信息化環境下審計的重點和難點探討

摘 要：深入分析信息化環境下審計的重點，包括評估信息系統風險、內部控制有效性、系統安全可靠性。如何確定評價標準、尋找審計線索、降低審計風險、如何審計評價、審計人員如何適應信息化要求等方面闡述審計重點難點。

關鍵詞：信息系統;內部控制;審計

中圖分類號：F23文獻標識碼：A文章編號：1672-3198（2008）08-0236-02

1 信息化環境對內部控制及審計的影響

（1）手工會計系統中嚴格的控制制度在信息化環境下逐漸減弱或消失。憑證要客觀反映經濟業務的實質，如發現錯弊，憑證會成為追查責任的依據。在信息化環境下，終端操作者把業務直接輸入計算機而沒有留下任何憑證。

（2）手工會計系統所具有的分工功能逐漸被歸并。在手工會計系統中，不相容崗位職責分離，如記錄總帳和記錄明細帳的職責要分工。在信息系統中，這些分工逐漸被并入電子數據處理系統中。

（3）信息系統可以自動授權、批準。在手工會計系統中，一項經濟業務都要經過相關的人員簽名（或蓋章），但在先進的企業資源計劃（ERP）系統，直接由電子數據處理功能取得授權、批準。

（4）信息化環境下數據容易丟失、被盜竊和被篡改。在手工會計系統中，由于各項經濟業務以書面記錄，如果控制適當，不易丟失或被復制，即使舞弊人員篡改帳表單證也會留下痕跡。但在信息系統中，各項經濟業務存儲于磁介質，是肉眼不可見的，而且這些磁介質在受熱、受潮或強電磁場下都會損壞。因此，存儲于磁介質的信息有較大的滅失風險。

（5）磁介質的信息缺乏證明力。在手工會計系統中，信息被記錄于憑證、賬簿，以紙作為載體，如果改動會留下痕跡。在信息系統中，主要以磁盤、磁帶等作為信息載體，如前所述，對磁介質的數據和程序修改可不留痕跡，被復制后的數據很難區分正副本，如果僅依靠磁介質載體，可能造成責任不清、真偽難辨，使審計證據缺乏法律效力。

（6）數據與責任高度集中。在手工會計系統中，許多資料被分散保存，未經授權人員很難瀏覽所有數據。但在信息環境下，大部分經營數據集中于電子數據處理部門，如果缺乏適當的控制，未經授權人員可能通過外部指令、甚至遠程入侵系統，機密數據很可能被非法復制或篡改。

數據高度集中的主要風險是責任高度集中。在信息環境下，原始數據一經輸入計算機，就由計算機按程序指令自動處理，主要責任都高度集中于電子數據處理系統。

（7）差錯反復發生。在手工會計系統中，數據處理由多個人完成，一個部門或人員的差錯大部分可以在下一個環節被發現并改正。在信息系統中，在某個環節發生錯誤很可能在短時間內使得相應的文件、賬簿乃至整個系統的信息失真。如果是應用程序產生錯誤，計算機會反復產生錯誤結果。

（8）信息系統沒有留下充分的審計線索。在信息化環境下，各類數據文件都存儲在磁介質中，設計者如果沒有考慮審計的需要，在系統中設置跟蹤程序的話，很難留下有價值的審計線索，加大審計難度。

2 系統內部控制審計的重點

2.1 測評信息系統內部控制的風險

內部控制與企業的風險策略緊密聯系，促成公司治理與內部控制之間良性的互動關系。通過內部審計視角，對經營中不斷變化的風險因素進行觀察，對管理的缺陷或失敗進行快速報告，促使董事會和高級管理層做出快速反應，及時防范和糾正不正當行為，使內部審計有機地融入公司治理和風險管理過程中，發揮內部審計在管理中的作用，促進企業提高管理風險能力。

信息系統的風險管理主要指信息系統內部控制能夠識別影響組織目標實現的風險并建立風險管理預警機制。審計任務是評價風險管理機制的健全性和有效性，發現可能存在的漏洞，分析這些漏洞風險，提出審計建議。重點包括：可能引發風險的因素，風險發生的概率和后果，管理風險的能力，管理風險的具體方法及效果。

在審計過程中需要使用風險分析工具。風險分析為評價內部控制提供一個量化的分析工具，計算公式是：

一定期間的風險損失額=平均風險損失×風險發生的概率

風險評估不僅重視與內部控制系統直接相關的因素，還重視環境因素，審計人員不僅依據實質性測試結果，還應該觀察其審計環境形成審計結論。因此審計師在執行測試時，除了財務數據分析，還要對被審計單位的經營與戰略、長期發展目標、服務與市場、經營渠道、主要客戶、使用材料以及競爭環境等進行研究。

2.2 測評信息系統內部控制的健全有效性

在風險評估的基礎上，從一般控制和應用控制兩方面評價信息系統有關控制的健全和有效性。一般控制是對系統構成要素及數據處理環境的控制，包括組織控制、硬件和軟件控制、系統安全控制、系統開發與維護控制等，是信息系統安全可靠運行和處理的前提。應用控制對具體功能模塊及業務數據處理過程各環節的控制，包括輸入控制、處理控制和輸出控制。

評價一般控制，主要關注被審計單位的控制環境，包括經濟性質和經營類型、經營理念、組織文化、組織結構、職責分工及員工勝任能力、人力資源政策及其執行等要素。審計重點關注：信息系統的內容及管理權限的集中程度、管理行為守則的健全性和有效性、管理層對逾越既定控制程序的態度、組織文化、員工操作熟練程度、系統重要崗位人員的權責及其勝任能力等等。

評價應用控制，主要評價既有控制的適當性、合法性、有效性，控制活動主要包括所有經營活動應有適當的授權、不相容職務應當分離、有效控制憑證和記錄的真實性、資產和記錄的接近限制、獨立業務審核等。內部審計審查重點為：控制活動建立的適當性、對風險的識別和處理、對管理目標實現的作用、執行的有效性。

2.3 測評信息系統的安全可靠性

（1）數據通訊的控制測試。數據通訊控制的總目標是數據通道的安全與完整，是防止和糾正設備的失靈、數據丟失或失真、來自Internet及內部的非法存取。為了達到上述目標，審計人員可執行的測試有：抽取一組數據進行傳輸，傳輸結果與原文件進行比較，檢查數據失真的可能性；檢查有關的數據通訊記錄，證實數據接收是否正確有序；用非授權的請求測試通訊回叫技術的運行情況；檢查密鑰管理和口令控制程序，確認口令文件是否加密、密鑰是否安全；發送測試信息測試加密過程，檢查信息通道上不同點上的信息；檢查防火墻是否控制有效。

（2）硬件系統的控制測試。審計目標是評價硬件控制的適當性與有效性。測試的重點包括：實體安全、火災報警防護系統、使用記錄、后備系統、操作規程、容災計劃等。審計人員應檢查實物安全控制措施是否適當、是否適當記錄與定期分析故障，容災計劃是否適當，硬件接觸是否授權，硬件資料歸檔是否完整等。

（3）軟件系統的控制測試。軟件系統包括系統軟件和應用軟件，最主要的是操作系統、數據庫系統和會計應用軟件。硬件測試目標是防止硬件失靈、黑客、病毒、超級用戶的破壞等，保障系統正常運行。軟件測試主要有檢查軟件產品是否正版，防治病毒措施是否適當，系統接觸控制是否嚴格，軟件和數據的備份是否恰當，系統操作權限劃分是否合適等等。

（4）數據資源的控制測試。數據控制目標包括兩方面：一是數據備份，為恢復被丟失、損壞或被干擾的數據，系統應有足夠備份；二是未經授權的個人不能存取數據庫。審計測試應檢查系統的備份和安全措施是否得當有效。根據系統的授權表，檢查存取控制的有效性。

（5）系統安全產品的測試。隨著網絡系統安全的日益重要，各種網絡安全的軟硬件產品應運而生，如VPN、防火墻、身份認證產品、CA產品等等。審計人員應對這些產品是否有效進行測試與評價。例如，檢查安全產品是否經過認證機構或公安部部門的認證，產品的銷售商是否具有銷售許可證，產品的安全保護功能是否發揮作用等。

3 信息系統內部控制審計的難點

難點之一：如何確定評價標準。國際內部審計師協會的《內部審計實務標準》指出，評價控制需要遵循適當的標準。審計師首先應查明管理層制定的、用于衡量績效的標準是否適當。如果認為已有標準不合適，內部審計師應向管理層報告，并與管理層合作制訂適當的評價標準或者可以基于組織利益最大化的原則選擇適當的評價標準。

難點之二：如何尋找審計線索。手工系統的審計線索主要是紙質憑證、賬簿和報表等，肉眼可見。但在信息化環境下，由于引入計算工具、磁存儲和網絡技術，導致審計線索逐漸減少甚至消失，機內的日志文件又可刪除，保存在磁盤的會計數據加以修改或刪除都可以不留痕跡，這些都削弱了審計線索，減少審計過程中發現錯誤的機會。

為適應信息化的要求，審計必須改進和創新審計程序。首先，改進審計信息的收集方法，如在設計信息系統時，應嵌入審計信息收集程序和審計模塊，審計人員可以通過專業審計軟件，從信息系統中獲取審計任務所要求的信息。其次，改進和創新審計程序。應用并行模擬審計技術和分析性復核程序查找審計線索和證據。

難點之三：如何降低審計風險。審計風險由固有風險、控制風險和檢查風險組成。在信息環境下，首先是由于機器故障、操作失誤、程序處理和網絡傳輸故障、計算機病毒和黑客攻擊等存在的可能性，使得內部審計固有風險的變數增加。其次是控制風險復雜化。再次，檢查風險復雜化。

降低審計風險必須從以下三個方面著手：

（1）降低固有風險。首先，加強信息環境下的網絡安全，確保信息的真實完整。通過配置可靠的硬件設備，采用先進的加密算法，建立安全性高的局域網，確保信息安全，降低會計和業務數據被盜用、篡改和丟失的可能性。其次，完善系統設計，留下清晰的審計線索。

（2）降低控制風險。首先，完善內部控制，通過操作員職責分離、授權，要求用戶定期修改自己的密碼，通過軟件設計分若干功能模塊設置不同責任中心（崗位）。其次，依靠先進的網絡和軟硬件平臺減少數據異常。再次，加強企業與銀行之間的合作，保障電子支付安全。

（3）降低檢查風險。面對新的審計環境，審計人員應掌握相關信息技術，學會利用計算機和優良的審計軟件，采用更有效審計程序和審計方法，降低檢查風險。

難點之四：如何評價系統內部控制。審計評價是審計對事實的客觀反映，主要從控制環境、風險管理、控制活動、信息與溝通、監督等方面著手，評價被審單位內控的有效性，需遵循以下原則：

（1）不拘泥格式，承前啟后。評價結果要與前期的審計評價和外部審計評價相結合，不能出現相互抵觸和矛盾的結論。

（2）要避輕就重，客觀反映。內控制度沒有標準，在評價內控制度時，實是事求，多提有建設性建議，披露審計發現的問題要重點突出、層次分明、邏輯嚴密、理據充分。

難點之五：審計人員如何適應信息化環境的需求。由于審計環境、審計線索、安全控制、審計內容和審計技術的改變，給審計人員帶來新的挑戰。內部控制審計從宏觀角度對整個控制流程進行檢查和評價，揭示問題所在，這對審計人員提出更高的要求，由于大部分審計人員受計算機業務水平的限制，經常繞過計算機程序，較少利用計算機輔助審計技術，很可能對審計結果產生不利的影響。