淺析信息系統(tǒng)內部控制審計
江蘇審計廳
隨著社會信息化進程的迅速推進,信息系統(tǒng)成為不少單位內部管理與控制的關鍵工具。但就目前開展信息系統(tǒng)內部控制審計的范圍來看,還不夠廣泛,對信息系統(tǒng)內部控制審計也不夠重視,直接影響著信息系統(tǒng)的可靠性、安全性。本文對信息系統(tǒng)內部控制與信息系統(tǒng)內部控制審計進行了介紹,并對加強信息系統(tǒng)內部控制審計的重要性做了闡述,同時就開展信息系統(tǒng)內部控制審計的程序和方法提出筆者的一些膚淺認識,繼而更好地推進信息系統(tǒng)內部控制審計的廣泛運用。
一、信息系統(tǒng)內部控制與信息系統(tǒng)內部控制審計
(一)信息系統(tǒng)內部控制
信息系統(tǒng)內部控制是一個單位在信息系統(tǒng)環(huán)境下,為了保證業(yè)務活動的有效進行,保護資產的安全與完整,防止、發(fā)現(xiàn)、糾正錯誤與舞弊,合理確保信息系統(tǒng)提供信息的真實、合法、完整,而制定和實施的一系列政策與程序措施。它是規(guī)范秩序、防范風險、遏制腐敗、合理確保信息系統(tǒng)功效的有效途徑,從而更好地確保組織目標的實現(xiàn)。凡是與信息系統(tǒng)的建立、運行維護、管理和業(yè)務處理有關的部門、人員和活動,都屬于信息系統(tǒng)內部控制的對象。
信息系統(tǒng)內部控制可以分為一般控制和應用控制。一般控制有時稱管理控制,是指對信息系統(tǒng)的組織、開發(fā)、應用環(huán)境等方面的控制,是應用于一個單位信息系統(tǒng)全部或較大范圍的內部控制,其基本目標為保證數(shù)據(jù)安全、保護計算機應用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的繼續(xù)運行等。包括組織與管理控制,應用系統(tǒng)開發(fā)與維護控制、系統(tǒng)操作控制、硬件和軟件控制、系統(tǒng)安全控制、系統(tǒng)文檔控制等。應用控制是信息系統(tǒng)應用方面的具體控制。一個應用系統(tǒng)一般由多個相關計算機程序組成,有些應用系統(tǒng)可能是復雜的綜合系統(tǒng),牽涉到多個計算機程序和組織單元,與此相應,應用控制包括包含在計算機編碼中的日??刂萍芭c用戶活動相關的政策和流程。包括輸入控制、計算機處理與數(shù)據(jù)文件控制、輸出控制。
(二)信息系統(tǒng)內部控制審計
信息系統(tǒng)內部控制審計是一個通過收集和評價審計證據(jù),對信息系統(tǒng)是否能夠保護資產的安全、維護數(shù)據(jù)的完整、使被審計單位的目標得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。其審計內容及方法是通過對系統(tǒng)內部控制的審計,來判斷和評價系統(tǒng)的可靠性、安全性、完整性、效果和效率等方面。
二、開展信息系統(tǒng)內部控制審計的重要性
由于計算機信息系統(tǒng)的數(shù)據(jù)處理與手工處理有許多不同,從而產生了新的內部控制內容和方式,因此開展信息系統(tǒng)內部控制審計非常必要也很重要。
(一)提升審計項目質量的需要
近年來,隨著信息技術的發(fā)展,很多單位都認識到開展信息系統(tǒng)內部控制審計的必要性,也有些單位開展了信息系統(tǒng)內部控制審計,但內審部門對信息系統(tǒng)的審計重點仍滯留在制度執(zhí)行層面,風險洞察水平不高,對信息系統(tǒng)內部控制審計的重點和難點缺乏正確的認識和處理方法,嚴重影響了審計質量。
(二)提升內部控制水平的需要
宇凡內部控制整體框架包含控制環(huán)境、風險評估、控制活動、信息與溝通及監(jiān)控這五個相互聯(lián)系的要素。面對日新月異的信息化的發(fā)展,如果沒有審計技術手段信息化的快速跟進并與之匹配,就無法對業(yè)務系統(tǒng)運行的可靠性、連續(xù)性、完整性、風險性做出準確的評估,內審部門對內部控制的監(jiān)控作用無法有效發(fā)揮。
(三)創(chuàng)新審計手段的需要
信息系統(tǒng)內部控制審計技術在審計領域的運用,可以為創(chuàng)新審計方式打造直接平臺,實現(xiàn)審計監(jiān)督從單一性的事后審計向事前、事中、事后相結合轉變,從單一的靜態(tài)審計向動態(tài)與靜態(tài)相結合轉變,克服傳統(tǒng)的事后審計帶來的不能及時發(fā)現(xiàn)問題,防范于未然的缺陷。
(四)適應業(yè)務信息化發(fā)展的需要
近幾年來,信息系統(tǒng)的廣泛運用,在促進單位業(yè)務發(fā)展和管理的水平的同時,也潛在著較大的安全和技術風險。開展信息系統(tǒng)內部控制審計,能夠及時發(fā)現(xiàn)信息系統(tǒng)使用中影響安全性、可靠性的問題,提出針對性的建議,促進信息系統(tǒng)的更新和完善,以滿足不斷發(fā)展的業(yè)務信息化需要。
三、開展信息系統(tǒng)內部控制審計的程序和方法
(一)對信息系統(tǒng)內部控制進行初步了解與評價
審計人員可以通過詢問被審計單位有關人員,查閱被審計單位的相關文件記錄、觀察被審計單位的業(yè)務活動及其運行情況等方法,圍繞以下內容對信息系統(tǒng)內部控制的進行初步了解與判斷:被審計單位的基本情況,被審計單位信息系統(tǒng)的情況,信息系統(tǒng)的網絡和安全管理情況,影響信息系統(tǒng)的行業(yè)監(jiān)管信息、組織內部制度要求等內外部因素,組織的戰(zhàn)略目標對信息技術和信息系統(tǒng)的依賴程度,信息技術的戰(zhàn)略目標、發(fā)展規(guī)劃及近期發(fā)展計劃,信息系統(tǒng)支持的關鍵業(yè)務流程及最近一年的人員變更情況,信息系統(tǒng)支持的關鍵業(yè)務流程及最近一年的變更情況,被審計單位對外部信息技術服務的依賴程度,最近一年主要信息系統(tǒng)的上線、升級、變更情況,被審計單位的信息資產的敏感程度,以前年度信息系統(tǒng)審計發(fā)現(xiàn)及追蹤情況。通過了解這些內容,審計人員能夠對被審計單位的信息系統(tǒng)關鍵程度、關鍵業(yè)務流程、內外的監(jiān)管要求等有了初步了解,也就可以初步分析審計所面臨的風險。
(二)對信息系統(tǒng)內部控制進行符合性測試
符合性測試是對內部控制制度的實施情況和遵循結果進行測試。對信息系統(tǒng)內部控制進行符合性測試可以分為一般控制符合性測試和應用控制符合性測試。有效的一般控制是保證應用控制有效的一個重要因素,它提供應用系統(tǒng)運行和應用控制實施的環(huán)境。如果一般控制薄弱,將會嚴重地削弱相關的具體應用控制的可靠性。由此,對一般控制的符合性測試通常在應用控制符合性測試之前進行。
1.一般控制的符合性測試
目前,被審計對象一般是在日常運行的信息系統(tǒng),因而,我們重點是對信息系統(tǒng)的組織控制、操作控制和災難恢復控制進行審計,判斷信息系統(tǒng)的安全性、可靠性。
(1)組織控制。組織控制主要是通過不相容職責的分離來實現(xiàn)。審計內容包括:系統(tǒng)管理人員及操作人員是否有明確的管理制度及明確的職責權限、數(shù)據(jù)庫管理人員是否不審批和處理經濟業(yè)務、系統(tǒng)管理人員和操作人員是否不能接觸有關應用程序文件、業(yè)務處理中不相容職能是否分離等。審計可以采用詢問有關人員,查閱被審單位相關內控制度和檢查信息系統(tǒng)中操作用戶權限表等方法。
(2)操作控制。操作控制是用來控制信息系統(tǒng)的操作,以保證信息系統(tǒng)僅用于經授權的用途和只有經授權的人員才能操作信息系統(tǒng)。審計內容包括:系統(tǒng)的操作日志設置及管理情況、操作人員是否經過授權、在人員崗位變更時,操作權限是否妥善地進行、密碼保護措施等。審計可以采用檢查操作用戶權限與被審計單位內控制度、現(xiàn)場觀察實際操作用戶和分析系統(tǒng)的操作日志等方法。
(3)災難恢復控制。災難恢復控制是在系統(tǒng)遭受無法抗拒的、突如其來的災難時,為了將災害的損失降低最小的程度所采取的措施。審計內容與方法主要是檢查系統(tǒng)備份制度及執(zhí)行情況、災難發(fā)生后的應急恢復安排等。
2.應用控制的符合性測試
信息系統(tǒng)的應用控制是設計用來合理地保證系統(tǒng)在特定的應用方面能夠正確地完成數(shù)據(jù)的記錄、處理和報告功能,通過對系統(tǒng)的應用控制功能審計,檢查應用系統(tǒng)本身是否存在漏洞和功能缺陷,評價信息系統(tǒng)的可靠性、效果和效率等方面。
(1)輸入控制。輸入控制確保輸入數(shù)據(jù)的合法、準確和完整,包括:數(shù)據(jù)正確地存儲、業(yè)務數(shù)據(jù)沒有丟失、增加、重復和改變、錯誤的業(yè)務數(shù)據(jù)能夠被拒絕、改正并及時地重新提交處理。審計人員采用與操作人員座談、現(xiàn)場觀察系統(tǒng)輸入控制,可以初步了解系統(tǒng)輸入控制情況。審計人員設計一些虛擬數(shù)據(jù),提交系統(tǒng)進行處理,以測試系統(tǒng)輸入控制是否存在。審計人員可以通過數(shù)據(jù)驗證檢查數(shù)據(jù)之間邏輯關系驗證輸入數(shù)據(jù)的正確性和保存數(shù)據(jù)的完整性,包括業(yè)務數(shù)據(jù)與財務數(shù)據(jù)對比驗證和業(yè)務數(shù)據(jù)間主表與明細表核對。
(2)處理控制。處理控制確保系統(tǒng)按規(guī)定對數(shù)據(jù)進行處理,包括:能夠對經濟業(yè)務進行正常處理;業(yè)務數(shù)據(jù)在處理過程中沒有丟失、增加、重復或不恰當?shù)母淖?處理中錯誤能夠發(fā)現(xiàn)并得到及時更正。審計人員從被審單位抽樣若干經濟業(yè)務數(shù)據(jù),檢查信息系統(tǒng)處理結果是否正確,以確定系統(tǒng)控制是否有效的執(zhí)行。審計人員模擬被審單位對實際數(shù)據(jù)的處理要求設計一個程序,將被審計單位的真實數(shù)據(jù)用審計人員的程序重新處理一遍,檢查信息系統(tǒng)控制功能是否有效。
(3)輸出控制。輸出控制確保系統(tǒng)處理結果的完整性和正確性、輸出結果提交給有權使用的人員??刹捎妹嬲劮ā⒂^察法和系統(tǒng)文檔審閱法、平衡模擬法等審計方法檢查系統(tǒng)輸出控制。審計人員可以通過與系統(tǒng)管理員、操作人員座談及系統(tǒng)文檔審閱、系統(tǒng)查詢測試等發(fā)現(xiàn)系統(tǒng)輸出控制可能存在的欠缺。
(三)對信息系統(tǒng)內部控制系統(tǒng)進行總評
審計人員在對信息系統(tǒng)內部控制進行初評的基礎上,根據(jù)符合性測試的結果,對被審計單位信息系統(tǒng)內部控制可信賴程度和風險水平進行評估,以確定將要執(zhí)行的實質性測試程序的性質、時間和范圍。評估中需要說明的問題主要包括內部控制系統(tǒng)中存在的薄弱環(huán)節(jié)或發(fā)揮作用的程度及內部控制的可信賴程度或風險水平。
(四)形成信息系統(tǒng)內部控制審計報告
作為對信息系統(tǒng)內部控制進行審計的成果,審計人員應對被審計單位內部管理編制信息系統(tǒng)內部控制審計報告,指出審計過程中注意到的、影響被審計單位內部管理的信息系統(tǒng)內部控制缺陷,并提出有針對性的建議,同時對審計建議的采納情況進行審計追蹤。
四、加強信息系統(tǒng)內部控制審計的幾點建議
(一)領導轉變思路,高度重視信息系統(tǒng)內部控制審計
在當前人們對信息系統(tǒng)內部控制的認識還不夠的情況下,由信息系統(tǒng)引起的各種風險產生的損失將是巨大的,這就要求單位的主要領導需要加強對信息系統(tǒng)內部控制審計監(jiān)督的重視和支持,積極為內審部門開展對信息系統(tǒng)內部控制審計創(chuàng)造良好的軟、硬件環(huán)境。
(二)加強人才培養(yǎng),不斷提高信息系統(tǒng)審計隊伍素質
一方面吸收有一定工作經驗的計算機專業(yè)技術人才充實到單位內審部門,改善審計人員隊伍結構,以適應未來日益頻繁的信息系統(tǒng)審計對審計人才的需求,同時通過業(yè)務培訓、交流和以審代訓的方式提高現(xiàn)有審計人員的計算機應用水平和理論知識,并及時了解和借鑒國際上先進的信息系統(tǒng)審計理念和方法。
(三)注重事前介入,從源頭加強信息系統(tǒng)內部控制審計
內審部門要積極提前介入同級業(yè)務和技術部門的信息系統(tǒng)開發(fā)全過程,從系統(tǒng)開發(fā)從業(yè)務需求的提出,數(shù)據(jù)結構和內部控制的設計、程序代碼的編寫、軟件的測試、運行到軟件的驗收、審計人員都應站在內審部門的角度從信息系統(tǒng)的合法合規(guī)性、安全可靠性、可維護性及內部控制機制的完善性等方面提出可行意見和建議,以便從系統(tǒng)開發(fā)的源頭上防止系統(tǒng)出現(xiàn)漏洞和缺陷等安全隱患。
(四)優(yōu)化審計環(huán)境,提升信息系統(tǒng)內部控制審計效率和質量
內審部門要抓緊建立計算機化的審計環(huán)境,配置實用高效的信息系統(tǒng)內部控制審計軟件平臺,利用專用計算機審計平臺能促進信息系統(tǒng)內部審計工作的規(guī)范化,提升信息系統(tǒng)內部控制審計效率和質量。
(五)完善相關建設,促進信息系統(tǒng)內部控制審計常態(tài)化
單位應建立健全相應的制度,將信息系統(tǒng)內控制度審計作為一條強制性規(guī)定明確下來,以推動計算機輔助審計方法的應用和信息系統(tǒng)內部控制審計的順利實施,借助信息系統(tǒng)的審計接口、網絡和一定的計算機輔助手段,審計人員就通過非現(xiàn)場監(jiān)督手段系統(tǒng),全面和連續(xù)的對在信息系統(tǒng)中流動著數(shù)據(jù)信息進行實時動態(tài)檢查,做到既能檢查數(shù)據(jù)的來源和結果,也能檢查數(shù)據(jù)流動軌跡。
五、結束語
目前,信息系統(tǒng)內部控制對于很多單位還在摸索階段,甚至有些單位從沒有開展過信息系統(tǒng)內部控制的審計。信息系統(tǒng)內部控制審計的實施方法還需規(guī)范化,程序化,需要內部審計人員的在實際工作中不斷探索,不斷總結規(guī)律,發(fā)揮內部審計的作用,為促進單位內部控制的建設保駕護航,為單位經營管理的科學發(fā)展推波助瀾。