淺談如何實施信息系統(tǒng)審計

2014-11-08 22:33:44 大云網(wǎng)　點擊量：評論 (0)

如何加強和改善公司內(nèi)部控制狀況，建立和完善公司內(nèi)控體系呢？談到這個問題，大多數(shù)人就很自然聯(lián)想到了公司治理，而當前IT治理作為公司治理中必不可少的關鍵環(huán)節(jié)，通過加強企業(yè)的IT治理水平，就可以促進企業(yè)改善

　記錄和描述信息系統(tǒng)內(nèi)部控制制度的方法有三種：

　　1、書面說明法

　　書面說明法是將調(diào)查得到的內(nèi)部控制制度記錄下來，并用文字詳細敘述的方法。運用這種方法時，審計人員往往是按著主要經(jīng)濟業(yè)務的運行順序，或每一經(jīng)濟活動的流程環(huán)節(jié)向有關人員一一詢問并予以記錄，最后整理結(jié)合，形成文字說明材料。書面說明法的優(yōu)點是可以根據(jù)實際情況靈活地選擇內(nèi)容，并且能做出較深入和具體的描述。但這種方法也有局限性，針對經(jīng)濟業(yè)務復雜、經(jīng)濟活動環(huán)節(jié)較多的企業(yè)，用書面說明難免冗長。

　　2、調(diào)查表法

　　調(diào)查表法是指審計人員將那些與保證信息的正確性和可靠性以及保證資產(chǎn)的完整性有密切關系的事項列作調(diào)查對象，設計成標準化的調(diào)查表，交由企業(yè)有關人員填寫，再由審計人員收集調(diào)查結(jié)果，統(tǒng)一將問題歸納整理。調(diào)查表的優(yōu)點是調(diào)查范圍明確，省時省力，可以提高評審工作效率；審計人員通過調(diào)查表可以抓住企業(yè)內(nèi)部控制中的強點和薄弱環(huán)節(jié)。但這種方法也有局限性，如果調(diào)查表的問題設置不當，就不能客觀全面地反映內(nèi)部控制制度的情況。

　　3、流程圖法

　　流程圖是指用特定的符號和圖形來描述某項業(yè)務的整個處理過程，用圖解的形式將主要經(jīng)營環(huán)節(jié)和憑證，記錄傳遞關系直觀地表達出來的一種方法。流程圖的優(yōu)點是，可以把文字敘述減少到最低程度，形象直觀，能幫助審計人員較快地發(fā)現(xiàn)控制系統(tǒng)的薄弱環(huán)節(jié)。其缺點是，繪制流程圖技術不過關，就不能準確地反映被審單位的內(nèi)部控制制度，就會影響審計工作質(zhì)量。

　　（二）對內(nèi)部控制進行初步評價

　　審計人員在完成內(nèi)部控制制度的描述之后，通過與被審單位相關人員座談和實地觀察，了解硬件配置、軟件運行及維護、相關人員操作經(jīng)驗等計算機信息系統(tǒng)使用環(huán)境，并根據(jù)取得的資料對被審單位的內(nèi)部控制制度進行評價。

　　1、評價內(nèi)部控制的健全性。

　　評價內(nèi)部控制的健全性既要從總體的一般控制來評價，又要從具體的應用控制來評價。一般控制是信息系統(tǒng)有可能安全、可靠地運行和處理的前提。如果沒有恰當?shù)目刂骗h(huán)境，沒有強有利的制度保證，不管系統(tǒng)設計的如何好，程序和數(shù)據(jù)也會被篡改，整個系統(tǒng)的安全就沒有保證。因此，一般控制如有缺陷，將對整個信息系統(tǒng)產(chǎn)生普遍的影響，即使應用控制很強，也難以發(fā)揮其功能。同樣，如果應用控制有缺陷，則會直接影響到數(shù)據(jù)輸入、處理和輸出的正確性。

　　2、評價內(nèi)部控制的合理性。

　　評價信息系統(tǒng)內(nèi)部控制的合理性，主要考慮的布局是否合理，有沒有不必要的控制，評價時要特別注意信息系統(tǒng)應用控制中的程序化控制。

　　（三）對內(nèi)部控制的執(zhí)行情況進行符合性測試

　　即使再健全的內(nèi)部控制，在實際業(yè)務處理過程中也不一定被認真執(zhí)行，因此，應檢查被審單位內(nèi)部控制過程中形成的文件和記錄，包括各種操作日志、軟件修改記錄、災難恢復記錄等，并對其實際執(zhí)行情況還要進行符合性測試。

　　符合性測試的幾種方法：

　　1、檢查證據(jù)法

　　審計人員通過對有關會計資料和文件的審查，來確定內(nèi)部控制制度是否被遵循以及遵循的程度。

　　2、重新測試法

　　審計人員選擇某一項經(jīng)濟業(yè)務，按照內(nèi)部控制制度規(guī)定的業(yè)務處理程序重新實做一遍，來審查被審單位進行的業(yè)務處理程序是否達到理想的效果。

　　3、實地觀察法

　　審計人員到業(yè)務處理現(xiàn)場實地觀察，來考核內(nèi)部控制的執(zhí)行是否良好。

　　（四）提出內(nèi)部控制測評結(jié)果

　　在實施完對信息系統(tǒng)內(nèi)部控制評審后，審計人員要對內(nèi)部控制作出評價，以確定內(nèi)部控制是否真正發(fā)揮作用。如果認為內(nèi)部控制沒有得到執(zhí)行，或執(zhí)行表明內(nèi)部控制存在重大隱患，此時，審計人員應提出評審中是否依賴已有的控制。

　　另外，審計人員應當提出一個概括反映信息系統(tǒng)內(nèi)部控制弱點的屬性和程度的總結(jié)報告，并將報告列入審計底稿。對報告可以從以下三個方面加以利用：一是確定實質(zhì)性審計的范圍、重點和措施。二是將信息系統(tǒng)的控制弱點納入審計意見，以便其改進工作。三是為確定具體使用何種計算機輔助審計技術提供依據(jù)。

　　由此可見，對信息系統(tǒng)內(nèi)部控制的評審則涉及到審計學、信息技術、企業(yè)管理、項目管理、服務管理、信息安全學等跨學科的知識領域，要求第三方咨詢機構的審計人員素質(zhì)很高，且國內(nèi)尚無完整的標準規(guī)范可以遵循，這也是我們下一步亟待解決的問題之一。