關于企業(yè)信息系統(tǒng)審計的幾點認識

2014-11-08 22:10:50 大云網(wǎng)　點擊量：評論 (0)

　近日，審計署劉家義審計長提出了信息系統(tǒng)應用責任審計是經(jīng)濟責任審計7個組成方面之一的觀點，為企業(yè)信息系統(tǒng)審計指明了方向和目標。我有幸參加了審計署組織的第一次與經(jīng)濟責任審計相結合的企業(yè)信息系統(tǒng)審計項目

　近日，審計署劉家義審計長提出了“信息系統(tǒng)應用責任審計是經(jīng)濟責任審計7個組成方面之一”的觀點，為企業(yè)信息系統(tǒng)審計指明了方向和目標。我有幸參加了審計署組織的第一次與經(jīng)濟責任審計相結合的企業(yè)信息系統(tǒng)審計項目，下面結合工作實際談一下我對企業(yè)信息系統(tǒng)審計的幾點認識：

　　一、企業(yè)信息系統(tǒng)審計是實現(xiàn)評價領導人信息系統(tǒng)應用責任的重要方法

　　目前，大型企業(yè)在組織形態(tài)走向分散化的同時其管理的集約化程度不斷提高，依靠集中的信息管理，很多大企業(yè)建立了比較發(fā)達的“神經(jīng)系統(tǒng)”，不僅基本實現(xiàn)了財務統(tǒng)一管理，在業(yè)務領域也實現(xiàn)了分布式應用、集中化管理，信息系統(tǒng)的復雜度和數(shù)據(jù)量隨之迅速增長。因此，現(xiàn)在依靠傳統(tǒng)的計算機審計思路和方法，很難對信息化程度較高的大型企業(yè)的領導人的信息系統(tǒng)應用責任做出評價，但我們通過信息系統(tǒng)審計可以從一定程度上回答企業(yè)全面的內(nèi)控和管理情況，從而達到評價企業(yè)領導人的信息系統(tǒng)應用責任的目的。雖然目前通過信息系統(tǒng)審計方法較難查出大案要案，與當前審計環(huán)境和要求有一定矛盾，但從長遠看，企業(yè)信息系統(tǒng)審計一定有生命力和發(fā)展前途。

　　二、企業(yè)信息系統(tǒng)審計的方法步驟及主要內(nèi)容

　　在國內(nèi)信息系統(tǒng)審計指南還未發(fā)布的情況下，我們本次企業(yè)信息系統(tǒng)審計主要參照2009年美國聯(lián)邦政府責任辦公室發(fā)布的《聯(lián)邦信息系統(tǒng)控制審計手冊》（以下簡稱FISCAM）提供的方法步驟和主要內(nèi)容，結合中國企業(yè)審計的實際情況開展。具體情況是：

　　（一）企業(yè)信息系統(tǒng)審計的方法步驟

　　FISCAM提供了一種依據(jù)在政府審計標準中提及的“一般公認的政府審計標準（GAGAS）”來執(zhí)行信息系統(tǒng)控制審計的方法，結合本次審計，我認為企業(yè)信息系統(tǒng)的基本方法步驟為：一是了解審計的總體目標和信息系統(tǒng)控制審計的范圍，二是了解被審計單位的運營情況和關鍵業(yè)務流程，三是全面了解被審計單位的網(wǎng)絡架構，四是識別審計關注的關鍵審計域，五是初步評價信息系統(tǒng)風險，六是識別關鍵控制點，七是進行符合性測試，八是根據(jù)符合性測試結果進行實質性測試，最后是形成審計報告。

　　（二）企業(yè)信息系統(tǒng)審計的主要內(nèi)容

　　我認為企業(yè)信息系統(tǒng)審計主要基于內(nèi)部控制開展，信息系統(tǒng)內(nèi)部控制是為了保證信息系統(tǒng)的有效性、可靠性和安全性，提高信息系統(tǒng)運營效率，確保信息準確、完整、可靠，有效保護信息資產(chǎn)，利用各種手段和技術，對信息系統(tǒng)實施的管理和控制過程。信息系統(tǒng)內(nèi)部控制可以劃分為一般控制和應用控制。

　　一般控制是對信息系統(tǒng)的開發(fā)、實施、維護和運行所進行的控制，主要目標為數(shù)據(jù)安全，保護應用程序，并確保計算機在異常中斷情況下能持續(xù)運行。一般控制所采用的控制措施普遍適用于所有的應用系統(tǒng)，為應用系統(tǒng)提供了環(huán)境上的保證。

　　應用控制即業(yè)務流程應用程序級的控制，是指與被審計單位具體業(yè)務活動相關的控制，與一般控制相對應。應用控制既可以在信息系統(tǒng)內(nèi)實現(xiàn)，也可以以手工方式實現(xiàn)。FISCAM定義應用控制為：對交易的完整性，準確性，有效性，機密性和可用性以及在應用處理中的數(shù)據(jù)的控制，通常分為應用程序級一般控制、業(yè)務流程控制、接口控制、數(shù)據(jù)管理系統(tǒng)控制等四類控制。

　　三、企業(yè)信息系統(tǒng)審計的知識能力要求

　　企業(yè)信息系統(tǒng)審計涉及多學科，需要高素質的綜合型審計人員，審計人員必須具備開展信息系統(tǒng)審計所需要的審計、內(nèi)部控制與信息技術專業(yè)能力，應當取得審計署計算機審計資格和信息系統(tǒng)審計資格，掌握信息系統(tǒng)基本知識，如具備財務會計、大型數(shù)據(jù)庫、網(wǎng)絡安全、內(nèi)部控制等方面的知識，同時具備一定的計算機輔助審計能力，能熟練運用外部資源進行信息系統(tǒng)審計測試。必要時，我們還需從外部聘請專家解決專業(yè)能力不足的問題。

　　FISCAM中對信息系統(tǒng)審計人員的專業(yè)能力也提出了具體要求，如業(yè)務流程控制審計就需具備以下專業(yè)知識和能力：一是有關應用數(shù)據(jù)完整性、準確性、有效性和機密性的實務、策略和技術的知識；二是每個業(yè)務流程處理周期中的典型應用的知識；三是使用通用審計軟件包對應用程序數(shù)據(jù)進行數(shù)據(jù)分析和測試，以及計劃、提取與評價數(shù)據(jù)樣本分析和評價組織的應用控制，并界定其優(yōu)缺點的能力。（審計署駐重慶特派辦）