淺談資訊系統審計論文

  資訊科技的飛躍發展改變了政治、經濟、社會、文化的結構和執行方式,隨著資訊科技的滲透,公共部門的審計工作正面臨前所未有的挑戰。下面是小編為大家整理的,供大家參考。

  篇一

  《 資訊系統審計初探 》

  資訊系統審計是一項較新的審計領域,也是計算機審計的一項重要審計內容,它通過關注資訊系統的可靠性和安全性,促進被審計單位的資訊保安和資料真實。日前,筆者從一般控制、應用控制、績效等事項,對某單位開展資訊系統審計,並從真實性、安全性、有效性、經濟性等方面進行了審計評價,揭示被審計單位資訊系統存在的漏洞和安全隱患,積極摸索了資訊系統績效審計的方式方法,積累了一定經驗,筆者從以下幾個方面淺談一些看法。

  一般控制審計,全面評估系統及環境安全性,揭示系統安全隱患

  在一般控制審計中,審計人員通過日誌分析法,分析財務軟體的操作記錄,發現被審計單位的財務軟體存在反記賬、反結賬功能,其中部分反記反結賬操作為修改之前的憑證資訊,且時間跨度超過180天,導致之前被修改月份已形成的會計報表數字不真實。

  通過實地觀察法和麵談詢問法,對資訊系統的部署環境包括機房和裝置進行檢查和測評,發現機房未建設電子門禁系統;未安裝水浸、監控探頭等監控裝置;部分伺服器主機裝置已過質保服務期,且未進行硬體維護服務外包;未制定機房出入登記管理制度;未制定針對資訊系統及其機房硬體裝置出現重大問題時的應急管理制度等,資訊系統的環境存在安全隱患。

  利用漏洞掃描工具和網路檢測診斷工具,對資訊系統的網路環境進行了檢查和評估。發現被審計單位的三個網路業務內網、業務外網、外網申報網路部分伺服器主機存在作業系統、後臺資料庫弱口令以及重要漏洞未修補等問題;三個網路均缺少監控篡改、誤改資料庫的安全審計系統,缺少防止非法使用者入侵網路的入侵檢測系統,缺少提升網路管理效能和安全性的網路管理系統,缺少對日常上網行為進行規範和記錄的上網行為管理系統,網路安全存在隱患。

  通過問卷調查法,對被審計單位的資訊系統安全進行了評估。發現被審計單位的四套資訊系統均未進行安全等級測評,未制定風險評估計劃和方案,系統安全存在隱患。

  應用控制審計,深入分析資訊系統的有效性,查詢系統功能漏洞

  利用測試資料法和流程圖檢查法,通過構建資料驗證分析模型,對資訊系統的業務流程控制、資料介面、資料輸入、處理、輸出控制、資料庫應用控制、資料邏輯控制的有效性和可靠性進行了測試,同時結合資料審計和財務收支審計發現的問題,從資訊系統的層面分析問題產生的深層次原因。

  經過審計,發現業務資訊系統與財務資訊系統不銜接,且未設計對賬功能,導致業務資訊系統無法全面、真實反映收入情況,如某單位在審計年度兩大系統收入差額數百萬元;業務資訊系統功能不完善,導致不能重現歷史滯後補繳計劃,無法準確核算歷史徵繳計劃和單位欠費情況;業務資訊系統未設計檢測關鍵標誌資訊功能,導致未足額繳納費用;未設計檢測資料合理性功能,導致系統基礎資訊不真實、不合理,個別人重複享受待遇或多享受待遇;未設計檢測資料合規性功能,導致不符合條件人員享受待遇;未設計多支應收回計劃功能,導致無法自動生成多支應收回計劃,多支付的待遇金額未及時追回;新老系統資料轉換錯誤,導致部分欄位資料不合理、資料邏輯錯誤。

  績效審計,綜合評價資訊系統的經濟性,拷問管理決策失誤

  由於資訊系統績效審計尚沒有成熟的評價指標體系,審計人員在實踐中摸索了利用資金使用情況檢查法、對比分析法、問卷調查法進行審計評價的方法。

  利用資金使用情況檢查法,通過調取財務資料、專案招投標手續、會議紀要等,對資訊系統建設資金來源的合法性、資金支出的合規性、招投標手續的完備性、合法性等事項進行檢查,發現專案執行及維護經費支出中,公務經費支出比例佔一半以上,不利於發揮專項資金的使用效益;機房上百萬元的基礎設施閒置,未能發揮工程建設資金的使用效益。通過審計還發現,專案建設週期過長,資訊化的效益未能得到充分發揮。發改委批覆專案建設週期為2年,截至審計之日,已歷經7年時間,專案建設仍未完成,且資金到位率為88%,實際完成投資額僅為49%。

  利用對比分析法和問卷調查法,選擇使用該系統的10家單位13個部門,對資訊系統設計了6大項指標18個問題,使用加權平均法對問卷結果進行量化評分,問卷結果顯示,資訊系統的技術指標、技術經濟效益即價效比、社會效益的得分均在及格線以下,資訊系統建設效益較差,應用情況不理想,使用者滿意度低。使用者反映的問題主要集中在系統執行速度慢、穩定性差、功能不完善、資料不準確、需求不能及時滿足等方面。由於系統問題,有2個省轄市曾被投訴至市政府或效能辦,2個省轄市部分業務現在暫停辦理。

  由於該系統的不完善、資料不準確等原因,導致該系統的網上申報查詢系統的利用率同樣很低,企業投入資金未能發揮應有的效益。

  深入細緻探究原因,客觀謹慎提出建議

  我們所審計的重點單位,多是投入的資金量較大,與人民群眾利益息息相關的單位,而這些單位資訊系統存在較多的安全隱患和功能缺陷,建設效益不佳,將直接導致國家政策的執行力、人民群眾的利益受到影響,因此,不僅要查出問題,還應深刻剖析原因。我們今年對某單位開展的資訊系統審計中就發現,該單位建設開發的資訊系統除了其本身功能缺陷外,本地化開發工作不足,開發與實際應用脫節造成系統功能滯後於業務需求。一是導致系統功能改進中間環節多、週期長,不同程度上影響了各級系統使用部門正常業務的辦理。二是導致系統功能不能和國家、當地政策有效結合,使國家和各地政府制定的政策不能得到及時的貫徹執行,無法有效堵塞國家資金徵繳、管理和使用中的漏洞。

  資訊系統審計查出的問題有著十分複雜的背景和原因,處理時應十分謹慎和客觀,對此,我們在審計報告中並未提出處理意見,而是提出了十二項審計整改建議,如督促規範專項資金的使用和管理,提高資金使用效益;加強系統使用部門、開發部門以及上級機關的溝通協商,切實做好需求調研,加快本地化開發程序,完善系統功能;加快建設進度,及時組織驗收工作;加強系統安全管理,建立、健全安全管理制度和手段,消除安全隱患等。該專案的審計結果得到了主管副省長的批示。

  結語

  從查錯糾弊到防微杜漸,從冰山一角到溯本求源,資訊系統審計正在以其獨特的優勢衝擊著審計人員的思維,以其創新的視角引領著國家審計發展的新趨勢,在拓寬審計領域、深化審計內涵、提升審計質量、降低審計風險上,發揮著前所未有的作用和魅力。

  篇二

  《 淺議資訊系統審計 》

  【摘要】在 計算 機資訊系統 環境下,由於各種不確定因素的影響,使 審計質量受到影響,要想提高審計質量必須對 計算機內部資料處理的詳細過程直接進行審查,並加快 發展 資訊系統審計來完善審計 工作。

  眾所周知,審計質量是評價審計工作水平高低的標準,是 會計 師事務所的生命。審計質量的高低直接影響審計目標的實現,對 社會 經濟 的發展與穩定產生著直接或間接的影響。由於早期計算機 應用比較簡單,計算機審計業務主要關注被審計單位 電子 資料的取得、分析、計算等資料處理業務,還稱不上資訊系統審計;隨著資訊時代的到來, 網路 的普及及計算機資訊系統的建立為資訊系統審計帶來了前所未有的機遇和挑戰。

  一、計算機資訊系統環境下對審計質量的影響

  一審計線索的減少

  審計線索,亦稱“審計軌跡”,在計算機資訊系統環境下,會計核算主要由計算機完成,計算機只記錄最後處理結果,忽略中間處理過程,資料形成依據的記錄減少。儲存於磁性介質上的會計資料具有存取方便、修改與刪除不留痕跡的特點,這又給審計的追蹤帶來重重困難。因此,計算機資訊系統環境下審計線索的減少和追蹤困難的增加,必定給審計質量帶來重大影響。

  二審計物件的限制

  審計物件是審計監督、檢查和評價的客體,具體體現為被審計單位的各項經濟活動及其反映的資料。在計算機資訊系統環境下,註冊會計師進行審計的依據是計算機的輸出資訊,審計物件在此受到計算機操作人員的限制。後者完全可以只提供他們願意被審計的資訊,其他敏感性資訊則極有可能被人為掩藏。這樣,註冊會計師處於被動地位,難以獲取充足的審計證據支援其審計結論,審計質量顯然要受到影響。

  三審計內容的擴充套件

  手工系統中,審計內容就是有關財務會計的資訊,而計算機環境下的審計內容還包括會計電算化系統的開發與設計、會計 軟體的程式以及資料庫 管理系統。此外,註冊會計師還應該確定系統的開發與設計方法是否合理,是否嚴格按照分析、設計,測試、執行、維護的步驟進行,分析是否全面、設計是否恰當、測試是否充分,會計軟體執行程式是否與實際操作中的業務流程一致,資料庫管理系統是否有效,會計軟體是否能夠予以信賴,並以會計軟體處理輸出的結果作為審計物件。

  四審計方法的落後

  目前,被審計單位的財務工作多采用計算機進行資料處理,會計電算化軟體功能日臻完善,但是審計軟體的發展遠遠沒有跟上會計軟體發展的步伐,同時大部分註冊會計師對計算機資訊系統還不太熟悉,絕大多數審計業務仍停留在繞過計算機進行審計的階段。但是這種方法的運用以系統必須留有足夠的、肉眼可以識別的審計線索為條件,如前文所述,審計線索缺乏是計算機環境的一個特點,因此,繞過計算機審計的方法難以保證計算機環境下的審計質量。

  五註冊會計師計算機知識的缺乏

  在計算機環境下,從審計 計劃的制定到審計程式的確定,從審計技術的選擇到審計方法的採用,都必須由註冊會計師操作和指揮。這要求註冊會計師不僅要有豐富的會計、財務、審計知識和技能,熟悉財經 法律 以及其他的審計依據,而且還應當掌握計算機知識及應用技術,掌握資料處理和管理技術;不僅要懂得審計軟體的操作方法,而且還應當根據審計過程中所出現的種種問題,即時編寫出各種測試、審計程式模組。

  二、計算機資訊系統環境下提高審計質量的對策

  為了提高在計算機資訊系統環境下的審計質量,在財務審計中,變繞過計算機審計為穿過計算機審計,對計算機內部資料處理的詳細過程直接進行審查。內容包括以下幾個方面。

  一積極開展計算機資訊系統的事前審計

  通過事前審計監督,對計算機資訊系統建立的內部控制的嚴密完善性、系統的合規合法性以及系統的可審性等進行評價,保證計算機資訊系統執行以後資料處理結果的真實性和正確性,防止和減少計算機資訊系統資訊失真風險的發生。

  二定期對被審系統的內部控制制度進行審計

  對計算機資訊系統的內部控制進行審查和評價是提高計算機資訊系統環境下審計質量的有效措施之一。通過對被審計系統內部控制制度的健全性調查和實際執行情況的符合性測試,找出控制的弱點,提出強化內部控制措施,督促被審計單位完善內部控制系統。

  三重視 計算 機資訊系統的事後 審計

  通過事後審計,對 計算機資訊系統的 電子 賬以及列印輸出資料的真實性、合法性進行評價,防止和揭露計算機資訊失真的風險。

  通過以上分析,在計算機資訊系統 環境下審計的業務範圍已經擴充套件到了符合性測試領域。為財務報表審計提供服務只是資訊系統審計業務內容很小的一部分,與資訊保安相關的防火牆審計、安全診斷、資訊科技認證以及ERP相關的新型諮詢業務在不斷湧現。

  三、加快 發展 資訊系統審計

  資訊科技的發展對 中國 註冊 會計 師和會計師事務所提出了更高的要求。國際同行的業務收入中,傳統審計服務的收入比例在迅速下降,風險控制服務和 管理諮詢服務收入的比重大大提高,而這些收入中增長的部分往往又和IT環境審計和資訊系統安全審計服務有關。所以,應該從三個方面發展資訊系統審計 工作。

  一內部控制環節的變化,使許多傳統的控制手段已經失去意義,評價和改進內部控制必須以資訊系統的運轉為基礎

  計算機資訊系統下的內部控制雖然與手工會計系統的目標是一致的,但是與手工會計系統相比,由於計算機有自動處理的功能,內部處理的不可控制性要求採用更為嚴格的方法。所以在控制方式、內容、手段等方面均不同於手工會計系統的內部控制。

  1.職權制審查:即從 組織機構角度審查資訊系統中各種人員的職責與權利、 聯絡與牽制。

  2.人員素質審查:即是否有以提高人員素質為目的的控制措施。

  3.硬體及環境審查:即對存檔的系統設計文字中有關硬體的資料審查。

  4.執行審查:即對計算機在輸入、處理、輸出過程中的執行情況審查。

  5.修改方式及保密措施審查:審查操作修改程式是否只有一個,即憑證輸;發現錯誤是否採用重新輸入憑證的方式加以修改;是否修改後有修改痕跡;各主要功能模組是否設定操作口令,程式是否建立保密制度。

  二控制計算機環境風險和資訊系統執行風險作為管理諮詢和服務的重點

  由於 企業 經營越來越依賴於資訊系統,除了傳統意義上的經營風險、控制風險和財務風險之外,企業資訊系統安全性導致的資訊風險也日益增長。非授權使用者常常利用資訊系統本身存在的脆弱性對系統進行非法訪問,這種非法訪問使系統中儲存資訊的完整性受到威脅,使資訊被修改或破壞而不能繼續使用,更為嚴重的是系統中有價值的資訊被非法篡改、偽造、竊取或刪改而不留任何痕跡。此外,計算機還容易受各種 自然 災害和各種誤操作的破壞。必須認識到資訊系統的這種脆弱性,採取有效措施來保證資訊系統的安全。

  減少被審計單位的資訊風險、提高資訊系統的安全性,其中最重要的手段是系統開發審計。在資訊系統開發過程中控制資訊系統中的不安全因素,使資訊系統減少有意的或無意的差錯。目前,我國大多數企業正處於資訊系統的 應用及逐步完善階段,系統開發審計應該是我國資訊系統審計師的主要業務範圍。

  隨著 經濟 的不斷髮展,企業的經營規模正在不斷擴大,使得企業的經營管理日益複雜,企業對內部和外部的資訊交流需求也日益提高,傳統的資訊交流模式已不能滿足其需要。Internet/Intranet已經逐漸成為企業成功不可缺少的工具。Intranet網的應用在給企業注入了新的活力的同時,也給傳統的審計工作提出了很嚴峻的挑戰。加快發展資訊系統審計是我們完善審計工作的重要內容之一。

有關推薦: