黨政企事業單位信息系統審計與實踐

羅明

［摘要］ 近年來，隨著社會對信息系統的依賴性普遍增強，利用計算機犯罪的案件也不斷增加，越來越多的人認識到了信息系統審計的重要性。本文主要對信息系統審計的概念、必要性及實踐做了簡要介紹，重點闡述了信息系統審計的步驟和方法。

［關鍵詞］ 審計；信息系統；計算機；管理

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 19. 018

［中圖分類號］F239.1［文獻標識碼］A［文章編號］1673 - 0194（2012）19- 0028- 03

隨著網絡技術、計算機技術和通信技術突飛猛進的發展，基于通信技術、計算機技術和網絡技術的信息系統在政治、經濟、軍事等領域得到了日益廣泛的應用。各種大數據集成應用平臺應運而生，政府、企事業單位會計電算化的普及、ＥＲＰ和綜合業務管理平臺的應用，優化了工作模式，創新了工作思路，提高了工作效率。與此同時，信息系統的安全、可靠、穩定、有效、可信顯得更加重要，在這種環境下，審計人員如果仍只是對被審計單位計算機、財務軟件中保存、運行的數據進行計算、核對，很可能形成信息化條件下的“假賬真查”。于是信息系統審計應運而生，充實和完善了新形勢下的審計內容與方法。

1信息系統審計的定義

目前關于信息系統審計還沒有一個統一的定義，國際信息系統審計領域的權威專家Ｒｏｎ Ｗｅｂｅｒ將它定義為“收集并評價證據，以判斷一個計算機系統（信息系統）是否有效做到保護資產，維護數據完整，完成組織目標，同時最經濟地使用資源”。本文將“信息系統審計”界定為：信息系統審計是指根據公認的標準和指導規范，對信息系統從規劃、實施到運行維護各個環節進行審查評價，對信息系統及其業務應用的完整性、有效性、效率性、安全性等進行監測、評估和控制，以確認預定的業務目標得以實現，并提出一系列改進建議的管理活動。相對來說，我國信息系統審計起步比較晚，但發展比較迅速，理論研究工作逐步完善與深入。２０１１年１月１日，新修訂的國家審計準則（審計署８號令）正式施行，在新準則中，有４章１７條直接或間接涉及計算機及信息系統審計，涵蓋了審計資源、審計計劃、審計實施、審計報告等各個環節，對于開展計算機數據審計和信息系統審計具有非常現實的指導意義，為我國信息系統審計人員開展信息系統審計活動提供了更為具體和明確的法律依據。

2對黨政企事業單位進行信息系統審計的必要性

開展對信息系統的審計已經成為審計機關保護國家財政財務安全，充分發揮審計“免疫系統”功能的重要措施。其主要目的是為直接或間接應對以下這些問題從而更好地開展審計工作：

（1）計算機在黨政企事業單位中的廣泛使用，包括財務報表、交易處理、決策支持功能、數據挖掘。

（2）被審計單位的ＩＴ系統對審計人員的審計方法和在審計測試中采用的技術產生了影響。

（3）內部控制環境的變更。

（4）匿名用戶帶來的責任缺失。

（5）未經授權的和未記錄下來的數據修改的可能性。

（6）看得見的審計痕跡和／或紙質文件的缺失。

（7）審計證據的變化。

（8）數據復制／無內容數據的可能性。

（9）出現欺詐和錯誤的新機會和機制。

（10）分布式數據處理和存儲。

（11）關鍵業務信息的機密性和一致性。

（12）由于組織內部或組織之間的通訊，特別是互聯網增加的風險。

（13）系統故障／宕機的可能性。

以上這些問題，使用常規的審計方法和技術已經無法滿足正常的審計需求，只有開展信息系統審計，才能達到確認資產安全性、保證數據完整性、認定系統合規性的目標。

3信息系統審計的實踐

信息系統審計的程序一般包括：接受審計委托、進行調查了解、評估審計風險、制訂審計計劃、收集審計證據、出具審計報告。

3.1 確定合適的被審計單位以及適合開展審計的信息系統

3.1.1 選擇合適的被審計單位

（1）根據國家政策監管的要求、國家審計的關注點、行業的重要程度以及被審計單位的信息化程度等多方面因素確定。例如社保、稅務、醫療、金融、電信行業等重點部門和行業，對于保障國計民生以及維護國家經濟安全至關重要，國家有很多監管要求，而且本部門行業信息化程度也很高，審計機關應當充分考慮對其開展信息系統審計。

（2）在日常審計工作中，對于感覺有必要開展信息系統審計的單位，可在對其充分調查的基礎上，開展各種形式的信息系統審計。

3.1.2 選擇適合開展審計的信息系統

（1）該系統對于被審計單位的重要程度。被審計單位對系統的依賴程度越高，開展信息系統審計的意義越大。

（2）該系統的復雜程度。太復雜的系統應當考慮進行非全面的、特定范圍內的信息系統審計，如僅對其業務環節的應用控制進行審計。

3.2 了解被審計單位的相關情況

通過調查了解，系統地掌握被審計單位信息系統方面的基本情況，為開展信息系統審計確定重點和范圍。主要掌握以下情況：

（1）被審計單位的基本情況。

（2）被審計單位信息系統的情況。

（3）被審計單位的網絡和安全管理情況。

（4）影響被審計單位信息系統的內部、外部因素。

（5）業務辦理對信息技術和信息系統的依賴程度。

（6）信息技術的戰略目標、發展規劃及近期發展計劃。

（7）信息技術組織架構和關鍵人員，以及最近一年的人員變更情況。

（8）信息系統支持的關鍵業務流程及最近一年的變更情況。

（9）被審計單位對外部信息技術服務的依賴程度。

（10）最近一年主要信息系統的上線、升級、變更情況。

（11）被審計單位的信息資產的敏感程度。

（12）以前年度ＩＴ審計、外部審計等相關的審計發現及追蹤情況。

主要可以通過制作相關表格供被審計單位填寫，以及通過詢問、觀察和小范圍座談等方式了解其信息系統概況。

3.3 草擬實施方案，結束審前準備

制訂總體審計工作方案，初步評估信息系統的風險，對信息系統的控制給出初步的評價，然后制訂審計實施方案和發出審計通知書。信息系統的內部控制包括：

（1）一般控制，即保障信息系統正常運行的穩定性、有效性、安全性等方面的控制。

（2）應用控制，即保障信息系統產生的數據的真實性、完整性、可靠性等方面的控制。

3.4 進入審計實施階段

整個信息系統的審計過程應圍繞以下幾個中心點開展：

（1）信息系統的管理、規劃與組織。評價信息系統的管理、計劃與組織方面的策略、政策、標準、程序和相關實務。

（2）信息系統技術基礎設施與操作實務。評價組織在技術與操作基礎設施的管理和實施方面的有效性及效率，以確保其充分支持組織的商業目標。

（3）資產的保護。對邏輯、環境與信息技術基礎設施的安全性進行評價，確保其能支持組織保護信息資產的需要，防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。

（4）災難恢復與業務持續計劃。這些計劃是在發生災難時，能夠使組織持續進行業務活動，對這種計劃的建立和維護流程需要進行評價。

（5）應用系統開發、獲得、實施與維護。對應用系統的開發、獲得、實施與維護方面所采用的方法和流程進行評價，以確保其滿足實現組織業務目標的要求。

（6）業務流程評價與風險管理。評估業務系統與處理流程，確保根據組織的業務目標對相應風險實施管理。

4信息系統審計的幾個重點

4.1 內部控制制度審計

對內部控制制度進行調查和測試，是現代審計區別于傳統審計的重要特征之一，是對賬表單證或數據文件進行審查的前提和基礎。對內部控制制度的測試應在調查的基礎上進行。審計人員一般可以通過與被審計單位有關人員座談、實地觀察、查閱系統的文檔資料等方式，并跟蹤若干業務處理的全過程，了解被審計信息系統的處理過程和內部控制，然后把它描述出來。

4.2 信息系統安全性。硬件、程序與系統結構審計

通過調查表、查閱技術資料了解被審計單位信息系統硬件設備的配置情況； 取得被審計單位信息系統總體分布圖，把握被審計單位信息系統的總體情況；繪制核心信息系統的數據流程圖，掌握關鍵系統的數據處理流程，弄清整個系統的備份策略，并對該策略的安全性、可靠性及實用性等作出評估。

4.3 數據正確性與完整性審計

信息系統數據處理的真實性、正確性、可靠性，會直接影響到信息系統產生信息的真實性、正確性和可靠性，因此必須通過檢查系統數據的準確性、完整性和一致性來確定計算機系統處理業務的真實性、合法性，以及被審對象的業務活動的真實性、合法性和有效性。基于數據的計算機審計方法，大大提高了審計工作效率和審計質量，規范了審計行為，降低了審計風險。審計人員可以把傳統審計經驗與計算機技術結合起來，通過數據獲取、樣本抽取、異常項目調查、數據分析與處理等方法進行測試、檢查、分析與核對。主要包括以下幾個方面的內容：

（1）數據完整性檢查。對系統中的數據進行處理，并將處理的結果與被審計單位提供的報表、其他來源的數據進行核對，確定數據的完整性。

（2）異常數據的挑選。對各個系統的數據進行排序、分層、抽樣、復算、比較、核對，挑選邏輯上、核對上的異常數據，為傳統審計提供線索，為系統審計提供方向。

（3）不同系統間數據核對。檢查系統間的數據傳遞核對機制是否存在；挑選核對異常數據，檢查系統間數據傳遞核對機制是否完善。

（4）數據文件、表文件的檢查。檢查數據文件及表文件里面的數據核算及基數設置是否按照相關文件合理設置。

通過對黨政企事業單位開展信息系統審計，可以提高被審計單位對加強信息化建設的管理和保障計算機信息系統安全、穩定運行必要性的認識，整改審計過程中發現的問題、安全漏洞和風險隱患，加強制度監管，完善內控制度，促進其信息系統及信息化建設健康發展。

主要參考文獻

［１］張金城．信息系統審計［Ｍ］．北京：清華大學出版社，２００９．

［２］郭健．信息系統審計［Ｊ］．中小企業管理與科技：下旬刊，２０１１（１１）．

［３］王存仙．淺析事業單位內控制度的建立與完善［Ｊ］．現代經濟信息，２０１１（２４）．

［４］王玉馨，胡克瓊，蘇平．電算化審計的幾個概念［Ｊ］．中國農業會計，１９９３（４）．