掃碼下載APP
及時接收最新考試資訊及
備考信息
當前,被審計單位會計信息系統(tǒng)高速發(fā)展,會計電算化及信息化程度越來越高,大量的業(yè)務(wù)數(shù)據(jù)和財務(wù)數(shù)據(jù)都存儲在計算機中,因而也存在著計算機會計舞弊的可能性。如果審計機關(guān)和審計人員停留在傳統(tǒng)的紙質(zhì)賬目基礎(chǔ)審計上,不對信息系統(tǒng)進行審計監(jiān)督,勢必產(chǎn)生較大的審計風險,影響審計工作質(zhì)量。
一、信息系統(tǒng)審計概述
?。ㄒ唬┬畔⑾到y(tǒng)審計的概念
信息系統(tǒng)審計是審計全過程的一個組成部分,目前還沒有固定通用的定義,美國信息系統(tǒng)審計的權(quán)威專家RonWeber將它定義為“收集并評估證據(jù)以決定一個計算機系統(tǒng)(信息系統(tǒng))是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標,同時最經(jīng)濟的使用資源”。筆者認為,信息系統(tǒng)審計是一個獲取并評價證據(jù),以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程。它是立足于組織的戰(zhàn)略目標,為有效的實現(xiàn)組織戰(zhàn)略目標而采取的一切活動過程。其業(yè)務(wù)范圍包括與信息系統(tǒng)有關(guān)的所有領(lǐng)域,例如信息系統(tǒng)安全審計、網(wǎng)譽審計、電子簽名審計業(yè)務(wù)等。
?。ǘ┬畔⑾到y(tǒng)審計的內(nèi)容和方法
⒈對信息系統(tǒng)功能的審計??煞炙膫€方面進行:輸入控制審計、數(shù)據(jù)處理過程審計、輸出控制審計、系統(tǒng)安全審計。
?、佥斎肟刂茖徲?。主要檢查軟件能否保證輸入數(shù)據(jù)的正確性、可靠性和完整性,有沒有設(shè)置對誤操作的防范和糾正功能。實地觀察輸入界面錄入要素是否全面,對關(guān)鍵要素的錄入是否進行了約束,分析數(shù)據(jù)庫數(shù)據(jù),對系統(tǒng)輸入的字段進行驗證,主要驗證關(guān)鍵字段格式是否規(guī)范,內(nèi)容是否正確、完整,相關(guān)數(shù)據(jù)的關(guān)系是否正確、合法。采用測試數(shù)據(jù)進行測試,設(shè)計一些虛擬數(shù)據(jù),提交系統(tǒng)進行處理,以測試系統(tǒng)輸入控制是否存在。測試數(shù)據(jù)時要注意不要對信息系統(tǒng)數(shù)據(jù)造成影響。
?、跀?shù)據(jù)處理過程審計。主要檢查軟件處理過程的正確性和合法性。審查軟件是否存在“后門”或“漏洞”,數(shù)據(jù)在處理過程中有無丟失、增加、重復(fù)或不恰當?shù)母淖儯粚彶檐浖欠裉峁┝酥С窒到y(tǒng)進行非法處理或違法處理的功能。依據(jù)被審計單位的實際業(yè)務(wù),設(shè)計一個模擬程序,將被審計單位的真實數(shù)據(jù)用模擬程序重新處理一遍,把處理的結(jié)果與被審程序的處理結(jié)果進行比較,以確定被審程序的處理和控制功能是否可靠或被修改。用一批預(yù)先設(shè)計好的檢測數(shù)據(jù)(包括正常的、有效的業(yè)務(wù)和不正常的、無效的業(yè)務(wù)數(shù)據(jù)),利用被審程序加以處理,并把處理的結(jié)果與預(yù)期的結(jié)果作比較,以確定被審程序的控制與處理功能是否恰當。
③輸出控制審計。主要檢查系統(tǒng)能否確保輸出數(shù)據(jù)沒有被丟失、誤導(dǎo)、破壞,確保輸出數(shù)據(jù)的完整性和正確性,確保輸出結(jié)果只提交給有權(quán)使用的人員。查閱各種紙質(zhì)資料、報表,并與電子數(shù)據(jù)比較,分析有無非法修改數(shù)據(jù)的情況;依據(jù)業(yè)務(wù)性質(zhì)和需要,確定輸出結(jié)果能否滿足工作需要。
?、芟到y(tǒng)安全審計。主要檢查軟、硬件配置和網(wǎng)絡(luò)平臺是否能夠保證系統(tǒng)安全可靠地運行,有無數(shù)據(jù)丟失、損壞、泄密的風險。軟件安全控制主要審查軟件禁止非法使用和禁止越權(quán)使用的控制能力。包括軟件內(nèi)部固化的操作流程、角色設(shè)置、權(quán)限分配、密碼控制。通過查閱軟件設(shè)計文檔、操作手冊,實際操作等方法,分析系統(tǒng)中角色設(shè)置、權(quán)限分配是否合理、可靠。通過分析后臺數(shù)據(jù),檢查操作人員的口令是否加密保存,有無空口令、弱口令,系統(tǒng)是否設(shè)置了操作日志。對重要數(shù)據(jù),系統(tǒng)是否提供了有痕跡的更正功能。檢查局域網(wǎng)與外接網(wǎng)絡(luò)的聯(lián)接方式,網(wǎng)絡(luò)中安全設(shè)備的設(shè)置是否正確、有效,數(shù)據(jù)傳輸是否安全,是否建立了系統(tǒng)備份和系統(tǒng)恢復(fù)機制并有效運行,系統(tǒng)管理人員對系統(tǒng)的日常維護是否及時。
?、矊π畔⑾到y(tǒng)應(yīng)用方面審計可分三個方面進行:內(nèi)部控制審計、系統(tǒng)應(yīng)用的合法性審計、信息系統(tǒng)的自我完善能力審計。
?、賰?nèi)部控制審計主要審查信息系統(tǒng)環(huán)境下的內(nèi)部控制的健全性、合理性和有效性。實際崗位設(shè)置、人員分工是否與軟件中的角色設(shè)置、權(quán)限分配相適應(yīng),實際業(yè)務(wù)工作流程是否與軟件固化的工作流程相適應(yīng),不相容職能分離控制措施及執(zhí)行情況;
?、谙到y(tǒng)應(yīng)用的合法性審計主要通過對數(shù)據(jù)分析來完成;
?、坌畔⑾到y(tǒng)的自我完善能力審計主要從以下方面檢查:一是是否建立了有效的應(yīng)用情況反饋機制;二是信息部門能否及時修正系統(tǒng)的不足和錯誤。
二、信息系統(tǒng)審計的必要性
20世紀90年代后期至今,會計電算化已逐步走向成熟,而企業(yè)的信息化建設(shè)并沒有就此止步,以ERP、MRP-Ⅱ為代表的企業(yè)信息系統(tǒng)的高度集成逐漸開始興起。這時的企業(yè)信息系統(tǒng)不僅僅是一個孤立的系統(tǒng),而是集財務(wù)、人事、供銷、生產(chǎn)為一體的綜合性的信息系統(tǒng),財務(wù)信息只是這個系統(tǒng)所處理信息的一部分,單獨的財務(wù)系統(tǒng)已不存在。在這種情況下,審計人員只有對整個系統(tǒng)進行全面了解,才能把握審計對象的總體情況,避免審計風險,將審計成果最大化。
從企業(yè)信息化的發(fā)展歷史可以看出,由于審計人員所面臨的審計對象的不斷變化,促使審計方式也隨之改變,信息系統(tǒng)審計便應(yīng)運而生。由于我國的信息系統(tǒng)審計工作尚未完全開展,一些計算機審計的探索與嘗試仍然局限在電子數(shù)據(jù)的采集與處理領(lǐng)域,對信息系統(tǒng)的安全與控制的問題還沒有充分的認識。從邏輯上講,對系統(tǒng)的依賴是現(xiàn)代審計的基本策略,如果被審計對象全面采用計算機化的信息系統(tǒng),而審計人員又沒有對信息系統(tǒng)進行了解和審計,那么這種審計得出結(jié)論的可靠性就要受到質(zhì)疑。政府審計在這方面所面臨的問題日益嚴峻,“不搞計算機審計,我們就會失去審計的資格”已經(jīng)逐漸成為審計界的共識,作為國家審計機關(guān),在規(guī)劃審計工作時應(yīng)意識到這一點,對被審計單位的信息系統(tǒng)進行審計已迫在眉睫。
三、信息系統(tǒng)審計中存在的問題
由于政府信息系統(tǒng)審計還處于探索階段,還存在相當多的問題,需要審計機關(guān)及審計人員進一步去研究、去思考,進而找出解決問題的辦法。
一是審計目標不清晰。審計目標分為總體目標和具體目標。審計的總體目標主要包括被審計單位信息系統(tǒng)的真實、合法、效益,在對系統(tǒng)內(nèi)控及信息系統(tǒng)審計時,要對被審計單位的財務(wù)收支及其經(jīng)濟活動的真實、合法、效益做結(jié)論。然而,在制定具體目標這一層次時,要充分考慮具體行業(yè)的審計目標,金融有金融的,企業(yè)有企業(yè)的,行政事業(yè)有行政事業(yè)的,而且可能每一次審計的重點不一樣,領(lǐng)導(dǎo)要求不一樣,具體目標就會有所不同。在審計實施過程中,部分審計機關(guān)及審計人員不能把握總體審計目標與具體目標的界限,籠統(tǒng)地進行表述,不具備操作性、指導(dǎo)性。
二是審計觀念存在誤區(qū)。合法性為唯一目標發(fā)展的傾向。大部分審計機關(guān)在實施信息系統(tǒng)審計審計時,十分注重查處問題,把結(jié)果最大化,好像只有查找出大案要案,才能證明我們信息化的成果,才發(fā)揮了計算機審計的作用,而忽略運用具體的審計方法。這實際上影響了我們的計算機審計工作,容易產(chǎn)生誤導(dǎo)。筆者認為,信息系統(tǒng)審計不能說合法性審計目標不重要,它絕對重要,但真實性和效益性與它同等重要。因此,在審計過程中,不能僅僅扣住合法性,當成唯一的一個目標。
三是審前調(diào)查和審計測試界限不清。在進行信息系統(tǒng)審計時,大部分審計人員不能分清調(diào)查和測試的概念,進而影響審計質(zhì)量。因為調(diào)查的方法和測試的方法是不一樣的,調(diào)查時候要大量地運用座談、查閱文檔等方法,測試的時候就需要大量地操作數(shù)據(jù)。審前調(diào)查和審計測試界限不清,表明審計人員在信息系統(tǒng)流程上存在很多模糊的認識,以及“拿捏”不準的地方,不能從本質(zhì)上分清調(diào)查、測試、評價的界限,勢必影響信息系統(tǒng)審計的規(guī)范化。
四是對控制的審計有所偏重。筆者認為,信息系統(tǒng)控制包括兩類:一是對系統(tǒng)的控制,二是系統(tǒng)對業(yè)務(wù)的控制。系統(tǒng)控制不嚴密則容易出問題,系統(tǒng)設(shè)置目的是為控制業(yè)務(wù),兩個都很重要,缺一不可。然而,審計機關(guān)大部分信息系統(tǒng)審計更加偏重系統(tǒng)對業(yè)務(wù)的控制,導(dǎo)致審計內(nèi)容不完整,影響審計評價。
四、信息系統(tǒng)審計的發(fā)展策略
㈠建立完備的信息系統(tǒng)審計專業(yè)人才隊伍
政府審計機關(guān)開展信息系統(tǒng)審計,需要一批既掌握現(xiàn)代審計理論知識又了解計算機技術(shù)的復(fù)合型人才,從目前的人員數(shù)量和知識結(jié)構(gòu)上看,還遠遠達不到審計工作目標要求。因此,審計部門要適應(yīng)時代發(fā)展,采取各種方式方法,加強這類人才的培養(yǎng),進一步推動信息系統(tǒng)審計工作的開展。
㈡建立獨立客觀的專家審計系統(tǒng)
專家審計系統(tǒng)是一種以知識為基礎(chǔ)、智能化的計算機軟件系統(tǒng),將專家的知識、經(jīng)驗加以總結(jié),形成規(guī)則,存入計算機建立知識庫,采用合適的控制策略,按輸入的原始數(shù)據(jù)進行推理、演繹,作出判斷。建立專家審計系統(tǒng)能夠大大提高信息系統(tǒng)審計工作的效率,保持審計工作的客觀、公正、獨立。
㈢加強計算機應(yīng)用系統(tǒng)與審計軟件之間的對接
為了節(jié)省審計人員的時間和精力,提高審計工作效率,被審計單位財務(wù)軟件必須進一步改善,建立標準的審計數(shù)據(jù)接口,增加數(shù)據(jù)轉(zhuǎn)換的模塊,使不同格式的數(shù)據(jù)能夠轉(zhuǎn)換成審計需要的格式,為審計軟件系統(tǒng)所識別,設(shè)計相應(yīng)的內(nèi)部控制監(jiān)控子系統(tǒng),以便與審計軟件系統(tǒng)配合使用,實現(xiàn)二者的有機結(jié)合。
㈣適時出臺信息系統(tǒng)操作指南
目前,政府審計機關(guān)關(guān)于信息系統(tǒng)審計的依據(jù)主要有修訂后的《中華人民共和國審計法》、《國務(wù)院辦公廳關(guān)利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》(國辦發(fā)「2001」88號)等文件。這些法律法規(guī)的出臺,給審計部門提供了信息系統(tǒng)審計工作的依據(jù)。但是這些規(guī)定只賦予了審計部門開展信息系統(tǒng)審計的法律保證,至于具體的審計依據(jù)和操作規(guī)程則沒有明確,可操作性不強。筆者認為,國家審計署和財政部應(yīng)進一步加強協(xié)作,適時出臺具體的信息系統(tǒng)審計操作指南和規(guī)程,以便更好的指導(dǎo)審計人員完成工作。
安卓版本:8.7.41 蘋果版本:8.7.40
開發(fā)者:北京正保會計科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點擊下載>
官方公眾號
微信掃一掃
官方視頻號
微信掃一掃
官方抖音號
抖音掃一掃
Copyright © 2000 - m.8riaszlp.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有
京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號