24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

關(guān)于信息系統(tǒng)審計的幾點體會

來源: 薛婷婷 編輯: 2008/08/06 17:48:11  字體:

  為保證審計質(zhì)量,從本世紀初開始,信息系統(tǒng)審計作為一種全新的審計思維和審計方式越來越收到重視。所信息系統(tǒng)審計,是指通過收集和評價審計證據(jù),對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使單位的目標得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。在審計中,信息系統(tǒng)審計關(guān)注的重點為系統(tǒng)是否存在不安全或不穩(wěn)定的因素,防止公司的財務(wù)和業(yè)務(wù)數(shù)據(jù)出現(xiàn)失真。

  在我國的審計實踐中,信息系統(tǒng)審計成果似乎并明顯,原因主要是目前存在以下三大困難:一是審計人員難以在短時間內(nèi)透徹了解被審計單位的信息系統(tǒng)。一般來說,信息系統(tǒng)有通用和定制兩種。通用的信息系統(tǒng)多用于小型的數(shù)據(jù)管理,由專業(yè)的軟件公司開發(fā)后打包在市場銷售,被審計單位人員僅僅是使用者,審計人員無法獲得開發(fā)設(shè)計的細節(jié);而定制的系統(tǒng)多用于大型的數(shù)據(jù)管理,由軟件公司或內(nèi)部的開發(fā)部門根據(jù)企業(yè)的應(yīng)用量身定做,這類系統(tǒng)技術(shù)文檔和技術(shù)支持比較完善,但是由于系統(tǒng)過于龐大,細節(jié)設(shè)計過于復(fù)雜,審計人員在有限的審計時間內(nèi)難以對系統(tǒng)進行評估。二是難以發(fā)現(xiàn)系統(tǒng)內(nèi)的瑕疵。從表面看,信息系統(tǒng)的各項令人眼花繚亂的模塊好像都很正常,無論是從開發(fā)文檔還是操作手冊都不會直接列出系統(tǒng)的瑕疵,而且在現(xiàn)場審計中,審計人員一般不允許對正在運行的系統(tǒng)進行測試,較難識別系統(tǒng)的問題。三是難以評估系統(tǒng)瑕疵所導(dǎo)致的后果。在審計實踐中,即使審計人員發(fā)現(xiàn)了信息系統(tǒng)的瑕疵,但是未發(fā)現(xiàn)該瑕疵導(dǎo)致的已經(jīng)存在的后果,常常使得審計結(jié)論缺乏直接證據(jù)。

  雖然信息系統(tǒng)審計面對以上諸多難題,但是筆者認為審計人員可以打破常規(guī),從以下幾個方面創(chuàng)造性地開展審計工作。

  首先,審計人員可以通過整體評價被審計單位的信息系統(tǒng)重要性的基礎(chǔ)上,確定審計重點。為了提高信息系統(tǒng)審計的效率,選取的系統(tǒng)最好滿足下列條件:屬于被審計單位的核心業(yè)務(wù)或財務(wù)系統(tǒng),系統(tǒng)數(shù)據(jù)的真實性和完整性對被審計單位的安全生產(chǎn)和損益核算有著直接影響,同時要求該系統(tǒng)有著完整的技術(shù)文檔,最好能夠獲得數(shù)據(jù)庫管理員和系統(tǒng)開發(fā)公司維護人員的支持。當然,如果系統(tǒng)功能很簡單,可不受上述條件限制。

  其次,審計人員應(yīng)用內(nèi)控測試和數(shù)據(jù)審計兩種方式對選定的系統(tǒng)進行分析,一般能迅速找出信息系統(tǒng)存在的瑕疵,尤其是人為舞弊的線索。

  1.信息系統(tǒng)的內(nèi)部控制測試。審計人員在了解系統(tǒng)業(yè)務(wù)處理流程的基礎(chǔ)上對信息系統(tǒng)進行內(nèi)控測試,然后作出風(fēng)險評價。根據(jù)COSO發(fā)布的《內(nèi)部控制-整體框架》,內(nèi)控測試主要包含四個方面的內(nèi)容:對控制環(huán)境的測試、對風(fēng)險的評估、對信息與溝通的測試和對監(jiān)督的測試。在進行信息系統(tǒng)審計時,可以對目標系統(tǒng)的上述四個方面對系統(tǒng)進行測試評價,測試目的:

 ?。?)控制環(huán)境管理層的技術(shù)和管理水平合格的系統(tǒng)管理層人員需要有技術(shù)和業(yè)務(wù)的雙重背景,可以組織系統(tǒng)的運行升級和處理突發(fā)的意外情況。否則,容易出現(xiàn)系統(tǒng)不能良好地支持業(yè)務(wù)運行等情況。

  (2)維護和操作人員的技術(shù)水平系統(tǒng)的維護和操作人員需要有可以完成工作職責(zé)的技術(shù)水平,否則容易出現(xiàn)系統(tǒng)無法推廣和各種意外頻出等情況。

 ?。?)組織結(jié)構(gòu)及職權(quán)與責(zé)任分配不恰當?shù)穆殭?quán)分配容易給人為篡改數(shù)據(jù)及越權(quán)操作提供便利。

  同時,分析系統(tǒng)的組織結(jié)構(gòu)可以確定審計的重點位于集團公司的哪個層面。

 ?。ǎ保┢髽I(yè)高層的重視程度企業(yè)高層重視系統(tǒng)才能獲得足夠的資源;

  (2)與系統(tǒng)有關(guān)人員的誠信和道德價值水平該指標評估人員是否有影響系統(tǒng)真實性和安全性的動機;

  (3)對信息與溝通的測試目標系統(tǒng)與其它系統(tǒng)之間的數(shù)據(jù)傳輸關(guān)系了解系統(tǒng)所處的位置;

 ?。ǎ矗┫到y(tǒng)所記錄的信息在企業(yè)內(nèi)部和外部的傳輸情況了解信息使用的情況;

 ?。ǎ担ΡO(jiān)督的測試內(nèi)部和外部審計部門的信息系統(tǒng)審計為評價系統(tǒng)的可靠性搜集資料;

 ?。ǎ叮┫到y(tǒng)安全性和真實性的檢查頻率和力度;

 ?。ǎ罚︼L(fēng)險的評估分析系統(tǒng)所支持的業(yè)務(wù)流程從業(yè)務(wù)的角度找出影響系統(tǒng)安全性和完整性的因素;

 ?。ǎ福┱页鲲L(fēng)險的關(guān)鍵控制點作為下一步審計的重點;

 ?。ǎ梗﹫?zhí)行各種測試手段。如:穿行測試、繪制風(fēng)險控制矩陣等。

  2.由計算機輔助審計得出的異常數(shù)據(jù)結(jié)果來分析信息系統(tǒng)所存在的問題。計算機輔助審計是一種常用的審計手段,通過它對各種數(shù)據(jù)進行分析,然后根據(jù)數(shù)據(jù)的分析結(jié)果追尋被審計單位信息系統(tǒng)存在的問題。在審計人員發(fā)現(xiàn)被審計單位的信息系統(tǒng)中的數(shù)據(jù)存在不真實、不完整的情況時,可以從信息系統(tǒng)的角度進一步了解導(dǎo)致數(shù)據(jù)問題的原因,一般采用追根溯源的辦法,將問題層層分類。如系統(tǒng)數(shù)據(jù)不真實或不準確,一般可能存在設(shè)計或操作兩方面的原因。就設(shè)計方面而言,既有考慮不周所致,也有故意預(yù)留后門的情形,針對其實際原因,分別采用相應(yīng)的對策,或改進設(shè)計,或關(guān)閉后門并追究相關(guān)人員責(zé)任;對于操作方面而言,也存在工作疏忽、越權(quán)操作和蓄意偽造等多方面原因,可以針對性地采用批評教育、完善制度和追究人員責(zé)任進行懲戒等方式予以整改

  第三,根據(jù)已經(jīng)發(fā)現(xiàn)的問題,對系統(tǒng)進行延伸,進一步追查系統(tǒng)存在問題所引致財務(wù)收支失真等方面的問題。

  筆者在審計實踐中,應(yīng)用上述方法實施了對B通訊公司的信息系統(tǒng)審計,效果良好。在開始系統(tǒng)審計前,對B通訊公司正在使用的數(shù)十個信息系統(tǒng)進行逐一排查后,決定對計費系統(tǒng)實施審計,主要基于兩點重要原因:

  一是該計費系統(tǒng)屬于B公司的核心業(yè)務(wù)信息系統(tǒng)。主要功能是對B公司多種通訊業(yè)務(wù)計費、批價及按客戶匯總,并結(jié)合客戶使用的套餐計算出每個客戶當月的應(yīng)交費金額,而后登記實際交費金額。在每月月結(jié)之后,計費系統(tǒng)按照會計科目的口徑自動匯總計算本月財務(wù)應(yīng)計收入金額和實收金額,再通過接口程序自動傳輸?shù)截攧?wù)系統(tǒng)中生成記帳憑證并核算主營業(yè)務(wù)收入。由于計費系統(tǒng)是B公司核算收入的主要依據(jù),它的真實性和完整性對B公司的損益計算非常重要。

  二是該計費系統(tǒng)是某軟件公司為B公司定制的信息系統(tǒng),該軟件公司一直對其進行維護升級,對計費系統(tǒng)的設(shè)計細節(jié)較為清楚,有利于審計工作的開展。

  在對計費系統(tǒng)進行內(nèi)控測試時,很快就發(fā)現(xiàn)了如下疑點:第一,計費系統(tǒng)的組織結(jié)構(gòu)和職權(quán)分配存在不妥之處。計費系統(tǒng)的大部分運營管理工作都在分公司層面,母公司并未對分公司的計費操作進行直接管理,且分公司擁有計費系統(tǒng)所有管理權(quán)限。第二,B公司管理層可能存在誠信問題。幾年前,B公司就提出了很高的收入目標。近幾年由于市場競爭激烈,B公司的市場份額不斷縮小,產(chǎn)品單位售價不斷降低,但收入額卻沒有降低。同時,由于收入完成情況優(yōu)秀,管理層還獲得了提職。第三,計費系統(tǒng)接受的檢查監(jiān)督過少。近兩年,B公司的上級IT部門未針對計費系統(tǒng)的真實性進行過檢查,僅有一家會計事務(wù)所對其進行過評估,未發(fā)現(xiàn)明顯風(fēng)險點。第四,B公司的計費系統(tǒng)管理員對所管理的數(shù)據(jù)庫的數(shù)據(jù)結(jié)構(gòu)非常熟悉,能清晰知曉多個計費系統(tǒng)的設(shè)計細節(jié),不符合信息系統(tǒng)設(shè)計和操作職責(zé)分離的要求。

  由于計費系統(tǒng)設(shè)計復(fù)雜,僅各類套餐就達上百個,決定對計費系統(tǒng)數(shù)據(jù)開展了計算機輔助審計,審計發(fā)現(xiàn)B公司近幾年一直存在虛增收入的情況。此時,開展信息系統(tǒng)審計的條件已經(jīng)成熟,審計組以數(shù)據(jù)審計為突破口,檢查計費系統(tǒng)各個處理流程,發(fā)現(xiàn)B公司的計費系統(tǒng)存在嚴重的系統(tǒng)漏洞,數(shù)據(jù)庫管理人員可以繞開數(shù)據(jù)庫中各種校驗和限制措施,虛列數(shù)據(jù)。從2005年起,B公司為了完成收入考核目標,其市場部和技術(shù)中心聯(lián)合改動計費系統(tǒng)的數(shù)據(jù),達到虛增收入的目的,年虛增幅度最高達12%。

  由上面的例子可以看出,信息系統(tǒng)審計作為一種全新的審計手段和審計理念,可以較好地從信息系統(tǒng)的角度發(fā)現(xiàn)舞弊問題和內(nèi)控漏洞,使得審計內(nèi)容不斷豐富完整,較好降低審計風(fēng)險。審計人員只要敢于嘗試,在當前信息化條件下的審計實踐中,其成效十分顯著。

實務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - 8riaszlp.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號