小议系统分析在信息系统审计中的作用
王峰(江苏省江阴市审计局)
信息系统审计是一门综合性交叉性学科。在IT环境下,审计理论基础得到了不断的增强和加固。信息技术学、信息经济学、信息博弈论以及与审计相关的其他学科领域共同组成了一个动态的、多元性的审计理论基础,这些学科、领域的理论并非简单的叠加,而是按照一定的秩序、规则进行有效的组合而形成的有机整体。在IT环境下,审计理论基础为审计理论与其他学科理论提供了一个公共区域,各学科理论知识相互交叉、渗透、融合,共同组成一个有序的、交互渗透的、相互关联的动态网络,服务于审计理论。因而审计理论基础是连接审计理论与其他学科体系的桥梁与纽带,是审计理论与其他学科的交叉渗透区。
信息系统审计的工作概念很宽泛。目前,在区县级的审计机关以及会计师事务所的工作对象还是主要集中在查账上,随着会计电算化的普及、ERP的应用,信息系统审计这个概念也开始进入广大基层审计工作者的视线,因为在信息化的条件下,账不再仅局限在纸质上,审计人员如果仅仅对计算机、财务软件中保存运行的数据进行计算、核对,而没有能力对处理财政财务业务的信息系统进行检查,很可能形成信息化条件下的“假账真查”。信息系统审计可以被简单的理解为,当信息系统中处理的是财政财务信息时,对计算机上的通信和操作的内容进行采集、分析、追踪、审查,提出警告信息,并给予日志性记载。
兵马未动粮草先行,在软件开发的项目中,系统分析往往是最重要的,系统分析的好与坏关系到了整个项目的成败,对一个项目来说做好了系统分析能够起到一个事半功倍的效果,如果系统分析没有做到位就可能会导致项目整个框架出现问题,到了项目的后期可能会引起整个框架的推倒重来,从而浪费大量的人力物力。与此类似,信息系统审计中的对于系统分析调查也是一项至关重要的工作。
信息系统审计的系统分析主要是是指审计师在审计准备阶段,调查了解被审计单位用于处理业务数据和会计数据的信息系统,确定审计所需信息的存储情况和相关控制情况,为制定审计计划、获取使用电子数据奠定基础。
系统分析要实现两个目标。一,了解被审计单位中应用了哪些信息系统,并最终确定各个系统所能获取的信息;二,确定被审计单位的各业务流程,并将各个业务流程的环节对应到相关信息系统中;三,了解信息系统中采取了哪些控制措施。这些控制措施既有内置于应用软件中的应用控制,又有对业务管理所采取的诸如职责分离、授权等综合控制。评估这些控制是否充分以及是否有效执行发挥作用,可以为制定审计方案提供依据。
系统分析非常重要。系统分析的质量直接关系到后期审计实施阶段审计工作能否正确开展和被审单位电子数据的能否有效采集、使用。在缺乏有效系统分析情况下,审计人员从被审单位取得数据库结构资料后,面对数百张表,不知道要转换哪些数据,不知道这些数据分别可以用于满足哪些审计用途。致使审计人员对数据的使用浮于表面,无法深入发现问题。即便认真看了这些数据,面对大中型企业的海量数据,如果不使用风险分析方法,不关注内部控制,直接对数据开展详查,也容易导致瞎子摸象“碰到那儿,是那儿”的不利局面。因此有必要对系统分析应解决的问题,可以采取的方法、步骤,以及应该注意的问题加以综合探讨。
具体讲,成功的系统分析应该回答三个问题。
1、企业会计核算与业务管理使用了哪些信息系统?相互之间的数据流向关系是什么?审计应重点关注哪些系统?
当前随着信息化工作的推进,各部委办局特别是金融、税务等部门及国有企业从会计核算到业务管理均已较高程度实现信息化,为计算机审计提供了有利的环境。一般都有多个信息系统贯穿于这些单位正常运转的工作中,分别在不同的领域实现不同的功能。其中直接完成会计核算、业务管理的信息系统对审计具有重要价值,应集中精力摸底调查。在以上系统所备份存储数据不能满足审计需要时,也可适当考虑其他管理信息系统中所存储可替代用作审计的数据。
在调查被审计单位各信息系统之间关系时,应关注数据在各系统之间如何流动,是自动传递还是手工再次录入;是否存在必要的控制措施保证处理的有效、正确,信息的真实、完整;关键点的控制措施是否有效执行。如果数据在各系统间传递能够自动正确完成,有足够的控制措施保证业务处理的有效、正确,数据信息的真实完整。则可以初步推断企业具有较好的内部控制体系,审计的固有风险较小。否则说明存在较大固有风险,应增加符合性测试的样本,或者直接进行详细检查。
2、针对各业务循环的审计中分别需要使用哪些系统所管理的哪些信息。
在审计项目中审计组成员间往往按照会计科目或报表项目进行适当分工。审计人员在对不同业务循环进行审计时所需要的资料信息也各有不同。企业信息系统中所存储的数据信息往往是海量的。让每个审计人员理解所有数据既不现实也不经济。通过确认各业务循环所涉及业务资料信息,可以将适合的数据分发给需要的审计人员,帮助审计人员在有限时间内集中精力理解、用好所需的数据。
3、审计所需要的信息分别以什么方式存储在哪些存储媒介上。
数据在计算机中的实际存储方式与审计人员通过软件在界面上所看到的形式可能存在很大区别。通过调查分析确定审计所需信息与数据库表、字段之间的对应关系,以及字段中所存储代码的含义,从而帮助审计人员理解数据中所包含的信息,并完成审计所需的检查分析操作。
弄清楚以上问题,单靠信息技术人员或审计业务人员是不行的,需要两者的紧密合作。调查的方法包括:面谈、查阅文档、分析样本数据等。面谈的对象主要是了解被审计单位业务处理流程、软件操作、系统管理的人员。不同的单位涉及的部门可能不同,一般包括信息技术部门、会计核算部门和企业业务管理部门。需要的查阅的文档包括企业组织机构、业务流程、软件操作手册、数据库设计文档等。需要对照分析的样本数据主要来自于审计范围内各系统某一时间段的备份数据。
系统分析应该在审前调查阶段进行,可以分三个阶段实施。
1、开好见面会,掌握被审计单位信息系统管理使用的整体情况。
邀请被审计单位各信息技术部门、会计部门、业务部门负责人出席审前调查见面会上。会上请各部门负责人介绍企业组织、经营以及信息系统管理应用情况。具体包括:
(1)企业会计核算部门、业务管理部门及其业务范围分工;
(2)企业的信息系统管理、使用部门及其责任分工;
(3)审计年度范围内企业应用了哪些信息系统,相互之间的数据依赖关系。各系统的数据备份情况。
通过对以上工作综合分析,确定审计所涉及的各业务循环,关系到哪些部门;分别使用了哪些信息系统。从而为下一步制定各个业务循环详细调查方案提供依据。
2、详细调查各业务循环中信息系统的应用情况。
针对不同业务循环,与相关业务部门业务人员进行会谈,详细了解各项业务处理流程和所使用软件。此时可要求被审单位提供业务处理流程及管理控制规定文档,以及软件的操作说明书、用户手册、数据库结构设计等文档。
通过查看文档并询问业务人员,需进一步确定以下问题:
(1)各业务循环分别使用了哪些应用软件;
(2)各业务循环的业务处理流程及采取的内部控制措施;
(3)各业务循环中分别形成了哪些文档信息;这些信息中哪些以电子形式存储,由哪个应用软件管理维护。
通过调查分析,可以确定可获得的用于满足计算机审计需要的数据信息有哪些,相互之间存在什么样的逻辑关系,为进一步分析这些信息的存储方式提供依据;确定企业各业务流程是否采取了必要的内部控制,为制定审计计划、分析审计风险提供依据。
3、确定审计所需数据信息的存储方式。
根据企业调查、审计风险分析的结果,确定审计内部控制测试和实质性测试的程序和范围。并以此判定需要哪些数据信息。
结合前面对各业务循环的调查结果,确定这些信息有哪些系统或功能模块管理维护;这些信息具体存储在哪些表的那些字段中;字段的内容分别代表什么含义;为了便于审计检索查询的需要,这些信息需要进行怎样的整理和转换。
为了完成这些工作,应要求被审计单位的信息技术部门提供相关系统的数据库结构文档,提供选定时点或时段的备份数据作为调查分析的样本数据。
系统分析结束以后作为本阶段的成果,审计组可以制定出一个审计数据采集与使用方案。该方案应包含以下内容:
1、背景描述
介绍被审计单位的组织结构、业务范围,相关单位的职责分工。
2、审计范围内的应用系统
介绍审计范围内为会计核算及业务处理提供支撑的信息系统情况。包括使用的应用软件、数据库管理系统、操作系统,以及网络设施情况;数据备份周期、备份内容及备份媒体的保存期限。
3、数据采集方案
确定审计数据的来源,是直接从生产系统中采集,还是从备份数据中获取;确定采集的方式,是直接联网读取,还是通过文件交换方式拷贝获得;确定采集的内容,是全部拿来,还是有选择的一些表,选择哪些。
4、数据检验与整理方案
检查数据在转换过程中是否产生错误、遗漏,分清审计部门与被审计单位之间的责任。为了便于审计应用数据需要怎样进一步整理。
5、数据使用说明
整理后的数据与审计所需信息之间的对应关系。哪些信息存储在那些表的哪些字段中。字段内容中受什么特殊含义。各种信息之间存在怎样的关联等等。
信息系统审计中,系统分析最好采取Check List的方式,将所需了解的问题逐一罗列后,和被审单位沟通逐一检查,从而做到有条不紊,防止遗漏。另外,使用Check List的方式在设计表格的初期对审计人员的综合素质要求较高需要了解财务和IT两方面的知识,但是一旦Check List建立起来后,对于使用者只需要按部就班,如果发现问题只要做小部分的修改,从而降低了对审计人员综合素质到要求。另外,在系统分析时需要尽量收集信息系统的数据字典、系统流程图、操作手册等技术资料。
总而言之,信息系统审计中,系统分析的好与坏关系到了整个项目的成败,对一个项目来说做好了系统分析能够起到一个事半功倍的效果。
信息系统审计的工作概念很宽泛。目前,在区县级的审计机关以及会计师事务所的工作对象还是主要集中在查账上,随着会计电算化的普及、ERP的应用,信息系统审计这个概念也开始进入广大基层审计工作者的视线,因为在信息化的条件下,账不再仅局限在纸质上,审计人员如果仅仅对计算机、财务软件中保存运行的数据进行计算、核对,而没有能力对处理财政财务业务的信息系统进行检查,很可能形成信息化条件下的“假账真查”。信息系统审计可以被简单的理解为,当信息系统中处理的是财政财务信息时,对计算机上的通信和操作的内容进行采集、分析、追踪、审查,提出警告信息,并给予日志性记载。
兵马未动粮草先行,在软件开发的项目中,系统分析往往是最重要的,系统分析的好与坏关系到了整个项目的成败,对一个项目来说做好了系统分析能够起到一个事半功倍的效果,如果系统分析没有做到位就可能会导致项目整个框架出现问题,到了项目的后期可能会引起整个框架的推倒重来,从而浪费大量的人力物力。与此类似,信息系统审计中的对于系统分析调查也是一项至关重要的工作。
信息系统审计的系统分析主要是是指审计师在审计准备阶段,调查了解被审计单位用于处理业务数据和会计数据的信息系统,确定审计所需信息的存储情况和相关控制情况,为制定审计计划、获取使用电子数据奠定基础。
系统分析要实现两个目标。一,了解被审计单位中应用了哪些信息系统,并最终确定各个系统所能获取的信息;二,确定被审计单位的各业务流程,并将各个业务流程的环节对应到相关信息系统中;三,了解信息系统中采取了哪些控制措施。这些控制措施既有内置于应用软件中的应用控制,又有对业务管理所采取的诸如职责分离、授权等综合控制。评估这些控制是否充分以及是否有效执行发挥作用,可以为制定审计方案提供依据。
系统分析非常重要。系统分析的质量直接关系到后期审计实施阶段审计工作能否正确开展和被审单位电子数据的能否有效采集、使用。在缺乏有效系统分析情况下,审计人员从被审单位取得数据库结构资料后,面对数百张表,不知道要转换哪些数据,不知道这些数据分别可以用于满足哪些审计用途。致使审计人员对数据的使用浮于表面,无法深入发现问题。即便认真看了这些数据,面对大中型企业的海量数据,如果不使用风险分析方法,不关注内部控制,直接对数据开展详查,也容易导致瞎子摸象“碰到那儿,是那儿”的不利局面。因此有必要对系统分析应解决的问题,可以采取的方法、步骤,以及应该注意的问题加以综合探讨。
具体讲,成功的系统分析应该回答三个问题。
1、企业会计核算与业务管理使用了哪些信息系统?相互之间的数据流向关系是什么?审计应重点关注哪些系统?
当前随着信息化工作的推进,各部委办局特别是金融、税务等部门及国有企业从会计核算到业务管理均已较高程度实现信息化,为计算机审计提供了有利的环境。一般都有多个信息系统贯穿于这些单位正常运转的工作中,分别在不同的领域实现不同的功能。其中直接完成会计核算、业务管理的信息系统对审计具有重要价值,应集中精力摸底调查。在以上系统所备份存储数据不能满足审计需要时,也可适当考虑其他管理信息系统中所存储可替代用作审计的数据。
在调查被审计单位各信息系统之间关系时,应关注数据在各系统之间如何流动,是自动传递还是手工再次录入;是否存在必要的控制措施保证处理的有效、正确,信息的真实、完整;关键点的控制措施是否有效执行。如果数据在各系统间传递能够自动正确完成,有足够的控制措施保证业务处理的有效、正确,数据信息的真实完整。则可以初步推断企业具有较好的内部控制体系,审计的固有风险较小。否则说明存在较大固有风险,应增加符合性测试的样本,或者直接进行详细检查。
2、针对各业务循环的审计中分别需要使用哪些系统所管理的哪些信息。
在审计项目中审计组成员间往往按照会计科目或报表项目进行适当分工。审计人员在对不同业务循环进行审计时所需要的资料信息也各有不同。企业信息系统中所存储的数据信息往往是海量的。让每个审计人员理解所有数据既不现实也不经济。通过确认各业务循环所涉及业务资料信息,可以将适合的数据分发给需要的审计人员,帮助审计人员在有限时间内集中精力理解、用好所需的数据。
3、审计所需要的信息分别以什么方式存储在哪些存储媒介上。
数据在计算机中的实际存储方式与审计人员通过软件在界面上所看到的形式可能存在很大区别。通过调查分析确定审计所需信息与数据库表、字段之间的对应关系,以及字段中所存储代码的含义,从而帮助审计人员理解数据中所包含的信息,并完成审计所需的检查分析操作。
弄清楚以上问题,单靠信息技术人员或审计业务人员是不行的,需要两者的紧密合作。调查的方法包括:面谈、查阅文档、分析样本数据等。面谈的对象主要是了解被审计单位业务处理流程、软件操作、系统管理的人员。不同的单位涉及的部门可能不同,一般包括信息技术部门、会计核算部门和企业业务管理部门。需要的查阅的文档包括企业组织机构、业务流程、软件操作手册、数据库设计文档等。需要对照分析的样本数据主要来自于审计范围内各系统某一时间段的备份数据。
系统分析应该在审前调查阶段进行,可以分三个阶段实施。
1、开好见面会,掌握被审计单位信息系统管理使用的整体情况。
邀请被审计单位各信息技术部门、会计部门、业务部门负责人出席审前调查见面会上。会上请各部门负责人介绍企业组织、经营以及信息系统管理应用情况。具体包括:
(1)企业会计核算部门、业务管理部门及其业务范围分工;
(2)企业的信息系统管理、使用部门及其责任分工;
(3)审计年度范围内企业应用了哪些信息系统,相互之间的数据依赖关系。各系统的数据备份情况。
通过对以上工作综合分析,确定审计所涉及的各业务循环,关系到哪些部门;分别使用了哪些信息系统。从而为下一步制定各个业务循环详细调查方案提供依据。
2、详细调查各业务循环中信息系统的应用情况。
针对不同业务循环,与相关业务部门业务人员进行会谈,详细了解各项业务处理流程和所使用软件。此时可要求被审单位提供业务处理流程及管理控制规定文档,以及软件的操作说明书、用户手册、数据库结构设计等文档。
通过查看文档并询问业务人员,需进一步确定以下问题:
(1)各业务循环分别使用了哪些应用软件;
(2)各业务循环的业务处理流程及采取的内部控制措施;
(3)各业务循环中分别形成了哪些文档信息;这些信息中哪些以电子形式存储,由哪个应用软件管理维护。
通过调查分析,可以确定可获得的用于满足计算机审计需要的数据信息有哪些,相互之间存在什么样的逻辑关系,为进一步分析这些信息的存储方式提供依据;确定企业各业务流程是否采取了必要的内部控制,为制定审计计划、分析审计风险提供依据。
3、确定审计所需数据信息的存储方式。
根据企业调查、审计风险分析的结果,确定审计内部控制测试和实质性测试的程序和范围。并以此判定需要哪些数据信息。
结合前面对各业务循环的调查结果,确定这些信息有哪些系统或功能模块管理维护;这些信息具体存储在哪些表的那些字段中;字段的内容分别代表什么含义;为了便于审计检索查询的需要,这些信息需要进行怎样的整理和转换。
为了完成这些工作,应要求被审计单位的信息技术部门提供相关系统的数据库结构文档,提供选定时点或时段的备份数据作为调查分析的样本数据。
系统分析结束以后作为本阶段的成果,审计组可以制定出一个审计数据采集与使用方案。该方案应包含以下内容:
1、背景描述
介绍被审计单位的组织结构、业务范围,相关单位的职责分工。
2、审计范围内的应用系统
介绍审计范围内为会计核算及业务处理提供支撑的信息系统情况。包括使用的应用软件、数据库管理系统、操作系统,以及网络设施情况;数据备份周期、备份内容及备份媒体的保存期限。
3、数据采集方案
确定审计数据的来源,是直接从生产系统中采集,还是从备份数据中获取;确定采集的方式,是直接联网读取,还是通过文件交换方式拷贝获得;确定采集的内容,是全部拿来,还是有选择的一些表,选择哪些。
4、数据检验与整理方案
检查数据在转换过程中是否产生错误、遗漏,分清审计部门与被审计单位之间的责任。为了便于审计应用数据需要怎样进一步整理。
5、数据使用说明
整理后的数据与审计所需信息之间的对应关系。哪些信息存储在那些表的哪些字段中。字段内容中受什么特殊含义。各种信息之间存在怎样的关联等等。
信息系统审计中,系统分析最好采取Check List的方式,将所需了解的问题逐一罗列后,和被审单位沟通逐一检查,从而做到有条不紊,防止遗漏。另外,使用Check List的方式在设计表格的初期对审计人员的综合素质要求较高需要了解财务和IT两方面的知识,但是一旦Check List建立起来后,对于使用者只需要按部就班,如果发现问题只要做小部分的修改,从而降低了对审计人员综合素质到要求。另外,在系统分析时需要尽量收集信息系统的数据字典、系统流程图、操作手册等技术资料。
总而言之,信息系统审计中,系统分析的好与坏关系到了整个项目的成败,对一个项目来说做好了系统分析能够起到一个事半功倍的效果。
| 【关闭】 【打印】 |
