信息系統(tǒng)內(nèi)部控制審計(jì)初探

隨著社會(huì)信息化進(jìn)程的迅速推進(jìn)，信息系統(tǒng)成為不少被審單位內(nèi)部管理與控制的關(guān)鍵工具。因此，信息系統(tǒng)的可靠性、安全性已經(jīng)直接影響著審計(jì)工作效率和質(zhì)量。在此背景下，《審計(jì)署2006至2010年審計(jì)工作發(fā)展規(guī)劃》提出“逐步開(kāi)展對(duì)關(guān)系國(guó)計(jì)民生的重大行業(yè)、部門的聯(lián)網(wǎng)審計(jì)和信息系統(tǒng)審計(jì)，全面提高計(jì)算機(jī)應(yīng)用水平”。日前，令狐安副審計(jì)長(zhǎng)在南京特派辦調(diào)研時(shí)指出：系統(tǒng)審計(jì)應(yīng)成為今后審計(jì)工作的一個(gè)重點(diǎn)�！　⌒畔⑾到y(tǒng)審計(jì)是一個(gè)通過(guò)收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過(guò)程。從該定義可以看出，其審計(jì)內(nèi)容及方法是通過(guò)對(duì)系統(tǒng)內(nèi)部控制的審計(jì)，來(lái)判斷和評(píng)價(jià)系統(tǒng)的安全性、完整性、效果和效率等方面。通常，信息系統(tǒng)內(nèi)部控制可分為一般控制和應(yīng)用控制。下面結(jié)合我們?cè)谑�業(yè)保險(xiǎn)基金、養(yǎng)老保險(xiǎn)基金、公路養(yǎng)路費(fèi)等多個(gè)審計(jì)項(xiàng)目中嘗試信息系統(tǒng)內(nèi)部控制審計(jì)的實(shí)踐，就相關(guān)審計(jì)內(nèi)容與方法談一下膚淺的認(rèn)識(shí)�！　�一、信息系統(tǒng)的一般控制及審計(jì)方法　　信息系統(tǒng)的一般控制是指為合理保證信息系統(tǒng)安全、可靠的控制措施。包括組織控制、操作控制、系統(tǒng)開(kāi)發(fā)和維護(hù)控制、硬件和系統(tǒng)軟件控制、災(zāi)難恢復(fù)控制。目前，被審計(jì)對(duì)象一般是在日常運(yùn)行的信息系統(tǒng)，因而，我們重點(diǎn)是對(duì)信息系統(tǒng)的組織控制、操作控制和災(zāi)難恢復(fù)控制進(jìn)行審計(jì)，判斷信息系統(tǒng)的安全性、可靠性�！　�1.組織控制。組織控制主要是通過(guò)不相容職責(zé)的分離來(lái)實(shí)現(xiàn)。審計(jì)內(nèi)容包括：系統(tǒng)管理人員及操作人員是否有明確的管理制度及明確的職責(zé)權(quán)限、數(shù)據(jù)庫(kù)管理人員是否不審批和處理經(jīng)濟(jì)業(yè)務(wù)、系統(tǒng)管理人員和操作人員是否不能接觸有關(guān)應(yīng)用程序文件、業(yè)務(wù)處理中不相容職能是否分離等。審計(jì)可以采用查閱被審單位相關(guān)內(nèi)控制度和檢查信息系統(tǒng)中操作用戶權(quán)限表等方法。如在養(yǎng)路費(fèi)審計(jì)項(xiàng)目中，使用該方法發(fā)現(xiàn)信息系統(tǒng)中部分用戶的不相容的操作權(quán)限未予分離，征費(fèi)員既有收費(fèi)等征收管理的權(quán)限，又有車輛類型管理、費(fèi)率設(shè)置、修改繳費(fèi)標(biāo)準(zhǔn)等權(quán)限。　　2.操作控制。操作控制是用來(lái)控制信息系統(tǒng)的操作，以保證信息系統(tǒng)僅用于經(jīng)授權(quán)的用途和只有經(jīng)授權(quán)的人員才能操作信息系統(tǒng)。審計(jì)內(nèi)容包括：系統(tǒng)的操作日志設(shè)置及管理情況、操作人員是否經(jīng)過(guò)授權(quán)、在人員崗位變更時(shí)，操作權(quán)限是否妥善地進(jìn)行、密碼保護(hù)措施等。審計(jì)可以采用檢查操作用戶權(quán)限與被審單位內(nèi)控制度、現(xiàn)場(chǎng)觀察實(shí)際操作用戶和分析系統(tǒng)的操作日志等方法。如在養(yǎng)路費(fèi)項(xiàng)目中，使用該方法發(fā)現(xiàn)存在操作人員使用其他用戶進(jìn)行操作信息系統(tǒng)的情況，操作控制不嚴(yán)，有3名協(xié)管員于2005年10月至2006年6月期間，擅自使用領(lǐng)導(dǎo)的用戶名及密碼先后8次私自減免5輛汽車養(yǎng)路費(fèi)滯納金�！　�3.災(zāi)難恢復(fù)控制。災(zāi)難恢復(fù)控制是在系統(tǒng)遭受無(wú)法抗拒的、突如其來(lái)的災(zāi)難時(shí)，為了將災(zāi)害的損失降低最小的程度所采取的措施。審計(jì)內(nèi)容與方法主要是檢查系統(tǒng)備份制度及執(zhí)行情況、災(zāi)難發(fā)生后的應(yīng)急恢復(fù)安排等�！�　二、信息系統(tǒng)的應(yīng)用控制及審計(jì)方法　　信息系統(tǒng)的應(yīng)用控制是設(shè)計(jì)用來(lái)合理地保證系統(tǒng)在特定的應(yīng)用方面能夠正確地完成數(shù)據(jù)的記錄、處理和報(bào)告功能，包括輸入控制、處理控制和輸出控制。通過(guò)對(duì)系統(tǒng)的應(yīng)用控制功能審計(jì)，檢查應(yīng)用系統(tǒng)本身是否存在漏洞和功能缺陷，評(píng)價(jià)信息系統(tǒng)的可靠性、效果和效率等方面�！　�1.輸入控制。輸入控制確保輸入數(shù)據(jù)的合法、準(zhǔn)確和完整，包括：數(shù)據(jù)正確地存儲(chǔ)、業(yè)務(wù)數(shù)據(jù)沒(méi)有丟失、增加、重復(fù)和改變、錯(cuò)誤的業(yè)務(wù)數(shù)據(jù)能夠被拒絕、改正并及時(shí)地重新提交處理。審計(jì)可以采用以下方法檢查系統(tǒng)輸入控制�！　。�1）面談法、觀察法。審計(jì)人員采用與操作人員座談、現(xiàn)場(chǎng)觀察系統(tǒng)輸入控制，可以初步了解系統(tǒng)輸入控制情況。 　�。�2）測(cè)試數(shù)據(jù)法。審計(jì)人員設(shè)計(jì)一些虛擬數(shù)據(jù)，提交系統(tǒng)進(jìn)行處理，以測(cè)試系統(tǒng)輸入控制是否存在。如在社保審計(jì)中，審計(jì)人員通過(guò)測(cè)試數(shù)據(jù)法，發(fā)現(xiàn)存在參保人員重復(fù)開(kāi)戶問(wèn)題，系統(tǒng)輸入控制不嚴(yán)，進(jìn)而發(fā)現(xiàn)重復(fù)征收失業(yè)保險(xiǎn)費(fèi)、養(yǎng)老保險(xiǎn)費(fèi)等問(wèn)題�！　。�3）數(shù)據(jù)驗(yàn)證法。主要是通過(guò)檢查數(shù)據(jù)之間邏輯關(guān)系驗(yàn)證輸入數(shù)據(jù)的正確性和保存數(shù)據(jù)的完整性，包括業(yè)務(wù)數(shù)據(jù)與財(cái)務(wù)數(shù)據(jù)對(duì)比驗(yàn)證和業(yè)務(wù)數(shù)據(jù)間主表與明細(xì)表核對(duì)。如在養(yǎng)路費(fèi)審計(jì)中通過(guò)數(shù)據(jù)庫(kù)主表與明細(xì)表數(shù)據(jù)的核對(duì)和檢查，審計(jì)發(fā)現(xiàn)系統(tǒng)對(duì)部分業(yè)務(wù)數(shù)據(jù)保存不夠完整和正確：部分養(yǎng)路費(fèi)滯納金減免記錄在減免明細(xì)表中記錄不完整、部分養(yǎng)路費(fèi)繳費(fèi)記錄存在繳費(fèi)總表與繳費(fèi)明細(xì)表記錄不符。又如在養(yǎng)老保險(xiǎn)基金審計(jì)中通過(guò)對(duì)養(yǎng)老保險(xiǎn)系統(tǒng)保存的地稅征收的養(yǎng)老保險(xiǎn)費(fèi)數(shù)據(jù)與地稅部門實(shí)際征收的數(shù)據(jù)比較核對(duì)，發(fā)現(xiàn)系統(tǒng)保存的地稅征收的養(yǎng)老保險(xiǎn)費(fèi)不夠正確和完整，原因在于地稅部門沒(méi)有提供標(biāo)準(zhǔn)格式的征收養(yǎng)老保險(xiǎn)費(fèi)情況的電子數(shù)據(jù)，社保部門通過(guò)手工將地稅征收的養(yǎng)老保險(xiǎn)費(fèi)數(shù)據(jù)輸入系統(tǒng)�！　�2.處理控制。處理控制確保系統(tǒng)按規(guī)定對(duì)數(shù)據(jù)進(jìn)行處理，包括：能夠?qū)��?jīng)濟(jì)業(yè)務(wù)進(jìn)行正常處理；業(yè)務(wù)數(shù)據(jù)在處理過(guò)程中沒(méi)有丟失、增加、重復(fù)或不恰當(dāng)?shù)母淖�；處理中錯(cuò)誤能夠發(fā)現(xiàn)并得到及時(shí)更正。審計(jì)可以采用以下方法檢查系統(tǒng)應(yīng)用控制�！　。�1）抽樣數(shù)據(jù)法。審計(jì)人員從被審單位抽樣若干經(jīng)濟(jì)業(yè)務(wù)數(shù)據(jù)，檢查信息系統(tǒng)處理結(jié)果是否正確，以確定系統(tǒng)控制是否有效的執(zhí)行。如在被征地人員養(yǎng)老保障審計(jì)中，審計(jì)人員通過(guò)對(duì)不同類型參保人員個(gè)人賬戶計(jì)息情況抽樣審核，發(fā)現(xiàn)部分個(gè)人賬戶計(jì)息不正確�！　。�2）平衡模擬法。審計(jì)人員模擬被審單位對(duì)實(shí)際數(shù)據(jù)的處理要求設(shè)計(jì)一個(gè)程序，將被審計(jì)單位的真實(shí)數(shù)據(jù)用審計(jì)人員的程序重新處理一遍，檢查信息系統(tǒng)控制功能是否有效。如在養(yǎng)路費(fèi)審計(jì)中，通過(guò)該方法發(fā)現(xiàn)：一是信息系統(tǒng)對(duì)征費(fèi)噸位10噸以上的運(yùn)營(yíng)貨車沒(méi)有根據(jù)交通運(yùn)輸業(yè)征收營(yíng)業(yè)稅有關(guān)“征費(fèi)噸位10噸以上部分減半征收”的規(guī)定分段計(jì)算計(jì)算營(yíng)業(yè)稅，而是按全部減半的方式計(jì)算營(yíng)業(yè)稅，導(dǎo)致少征營(yíng)業(yè)稅。二是信息系統(tǒng)對(duì)原由自行申報(bào)納稅的單位營(yíng)運(yùn)車輛過(guò)戶轉(zhuǎn)讓給個(gè)體運(yùn)營(yíng)戶后，沒(méi)有重新調(diào)整新的征費(fèi)標(biāo)準(zhǔn)，而是繼續(xù)使用了原來(lái)的征費(fèi)標(biāo)準(zhǔn)，導(dǎo)致漏征營(yíng)業(yè)稅。　　3.輸出控制。輸出控制確保系統(tǒng)處理結(jié)果的完整性和正確性、輸出結(jié)果提交給有權(quán)使用的人員�？刹捎妹嬲劮�、觀察法和系統(tǒng)文檔審閱法、平衡模擬法等審計(jì)方法檢查系統(tǒng)輸出控制。如在失業(yè)保險(xiǎn)金審計(jì)中，通過(guò)與系統(tǒng)管理員、操作人員座談及系統(tǒng)文檔審閱等，發(fā)現(xiàn)系統(tǒng)控制功能存在欠缺：系統(tǒng)沒(méi)有根據(jù)繳費(fèi)記錄自動(dòng)計(jì)算失業(yè)金享受類型及期限的功能，實(shí)際操作中由手工計(jì)算失業(yè)金享受類型及期限后輸入系統(tǒng)，然后審計(jì)人員按照法律法規(guī)的要求設(shè)計(jì)程序?qū)�業(yè)務(wù)數(shù)據(jù)進(jìn)行復(fù)算，發(fā)現(xiàn)存在超期限、超標(biāo)準(zhǔn)發(fā)放失業(yè)保險(xiǎn)金問(wèn)題；又如在養(yǎng)路費(fèi)審計(jì)中，發(fā)現(xiàn)信息系統(tǒng)部分查詢功能不夠全面：養(yǎng)路費(fèi)滯納金減免查詢，只能根據(jù)時(shí)間段進(jìn)行查詢，不能根據(jù)減免審批人員查詢滯納金減免情況，不利于被審計(jì)單位內(nèi)部監(jiān)督。

【信息系統(tǒng)內(nèi)部控制審計(jì)初探】相關(guān)文章：

內(nèi)部控制審計(jì)評(píng)價(jià)初探06-03

內(nèi)部審計(jì)與ERP初探06-09

建立內(nèi)部控制審計(jì)與組織效率06-03

淺談內(nèi)部審計(jì)風(fēng)險(xiǎn)控制（精選7篇）04-26

內(nèi)部審計(jì)論文02-13

淺析內(nèi)部審計(jì)新模式-風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)06-07

內(nèi)部審計(jì)論文15篇02-17

內(nèi)部審計(jì)外包影響因素分析06-06

證券公司內(nèi)部控制指引06-03

企業(yè)內(nèi)部控制失控的表現(xiàn)03-29