信息系统审计,是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。审计的主要目标是通过检查和评价被审计单位信息系统 的安 全 性、可靠性和经济性,揭示信息系统存在的问题,提出完善信息系统控制的审计意见和建议,促进被审计单位信息系统实现组织目标;同时,通过检查和评价信息系统产生数据的真实性、完整性和正确性,防范和控制审计风险。本人就近几年参与信息化系统审计的经历,对审计过程中需要注意的环节做一些探讨。
一、信息系统项目的选择
对信息系统项目的选择一般要考虑到几点 :信息系统作为一个独立的项目来开展审计还是把信息系统作为一个子项目来审计;信息系统项目是被审计单位的核心业务,信息系统审计与常规审计的目标一致或相关,两者关联密切,能够相互补充,如医院的收费业务系统、企业的 ERP 系统等;项目已完工结算正常运行,这样便于对项目进行整体的审计评价;项目涉及资金量较大,涉及部门和人员较多,内部控制存在问题;信息系统项目为本地区公益民生项目,例如“金保”工程、天网工程等。
二、做好审前调查,确定审计重点
审前调查是审计的重要组成部分,直接关系到审计方案如何制定、如何安排审计人员以及审计风险是否可控。审前调查的内容一 般 应 包 含 :(1) 调查了解被审计单位相关经济业务活动所依赖信息系统的业务内容、业务流程、业 务规模、资金流和信息流等;(2)调查了解信息系统的总体框架、技术架构、业务实现流程、数据运行流程、系统功能结构、系统网络结构和应用部署模式等;(3)调查了解信息系统建设的项目管理、投资管理、绩效评估情况和文档资料;(4)调查了解被审计单位信息化项目建设规划和标准、基本管理制度和单位绩效目标。
在调查了解的基础上,深入分析被审计单位信息部门在该单位的职责地位以及部门人员的具体分工;项目中如何划定信息人员、管理人员和财务使用人员之间的职责分工;被审计单位业务流程与信息化的耦合度如何;信息系统业务流程涉及的主要部门,权限分配如何;检查被审计单位信息机房设备是否符合标准要求,数据库等软件的国产化程度和程序数据接口标准;单位系统和数据安全评估等级;被审计单位在财务上如何与业务数据进行对接,是否数据上保持一致;数据恢复和备份情况等。通过以上分析,关注信息系统中的一些关键环节、容易忽略的地方,把握整体,抓住主要问题,避免审计风险。例如审计医院的业务系统,应该关注医院各个部门的工作职责、整个的药品流程、医疗项目收费流程和处方流程等。
三、审计内容和方法
信息系统审计的内容一般有应用控制、一般控制和项目管理审计。审计当中要看具体情况,内容的侧重点由被审计单位信息系统来决定。简单地说,应用控制审计包括被审计单位信息系统主要业务流程控制审计、使用系统的各类人员输入输出控制审计(界面交互控制)和系统网络共享和协同作业审计,应用控制审计基本定位在系统业务流程操作控制环节;一般控制审计是从系统的整体出发的,主要是审查信息系统的规划体系、组织架构、设备安全以及安全管理等方面;项目管理审计是指从信息系统项目建设的角度审计,主要包括项目建设的经济性、建设过程的合规性和系统项目绩效如何。通过这三项内容的审计,审计人员对整个信息系统项目就有了一个比较全面准确的把握。
信息系统审计的方法好多地方概括有系统调查法、资料审查法、信息系统检查法、数据测试法、数据验证法、工具测试法、风险评估法和专家评审法,基层审计机关多使用前面五种方法。前面三种方法类似我们平常的财务审计方法,检查信息系统建设、使用和维护档案、查看项目管理资料和现场检查检测等。数据测试法和数据验证法是指采用数据媒介的方式检测系统的 有效性 和 合 规 性 ,这里选取的数据要保证可行性和有代表性,对数据在系统流程中的各 种转换验证要考 虑 全 面 ,并且注重数据库和数据接口的测试。工具测试法是利用专业的 系统工具对信息系统的物 理 环 境、安全环境和运行环境等进行测试,已确定信息系统的安全性、可靠性和高效性。风险评估法是从信息系统面临的风险角度分析,找到当前安全水平与安全期望之间的差距,评价信息系统的风险状况。专家评审法就是指组织有关专家或委托机构对信息系统评审。各种方法的选择要根据审计组人员知识能力结构和被审计单位的信息系统内控情况来决定。
四、审计适用法规
信 息 系 统 审 计 目 前 还 处 在 探 索 和 发 展 阶 段 ,适用于信息系统审计的法律法规、标准规范同样也处于建设和发展完善阶段。依据《国家审计准则》和《信息系统审计指南》,信息系统审计实用法规包括国家信息化规划、国家和部门信息化法规、电子政务建设项目管理、国家信息化标准、信息系统安全保护、信息安全风险安全评估、信息系统软件规范、行业信息系统 规范、信息系统服务、招投标和政府采购、被审计单位会计核算和财务管理等。除上述法规规范外,审计中要特别注意被审计单位所在行业对信息系统的标准要求,以及被审计单位在信息系统项目建设初期,与建设方签订的项目建设预期标准和后期的维护标准,这些同样是有效的审计评价依据。
