时间:2023-03-08 14:56:07
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇系统审计论文,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
一、审计系统必须适应环境的发展
审计系统是在一定的经济社会环境下产生,又在特定的外界环境中存在和发展。它是环境的产物,必须和环境相适应。与生态系统中的生物一样,审计系统的生存、生长受制于环境,但审计系统的存在和发展又反过来影响和改变环境。回顾审计系统的发展历程,经历了三个阶段:
第一阶段是19世纪中叶,在资本主义得到充分发展、取得工业革命成功的英国出现了现代意义的审计(称英国式审计或详细审计)。当时的审计对象是会计账簿,审计的目的是查错防弊,所使用的审计工具是详细检查,审计信息的使用人是股东。第二阶段是本世纪初,在资本主义发达的美国出现了以资产负债表为对象的资产负债表审计,其目的是判断借款人的信用状况,审计信息使用人从股东扩大到债权人(主要是银行)。第三阶段是本世纪20—30年代,由于资本市场证券化,在美国出现了以损益表为中心的财务会计报表审计,目的是提出客观公正的审计意见,审计信息使用人是所有的企业利害关系人,对上市公司而言就是社会公众。到了40年代以后,由于跨国公司的出现,国际间资本流动频繁,在发达的资本主义国家出现了国际化的会计公司。
从上述审计系统从一个阶段向高一阶段的进化过程分析,我们可以得出两点结论:一是审计系统每一次进化都是为了适应环境的变化,和任何系统一样,只有适应环境的系统才能得以生存和发展。19世纪西方资本主义得到充分发展,实行所有权和经营权分离,就出现了英国式的详细审计。到了20世纪中叶,随着企业大型化和证券化,经济活动剧增,审计师不可能对每笔交易都进行检查,审计系统就由详细审计进化到抽样审计。有了跨国公司,就有了国际性的会计事务所。正是审计系统适应了所生存的环境,才使得本身得到充分的发展。同时,进化后的审计系统又反作用于环境,对社会经济起了积极推动作用,成为人类经济系统中不可缺少的一个子系统。二是审计系统的每一次进化都有赖于相应的理论、方法和技术的支持。从英国式的详细审计进化到资产负债表审计,是因为有内部牵制理论和统计抽样技术的支持。同样,从资产负债表审计进化到财务会计报表审计,是因为有内部控制理论和审计风险测试评价技术的支持。这是审计系统一次具有非常意义的“进化”,正是由于审计系统普遍采用了统计抽样技术和内部控制测试技术,从而使审计系统的功能大大增强,在大大提高了审计效率的同时,又有效地控制了审计风险。
同理,在步入21世纪的今天,审计系统又面临着新环境的挑战。新经济和数字时代的到来,以及经济全球化、市场一体化等将对审计系统产生重大影响。面对新经济环境的挑战,审计系统必须适应这种环境的进化,而要进化就必须有相应的理论和技术方法即系统科学和信息技术的支持,笔者将由系统科学和计算机技术支持下进化了的审计称为系统审计,与之相对应的是传统的详细审计和内控审计。下图表达了审计系统的进化过程。
需要说明的是,“系统审计”与“审计系统”是二个既有联系又有区别的概念。系统审计是指在系统科学和信息技术支持下的审计理论方法,表明一种审计理念,是相对于其它审计方法而言的。审计系统则是泛指审计体系,详细审计、财务会计报表审计、系统审计都是审计系统各个不同历史时期的产物。
二、系统审计和传统审计的比较
传统审计的思维方式是:部分整体。传统审计总是先分析对象的各个部分,然后再综合为整体。这种思维方法的局限性在于把分析与综合、部分与整体、原因与结果机械地割裂开来,认为部分是原因,整体是结果,部分决定整体。传统审计方法着眼于一个个要素,进而得出整体的性能,其逻辑结论往往是组成整体的要素好,整体的性能也就好。不论是一百五十年前的详细审计,还是目前的财务会计报表审计,注册会计师的思想方法都是从部分去推测整体,而系统审计的思想方法则是从整体到部分。详细审计是从每一笔交易账户再到报表;财务会计报表审计是通过对内部控制和控制风险的研究抽取部分交易为样本账户最终证实报表信息的真实和公允性。详细审计和报表审计在研究审计对象经济活动时,只把各组成部分孤立地、简单地加起来,这并不能说明审计对象经济活动的整体性质和功能。因为各要素的简单相加,并不能构成一个系统。
系统审计思维方法则不同于传统审计,它的思维方式是:整体部分。系统审计从整体出发,先进行系统综合,形成可能的系统方案,再进行系统分析。分析系统各要素及其相互关系,建立模型,然后进行系统选择,实现最优化,重新综合成整体。系统审计方法的程序是:综合分析综合。它不仅着眼于个别要素的优劣,而且利用了要素之间的相互关系,观察和判断系统整体的性能。要素和系统不是一种简单的线性因果关系,系统的整体性能不单是取决于组成系统的要素,而且还有要素之间的相互作用。系统审计方法正是在要素之间相互作用的关系中进行分析和综合,才能正确地认识审计对象的整体性能。系统审计把审计对象的经济活动当作一个整体来研究。这一整体的性质和规律,只存在于组成要素的相互联系、相互作用之中。各个组成部分孤立的特征或者活动的总和,并不能反映整体的特征和活动。系统审计强调系统的整体性,要求注册会计师不能象以前那样,先把审计对象分成几个部分,然后再汇集起来。而是把审计对象作为一个有机的整体来对待,先看整体,再看部分;先看全局,再看局部;先看宏观,再看微观;先看全过程,再看某一个阶段。从整体与环境、整体与部分的相互依赖、相互制约中,去揭示系统的特征和运动规律。对局部的研究必须放在整体中,从整体的各个部分的联系、制约中去加以研究。当然,注册会计师研究审计对象经济活动整体,并不是不深入具体细节去考察分析,一个正确地认识来自于从整体到部分,部分到整体的反复过程。系统审计在研究问题时,把任何对象都看成是系统,然后着眼于系统和环境之间、系统和要素之间的相互关系,确定要素的层次结构,这样就便于用数学方法从定性和定量的结合上研究、描述现实系统。系统审计比传统审计方法更能将分析和综合、归纳和演绎等方法有机地结合起来,因而为运用数理逻辑方法和计算机技术开辟广阔的道路。
一、电子商务系统审计的必然性和必要性
在商业活动实现网络化之前,采购是面对面或通过纸质文件进行的,有迹可查,即使是电子交易,其设备结构是专用的,一般只限于已知用户使用,任何外部用户必须是已知的、身份明确的、可追踪的;系统通常是主机结构方式,相对易于监督、控制和审计。与传统商业相比,万维网客户/服务器系统的特点是高度分散,资源共享、服务分散、顾客透明度高等,而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产,财务报告不能充分提供企业的状况和价值方面的信息,特别是网络企业的无形资产,如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法,需要一些新的核查和审计方法,更有效地评价无形资产,如知识、品牌等。因此,电子商务系统审计就成为历史的必然。由于,电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险,都可能会影响其生存和发展。风险因素包括:商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此,进行必要和客观的审计,才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。
二、网络风险和风险管理
网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,计算各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。
通过风险评估,可以认识到潜在风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本,主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。
三、电子商务系统审计中网站的合法性证明
网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否准确真实,机构背景是否正当合法,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平,必须用于某一特定、公开的目的,必须取得该个人的同意并受到保护,本人必须有权进入系统进行修改或删除,信息的越域流动和将来的使用、披露必须予以安全保证和限制等。
解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明,以使网络终端用户能对网站提供的电子商务放心。如Verisign,TRUSTe,BBBOnline,WebTrust,SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。
四、内部审计和电子商务系统审计
美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计人员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监督和控制。
尽管当前许多人认为核实查证通常与外部审计人员相关,内部审计人员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络企业控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低成本、提高市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。
电子商务系统审计的成功与否在于审计人员是否掌握相关的技术知识,了解商业风险及风险管理策略,是否有现成的策略随时应付出现的风险。因此,作为一个成功内部审计人员应了解企业的业务,以服务为宗旨并努力增值,积极提高专业技能,关注系统的效率和效益,建立对电脑领域发展的职业敏感性。
(Why)随着被审计单位经济业务活动对信息系统依赖程度越来越高,信息系统已经逐渐融入各项经济活动当中。但是,信息系统存在的漏洞和缺陷、非法舞弊程序、人为操作错误、病毒感染、黑客攻击、系统故障等导致被审计单位经济业务数据失真的各种风险也在进一步加大,也就是说信息系统本身的安全性、可靠性直接威胁和影响到信息系统所产生经济业务电子数据的真实、准确和完整。因此,基于现代风险基础审计理论的政府审计,必须考虑与经济业务活动相关的信息系统产生的风险因素,突破传统政府审计业务范围,涵盖信息系统审计内容。如果忽视对信息系统本身的审计,审计机关审计人员审计依赖的被审计电子数据的真实性就会成为“空中楼阁”,就有可能出现“假账真审”的问题。目前,各级政府部门、企事业单位为了提高信息化水平,纷纷加大资金投入,推进信息系统建设,建立统一数据集中平台,信息系统已经成为国家的一项投资巨大的重要资产。这就要求审计机关审计人员在对这些机构实施经济效益审计、绩效审计、经济责任审计等审计项目时,必须考虑信息系统资产因素,对信息系统实施相关审计,以有效揭示信息系统在安全、可靠、合法、效率、效果和效益等方面存在的问题,防范信息系统风险,保障信息系统安全、可靠运行,促进信息系统资源的有效利用,提高信息系统资源运用的收益水平。由此,在政府审计项目中,考虑到信息系统的影响因素,迫切需要大力开展结合型政府信息系统审计,而不是可审可不审的问题。
二、结合型政府信息系统审计的目标是什么
(What)信息系统审计目标是信息系统审计行为的出发点,它指明了审计工作方向,并指导着信息系统审计实践活动(王振武等,2011)。我国政府审计以维护国家财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康发展为职能,以国家经济活动的真实性、合规性和效益性为总体目标。因此,我国政府审计机关实施的结合型政府信息系统审计,也应遵守真实、合规和效益的根本目标。审计机关审计人员在各项具体政府审计项目中,不能笼统地将一般意义上信息系统审计的安全性、可靠性、合法性和有效性目标作为结合型政府信息系统审计具体目标,这既不符合结合型政府信息系统审计的特点和需求,也不具备实际可操作性、指导性。如果信息系统审计目标因素与具体政府审计项目目标不相关,将起不到应有的作用,是多余的、不必要的,从成本效益角度来说,是对审计资源的浪费。审计人员应避免根据自己的理解来确定目标,造成混淆不清。结合型政府信息系统审计贯穿于各政府审计项目之中,成为审计全过程的一部分,其具体审计目标应根据国家审计机关实施审计项目预期要完成的任务和结果,即具体政府审计目标,以及所涉及的信息系统情况等综合确定。例如,政府财政财务收支审计的目标是财政财务收支情况的真实性、合规性和效益性,其审计的数据来源于相关信息系统产生的财务电子数据,而数据是否真实、完整,直接依赖于相关信息系统是否安全、可靠,由此可以确定政府财政财务收支审计中信息系统审计的目标是安全性、可靠性。又如,在国有企业绩效审计中,绩效审计的目标是效率性、效果性和效益性,虽然信息系统与绩效审计不直接相关,但是信息系统作为企业的一项重要资产,且信息系统建设的投入金额巨大,因此,在国有企业绩效审计中也应包括信息系统资产的绩效审计,这就决定了国有企业绩效审计中信息系统审计的目标应该是效率性、效果性和效益性。上述示例也表明,结合型政府信息系统审计具体目标随政府审计项目的不同而存在一定的差异性,也就是说政府审计具体目标的多元性决定了结合型政府信息系统审计具体目标的多元性,必须根据具体政府审计项目综合确定。
三、结合型政府信息系统审计的重点在哪里
(Where)结合型政府信息系统审计的成效取决于审计机关审计人员对信息系统审计重点内容的把握程度。审计人员应该在分析清楚各政府审计项目中信息系统审计具体目标的基础之上,确定信息系统审计意图和需要解决的问题,并根据“全面审计、突出重点”、“先系统本身后系统环境”的原则确定信息系统审计重点事项(唐剑,2012)。此外,还应考虑成本效益原则,尽力减少与政府审计目标不相关的、多余的、不必要的信息系统审计内容。
(一)结合型政府信息系统重点
审计对象的选择被审计单位一般建立有多个信息系统,依据结合型政府信息系统审计的特点,不需要也不必要将被审计单位的所有信息系统纳入重点关注的审计对象,只需要根据与被审计业务活动相关的程度选择目标信息系统。如何选择信息系统重点审计对象?审计机关审计人员选择的主要原则应是依据被审计单位核心业务对信息系统的依赖性以及被审计单位信息系统的复杂性确定需要重点调查和审计测试的信息系统的范围和深度。一般来说,越高度依赖的信息系统,就应该作为重点审计的对象;越复杂的信息系统,就应该扩大重点审计对象范围。例如,在财务收支审计中,被审计单位ERP系统由财务、采购、销售、库存、质量、人力资源等多个子系统组成,由于财务收支数据直接依赖于财务子系统,所以理应将其作为审计的重点,然而ERP系统又是一个集成化的复杂系统,审计人员还应扩大审计范围和深度,需要将ERP系统中系统管理子系统以及其他子系统的基础设置、凭证处理等模块也作为审计的重点。
(二)结合型政府信息系统内部控制
测试重点
内容的确定现代风险基础政府审计是建立在内部控制的测评基础之上,根据内部控制的符合性测试结果实施业务数据的实质性测试。信息系统内部控制测试是对信息系统内部控制的可靠性、健全性和有效性进行的测试。基于结合型政府信息系统审计的经济监督和重在审计业务数据的特点,以及政府审计人员信息技术能力限制,为避免将对信息系统的审计引入技术陷阱(李春青,2008),审计人员应重点选择信息系统中容易产生数据风险的部分,作为信息系统内部控制测试的重点内容。而信息系统的硬件、软件、应用程序、数据、人员、制度等组成要素中,对业务数据直接产生影响的主要有信息系统数据、应用程序、人员和制度,因此审计人员在结合型政府信息系统审计中应选择信息系统数据、应用程序、人员、制度作为审计测试的重点,只在必要的时候再根据实际情况适当关注信息系统的软硬件环境。
(三)信息系统效率、效果和效益审计重点
内容的选择在结合型政府信息系统审计中,对行政事业单位、企业的效益审计、绩效审计、经济责任审计等政府审计项目中涉及的信息系统效率、效果和效益审计,其审计范畴从属于政府审计项目的范畴,只是审计对象中包括信息系统资产。因此,在这种结合型政府信息系统审计中,审计机关审计人员审计信息系统效率、效果和效益应从被审计单位正在运行使用中的信息系统资源的有效利用、促进产品或服务目标实现、降低产品或服务成本和增加产品或服务收益的角度选择重点审计内容:(1)效率性审计应重点评价使用中的信息系统对提高被审计单位劳动生产率所作的贡献,如节省人力、提高人员工作效率等;(2)效果性审计应重点评价使用中的信息系统使被审计单位业务、管理和决策等方面得到改善和提升,如满足业务处理需求、促进业务流程改进、增强信息交流与共享、提升客户服务能力、提高管理决策水平等;(3)效益性审计应重点评价使用中的信息系统的资金投入以及产生效益之比,资金投入包括信息系统运维资金投入、升级改造资金投入等方面,产生效益则可以从降低产品或服务成本、提高资金周转速度、提高产品或服务收入、增强竞争力等方面考虑。
四、结合型政府信息系统审计如何实施
(How)结合型政府信息系统审计作为信息系统审计的一个特例,两者在审计技术、方法、手段等方面理应具有一定的一致性。但是,审计机关审计人员在借鉴目前常用信息系统审计方法的同时,需要结合具体政府审计项目,立足审计人员的信息技术审计能力相对较弱、业务审计能力较强的审计专长,以审计人员的业务思路和职业判断为工作核心(王亚清,2012),积极探索富有实效的信息系统审计与传统审计相结合的方法。
(一)如何做好信息系统审前调查
在进行结合型政府信息系统审计调查时,审计机关审计人员可以将被审计信息系统调查与被审计项目业务调查结合进行,将信息系统调查作为业务调查的延伸。一方面,可运用询问法、观察法、查阅法、调查表法、流程图法等传统审计调查的方法,将被审计单位业务活动情况与信息系统情况调查融合在一起,一并调查了解被审计单位整体和业务活动情况、信息系统环境(如硬件环境、软件环境、组成、结构、分布等)、内部控制制度(含信息系统内部控制制度)、手工和计算机信息系统处理过程(如业务流程、运行流程、人员操作流程等)及执行情况;另一方面,可运用计算机辅助审计方法获取被审计业务电子数据,调查了解被审计信息系统数据处理情况等。两种方法相互补充,既能全面了解被审计单位业务活动情况,又能够摸清被审计单位信息系统基本运作情况,实现信息系统审计调查与整个审计工作调查的衔接,从而确保审计调查的效率、质量。
(二)如何做好信息系统内部控制测试
在结合型政府信息系统审计中,审计机关审计人员可运用熟悉的传统审计测试方法,辅以计算机辅助审计测试方法对前述确定的信息系统数据、应用程序、人员、制度等重点内容进行审计测试。具体可采用:(1)传统审计方法。通常可采用询问法、观察法、检查法、核对法、比较法、数据分析法等方法。如:询问或观察职责分离制度、人员操作制度、运行维护制度的执行情况;观察有关人员对信息系统访问是否设定口令、系统操作是否违反职责分离原则;查阅系统日志文件、操作记录,查看系统中是否有非法访问记录和报告,有无未经授权的用户操作系统;观察、检查系统功能设置、程序化控制、权限设置、系统参数配置等是否合理、有效,如权限设置是否符合职权要求,人员岗位变动或离职前是否及时进行权限锁定或删除,客户数据是否进行唯一性检验,财务软件是否存在反结账、反记账等功能;核对、比较原始凭证与数据库凭证文件数据的一致性,以测试凭证数据输入控制的有效性;对数据库文件数据采用数据分析法,如分析数据文件中操作员代码、数据异常值、数据间的关联关系、数据间的平衡或合计关系等审查是否存在非法用户或越权操作、参数设置的有效性、数据处理是否存在错误等以测试数据处理控制的有效性,也可通过数据分析反推系统中存在的非法功能和漏洞,等等。(2)计算机辅助测试方法。通常可采用计算机数据审计软件工具、整体测试法、平行模拟法、虚拟实体法、受控处理法等方法。如利用计算机审计软件(OA)、数据库管理系统(Access、Sqlserver)、Excel等获取和分析被审计信息系统数据输入、处理、输出控制;运用整体测试法、平行模拟法、虚拟实体法、受控处理法等方法(张瑜,2012),测试系统的处理和控制功能是否恰当、可靠,接口程序是否存在缺陷等。除此以外,对于信息系统硬件、软件、网络安全等方面内部控制测试,由于其技术性较强,审计人员可重点从系统管理的视角着手。一般采用面谈法、询问法、观察法、测试软件等,重点审查计算机安全和管理制度的执行情况、是否建立安全认证机制、是否建立针对系统故障的应急安全机制、软硬件来源的合法性,观察硬件是否进行有效的保养、隔离,查看系统是否安装防火墙、安装防病毒软件、定期检测和清除计算机病毒,利用漏洞扫描工具和网络检测诊断工具等对网络环境进行测试和评估。
(三)如何做好信息系统效率、效果与效益审计
对于结合型政府信息系统审计中的效率、效果与效益性审计,应遵循可操作、实用性原则,审计机关审计人员可通过询问、观察、查阅资料、发放调查表和比较分析等方法,重点了解信息系统的各项功能在被审计单位日常工作过程中的使用情况,了解信息系统功能设置能否满足系统目标,了解信息系统保障被审计单位信息资源共享、业务有效开展和履行情况,了解信息系统运维成本和效益并进行定量化分析处理,对比被审计单位信息系统规划、运营目标,运用一定的评价方法(如平衡计分卡法、层次分析法、模糊综合法等)(张静等,2011)进行评价,给出审计结论和审计建议。就目前来说,信息系统的效率、效果和效益审计在我国仍然处于理论和实践探索阶段,缺少规范的指导,缺乏完善的评价指标体系,因此,如何科学、准确地评价信息系统的效率、效果和效益,仍然存在不小的难度。
五、结束语
20世纪60年代,随着计算机技术开始运用于企业的信息收集和整理中,会计信息处理逐渐无纸化,促使审计人员在执行传统审计业务时,必须关注以电子数据为载体的电子数据处理审计。20世纪70年代中期至80年代,电子数据处理和管理系统等在企业中逐渐普及,同时,计算机犯罪和计算机系统失效的事件频频发生,使得信息系统审计日益得到重视并迅速发展。美国、日本先后成立了IT审计方面的协会组织,从事对IT审计规则的制定和实施指导。20世纪90年代,信息和信息系统已成为企业的重要资产,企业和社会对信息系统控制和审计的需求愈发强烈。发达国家的信息系统审计进入普及期,许多国家的审计机关、学者和组织对计算机环境下的信息系统审计进行了有益的探索。同时,东南亚各国也逐渐认识到信息系统审计的重要性,开始着手研究信息系统审计理论和实务。
目前,我国信息系统审计仅有十几年的历史,尚处于探索阶段,既缺乏开展信息系统审计业务的人才队伍,也没有形成专业规范体系,所进行的一些计算机审计方面的探索和尝试以及计算机审计软件的开发和应用还大都停留在对被审计单位电子数据进行处理的阶段。存在的主要问题有:信息系统审计观念落后;信息系统审计相关的准则、标准和规范尚不完善;信息系统审计专业人才匮乏;信息系统审计软件开发工作滞后。1997年,广州地铁开始公司“信息化”建设。最初,广州地铁经营审计采用“绕过计算机审计”的方法,即对导出数据进行审计。审计过程中,其逐渐意识到了运用这种“黑箱原理”审计方法的风险。因此,2006年公司组建了专门的IT审计模块,探索“如何利用计算机审计”和“通过计算机审计”。其后,广州地铁信息系统审计发展经历了借力、助力和自立三个阶段。一是借力期:IT审计模块成立初期,公司与外部顾问共同开展IT审计项目,通过外部专业人员向审计人员传输IT审计技能,同时制定《IT审计实施细则》,在人员技能储备和制度上为IT审计模块的发展奠定了基础。二是助力期:审计人员参照审计手册,利用从外部顾问处学习到的审计技能,逐步开展信息系统审计工作,将IT审计工作模式调整为以自身力量为主,外部咨询服务为辅的模式。三是自立期:2009年,广州地铁IT审计已基本实现自主化,且IT审计模块逐步走向成熟,同时其还建立了具有自身特色的信息系统审计框架。目前,IT审计已经发展成为广州地铁内部审计的一根“支柱”,连同“内控审计”,作为基本的审计手段贯穿于各类专业审计工作中,支持审计体系的巩固与发展。
二、信息系统审计内容
1、国内外关于信息系统审计内容的研究
开展信息系统审计首先要明确审计内容。国际信息系统审计协会规定,信息系统审计的主要内容包括信息系统程序审计、信息技术(IT)治理、系统生命周期管理、IT服务的交付与支持、信息资产的保护、灾难恢复和业务连续性计划。近十几年来,国内的学者和组织也对信息系统审计的内容进行了探索和研究。审计署在2012年颁布的《信息系统审计指南———计算机审计实务公告第34号》中明确提出了:信息系统审计包括对应用控制、一般控制和项目管理的审计。其中,应用控制包括信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同;一般控制包括信息系统总体控制、信息安全技术控制、信息安全管理控制;项目管理包括信息系统建设的经济性、信息系统建设管理、信息系统绩效。上述具有代表性的规定和研究成果对信息系统审计内容的划分,均是以对信息系统逻辑结构的分析为基础。全面分析信息系统的逻辑结构,可从信息系统的构成要素、信息系统生命周期和信息系统管理三个维度进行描述:从构成要素来看,信息系统由人员、应用(包括软件平台和应用系统)、所采用的技术、硬件设备、数据文件运行规则组成;信息系统生命周期可划分为信息系统的规划阶段、开发阶段、运行维护阶段和更新阶段;从信息系统管理的维度来看,对系统的管理与控制活动贯穿于信息系统生命周期的始终,主要是通过有效执行一系列健全有效的规章制度和管理规程来实现。
2、广州地铁信息系统审计实施框架
结合广州地铁信息化项目多、系统更新快、数据集成度高、系统控制与手工控制并重等特点,围绕信息系统构成要素、信息系统生命周期和信息系统管理三个维度,广州地铁将信息系统审计的内容划分为整体计算机控制审计、应用控制审计和系统建设效能评价三个方面。其中,整体计算机控制审计是对信息系统运行中的控制活动进行审计,目的是合理保证由信息系统支持的业务流程控制是可靠的、生成的数据和报告是可信的。应用系统控制审计是对业务流程中的自动化控制活动进行审计,以合理保证交易的有效性、经适当授权和记录、完成的完整性、准确性和及时性。项目及系统绩效审计是对信息化项目的过程及成果对企业和业务产生的效益进行审计,用来合理保证信息化项目的投资/产出比例符合建设的目标,以及信息系统对企业战略起到的预期的支撑作用。围绕上述三个方面,广州地铁内部审计确立了以下的实施框架。
(1)确立整体计算机控制安全、操作、变更的三个评价维度,围绕“信息系统全生命周期”,明确整体计算机控制十个流程。
广州地铁通过学习和借鉴国际信息系统技术管理和控制标准COBIT,建立起了一套自己的整体计算机控制审计框架。框架可按流程和控制类型两种方式进行划分,两种划分方式在本质上是一致的。在按流程划分出的每个子流程中,信息系统审计人员需要从变更、安全、操作的角度去确认和评估具体的控制点;在按控制职能所作的划分中,审计人员需要围绕信息系统的策略与计划、信息系统操作、与外部供应商关系、业务可持续计划、应用系统开发、数据库、软件支持、网络、硬件等十个子流程进行审计。围绕安全、变更、操作三个角度及十个子流程,广州地铁共梳理出有关整体计算机控制的41项审计内容,并针对每一项内容明确了控制目标和风险,建立起了一套完整的整体计算机控制矩阵。例如,信息系统策略和计划子流程中,广州地铁明确了整体计算机控制的三大目标———信息系统战略、规划和预算应与实际业务和战略目标保持一致,计算机处理环境应得到具有适当技能和经验的人员的充分支持和保证,以及计算机处理环境中的人员应接受适当的培训,审计人员在此基础上针对各控制目标,识别并归纳出广州地铁现行的9个控制活动。在具体开展信息系统整体计算机控制审计时,信息系统审计人员根据审计项目的特点和要求,选择需要评价的子流程,再对照子流程的控制活动进行评估及测试即可。
(2)从内部控制目标出发,将信息系统应用控制划分为访问控制、完整性控制及数据质量控制三大方面。
广州地铁将信息系统的应用控制划分为应用系统访问控制、流程和系统完整性控制以及数据质量控制三大类,并针对各类控制分别设计了不同的审计内容。一是应用系统授权访问控制审计包括对系统的认证方式、授权机制、权限的分配管理以及不相容职责分离在系统中的实现情况的审计,目的在于保证经过允许的人才能访问和操作系统。二是流程和系统完整性控制审计是对系统输入、处理、输出以及接口等各种系统运行规则的审计,用以保证所有经允许处理的数据均转换到介质上并被处理,且处理的结果可通过适当的方式加以输出,所有输入、转换、处理和输出均在正常的时间内准确地进行。三是数据质量控制审计则是指对信息系统中的数据的完整性、规范性和有效性所进行的审计,旨在保证所有系统的输出均反映为经批准的有效的经济业务,所有经过系统的数据真实、有效,且能满足企业各项业务的使用要求。
(3)围绕“信息化项目”和“信息系统”,综合评价信息化建设的效益。
在开展整体计算机控制审计和应用控制审计的基础上,广州地铁从企业经营和投资效益的视角出发,在信息系统审计中引入了3E审计的概念,尝试对信息系统建设项目的成效、建成后系统的应用效能以及信息化对战略的支撑效果进行审计。为了全面评价项目,广州地铁通常将对单个信息系统建设项目的合规性审计与项目效能审计结合在一起开展。一是信息系统建设成效审计旨在通过对系统建设全过程的审计,促进信息系统的建设规范性,提高信息系统建设的质量。二是信息系统应用效能审计包括对业务需求的实现情况、建成功能的使用情况的审计分析,以及对系统应用对业务管理规范化、标准化和精细化提升作用的综合评价,目的在于促进系统使用价值的最大化,减少系统建设的投资浪费。三是战略支撑效果审计是从支持战略实现的角度,评价信息系统的建设效益,保证信息化建设在符合业务管理要求的同时,符合公司战略的需要,支持公司战略的实现。
三、信息系统审计实施步骤
信息系统审计步骤(或流程),是审计工作从开始到结束的整个过程。信息系统审计流程一般可划分为四个阶段:计划阶段、实施阶段、报告阶段和后续阶段。计划阶段是信息系统审计流程的起点,此阶段的主要工作包括了解被审计系统的基本情况,初步评价被审计单位信息系统的内部控制和外部控制,识别重要性和编制审计计划。实施阶段是根据计划阶段确定的审计范围、重点、步骤和方法进行有针对性的取证、评价,并形成审计结论的过程。实施阶段是信息系统审计工作的核心,主要由符合性测试和实质性测试两个部分构成。在报告阶段,信息系统审计人员需运用专业判断,整理、评价收集到的审计证据,以经过核实的审计证据为依据,形成审计意见,出具审计报告。审计报告的出具并不意味着信息系统审计工作的终结。根据国际信息系统审计标准,信息系统审计人员对于系统中发现的重大问题和漏洞,需要对被审计单位所采取的纠正措施及其效果进行后续审计。审计人员需要将后续审计纳入计划,并安排必要的人员和时间进行后续审计。广州地铁IT审计模块成立之初,即明确了IT审计“对公司的系统流程与控制、项目进行审计”和“提供有益于增加公司价值的咨询服务”两项核心职责,并围绕公司战略,以“风险导向”、“服务战略”理念为指导,从信息系统审计战略规划和具体项目执行两个层面分别制定信息系统审计的流程。
1、以公司战略为导向,制定信息系统审计的战略规划
一直以来,广州地铁奉行“源于战略、服务于战略”的现代审计理念。这一理念主要体现在两个方面:一是在制定内审工作计划时,从公司战略出发,制定各个内审业务及各专业审计模块的战略,并以业务战略为指导,开展具体的审计工作;二是在开展审计项目的过程中,始终从保障公司战略执行的角度去发现问题、评价问题,提出整改意见和落实整改。信息系统审计的战略规划来源于公司的战略,以及以公司战略指导制定的公司信息系统战略规划和内部审计业务战略规划;同时还须结合公司信息化现状和IT审计模块定位,明确广州地铁IT审计发展战略目标。
2、通过风险评估,确定各信息系统风险等级,制定层次分明、重点突出的信息系统循环审计计划
为利用有限的审计资源掌握公司主要信息系统的建设、运营情况,保障信息资源的有效利用,降低公司信息系统的整体风险,广州地铁建立了一套“根据信息系统风险评级制定差异化的审计策略”。
(1)梳理信息系统脉络,全面掌握信息系统现状。
广州地铁结合信息系统规划、建设和运营的情况及系统分类梳理出被审计信息系统清单,并从系统构成要素的角度收集系统相关的信息。这些信息包括系统名称、功能模块、采用产品等基本信息,以及项目的建设信息、系统的使用状况和运维的基本情况。这些信息是风险评分的依据,也为后续开展具体审计工作时确定审计方案提供了指引。
(2)开展信息系统风险评级,制定风险导向型审计计划。
内审人员从通用风险、业务风险、项目风险、系统风险、数据风险和人员风险六大风险类别出发,全面识别信息系统各类构成要素中存在的风险;对信息系统进行风险评价,根据风险得分将信息系统按优先级分别划分为高、中、低三类。结合公司IT审计资源的情况,对优先等级高的系统采用三年一审策略,中等级系统5—6年一个审计周期,风险等级低的系统则根据需要安排审计。在此审计策略的基础上,再综合考虑公司业务的十大风险、领导关注事项、上一年度内控评价结果和审计项目成果、公司新一年的工作重点、公司信息系统的变动情况,并制定出本年度的信息系统审计计划。
3、以风险为导向,开展信息系统审计
在项目实施阶段,审计人员必须从公司整体信息系统控制环境和被审计系统的状况、流程与内部控制两个方面进一步收集被审计系统的相关资料,了解和确认被审计单位已建立的内部控制措施,并对这些控制措施的设计是否达到控制目标进行评估。
(1)以“轮流循环+以点带面”的方式开展整体计算机控制审计。
公司的信息化业务采用统一集中管理的模式,整体计算机控制对各个系统具有一定的通用性。因此,在实务操作中,广州地铁采用“以点带面”的策略,以单个信息系统整体计算机控制为切入点对整体计算机控制进行审计,评价整体信息系统的安全性;同时,考虑到信息系统在一定时间内相对稳定,因此在实施整体计算机控制审计时可采取轮流测试的方式,即每年从十个子流程中选取几个进行测试,经过一定周期后,完成对整体计算机控制的全面审计。例如,在2011年开展的信息安全审计项目中,审计人员就围绕信息安全这个审计主题,从十个子流程中选取了与信息安全直接相关的信息系统操作、信息系统安全、业务可持续计划、应用系统开发与实施、数据库开发与实施和系统软件支持等六个流程进行审计。分步、循环开展整体计算机审计,在审计风险可控的情况下,大大节省了审计资源,也使得审计人员能够更加深入地挖掘和分析整体计算机控制方面所存在问题以及问题的成因,提出更为切实可行、同时又符合公司信息化业务发展现状和要求的整改措施。
(2)以风险为着眼点,确定应用控制审计重点。
应用控制是各个信息系统内部所建立的控制机制,应用控制审计必须针对某个具体信息系统开展。在开展应用控制审计的过程中,审计人员应紧紧围绕“风险”这个着眼点,通过对原有业务成熟度和系统建设过程中风险的评估,选择不同的审计侧重点开展应用控制审计。例如,在合同管理系统审计项目中,由于合同管理系统是全新开发的系统,审计人员经分析,判定系统在应用系统访问控制方面的风险较高。而在进行控制评估和测试后,审计人员发现业务人员在创建系统权限设置机制时完全套用了公司办公自动化系统的权限机制,而未针对合同业务流程中不同于公司组织架构下的角色设立相应的用户组,导致系统无法实现合同经办人与审批人职责的分离,存在重大的内控风险。
四、信息系统审计方法
在信息系统审计中,可因地制宜,综合运用多种学科的技术方法,包括:传统审计中内部控制测评的基本方法和审计取证的基本方法(包括审阅、核对、监盘、观察、查询、函证、计算、分析性复核);计算机科学的技术方法,如数据测试法、程序编码审查法、受控处理法、受控再处理法、整体测试法、平行模拟法、程序比较法、漏洞扫描、入侵检测、嵌入审计程序法等等;行为科学的技术方法,如运用组织发展的理论与方法、个体行为一般规律的理论和方法。这些方法与技术并不是孤立的,而是互相联系的。目前,广州地铁在信息系统审计中所运用的方法仍主要集中在传统的内控审计方法和信息系统管理的技术方法两个领域,具体包括询问、观察、文件复核、抽样、重新执行、使用计算机辅助软件等。在部分项目中,也采用了一些计算机科学的技术方法。受限于审计资源不足,广州地铁较少采用程序比较法、平行模拟法、程序编码审查法等高成本的审计方法,而倾向于选用一些较为高效的测试方法。但这些高效方法的运用不能完全消除审计风险,这就需要审计人员根据自身的经验尽量避免。
1、传统审计方法的运用
广州地铁在开展信息系统审计过程中较多运用传统审计的方法。例如,在对信息系统整体计算机控制进行审计时,通过对系统使用人员的访谈、调研和对系统各项操作的观察,梳理出整体计算机控制相关的各种控制活动。在没有测试环境的情况下对生产在用信息系统的人机交互界面和功能进行调查和确认时,审计人员大量运用了观察的方法。在对固定资产信息系统模块进行审计中,审计人员通过观察物资采购人员、资产管理人员、会计核算人员在系统中的操作界面、系统实现效果以及业务操作流程来了解系统功能的构造。发现采购中的供应商信息在跨系统流程过程中丢失,导致财务系统和实物管理的MAXIMO系统的资产台账中均缺少供应商信息,致使日后采购同类物资时,采购人员无法获取历史采购信息作为参考,增加了市场调研成本。除内控矩阵和访谈、观察等方法之外,编制流程图、数据流图和报表流图也是信息系统审计经常使用的方法。
2、计算机科学技术方法的运用
计算机科学技术方法是信息系统审计特有的方法,来源于IT行业的信息技术的转换应用,主要包括基于数据分析的方法和基于程序分析的方法,这些方法的综合使用使得对信息系统的审计更加有效。具体方法的选用需视被审计系统的实际情况而定。在一个审计项目中,广州地铁审计人员经常将多种方法结合使用。例如,在票务收入系统审计项目中,审计人员首先采用数据测试法,使用正常及非正常的测试地铁票搭乘地铁,在系统中跟踪测试票的处理情况,以验证系统处理与控制功能是否均有效;在对系统中后期内部开发的车站单程票售卖功能进行审计时,审计人员采用了程序编码审查法,对系统的源程序编码进行审查,审查后发现单程票售卖金额统计报表在进行数据处理时省略了小数点后的尾数,导致报表金额存在偏差;在对票务系统的清分报表进行验证时,审计人员又采用了平行模拟法,抽取系统中一段时间内的正式交易记录,在系统外模拟系统的处理规则对交易记录进行处理,并将处理结果与系统的报表数据进行核对,结果发现系统在数据传递和处理过程中,由于系统对于异常数据的审核过于严格,导致部分正常数据被当作垃圾数据丢进异常库,给公司造成票务损失。
3、计算机辅助审计软件的应用
计算机辅助审计软件的应用是信息系统审计的一个显著特点,也是审计人员准备阶段需要重点关注的问题之一。目前,广州地铁对计算机辅助审计软件的应用主要体现在以下两个方面。
(1)对系统中数据的准确性、完整性和一致性的检查。
例如,在合同管理系统审计项目中,为核对系统接口程序的可靠性,审计人员利用审计辅助软件快速完成了对合同系统和财务系统数据一致性的核对,迅速查找出两个系统中不一致的数据。经过深入分析,审计人员发现由于财务核算人员在财务系统中复核合同支付数据时发现错误,将支付申请退回给合同系统再由合同经办人重新填报时,合同系统未对已生成的支付信息进行更新,导致上述问题的出现。针对海量数据处理系统,数据验证是审计的重点,计算机辅助软件是“不可或缺”的审计工具。在地铁票务收入保障审计项目中,审计人需要通过数据验证的方式对业务处理的核心系统———自动售检票(AFC)系统中的系统传输和处理机制进行验证。为此,审计人员共设计了8大类29子类47个数据验证主题。审计时,审计人员运用计算机辅助审计技术,在两个月内完成了对AFC系统中10天总计超过3亿条运营数据的验证工作。
(2)利用计算机辅助软件进行对比测试。
即审计人员从信息系统中抽取某部门样本数据,将样本数据输入到与计算机辅助软件中进行处理,把审计软件输出的结果与业务系统产生的结果进行对比分析,以判定业务系统的可靠性与准确性。广州地铁在已开展的运营票务收入保障审计项目中大量地使用了此种方式。审计人员将各车站站务人员在票务系统中录入的售票数据导入到计算机辅助软件中,按照业务规则对数据进行处理,将处理结果和系统输出的结果进行对比。经对比,审计人员发现票务系统在处理异常数据时过于严格,导致部分非异常数据被系统当作异常数据丢入异常库中,给公司造成票务损失。
4、信息系统审计与业务内控审计相结合
木桶效应又称木桶原理或短板理论,是由美国管理学家彼得提出来的,其核心内容为:一只木桶的盛水量取决于最短的那一块木板的长度。木桶效应蕴含以下三个推论:其一,只有桶壁上的所有木板都足够高,木桶才能盛满水;其二,只要桶壁上有一块木板不够高,木桶里的水就不可能是满的;其三,只有木桶的底板、侧板自身有足够的结实度及相互之间有足够的紧密结合度,才能保证木桶盛水功能的完备,不漏水。木桶效应以人们所熟知的生活常识,形象、巧妙地揭示出整体优化面临的共性问题,即最佳结构选择问题:整体的实力和竞争力取决于整体内各部分有机组合而成的结构,结构的变化制约着整体的发展变化,最终导致整体性能的改变。木桶效应的形象生动及其蕴含的深厚哲理使得它被引用的频率越来越高、应用的范围也越来越广。木桶效应中的“木桶”不仅可象征企业或其内审机构等实体性组织;也可象征组织的某项职能,如内部审计职能。内部审计职能着眼于组织整体,较内部审计机构更为宏观,也是本文的立足点。如果将内部审计职能看作一只木桶,影响内部审计职能发挥的目标、组织、行为及管理等四大因素犹如组成木桶的四大板块,任何一个板块成为短板或存在漏洞,都会产生木桶溢出的负效应,制约内部审计职能发挥,因此,需要应用系统管理理论方法将这四大因素科学管理起来,避免短板或漏洞的产生,保障内部审计职能发挥。
二、内部审计的系统管理模式分析
系统管理理论,把管理对象看成是特定的系统,以系统思想为指导,以系统功能最佳为目标,运用系统管理方法,把握住系统的组成要素及要素之间的联系,对各要素进行高效率的计划、组织、指导和控制,及时调整和控制系统的运行,以实现系统全过程的动态优化管理,最终实现系统目标。根据系统管理理论,设计系统管理模式的一般方法是先进行系统的总体设计,然后进行各子系统或具体问题的研究。内部审计系统主要包括目标、组织、行为和管理等要素,各要素之间存在着错综复杂的内在联系,且各要素本身又是由若干子要素组成的子系统,构成一个完整的内部审计系统。
1.内部审计目标系统。
目标系统是内部审计所要达到的最终状态的描述系统。由于内部审计是隶属于企业内部的一项职能,企业的每一项职能都要围绕企业的核心目标而用力,国际及中国内部审计协会对内部审计目标进行了恰当定位,即为了组织增加价值并提高组织的运作效率,帮助组织实现其目标。可见,内部审计根植于企业目标而存在,为最终实现企业目标保驾护航。内部审计目标系统包含系统目标、子目标和可执行目标三个层次,其中系统目标即企业目标;子目标即开展的每一项审计项目的总括性目标,向上与系统目标衔接一致;可执行目标用于确定审计项目的详细构成,向上与项目目标衔接一致,应具有可操作性,便于审计人员具体执行,通过“自上而下”及“自下而上”双向控制,最终达到实现整个内部审计目标的目的。
2.内部审计组织系统。
内部审计组织系统是由参与完成审计工作、实现内部审计目标的个人和机构组成。内部审计组织系统具有开放性,在进行内部审计组织系统设计时,应考虑以下几点:一是把握突出内部审计的独立性和权威性原则;二是内部审计机构与董事会或者最高管理层的关系,根据第2302号内部审计具体准则规定,内部审计机构与董事会或者最高管理层存在组织隶属关系,应当接受董事会或者最高管理层的领导并向其报告,保持良好的关系,积极寻求其对审计工作的理解与支持,增强内部审计的权威性及审计工作开展的便利性;三是内部审计机构及人员相对于同层级管理机构及人员应具有相对的独立性和权威性,便于审计工作开展。
3.内部审计行为系统。
内部审计行为系统是由完成内部审计项目或任务、实现内部审计目标所有必需的内部审计活动构成的,包括审计目标、审计制度、审计计划、审计工作方案制定、审计项目实施以及审计建议落实等。这些活动之间存在各种各样的逻辑联系,构成一个有序的动态系统,设计内部审计的行为系统,应注意以下几点:一是应包括实现内部审计目标系统必需的所有工作,并将它们纳入计划和控制过程中;二是按照内部审计准则及制度实施审计项目,保证审计项目实施程序化、规范化;三是保证内部审计行为系统与企业内其他机构、部门及个人行为之间良好的协调。
4.内部审计管理系统。
内部审计管理系统是指为使内部审计达到应有的效果,对内部审计的目标、组织及行为系统所采取的控制措施总和。为最终确保内部审计目标的实现,内部审计管理系统从总体上应完成如下工作:一是对内部审计的目标系统进行策划、论证和控制,使之与企业目标相统一;二是对内部审计的行为系统进行计划和控制,使之符合内部审计准则及制度的规定,保障审计质量;三是对内部审计的组织系统进行设置、协调和指挥,使之保持相对的独立性和权威性,利于审计工作开展及审计目标实现。
三、结语
随着会计电器化的广泛应用,传统内部审计面临着新的挑战,从而出现了电算化会计系统的内部审计。
一、计算机会计系统内部审计的特点
计算机会计系统内部审计的特点,首先是审计的系统性,要对数据、硬件、软件等各种要素进行系统的分析和检查,才能确定输出结果的正确性,作出可靠的审计结论。第二是审计的复杂性,这是由被审系统数据处理方式、数据贮存方式、系统控制方式、应用系统和电子计算机辅助审计技术的多样性和复杂性所决定的。第三是审计资料的隐蔽性、敏感性和易逝性,这是由于审计线索主要以两种形式存在:一种是肉眼可以看见的审计线索,如输入的原始凭证、记账凭证等原始文件、打印出来的会计账簿、会计报表等;另一种是肉眼看不见的,如存储在软盘或硬盘上的会计数据库资料等。第四是审计的运行性,即在不断运行的系统中进行审计和监督。
二、计算机会计系统内部审计的内容
内部审计可以从硬件和软件的系统控制和实质性审查两个方面来进行审计。
l、内控制度的审计。对内部控制制度的审查与评价,既是审计的基础,又是审计的前提。从实施的角度来看,内部控制有些是通过程序来实施的,有些则是通过制度约束来实现的。通过程序的设计和运行来实施控制的“程序化”控制,和通过建立管理工作制度来完成控制的“制度化”控制,必须通过内部审计来确保其实施,才能使计算机会计系统的安全、可靠和稳定得到双重保险。在电算化条件下,虽然仍要审查传统审计的一些内容,但重点主要在于系统软硬件及数据的内部控制。
内部审计人员应在本单位以上各方面制度的制定过程中,积极发挥参谋作用,并在以上制度的实施过程中,定期审计或突击检查,查找内部控制的弱点,提出改进措施,使制定的内部控制制度得以执行,以保证会计数据的安全性、有效性、完整性和准确性。
2、实质性审计。在手工条件下,审计主要是对书面资料进行审查。在电算化条件下,会计核算由计算机在程序的控制下完成,除了审查输入和输出数据,还要审查电子计算机程序和贮存在机内的数据文件。因此审计工作重点转移至对会计软件合法性、正确性的审查和对机内数据文件的审计方面。
三、计算机会计系统内部审计的方法
针对电算化会计系统审计的特点,结合本系统的工作实际,我们已由以前的“绕过计算机”的审计方法,转向在计算机辅助审计的基础上进行“通过计算机”的审计方法:计算机技术和经济管理的结合,极大地提高了管理工作的现代化水平。其中发展最快、应用效果最显著的,是计算机在会计工作中的应用。
随着会计电器化的广泛应用,传统内部审计面临着新的挑战,从而出现了电算化会计系统的内部审计。
一、计算机会计系统内部审计的特点
计算机会计系统内部审计的特点,首先是审计的系统性,要对数据、硬件、软件等各种要素进行系统的分析和检查,才能确定输出结果的正确性,作出可靠的审计结论。第二是审计的复杂性,这是由被审系统数据处理方式、数据贮存方式、系统控制方式、应用系统和电子计算机辅助审计技术的多样性和复杂性所决定的。第三是审计资料的隐蔽性、敏感性和易逝性,这是由于审计线索主要以两种形式存在:一种是肉眼可以看见的审计线索,如输入的原始凭证、记账凭证等原始文件、打印出来的会计账簿、会计报表等;另一种是肉眼看不见的,如存储在软盘或硬盘上的会计数据库资料等。第四是审计的运行性,即在不断运行的系统中进行审计和监督。
二、计算机会计系统内部审计的内容
内部审计可以从硬件和软件的系统控制和实质性审查两个方面来进行审计。
l、内控制度的审计。对内部控制制度的审查与评价,既是审计的基础,又是审计的前提。从实施的角度来看,内部控制有些是通过程序来实施的,有些则是通过制度约束来实现的。通过程序的设计和运行来实施控制的“程序化”控制,和通过建立管理工作制度来完成控制的“制度化”控制,必须通过内部审计来确保其实施,才能使计算机会计系统的安全、可靠和稳定得到双重保险。在电算化条件下,虽然仍要审查传统审计的一些内容,但重点主要在于系统软硬件及数据的内部控制。
内部审计人员应在本单位以上各方面制度的制定过程中,积极发挥参谋作用,并在以上制度的实施过程中,定期审计或突击检查,查找内部控制的弱点,提出改进措施,使制定的内部控制制度得以执行,以保证会计数据的安全性、有效性、完整性和准确性。
2、实质性审计。在手工条件下,审计主要是对书面资料进行审查。在电算化条件下,会计核算由计算机在程序的控制下完成,除了审查输入和输出数据,还要审查电子计算机程序和贮存在机内的数据文件。因此审计工作重点转移至对会计软件合法性、正确性的审查和对机内数据文件的审计方面。
信息系统审计对审计人员的素质要求较高,既需要熟悉计算机技术,同时又要精通人民银行各项业务。目前,从现有的人民银行内审人员构成来看,具有计算机专业背景人员较少,从而制约了信息系统审计开展的深度和广度。尤其是中心支行这一级,大部分单位缺少信息技术审计人员,即使有在数量上也很少,难以独立开展高质量的信息技术审计项目。
二、转型环境下提高基层人民银行信息系统审计水平的对策
(一)创新审计流程,强化信息系统事前和事中审计。信息系统审计是以保证计算机信息系统安全平稳运行,有效控制风险为目标的,如果仅从合规性的角度进行信息系统审计,无法达到上述目标,因此,开展信息系统审计的目的不仅要善于发现问题,有效防范已暴露的风险,更要分析化解潜在的风险,以提高审计效果。这就要求我们要创新审计流程,改变传统审计方法,采用“参与式”的审计方式,加强与科技等部门的沟通交流,重视事前与事中审计。一要完善沟通机制。科技与系统应用部门应及时将制定的有关制度、操作规程、系统运行中的事故情况、解决措施、处理结果发送给内审部门;内审部门应就审计系统时发现的问题,及时向科技和系统应用部门进行通报和反馈,并与他们定期或不定期地磋商、交流,了解各业务系统运行情况,更好地发挥信息系统审计的作用。二要组织审计人员参与新系统的开发、评估,并设计满足审计业务需要的功能,真正做到对信息系统的事前和事中审计。三是在审计过程中采用“参与式”审计方法,参与信息系统审计目标、内容、计划的制订,参与审计中发现问题的分析、讨论,参与信息系统风险的评估及改进措施的制订等。
(二)确立风险导向审计,从风险管理的视角推动信息系统审计。对信息系统的审计,往往需要对信息系统的潜在风险进行分析评估,这就需要引入风险导向审计。风险导向审计的重点是分析评估系统固有、控制和检查三类风险。即:评估分析计算机系统本身存在的脆弱性,如容易感染病毒、易受到侵害、攻击以及软件、硬件、网络方面出现的故障等;分析评估系统操作人员没有按照内控制度的要求进行操作,而又没有被内控防止或者纠正的可能性;分析评估审计人员没有进行实质性测试而不能发生被审计单位差错的可能性。通过风险分析评估,量化各类风险的大小,从而把审计资源集中到高风险的审计领域,以最大限度降低信息系统审计风险,提高信息系统审计的质量。
一、电子商务系统审计的必然性和必要性
在商业活动实现网络化之前,采购是面对面或通过纸质文件进行的,有迹可查,即使是电子交易,其设备结构是专用的,一般只限于已知用户使用,任何外部用户必须是已知的、身份明确的、可追踪的;系统通常是主机结构方式,相对易于监督、控制和审计。与传统商业相比,万维网客户/服务器系统的特点是高度分散,资源共享、服务分散、顾客透明度高等,而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产,财务报告不能充分提供企业的状况和价值方面的信息,特别是网络企业的无形资产,如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法,需要一些新的核查和审计方法,更有效地评价无形资产,如知识、品牌等。因此,电子商务系统审计就成为历史的必然。由于,电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险,都可能会影响其生存和发展。风险因素包括:商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此,进行必要和客观的审计,才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。
二、网络风险和风险管理
网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,计算各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。
通过风险评估,可以认识到潜在风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本,主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。
三、电子商务系统审计中网站的合法性证明
网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否准确真实,机构背景是否正当合法,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平,必须用于某一特定、公开的目的,必须取得该个人的同意并受到保护,本人必须有权进入系统进行修改或删除,信息的越域流动和将来的使用、披露必须予以安全保证和限制等。
解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明,以使网络终端用户能对网站提供的电子商务放心。如Verisign,TRUSTe,BBBOnline,WebTrust,SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。
四、内部审计和电子商务系统审计
美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计人员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监督和控制。
尽管当前许多人认为核实查证通常与外部审计人员相关,内部审计人员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络企业控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低成本、提高市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。
电子商务系统审计的成功与否在于审计人员是否掌握相关的技术知识,了解商业风险及风险管理策略,是否有现成的策略随时应付出现的风险。因此,作为一个成功内部审计人员应了解企业的业务,以服务为宗旨并努力增值,积极提高专业技能,关注系统的效率和效益,建立对电脑领域发展的职业敏感性。