江蘇審計(jì)廳

隨著社會(huì)信息化進(jìn)程的迅速推進(jìn)，信息系統(tǒng)成為不少單位內(nèi)部管理與控制的關(guān)鍵工具。但就目前開(kāi)展信息系統(tǒng)內(nèi)部控制審計(jì)的范圍來(lái)看，還不夠廣泛，對(duì)信息系統(tǒng)內(nèi)部控制審計(jì)也不夠重視，直接影響著信息系統(tǒng)的可靠性、安全性。本文對(duì)信息系統(tǒng)內(nèi)部控制與信息系統(tǒng)內(nèi)部控制審計(jì)進(jìn)行了介紹，并對(duì)加強(qiáng)信息系統(tǒng)內(nèi)部控制審計(jì)的重要性做了闡述，同時(shí)就開(kāi)展信息系統(tǒng)內(nèi)部控制審計(jì)的程序和方法提出筆者的一些膚淺認(rèn)識(shí)，繼而更好地推進(jìn)信息系統(tǒng)內(nèi)部控制審計(jì)的廣泛運(yùn)用。

一、信息系統(tǒng)內(nèi)部控制與信息系統(tǒng)內(nèi)部控制審計(jì)

　　(一)信息系統(tǒng)內(nèi)部控制

　　信息系統(tǒng)內(nèi)部控制是一個(gè)單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務(wù)活動(dòng)的有效進(jìn)行，保護(hù)資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯(cuò)誤與舞弊，合理確保信息系統(tǒng)提供信息的真實(shí)、合法、完整，而制定和實(shí)施的一系列政策與程序措施。它是規(guī)范秩序、防范風(fēng)險(xiǎn)、遏制腐敗、合理確保信息系統(tǒng)功效的有效途徑，從而更好地確保組織目標(biāo)的實(shí)現(xiàn)。凡是與信息系統(tǒng)的建立、運(yùn)行維護(hù)、管理和業(yè)務(wù)處理有關(guān)的部門(mén)、人員和活動(dòng)，都屬于信息系統(tǒng)內(nèi)部控制的對(duì)象。

　　信息系統(tǒng)內(nèi)部控制可以分為一般控制和應(yīng)用控制。一般控制有時(shí)稱(chēng)管理控制，是指對(duì)信息系統(tǒng)的組織、開(kāi)發(fā)、應(yīng)用環(huán)境等方面的控制，是應(yīng)用于一個(gè)單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制，其基本目標(biāo)為保證數(shù)據(jù)安全、保護(hù)計(jì)算機(jī)應(yīng)用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的繼續(xù)運(yùn)行等。包括組織與管理控制，應(yīng)用系統(tǒng)開(kāi)發(fā)與維護(hù)控制、系統(tǒng)操作控制、硬件和軟件控制、系統(tǒng)安全控制、系統(tǒng)文檔控制等。應(yīng)用控制是信息系統(tǒng)應(yīng)用方面的具體控制。一個(gè)應(yīng)用系統(tǒng)一般由多個(gè)相關(guān)計(jì)算機(jī)程序組成，有些應(yīng)用系統(tǒng)可能是復(fù)雜的綜合系統(tǒng)，牽涉到多個(gè)計(jì)算機(jī)程序和組織單元，與此相應(yīng)，應(yīng)用控制包括包含在計(jì)算機(jī)編碼中的日?？刂萍芭c用戶(hù)活動(dòng)相關(guān)的政策和流程。包括輸入控制、計(jì)算機(jī)處理與數(shù)據(jù)文件控制、輸出控制。

　　(二)信息系統(tǒng)內(nèi)部控制審計(jì)

　　信息系統(tǒng)內(nèi)部控制審計(jì)是一個(gè)通過(guò)收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過(guò)程。其審計(jì)內(nèi)容及方法是通過(guò)對(duì)系統(tǒng)內(nèi)部控制的審計(jì)，來(lái)判斷和評(píng)價(jià)系統(tǒng)的可靠性、安全性、完整性、效果和效率等方面。

　　二、開(kāi)展信息系統(tǒng)內(nèi)部控制審計(jì)的重要性

　　由于計(jì)算機(jī)信息系統(tǒng)的數(shù)據(jù)處理與手工處理有許多不同，從而產(chǎn)生了新的內(nèi)部控制內(nèi)容和方式，因此開(kāi)展信息系統(tǒng)內(nèi)部控制審計(jì)非常必要也很重要。

　　(一)提升審計(jì)項(xiàng)目質(zhì)量的需要

　　近年來(lái)，隨著信息技術(shù)的發(fā)展，很多單位都認(rèn)識(shí)到開(kāi)展信息系統(tǒng)內(nèi)部控制審計(jì)的必要性，也有些單位開(kāi)展了信息系統(tǒng)內(nèi)部控制審計(jì)，但內(nèi)審部門(mén)對(duì)信息系統(tǒng)的審計(jì)重點(diǎn)仍滯留在制度執(zhí)行層面，風(fēng)險(xiǎn)洞察水平不高，對(duì)信息系統(tǒng)內(nèi)部控制審計(jì)的重點(diǎn)和難點(diǎn)缺乏正確的認(rèn)識(shí)和處理方法，嚴(yán)重影響了審計(jì)質(zhì)量。

　　(二)提升內(nèi)部控制水平的需要

　　宇凡內(nèi)部控制整體框架包含控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通及監(jiān)控這五個(gè)相互聯(lián)系的要素。面對(duì)日新月異的信息化的發(fā)展，如果沒(méi)有審計(jì)技術(shù)手段信息化的快速跟進(jìn)并與之匹配，就無(wú)法對(duì)業(yè)務(wù)系統(tǒng)運(yùn)行的可靠性、連續(xù)性、完整性、風(fēng)險(xiǎn)性做出準(zhǔn)確的評(píng)估，內(nèi)審部門(mén)對(duì)內(nèi)部控制的監(jiān)控作用無(wú)法有效發(fā)揮。

　　(三)創(chuàng)新審計(jì)手段的需要

　　信息系統(tǒng)內(nèi)部控制審計(jì)技術(shù)在審計(jì)領(lǐng)域的運(yùn)用，可以為創(chuàng)新審計(jì)方式打造直接平臺(tái)，實(shí)現(xiàn)審計(jì)監(jiān)督從單一性的事后審計(jì)向事前、事中、事后相結(jié)合轉(zhuǎn)變，從單一的靜態(tài)審計(jì)向動(dòng)態(tài)與靜態(tài)相結(jié)合轉(zhuǎn)變，克服傳統(tǒng)的事后審計(jì)帶來(lái)的不能及時(shí)發(fā)現(xiàn)問(wèn)題，防范于未然的缺陷。

　　(四)適應(yīng)業(yè)務(wù)信息化發(fā)展的需要

　　近幾年來(lái)，信息系統(tǒng)的廣泛運(yùn)用，在促進(jìn)單位業(yè)務(wù)發(fā)展和管理的水平的同時(shí)，也潛在著較大的安全和技術(shù)風(fēng)險(xiǎn)。開(kāi)展信息系統(tǒng)內(nèi)部控制審計(jì)，能夠及時(shí)發(fā)現(xiàn)信息系統(tǒng)使用中影響安全性、可靠性的問(wèn)題，提出針對(duì)性的建議，促進(jìn)信息系統(tǒng)的更新和完善，以滿(mǎn)足不斷發(fā)展的業(yè)務(wù)信息化需要。

　　三、開(kāi)展信息系統(tǒng)內(nèi)部控制審計(jì)的程序和方法

　　(一)對(duì)信息系統(tǒng)內(nèi)部控制進(jìn)行初步了解與評(píng)價(jià)

　　審計(jì)人員可以通過(guò)詢(xún)問(wèn)被審計(jì)單位有關(guān)人員，查閱被審計(jì)單位的相關(guān)文件記錄、觀察被審計(jì)單位的業(yè)務(wù)活動(dòng)及其運(yùn)行情況等方法，圍繞以下內(nèi)容對(duì)信息系統(tǒng)內(nèi)部控制的進(jìn)行初步了解與判斷：被審計(jì)單位的基本情況，被審計(jì)單位信息系統(tǒng)的情況，信息系統(tǒng)的網(wǎng)絡(luò)和安全管理情況,影響信息系統(tǒng)的行業(yè)監(jiān)管信息、組織內(nèi)部制度要求等內(nèi)外部因素，組織的戰(zhàn)略目標(biāo)對(duì)信息技術(shù)和信息系統(tǒng)的依賴(lài)程度，信息技術(shù)的戰(zhàn)略目標(biāo)、發(fā)展規(guī)劃及近期發(fā)展計(jì)劃，信息系統(tǒng)支持的關(guān)鍵業(yè)務(wù)流程及最近一年的人員變更情況，信息系統(tǒng)支持的關(guān)鍵業(yè)務(wù)流程及最近一年的變更情況，被審計(jì)單位對(duì)外部信息技術(shù)服務(wù)的依賴(lài)程度，最近一年主要信息系統(tǒng)的上線、升級(jí)、變更情況，被審計(jì)單位的信息資產(chǎn)的敏感程度，以前年度信息系統(tǒng)審計(jì)發(fā)現(xiàn)及追蹤情況。通過(guò)了解這些內(nèi)容，審計(jì)人員能夠?qū)Ρ粚徲?jì)單位的信息系統(tǒng)關(guān)鍵程度、關(guān)鍵業(yè)務(wù)流程、內(nèi)外的監(jiān)管要求等有了初步了解，也就可以初步分析審計(jì)所面臨的風(fēng)險(xiǎn)。

　　(二)對(duì)信息系統(tǒng)內(nèi)部控制進(jìn)行符合性測(cè)試

　　符合性測(cè)試是對(duì)內(nèi)部控制制度的實(shí)施情況和遵循結(jié)果進(jìn)行測(cè)試。對(duì)信息系統(tǒng)內(nèi)部控制進(jìn)行符合性測(cè)試可以分為一般控制符合性測(cè)試和應(yīng)用控制符合性測(cè)試。有效的一般控制是保證應(yīng)用控制有效的一個(gè)重要因素，它提供應(yīng)用系統(tǒng)運(yùn)行和應(yīng)用控制實(shí)施的環(huán)境。如果一般控制薄弱，將會(huì)嚴(yán)重地削弱相關(guān)的具體應(yīng)用控制的可靠性。由此，對(duì)一般控制的符合性測(cè)試通常在應(yīng)用控制符合性測(cè)試之前進(jìn)行。

　　1.一般控制的符合性測(cè)試

　　目前，被審計(jì)對(duì)象一般是在日常運(yùn)行的信息系統(tǒng)，因而，我們重點(diǎn)是對(duì)信息系統(tǒng)的組織控制、操作控制和災(zāi)難恢復(fù)控制進(jìn)行審計(jì)，判斷信息系統(tǒng)的安全性、可靠性。

　　(1)組織控制。組織控制主要是通過(guò)不相容職責(zé)的分離來(lái)實(shí)現(xiàn)。審計(jì)內(nèi)容包括：系統(tǒng)管理人員及操作人員是否有明確的管理制度及明確的職責(zé)權(quán)限、數(shù)據(jù)庫(kù)管理人員是否不審批和處理經(jīng)濟(jì)業(yè)務(wù)、系統(tǒng)管理人員和操作人員是否不能接觸有關(guān)應(yīng)用程序文件、業(yè)務(wù)處理中不相容職能是否分離等。審計(jì)可以采用詢(xún)問(wèn)有關(guān)人員，查閱被審單位相關(guān)內(nèi)控制度和檢查信息系統(tǒng)中操作用戶(hù)權(quán)限表等方法。

　　(2)操作控制。操作控制是用來(lái)控制信息系統(tǒng)的操作，以保證信息系統(tǒng)僅用于經(jīng)授權(quán)的用途和只有經(jīng)授權(quán)的人員才能操作信息系統(tǒng)。審計(jì)內(nèi)容包括：系統(tǒng)的操作日志設(shè)置及管理情況、操作人員是否經(jīng)過(guò)授權(quán)、在人員崗位變更時(shí)，操作權(quán)限是否妥善地進(jìn)行、密碼保護(hù)措施等。審計(jì)可以采用檢查操作用戶(hù)權(quán)限與被審計(jì)單位內(nèi)控制度、現(xiàn)場(chǎng)觀察實(shí)際操作用戶(hù)和分析系統(tǒng)的操作日志等方法。

　　(3)災(zāi)難恢復(fù)控制。災(zāi)難恢復(fù)控制是在系統(tǒng)遭受無(wú)法抗拒的、突如其來(lái)的災(zāi)難時(shí)，為了將災(zāi)害的損失降低最小的程度所采取的措施。審計(jì)內(nèi)容與方法主要是檢查系統(tǒng)備份制度及執(zhí)行情況、災(zāi)難發(fā)生后的應(yīng)急恢復(fù)安排等。

　　2.應(yīng)用控制的符合性測(cè)試

　　信息系統(tǒng)的應(yīng)用控制是設(shè)計(jì)用來(lái)合理地保證系統(tǒng)在特定的應(yīng)用方面能夠正確地完成數(shù)據(jù)的記錄、處理和報(bào)告功能，通過(guò)對(duì)系統(tǒng)的應(yīng)用控制功能審計(jì)，檢查應(yīng)用系統(tǒng)本身是否存在漏洞和功能缺陷，評(píng)價(jià)信息系統(tǒng)的可靠性、效果和效率等方面。

　　(1)輸入控制。輸入控制確保輸入數(shù)據(jù)的合法、準(zhǔn)確和完整，包括：數(shù)據(jù)正確地存儲(chǔ)、業(yè)務(wù)數(shù)據(jù)沒(méi)有丟失、增加、重復(fù)和改變、錯(cuò)誤的業(yè)務(wù)數(shù)據(jù)能夠被拒絕、改正并及時(shí)地重新提交處理。審計(jì)人員采用與操作人員座談、現(xiàn)場(chǎng)觀察系統(tǒng)輸入控制，可以初步了解系統(tǒng)輸入控制情況。審計(jì)人員設(shè)計(jì)一些虛擬數(shù)據(jù)，提交系統(tǒng)進(jìn)行處理，以測(cè)試系統(tǒng)輸入控制是否存在。審計(jì)人員可以通過(guò)數(shù)據(jù)驗(yàn)證檢查數(shù)據(jù)之間邏輯關(guān)系驗(yàn)證輸入數(shù)據(jù)的正確性和保存數(shù)據(jù)的完整性，包括業(yè)務(wù)數(shù)據(jù)與財(cái)務(wù)數(shù)據(jù)對(duì)比驗(yàn)證和業(yè)務(wù)數(shù)據(jù)間主表與明細(xì)表核對(duì)。

　　(2)處理控制。處理控制確保系統(tǒng)按規(guī)定對(duì)數(shù)據(jù)進(jìn)行處理，包括：能夠?qū)?jīng)濟(jì)業(yè)務(wù)進(jìn)行正常處理;業(yè)務(wù)數(shù)據(jù)在處理過(guò)程中沒(méi)有丟失、增加、重復(fù)或不恰當(dāng)?shù)母淖?處理中錯(cuò)誤能夠發(fā)現(xiàn)并得到及時(shí)更正。審計(jì)人員從被審單位抽樣若干經(jīng)濟(jì)業(yè)務(wù)數(shù)據(jù)，檢查信息系統(tǒng)處理結(jié)果是否正確，以確定系統(tǒng)控制是否有效的執(zhí)行。審計(jì)人員模擬被審單位對(duì)實(shí)際數(shù)據(jù)的處理要求設(shè)計(jì)一個(gè)程序，將被審計(jì)單位的真實(shí)數(shù)據(jù)用審計(jì)人員的程序重新處理一遍，檢查信息系統(tǒng)控制功能是否有效。

　　(3)輸出控制。輸出控制確保系統(tǒng)處理結(jié)果的完整性和正確性、輸出結(jié)果提交給有權(quán)使用的人員?？刹捎妹嬲劮?、觀察法和系統(tǒng)文檔審閱法、平衡模擬法等審計(jì)方法檢查系統(tǒng)輸出控制。審計(jì)人員可以通過(guò)與系統(tǒng)管理員、操作人員座談及系統(tǒng)文檔審閱、系統(tǒng)查詢(xún)測(cè)試等發(fā)現(xiàn)系統(tǒng)輸出控制可能存在的欠缺。

　　(三)對(duì)信息系統(tǒng)內(nèi)部控制系統(tǒng)進(jìn)行總評(píng)

　　審計(jì)人員在對(duì)信息系統(tǒng)內(nèi)部控制進(jìn)行初評(píng)的基礎(chǔ)上，根據(jù)符合性測(cè)試的結(jié)果，對(duì)被審計(jì)單位信息系統(tǒng)內(nèi)部控制可信賴(lài)程度和風(fēng)險(xiǎn)水平進(jìn)行評(píng)估，以確定將要執(zhí)行的實(shí)質(zhì)性測(cè)試程序的性質(zhì)、時(shí)間和范圍。評(píng)估中需要說(shuō)明的問(wèn)題主要包括內(nèi)部控制系統(tǒng)中存在的薄弱環(huán)節(jié)或發(fā)揮作用的程度及內(nèi)部控制的可信賴(lài)程度或風(fēng)險(xiǎn)水平。

　　(四)形成信息系統(tǒng)內(nèi)部控制審計(jì)報(bào)告

　　作為對(duì)信息系統(tǒng)內(nèi)部控制進(jìn)行審計(jì)的成果，審計(jì)人員應(yīng)對(duì)被審計(jì)單位內(nèi)部管理編制信息系統(tǒng)內(nèi)部控制審計(jì)報(bào)告，指出審計(jì)過(guò)程中注意到的、影響被審計(jì)單位內(nèi)部管理的信息系統(tǒng)內(nèi)部控制缺陷，并提出有針對(duì)性的建議，同時(shí)對(duì)審計(jì)建議的采納情況進(jìn)行審計(jì)追蹤。

　　四、加強(qiáng)信息系統(tǒng)內(nèi)部控制審計(jì)的幾點(diǎn)建議

　　(一)領(lǐng)導(dǎo)轉(zhuǎn)變思路，高度重視信息系統(tǒng)內(nèi)部控制審計(jì)

　　在當(dāng)前人們對(duì)信息系統(tǒng)內(nèi)部控制的認(rèn)識(shí)還不夠的情況下，由信息系統(tǒng)引起的各種風(fēng)險(xiǎn)產(chǎn)生的損失將是巨大的，這就要求單位的主要領(lǐng)導(dǎo)需要加強(qiáng)對(duì)信息系統(tǒng)內(nèi)部控制審計(jì)監(jiān)督的重視和支持，積極為內(nèi)審部門(mén)開(kāi)展對(duì)信息系統(tǒng)內(nèi)部控制審計(jì)創(chuàng)造良好的軟、硬件環(huán)境。

　　(二)加強(qiáng)人才培養(yǎng)，不斷提高信息系統(tǒng)審計(jì)隊(duì)伍素質(zhì)

　　一方面吸收有一定工作經(jīng)驗(yàn)的計(jì)算機(jī)專(zhuān)業(yè)技術(shù)人才充實(shí)到單位內(nèi)審部門(mén)，改善審計(jì)人員隊(duì)伍結(jié)構(gòu)，以適應(yīng)未來(lái)日益頻繁的信息系統(tǒng)審計(jì)對(duì)審計(jì)人才的需求，同時(shí)通過(guò)業(yè)務(wù)培訓(xùn)、交流和以審代訓(xùn)的方式提高現(xiàn)有審計(jì)人員的計(jì)算機(jī)應(yīng)用水平和理論知識(shí)，并及時(shí)了解和借鑒國(guó)際上先進(jìn)的信息系統(tǒng)審計(jì)理念和方法。

　　(三)注重事前介入，從源頭加強(qiáng)信息系統(tǒng)內(nèi)部控制審計(jì)

　　內(nèi)審部門(mén)要積極提前介入同級(jí)業(yè)務(wù)和技術(shù)部門(mén)的信息系統(tǒng)開(kāi)發(fā)全過(guò)程，從系統(tǒng)開(kāi)發(fā)從業(yè)務(wù)需求的提出，數(shù)據(jù)結(jié)構(gòu)和內(nèi)部控制的設(shè)計(jì)、程序代碼的編寫(xiě)、軟件的測(cè)試、運(yùn)行到軟件的驗(yàn)收、審計(jì)人員都應(yīng)站在內(nèi)審部門(mén)的角度從信息系統(tǒng)的合法合規(guī)性、安全可靠性、可維護(hù)性及內(nèi)部控制機(jī)制的完善性等方面提出可行意見(jiàn)和建議，以便從系統(tǒng)開(kāi)發(fā)的源頭上防止系統(tǒng)出現(xiàn)漏洞和缺陷等安全隱患。

　　(四)優(yōu)化審計(jì)環(huán)境，提升信息系統(tǒng)內(nèi)部控制審計(jì)效率和質(zhì)量

　　內(nèi)審部門(mén)要抓緊建立計(jì)算機(jī)化的審計(jì)環(huán)境，配置實(shí)用高效的信息系統(tǒng)內(nèi)部控制審計(jì)軟件平臺(tái)，利用專(zhuān)用計(jì)算機(jī)審計(jì)平臺(tái)能促進(jìn)信息系統(tǒng)內(nèi)部審計(jì)工作的規(guī)范化，提升信息系統(tǒng)內(nèi)部控制審計(jì)效率和質(zhì)量。

　　(五)完善相關(guān)建設(shè)，促進(jìn)信息系統(tǒng)內(nèi)部控制審計(jì)常態(tài)化

　　單位應(yīng)建立健全相應(yīng)的制度，將信息系統(tǒng)內(nèi)控制度審計(jì)作為一條強(qiáng)制性規(guī)定明確下來(lái)，以推動(dòng)計(jì)算機(jī)輔助審計(jì)方法的應(yīng)用和信息系統(tǒng)內(nèi)部控制審計(jì)的順利實(shí)施，借助信息系統(tǒng)的審計(jì)接口、網(wǎng)絡(luò)和一定的計(jì)算機(jī)輔助手段，審計(jì)人員就通過(guò)非現(xiàn)場(chǎng)監(jiān)督手段系統(tǒng)，全面和連續(xù)的對(duì)在信息系統(tǒng)中流動(dòng)著數(shù)據(jù)信息進(jìn)行實(shí)時(shí)動(dòng)態(tài)檢查，做到既能檢查數(shù)據(jù)的來(lái)源和結(jié)果，也能檢查數(shù)據(jù)流動(dòng)軌跡。

　　五、結(jié)束語(yǔ)

　　目前，信息系統(tǒng)內(nèi)部控制對(duì)于很多單位還在摸索階段，甚至有些單位從沒(méi)有開(kāi)展過(guò)信息系統(tǒng)內(nèi)部控制的審計(jì)。信息系統(tǒng)內(nèi)部控制審計(jì)的實(shí)施方法還需規(guī)范化，程序化，需要內(nèi)部審計(jì)人員的在實(shí)際工作中不斷探索，不斷總結(jié)規(guī)律，發(fā)揮內(nèi)部審計(jì)的作用，為促進(jìn)單位內(nèi)部控制的建設(shè)保駕護(hù)航，為單位經(jīng)營(yíng)管理的科學(xué)發(fā)展推波助瀾。