浅析政府信息系统审计现状及发展策略
王广庆(江苏省沛县审计局)
当前,被审计单位会计信息系统高速发展,会计电算化及信息化程度越来越高,大量的业务数据和财务数据都存储在计算机中,因而也存在着计算机会计舞弊的可能性。如果审计机关和审计人员停留在传统的纸质账目基础审计上,不对信息系统进行审计监督,势必产生较大的审计风险,影响审计工作质量。
一、信息系统审计概述
(一)信息系统审计的概念
信息系统审计是审计全过程的一个组成部分,目前还没有固定通用的定义,美国信息系统审计的权威专家RonWeber将它定义为“收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。笔者认为,信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程。其业务范围包括与信息系统有关的所有领域,例如信息系统安全审计、网誉审计、电子签名审计业务等。
(二)信息系统审计的内容和方法
⒈对信息系统功能的审计。可分四个方面进行:输入控制审计、数据处理过程审计、输出控制审计、系统安全审计。
①输入控制审计。主要检查软件能否保证输入数据的正确性、可靠性和完整性,有没有设置对误操作的防范和纠正功能。实地观察输入界面录入要素是否全面,对关键要素的录入是否进行了约束,分析数据库数据,对系统输入的字段进行验证,主要验证关键字段格式是否规范,内容是否正确、完整,相关数据的关系是否正确、合法。采用测试数据进行测试,设计一些虚拟数据,提交系统进行处理,以测试系统输入控制是否存在。测试数据时要注意不要对信息系统数据造成影响。
②数据处理过程审计。主要检查软件处理过程的正确性和合法性。审查软件是否存在“后门”或“漏洞”,数据在处理过程中有无丢失、增加、重复或不恰当的改变;审查软件是否提供了支持系统进行非法处理或违法处理的功能。依据被审计单位的实际业务,设计一个模拟程序,将被审计单位的真实数据用模拟程序重新处理一遍,把处理的结果与被审程序的处理结果进行比较,以确定被审程序的处理和控制功能是否可靠或被修改。用一批预先设计好的检测数据(包括正常的、有效的业务和不正常的、无效的业务数据),利用被审程序加以处理,并把处理的结果与预期的结果作比较,以确定被审程序的控制与处理功能是否恰当。
③输出控制审计。主要检查系统能否确保输出数据没有被丢失、误导、破坏,确保输出数据的完整性和正确性,确保输出结果只提交给有权使用的人员。查阅各种纸质资料、报表,并与电子数据比较,分析有无非法修改数据的情况;依据业务性质和需要,确定输出结果能否满足工作需要。
④系统安全审计。主要检查软、硬件配置和网络平台是否能够保证系统安全可靠地运行,有无数据丢失、损坏、泄密的风险。软件安全控制主要审查软件禁止非法使用和禁止越权使用的控制能力。包括软件内部固化的操作流程、角色设置、权限分配、密码控制。通过查阅软件设计文档、操作手册,实际操作等方法,分析系统中角色设置、权限分配是否合理、可靠。通过分析后台数据,检查操作人员的口令是否加密保存,有无空口令、弱口令,系统是否设置了操作日志。对重要数据,系统是否提供了有痕迹的更正功能。检查局域网与外接网络的联接方式,网络中安全设备的设置是否正确、有效,数据传输是否安全,是否建立了系统备份和系统恢复机制并有效运行,系统管理人员对系统的日常维护是否及时。
⒉对信息系统应用方面审计可分三个方面进行:内部控制审计、系统应用的合法性审计、信息系统的自我完善能力审计。①内部控制审计主要审查信息系统环境下的内部控制的健全性、合理性和有效性。实际岗位设置、人员分工是否与软件中的角色设置、权限分配相适应,实际业务工作流程是否与软件固化的工作流程相适应,不相容职能分离控制措施及执行情况;②系统应用的合法性审计主要通过对数据分析来完成;③信息系统的自我完善能力审计主要从以下方面检查:一是是否建立了有效的应用情况反馈机制;二是信息部门能否及时修正系统的不足和错误。
二、信息系统审计的必要性
20世纪90年代后期至今,会计电算化已逐步走向成熟,而企业的信息化建设并没有就此止步,以ERP、MRP-Ⅱ为代表的企业信息系统的高度集成逐渐开始兴起。这时的企业信息系统不仅仅是一个孤立的系统,而是集财务、人事、供销、生产为一体的综合性的信息系统,财务信息只是这个系统所处理信息的一部分,单独的财务系统已不存在。在这种情况下,审计人员只有对整个系统进行全面了解,才能把握审计对象的总体情况,避免审计风险,将审计成果最大化。
从企业信息化的发展历史可以看出,由于审计人员所面临的审计对象的不断变化,促使审计方式也随之改变,信息系统审计便应运而生。由于我国的信息系统审计工作尚未完全开展,一些计算机审计的探索与尝试仍然局限在电子数据的采集与处理领域,对信息系统的安全与控制的问题还没有充分的认识。从逻辑上讲,对系统的依赖是现代审计的基本策略,如果被审计对象全面采用计算机化的信息系统,而审计人员又没有对信息系统进行了解和审计,那么这种审计得出结论的可靠性就要受到质疑。政府审计在这方面所面临的问题日益严峻,“不搞计算机审计,我们就会失去审计的资格”已经逐渐成为审计界的共识,作为国家审计机关,在规划审计工作时应意识到这一点,对被审计单位的信息系统进行审计已迫在眉睫。
三、信息系统审计中存在的问题
由于政府信息系统审计还处于探索阶段,还存在相当多的问题,需要审计机关及审计人员进一步去研究、去思考,进而找出解决问题的办法。
一是审计目标不清晰。审计目标分为总体目标和具体目标。审计的总体目标主要包括被审计单位信息系统的真实、合法、效益,在对系统内控及信息系统审计时,要对被审计单位的财务收支及其经济活动的真实、合法、效益做结论。然而,在制定具体目标这一层次时,要充分考虑具体行业的审计目标,金融有金融的,企业有企业的,行政事业有行政事业的,而且可能每一次审计的重点不一样,领导要求不一样,具体目标就会有所不同。在审计实施过程中,部分审计机关及审计人员不能把握总体审计目标与具体目标的界限,笼统地进行表述,不具备操作性、指导性。
二是审计观念存在误区。合法性为唯一目标发展的倾向。大部分审计机关在实施信息系统审计审计时,十分注重查处问题,把结果最大化,好像只有查找出大案要案,才能证明我们信息化的成果,才发挥了计算机审计的作用,而忽略运用具体的审计方法。这实际上影响了我们的计算机审计工作,容易产生误导。笔者认为,信息系统审计不能说合法性审计目标不重要,它绝对重要,但真实性和效益性与它同等重要。因此,在审计过程中,不能仅仅扣住合法性,当成唯一的一个目标。
三是审前调查和审计测试界限不清。在进行信息系统审计时,大部分审计人员不能分清调查和测试的概念,进而影响审计质量。因为调查的方法和测试的方法是不一样的,调查时候要大量地运用座谈、查阅文档等方法,测试的时候就需要大量地操作数据。审前调查和审计测试界限不清,表明审计人员在信息系统流程上存在很多模糊的认识,以及“拿捏”不准的地方,不能从本质上分清调查、测试、评价的界限,势必影响信息系统审计的规范化。
四是对控制的审计有所偏重。笔者认为,信息系统控制包括两类:一是对系统的控制,二是系统对业务的控制。系统控制不严密则容易出问题,系统设置目的是为控制业务,两个都很重要,缺一不可。然而,审计机关大部分信息系统审计更加偏重系统对业务的控制,导致审计内容不完整,影响审计评价。
四、信息系统审计的发展策略
㈠建立完备的信息系统审计专业人才队伍
政府审计机关开展信息系统审计,需要一批既掌握现代审计理论知识又了解计算机技术的复合型人才,从目前的人员数量和知识结构上看,还远远达不到审计工作目标要求。因此,审计部门要适应时代发展,采取各种方式方法,加强这类人才的培养,进一步推动信息系统审计工作的开展。
㈡建立独立客观的专家审计系统
专家审计系统是一种以知识为基础、智能化的计算机软件系统,将专家的知识、经验加以总结,形成规则,存入计算机建立知识库,采用合适的控制策略,按输入的原始数据进行推理、演绎,作出判断。建立专家审计系统能够大大提高信息系统审计工作的效率,保持审计工作的客观、公正、独立。
㈢加强计算机应用系统与审计软件之间的对接
为了节省审计人员的时间和精力,提高审计工作效率,被审计单位财务软件必须进一步改善,建立标准的审计数据接口,增加数据转换的模块,使不同格式的数据能够转换成审计需要的格式,为审计软件系统所识别,设计相应的内部控制监控子系统,以便与审计软件系统配合使用,实现二者的有机结合。
㈣适时出台信息系统操作指南
目前,政府审计机关关于信息系统审计的依据主要有修订后的《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关问题的通知》(国办发【2001】88号)等文件。这些法律法规的出台,给审计部门提供了信息系统审计工作的依据。但是这些规定只赋予了审计部门开展信息系统审计的法律保证,至于具体的审计依据和操作规程则没有明确,可操作性不强。笔者认为,国家审计署和财政部应进一步加强协作,适时出台具体的信息系统审计操作指南和规程,以便更好的指导审计人员完成工作。
| 【关闭】 【打印】 |
