关于信息系统审计的几点体会(1)

1、关于信息系统审计的几点体会(1)为保证审计质量，从本世纪初开始，信息系统审计作为一种全新的审计思维和审计方式越来越收到重视。所信息系统审计，是指通过搜集和评价审计证据，对信息系统是否可以保护资产的平安、维护数据的完好、使单位的目的得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。在审计中，信息系统审计关注的重点为系统是否存在不平安或不稳定的因素，防止公司的财务和业务数据出现失真。 在我国的审计理论中，信息系统审计成果似乎并明显，原因主要是目前存在以下三大困难：一是审计人员难以在短时间内透彻理解被审计单位的信息系统。一般来说，信息系统有通用和定制两种。通用的信息系统多用于小型的数据

2、管理，由专业的软件公司开发后打包在市场销售，被审计单位人员仅仅是使用者，审计人员无法获得开发设计的细节；而定制的系统多用于大型的数据管理，由软件公司或内部的开发部门根据企业的应用量身定做，这类系统技术文档和技术支持比较完善，但是由于系统过于庞大，细节设计过于复杂，审计人员在有限的审计时间内难以对系统进展评估。二是难以发现系统内的瑕疵。从外表看，信息系统的各项令人眼花缭乱的模块好似都很正常，无论是从开发文档还是操作手册都不会直接列出系统的瑕疵，而且在现场审计中，审计人员一般不允许对正在运行的系统进展测试，较难识别系统的问题。三是难以评估系统瑕疵所导致的后果。在审计理论中，即使审计人员发现了信息系

3、统的瑕疵，但是未发现该瑕疵导致的已经存在的后果，常常使得审计结论缺乏直接证据。虽然信息系统审计面对以上诸多难题，但是笔者认为审计人员可以打破常规，从以下几个方面创造性地开展审计工作。首先，审计人员可以通过整体评价被审计单位的信息系统重要性的根底上，确定审计重点。为了进步信息系统审计的效率，选取的系统最好满足以下条件：属于被审计单位的核心业务或财务系统，系统数据的真实性和完好性对被审计单位的平安消费和损益核算有着直接影响，同时要求该系统有着完好的技术文档，最好可以获得数据库管理员和系统开发公司维护人员的支持。当然，假设系统功能很简单，可不受上述条件限制。其次，审计人员应用内控测试和数据审计两种方

4、式对选定的系统进展分析，一般能迅速找出信息系统存在的瑕疵，尤其是人为舞弊的线索。1.信息系统的内部控制测试。审计人员在理解系统业务处理流程的根底上对信息系统进展内控测试，然后作出风险评价。根据COSO发布的?内部控制整体框架?，内控测试主要包含四个方面的内容：对控制环境的测试、对风险的评估、对信息与沟通的测试和对监视的测试。在进展信息系统审计时，可以对目的系统的上述四个方面对系统进展测试评价，测试目的：1控制环境管理层的技术和管理程度合格的系统管理层人员需要有技术和业务的双重背景，可以组织系统的运行晋级和处理突发的意外情况。否那么，容易出现系统不能良好地支持业务运行等情况。2维护和操作人员的技

5、术程度系统的维护和操作人员需要有可以完成工作职责的技术程度，否那么容易出现系统无法推广和各种意外频出等情况。3组织构造及职权与责任分配不恰当的职权分配容易给人为篡改数据及越权操作提供便利。同时，分析系统的组织构造可以确定审计的重点位于集团公司的哪个层面。企业高层的重视程度企业高层重视系统才能获得足够的资源；与系统有关人员的诚信和道德价值程度该指标评估人员是否有影响系统真实性和平安性的动机；对信息与沟通的测试目的系统与其它系统之间的数据传输关系理解系统所处的位置；系统所记录的信息在企业内部和外部的传输情况理解信息使用的情况；对监视的测试内部和外部审计部门的信息系统审计为评价系统的可靠性搜集资料；

6、系统平安性和真实性的检查频率和力度；对风险的评估分析系统所支持的业务流程从业务的角度找出影响系统平安性和完好性的因素；找出风险的关键控制点作为下一步审计的重点；执行各种测试手段。如：穿行测试、绘制风险控制矩阵等。2.由计算机辅助审计得出的异常数据结果来分析信息系统所存在的问题。计算机辅助审计是一种常用的审计手段，通过它对各种数据进展分析，然后根据数据的分析结果追寻被审计单位信息系统存在的问题。在审计人员发现被审计单位的信息系统中的数据存在不真实、不完好的情况时，可以从信息系统的角度进一步理解导致数据问题的原因，一般采用追根溯源的方法，将问题层层分类。如系统数据不真实或不准确，一般可能存在设计或

7、操作两方面的原因。就设计方面而言，既有考虑不周所致，也有成心预留后门的情形，针对其实际原因，分别采用相应的对策，或改进设计，或关闭后门并追究相关人员责任；对于操作方面而言，也存在工作忽略、越权操作和蓄意伪造等多方面原因，可以针对性地采用批评教育、完善制度和追究人员责任进展惩戒等方式予以整改第三，根据已经发现的问题，对系统进展延伸，进一步追查系统存在问题所引致财务收支失真等方面的问题。笔者在审计理论中，应用上述方法施行了对B通讯公司的信息系统审计，效果良好。在开始系统审计前，对B通讯公司正在使用的数十个信息系统进展逐一排查后，决定对计费系统施行审计，主要基于两点重要原因：一是该计费系统属于B公司

8、的核心业务信息系统。主要功能是对B公司多种通讯业务计费、批价及按客户汇总，并结合客户使用的套餐计算出每个客户当月的应交费金额，而后登记实际交费金额。在每月月结之后，计费系统按照会计科目的口径自动汇总计算本月财务应计收入金额和实收金额，再通过接口程序自动传输到财务系统中生成记帐凭证并核算主营业务收入。由于计费系统是B公司核算收入的主要根据，它的真实性和完好性对B公司的损益计算非常重要。二是该计费系统是某软件公司为B公司定制的信息系统，该软件公司一直对其进展维护晋级，对计费系统的设计细节较为清楚，有利于审计工作的开展。在对计费系统进展内控测试时，很快就发现了如下疑点：第一，计费系统的组织构造和职权

9、分配存在不妥之处。计费系统的大部分运营管理工作都在分公司层面，母公司并未对分公司的计费操作进展直接收理，且分公司拥有计费系统所有管理权限。第二，B公司管理层可能存在诚信问题。几年前，B公司就提出了很高的收入目的。近几年由于市场竞争剧烈，B公司的市场份额不断缩小，产品单位售价不断降低，但收入额却没有降低。同时，由于收入完成情况优秀，管理层还获得了提职。第三，计费系统承受的检查监视过少。近两年，B公司的上级IT部门未针对计费系统的真实性进展过检查，仅有一家会计事务所对其进展过评估，未发现明显风险点。第四，B公司的计费系统管理员对所管理的数据库的数据构造非常熟悉，能明晰知晓多个计费系统的设计细节，不符合信息系统设计和操作职责别离的要求。由于计费系统设计复杂，仅各类套餐就达上百个，决定对计费系统数据开展了计算机辅助审计，审计发现B公司近几年一直存在虚增收入的情况。此时，开展信息系统审计的条件已经成熟，审计组以数据审计为打破口，检查计费系统各个处理流程，发现B公司的计费系统存在严重的系统破绽，数据库管理人员可以绕开数据库中各种校验和限制措施，虚列数据。从2005年起，B公司为了完成收入考核目的，其市场部和技术中心结合改动计费系统的数据，到达虚增收入的目的，年虚增幅度最高达12。由上面的例子可以