結合型政府信息系統審計“3W1H”模型探討

呂新民 黃俊青

【摘 要】 隨著信息系統的廣泛應用，迫切需要政府審計機關審計人員在政府審計項目中考慮信息系統因素，開展結合型政府信息系統審計。文章在闡明結合型政府信息系統審計概念和特點的基礎上，圍繞開展結合型政府信息系統審計的必要性（Why）、審計目標是什么（What）、審計重點在哪里（Where）以及如何實施審計（How）這四個基本問題進行了深入探討，并由此構建了結合型政府信息系統審計“3W1H”模型。

【關鍵詞】 政府審計; 信息系統審計; 結合型審計; “3W1H”模型

中圖分類號：F239.44 ?文獻標識碼：A ?文章編號：1004-5937（2015）06-0113-04

隨著信息系統在行政事業單位和國有企業的廣泛應用，迫切需要政府審計機關審計人員在政府審計項目中考慮被審計單位信息系統環境給審計工作帶來的風險，開展信息系統審計。政府信息系統審計的方式主要有兩種：一種是由審計機關獨立立項或接受被審計單位專門委托而開展的專項信息系統審計;另一種是融合于特定政府審計項目中，如財政財務收支審計、住房公積金專項審計等項目中，與各審計項目相結合而實施的“結合型”信息系統審計（簡稱：結合型政府信息系統審計）。本文主要探討后一種情況。

面對被審計單位信息系統環境，審計機關審計人員對結合型政府信息系統審計的必要性（Why）、審計目標是什么（What）、重點在哪里（Where）以及如何審計（How），仍然存在模糊不清的認識問題。這也直接導致審計人員在結合型政府信息系統審計實踐中存在一定的隨意性、無序性。為此，本文針對上述四個基本問題進行探討，提出結合型政府信息系統審計的“3W1H”模型。

一、結合型政府信息系統審計概念

目前公認的有關信息系統審計的定義，如威伯（Ron Weber）、信息系統審計與控制協會（ISACA）和日本通產省情報協會等的定義，主要基于信息管理咨詢、內部控制視角，并不能完全、準確地描述結合型政府信息系統審計（李春青，2008）。結合型政府信息系統審計概念的缺失，使得我國審計機關審計人員在政府審計項目的信息系統審計實踐中缺乏所依據的概念框架和理論基礎，主要靠自己的理解和需要開展信息系統審計，從而造成各自在信息系統審計定位、目標、內容和方式上的千差萬別。因此，有必要對結合型政府信息系統審計概念進行清晰界定。

何謂結合型政府信息系統審計？一方面，結合型政府信息系統審計應以IT和政府審計相關學科理論為基礎，主要目的是為了更好地履行政府審計經濟監督職責（周德銘，2013），是將信息系統審計作為整個政府審計項目的一部分，服務于政府審計項目目標而進行的一個審計概念;另一方面，結合型政府信息系統審計的對象依然是信息系統，應該被當作信息系統審計的一個特例。因此，借鑒國內外主流信息系統審計的定義，結合政府審計項目的特點，可以作出如下定義：所謂結合型政府信息系統審計，是指政府審計機關基于經濟監督目的，對影響被審計單位經濟業務活動的有關信息系統進行檢查、分析和評估，以判斷信息系統的可靠程度、存在的問題以及對經濟業務活動的影響程度，并提出針對性審計建議的過程。

二、結合型政府信息系統審計的必要性（Why）

隨著被審計單位經濟業務活動對信息系統依賴程度越來越高，信息系統已經逐漸融入各項經濟活動當中。但是，信息系統存在的漏洞和缺陷、非法舞弊程序、人為操作錯誤、病毒感染、黑客攻擊、系統故障等導致被審計單位經濟業務數據失真的各種風險也在進一步加大，也就是說信息系統本身的安全性、可靠性直接威脅和影響到信息系統所產生經濟業務電子數據的真實、準確和完整。因此，基于現代風險基礎審計理論的政府審計，必須考慮與經濟業務活動相關的信息系統產生的風險因素，突破傳統政府審計業務范圍，涵蓋信息系統審計內容。如果忽視對信息系統本身的審計，審計機關審計人員審計依賴的被審計電子數據的真實性就會成為“空中樓閣”，就有可能出現“假賬真審”的問題。

目前，各級政府部門、企事業單位為了提高信息化水平，紛紛加大資金投入，推進信息系統建設，建立統一數據集中平臺，信息系統已經成為國家的一項投資巨大的重要資產。這就要求審計機關審計人員在對這些機構實施經濟效益審計、績效審計、經濟責任審計等審計項目時，必須考慮信息系統資產因素，對信息系統實施相關審計，以有效揭示信息系統在安全、可靠、合法、效率、效果和效益等方面存在的問題，防范信息系統風險，保障信息系統安全、可靠運行，促進信息系統資源的有效利用，提高信息系統資源運用的收益水平。

由此，在政府審計項目中，考慮到信息系統的影響因素，迫切需要大力開展結合型政府信息系統審計，而不是可審可不審的問題。

三、結合型政府信息系統審計的目標是什么（What）

信息系統審計目標是信息系統審計行為的出發點，它指明了審計工作方向，并指導著信息系統審計實踐活動（王振武等，2011）。我國政府審計以維護國家財政經濟秩序，提高財政資金使用效益，促進廉政建設，保障國民經濟和社會健康發展為職能，以國家經濟活動的真實性、合規性和效益性為總體目標。因此，我國政府審計機關實施的結合型政府信息系統審計，也應遵守真實、合規和效益的根本目標。

審計機關審計人員在各項具體政府審計項目中，不能籠統地將一般意義上信息系統審計的安全性、可靠性、合法性和有效性目標作為結合型政府信息系統審計具體目標，這既不符合結合型政府信息系統審計的特點和需求，也不具備實際可操作性、指導性。如果信息系統審計目標因素與具體政府審計項目目標不相關，將起不到應有的作用，是多余的、不必要的，從成本效益角度來說，是對審計資源的浪費。審計人員應避免根據自己的理解來確定目標，造成混淆不清。結合型政府信息系統審計貫穿于各政府審計項目之中，成為審計全過程的一部分，其具體審計目標應根據國家審計機關實施審計項目預期要完成的任務和結果，即具體政府審計目標，以及所涉及的信息系統情況等綜合確定。例如，政府財政財務收支審計的目標是財政財務收支情況的真實性、合規性和效益性，其審計的數據來源于相關信息系統產生的財務電子數據，而數據是否真實、完整，直接依賴于相關信息系統是否安全、可靠，由此可以確定政府財政財務收支審計中信息系統審計的目標是安全性、可靠性。又如，在國有企業績效審計中，績效審計的目標是效率性、效果性和效益性，雖然信息系統與績效審計不直接相關，但是信息系統作為企業的一項重要資產，且信息系統建設的投入金額巨大，因此，在國有企業績效審計中也應包括信息系統資產的績效審計，這就決定了國有企業績效審計中信息系統審計的目標應該是效率性、效果性和效益性。上述示例也表明，結合型政府信息系統審計具體目標隨政府審計項目的不同而存在一定的差異性，也就是說政府審計具體目標的多元性決定了結合型政府信息系統審計具體目標的多元性，必須根據具體政府審計項目綜合確定。

四、結合型政府信息系統審計的重點在哪里（Where）

結合型政府信息系統審計的成效取決于審計機關審計人員對信息系統審計重點內容的把握程度。審計人員應該在分析清楚各政府審計項目中信息系統審計具體目標的基礎之上，確定信息系統審計意圖和需要解決的問題，并根據“全面審計、突出重點”、“先系統本身后系統環境”的原則確定信息系統審計重點事項（唐劍，2012）。此外，還應考慮成本效益原則，盡力減少與政府審計目標不相關的、多余的、不必要的信息系統審計內容。

（一）結合型政府信息系統重點審計對象的選擇

被審計單位一般建立有多個信息系統，依據結合型政府信息系統審計的特點，不需要也不必要將被審計單位的所有信息系統納入重點關注的審計對象，只需要根據與被審計業務活動相關的程度選擇目標信息系統。如何選擇信息系統重點審計對象？審計機關審計人員選擇的主要原則應是依據被審計單位核心業務對信息系統的依賴性以及被審計單位信息系統的復雜性確定需要重點調查和審計測試的信息系統的范圍和深度。一般來說，越高度依賴的信息系統，就應該作為重點審計的對象;越復雜的信息系統，就應該擴大重點審計對象范圍。例如，在財務收支審計中，被審計單位ERP系統由財務、采購、銷售、庫存、質量、人力資源等多個子系統組成，由于財務收支數據直接依賴于財務子系統，所以理應將其作為審計的重點，然而ERP系統又是一個集成化的復雜系統，審計人員還應擴大審計范圍和深度，需要將ERP系統中系統管理子系統以及其他子系統的基礎設置、憑證處理等模塊也作為審計的重點。

（二）結合型政府信息系統內部控制測試重點內容的確定

現代風險基礎政府審計是建立在內部控制的測評基礎之上，根據內部控制的符合性測試結果實施業務數據的實質性測試。信息系統內部控制測試是對信息系統內部控制的可靠性、健全性和有效性進行的測試。基于結合型政府信息系統審計的經濟監督和重在審計業務數據的特點，以及政府審計人員信息技術能力限制，為避免將對信息系統的審計引入技術陷阱（李春青，2008），審計人員應重點選擇信息系統中容易產生數據風險的部分，作為信息系統內部控制測試的重點內容。而信息系統的硬件、軟件、應用程序、數據、人員、制度等組成要素中，對業務數據直接產生影響的主要有信息系統數據、應用程序、人員和制度，因此審計人員在結合型政府信息系統審計中應選擇信息系統數據、應用程序、人員、制度作為審計測試的重點，只在必要的時候再根據實際情況適當關注信息系統的軟硬件環境。

（三）信息系統效率、效果和效益審計重點內容的選擇

在結合型政府信息系統審計中，對行政事業單位、企業的效益審計、績效審計、經濟責任審計等政府審計項目中涉及的信息系統效率、效果和效益審計，其審計范疇從屬于政府審計項目的范疇，只是審計對象中包括信息系統資產。因此，在這種結合型政府信息系統審計中，審計機關審計人員審計信息系統效率、效果和效益應從被審計單位正在運行使用中的信息系統資源的有效利用、促進產品或服務目標實現、降低產品或服務成本和增加產品或服務收益的角度選擇重點審計內容：（1）效率性審計應重點評價使用中的信息系統對提高被審計單位勞動生產率所作的貢獻，如節省人力、提高人員工作效率等;（2）效果性審計應重點評價使用中的信息系統使被審計單位業務、管理和決策等方面得到改善和提升，如滿足業務處理需求、促進業務流程改進、增強信息交流與共享、提升客戶服務能力、提高管理決策水平等;（3）效益性審計應重點評價使用中的信息系統的資金投入以及產生效益之比，資金投入包括信息系統運維資金投入、升級改造資金投入等方面，產生效益則可以從降低產品或服務成本、提高資金周轉速度、提高產品或服務收入、增強競爭力等方面考慮。

五、結合型政府信息系統審計如何實施（How）

結合型政府信息系統審計作為信息系統審計的一個特例，兩者在審計技術、方法、手段等方面理應具有一定的一致性。但是，審計機關審計人員在借鑒目前常用信息系統審計方法的同時，需要結合具體政府審計項目，立足審計人員的信息技術審計能力相對較弱、業務審計能力較強的審計專長，以審計人員的業務思路和職業判斷為工作核心（王亞清，2012），積極探索富有實效的信息系統審計與傳統審計相結合的方法。

（一）如何做好信息系統審前調查

在進行結合型政府信息系統審計調查時，審計機關審計人員可以將被審計信息系統調查與被審計項目業務調查結合進行，將信息系統調查作為業務調查的延伸。一方面，可運用詢問法、觀察法、查閱法、調查表法、流程圖法等傳統審計調查的方法，將被審計單位業務活動情況與信息系統情況調查融合在一起，一并調查了解被審計單位整體和業務活動情況、信息系統環境（如硬件環境、軟件環境、組成、結構、分布等）、內部控制制度（含信息系統內部控制制度）、手工和計算機信息系統處理過程（如業務流程、運行流程、人員操作流程等）及執行情況;另一方面，可運用計算機輔助審計方法獲取被審計業務電子數據，調查了解被審計信息系統數據處理情況等。兩種方法相互補充，既能全面了解被審計單位業務活動情況，又能夠摸清被審計單位信息系統基本運作情況，實現信息系統審計調查與整個審計工作調查的銜接，從而確保審計調查的效率、質量。

（二）如何做好信息系統內部控制測試

在結合型政府信息系統審計中，審計機關審計人員可運用熟悉的傳統審計測試方法，輔以計算機輔助審計測試方法對前述確定的信息系統數據、應用程序、人員、制度等重點內容進行審計測試。具體可采用：（1）傳統審計方法。通常可采用詢問法、觀察法、檢查法、核對法、比較法、數據分析法等方法。如：詢問或觀察職責分離制度、人員操作制度、運行維護制度的執行情況;觀察有關人員對信息系統訪問是否設定口令、系統操作是否違反職責分離原則;查閱系統日志文件、操作記錄，查看系統中是否有非法訪問記錄和報告，有無未經授權的用戶操作系統;觀察、檢查系統功能設置、程序化控制、權限設置、系統參數配置等是否合理、有效，如權限設置是否符合職權要求，人員崗位變動或離職前是否及時進行權限鎖定或刪除，客戶數據是否進行唯一性檢驗，財務軟件是否存在反結賬、反記賬等功能;核對、比較原始憑證與數據庫憑證文件數據的一致性，以測試憑證數據輸入控制的有效性;對數據庫文件數據采用數據分析法，如分析數據文件中操作員代碼、數據異常值、數據間的關聯關系、數據間的平衡或合計關系等審查是否存在非法用戶或越權操作、參數設置的有效性、數據處理是否存在錯誤等以測試數據處理控制的有效性，也可通過數據分析反推系統中存在的非法功能和漏洞，等等。（2）計算機輔助測試方法。通常可采用計算機數據審計軟件工具、整體測試法、平行模擬法、虛擬實體法、受控處理法等方法。如利用計算機審計軟件（OA）、數據庫管理系統（Access、Sql server）、Excel等獲取和分析被審計信息系統數據輸入、處理、輸出控制;運用整體測試法、平行模擬法、虛擬實體法、受控處理法等方法（張■瑜，2012），測試系統的處理和控制功能是否恰當、可靠，接口程序是否存在缺陷等。除此以外，對于信息系統硬件、軟件、網絡安全等方面內部控制測試，由于其技術性較強，審計人員可重點從系統管理的視角著手。一般采用面談法、詢問法、觀察法、測試軟件等，重點審查計算機安全和管理制度的執行情況、是否建立安全認證機制、是否建立針對系統故障的應急安全機制、軟硬件來源的合法性，觀察硬件是否進行有效的保養、隔離，查看系統是否安裝防火墻、安裝防病毒軟件、定期檢測和清除計算機病毒，利用漏洞掃描工具和網絡檢測診斷工具等對網絡環境進行測試和評估。

（三）如何做好信息系統效率、效果與效益審計

對于結合型政府信息系統審計中的效率、效果與效益性審計，應遵循可操作、實用性原則，審計機關審計人員可通過詢問、觀察、查閱資料、發放調查表和比較分析等方法，重點了解信息系統的各項功能在被審計單位日常工作過程中的使用情況，了解信息系統功能設置能否滿足系統目標，了解信息系統保障被審計單位信息資源共享、業務有效開展和履行情況，了解信息系統運維成本和效益并進行定量化分析處理，對比被審計單位信息系統規劃、運營目標，運用一定的評價方法（如平衡計分卡法、層次分析法、模糊綜合法等）（張靜等，2011）進行評價，給出審計結論和審計建議。就目前來說，信息系統的效率、效果和效益審計在我國仍然處于理論和實踐探索階段，缺少規范的指導，缺乏完善的評價指標體系，因此，如何科學、準確地評價信息系統的效率、效果和效益，仍然存在不小的難度。

六、結束語

目前，很多審計機關審計人員對開展結合型政府信息系統審計還存在概念模糊、認識不清以及不知道如何實施等問題，以至于結合型政府信息系統審計在我國政府審計項目實踐中并沒有普遍展開。基于此，本文就結合型政府信息系統審計問題提出了“3W1H”模型，以期能夠幫助審計機關審計人員提高對結合型政府信息系統審計的理解和認識，并為審計人員開展結合型政府信息系統審計提供實踐指導。

【參考文獻】

[1] 李春青.基于WSR方法論的政府信息系統審計模型初探[J].中國管理信息化，2008（3）：57-60.

[2] 周德銘.國家審計信息化的系統定位、業務效能和發展展望[J].電子政務，2013（7）：2-24.

[3] 王振武，張子瑾.信息系統審計理論結構框架研究[C].第十屆全國會計信息化年會論文集，2011：861-868.

[4] 唐劍.當前開展信息系統審計面臨的難點和建議[J]. 審計與理財，2012（2）：19-20.

[5] 王亞清.基于手工與信息化結合模式下的審計方法研究[J].重慶理工大學學報（社會科學），2012（8）：126-127.

[6] 張瑜.信息系統審計的基本理論、方法、過程的淺析 [J]. 科技信息，2012（9）：102.

[7] 張靜，余建坤，吳紹吉，等.信息系統績效審計方法[J].全國商情（理論研究），2011（12）：29-31.