信息系统审计的内容、范围、流程和策略的探讨.doc

信息系统审计的内容、范围、流程和策略的探讨吴本长 谢岗 吴斌 赵承康安徽电力公司课题组 国际信息系统审计委员会（ISACA）在1996年对信息系统审计定义为：信息系统审计是为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导层，提出问题与建议的一连串的活动。由此可以看出，信息系统审计所关注的内容不单纯是对电子数据的处理，更不仅仅是财务信息，而是对企业整个信息系统的可靠性、安全性进行了解和评价，是一项通过审查与评价信息系统的规划、开发、实施、运行和维护等一系列活动，以确定信息系统运行是否安全、可靠、有效，信息系统得出的数据是否可靠准确以及数据是否能有效的存储的过程。一、信息系统审计的内容和特点 国际信息系统审计协会规定了信息系统审计主要内容： 1信息系统审计程序。依据信息系统审计标准、准则和最佳实务等提供信息系统审计服务，以帮助组织确保其信息技术和运营系统得到保护并受控； 2. IT治理（信息技术治理）。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务，以达到公司治理中对IT 方面的要求； 3.系统和基础建设生命周期管理。系统的开发、采购、测试、实施、维护和配置、使用，与基础框架，确保实现组织的目标； 4. IT 服务的交付与支持。IT 服务管理实务可确保提供所要求的等级、类别的服务，来满足组织的目标； 5. 信息资产的保护。通过适当的安全体系（如安全政策、标准和控制），保证信息资产的机密性、完整性和有效性； 6. 灾难恢复和业务连续性计划。一旦连续的业务被中断或破坏，灾难恢复计划确保灾难对业务影响最小化的同时，及时恢复被中断的IT 服务。 从信息系统审计的上述定义和内容，可以看出，信息系统审计除了传统审计所具有的特性外，还具有以下几个专有特点： 1、审计的所有领域将全面运用现代信息技术。这就是在审计的理论研究、实务工作、管理模式、知识构等方面都将运用现代信息技术，使技术与审计高度融通，大大提高审计的工作质量和效率。在实务工作方面，要使审计工作面向计算机内在审计和使用计算机审计转变；审计人员不再只依赖于纸张记录的会计数据而大部分或全部依赖于磁盘、光盘等介质记录的电子数据，或直接从网络下载的子数据，诸如电子商务之类；审计底稿和审计证据及有关审计档案也全部电子化；审计工作将从定期的现场审转向实时或定时的在线网络审计，即通过网络分散和连续抽取证据进行审计。在管理模式上，要利用现代信技术来管理责任与风险俱在的审计行业。知识结构上，审计人员除了掌握传统审计的基本知识外，还应掌握计算知识及其应用技术、数据处理和管理技术，掌握现信息技术的应用等；不仅要会操作审计软件，而且要能根据需要编写出测试审查程序；使所审计人员都应成为完全意义上的IT审计人员。 2、信息数据安全性、可靠性是IT审计的特点。在会计信息化条件下，企业所提供的最主要的会计信息将是各种明细信息，因此，审计的工作重点是验证信息的真实可靠性，以及审核进入外网络的明细信息的安全性。企业内部形成的明细信息的真实可靠性如何，取决企业会计信息化系统内部控制的强弱程度，而审计人员主要工作将是证实从数据库存取信息的可靠性。为此，应当侧重于验证机内原始凭证数据是否真实可靠，会计凭证数据库的存取是否得当，以及这些数据被不留痕迹修改的风险有多大等问题。对于进入外部网的明细信息，必须通过对整个系统的网络进行安全控制以保证此信息的安全性。在会计信息化条件下，必须对会计信息进行连续审计，这种审计不仅应延伸到进入企业内部网络的明细信息，而且应延伸到进入外部网络系统的详细信息。 3、计算机专家参与审计工作。在会计信息化环境下，审计工作所面临的会计系统非常复杂，对审计人员的信息技术掌握程度要求非常高，审计人员必须充分利用计算机专家的专业能力进行审计工作。需要计算机专家参与的工作是深层次的、与技术高度融合的审计工作，如数据库的分析评价、网络系统的健全评价、实时监控和审计软件的开发、信息系统应用软件审计等。这些工作，单纯依靠审计人员是难以完成的。审计人员在开展实质性工作前，应与计算机专家交流并拟定专家工作的项目和收集、评价审计证据的索引，以便能充分利用计算机专家的工作结果进行审计判断。 4、审计的覆盖面将扩大。在会计信息化环境下，审计的对象是以计算机为手段的信息处理系统，这是信息系统审计区别于其他审计的标志，同时这也表明不仅会计信息是审计的对象，其他计算机信息处理系统如企业人力资源管理子系统等也是审计的对象。 5、对审计人员的素质要求提高。在会计信息化条件下，由于审计线索的变化、内部控制的变化、审计对象和内容的扩大及审计方法的变化，决定了对审计人员要求的提高。审计人员必须从传统的审计时空观转换为信息化条件下的电子时空观，具体表现为审计人员进行审计时不再局限于传统纸张上的书面数据，也不局限于会计系统，而是部分或全部依赖于电子数据。同时，审计人员除了掌握传统审计的基本知识外，还应掌握计算机知识及其应用技术，掌握数据处理和管理技术，掌握现代信息技术的应用；不仅要会操作审计软件，而且要能根据需要编写出各种测试审查程序模块。二、信息系统审计的工作流程 信息系统审计过程与一般审计过程一样，分为准备阶段、实施阶段、报告阶段以及后续审计阶段。其中，准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大，而实施阶段所涉及的技术方法则具有信息技术的特色。各阶段的审计的内容主要如下：（一）准备阶段 准备阶段主要是初步调查被审计单位会计信息系统的基本情况，并拟定合理的计划。一般包括以下主要工作：1、调查了解被审计单位会计信息系统的基本情况，如会计信息系统的硬件配置、系统软件的选用、应用软件的范围、网络结构、系统的管理结构和职能分工以及文档资料等。2、与被审计单位明确会计责任和审计责任以及双方的权利、义务和职责等。3、初步评价被审计单位的内部控制制度，以便确定符合性测试的范围和重点。4、确定审计重要性、确定审计范围。5、分析审计风险。6、制定审计方案。 在审计计划阶段，除了对时间、人员、工作步骤以及任务分配等方面做出安排以外，还要合理确定符合性测试、实质性测试的时间和范围，以及测试的审计方法和测试数据。（二）实施阶段 实施阶段使审计工作的核心，也是会计信息系统审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法，进行取证、评价、综合审计证据，形成审计结论，发表审计意见。实施阶段主要工作应包括以下两个方面：1、符合性测试 符合性测试是以系统的安全可靠性的检查结果为前提。如果系统安全可靠性非常差，不能让审计人员信赖，则应当根据实际情况决定是否取消内部控制的符合性测试，而直接进行实质性测试并加大实质性测试的样本量。在会计信息系统的符合性测试项目中，主要内容应该是确认输入资料是否正确完整，计算机处理过程是否符合要求。如果系统安全可靠性比较高，则应对该系统给与较高的信赖，在实质性测试时，就可以相应的减少实质性测试的样本量。2、实质性测试 实质性测试应该是对被审计单位会计信息系统的程序、数据、文件进行测试，并根据测试结果进行评价和鉴定。进行实质性测试时需要依赖符合性测试的结果。如果符合性测试结果得出的审计风险偏高，而且被审计单位有可能利用会计信息系统进行舞弊的动机与可能，且又不能提供完整的会计文字资料，此时应该发表保留意见或拒绝表达意见的审计报告。在实质性测试时，可考虑采用通过计算机进行审计的方法，具体包括：（1）数据测试法，即将测试数据或模拟数据分别由审计人员经手工核算和被审计单位会计信息系统进行处理比较处理结果，做出评价。（2）受控处理法即选择被审计单位一定时期的实际业务数据分别由审计人员和会计信息系统同时处理，比较结果，做出评价。3、利用辅助审计软件直接在会计信息系统下进行数据转换，数据查询，抽样审计，查账，账务分析测试等，得出结论，做出评价。（三）审计结论和执行阶段 审计人员对会计信息系统进行符合性测试和实质性测试后，整理审计工作底稿，编制审计报告时，除对被审计单位会计报表的合理性、公允性和一贯性发表审计意见，做出审计结论外，还要地被审计单位的会计信息系统的处理功能和内部控制进行评价，并提出改进意见。审计报告完成后，先要征求被审计单位的意见。审计报告一经审定，所作的审计结论需通知并监督被审计单位执行。（四）异议和复审阶段 被审计单位对审计结论如有异议，可提出复审要求。审计部门可组织复审结论和决定。特别是被审计单位会计信息系统有了新的改进时，还需要组织后续审计。三、信息系统审计的内容和重点审计环节 会计信息系统审计是由会计数据体系、计算机硬件和软件以及系统工作和维护人员组成，所以会计信息系统的审计内容与传统的手工会计系统也存在着较大的差别。会计信息系统审计主要包括以下内容：1、对内部控制进行审计 一方面是企业的内部控制能在多大程度上确保会计信息系统中会计记录的正确性和可靠性，如输入、输出的授权控制，业务受理的审核等。另一方面是内部控制的有效执行能在多大程度上保护资产的完整性。通过以上两方面的评价，可以判断企业内部控制系统能在多大程度上防止或发现会计报表中的错误以及经营过程的舞弊。2、对会计信息系统程序的审计 会计信息系统的核心就是会计软件。会计软件程序质量的高与低直接决定了会计信息系统整体水平的高低。审计的主要内容是审计会计软件程序对数据进行处理和控制的及时性、正确性和可靠性，以及程序的纠错能力和容错能力。会计软件程序的审计可通过计算机审计的方法以及利用计算机辅助审计数据转换的功能来完成。3、对会计数据的审计 会计数据处理的真实性、正确性、可靠性直接影响会计信息的真实性、正确性、可靠性，所以会计数据的审计是至关重要的。审计人员可采用抽查原始凭证与机内凭证相对比，抽查打印日记账与机内日记账相核对等方法，同时也可采用利用计算机辅助审计软件的功能来完成审计，从而降低审计风险4、对会计信息系统开发质量的审计 会计信息系统是一项系统工程，主要包括系统分析、系统设计、系统实施以及系统维护等。会计信息系统的纸来、运行水平，一方面依赖于日常的管理和维护，另一方面也取决于会计信息系统开发过程的质量。 对会计信息系统审计，应关注三个重点环节： 1.数据环节 在审计中，必须使用一种方法能够向前、向后追踪单个交易和资产记录，以便使审计人员选择一些交易对其进行详细检查，确认交易记录是否符合一般的审计目标。如对会计事项信息的检查，要检查它的完整性、时效性、合规性和信息披露等方面，检查内容包括与本会计年度有关的交易是否全部记录在册；所有记录的交易是否都是合理发生的并与本会计年度有关；记录的交易是否数据准确，计算无误：记录的交易是否符合基本的和辅助的法律规定，符合特定权威机构的要求；对记录的交易是否进行正确的分类，并符合信息对外披露的要求等。对财务报表信息的检查，要检查完整性、存在性、会计计量、所有权以及信息披露等方面，检查内容包括是否记录了所有的资产和负债：所有记录的资产和负债是否都是存在的；对资产和负债的计量是否精确，计算方法是否符合按合理性、一致的标准制定的会计政策的要求：确认资产是被审主体所有的、负债是被审主体应该承担的，并且资产和负债是否由合法的经济活动产生的；资产、负债、资本和存货是否都得到正确的披露。同时对信息系统提供的业务信息也要进行分析，例如每月的工资总数、某阶段的付款清单和订货信息等，要弄清基本的交易情况，并一直追踪到信息源。对上述信息的分析可以采用计算机辅助审计技术，按照特定的标准对数据进行汇总、分类、排序、比较和选择，并进行各种运算。 2.内部控制环节 内部控制一般而言是指组织经营管理者为了维护财产物资的安全、完整，保证会计信息的真实、可靠，保证经营管理活动的经济性、效率性和效果性以及各项法律和规范的遵守，而对经营管理活动进行调整、检查和制约所形成的内部管理机制，是组织为实现管理目标而形成的自律系统。计算机系统的内部控制主要分为应用控制、一般控制和管理控制等三个方面，在审计过程中要对被审计单位内控制度进行评价，包括电算化系统的内控制度。为了对系统的内控制度进行评价，审计人员必须验证内部控制系统是否存在，并能提供令人满意的证据，证明它正在有效地发挥作用。在计算机系统中，应检查以下方面来证明内控制度的有效性：(1)控制系统资源的存取。包括物理资源，例如终端、服务器、连接盒、相关文档等；还包括逻辑资源，如软件、系统文件和表、数据等。(2)控制系统资源的使用。用户应该只能对授权给他们的那些资源进行操作。(3)建立按用户职能分配资源的制度。把重要的任务功能按用户或用户组进行分离，以减少无意的误操作、滥用系统资源和对数据的非授权修改。(4)记录系统的使用情况。按时间顺序建立一个使用记录，记录内容应包括例外事例和与安全有关的事件是由谁触发的，财务信息的创建、修改和删除是由谁完成的。(5)确认处理过程的准确性。用产生财务控制信息，确认处理过程的准确完成。(6)管理人员对财务信息系统的修改。应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底(独立地)测试的，确认最后以一种有控制的方式投入使用。(7)保护财务信息系统免遭计算机病毒的袭击。必须建立一套控制措施，检测病毒，防止病毒感染财务信息系统。 3.数据传输转移环节 在信息系统中，有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移，在此过程中可能会出现一些问题，尤其是在需要手工重新录入时。因此在审计时要重点关注以下方面：在转移过程中数据可能会发生变化；新的科目代码表与老的可能不一样，需要在两个财务信息系统之间建立复杂的对应关系：中心数据库可能被一些地理上分散的服务器取代；当前财务信息系统中的数据质量不佳；当用一个总的信息系统取代一个预定财务信息系统时，需要补充许多新的数据。在检查这一环节时，一定要保证输出的消息是经过批准、完整和精确的，保证输出的消息在约定时间内准确地发送给指定的接收者，保证流人的消息是完整、准确和真实可靠的。四、信息系统审计的风险以及策略 在信息系统审计条件下，审计面临着新的风险，主要有以下几个方面： (1)篡改数据,不留审计线索。在网络环境中,数据的电子化并以磁介质为主要存储载体,这为舞弊者对原始数据进行非法修改和删除,且不留篡改痕迹成为可能,这将无法保证数据的完整性和真实性,给审计监督带来了风险。 (2)信息丢失。主要有三种原因:一是运行间的断电和死机等故障;二是计算机病毒破坏;三是人为的毁损。 (3)黑客侵入和数据失窃。计算机黑客为了获取重要的商业秘密、数据资源经常用IP地址欺骗攻击网络系统。黑客伪装为源自内部主机的一个外部站点,利用一定的技术进入目标系统窃取或破坏数据。 (4)职责分离不恰当引起内控失灵。在网络环境下如果对数据维护、系统管理和数据输入、数据核对确认等岗位不作适当的分离,就会有人利用网络的弱点故意修改数据、舞弊或窃取秘密信息从中捞取利益。 审计风险的防范和控制为了有效地降低网络审计风险,就必须采取相应的防范和控制措施,具体为: 1、加强审计软件的开发。对信息系统审计，如果仍然采用常规的手工系统的那一套审计技术与方法，很难达到审计的目的。由于审计的范围已经扩大到会计信息系统及其它计算机信息处理系统，迫使审计人员在采用传统的各种审计技术的同时，采用计算机辅助审计技术，用日益先进的计算机审计软件去对付单机、网络、多用户等各种工作平台下的会计软件。审计软件是大量审计方法的技术的集成，一般包括内部控制评价、审计计划管理、数据转换、抽样审计、实质性测试、会计报表生成、审计底稿打印和管理，审计证据归集和评价，审计报告生成等功能。为适应会计信息化环境下的各种财务软件的发展，我们必须要提高开发审计软件的速度，加快审计软件更新换代的步伐，开发通用审计软件和专用审计软件，还可以引进计算机审计软件的技术，组织对有推广价值的审计软件进行评审，促进审计软件的商品化。同时，要强化审计人员对数据库程序的学习，直接对数据库中的数据进行采集和转换，利用查询语句对财务数据进行分析和整理，完成审计任务，这样就能从根本上上摆脱财务软件升级或有意识改动带来的束缚，克服审计工作中存在的各种技术。 2、提高审计风险的防范能力。随着网络系统地运用，信息的载体已经由纸介质过渡到磁性介质。磁性介质的保存有较高的要求，易受到高温、磁性物质、剧烈震动的影响。因此，档案保存的风险还很大，而且这种存储媒体是易变的，通过信息技术容易被访问和滥用，犯罪人员可以通过获取口令或非法访问数据库中的所有数据，是存储的信息数据易受舞弊犯罪人员（黑客）的攻击。这些都增加了审计风险。因此必须采取积极措施进行分险防范，如建立一个在监管部门严格监控下的网络财务信息强制存档制度，可以牵制网上财务信息的披露，这样既可以提高工作效率，又可以降低审计风险，制定各种严格的风险防范规章制度进行规范，包括网络管理规定、系统运行中的安全保密规定、会计核算软件运行管理规定、计算机软件开发的规定等。此外还可以通过加强企业的内部控制保护企业的安全，保证会计信息的准确性和可维护性。完善的内部控制可有效的降低审计风险。通过充分利用防火墙和加密技术，制定具体的防病毒制度并定期组织全系统的防毒检查，可防范病毒和“黑客”入侵，从而降低审计的风险。 3、加强审计专业人员的培养。会计信息化使审计的范围不断扩大，给审计人员带来了巨大的压力。国际审计准则15号规定，在电子数据处理环境下进行审计时，审计人员应对审计系统的计算机硬件、软件和处理系统有充分了解，以进一步对委托审计的条件做出计划并了解电子数据处理对内部控制的研究与评估的影响和需采用的审计程序，包括计算机辅助审计软件的应用。这对我国当前审计人员知识结构不完整的现状是一个巨大的挑战。因此，审计机构从现在开始就应注重多渠道对