淺析政府信息系統審計現狀及發展策略

2014-11-08 22:16:23 大云網　點擊量：評論 (0)

當前，被審計單位會計信息系統高速發展，會計電算化及信息化程度越來越高，大量的業務數據和財務數據都存儲在計算機中，因而也存在著計算機會計舞弊的可能性。如果審計機關和審計人員停留在傳統的紙質賬目基礎審

當前，被審計單位會計信息系統高速發展，會計電算化及信息化程度越來越高，大量的業務數據和財務數據都存儲在計算機中，因而也存在著計算機會計舞弊的可能性。如果審計機關和審計人員停留在傳統的紙質賬目基礎審計上，不對信息系統進行審計監督，勢必產生較大的審計風險，影響審計工作質量。

　　一、信息系統審計概述

　　（一）信息系統審計的概念

　　信息系統審計是審計全過程的一個組成部分，目前還沒有固定通用的定義，美國信息系統審計的權威專家RonWeber將它定義為“收集并評估證據以決定一個計算機系統（信息系統）是否有效做到保護資產、維護數據完整、完成組織目標，同時最經濟的使用資源”。筆者認為，信息系統審計是一個獲取并評價證據，以判斷信息系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。它是立足于組織的戰略目標，為有效的實現組織戰略目標而采取的一切活動過程。其業務范圍包括與信息系統有關的所有領域，例如信息系統安全審計、網譽審計、電子簽名審計業務等。

　　（二）信息系統審計的內容和方法

　　⒈對信息系統功能的審計。可分四個方面進行：輸入控制審計、數據處理過程審計、輸出控制審計、系統安全審計。

　　①輸入控制審計。主要檢查軟件能否保證輸入數據的正確性、可靠性和完整性，有沒有設置對誤操作的防范和糾正功能。實地觀察輸入界面錄入要素是否全面，對關鍵要素的錄入是否進行了約束，分析數據庫數據，對系統輸入的字段進行驗證，主要驗證關鍵字段格式是否規范，內容是否正確、完整，相關數據的關系是否正確、合法。采用測試數據進行測試，設計一些虛擬數據，提交系統進行處理，以測試系統輸入控制是否存在。測試數據時要注意不要對信息系統數據造成影響。

　　②數據處理過程審計。主要檢查軟件處理過程的正確性和合法性。審查軟件是否存在“后門”或“漏洞”，數據在處理過程中有無丟失、增加、重復或不恰當的改變；審查軟件是否提供了支持系統進行非法處理或違法處理的功能。依據被審計單位的實際業務，設計一個模擬程序，將被審計單位的真實數據用模擬程序重新處理一遍，把處理的結果與被審程序的處理結果進行比較，以確定被審程序的處理和控制功能是否可靠或被修改。用一批預先設計好的檢測數據（包括正常的、有效的業務和不正常的、無效的業務數據），利用被審程序加以處理，并把處理的結果與預期的結果作比較，以確定被審程序的控制與處理功能是否恰當。

　　③輸出控制審計。主要檢查系統能否確保輸出數據沒有被丟失、誤導、破壞，確保輸出數據的完整性和正確性，確保輸出結果只提交給有權使用的人員。查閱各種紙質資料、報表，并與電子數據比較，分析有無非法修改數據的情況；依據業務性質和需要，確定輸出結果能否滿足工作需要。

　　④系統安全審計。主要檢查軟、硬件配置和網絡平臺是否能夠保證系統安全可靠地運行，有無數據丟失、損壞、泄密的風險。軟件安全控制主要審查軟件禁止非法使用和禁止越權使用的控制能力。包括軟件內部固化的操作流程、角色設置、權限分配、密碼控制。通過查閱軟件設計文檔、操作手冊，實際操作等方法，分析系統中角色設置、權限分配是否合理、可靠。通過分析后臺數據，檢查操作人員的口令是否加密保存，有無空口令、弱口令，系統是否設置了操作日志。對重要數據，系統是否提供了有痕跡的更正功能。檢查局域網與外接網絡的聯接方式，網絡中安全設備的設置是否正確、有效，數據傳輸是否安全，是否建立了系統備份和系統恢復機制并有效運行，系統管理人員對系統的日常維護是否及時。

　　⒉對信息系統應用方面審計可分三個方面進行：內部控制審計、系統應用的合法性審計、信息系統的自我完善能力審計。

　　①內部控制審計主要審查信息系統環境下的內部控制的健全性、合理性和有效性。實際崗位設置、人員分工是否與軟件中的角色設置、權限分配相適應，實際業務工作流程是否與軟件固化的工作流程相適應，不相容職能分離控制措施及執行情況；

　　②系統應用的合法性審計主要通過對數據分析來完成；

　　③信息系統的自我完善能力審計主要從以下方面檢查：一是是否建立了有效的應用情況反饋機制；二是信息部門能否及時修正系統的不足和錯誤。

　　二、信息系統審計的必要性

　　20世紀90年代后期至今，會計電算化已逐步走向成熟，而企業的信息化建設并沒有就此止步，以ERP、MRP-Ⅱ為代表的企業信息系統的高度集成逐漸開始興起。這時的企業信息系統不僅僅是一個孤立的系統，而是集財務、人事、供銷、生產為一體的綜合性的信息系統，財務信息只是這個系統所處理信息的一部分，單獨的財務系統已不存在。在這種情況下，審計人員只有對整個系統進行全面了解，才能把握審計對象的總體情況，避免審計風險，將審計成果最大化。

　　從企業信息化的發展歷史可以看出，由于審計人員所面臨的審計對象的不斷變化，促使審計方式也隨之改變，信息系統審計便應運而生。由于我國的信息系統審計工作尚未完全開展，一些計算機審計的探索與嘗試仍然局限在電子數據的采集與處理領域，對信息系統的安全與控制的問題還沒有充分的認識。從邏輯上講，對系統的依賴是現代審計的基本策略，如果被審計對象全面采用計算機化的信息系統，而審計人員又沒有對信息系統進行了解和審計，那么這種審計得出結論的可靠性就要受到質疑。政府審計在這方面所面臨的問題日益嚴峻，“不搞計算機審計，我們就會失去審計的資格”已經逐漸成為審計界的共識，作為國家審計機關，在規劃審計工作時應意識到這一點，對被審計單位的信息系統進行審計已迫在眉睫。

　　三、信息系統審計中存在的問題

　　由于政府信息系統審計還處于探索階段，還存在相當多的問題，需要審計機關及審計人員進一步去研究、去思考，進而找出解決問題的辦法。

　　一是審計目標不清晰。審計目標分為總體目標和具體目標。審計的總體目標主要包括被審計單位信息系統的真實、合法、效益，在對系統內控及信息系統審計時，要對被審計單位的財務收支及其經濟活動的真實、合法、效益做結論。然而，在制定具體目標這一層次時，要充分考慮具體行業的審計目標，金融有金融的，企業有企業的，行政事業有行政事業的，而且可能每一次審計的重點不一樣，領導要求不一樣，具體目標就會有所不同。在審計實施過程中，部分審計機關及審計人員不能把握總體審計目標與具體目標的界限，籠統地進行表述，不具備操作性、指導性。

　　二是審計觀念存在誤區。合法性為唯一目標發展的傾向。大部分審計機關在實施信息系統審計審計時，十分注重查處問題，把結果最大化，好像只有查找出大案要案，才能證明我們信息化的成果，才發揮了計算機審計的作用，而忽略運用具體的審計方法。這實際上影響了我們的計算機審計工作，容易產生誤導。筆者認為，信息系統審計不能說合法性審計目標不重要，它絕對重要，但真實性和效益性與它同等重要。因此，在審計過程中，不能僅僅扣住合法性，當成唯一的一個目標。

　　三是審前調查和審計測試界限不清。在進行信息系統審計時，大部分審計人員不能分清調查和測試的概念，進而影響審計質量。因為調查的方法和測試的方法是不一樣的，調查時候要大量地運用座談、查閱文檔等方法，測試的時候就需要大量地操作數據。審前調查和審計測試界限不清，表明審計人員在信息系統流程上存在很多模糊的認識，以及“拿捏”不準的地方，不能從本質上分清調查、測試、評價的界限，勢必影響信息系統審計的規范化。

　　四是對控制的審計有所偏重。筆者認為，信息系統控制包括兩類：一是對系統的控制，二是系統對業務的控制。系統控制不嚴密則容易出問題，系統設置目的是為控制業務，兩個都很重要，缺一不可。然而，審計機關大部分信息系統審計更加偏重系統對業務的控制，導致審計內容不完整，影響審計評價。

　　四、信息系統審計的發展策略

　　㈠建立完備的信息系統審計專業人才隊伍

　　政府審計機關開展信息系統審計，需要一批既掌握現代審計理論知識又了解計算機技術的復合型人才，從目前的人員數量和知識結構上看，還遠遠達不到審計工作目標要求。因此，審計部門要適應時代發展，采取各種方式方法，加強這類人才的培養，進一步推動信息系統審計工作的開展。

　　㈡建立獨立客觀的專家審計系統

　　專家審計系統是一種以知識為基礎、智能化的計算機軟件系統，將專家的知識、經驗加以總結，形成規則，存入計算機建立知識庫，采用合適的控制策略，按輸入的原始數據進行推理、演繹，作出判斷。建立專家審計系統能夠大大提高信息系統審計工作的效率，保持審計工作的客觀、公正、獨立。

　　㈢加強計算機應用系統與審計軟件之間的對接

　　為了節省審計人員的時間和精力，提高審計工作效率，被審計單位財務軟件必須進一步改善，建立標準的審計數據接口，增加數據轉換的模塊，使不同格式的數據能夠轉換成審計需要的格式，為審計軟件系統所識別，設計相應的內部控制監控子系統，以便與審計軟件系統配合使用，實現二者的有機結合。

　　㈣適時出臺信息系統操作指南

　　目前，政府審計機關關于信息系統審計的依據主要有修訂后的《中華人民共和國審計法》、《國務院辦公廳關利用計算機信息系統開展審計工作有關問題的通知》（國辦發「2001」88號）等文件。這些法律法規的出臺，給審計部門提供了信息系統審計工作的依據。但是這些規定只賦予了審計部門開展信息系統審計的法律保證，至于具體的審計依據和操作規程則沒有明確，可操作性不強。筆者認為，國家審計署和財政部應進一步加強協作，適時出臺具體的信息系統審計操作指南和規程，以便更好的指導審計人員完成工作。