1. 淺談如何開展計算機信息系統審計
未來一段時期內,審計機關要想完成「全面審計,突出重點」的審計目標,擔負起社會經濟運行的「免疫系統」作用,就必須要使信息系統審計有所作為,這迫使我們必須加快信息系統審計的步伐。
信息系統審計是一個獲取並評價證據,以判斷信息系統是否能夠保證資產的安全、數據的完整,以及有效率地利用組織的資源並有效果地實現組織目標的過程(國際信息系統審計與控制協會ISACA的定義)。目前審計機關信息系統審計主要有兩種方式,一種是將信息系統審計作為常規審計的一部分,為實現審計項目的總體目標服務,即數據審計、信息系統審計和系統內部控制審計「三位一體」的結合方式。信息系統審計和系統內部控制審計為數據審計服務,通過審計數據得出結論。另一種是獨立立項的,直接審計信息系統本身的安全性、可靠性和有效性。
二、開展信息系統審計的緊迫性
信息系統審計作為國家審計機關的一項重要工作,是信息化發展到一定程度的必然產物。
(一)開展信息系統審計是控制審計風險的要求。近幾年,審計紙質賬目時,內部控制也要審計,不能假賬真審。同樣的道理也不能假電子數據真審,如果被審計單位運載電子數據的信息系統的安全性、可靠性和有效性出現了問題,計算機數據審計就會存在風險,系統的可信與可靠程度是數據審計得以進行的前提和最終實現的基本條件。
(二)開展信息系統審計是全面履行審計職責的要求。信息化環境下的審計,電子數據、信息系統、系統內部控制審計必須「三位一體」,在審計過程中,這三項內容不能少。只有這樣,我們才能完成「全面審計,突出重點」的要求,全面履行審計職責。
(一)提高全體審計人員信息系統審計的意識。
「審計人員不掌握計算機技術,將失去審計資格」這一觀點基本得到了八萬審計人員的認同,這些年計算機在審計領域得到了普遍的應用,數據審計得到了有力的推進,但大多數人對於信息系統審計的認識還不到位,對開展信息系統審計的必要性、緊迫性認識不足,甚至對開展信息系統審計的可行性持懷疑態度。為保證信息系統產生的數據真實完整,信息系統的安全、可靠和有效,重大的審計項目,只要被審計單位應用的是信息系統,我們就必須審計信息系統,檢查系統內部控制,只有這樣才能防止假賬真審。
(二)重視計算機信息系統審計人才的培養,不斷提高其審計技能。
計算機信息系統審計對審計人員的專業技能要求較高,除了需要審計人員具備相應的審計技能外,還要具備較高的計算機水平。計算機信息系統審計人員的獲得有兩個渠道,一是在配備人員時就將計算機技能作為一個必要條件,在實際工作中不斷培養其審計技能;二是對現有審計人員進行計算機知識的培訓,增強其信息技術審計能力。由於計算機技術涉及的范圍廣、技術復雜性強、計算機信息技術快速發展的特點,決定了不論以何種方式獲得的信息技術審計人員,都要對其進行持續不斷的後續教育。
(三)信息系統審計應重點關注三個環節
(1)內部控制環節。
在計算機系統中,應檢查以下方面來證明內控制度的有效性:1.控制系統資源的存取。包括物理資源,例如終端、伺服器、連接盒、相關文檔等;還包括邏輯資源,如軟體、系統文件和表、數據等。2.控制系統資源的使用。用戶應該只能對授權給他們的那些資源進行操作。3.建立按用戶職能分配資源的制度。把重要的任務功能按用戶或用戶組進行分離,以減少無意的誤操作、濫用系統資源和對數據的非授權修改。4.記錄系統的使用情況。按時間順序建立一個使用記錄,記錄內容應包括例外事例和與安全有關的事件是由誰觸發的,財務信息的創建、修改和刪除是由誰完成的。5.確認處理過程的准確性。用產生財務控制信息,確認處理過程的准確完成。6.管理人員對財務信息系統的修改。應該保證財務信息系統的所有修改都是經過授權、有文檔記錄、經過徹底(獨立地)測試的,確認最後以一種有控制的方式投入使用。7.保護財務信息系統免遭計算機病毒的襲擊。必須建立一套控制措施,檢測病毒,防止病毒感染財務信息系統。
(2)數據環節。
在審計中,審計人員選擇一些交易對其進行詳細檢查,確認交易記錄是否符合一般的審計目標。一是檢查會計事項信息,要檢查它的完整性、時效性、合規性和信息披露等方面,檢查內容包括與本會計年度有關的交易是否全部記錄在冊;所有記錄的交易是否都是合理發生的並與本會計年度有關;記錄的交易是否數據准確,計算無誤:記錄的交易是否符合基本的和輔助的法律規定,符合特定權威機構的要求;對記錄的交易是否進行正確的分類,並符合信息對外披露的要求等。二是檢查財務報表信息,要檢查完整性、存在性、會計計量、所有權以及信息披露等方面,檢查內容包括是否記錄了所有的資產和負債:所有記錄的資產和負債是否都是存在的;對資產和負債的計量是否精確,計算方法是否符合按合理性、一致的標准制定的會計政策的要求:確認資產是被審主體所有的、負債是被審主體應該承擔的,並且資產和負債是否由合法的經濟活動產生的;資產、負債、資本和存貨是否都得到正確的披露。同時對信息系統提供的業務信息也要進行分析,例如每月的工資總數、某階段的付款清單和訂貨信息等,要弄清基本的交易情況,並一直追蹤到信息源。對上述信息的分析可以採用計算機輔助審計技術,按照特定的標准對數據進行匯總、分類、排序、比較和選擇,並進行各種運算。
(3)數據傳輸轉移環節.
在信息系統中,有些數據需要在兩個財務信息系統或財務信息系統與業務信息系統之間相互轉移,在此過程中可能會出現一些問題,尤其是在需要手工重新錄入時。因此在審計時要重點關注以下方面:在轉移過程中數據可能會發生變化;新的科目代碼表與老的可能不一樣,需要在兩個財務信息系統之間建立復雜的對應關系:中心資料庫可能被一些地理上分散的伺服器取代;當前財務信息系統中的數據質量不佳;當用一個總的信息系統取代一個預定財務信息系統時,需要補充許多新的數據。在檢查這一環節時,一定要保證輸出的消息是經過批准、完整和精確的,保證輸出的消息在約定時間內准確地發送給指定的接收者,保證流人的消息是完整、准確和真實可靠的。