党政企事业单位信息系统审计与实践

罗明

［摘要］ 近年来，随着社会对信息系统的依赖性普遍增强，利用计算机犯罪的案件也不断增加，越来越多的人认识到了信息系统审计的重要性。本文主要对信息系统审计的概念、必要性及实践做了简要介绍，重点阐述了信息系统审计的步骤和方法。

［关键词］ 审计；信息系统；计算机；管理

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 19. 018

［中图分类号］F239.1［文献标识码］A［文章编号］1673 - 0194（2012）19- 0028- 03

随着网络技术、计算机技术和通信技术突飞猛进的发展，基于通信技术、计算机技术和网络技术的信息系统在政治、经济、军事等领域得到了日益广泛的应用。各种大数据集成应用平台应运而生，政府、企事业单位会计电算化的普及、ＥＲＰ和综合业务管理平台的应用，优化了工作模式，创新了工作思路，提高了工作效率。与此同时，信息系统的安全、可靠、稳定、有效、可信显得更加重要，在这种环境下，审计人员如果仍只是对被审计单位计算机、财务软件中保存、运行的数据进行计算、核对，很可能形成信息化条件下的“假账真查”。于是信息系统审计应运而生，充实和完善了新形势下的审计内容与方法。

1信息系统审计的定义

目前关于信息系统审计还没有一个统一的定义，国际信息系统审计领域的权威专家Ｒｏｎ Ｗｅｂｅｒ将它定义为“收集并评价证据，以判断一个计算机系统（信息系统）是否有效做到保护资产，维护数据完整，完成组织目标，同时最经济地使用资源”。本文将“信息系统审计”界定为：信息系统审计是指根据公认的标准和指导规范，对信息系统从规划、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整性、有效性、效率性、安全性等进行监测、评估和控制，以确认预定的业务目标得以实现，并提出一系列改进建议的管理活动。相对来说，我国信息系统审计起步比较晚，但发展比较迅速，理论研究工作逐步完善与深入。２０１１年１月１日，新修订的国家审计准则（审计署８号令）正式施行，在新准则中，有４章１７条直接或间接涉及计算机及信息系统审计，涵盖了审计资源、审计计划、审计实施、审计报告等各个环节，对于开展计算机数据审计和信息系统审计具有非常现实的指导意义，为我国信息系统审计人员开展信息系统审计活动提供了更为具体和明确的法律依据。

2对党政企事业单位进行信息系统审计的必要性

开展对信息系统的审计已经成为审计机关保护国家财政财务安全，充分发挥审计“免疫系统”功能的重要措施。其主要目的是为直接或间接应对以下这些问题从而更好地开展审计工作：

（1）计算机在党政企事业单位中的广泛使用，包括财务报表、交易处理、决策支持功能、数据挖掘。

（2）被审计单位的ＩＴ系统对审计人员的审计方法和在审计测试中采用的技术产生了影响。

（3）内部控制环境的变更。

（4）匿名用户带来的责任缺失。

（5）未经授权的和未记录下来的数据修改的可能性。

（6）看得见的审计痕迹和／或纸质文件的缺失。

（7）审计证据的变化。

（8）数据复制／无内容数据的可能性。

（9）出现欺诈和错误的新机会和机制。

（10）分布式数据处理和存储。

（11）关键业务信息的机密性和一致性。

（12）由于组织内部或组织之间的通讯，特别是互联网增加的风险。

（13）系统故障／宕机的可能性。

以上这些问题，使用常规的审计方法和技术已经无法满足正常的审计需求，只有开展信息系统审计，才能达到确认资产安全性、保证数据完整性、认定系统合规性的目标。

3信息系统审计的实践

信息系统审计的程序一般包括：接受审计委托、进行调查了解、评估审计风险、制订审计计划、收集审计证据、出具审计报告。

3.1 确定合适的被审计单位以及适合开展审计的信息系统

3.1.1 选择合适的被审计单位

（1）根据国家政策监管的要求、国家审计的关注点、行业的重要程度以及被审计单位的信息化程度等多方面因素确定。例如社保、税务、医疗、金融、电信行业等重点部门和行业，对于保障国计民生以及维护国家经济安全至关重要，国家有很多监管要求，而且本部门行业信息化程度也很高，审计机关应当充分考虑对其开展信息系统审计。

（2）在日常审计工作中，对于感觉有必要开展信息系统审计的单位，可在对其充分调查的基础上，开展各种形式的信息系统审计。

3.1.2 选择适合开展审计的信息系统

（1）该系统对于被审计单位的重要程度。被审计单位对系统的依赖程度越高，开展信息系统审计的意义越大。

（2）该系统的复杂程度。太复杂的系统应当考虑进行非全面的、特定范围内的信息系统审计，如仅对其业务环节的应用控制进行审计。

3.2 了解被审计单位的相关情况

通过调查了解，系统地掌握被审计单位信息系统方面的基本情况，为开展信息系统审计确定重点和范围。主要掌握以下情况：

（1）被审计单位的基本情况。

（2）被审计单位信息系统的情况。

（3）被审计单位的网络和安全管理情况。

（4）影响被审计单位信息系统的内部、外部因素。

（5）业务办理对信息技术和信息系统的依赖程度。

（6）信息技术的战略目标、发展规划及近期发展计划。

（7）信息技术组织架构和关键人员，以及最近一年的人员变更情况。

（8）信息系统支持的关键业务流程及最近一年的变更情况。

（9）被审计单位对外部信息技术服务的依赖程度。

（10）最近一年主要信息系统的上线、升级、变更情况。

（11）被审计单位的信息资产的敏感程度。

（12）以前年度ＩＴ审计、外部审计等相关的审计发现及追踪情况。

主要可以通过制作相关表格供被审计单位填写，以及通过询问、观察和小范围座谈等方式了解其信息系统概况。

3.3 草拟实施方案，结束审前准备

制订总体审计工作方案，初步评估信息系统的风险，对信息系统的控制给出初步的评价，然后制订审计实施方案和发出审计通知书。信息系统的内部控制包括：

（1）一般控制，即保障信息系统正常运行的稳定性、有效性、安全性等方面的控制。

（2）应用控制，即保障信息系统产生的数据的真实性、完整性、可靠性等方面的控制。

3.4 进入审计实施阶段

整个信息系统的审计过程应围绕以下几个中心点开展：

（1）信息系统的管理、规划与组织。评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。

（2）信息系统技术基础设施与操作实务。评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标。

（3）资产的保护。对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。

（4）灾难恢复与业务持续计划。这些计划是在发生灾难时，能够使组织持续进行业务活动，对这种计划的建立和维护流程需要进行评价。

（5）应用系统开发、获得、实施与维护。对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足实现组织业务目标的要求。

（6）业务流程评价与风险管理。评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。

4信息系统审计的几个重点

4.1 内部控制制度审计

对内部控制制度进行调查和测试，是现代审计区别于传统审计的重要特征之一，是对账表单证或数据文件进行审查的前提和基础。对内部控制制度的测试应在调查的基础上进行。审计人员一般可以通过与被审计单位有关人员座谈、实地观察、查阅系统的文档资料等方式，并跟踪若干业务处理的全过程，了解被审计信息系统的处理过程和内部控制，然后把它描述出来。

4.2 信息系统安全性。硬件、程序与系统结构审计

通过调查表、查阅技术资料了解被审计单位信息系统硬件设备的配置情况； 取得被审计单位信息系统总体分布图，把握被审计单位信息系统的总体情况；绘制核心信息系统的数据流程图，掌握关键系统的数据处理流程，弄清整个系统的备份策略，并对该策略的安全性、可靠性及实用性等作出评估。

4.3 数据正确性与完整性审计

信息系统数据处理的真实性、正确性、可靠性，会直接影响到信息系统产生信息的真实性、正确性和可靠性，因此必须通过检查系统数据的准确性、完整性和一致性来确定计算机系统处理业务的真实性、合法性，以及被审对象的业务活动的真实性、合法性和有效性。基于数据的计算机审计方法，大大提高了审计工作效率和审计质量，规范了审计行为，降低了审计风险。审计人员可以把传统审计经验与计算机技术结合起来，通过数据获取、样本抽取、异常项目调查、数据分析与处理等方法进行测试、检查、分析与核对。主要包括以下几个方面的内容：

（1）数据完整性检查。对系统中的数据进行处理，并将处理的结果与被审计单位提供的报表、其他来源的数据进行核对，确定数据的完整性。

（2）异常数据的挑选。对各个系统的数据进行排序、分层、抽样、复算、比较、核对，挑选逻辑上、核对上的异常数据，为传统审计提供线索，为系统审计提供方向。

（3）不同系统间数据核对。检查系统间的数据传递核对机制是否存在；挑选核对异常数据，检查系统间数据传递核对机制是否完善。

（4）数据文件、表文件的检查。检查数据文件及表文件里面的数据核算及基数设置是否按照相关文件合理设置。

通过对党政企事业单位开展信息系统审计，可以提高被审计单位对加强信息化建设的管理和保障计算机信息系统安全、稳定运行必要性的认识，整改审计过程中发现的问题、安全漏洞和风险隐患，加强制度监管，完善内控制度，促进其信息系统及信息化建设健康发展。

主要参考文献

［１］张金城．信息系统审计［Ｍ］．北京：清华大学出版社，２００９．

［２］郭健．信息系统审计［Ｊ］．中小企业管理与科技：下旬刊，２０１１（１１）．

［３］王存仙．浅析事业单位内控制度的建立与完善［Ｊ］．现代经济信息，２０１１（２４）．

［４］王玉馨，胡克琼，苏平．电算化审计的几个概念［Ｊ］．中国农业会计，１９９３（４）．