浅析信息系统内部控制审计
江苏审计厅
随着社会信息化进程的迅速推进,信息系统成为不少单位内部管理与控制的关键工具。但就目前开展信息系统内部控制审计的范围来看,还不够广泛,对信息系统内部控制审计也不够重视,直接影响着信息系统的可靠性、安全性。本文对信息系统内部控制与信息系统内部控制审计进行了介绍,并对加强信息系统内部控制审计的重要性做了阐述,同时就开展信息系统内部控制审计的程序和方法提出笔者的一些肤浅认识,继而更好地推进信息系统内部控制审计的广泛运用。
一、信息系统内部控制与信息系统内部控制审计
(一)信息系统内部控制
信息系统内部控制是一个单位在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,合理确保信息系统提供信息的真实、合法、完整,而制定和实施的一系列政策与程序措施。它是规范秩序、防范风险、遏制腐败、合理确保信息系统功效的有效途径,从而更好地确保组织目标的实现。凡是与信息系统的建立、运行维护、管理和业务处理有关的部门、人员和活动,都属于信息系统内部控制的对象。
信息系统内部控制可以分为一般控制和应用控制。一般控制有时称管理控制,是指对信息系统的组织、开发、应用环境等方面的控制,是应用于一个单位信息系统全部或较大范围的内部控制,其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。包括组织与管理控制,应用系统开发与维护控制、系统操作控制、硬件和软件控制、系统安全控制、系统文档控制等。应用控制是信息系统应用方面的具体控制。一个应用系统一般由多个相关计算机程序组成,有些应用系统可能是复杂的综合系统,牵涉到多个计算机程序和组织单元,与此相应,应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。包括输入控制、计算机处理与数据文件控制、输出控制。
(二)信息系统内部控制审计
信息系统内部控制审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。其审计内容及方法是通过对系统内部控制的审计,来判断和评价系统的可靠性、安全性、完整性、效果和效率等方面。
二、开展信息系统内部控制审计的重要性
由于计算机信息系统的数据处理与手工处理有许多不同,从而产生了新的内部控制内容和方式,因此开展信息系统内部控制审计非常必要也很重要。
(一)提升审计项目质量的需要
近年来,随着信息技术的发展,很多单位都认识到开展信息系统内部控制审计的必要性,也有些单位开展了信息系统内部控制审计,但内审部门对信息系统的审计重点仍滞留在制度执行层面,风险洞察水平不高,对信息系统内部控制审计的重点和难点缺乏正确的认识和处理方法,严重影响了审计质量。
(二)提升内部控制水平的需要
宇凡内部控制整体框架包含控制环境、风险评估、控制活动、信息与沟通及监控这五个相互联系的要素。面对日新月异的信息化的发展,如果没有审计技术手段信息化的快速跟进并与之匹配,就无法对业务系统运行的可靠性、连续性、完整性、风险性做出准确的评估,内审部门对内部控制的监控作用无法有效发挥。
(三)创新审计手段的需要
信息系统内部控制审计技术在审计领域的运用,可以为创新审计方式打造直接平台,实现审计监督从单一性的事后审计向事前、事中、事后相结合转变,从单一的静态审计向动态与静态相结合转变,克服传统的事后审计带来的不能及时发现问题,防范于未然的缺陷。
(四)适应业务信息化发展的需要
近几年来,信息系统的广泛运用,在促进单位业务发展和管理的水平的同时,也潜在着较大的安全和技术风险。开展信息系统内部控制审计,能够及时发现信息系统使用中影响安全性、可靠性的问题,提出针对性的建议,促进信息系统的更新和完善,以满足不断发展的业务信息化需要。
三、开展信息系统内部控制审计的程序和方法
(一)对信息系统内部控制进行初步了解与评价
审计人员可以通过询问被审计单位有关人员,查阅被审计单位的相关文件记录、观察被审计单位的业务活动及其运行情况等方法,围绕以下内容对信息系统内部控制的进行初步了解与判断:被审计单位的基本情况,被审计单位信息系统的情况,信息系统的网络和安全管理情况,影响信息系统的行业监管信息、组织内部制度要求等内外部因素,组织的战略目标对信息技术和信息系统的依赖程度,信息技术的战略目标、发展规划及近期发展计划,信息系统支持的关键业务流程及最近一年的人员变更情况,信息系统支持的关键业务流程及最近一年的变更情况,被审计单位对外部信息技术服务的依赖程度,最近一年主要信息系统的上线、升级、变更情况,被审计单位的信息资产的敏感程度,以前年度信息系统审计发现及追踪情况。通过了解这些内容,审计人员能够对被审计单位的信息系统关键程度、关键业务流程、内外的监管要求等有了初步了解,也就可以初步分析审计所面临的风险。
(二)对信息系统内部控制进行符合性测试
符合性测试是对内部控制制度的实施情况和遵循结果进行测试。对信息系统内部控制进行符合性测试可以分为一般控制符合性测试和应用控制符合性测试。有效的一般控制是保证应用控制有效的一个重要因素,它提供应用系统运行和应用控制实施的环境。如果一般控制薄弱,将会严重地削弱相关的具体应用控制的可靠性。由此,对一般控制的符合性测试通常在应用控制符合性测试之前进行。
1.一般控制的符合性测试
目前,被审计对象一般是在日常运行的信息系统,因而,我们重点是对信息系统的组织控制、操作控制和灾难恢复控制进行审计,判断信息系统的安全性、可靠性。
(1)组织控制。组织控制主要是通过不相容职责的分离来实现。审计内容包括:系统管理人员及操作人员是否有明确的管理制度及明确的职责权限、数据库管理人员是否不审批和处理经济业务、系统管理人员和操作人员是否不能接触有关应用程序文件、业务处理中不相容职能是否分离等。审计可以采用询问有关人员,查阅被审单位相关内控制度和检查信息系统中操作用户权限表等方法。
(2)操作控制。操作控制是用来控制信息系统的操作,以保证信息系统仅用于经授权的用途和只有经授权的人员才能操作信息系统。审计内容包括:系统的操作日志设置及管理情况、操作人员是否经过授权、在人员岗位变更时,操作权限是否妥善地进行、密码保护措施等。审计可以采用检查操作用户权限与被审计单位内控制度、现场观察实际操作用户和分析系统的操作日志等方法。
(3)灾难恢复控制。灾难恢复控制是在系统遭受无法抗拒的、突如其来的灾难时,为了将灾害的损失降低最小的程度所采取的措施。审计内容与方法主要是检查系统备份制度及执行情况、灾难发生后的应急恢复安排等。
2.应用控制的符合性测试
信息系统的应用控制是设计用来合理地保证系统在特定的应用方面能够正确地完成数据的记录、处理和报告功能,通过对系统的应用控制功能审计,检查应用系统本身是否存在漏洞和功能缺陷,评价信息系统的可靠性、效果和效率等方面。
(1)输入控制。输入控制确保输入数据的合法、准确和完整,包括:数据正确地存储、业务数据没有丢失、增加、重复和改变、错误的业务数据能够被拒绝、改正并及时地重新提交处理。审计人员采用与操作人员座谈、现场观察系统输入控制,可以初步了解系统输入控制情况。审计人员设计一些虚拟数据,提交系统进行处理,以测试系统输入控制是否存在。审计人员可以通过数据验证检查数据之间逻辑关系验证输入数据的正确性和保存数据的完整性,包括业务数据与财务数据对比验证和业务数据间主表与明细表核对。
(2)处理控制。处理控制确保系统按规定对数据进行处理,包括:能够对经济业务进行正常处理;业务数据在处理过程中没有丢失、增加、重复或不恰当的改变;处理中错误能够发现并得到及时更正。审计人员从被审单位抽样若干经济业务数据,检查信息系统处理结果是否正确,以确定系统控制是否有效的执行。审计人员模拟被审单位对实际数据的处理要求设计一个程序,将被审计单位的真实数据用审计人员的程序重新处理一遍,检查信息系统控制功能是否有效。
(3)输出控制。输出控制确保系统处理结果的完整性和正确性、输出结果提交给有权使用的人员。可采用面谈法、观察法和系统文档审阅法、平衡模拟法等审计方法检查系统输出控制。审计人员可以通过与系统管理员、操作人员座谈及系统文档审阅、系统查询测试等发现系统输出控制可能存在的欠缺。
(三)对信息系统内部控制系统进行总评
审计人员在对信息系统内部控制进行初评的基础上,根据符合性测试的结果,对被审计单位信息系统内部控制可信赖程度和风险水平进行评估,以确定将要执行的实质性测试程序的性质、时间和范围。评估中需要说明的问题主要包括内部控制系统中存在的薄弱环节或发挥作用的程度及内部控制的可信赖程度或风险水平。
(四)形成信息系统内部控制审计报告
作为对信息系统内部控制进行审计的成果,审计人员应对被审计单位内部管理编制信息系统内部控制审计报告,指出审计过程中注意到的、影响被审计单位内部管理的信息系统内部控制缺陷,并提出有针对性的建议,同时对审计建议的采纳情况进行审计追踪。
四、加强信息系统内部控制审计的几点建议
(一)领导转变思路,高度重视信息系统内部控制审计
在当前人们对信息系统内部控制的认识还不够的情况下,由信息系统引起的各种风险产生的损失将是巨大的,这就要求单位的主要领导需要加强对信息系统内部控制审计监督的重视和支持,积极为内审部门开展对信息系统内部控制审计创造良好的软、硬件环境。
(二)加强人才培养,不断提高信息系统审计队伍素质
一方面吸收有一定工作经验的计算机专业技术人才充实到单位内审部门,改善审计人员队伍结构,以适应未来日益频繁的信息系统审计对审计人才的需求,同时通过业务培训、交流和以审代训的方式提高现有审计人员的计算机应用水平和理论知识,并及时了解和借鉴国际上先进的信息系统审计理念和方法。
(三)注重事前介入,从源头加强信息系统内部控制审计
内审部门要积极提前介入同级业务和技术部门的信息系统开发全过程,从系统开发从业务需求的提出,数据结构和内部控制的设计、程序代码的编写、软件的测试、运行到软件的验收、审计人员都应站在内审部门的角度从信息系统的合法合规性、安全可靠性、可维护性及内部控制机制的完善性等方面提出可行意见和建议,以便从系统开发的源头上防止系统出现漏洞和缺陷等安全隐患。
(四)优化审计环境,提升信息系统内部控制审计效率和质量
内审部门要抓紧建立计算机化的审计环境,配置实用高效的信息系统内部控制审计软件平台,利用专用计算机审计平台能促进信息系统内部审计工作的规范化,提升信息系统内部控制审计效率和质量。
(五)完善相关建设,促进信息系统内部控制审计常态化
单位应建立健全相应的制度,将信息系统内控制度审计作为一条强制性规定明确下来,以推动计算机辅助审计方法的应用和信息系统内部控制审计的顺利实施,借助信息系统的审计接口、网络和一定的计算机辅助手段,审计人员就通过非现场监督手段系统,全面和连续的对在信息系统中流动着数据信息进行实时动态检查,做到既能检查数据的来源和结果,也能检查数据流动轨迹。
五、结束语
目前,信息系统内部控制对于很多单位还在摸索阶段,甚至有些单位从没有开展过信息系统内部控制的审计。信息系统内部控制审计的实施方法还需规范化,程序化,需要内部审计人员的在实际工作中不断探索,不断总结规律,发挥内部审计的作用,为促进单位内部控制的建设保驾护航,为单位经营管理的科学发展推波助澜。