信息系统审计的组织方式及其适用性分析.docVIP

审计研究简报 第8期 （总第169期） 审计署审计科研所 2008年7月3日 信息系统审计的组织方式及其适用性分析 信息系统审计，是指通过对被审单位信息系统的组成部分及其规划、研发、实施、运行、维护等过程进行审查，就被审单位的信息系统的安全、可靠、有效和效率性以及信息系统能否有效地使用组织资源并帮助实现组织目标发表意见的审计。信息系统审计由于其审计内容、目标、准则、方法等的鲜明特点，使其成为一种独立的审计类型。近年来，随着被审单位特别是一些国家机关、大型国企、商业银行信息化水平的不断提高，审计机关也越来越多地采用信息系统审计的方式来进行审计。要做好信息系统审计，必须合理有效地组织信息系统审计活动。在我国国家审计中，专门进行的信息系统审计的单位和项目还不多。根据与财务审计的关系，可以把信息系统审计分为与财务审计相结合的信息系统审计和专门进行的信息系统审计。相应的，信息系统审计的组织方式也可以分为与财务审计相结合的组织方式和专门进行的组织方式。 一、与财务审计相结合的组织方式 所谓与财务审计相结合的组织方式，是指在财务审计的过程中运用信息系统审计的有关手段所进行审计的组织方式。这一组织方式从本质上来说并不是完全意义上的信息系统审计，而是在财务审计过程中加入了信息系统审计的手段和方法。 1、与财务审计相结合的信息系统审计的审计目标 与财务审计相结合的信息系统审计一般是根据财务审计的需要提出的，因此这种信息系统审计应该为减少财务审计的风险服务，为财务审计提供最低限度的保证。 （1）保证信息系统软件和相关模块没有经过非法篡改。在信息化条件下，被审单位的财政财务收支数据是通过信息系统处理和输出的。如果信息系统及其相关模块被非法篡改，就难以保证被审单位财政财务收支数据的真实性和合法性。从被审单位信息系统的来源来看，有相当大的部分的信息系统是从专业软件公司购买的商品软件，还有小部分是被审单位根据业务发展的需要，自主投资开发建设的信息系统。从专业软件公司购买的商品软件，在交付使用前一般要经过公司的质量检查，而且独立开发软件的公司与被审单位相对独立，其信息系统的真实、合法和有效性能够得到一定保证。但是对于那些自主投资研发的信息系统，一些被审单位“天生”的趋利避害本能使其有通过在信息系统上作弊，实现自己目的的动机。审计中，也发现了通过在信息系统研发中预留“后门”，或是篡改相关信息系统模块作弊的例子。审计实践中发现的这些情况，给审计人员敲响了警钟，要求财务审计人员关注信息系统是否经过非法篡改，合理保证其真实、合法和有效性，才能尽量减少财务审计风险。 （2）保证与信息系统相关的内部控制存在并且有效。信息系统的真实、合法和有效、效率等目标是通过内部控制措施加以实现的。在信息化环境下，不仅被审单位的生产经营和管理的指令要输入到信息系统中去，而且生产经营和管理的结果也要通过信息系统输出来加以反馈，从一定程度上来说，信息系统就是被审单位的大脑和中枢神经，内部控制的作用则是保证大脑和神经中枢的正常运行。信息系统的内部控制是否存在并且有效，直接影响了信息系统的真实、合法和有效性，进而影响了财务审计中财政、财务收支数据的真实、合法性和准确性。可以设想的是，如果信息系统的内部控制根本不存在或者虽然存在但执行无效的话，那么信息系统输出的财政财务收支数据的真实、合法性、准确性就难以保证，财务审计的风险将大大提高。内部控制测评是信息系统审计的重要内容，通过对信息系统有关的内部控制进行测评，并提出相关的意见建议，有利于审计人员从风险控制的角度去控制财务审计的风险。如果经过审计发现信息系统内部控制根本不存在或者无效的话，那么审计人员就有理由相信被审单位的财政财务收支数据发生错弊的风险大大增加，从而在财务审计过程中加大实质性测试的程度和水平，进而从整体上减少财务审计的风险。 （3）在财务审计重点关注的领域，应重点进行信息系统审计，以保证信息系统为实现被审单位的目标服务。财务审计重点关注的领域一般也是被审单位所应实现的目标。例如在国有企业审计中应重点关注国有资产的保值增值；在上市公司审计中应重点关注收入、成本、利润的真实完整性；在社保资金的审计中应重点关注资金的安全性；在财政专项资金的审计中应关注专项资金使用的合法性等。信息系统作为被审单位管理环节中的重要一环，对实现这些目标具有不可替代的作用，尤其是在重要部门的业务系统中，可以说从信息系统的设计环节开始到运行等，就考虑到了业务的侧重点和实现目标的需要。被审单位的财政财务收支数据有很多方面，国家审计除了要从整体上关注财政财务收支数据的真实、公允性之外，重要的是根据被审单位的目标，有所侧重的进行重点审计，为国家决策服务。一般来说信息系统的目标与被审单位的目标具有相近性。审计人员在信息系统审计中