江蘇審計廳

隨著社會信息化進(jìn)程的迅速推進(jìn)，信息系統(tǒng)成為不少單位內(nèi)部管理與控制的關(guān)鍵工具。但就目前開展信息系統(tǒng)內(nèi)部控制審計的范圍來看，還不夠廣泛，對信息系統(tǒng)內(nèi)部控制審計也不夠重視，直接影響著信息系統(tǒng)的可靠性、安全性。本文對信息系統(tǒng)內(nèi)部控制與信息系統(tǒng)內(nèi)部控制審計進(jìn)行了介紹，并對加強(qiáng)信息系統(tǒng)內(nèi)部控制審計的重要性做了闡述，同時就開展信息系統(tǒng)內(nèi)部控制審計的程序和方法提出筆者的一些膚淺認(rèn)識，繼而更好地推進(jìn)信息系統(tǒng)內(nèi)部控制審計的廣泛運(yùn)用。

一、信息系統(tǒng)內(nèi)部控制與信息系統(tǒng)內(nèi)部控制審計

　　(一)信息系統(tǒng)內(nèi)部控制

　　信息系統(tǒng)內(nèi)部控制是一個單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務(wù)活動的有效進(jìn)行，保護(hù)資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，合理確保信息系統(tǒng)提供信息的真實(shí)、合法、完整，而制定和實(shí)施的一系列政策與程序措施。它是規(guī)范秩序、防范風(fēng)險、遏制腐敗、合理確保信息系統(tǒng)功效的有效途徑，從而更好地確保組織目標(biāo)的實(shí)現(xiàn)。凡是與信息系統(tǒng)的建立、運(yùn)行維護(hù)、管理和業(yè)務(wù)處理有關(guān)的部門、人員和活動，都屬于信息系統(tǒng)內(nèi)部控制的對象。

　　信息系統(tǒng)內(nèi)部控制可以分為一般控制和應(yīng)用控制。一般控制有時稱管理控制，是指對信息系統(tǒng)的組織、開發(fā)、應(yīng)用環(huán)境等方面的控制，是應(yīng)用于一個單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制，其基本目標(biāo)為保證數(shù)據(jù)安全、保護(hù)計算機(jī)應(yīng)用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的繼續(xù)運(yùn)行等。包括組織與管理控制，應(yīng)用系統(tǒng)開發(fā)與維護(hù)控制、系統(tǒng)操作控制、硬件和軟件控制、系統(tǒng)安全控制、系統(tǒng)文檔控制等。應(yīng)用控制是信息系統(tǒng)應(yīng)用方面的具體控制。一個應(yīng)用系統(tǒng)一般由多個相關(guān)計算機(jī)程序組成，有些應(yīng)用系統(tǒng)可能是復(fù)雜的綜合系統(tǒng)，牽涉到多個計算機(jī)程序和組織單元，與此相應(yīng)，應(yīng)用控制包括包含在計算機(jī)編碼中的日?？刂萍芭c用戶活動相關(guān)的政策和流程。包括輸入控制、計算機(jī)處理與數(shù)據(jù)文件控制、輸出控制。

　　(二)信息系統(tǒng)內(nèi)部控制審計

　　信息系統(tǒng)內(nèi)部控制審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。其審計內(nèi)容及方法是通過對系統(tǒng)內(nèi)部控制的審計，來判斷和評價系統(tǒng)的可靠性、安全性、完整性、效果和效率等方面。

　　二、開展信息系統(tǒng)內(nèi)部控制審計的重要性

　　由于計算機(jī)信息系統(tǒng)的數(shù)據(jù)處理與手工處理有許多不同，從而產(chǎn)生了新的內(nèi)部控制內(nèi)容和方式，因此開展信息系統(tǒng)內(nèi)部控制審計非常必要也很重要。

　　(一)提升審計項(xiàng)目質(zhì)量的需要

　　近年來，隨著信息技術(shù)的發(fā)展，很多單位都認(rèn)識到開展信息系統(tǒng)內(nèi)部控制審計的必要性，也有些單位開展了信息系統(tǒng)內(nèi)部控制審計，但內(nèi)審部門對信息系統(tǒng)的審計重點(diǎn)仍滯留在制度執(zhí)行層面，風(fēng)險洞察水平不高，對信息系統(tǒng)內(nèi)部控制審計的重點(diǎn)和難點(diǎn)缺乏正確的認(rèn)識和處理方法，嚴(yán)重影響了審計質(zhì)量。

　　(二)提升內(nèi)部控制水平的需要

　　宇凡內(nèi)部控制整體框架包含控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通及監(jiān)控這五個相互聯(lián)系的要素。面對日新月異的信息化的發(fā)展，如果沒有審計技術(shù)手段信息化的快速跟進(jìn)并與之匹配，就無法對業(yè)務(wù)系統(tǒng)運(yùn)行的可靠性、連續(xù)性、完整性、風(fēng)險性做出準(zhǔn)確的評估，內(nèi)審部門對內(nèi)部控制的監(jiān)控作用無法有效發(fā)揮。

　　(三)創(chuàng)新審計手段的需要

　　信息系統(tǒng)內(nèi)部控制審計技術(shù)在審計領(lǐng)域的運(yùn)用，可以為創(chuàng)新審計方式打造直接平臺，實(shí)現(xiàn)審計監(jiān)督從單一性的事后審計向事前、事中、事后相結(jié)合轉(zhuǎn)變，從單一的靜態(tài)審計向動態(tài)與靜態(tài)相結(jié)合轉(zhuǎn)變，克服傳統(tǒng)的事后審計帶來的不能及時發(fā)現(xiàn)問題，防范于未然的缺陷。

　　(四)適應(yīng)業(yè)務(wù)信息化發(fā)展的需要

　　近幾年來，信息系統(tǒng)的廣泛運(yùn)用，在促進(jìn)單位業(yè)務(wù)發(fā)展和管理的水平的同時，也潛在著較大的安全和技術(shù)風(fēng)險。開展信息系統(tǒng)內(nèi)部控制審計，能夠及時發(fā)現(xiàn)信息系統(tǒng)使用中影響安全性、可靠性的問題，提出針對性的建議，促進(jìn)信息系統(tǒng)的更新和完善，以滿足不斷發(fā)展的業(yè)務(wù)信息化需要。

　　三、開展信息系統(tǒng)內(nèi)部控制審計的程序和方法

　　(一)對信息系統(tǒng)內(nèi)部控制進(jìn)行初步了解與評價

　　審計人員可以通過詢問被審計單位有關(guān)人員，查閱被審計單位的相關(guān)文件記錄、觀察被審計單位的業(yè)務(wù)活動及其運(yùn)行情況等方法，圍繞以下內(nèi)容對信息系統(tǒng)內(nèi)部控制的進(jìn)行初步了解與判斷：被審計單位的基本情況，被審計單位信息系統(tǒng)的情況，信息系統(tǒng)的網(wǎng)絡(luò)和安全管理情況,影響信息系統(tǒng)的行業(yè)監(jiān)管信息、組織內(nèi)部制度要求等內(nèi)外部因素，組織的戰(zhàn)略目標(biāo)對信息技術(shù)和信息系統(tǒng)的依賴程度，信息技術(shù)的戰(zhàn)略目標(biāo)、發(fā)展規(guī)劃及近期發(fā)展計劃，信息系統(tǒng)支持的關(guān)鍵業(yè)務(wù)流程及最近一年的人員變更情況，信息系統(tǒng)支持的關(guān)鍵業(yè)務(wù)流程及最近一年的變更情況，被審計單位對外部信息技術(shù)服務(wù)的依賴程度，最近一年主要信息系統(tǒng)的上線、升級、變更情況，被審計單位的信息資產(chǎn)的敏感程度，以前年度信息系統(tǒng)審計發(fā)現(xiàn)及追蹤情況。通過了解這些內(nèi)容，審計人員能夠?qū)Ρ粚徲媶挝坏男畔⑾到y(tǒng)關(guān)鍵程度、關(guān)鍵業(yè)務(wù)流程、內(nèi)外的監(jiān)管要求等有了初步了解，也就可以初步分析審計所面臨的風(fēng)險。

　　(二)對信息系統(tǒng)內(nèi)部控制進(jìn)行符合性測試

　　符合性測試是對內(nèi)部控制制度的實(shí)施情況和遵循結(jié)果進(jìn)行測試。對信息系統(tǒng)內(nèi)部控制進(jìn)行符合性測試可以分為一般控制符合性測試和應(yīng)用控制符合性測試。有效的一般控制是保證應(yīng)用控制有效的一個重要因素，它提供應(yīng)用系統(tǒng)運(yùn)行和應(yīng)用控制實(shí)施的環(huán)境。如果一般控制薄弱，將會嚴(yán)重地削弱相關(guān)的具體應(yīng)用控制的可靠性。由此，對一般控制的符合性測試通常在應(yīng)用控制符合性測試之前進(jìn)行。

　　1.一般控制的符合性測試

　　目前，被審計對象一般是在日常運(yùn)行的信息系統(tǒng)，因而，我們重點(diǎn)是對信息系統(tǒng)的組織控制、操作控制和災(zāi)難恢復(fù)控制進(jìn)行審計，判斷信息系統(tǒng)的安全性、可靠性。

　　(1)組織控制。組織控制主要是通過不相容職責(zé)的分離來實(shí)現(xiàn)。審計內(nèi)容包括：系統(tǒng)管理人員及操作人員是否有明確的管理制度及明確的職責(zé)權(quán)限、數(shù)據(jù)庫管理人員是否不審批和處理經(jīng)濟(jì)業(yè)務(wù)、系統(tǒng)管理人員和操作人員是否不能接觸有關(guān)應(yīng)用程序文件、業(yè)務(wù)處理中不相容職能是否分離等。審計可以采用詢問有關(guān)人員，查閱被審單位相關(guān)內(nèi)控制度和檢查信息系統(tǒng)中操作用戶權(quán)限表等方法。

　　(2)操作控制。操作控制是用來控制信息系統(tǒng)的操作，以保證信息系統(tǒng)僅用于經(jīng)授權(quán)的用途和只有經(jīng)授權(quán)的人員才能操作信息系統(tǒng)。審計內(nèi)容包括：系統(tǒng)的操作日志設(shè)置及管理情況、操作人員是否經(jīng)過授權(quán)、在人員崗位變更時，操作權(quán)限是否妥善地進(jìn)行、密碼保護(hù)措施等。審計可以采用檢查操作用戶權(quán)限與被審計單位內(nèi)控制度、現(xiàn)場觀察實(shí)際操作用戶和分析系統(tǒng)的操作日志等方法。

　　(3)災(zāi)難恢復(fù)控制。災(zāi)難恢復(fù)控制是在系統(tǒng)遭受無法抗拒的、突如其來的災(zāi)難時，為了將災(zāi)害的損失降低最小的程度所采取的措施。審計內(nèi)容與方法主要是檢查系統(tǒng)備份制度及執(zhí)行情況、災(zāi)難發(fā)生后的應(yīng)急恢復(fù)安排等。

　　2.應(yīng)用控制的符合性測試

　　信息系統(tǒng)的應(yīng)用控制是設(shè)計用來合理地保證系統(tǒng)在特定的應(yīng)用方面能夠正確地完成數(shù)據(jù)的記錄、處理和報告功能，通過對系統(tǒng)的應(yīng)用控制功能審計，檢查應(yīng)用系統(tǒng)本身是否存在漏洞和功能缺陷，評價信息系統(tǒng)的可靠性、效果和效率等方面。

　　(1)輸入控制。輸入控制確保輸入數(shù)據(jù)的合法、準(zhǔn)確和完整，包括：數(shù)據(jù)正確地存儲、業(yè)務(wù)數(shù)據(jù)沒有丟失、增加、重復(fù)和改變、錯誤的業(yè)務(wù)數(shù)據(jù)能夠被拒絕、改正并及時地重新提交處理。審計人員采用與操作人員座談、現(xiàn)場觀察系統(tǒng)輸入控制，可以初步了解系統(tǒng)輸入控制情況。審計人員設(shè)計一些虛擬數(shù)據(jù)，提交系統(tǒng)進(jìn)行處理，以測試系統(tǒng)輸入控制是否存在。審計人員可以通過數(shù)據(jù)驗(yàn)證檢查數(shù)據(jù)之間邏輯關(guān)系驗(yàn)證輸入數(shù)據(jù)的正確性和保存數(shù)據(jù)的完整性，包括業(yè)務(wù)數(shù)據(jù)與財務(wù)數(shù)據(jù)對比驗(yàn)證和業(yè)務(wù)數(shù)據(jù)間主表與明細(xì)表核對。

　　(2)處理控制。處理控制確保系統(tǒng)按規(guī)定對數(shù)據(jù)進(jìn)行處理，包括：能夠?qū)?jīng)濟(jì)業(yè)務(wù)進(jìn)行正常處理;業(yè)務(wù)數(shù)據(jù)在處理過程中沒有丟失、增加、重復(fù)或不恰當(dāng)?shù)母淖?處理中錯誤能夠發(fā)現(xiàn)并得到及時更正。審計人員從被審單位抽樣若干經(jīng)濟(jì)業(yè)務(wù)數(shù)據(jù)，檢查信息系統(tǒng)處理結(jié)果是否正確，以確定系統(tǒng)控制是否有效的執(zhí)行。審計人員模擬被審單位對實(shí)際數(shù)據(jù)的處理要求設(shè)計一個程序，將被審計單位的真實(shí)數(shù)據(jù)用審計人員的程序重新處理一遍，檢查信息系統(tǒng)控制功能是否有效。

　　(3)輸出控制。輸出控制確保系統(tǒng)處理結(jié)果的完整性和正確性、輸出結(jié)果提交給有權(quán)使用的人員?？刹捎妹嬲劮ā⒂^察法和系統(tǒng)文檔審閱法、平衡模擬法等審計方法檢查系統(tǒng)輸出控制。審計人員可以通過與系統(tǒng)管理員、操作人員座談及系統(tǒng)文檔審閱、系統(tǒng)查詢測試等發(fā)現(xiàn)系統(tǒng)輸出控制可能存在的欠缺。

　　(三)對信息系統(tǒng)內(nèi)部控制系統(tǒng)進(jìn)行總評

　　審計人員在對信息系統(tǒng)內(nèi)部控制進(jìn)行初評的基礎(chǔ)上，根據(jù)符合性測試的結(jié)果，對被審計單位信息系統(tǒng)內(nèi)部控制可信賴程度和風(fēng)險水平進(jìn)行評估，以確定將要執(zhí)行的實(shí)質(zhì)性測試程序的性質(zhì)、時間和范圍。評估中需要說明的問題主要包括內(nèi)部控制系統(tǒng)中存在的薄弱環(huán)節(jié)或發(fā)揮作用的程度及內(nèi)部控制的可信賴程度或風(fēng)險水平。

　　(四)形成信息系統(tǒng)內(nèi)部控制審計報告

　　作為對信息系統(tǒng)內(nèi)部控制進(jìn)行審計的成果，審計人員應(yīng)對被審計單位內(nèi)部管理編制信息系統(tǒng)內(nèi)部控制審計報告，指出審計過程中注意到的、影響被審計單位內(nèi)部管理的信息系統(tǒng)內(nèi)部控制缺陷，并提出有針對性的建議，同時對審計建議的采納情況進(jìn)行審計追蹤。

　　四、加強(qiáng)信息系統(tǒng)內(nèi)部控制審計的幾點(diǎn)建議

　　(一)領(lǐng)導(dǎo)轉(zhuǎn)變思路，高度重視信息系統(tǒng)內(nèi)部控制審計

　　在當(dāng)前人們對信息系統(tǒng)內(nèi)部控制的認(rèn)識還不夠的情況下，由信息系統(tǒng)引起的各種風(fēng)險產(chǎn)生的損失將是巨大的，這就要求單位的主要領(lǐng)導(dǎo)需要加強(qiáng)對信息系統(tǒng)內(nèi)部控制審計監(jiān)督的重視和支持，積極為內(nèi)審部門開展對信息系統(tǒng)內(nèi)部控制審計創(chuàng)造良好的軟、硬件環(huán)境。

　　(二)加強(qiáng)人才培養(yǎng)，不斷提高信息系統(tǒng)審計隊伍素質(zhì)

　　一方面吸收有一定工作經(jīng)驗(yàn)的計算機(jī)專業(yè)技術(shù)人才充實(shí)到單位內(nèi)審部門，改善審計人員隊伍結(jié)構(gòu)，以適應(yīng)未來日益頻繁的信息系統(tǒng)審計對審計人才的需求，同時通過業(yè)務(wù)培訓(xùn)、交流和以審代訓(xùn)的方式提高現(xiàn)有審計人員的計算機(jī)應(yīng)用水平和理論知識，并及時了解和借鑒國際上先進(jìn)的信息系統(tǒng)審計理念和方法。

　　(三)注重事前介入，從源頭加強(qiáng)信息系統(tǒng)內(nèi)部控制審計

　　內(nèi)審部門要積極提前介入同級業(yè)務(wù)和技術(shù)部門的信息系統(tǒng)開發(fā)全過程，從系統(tǒng)開發(fā)從業(yè)務(wù)需求的提出，數(shù)據(jù)結(jié)構(gòu)和內(nèi)部控制的設(shè)計、程序代碼的編寫、軟件的測試、運(yùn)行到軟件的驗(yàn)收、審計人員都應(yīng)站在內(nèi)審部門的角度從信息系統(tǒng)的合法合規(guī)性、安全可靠性、可維護(hù)性及內(nèi)部控制機(jī)制的完善性等方面提出可行意見和建議，以便從系統(tǒng)開發(fā)的源頭上防止系統(tǒng)出現(xiàn)漏洞和缺陷等安全隱患。

　　(四)優(yōu)化審計環(huán)境，提升信息系統(tǒng)內(nèi)部控制審計效率和質(zhì)量

　　內(nèi)審部門要抓緊建立計算機(jī)化的審計環(huán)境，配置實(shí)用高效的信息系統(tǒng)內(nèi)部控制審計軟件平臺，利用專用計算機(jī)審計平臺能促進(jìn)信息系統(tǒng)內(nèi)部審計工作的規(guī)范化，提升信息系統(tǒng)內(nèi)部控制審計效率和質(zhì)量。

　　(五)完善相關(guān)建設(shè)，促進(jìn)信息系統(tǒng)內(nèi)部控制審計常態(tài)化

　　單位應(yīng)建立健全相應(yīng)的制度，將信息系統(tǒng)內(nèi)控制度審計作為一條強(qiáng)制性規(guī)定明確下來，以推動計算機(jī)輔助審計方法的應(yīng)用和信息系統(tǒng)內(nèi)部控制審計的順利實(shí)施，借助信息系統(tǒng)的審計接口、網(wǎng)絡(luò)和一定的計算機(jī)輔助手段，審計人員就通過非現(xiàn)場監(jiān)督手段系統(tǒng)，全面和連續(xù)的對在信息系統(tǒng)中流動著數(shù)據(jù)信息進(jìn)行實(shí)時動態(tài)檢查，做到既能檢查數(shù)據(jù)的來源和結(jié)果，也能檢查數(shù)據(jù)流動軌跡。

　　五、結(jié)束語

　　目前，信息系統(tǒng)內(nèi)部控制對于很多單位還在摸索階段，甚至有些單位從沒有開展過信息系統(tǒng)內(nèi)部控制的審計。信息系統(tǒng)內(nèi)部控制審計的實(shí)施方法還需規(guī)范化，程序化，需要內(nèi)部審計人員的在實(shí)際工作中不斷探索，不斷總結(jié)規(guī)律，發(fā)揮內(nèi)部審計的作用，為促進(jìn)單位內(nèi)部控制的建設(shè)保駕護(hù)航，為單位經(jīng)營管理的科學(xué)發(fā)展推波助瀾。