信息系統(tǒng)審計方法及其實務(wù)應(yīng)用分析

| 于波成 趙罡

作者單位 | 天健會計師事務(wù)所重慶分所 中喜會計師事務(wù)所重慶分所

數(shù)字經(jīng)濟(jì)時代下，企業(yè)的管理手段和管理制度都發(fā)生了深刻變化，依托自動化業(yè)務(wù)系統(tǒng)、硬軟件等構(gòu)成了現(xiàn)代化企業(yè)的管理信息網(wǎng)絡(luò)，在這樣的環(huán)境下，傳統(tǒng)審計工作模式難以有效識別企業(yè)信息系統(tǒng)存在的弊端，也無法準(zhǔn)確判斷一個企業(yè)內(nèi)部控制是否合理及有效。盡管信息技術(shù)的發(fā)展為審計從業(yè)人員帶來了更先進(jìn)、更高效的工作模式，但目前我國審計行業(yè)從業(yè)人員對于信息化審計相關(guān)應(yīng)用的了解程度并不高。在此背景下，本文著重介紹IS（信息系統(tǒng)）審計方法下信息系統(tǒng)流程審計、信息系統(tǒng)內(nèi)部控制審計的概述、具體框架、程序應(yīng)用，并結(jié)合國內(nèi)某會計師事務(wù)所實施信息化審計業(yè)務(wù)的案例介紹IS審計方法在實務(wù)工作中的具體應(yīng)用。

一、IS審計方法的基本概念

IS審計方法是一種專門針對企業(yè)信息系統(tǒng)審計而開發(fā)的審計方法，該方法獨立于企業(yè)信息系統(tǒng)本身，通過審計證據(jù)的收集、評價，審計人員可以判斷企業(yè)對信息系統(tǒng)的運用是否有助于企業(yè)內(nèi)部控制的有效執(zhí)行、企業(yè)目標(biāo)的順利實現(xiàn)、企業(yè)資源的高效利用等。

在運用IS審計方法針對不同審計對象執(zhí)行審計程序時，審計目標(biāo)與審計業(yè)務(wù)內(nèi)容之間通常有著相應(yīng)的內(nèi)部聯(lián)系。也因此,在企業(yè)財務(wù)報表審核中,審計人員的工作側(cè)重點主要集中在檢查企業(yè)信息系統(tǒng)所提供數(shù)據(jù)的真實性、完整性。在內(nèi)部控制審計中，審計人員的側(cè)重點主要集中在檢查信息系統(tǒng)程序合理性、信息系統(tǒng)安全性。審計目標(biāo)隨著審計業(yè)務(wù)的變化而變化，因此對IS審計方法的應(yīng)用也會相應(yīng)做出改變，從審計對象的角度可以將IS審計方法劃分為“信息系統(tǒng)流程審計”“信息系統(tǒng)內(nèi)部控制審計”兩類。

二、信息系統(tǒng)流程審計

（一）方法概述

信息系統(tǒng)流程審計主要包括信息系統(tǒng)流程的合理性審計、有效性審計、完整性審計三個方面，流程合理性審計通過對信息系統(tǒng)流程的程序、運行、維護(hù)等相關(guān)活動進(jìn)行檢測，檢驗信息系統(tǒng)流程本身是否可靠；流程有效性審計主要對信息系統(tǒng)產(chǎn)出物進(jìn)行檢查，即數(shù)據(jù)的準(zhǔn)確性、真實性；流程完整性審計主要針對信息系統(tǒng)自身的運行邏輯和數(shù)據(jù)進(jìn)行整體檢測，識別信息系統(tǒng)流程中存在的漏洞或未能滿足被審計單位實際經(jīng)營需求的地方。

（二）審計框架

通過圖1可以看出，運用IS審計方法對信息系統(tǒng)流程進(jìn)行審計時，可以將信息系統(tǒng)流程合理性、信息系統(tǒng)流程有效性、信息系統(tǒng)流程完整性三個層面作為審計目標(biāo)。審計人員通過審計目標(biāo)的一、二級拆解確定具體的審計任務(wù)，再通過對審計任務(wù)的一、二級拆解執(zhí)行具體的審計流程，并最終對信息系統(tǒng)流程的合理性、有效性、完整性做出準(zhǔn)確評價。

圖1 信息系統(tǒng)流程審計體系圖

（三）審計程序的應(yīng)用

1.流程圖檢查。信息系統(tǒng)流程圖是以企業(yè)信息系統(tǒng)的運行過程為基礎(chǔ)所描繪,可以體現(xiàn)企業(yè)信息系統(tǒng)內(nèi)部安全秩序和企業(yè)信息系統(tǒng)通過數(shù)據(jù)產(chǎn)生原理的框線圖。流程圖檢驗是指針對各種信息系統(tǒng)的流程圖加以檢驗其總體設(shè)計是否合理、制度運行是否合理、業(yè)務(wù)處理及信息處理邏輯是否合理。通過查閱與檢驗網(wǎng)絡(luò)系統(tǒng)中的流程圖,審計人員能夠迅速掌握審計網(wǎng)絡(luò)系統(tǒng)的總體業(yè)務(wù)流程、重要節(jié)點信息等,從而為制定更詳盡的審計程序提供基礎(chǔ)。

2.控制矩陣檢查。控制矩陣是信息系統(tǒng)管理部門制作的與信息系統(tǒng)相關(guān)的，主要揭示信息系統(tǒng)風(fēng)險與控制節(jié)點的矩陣表格。控制矩陣包括的內(nèi)容主要有企業(yè)業(yè)務(wù)發(fā)展目標(biāo)、業(yè)務(wù)方向、適用單位、不相容崗位、控制點、控制點分值、控制點相關(guān)研究資料、控制點財務(wù)報表認(rèn)定等多個層次的內(nèi)容。通過對信息系統(tǒng)控制矩陣的檢查，審計人員可以充分了解信息系統(tǒng)審計業(yè)務(wù)的主要審計目標(biāo)，并對審計過程中的相關(guān)風(fēng)險點進(jìn)行控制。

3.系統(tǒng)檢查。系統(tǒng)檢查是指審計人員在完成對企業(yè)信息系統(tǒng)設(shè)計流程圖、控制矩陣的初步檢查后，對信息系統(tǒng)本身實施的進(jìn)一步檢查。系統(tǒng)檢查既是對被審計單位提供的流程圖、控制矩陣落實程度的檢查，也是對系統(tǒng)流程合理性、有效性本身的檢查。信息系統(tǒng)檢查的主要手段包括試運行信息系統(tǒng)錄入指令、系統(tǒng)功能瀏覽、隨機(jī)檢查等。

4.嵌入審計程序測試。嵌入審計程序測試通常是針對信息系統(tǒng)流程安全性所做的特殊檢查工作，也被稱為受控處理法、嵌入審計程序法。嵌入審計程序測試有主動測試和被動測試兩類方式，主動測試是指信息系統(tǒng)開發(fā)商事前主動整合了特定審計程序模塊，并將其嵌入系統(tǒng)中，審計人員僅需執(zhí)行上述審計程序，便可判斷系統(tǒng)的程序是否穩(wěn)定可靠。而另一種則是被動地嵌入審計程序測試，是指信息系統(tǒng)在設(shè)計開發(fā)期間未預(yù)留滿足審計需求的功能模塊，審計人員需要提供外部程序?qū)π畔⑾到y(tǒng)的程序本身開展測試工作。從獨立性的角度來看，被動式嵌入審計程序測試的可靠性顯然高于主動式嵌入審計程序測試。但由于受到技術(shù)條件、軟件兼容性等各方面的影響，當(dāng)前主流的嵌入審計程序測試仍然廣泛采用主動式測試方法。

5.系統(tǒng)日志審計。系統(tǒng)日志審計是對信息系統(tǒng)本身的運行日志進(jìn)行檢查的一種審計程序，系統(tǒng)日志審計程序的主要目的有兩個，一是為了發(fā)現(xiàn)潛在的系統(tǒng)程序、數(shù)據(jù)篡改現(xiàn)象，確認(rèn)或排除企業(yè)管理層對信息系統(tǒng)的人為干擾跡象；二是通過對日志的檢查，了解外部操作人員對信息系統(tǒng)錄入指令或執(zhí)行操作、維護(hù)、升級、權(quán)限修改的情況，能更加全面深入地了解這些信息平臺系統(tǒng)業(yè)務(wù)流程的有效性、完整性。

三、信息系統(tǒng)內(nèi)部控制審計

（一）方法概述

信息系統(tǒng)內(nèi)部控制審計包含控制環(huán)境、應(yīng)用控制以及安全控制審計。控制環(huán)境審計關(guān)注被審計單位治理層及管理層對內(nèi)部控制和信息技術(shù)治理職能重要性的認(rèn)識、態(tài)度，以及被審計單位是否具備維持信息系統(tǒng)平穩(wěn)、有效運行的基本條件。應(yīng)用控制審計關(guān)注與數(shù)據(jù)輸入、數(shù)據(jù)處理以及數(shù)據(jù)輸出等環(huán)節(jié)相關(guān)的控制活動，關(guān)鍵控制點包括財務(wù)工作業(yè)務(wù)流程的控制、業(yè)務(wù)處理授權(quán)和不相容職責(zé)分離的控制、相關(guān)業(yè)務(wù)信息的輸入控制、系統(tǒng)控制和輸出過程的控制。安全控制審計涉及與內(nèi)部權(quán)限安全和外部信息安全有關(guān)的控制活動，包括權(quán)限分布情況、關(guān)鍵控制點密碼策略、安全漏洞掃描、數(shù)據(jù)備份以及容災(zāi)安全配置等。

（二）審計框架

由圖2可以看出，體系流程中以信息系統(tǒng)控制環(huán)境、信息系統(tǒng)應(yīng)用控制、信息系統(tǒng)安全控制三個方面作為審計目標(biāo)，審計人員可以通過內(nèi)控審計目標(biāo)的一、二級拆解確定具體的審計任務(wù)，再通過對審計任務(wù)的一、二級拆解執(zhí)行具體的審計業(yè)務(wù)流程，并最終對信息系統(tǒng)的控制環(huán)境和應(yīng)用控制、以及安全控制做出準(zhǔn)確評價。

圖2 信息系統(tǒng)內(nèi)部控制審計體系圖

（三）審計程序的應(yīng)用

1.符合性測試。符合性測試是指對內(nèi)部控制制度的執(zhí)行情況和效果進(jìn)行相關(guān)的測試。運用符合性測試來解決信息系統(tǒng)內(nèi)部風(fēng)險控制的問題主要有以下兩個類型：一般控制符合性測試與應(yīng)用控制符合性測試。高效的一般控制是確保應(yīng)用控制有效性的核心內(nèi)容，它決定著應(yīng)用系統(tǒng)和控制實施的境況，假如一般控制較弱，將會導(dǎo)致相關(guān)應(yīng)用控制的可靠性降低。因而，對信息系統(tǒng)一般控制的符合性測試往往在應(yīng)用控制符合性測試開始之前進(jìn)行測試。一般控制測試主要針對信息系統(tǒng)的組織能力、操作日志能力、容災(zāi)能力等方面，以確定信息系統(tǒng)的安全性和可靠性。應(yīng)用控制測試中，信息系統(tǒng)的應(yīng)用可控性具有合理確保系統(tǒng)在某一特定的方面能夠準(zhǔn)確地完成相關(guān)數(shù)據(jù)的登記、處理和報告等功能。運用對系統(tǒng)的應(yīng)用控制審計，檢驗應(yīng)用系統(tǒng)本身的不足和功效缺陷，并評價信息系統(tǒng)的準(zhǔn)確性、有效性。

2.滲透測試。滲透測試是用來證實網(wǎng)絡(luò)防御是否按照約定計劃正常運行而供應(yīng)的一種工具。在測試過程中，執(zhí)行測試的審計人員應(yīng)當(dāng)假設(shè)被審計單位遵循內(nèi)部控制要求定期更新安全策略和程序，隨時給系統(tǒng)打補(bǔ)丁，并采用了漏洞掃描器等工具。實際執(zhí)行滲透測試的目的在于通過測試結(jié)果驗證所提出的假設(shè)是否成立，并進(jìn)一步證明假設(shè)是否可靠。測試進(jìn)行中，滲透測試員一般使用兩套掃描器進(jìn)行安全評價，這些工具在測試過程中應(yīng)盡可能達(dá)到自動化檢測，全面關(guān)注所發(fā)現(xiàn)的問題。如果探查得更深入，則需要連接到任何可疑點，某些情況下，還要利用漏洞進(jìn)行反向的滲透測試以驗證信息系統(tǒng)是否存在更多潛在的漏洞。

3.性能測試。性能測試是通過在信息系統(tǒng)流程中梳理一條線狀線路，由測試者自行提供基礎(chǔ)信息數(shù)據(jù)錄入信息系統(tǒng)，按照既定線路實施信息化處理，并驗證結(jié)果的反饋測試過程。性能測試的目的旨在驗證信息系統(tǒng)流程通路上是否存在隱含的系統(tǒng)后門，審計人員通過隨機(jī)的、突然的發(fā)起性能測試，可以驗證信息系統(tǒng)的獨立性。若測試過程中錄入的基礎(chǔ)信息數(shù)據(jù)能夠得到信息系統(tǒng)較快的處理與反饋，并給出合理的處理結(jié)果，則能夠進(jìn)一步證明系統(tǒng)可能暫不存在潛在的程序后門，可以相信信息系統(tǒng)程序的可靠性。若錄入的基礎(chǔ)信息數(shù)據(jù)不能得到較快的反饋處理、無法給出反饋處理結(jié)果、未按照既定的流程路線運作、反饋的結(jié)果錯誤，則說明信息系統(tǒng)程序存在后門或嚴(yán)重錯誤。

四、運用IS審計方法的實務(wù)案例

（一）IS審計方法運用案例背景

20××年×月，甲會計師事務(wù)所（以下簡稱甲事務(wù)所）接受A股份有限公司（以下簡稱A公司）的委托，對A公司的售票信息系統(tǒng)（以下簡稱售票系統(tǒng)）進(jìn)行專項信息系統(tǒng)審計，作為其收入真實性核查工作的一個組成部分。在本次審計中，甲事務(wù)所遵循了中國注冊會計師準(zhǔn)則、CISA國際信息系統(tǒng)審計師審計準(zhǔn)則，運用IS審計方法對A公司的售票信息系統(tǒng)進(jìn)行了審計。

A公司的財務(wù)數(shù)據(jù)與售票信息系統(tǒng)無直接對接關(guān)系，目前是依靠核算員每天核對售票信息系統(tǒng)生成的日結(jié)數(shù)據(jù)，比對無誤后將其作為業(yè)務(wù)收入依據(jù)，交回財務(wù)人員作記賬處理。

（二）制定IS審計目標(biāo)

在承接業(yè)務(wù)后，甲事務(wù)所項目人員分析了A公司的售票信息系統(tǒng)現(xiàn)狀，并制定了四個IS審計目標(biāo)，分別是“了解售票系統(tǒng)的一般控制”、“核查售票系統(tǒng)記錄數(shù)據(jù)的及時性”、“核查售票數(shù)據(jù)及應(yīng)收款項是否正確反映到日結(jié)數(shù)據(jù)”、“核查20××-20××三年歷史售票數(shù)據(jù)的完整性和可靠性”。

（三）IS審計程序的實施

甲事務(wù)所依據(jù)本次信息系統(tǒng)審計的性質(zhì)和人員需求，設(shè)計和執(zhí)行了下列審計應(yīng)用程序：

（1）辨別和評價企業(yè)因財務(wù)舞弊或錯誤操作引起的售票系統(tǒng)原始售票數(shù)據(jù)準(zhǔn)確性的重大錯誤風(fēng)險，并設(shè)計和實施審計程序以處理這些風(fēng)險，得到全面、合適的審計資料，將其作為發(fā)表審計結(jié)論的基礎(chǔ)。

（2）在了解其業(yè)務(wù)流程基礎(chǔ)上，對售票系統(tǒng)一般控制進(jìn)行核查。分析和整理與之有關(guān)的內(nèi)部控制，以安排合適的審計程序，但最終的目標(biāo)并不是對內(nèi)部控制的有效性發(fā)表意見。

（3）與管理層、運營團(tuán)隊、項目團(tuán)隊和關(guān)鍵業(yè)務(wù)人員進(jìn)行面談，現(xiàn)場觀察了解門票信息系統(tǒng)的運行情況。

（4）了解系統(tǒng)操作界面、系統(tǒng)設(shè)置、菜單架構(gòu)和功能結(jié)構(gòu)，了解原始數(shù)據(jù)在數(shù)據(jù)庫中的存儲規(guī)則和存儲邏輯，了解系統(tǒng)權(quán)限和操作員配置。

（5）通過穿行測試，對系統(tǒng)記錄數(shù)據(jù)的及時性和完整性進(jìn)行審計，對系統(tǒng)產(chǎn)生的日結(jié)數(shù)據(jù)進(jìn)行審計。

（6）各類統(tǒng)計數(shù)據(jù)分析及各類異常數(shù)據(jù)分析。

（四）IS審計結(jié)論

甲事務(wù)所借助IS審計方法對A公司實施審計后，通過對A公司售票信息系統(tǒng)的一般控制流程進(jìn)行檢查、對售票信息系統(tǒng)數(shù)據(jù)內(nèi)容進(jìn)行核查，借助穿行測試、異常數(shù)據(jù)分析、統(tǒng)計分析等審計程序的執(zhí)行，有效得出了相關(guān)的IS審計結(jié)論。

A公司售票信息系統(tǒng)能及時正確記錄相關(guān)售票數(shù)據(jù)并生成用于記賬的日結(jié)單，售票終端和應(yīng)用界面只有售票功能、無修改數(shù)據(jù)功能，不能對數(shù)據(jù)進(jìn)行修改，后臺也未發(fā)現(xiàn)數(shù)據(jù)修改跡象，系統(tǒng)內(nèi)基礎(chǔ)數(shù)據(jù)邏輯關(guān)系成立，系統(tǒng)內(nèi)20××-20××三年歷史售票數(shù)據(jù)保存完整。其售票信息系統(tǒng)具有雙機(jī)互備高的可用性架構(gòu)，建有每日數(shù)據(jù)完整備份機(jī)制，A公司專職數(shù)據(jù)人員不定期對數(shù)據(jù)進(jìn)行拷貝并異地存儲。

A公司采用計算機(jī)和人工結(jié)合這兩種形式對售票數(shù)據(jù)進(jìn)行處理，售票系統(tǒng)每天生成的日結(jié)單與售票員每天實際銷售票據(jù)與金額進(jìn)行人工盤點核對，確認(rèn)無誤后交回財務(wù)作為記賬依據(jù)，并定期由人工對領(lǐng)出票數(shù)、售出票數(shù)、結(jié)余票數(shù)、庫存票數(shù)進(jìn)行盤點核對，運用線上、線下相融合的內(nèi)控方法，保證售票數(shù)據(jù)和記賬數(shù)據(jù)的準(zhǔn)確程度。