关于信息系统审计的几点体会

在我国的审计实践中，信息系统审计成果似乎并明显，原因主要是 目前 存在以下三大困难：一是审计人员难以在短时间内透彻了解被审计单位的信息系统。一般来说，信息系统有通用和定制两种。通用的信息系统多用于小型的数据管理，由专业的软件公司开发后打包在市场销售，被审计单位人员仅仅是使用者，审计人员无法获得开发设计的细节；而定制的系统多用于大型的数据管理，由软件公司或内部的开发部门根据 企业 的 应用 量身定做，这类系统技术文档和技术支持比较完善，但是由于系统过于庞大，细节设计过于复杂，审计人员在有限的审计时间内难以对系统进行评估。二是难以发现系统内的瑕疵。从表面看，信息系统的各项令人眼花缭乱的模块好像都很正常，无论是从开发文档还是操作手册都不会直接列出系统的瑕疵，而且在现场审计中，审计人员一般不允许对正在运行的系统进行测试，较难识别系统的 问题 。三是难以评估系统瑕疵所导致的后果。在审计实践中，即使审计人员发现了信息系统的瑕疵，但是未发现该瑕疵导致的已经存在的后果，常常使得审计结论缺乏直接证据。

虽然信息系统审计面对以上诸多难题，但是笔者认为审计人员可以打破常规，从以下几个方面创造性地开展审计工作。

首先，审计人员可以通过整体评价被审计单位的信息系统重要性的基础上，确定审计重点。为了提高信息系统审计的效率，选取的系统最好满足下列条件：属于被审计单位的核心业务或财务系统，系统数据的真实性和完整性对被审计单位的安全生产和损益核算有着直接 影响 ，同时要求该系统有着完整的技术文档，最好能够获得数据库管理员和系统开发公司维护人员的支持。当然，如果系统功能很简单，可不受上述条件限制。

其次，审计人员应用内控测试和数据审计两种方式对选定的系统进行 分析 ，一般能迅速找出信息系统存在的瑕疵，尤其是人为舞弊的线索。

1.信息系统的内部控制测试。审计人员在了解系统业务处理流程的基础上对信息系统进行内控测试，然后作出风险评价。根据COSO发布的《内部控制－整体框架》，内控测试主要包含四个方面的 内容 ：对控制环境的测试、对风险的评估、对信息与沟通的测试和对监督的测试。在进行信息系统审计时，可以对目标系统的上述四个方面对系统进行测试评价，测试目的：

（1）控制环境管理层的技术和管理水平合格的系统管理层人员需要有技术和业务的双重背景，可以组织系统的运行升级和处理突发的意外情况。否则，容易出现系统不能良好地支持业务运行等情况。

（2）维护和操作人员的技术水平系统的维护和操作人员需要有可以完成工作职责的技术水平，否则容易出现系统无法推广和各种意外频出等情况。

（3）组织结构及职权与责任分配不恰当的职权分配容易给人为篡改数据及越权操作提供便利。

同时，分析系统的组织结构可以确定审计的重点位于集团公司的哪个层面。

（１）企业高层的重视程度企业高层重视系统才能获得足够的资源；

（２）与系统有关人员的诚信和道德价值水平该指标评估人员是否有影响系统真实性和安全性的动机；

（３）对信息与沟通的测试目标系统与其它系统之间的数据传输关系了解系统所处的位置；

（４）系统所记录的信息在企业内部和外部的传输情况了解信息使用的情况；

（５）对监督的测试内部和外部审计部门的信息系统审计为评价系统的可靠性搜集资料；

（６）系统安全性和真实性的检查频率和力度；

（７）对风险的评估分析系统所支持的业务流程从业务的角度找出影响系统安全性和完整性的因素；

（８）找出风险的关键控制点作为下一步审计的重点；

（９）执行各种测试手段。如：穿行测试、绘制风险控制矩阵等。

2.由 计算 机辅助审计得出的异常数据结果来 分析 信息系统所存在的 问题 。计算机辅助审计是一种常用的审计手段，通过它对各种数据进行分析，然后根据数据的分析结果追寻被审计单位信息系统存在的问题。在审计人员发现被审计单位的信息系统中的数据存在不真实、不完整的情况时，可以从信息系统的角度进一步了解导致数据问题的原因，一般采用追根溯源的办法，将问题层层分类。如系统数据不真实或不准确，一般可能存在设计或操作两方面的原因。就设计方面而言，既有考虑不周所致，也有故意预留后门的情形，针对其实际原因，分别采用相应的对策，或改进设计，或关闭后门并追究相关人员责任；对于操作方面而言，也存在工作疏忽、越权操作和蓄意伪造等多方面原因，可以针对性地采用批评 教育 、完善制度和追究人员责任进行惩戒等方式予以整改

第三，根据已经发现的问题，对系统进行延伸，进一步追查系统存在问题所引致财务收支失真等方面的问题。

笔者在审计实践中， 应用 上述 方法 实施了对B通讯公司的信息系统审计，效果良好。在开始系统审计前，对B通讯公司正在使用的数十个信息系统进行逐一排查后，决定对计费系统实施审计，主要基于两点重要原因：

一是该计费系统属于B公司的核心业务信息系统。主要功能是对B公司多种通讯业务计费、批价及按客户汇总，并结合客户使用的套餐计算出每个客户当月的应交费金额，而后登记实际交费金额。在每月月结之后，计费系统按照 会计 科目的口径自动汇总计算本月财务应计收入金额和实收金额，再通过接口程序自动传输到财务系统中生成记帐凭证并核算主营业务收入。由于计费系统是B公司核算收入的主要依据，它的真实性和完整性对B公司的损益计算非常重要。

二是该计费系统是某软件公司为B公司定制的信息系统，该软件公司一直对其进行维护升级，对计费系统的设计细节较为清楚，有利于审计工作的开展。

在对计费系统进行内控测试时，很快就发现了如下疑点：第一，计费系统的组织结构和职权分配存在不妥之处。计费系统的大部分运营管理工作都在分公司层面，母公司并未对分公司的计费操作进行直接管理，且分公司拥有计费系统所有管理权限。第二，B公司管理层可能存在诚信问题。几年前，B公司就提出了很高的收入目标。近几年由于市场竞争激烈，B公司的市场份额不断缩小，产品单位售价不断降低，但收入额却没有降低。同时，由于收入完成情况优秀，管理层还获得了提职。第三，计费系统接受的检查监督过少。近两年，B公司的上级IT部门未针对计费系统的真实性进行过检查，仅有一家会计事务所对其进行过评估，未发现明显风险点。第四，B公司的计费系统管理员对所管理的数据库的数据结构非常熟悉，能清晰知晓多个计费系统的设计细节，不符合信息系统设计和操作职责分离的要求。

由于计费系统设计复杂，仅各类套餐就达上百个，决定对计费系统数据开展了计算机辅助审计，审计发现B公司近几年一直存在虚增收入的情况。此时，开展信息系统审计的条件已经成熟，审计组以数据审计为突破口，检查计费系统各个处理流程，发现B公司的计费系统存在严重的系统漏洞，数据库管理人员可以绕开数据库中各种校验和限制措施，虚列数据。从2005年起，B公司为了完成收入考核目标，其市场部和技术中心联合改动计费系统的数据，达到虚增收入的目的，年虚增幅度最高达12％。

由上面的例子可以看出，信息系统审计作为一种全新的审计手段和审计理念，可以较好地从信息系统的角度发现舞弊问题和内控漏洞，使得审计 内容 不断丰富完整，较好降低审计风险。审计人员只要敢于尝试，在当前信息化条件下的审计实践中，其成效十分显著。