1、信息系统审计经验交流 信息系统审计,是指结合国家审计的现状和特点,紧紧围绕国家审计内容、范围和目标,对被审计单位用于经营决策、财务核算、业务管理的各类信息系统、系统内部控制系统以及信息系统产生的电子数据开展审计,以保证被审计单位财政财务收支的真实性、完整性和效益性,是常规审计方式的一种延伸,是信息化环境下审计方式方法的进一步精细化。 在我国国家审计融入世界审计主流,实现与国际接轨的大环境下,信息系统审计已经成为我国国家审计的一项重要工作内容,这是信息化开展到一定程度的必然结果。但是,我国的信息系统审计仍处于不断探索、逐步完善的阶段。目前,专门立项对某被审计单位信息系统开展独立式审计尚不成熟,信
2、息系统审计只能是以常规审计为载体,分别开展数据式审计、系统审计和系统内部控制审计。在这种情况下,如何既能保证圆满完成既定审计目标,又能适时合理有成效地开展信息系统审计,就成为摆在所有审计机关面前的一大难题。本文将从审计项目实施流程的角度指出信息系统审计中的一些考前须知,以期能为广阔审计人员提供参考。 项目准备阶段。调查了解被审计单位根本情况阶段,要紧紧围绕审计署制定的审计目标及审计重点,在了解被审计单位财政财务收支的同时,对被审计单位信息系统及其产生的电子数据进行全面系统的了解,主要包括被审计单位的信息系统、系统内部控制以及电子数据结构与数据字典。在此根底上,要完成被审计单位电子数据的采集与转
3、换、信息系统模拟测试环境的搭建,系统内部控制点的分解,系统一般控制测评等。 制定方案阶段。首先要将信息系统审计实施方案包含于审计项目的总体方案之中,确定信息系统审计的实施目标和审计方式方法,在方案中要明确以下几个关系:明确信息系统审计重点事项以及常规审计重点事项之间的关系,明确信息系统审计阶段性结果与常规审计阶段性性结果间的关系,明确实施信息系统人员与常规审计实施人员间的相互配合关系,明确信息系统内部控制点的设置与被审计单位内部控制间的关系、明确各个控制点所对应的电子数据间变化以及电子数据所体现的业务逻辑对应关系。具体来说,信息系统审计目标是围绕署定项目目标制定,紧扣而不脱离;信息系统审计重点
4、事项是署定项目重点事项的细化、补充和延伸;信息系统审计阶段性结果与署定项目常规审计阶段性结果是相互补充、相互完善、相互促进关系;实施信息系统人员与常规审计实施人员间相互配合,处于一种矩阵式方阵之中,相互互补、相互配合、及时交流;信息系统内部控制点与被审计单位内部控制点是一一对应关系尽管其不会非常完备,只是控制方式、具体控制对象、表现形式不同,每个控制点的变动均会引起后台多张表的电子数据发生一系列变化,这种变化应该完全由系统控制,且逻辑严密,如果掺入了人为因素,数据将表现为异样。 项目实施阶段。信息系统审计实施与常规审计实施是一种相互协同、相互启发、相互印证关系,二者就每个重点事项、控制点进行测
5、评和验证,审计所发现的阶段性结果,也需要有方案的及时沟通,做到相互促进。另外,信息系统审计取证与常规审计取证不同,其证据的表现形式灵活多样,可以通过填写表格、面谈笔录、与被审计单位技术人员一起验证某些具体操作让其出具书面证明、将电子数据及测评所表现的现象抓图或拍照、通过特定软件记录验证过程等方式形成的书面材料或电子数据为附件的证明材料。实施信息系统审计方法可以灵活多样,可以采用现场查看法、软件代码测试法、平行模拟法等,也可以和常规审计方法相互结合,从另一方面去验证,发现审计线索。 项目报告与总结阶段。信息系统审计可以单独出具审计报告,也可以将审计结论融入常规审计报告之中。一般做法是将信息系统审计结论融入常规审计报告之中的同时,再就信息系统审计单独出具一份全面的信息系统审计报告,因为常规审计报告往往不可能完全包括信息系统审计报告的全部内容。在做好审计报告后,及时就开展信息系统审计以及如何与常规审计相结合做好项目总结工作,总结经验,发现缺乏。 4