关于信息系统审计的几点体会

1、关于信息系统审计的几点体会 为保证审计质量，从本世纪初开始，信息系统审计作为一种全新的 审计思维和审计方式越来越收到重视。所信息系统审计，是指通过收 集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据 的完整、使单位的目标得以有效地实现、使组织的资源得到高效地使 用等方面作出判断的过程。在审计中，信息系统审计关注的重点为系 统是否存在不安全或不稳定的因素，防止公司的财务和业务数据出现 失真。 在我国的审计实践中，信息系统审计成果似乎并明显，原因主要是 目前存在以下三大困难：一是审计人员难以在短时间内透彻了解被审 计单位的信息系统。一般来说，信息系统有通用和定制两种。通用的 信息系统多

2、用于小型的数据管理，由专业的软件公司开发后打包在市 场销售，被审计单位人员仅仅是使用者，审计人员无法获得开发设计 的细节；而定制的系统多用于大型的数据管理， 由软件公司或内部的 开发部门根据企业的应用量身定做，这类系统技术文档和技术支持比 较完善，但是由于系统过于庞大，细节设计过于复杂，审计人员在有 限的审计时间内难以对系统进行评估。二是难以发现系统内的瑕疵。 从表面看，信息系统的各项令人眼花缭乱的模块好像都很正常， 无论 是从开发文档还是操作手册都不会直接列出系统的瑕疵， 而且在现场 审计中，审计人员一般不允许对正在运行的系统进行测试，较难识别 系统的问题。三是难以评估系统瑕疵所导致的后果。

3、在审计实践中， 即使审计人员发现了信息系统的瑕疵， 但是未发现该瑕疵导致的已经 存在的后果，常常使得审计结论缺乏直接证据。 虽然信息系统审计面对以上诸多难题，但是笔者认为审计人员可以 打破常规，从以下几个方面创造性地开展审计工作。 首先，审计人员可以通过整体评价被审计单位的信息系统重要性的 基础上，确定审计重点。为了提高信息系统审计的效率，选取的系统 最好满足下列条件： 属于被审计单位的核心业务或财务系统， 系统数 据的真实性和完整性对被审计单位的安全生产和损益核算有着直接 影响，同时要求该系统有着完整的技术文档， 最好能够获得数据库管 理员和系统开发公司维护人员的支持。当然，如果系统功能很简

4、单， 可不受上述条件限制。 其次，审计人员应用内控测试和数据审计两种方式对选定的系统进 行分析，一般能迅速找出信息系统存在的瑕疵， 尤其是人为舞弊的线 索。 1. 信息系统的内部控制测试。审计人员在了解系统业务处理流程的 基础上对信息系统进行内控测试，然后作出风险评价。根据 COSC 发 布的内部控制整体框架 ，内控测试主要包含四个方面的内容： 对控制环境的测试、 对风险的评估、 对信息与沟通的测试和对监督的 测试。在进行信息系统审计时， 可以对目标系统的上述四个方面对系 统进行测试评价，测试目的： （1）控制环境管理层的技术和管理水平合格的系统管理层人员需要 有技术和业务的双重背景， 可以组

5、织系统的运行升级和处理突发的意 外情况。否则，容易出现系统不能良好地支持业务运行等情况。 (2) 维护和操作人员的技术水平系统的维护和操作人员需要有可以 完成工作职责的技术水平， 否则容易出现系统无法推广和各种意外频 出等情况。 (3) 组织结构及职权与责任分配不恰当的职权分配容易给人为篡改 数据及越权操作提供便利。 同时，分析系统的组织结构可以确定审计的重点位于集团公司的哪 个层面。 (1) 企业高层的重视程度企业高层重视系统才能获得足够的资源； (2) 与系统有关人员的诚信和道德价值水平该指标评估人员是否 有影响系统真实性和安全性的动机； (3) 对信息与沟通的测试目标系统与其它系统之间的

6、数据传输关 系了解系统所处的位置； (4) 系统所记录的信息在企业内部和外部的传输情况了解信息使 用的情况； (5) 对监督的测试内部和外部审计部门的信息系统审计为评价系 统的可靠性搜集资料； (6) 系统安全性和真实性的检查频率和力度； (7) 对风险的评估分析系统所支持的业务流程从业务的角度找出 影响系统安全性和完整性的因素； (8) 找出风险的关键控制点作为下一步审计的重点； (9) 执行各种测试手段。如：穿行测试、绘制风险控制矩阵等。 2. 由计算机辅助审计得出的异常数据结果来分析信息系统所存在的 问题。计算机辅助审计是一种常用的审计手段， 通过它对各种数据进 行分析，然后根据数据的分

7、析结果追寻被审计单位信息系统存在的问 题。在审计人员发现被审计单位的信息系统中的数据存在不真实、 不 完整的情况时，可以从信息系统的角度进一步了解导致数据问题的原 因，一般采用追根溯源的办法，将问题层层分类。如系统数据不真实 或不准确，一般可能存在设计或操作两方面的原因。 就设计方面而言， 既有考虑不周所致，也有故意预留后门的情形，针对其实际原因，分 别采用相应的对策，或改进设计，或关闭后门并追究相关人员责任； 对于操作方面而言， 也存在工作疏忽、 越权操作和蓄意伪造等多方面 原因，可以针对性地采用批评教育、 完善制度和追究人员责任进行惩 戒等方式予以整改 第三，根据已经发现的问题，对系统进行

8、延伸，进一步追查系统存 在问题所引致财务收支失真等方面的问题。 笔者在审计实践中，应用上述方法实施了对 B 通讯公司的信息系统 审计，效果良好。 在开始系统审计前，对 B 通讯公司正在使用的数十 个信息系统进行逐一排查后， 决定对计费系统实施审计， 主要基于两 点重要原因： 一是该计费系统属于 B 公司的核心业务信息系统。主要功能是对 B 公司多种通讯业务计费、 批价及按客户汇总， 并结合客户使用的套餐 计算出每个客户当月的应交费金额， 而后登记实际交费金额。 在每月 月结之后，计费系统按照会计科目的口径自动汇总计算本月财务应计 收入金额和实收金额， 再通过接口程序自动传输到财务系统中生成记

9、帐凭证并核算主营业务收入。 由于计费系统是 B 公司核算收入的主要 依据，它的真实性和完整性对 B 公司的损益计算非常重要。 二是该计费系统是某软件公司为 B 公司定制的信息系统，该软件公 司一直对其进行维护升级， 对计费系统的设计细节较为清楚， 有利于 审计工作的开展。 在对计费系统进行内控测试时，很快就发现了如下疑点：第一，计 费系统的组织结构和职权分配存在不妥之处。 计费系统的大部分运营 管理工作都在分公司层面， 母公司并未对分公司的计费操作进行直接 管理，且分公司拥有计费系统所有管理权限。第二， B 公司管理层可 能存在诚信问题。几年前， B 公司就提出了很高的收入目标。近几年 由于市场竞争激烈， B 公司的市场份额不断缩小，产品单位售价不断 降低，但收入额却没有降低。同时，由于收入完成情况优秀，管理层 还获得了提职。第三，计费系统接受的检查监督过少。近两年， B 公 司的上级 IT 部门未针对计费系统的真实性进行过检查，仅有一家会 计事务所对其进行过评估，未发现明显风险点。第四， B 公司的计费 系统管理员对所管理的数据库的数据结构非常熟悉， 能清晰知晓多个 计费系统的设计细节