■黎建忠

?

信息系統(tǒng)審計中需要注意的環(huán)節(jié)

■黎建忠

信息系統(tǒng)審計，是指國家審計機關(guān)依法對被審計單位信息系統(tǒng)的真實性、合法性、效益性和安全性進行檢查監(jiān)督的活動。審計的主要目標(biāo)是通過檢查和評價被審計單位信息系統(tǒng)的安全性、可靠性和經(jīng)濟性，揭示信息系統(tǒng)存在的問題，提出完善信息系統(tǒng)控制的審計意見和建議，促進被審計單位信息系統(tǒng)實現(xiàn)組織目標(biāo)；同時，通過檢查和評價信息系統(tǒng)產(chǎn)生數(shù)據(jù)的真實性、完整性和正確性，防范和控制審計風(fēng)險。本人就近幾年參與信息化系統(tǒng)審計的經(jīng)歷，對審計過程中需要注意的環(huán)節(jié)做一些探討。

一、信息系統(tǒng)項目的選擇

對信息系統(tǒng)項目的選擇一般要考慮到幾點：信息系統(tǒng)作為一個獨立的項目來開展審計還是把信息系統(tǒng)作為一個子項目來審計；信息系統(tǒng)項目是被審計單位的核心業(yè)務(wù)，信息系統(tǒng)審計與常規(guī)審計的目標(biāo)一致或相關(guān)，兩者關(guān)聯(lián)密切，能夠相互補充，如醫(yī)院的收費業(yè)務(wù)系統(tǒng)、企業(yè)的ERP系統(tǒng)等；項目已完工結(jié)算正常運行，這樣便于對項目進行整體的審計評價；項目涉及資金量較大，涉及部門和人員較多，內(nèi)部控制存在問題；信息系統(tǒng)項目為本地區(qū)公益民生項目，例如“金?！惫こ?、天網(wǎng)工程等。

二、做好審前調(diào)查，確定審計重點

審前調(diào)查是審計的重要組成部分，直接關(guān)系到審計方案如何制定、如何安排審計人員以及審計風(fēng)險是否可控。審前調(diào)查的內(nèi)容一般應(yīng)包含：（1）調(diào)查了解被審計單位相關(guān)經(jīng)濟業(yè)務(wù)活動所依賴信息系統(tǒng)的業(yè)務(wù)內(nèi)容、業(yè)務(wù)流程、業(yè)務(wù)規(guī)模、資金流和信息流等；（2）調(diào)查了解信息系統(tǒng)的總體框架、技術(shù)架構(gòu)、業(yè)務(wù)實現(xiàn)流程、數(shù)據(jù)運行流程、系統(tǒng)功能結(jié)構(gòu)、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用部署模式等；（3）調(diào)查了解信息系統(tǒng)建設(shè)的項目管理、投資管理、績效評估情況和文檔資料；（4）調(diào)查了解被審計單位信息化項目建設(shè)規(guī)劃和標(biāo)準(zhǔn)、基本管理制度和單位績效目標(biāo)。

在調(diào)查了解的基礎(chǔ)上，深入分析被審計單位信息部門在該單位的職責(zé)地位以及部門人員的具體分工；項目中如何劃定信息人員、管理人員和財務(wù)使用人員之間的職責(zé)分工；被審計單位業(yè)務(wù)流程與信息化的耦合度如何；信息系統(tǒng)業(yè)務(wù)流程涉及的主要部門，權(quán)限分配如何；檢查被審計單位信息機房設(shè)備是否符合標(biāo)準(zhǔn)要求，數(shù)據(jù)庫等軟件的國產(chǎn)化程度和程序數(shù)據(jù)接口標(biāo)準(zhǔn)；單位系統(tǒng)和數(shù)據(jù)安全評估等級；被審計單位在財務(wù)上如何與業(yè)務(wù)數(shù)據(jù)進行對接，是否數(shù)據(jù)上保持一致；數(shù)據(jù)恢復(fù)和備份情況等。通過以上分析，關(guān)注信息系統(tǒng)中的一些關(guān)鍵環(huán)節(jié)、容易忽略的地方，把握整體，抓住主要問題，避免審計風(fēng)險。例如審計醫(yī)院的業(yè)務(wù)系統(tǒng)，應(yīng)該關(guān)注醫(yī)院各個部門的工作職責(zé)、整個的藥品流程、醫(yī)療項目收費流程和處方流程等。

三、審計內(nèi)容和方法

信息系統(tǒng)審計的內(nèi)容一般有應(yīng)用控制、一般控制和項目管理審計。審計當(dāng)中要看具體情況，內(nèi)容的側(cè)重點由被審計單位信息系統(tǒng)來決定。簡單地說，應(yīng)用控制審計包括被審計單位信息系統(tǒng)主要業(yè)務(wù)流程控制審計、使用系統(tǒng)的各類人員輸入輸出控制審計（界面交互控制）和系統(tǒng)網(wǎng)絡(luò)共享和協(xié)同作業(yè)審計，應(yīng)用控制審計基本定位在系統(tǒng)業(yè)務(wù)流程操作控制環(huán)節(jié)；一般控制審計是從系統(tǒng)的整體出發(fā)的，主要是審查信息系統(tǒng)的規(guī)劃體系、組織架構(gòu)、設(shè)備安全以及安全管理等方面；項目管理審計是指從信息系統(tǒng)項目建設(shè)的角度審計，主要包括項目建設(shè)的經(jīng)濟性、建設(shè)過程的合規(guī)性和系統(tǒng)項目績效如何。通過這三項內(nèi)容的審計，審計人員對整個信息系統(tǒng)項目就有了一個比較全面準(zhǔn)確的把握。

信息系統(tǒng)審計的方法好多地方概括有系統(tǒng)調(diào)查法、資料審查法、信息系統(tǒng)檢查法、數(shù)據(jù)測試法、數(shù)據(jù)驗證法、工具測試法、風(fēng)險評估法和專家評審法，基層審計機關(guān)多使用前面五種方法。前面三種方法類似我們平常的財務(wù)審計方法，檢查信息系統(tǒng)建設(shè)、使用和維護檔案、查看項目管理資料和現(xiàn)場檢查檢測等。數(shù)據(jù)測試法和數(shù)據(jù)驗證法是指采用數(shù)據(jù)媒介的方式檢測系統(tǒng)的有效性和合規(guī)性，這里選取的數(shù)據(jù)要保證可行性和有代表性，對數(shù)據(jù)在系統(tǒng)流程中的各種轉(zhuǎn)換驗證要考慮全面，并且注重數(shù)據(jù)庫和數(shù)據(jù)接口的測試。工具測試法是利用專業(yè)的系統(tǒng)工具對信息系統(tǒng)的物理環(huán)境、安全環(huán)境和運行環(huán)境等進行測試，已確定信息系統(tǒng)的安全性、可靠性和高效性。風(fēng)險評估法是從信息系統(tǒng)面臨的風(fēng)險角度分析，找到當(dāng)前安全水平與安全期望之間的差距，評價信息系統(tǒng)的風(fēng)險狀況。專家評審法就是指組織有關(guān)專家或委托機構(gòu)對信息系統(tǒng)評審。各種方法的選擇要根據(jù)審計組人員知識能力結(jié)構(gòu)和被審計單位的信息系統(tǒng)內(nèi)控情況來決定。

四、審計適用法規(guī)

信息系統(tǒng)審計目前還處在探索和發(fā)展階段，適用于信息系統(tǒng)審計的法律法規(guī)、標(biāo)準(zhǔn)規(guī)范同樣也處于建設(shè)和發(fā)展完善階段。依據(jù)《國家審計準(zhǔn)則》和《信息系統(tǒng)審計指南》，信息系統(tǒng)審計實用法規(guī)包括國家信息化規(guī)劃、國家和部門信息化法規(guī)、電子政務(wù)建設(shè)項目管理、國家信息化標(biāo)準(zhǔn)、信息系統(tǒng)安全保護、信息安全風(fēng)險安全評估、信息系統(tǒng)軟件規(guī)范、行業(yè)信息系統(tǒng)規(guī)范、信息系統(tǒng)服務(wù)、招投標(biāo)和政府采購、被審計單位會計核算和財務(wù)管理等。除上述法規(guī)規(guī)范外，審計中要特別注意被審計單位所在行業(yè)對信息系統(tǒng)的標(biāo)準(zhǔn)要求，以及被審計單位在信息系統(tǒng)項目建設(shè)初期，與建設(shè)方簽訂的項目建設(shè)預(yù)期標(biāo)準(zhǔn)和后期的維護標(biāo)準(zhǔn)，這些同樣是有效的審計評價依據(jù)。

（作者單位：新余市審計局）