- 相關推薦
信息系統內部控制審計初探
隨著社會信息化進程的迅速推進,信息系統成為不少被審單位內部管理與控制的關鍵工具。因此,信息系統的可靠性、安全性已經直接影響著審計工作效率和質量。在此背景下,《審計署2006至2010年審計工作發展規劃》提出“逐步開展對關系國計民生的重大行業、部門的聯網審計和信息系統審計,全面提高計算機應用水平”。日前,令狐安副審計長在南京特派辦調研時指出:系統審計應成為今后審計工作的一個重點。 信息系統審計是一個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面作出判斷的過程。從該定義可以看出,其審計內容及方法是通過對系統內部控制的審計,來判斷和評價系統的安全性、完整性、效果和效率等方面。通常,信息系統內部控制可分為一般控制和應用控制。下面結合我們在失業保險基金、養老保險基金、公路養路費等多個審計項目中嘗試信息系統內部控制審計的實踐,就相關審計內容與方法談一下膚淺的認識。 一、信息系統的一般控制及審計方法 信息系統的一般控制是指為合理保證信息系統安全、可靠的控制措施。包括組織控制、操作控制、系統開發和維護控制、硬件和系統軟件控制、災難恢復控制。目前,被審計對象一般是在日常運行的信息系統,因而,我們重點是對信息系統的組織控制、操作控制和災難恢復控制進行審計,判斷信息系統的安全性、可靠性。 1.組織控制。組織控制主要是通過不相容職責的分離來實現。審計內容包括:系統管理人員及操作人員是否有明確的管理制度及明確的職責權限、數據庫管理人員是否不審批和處理經濟業務、系統管理人員和操作人員是否不能接觸有關應用程序文件、業務處理中不相容職能是否分離等。審計可以采用查閱被審單位相關內控制度和檢查信息系統中操作用戶權限表等方法。如在養路費審計項目中,使用該方法發現信息系統中部分用戶的不相容的操作權限未予分離,征費員既有收費等征收管理的權限,又有車輛類型管理、費率設置、修改繳費標準等權限。 2.操作控制。操作控制是用來控制信息系統的操作,以保證信息系統僅用于經授權的用途和只有經授權的人員才能操作信息系統。審計內容包括:系統的操作日志設置及管理情況、操作人員是否經過授權、在人員崗位變更時,操作權限是否妥善地進行、密碼保護措施等。審計可以采用檢查操作用戶權限與被審單位內控制度、現場觀察實際操作用戶和分析系統的操作日志等方法。如在養路費項目中,使用該方法發現存在操作人員使用其他用戶進行操作信息系統的情況,操作控制不嚴,有3名協管員于2005年10月至2006年6月期間,擅自使用領導的用戶名及密碼先后8次私自減免5輛汽車養路費滯納金。 3.災難恢復控制。災難恢復控制是在系統遭受無法抗拒的、突如其來的災難時,為了將災害的損失降低最小的程度所采取的措施。審計內容與方法主要是檢查系統備份制度及執行情況、災難發生后的應急恢復安排等。 二、信息系統的應用控制及審計方法 信息系統的應用控制是設計用來合理地保證系統在特定的應用方面能夠正確地完成數據的記錄、處理和報告功能,包括輸入控制、處理控制和輸出控制。通過對系統的應用控制功能審計,檢查應用系統本身是否存在漏洞和功能缺陷,評價信息系統的可靠性、效果和效率等方面。 1.輸入控制。輸入控制確保輸入數據的合法、準確和完整,包括:數據正確地存儲、業務數據沒有丟失、增加、重復和改變、錯誤的業務數據能夠被拒絕、改正并及時地重新提交處理。審計可以采用以下方法檢查系統輸入控制。 (1)面談法、觀察法。審計人員采用與操作人員座談、現場觀察系統輸入控制,可以初步了解系統輸入控制情況。 (2)測試數據法。審計人員設計一些虛擬數據,提交系統進行處理,以測試系統輸入控制是否存在。如在社保審計中,審計人員通過測試數據法,發現存在參保人員重復開戶問題,系統輸入控制不嚴,進而發現重復征收失業保險費、養老保險費等問題。 (3)數據驗證法。主要是通過檢查數據之間邏輯關系驗證輸入數據的正確性和保存數據的完整性,包括業務數據與財務數據對比驗證和業務數據間主表與明細表核對。如在養路費審計中通過數據庫主表與明細表數據的核對和檢查,審計發現系統對部分業務數據保存不夠完整和正確:部分養路費滯納金減免記錄在減免明細表中記錄不完整、部分養路費繳費記錄存在繳費總表與繳費明細表記錄不符。又如在養老保險基金審計中通過對養老保險系統保存的地稅征收的養老保險費數據與地稅部門實際征收的數據比較核對,發現系統保存的地稅征收的養老保險費不夠正確和完整,原因在于地稅部門沒有提供標準格式的征收養老保險費情況的電子數據,社保部門通過手工將地稅征收的養老保險費數據輸入系統。 2.處理控制。處理控制確保系統按規定對數據進行處理,包括:能夠對經濟業務進行正常處理;業務數據在處理過程中沒有丟失、增加、重復或不恰當的改變;處理中錯誤能夠發現并得到及時更正。審計可以采用以下方法檢查系統應用控制。 (1)抽樣數據法。審計人員從被審單位抽樣若干經濟業務數據,檢查信息系統處理結果是否正確,以確定系統控制是否有效的執行。如在被征地人員養老保障審計中,審計人員通過對不同類型參保人員個人賬戶計息情況抽樣審核,發現部分個人賬戶計息不正確。 (2)平衡模擬法。審計人員模擬被審單位對實際數據的處理要求設計一個程序,將被審計單位的真實數據用審計人員的程序重新處理一遍,檢查信息系統控制功能是否有效。如在養路費審計中,通過該方法發現:一是信息系統對征費噸位10噸以上的運營貨車沒有根據交通運輸業征收營業稅有關“征費噸位10噸以上部分減半征收”的規定分段計算計算營業稅,而是按全部減半的方式計算營業稅,導致少征營業稅。二是信息系統對原由自行申報納稅的單位營運車輛過戶轉讓給個體運營戶后,沒有重新調整新的征費標準,而是繼續使用了原來的征費標準,導致漏征營業稅。 3.輸出控制。輸出控制確保系統處理結果的完整性和正確性、輸出結果提交給有權使用的人員。可采用面談法、觀察法和系統文檔審閱法、平衡模擬法等審計方法檢查系統輸出控制。如在失業保險金審計中,通過與系統管理員、操作人員座談及系統文檔審閱等,發現系統控制功能存在欠缺:系統沒有根據繳費記錄自動計算失業金享受類型及期限的功能,實際操作中由手工計算失業金享受類型及期限后輸入系統,然后審計人員按照法律法規的要求設計程序對業務數據進行復算,發現存在超期限、超標準發放失業保險金問題;又如在養路費審計中,發現信息系統部分查詢功能不夠全面:養路費滯納金減免查詢,只能根據時間段進行查詢,不能根據減免審批人員查詢滯納金減免情況,不利于被審計單位內部監督。【信息系統內部控制審計初探】相關文章:
內部控制審計評價初探01-10
高校內部控制審計初探03-23
內部審計質量控制初探作03-21
風險導向內部審計與內部控制結合初探(下)03-22
柔性內部控制初探03-21
信息系統環境下內部控制評審內容和方法初探03-21
內部控制審計經典論文05-23
內部控制審計經典論文06-11
(經典)內部控制審計經典論文05-26