关于信息系统审计的几点体会(1)

为保证审计质量，从本世纪初开始，信息系统审计作为一种全新的审计思维和审计方式越来越收到重视。所信息系统审计，是指通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。在审计中，信息系统审计关注的重点为系统是否存在不安全或不稳定的因素，防止公司的财务和业务数据出现失真。在我国的审计实践中，信息系统审计成果似乎并明显，原因主要是目前存在以下三大困难：一是审计人员难以在短时间内透彻了解被审计单位的信息系统。一般来说，信息系统有通用和定制两种。通用的信息系统多用于小型的数据管理，由专业的软件公司开发后打包在市场销售，被审计单位人员仅仅是使用者，审计人员无法获得开发设计的细节；而定制的系统多用于大型的数据管理，由软件公司或内部的开发部门根据企业的应用量身定做，这类系统技术文档和技术支持比较完善，但是由于系统过于庞大，细节设计过于复杂，审计人员在有限的审计时间内难以对系统进行评估。二是难以发现系统内的瑕疵。从表面看，信息系统的各项令人眼花缭乱的模块好像都很正常，无论是从开发文档还是操作手册都不会直接列出系统的瑕疵，而且在现场审计中，审计人员一般不允许对正在运行的系统进行测试，较难识别系统的问题。三是难以评估系统瑕疵所导致的后果。在审计实践中，即使审计人员发现了信息系统的瑕疵，但是未发现该瑕疵导致的已经存在的后果，常常使得审计结论缺乏直接证据。虽然信息系统审计面对以上诸多难题，但是笔者认为审计人员可以打破常规，从以下几个方面创造性地开展审计工作。首先，审计人员可以通过整体评价被审计单位的信息系统重要性的基础上，确定审计重点。为了提高信息系统审计的效率，选取的系统最好满足下列条件：属于被审计单位的核心业务或财务系统，系统数据的真实性和完整性对被审计单位的安全生产和损益核算有着直接影响，同时要求该系统有着完整的技术文档，最好能够获得数据库管理员和系统开发公司维护人员的支持。当然，如果系统功能很简单，可不受上述条件限制。其次，审计人员应用内控测试和数据审计两种方式对选定的系统进行分析，一般能迅速找出信息系统存在的瑕疵，尤其是人为舞弊的线索。1.信息系统的内部控制测试。审计人员在了解系统业务处理流程的基础上对信息系统进行内控测试，然后作出风险评价。根据COSO发布的《内部控制－整体框架》，内控测试主要包含四个方面的内容：对控制环境的测试、对风险的评估、对信息与沟通的测试和对监督的测试。在进行信息系统审计时，可以对目标系统的上述四个方面对系统进行测试评价，测试目的：（1）控制环境管理层的技术和管理水平合格的系统管理层人员需要有技术和业务的双重背景，可以组织系统的运行升级和处理突发的意外情况。否则，容易出现系统不能良好地支持业务运行等情况。（2）维护和操作人员的技术水平系统的维护和操作人员需要有可以完成工作职责的技术水平，否则容易出现系统无法推广和各种意外频出等情况。（3）组织结构及职权与责任分配不恰当的职权分配容易给人为篡改数据及越权操作提供便利。同时，分析系统的组织结构可以确定审计的重点位于集团公司的哪个层面。（１）企业高层的重视程度企业高层重视系统才能获得足够的资源；（２）与系统有关人员的诚信和道德价值水平该指标评估人员是否有影响系统真实性和安全性的动机；（３）对信息与沟通的测试目标系统与其它系统之间的数据传输关系了解系统所处的位置；（４）系统所记录的信息在企业内部和外部的传输情况了解信息使用的情况；（５）对监督的测试内部和外部审计部门的信息系统审计为评价系统的可靠性搜集资料；（６）系统安全性和真实性的检查频率和力度；（７）对风险的评估分析系统所支持的业务流程从业务的角度找出影响系统安全性和完整性的因素；（８）找出风险的关键控制点作为下一步审计的重点；（９）执行各种测试手段。如：穿行测试、绘制风险控制矩阵等。共2页:1[2]下一页论文出处(作者):
电子审计程序浅析