淺析信息系統(tǒng)內(nèi)部控制審計(jì)

【摘要】本文對(duì)信息系統(tǒng)內(nèi)部控制與信息系統(tǒng)內(nèi)部控制審計(jì)進(jìn)行了介紹，并對(duì)加強(qiáng)信息系統(tǒng)內(nèi)部控制審計(jì)的重要性做了闡述。

【關(guān)鍵詞】信息系統(tǒng) 內(nèi)部控制 重要性 程序 方法

一、信息系統(tǒng)內(nèi)部控制審計(jì)

信息系統(tǒng)內(nèi)部控制審計(jì)是一個(gè)通過(guò)收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過(guò)程。其審計(jì)內(nèi)容及方法是通過(guò)對(duì)系統(tǒng)內(nèi)部控制的審計(jì)，來(lái)判斷和評(píng)價(jià)系統(tǒng)的可靠性、安全性、完整性、效果和效率等方面。

二、開(kāi)展信息系統(tǒng)內(nèi)部控制審計(jì)的程序和方法

（一）對(duì)信息系統(tǒng)內(nèi)部控制進(jìn)行初步了解與評(píng)價(jià)

審計(jì)人員可以通過(guò)詢問(wèn)被審計(jì)單位有關(guān)人員，查閱被審計(jì)單位的相關(guān)文件記錄、觀察被審計(jì)單位的業(yè)務(wù)活動(dòng)及其運(yùn)行情況等方法，圍繞以下內(nèi)容對(duì)信息系統(tǒng)內(nèi)部控制的進(jìn)行初步了解與判斷：被審計(jì)單位的基本情況，被審計(jì)單位信息系統(tǒng)的情況，信息系統(tǒng)的網(wǎng)絡(luò)和安全管理情況，影響信息系統(tǒng)的行業(yè)監(jiān)管信息、組織內(nèi)部制度要求等內(nèi)外部因素等內(nèi)容。通過(guò)了解這些內(nèi)容，審計(jì)人員能夠?qū)Ρ粚徲?jì)單位的信息系統(tǒng)關(guān)鍵程度、關(guān)鍵業(yè)務(wù)流程、內(nèi)外的監(jiān)管要求等有了初步了解，也就可以初步分析審計(jì)所面臨的風(fēng)險(xiǎn)。

（二）對(duì)信息系統(tǒng)內(nèi)部控制進(jìn)行符合性測(cè)試

符合性測(cè)試是對(duì)內(nèi)部控制制度的實(shí)施情況和遵循結(jié)果進(jìn)行測(cè)試。對(duì)信息系統(tǒng)內(nèi)部控制進(jìn)行符合性測(cè)試可以分為一般控制符合性測(cè)試和應(yīng)用控制符合性測(cè)試。有效的一般控制是保證應(yīng)用控制有效的一個(gè)重要因素，它提供應(yīng)用系統(tǒng)運(yùn)行和應(yīng)用控制實(shí)施的環(huán)境。如果一般控制薄弱，將會(huì)嚴(yán)重地削弱相關(guān)的具體應(yīng)用控制的可靠性。由此，對(duì)一般控制的符合性測(cè)試通常在應(yīng)用控制符合性測(cè)試之前進(jìn)行。

1.一般控制的符合性測(cè)試

目前，被審計(jì)對(duì)象一般是在日常運(yùn)行的信息系統(tǒng)，因而，我們重點(diǎn)是對(duì)信息系統(tǒng)的組織控制、操作控制和災(zāi)難恢復(fù)控制進(jìn)行審計(jì)，判斷信息系統(tǒng)的安全性、可靠性。

組織控制。組織控制主要是通過(guò)不相容職責(zé)的分離來(lái)實(shí)現(xiàn)。審計(jì)內(nèi)容包括：系統(tǒng)管理人員及操作人員是否有明確的管理制度及明確的職責(zé)權(quán)限、數(shù)據(jù)庫(kù)管理人員是否不審批和處理經(jīng)濟(jì)業(yè)務(wù)、系統(tǒng)管理人員和操作人員是否不能接觸有關(guān)應(yīng)用程序文件、業(yè)務(wù)處理中不相容職能是否分離等。（2）操作控制。操作控制是用來(lái)控制信息系統(tǒng)的操作，以保證信息系統(tǒng)僅用于經(jīng)授權(quán)的用途和只有經(jīng)授權(quán)的人員才能操作信息系統(tǒng)。

2.應(yīng)用控制的符合性測(cè)試

信息系統(tǒng)的應(yīng)用控制是設(shè)計(jì)用來(lái)合理地保證系統(tǒng)在特定的應(yīng)用方面能夠正確地完成數(shù)據(jù)的記錄、處理和報(bào)告功能，通過(guò)對(duì)系統(tǒng)的應(yīng)用控制功能審計(jì)，檢查應(yīng)用系統(tǒng)本身是否存在漏洞和功能缺陷，評(píng)價(jià)信息系統(tǒng)的可靠性、效果和效率等方面。（1）輸入控制。輸入控制確保輸入數(shù)據(jù)的合法、準(zhǔn)確和完整，包括：數(shù)據(jù)正確地存儲(chǔ)、業(yè)務(wù)數(shù)據(jù)沒(méi)有丟失、增加、重復(fù)和改變、錯(cuò)誤的業(yè)務(wù)數(shù)據(jù)能夠被拒絕、改正并及時(shí)地重新提交處理。審計(jì)人員采用與操作人員座談、現(xiàn)場(chǎng)觀察系統(tǒng)輸入控制，可以初步了解系統(tǒng)輸入控制情況。審計(jì)人員設(shè)計(jì)一些虛擬數(shù)據(jù)，提交系統(tǒng)進(jìn)行處理，以測(cè)試系統(tǒng)輸入控制是否存在。審計(jì)人員可以通過(guò)數(shù)據(jù)驗(yàn)證檢查數(shù)據(jù)之間邏輯關(guān)系驗(yàn)證輸入數(shù)據(jù)的正確性和保存數(shù)據(jù)的完整性，包括業(yè)務(wù)數(shù)據(jù)與財(cái)務(wù)數(shù)據(jù)對(duì)比驗(yàn)證和業(yè)務(wù)數(shù)據(jù)間主表與明細(xì)表核對(duì)。（2）處理控制。處理控制確保系統(tǒng)按規(guī)定對(duì)數(shù)據(jù)進(jìn)行處理，包括：能夠?qū)?jīng)濟(jì)業(yè)務(wù)進(jìn)行正常處理；業(yè)務(wù)數(shù)據(jù)在處理過(guò)程中沒(méi)有丟失、增加、重復(fù)或不恰當(dāng)?shù)母淖?；處理中錯(cuò)誤能夠發(fā)現(xiàn)并得到及時(shí)更正。審計(jì)人員從被審單位抽樣若干經(jīng)濟(jì)業(yè)務(wù)數(shù)據(jù)，檢查信息系統(tǒng)處理結(jié)果是否正確，以確定系統(tǒng)控制是否有效的執(zhí)行。審計(jì)人員模擬被審單位對(duì)實(shí)際數(shù)據(jù)的處理要求設(shè)計(jì)一個(gè)程序，將被審計(jì)單位的真實(shí)數(shù)據(jù)用審計(jì)人員的程序重新處理一遍，檢查信息系統(tǒng)控制功能是否有效。（3）輸出控制。輸出控制確保系統(tǒng)處理結(jié)果的完整性和正確性、輸出結(jié)果提交給有權(quán)使用的人員?？刹捎妹嬲劮?、觀察法和系統(tǒng)文檔審閱法、平衡模擬法等審計(jì)方法檢查系統(tǒng)輸出控制。審計(jì)人員可以通過(guò)與系統(tǒng)管理員、操作人員座談及系統(tǒng)文檔審閱、系統(tǒng)查詢測(cè)試等發(fā)現(xiàn)系統(tǒng)輸出控制可能存在的欠缺。

（三）對(duì)信息系統(tǒng)內(nèi)部控制系統(tǒng)進(jìn)行總評(píng)

審計(jì)人員在對(duì)信息系統(tǒng)內(nèi)部控制進(jìn)行初評(píng)的基礎(chǔ)上，根據(jù)符合性測(cè)試的結(jié)果，對(duì)被審計(jì)單位信息系統(tǒng)內(nèi)部控制可信賴程度和風(fēng)險(xiǎn)水平進(jìn)行評(píng)估，以確定將要執(zhí)行的實(shí)質(zhì)性測(cè)試程序的性質(zhì)、時(shí)間和范圍。評(píng)估中需要說(shuō)明的問(wèn)題主要包括內(nèi)部控制系統(tǒng)中存在的薄弱環(huán)節(jié)或發(fā)揮作用的程度及內(nèi)部控制的可信賴程度或風(fēng)險(xiǎn)水平。

三、加強(qiáng)信息系統(tǒng)內(nèi)部控制審計(jì)的幾點(diǎn)建議

（一）注重事前介入，從源頭加強(qiáng)信息系統(tǒng)內(nèi)部控制審計(jì)

內(nèi)審部門(mén)要積極提前介入同級(jí)業(yè)務(wù)和技術(shù)部門(mén)的信息系統(tǒng)開(kāi)發(fā)全過(guò)程，從系統(tǒng)開(kāi)發(fā)從業(yè)務(wù)需求的提出，數(shù)據(jù)結(jié)構(gòu)和內(nèi)部控制的設(shè)計(jì)、程序代碼的編寫(xiě)、軟件的測(cè)試、運(yùn)行到軟件的驗(yàn)收、審計(jì)人員都應(yīng)站在內(nèi)審部門(mén)的角度從信息系統(tǒng)的合法合規(guī)性、安全可靠性、可維護(hù)性及內(nèi)部控制機(jī)制的完善性等方面提出可行意見(jiàn)和建議，以便從系統(tǒng)開(kāi)發(fā)的源頭上防止系統(tǒng)出現(xiàn)漏洞和缺陷等安全隱患。

（二）完善相關(guān)建設(shè)，促進(jìn)信息系統(tǒng)內(nèi)部控制審計(jì)常態(tài)化

單位應(yīng)建立健全相應(yīng)的制度，將信息系統(tǒng)內(nèi)控制度審計(jì)作為一條強(qiáng)制性規(guī)定明確下來(lái)，以推動(dòng)計(jì)算機(jī)輔助審計(jì)方法的應(yīng)用和信息系統(tǒng)內(nèi)部控制審計(jì)的順利實(shí)施，借助信息系統(tǒng)的審計(jì)接口、網(wǎng)絡(luò)和一定的計(jì)算機(jī)輔助手段，審計(jì)人員就通過(guò)非現(xiàn)場(chǎng)監(jiān)督手段系統(tǒng)，全面和連續(xù)的對(duì)在信息系統(tǒng)中流動(dòng)著數(shù)據(jù)信息進(jìn)行實(shí)時(shí)動(dòng)態(tài)檢查，做到既能檢查數(shù)據(jù)的來(lái)源和結(jié)果，也能檢查數(shù)據(jù)流動(dòng)軌跡。

【參考文獻(xiàn)】

[1] 羅燁.信息系統(tǒng)內(nèi)部控制審計(jì)方法研究[J].會(huì)計(jì)師，2011（11）.

作者簡(jiǎn)介：方來(lái)麗（1984-）女，漢族，安徽省安慶市人，辦事員/審計(jì)師、會(huì)計(jì)師、南通市海安縣審計(jì)局、會(huì)計(jì)與審計(jì)理論研究。