。
|
根据上述风险评估的情况,初步确定可接受的税收征管审计总体审计风险为3%,固有风险水平因具体环节和纳税人不同有所差异,控制风险为30%。
将征纳、减免和退库分解为一般征纳、门临征纳、检查征纳、税款减免、税款退回五项主要内容,分别对审计风险模型中各要素风险水平进行评估:
检查风险表
|
项目 |
固有风险 |
控制风险 |
检查风险 |
|
一般征纳 |
50% |
30% |
20% |
|
门临征纳 |
50% |
30% |
20% |
|
检查征纳 |
30% |
30% |
33.33% |
|
税款减免 |
35% |
30% |
28.57% |
|
税款退回 |
40% |
30% |
25% |
(四)税收征管系统重点审计内容和方法。
1.税收征管系统使用不稳定、用户权限设置控制不当等系统设计阶段存在的缺陷。
信息系统的设计缺陷可能会导致系统无法满足用户需求、数据存储的不完整、软件的兼容性差、稳定性不足、用户权限设置不当,可以人工对数据库数据进行修改等。审计方法:审计人员可通过调阅税收征管系统设计说明书、观察系统界面、检查部分模块详细设计及软硬件配置等、利用系统测试的方法对征管系统进行功能测试,评估征管系统是否满足用户需求;开展性能测试,检查征管系统是否达到了一定的性能指标,如系统响应时间、容错能力等。
实例:税收会计统计报表应如实反映税务部门各项减免税款的真实完整情况。某税务局税收会统报表中的“减免税金”数据与业务数据长期存在着不一致。审计人员通过流程图检查法,即要求系统管理员提供生成会统报表的流程图,分析各个程序之间的关联性和逻辑性,审阅减免数据的取数是否完整。再者审计人员运用测试数据法,将一组测试数据输入系统中,并对系统运行结果与预期结果进行比较。通过上述方法,审计人员确认该局税收征管信息系统中的会统报表模块存在设计缺陷。
2.税收征管系统数据库数据的真实完整性、准确性。
数据库数据的安全、完整是审计的前提,审计人员把预先设定的测试数据通过税收征管系统系统运行,将运行结果与预期结果进行比较,测试系统数据处理的准确性。此外还需审查数据库中各种各样的操作日志文件,这些文件记录了数据库异常情况、用户的登陆以及用户操作等信息,利用这些文件可以检查数据库运行的性能情况,还可以审查用户对数据库的各种操作。如日志文件记录了用户连接数据库的信息,哪个用户、连接时间、进行了哪些操作等信息,这些信息都能为审计人员评价数据库数据的安全、完整提供参考。再如,数据的完整性可以通过外部第三方的数据来进行验证,如将税收征管系统产生的报表数据与金库报表进行比对,评价征管系统中的数据是否完整。
实例一:在对地税征管系统审计时采用内控调查表法,即询间、观察、查阅系统的文档资料,调查系统的内部控制措施,并结合实地观察法即对中心机房的防雷、防潮、抗干扰等基本保证措施进行检查。审计人员发现存在防雷、防潮等保护措施较弱、数据库未进行异地备份、灾难恢复计划内容不够完整、未安装入侵检测系统等情况。
实例二:利用计算机辅助审计工具和技术根据税款征收数据表和税款退还数据表,计算各级次各税种收入和税款退回,审查与金库报表反映的各级次各税种收入和税款退回是否一致,验证业务数据的真实完整性和准确性。审计人员发现金库退还报表与税收退回数据总额一致,但是部分税种在级次上、税种上存在着一定偏差。
3.基于真实完整的征管数据的税收征管征纳、减免和退库等主要业务流程审查。
通过系统中减免税、退库报表以及业务台帐数据,利用电子数据进行分析,抽样选取相关减免税报批或备案资料以及相关批复等资料,审查减免、退库业务是否真实、合法。通过系统中稽查专用文书,比对稽查税务检查通知书台帐与稽查结论文书台帐,评价稽查征纳环节是否存在不足。对系统中电子征管数据中各税种的勾稽关系进行审查,有针对性的选取部分延伸企业核实税务局在税收政策执行、税源管理以及征管方面的薄弱环节,从侧面评价征管系统的处理逻辑和控制功能的效率和效果。
实例一:根据信息系统的特性,采用“穿行测试”,即追踪门临申报纳税交易在信息系统中的处理全过程。从而筛选有税务登记证号的纳税人通过门临申报纳税的所有记录,重点关注通过门临缴纳税款金额较大的税款记录,分析未正常申报而通过门临缴纳税款的原因。同时利用计算机辅助审计工具和技术分析多年门临征收税款情况,从整体上把握门临税款随时间的变化趋势,以及各年门临税款的总额;分析各征管分局门临征收税款的时间变化情况,查找趋势不一致的征管分局,分析合理性,锁定疑点,通过延伸审计进一步落实审计疑点。
实例二:采用观察法即对信息系统的功能界面并进行系统查询,检查税收征管系统中加收滞纳金模块的功能设计,结合数据测试法,利用一组测试数据对滞纳金的计算正确与否进行测试。再通过税款数据来比对纳税人申报纳税的缴款期限与税款入库日期之间的逻辑关系,审查税务机关对税款入库日期超过缴款期限的纳税记录是否足额征收滞纳金。审计人员发现纳税人税款所属期的选择功能部分被锁定,以前年度的税款需与征管分局联系后方能申报,纳税人为了减少滞纳金支出而未选择正确的税款所属期,且也有部分未及时申报缴纳的税款未加收滞纳金,滞纳金的实际征收仍然存在着很大的漏洞。
(五)税收征管信息系统审计成果。
通过对税收征管系统的审计,近年来对税收征管系统中的缺陷提出了针对性建议,如加强征管分局业务台帐数据与会计统计的信息交换与沟通、对纳税人重复上传电子财务报表记录设置作废字段以保证数据的准确性、滞纳金征收不到位等,并查补了上千万应征未征税收,还在延伸审计中发现了改制国企占用大量国有资金的情况,追回国有资金2600余万元,同时通过审计与有关部门的协作机制,向有关部门移送审计线索多条,审计线索均得到了落实处理。
四、对信息系统审计评价标准、人才建设和创新审计方法等的对策思考。
(一)建立健全信息系统审计操作体系。信息系统审计的发展亟需建立与完善信息系统审计适用的相关政策和审计准则,使信息系统审计有据可依、实施规范,从法律层面上保证信息系统审计得以顺利开展;制定完整的审计准则体系包括基本准则、具体准则、实务公告与执业规范操作指南等信息系统审计准则体系,对信息系统审计提供指导;制定包括安全性、可靠性、合法性、有效性、效率性等各项信息系统审计评价指标体系,使审计人员能对信息系统作出客观评价,并对信息系统设计缺陷以及对被审计单位的影响甚至被审计单位的业务流程中存在的不足做出判断并提出改进建议,起到对被审计单位的增值作用。
(二)培养专业信息系统审计人才,健全复合型人才培养机制。一方面,要加强对审计人员信息系统审计能力和技术的培训,对有一定信息技能基础的审计人员提供信息系统审计培训,拓展其相应知识、技术、能力,不仅能掌握信息系统审计的基本原则,而且能获得深入开展信息系统审计的技能。另一方面,对信息技术专业的IT 人员提供会计与审计知识培训。专业的IT人员对信息系统安全性、可靠性以及设计和控制环节中的不足有较深的认识,但由于缺乏管理学理论和会计审计知识,难以对系统设计以外的问题作出正确的评价。因此,拓展IT人员的财务专业知识有助于使IT人员能与财务审计人员一同去实施完整的信息系统审计,收到更好的审计效果。
(三)创新信息系统审计的方法,利用联网审计等先进技术手段结合绩效审计的理念开展风险导向信息系统审计。
信息系统运行绩效的审计包括该系统是否达到了预期用户需求,该系统是否有助于组织目标更好的实现。如网站建设效应、信息系统对组织管理的效果、人员、资金等运行成本的节约等。审计人员可以通过联网审计模式及时获取被审计单位的系统数据信息,通过对数据的分析、辅以国家宏观政策调整、行业经营状况、经济形势等其他外部信息,充分运用被审计单位系统上线前后产生的积极和负面效应来对信息系统运行绩效进行较全面的评价。
| 【关闭】 【打印】 |
