關于企業信息系統審計的幾點認識

2014-11-08 22:10:50 大云網　點擊量：評論 (0)

　近日，審計署劉家義審計長提出了信息系統應用責任審計是經濟責任審計7個組成方面之一的觀點，為企業信息系統審計指明了方向和目標。我有幸參加了審計署組織的第一次與經濟責任審計相結合的企業信息系統審計項目

　近日，審計署劉家義審計長提出了“信息系統應用責任審計是經濟責任審計7個組成方面之一”的觀點，為企業信息系統審計指明了方向和目標。我有幸參加了審計署組織的第一次與經濟責任審計相結合的企業信息系統審計項目，下面結合工作實際談一下我對企業信息系統審計的幾點認識：

　　一、企業信息系統審計是實現評價領導人信息系統應用責任的重要方法

　　目前，大型企業在組織形態走向分散化的同時其管理的集約化程度不斷提高，依靠集中的信息管理，很多大企業建立了比較發達的“神經系統”，不僅基本實現了財務統一管理，在業務領域也實現了分布式應用、集中化管理，信息系統的復雜度和數據量隨之迅速增長。因此，現在依靠傳統的計算機審計思路和方法，很難對信息化程度較高的大型企業的領導人的信息系統應用責任做出評價，但我們通過信息系統審計可以從一定程度上回答企業全面的內控和管理情況，從而達到評價企業領導人的信息系統應用責任的目的。雖然目前通過信息系統審計方法較難查出大案要案，與當前審計環境和要求有一定矛盾，但從長遠看，企業信息系統審計一定有生命力和發展前途。

　　二、企業信息系統審計的方法步驟及主要內容

　　在國內信息系統審計指南還未發布的情況下，我們本次企業信息系統審計主要參照2009年美國聯邦政府責任辦公室發布的《聯邦信息系統控制審計手冊》（以下簡稱FISCAM）提供的方法步驟和主要內容，結合中國企業審計的實際情況開展。具體情況是：

　　（一）企業信息系統審計的方法步驟

　　FISCAM提供了一種依據在政府審計標準中提及的“一般公認的政府審計標準（GAGAS）”來執行信息系統控制審計的方法，結合本次審計，我認為企業信息系統的基本方法步驟為：一是了解審計的總體目標和信息系統控制審計的范圍，二是了解被審計單位的運營情況和關鍵業務流程，三是全面了解被審計單位的網絡架構，四是識別審計關注的關鍵審計域，五是初步評價信息系統風險，六是識別關鍵控制點，七是進行符合性測試，八是根據符合性測試結果進行實質性測試，最后是形成審計報告。

　　（二）企業信息系統審計的主要內容

　　我認為企業信息系統審計主要基于內部控制開展，信息系統內部控制是為了保證信息系統的有效性、可靠性和安全性，提高信息系統運營效率，確保信息準確、完整、可靠，有效保護信息資產，利用各種手段和技術，對信息系統實施的管理和控制過程。信息系統內部控制可以劃分為一般控制和應用控制。

　　一般控制是對信息系統的開發、實施、維護和運行所進行的控制，主要目標為數據安全，保護應用程序，并確保計算機在異常中斷情況下能持續運行。一般控制所采用的控制措施普遍適用于所有的應用系統，為應用系統提供了環境上的保證。

　　應用控制即業務流程應用程序級的控制，是指與被審計單位具體業務活動相關的控制，與一般控制相對應。應用控制既可以在信息系統內實現，也可以以手工方式實現。FISCAM定義應用控制為：對交易的完整性，準確性，有效性，機密性和可用性以及在應用處理中的數據的控制，通常分為應用程序級一般控制、業務流程控制、接口控制、數據管理系統控制等四類控制。

　　三、企業信息系統審計的知識能力要求

　　企業信息系統審計涉及多學科，需要高素質的綜合型審計人員，審計人員必須具備開展信息系統審計所需要的審計、內部控制與信息技術專業能力，應當取得審計署計算機審計資格和信息系統審計資格，掌握信息系統基本知識，如具備財務會計、大型數據庫、網絡安全、內部控制等方面的知識，同時具備一定的計算機輔助審計能力，能熟練運用外部資源進行信息系統審計測試。必要時，我們還需從外部聘請專家解決專業能力不足的問題。

　　FISCAM中對信息系統審計人員的專業能力也提出了具體要求，如業務流程控制審計就需具備以下專業知識和能力：一是有關應用數據完整性、準確性、有效性和機密性的實務、策略和技術的知識；二是每個業務流程處理周期中的典型應用的知識；三是使用通用審計軟件包對應用程序數據進行數據分析和測試，以及計劃、提取與評價數據樣本分析和評價組織的應用控制，并界定其優缺點的能力。（審計署駐重慶特派辦）