信息系統審計初探實例

信息系統審計是一個通過收集和評價審計證據，對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面作出判斷的過程。隨著計算機犯罪和作弊率的上升，信息系統審計越來越受到各國的重視，美國1981年舉辦了注冊信息系統審計師（CISA）資格認證考試，1987年發布了《信息系統審計的基本準則》；審計署于2012年2月印發了《信息系統審計指南》，明確了信息系統主要對應用控制、一般控制、項目管理等事項的審計。如何在審計實踐中實施信息系統審計，本文結合對某市中級人民法院（以下稱甲法院）的審計作一探索，旨在在理論通向實踐的路上鋪塊磚，形似摸石頭過河，定存在許多局限，供同仁參考（涉及金額均隱）。

甲法院的信息系統是2011年9月與某科技公司（以下稱乙公司）簽訂協議實施的，審計日已運行一年半。審計中先實地觀察了審判管理系統的操作過程，向立案員、立案庭長、行政庭長、執行局長等了解了系統使用的基本情況及存在的問題和不足，查閱了甲法院與乙公司簽訂的協議書、選擇項目建設單位的原由、系統建設、運行管理、運維服務、測試評估等相關文檔資料。對法院信息管理系統的總體狀況有了基本了解，選擇了以應用控制為重點的審計思路。

一、信息系統業務流程控制審計

對業務流程控制審計的目的是通過檢查被審計單位信息系統業務活動的整個流程，發現系統業務流程中存在的問題，評價系統業務流程控制的合理性和有效性，提出審計意見和建議。

審計中采用了資料審查法，查閱甲法院和乙公司簽訂的協議書對建設該信息系統的硬件配置、技術要求等；采取了系統檢查法，對信息系統的重要控制環節和控制點進行了實地測試。

發現協議書就硬件配置、合同價款、雙方權利和義務、售后服務、違約責任等進行了明確，但對法院審判管理系統、法院辦公管理系統、數據移植等項目的技術要求和要達到的標準完全沒有明確，技術要求依賴于乙公司對其業務的宣傳，協議內容的不完善為信息系統建設的不成熟留下了隱患。發現審判系統結案控制點設置不嚴，在虛假信息輸入后也能結案。行政庭執行非訴執行案件要求執行款執行到位、執行局執行案件收取執行費后才能結案，但是當案件結案時限已到，而這些事項未執行到位時，若迫于其它原因需要在系統終端體現該案已結，可以在不輸入收費（或執行款）發票號碼、日期、金額等情況下直接結案，終端顯示該案已結案，導致是否交納相應費用、標的款是否已執行、該案是否真實結案不清楚，致使某期間的結案實際情況需要到相應庭（局）了解才能弄清楚。

二、數據輸入、處理和輸出控制審計

數據輸入、處理和輸出控制審計的目的是通過檢查被審計單位信息系統數據輸入、處理和輸出控制的有效性，發現系統數據控制的缺失，形成數據控制評價和結論，提出審計意見和建議。

審計中采取了系統檢查法，對信息系統進行了數據輸入、處理、輸出等信息的檢查。采取了數據驗證法，利用直連式數據采集方法進行數據符合性驗證；利用數據庫數據轉換、文本轉換對數據庫之間的數據轉換的一致性和準確性進行檢查驗證；通過對數據庫SQL語句進行轉換解析，實現對各類業務活動的計量、計費、核算、匯總等數據處理的符合性與準確性進行驗證。

發現前臺輸入數據操作見錯不糾。立案系統對訴訟費的收取有三個窗口：應收受理費、預收受理費、實收受理費，若實收數小于應收數，實收窗口顯示紅色，表明還有訴訟費未收取。但對操作員不小心輸錯的數據，不能報錯。如（20××）年××終字第×××號案卷反映，應收、實收受理費實際為11 884元，操作中將應收受理費輸成111 884元，實收受理費11 884元，顯示紅色未能引起操作員注意。（20××年）××終字第×××號案卷反映，應收、實收受理費為2 300元，操作中將實收受理費錄入為100元。（20××年）××終字第×××號案卷反映，應收、實收受理費7 204元，操作中將實收受理費輸成100元，通過查找檔案，上述二個案卷收費無誤，若增設一個欠費窗口就可以很明確地知道輸錯、欠收事項。發現數據處理中，前后臺數據未遵循一致性。在立案系統中，原告和被告是分欄信息輸入的，但在后臺備份數據中，這二項合并為當事人信息，沒有分開。發現輸出信息與輸入信息不一致。匯總全年或一個階段的立案情況，對立案的總數能準確統計，但在相應要素項中，后臺數據不能顯示減、免、緩交訴訟費的標識及分辨其案件，而該類案件在立案時會輸入減、免、緩交訴訟費標識，要匯總核查該案件對訴訟費的減、免、緩情況需查對人工臺賬。

三、信息共享和業務協同審計

信息共享與業務協同審計的目的是通過檢查被審計單位信息系統內、外部信息共享與業務協同，揭示共享與協同控制的缺失，形成評價和結論，提出審計意見和建議。

審計中采取了詢問了解法，與信息系統管理人員溝通了解被審計單位信息系統在信息共享、業務協同等方面的情況，并延伸調查了上、下級人民法院使用信息管理系統的現狀；采取了數據輸入、導出、驗證等方法檢查了信息結果的符合性。

發現審判管理系統的信息共享和業務協同存在很大局限。立案時，系統對有一些重要要素不輸入也能立案，如二審案件，在一審信息不輸入的情況下也能立案，打開二審立案案件，看不到一審的立案、判決、審判法院等信息；信息系統建設單位對此的解釋是：如果在本單位的一審案件，就可以獲取相應信息，按我國審判上訴原則：本單位的一審案件，不在本單位進行二審；延伸了解省、縣二級人民法院的審判管理系統，縣人民法院只有少數單位采用了乙公司的審判管理系統，而且市、縣審判系統未聯網，省高級人民法院采用的是與乙公司完全不一樣的審判管理系統，無法聯網，該信息系統的審判信息共享和業務協同按乙公司的設計形同虛設。發現信息共享約束條件設置不合理。法院立案業務，案件號是唯一的，但導出后臺數據通過SQL查詢發現，同一案件的“文書標題”有幾個事項時，會出現多次同一案件號；如（20××）××終字第××號案卷，有文書標題四個內容：調解書、調解協議、（20××）××終字第××號、×××號××調解書，后臺數據顯示該號案卷有四條記錄。

出于審計風險及信息系統審計安全性考慮，沒有采取工具檢測等方法對該信息系統的一般控制及項目管理情況進行審計。

根據審計發現的問題，對甲法院提出了完善信息系統建設協議書、向信息系統建設單位提出法院審判的關鍵環節和控制點并要求按要求改進信息系統、進一步梳理和完善數據移植等方面的技術問題的建議。上述審計結果和建議得到了甲法院的認可，促進其改進信息系統，提高信息系統管理水平。

（作者單位：江西省審計廳）