信息系统环境下的审计与传统的手工审计有着明显的区别。手工账本被电子账所代替,储存介质由账本变成了磁盘、光盘,审计工具由算盘、计算器变成了计算机,审计方式由手工翻阅账本变成了数据检索和分析,审计范围由财务数据变成了财务数据、业务数据甚至产生数据的信息系统。传统审计模式已经无法应对这些转变,我们必须开拓审计视野,把目光转向信息系统审计,构建新的审计模式。
一、信息系统环境下的三种审计模式
信息系统环境下的审计有三种审计模式,即数据式审计、信息系统审计和系统外审计。前两者属于依赖信息系统的审计,后者属于非依赖信息系统的审计。
数据式审计是面向系统中电子数据的审计,主要目的在于寻找解决问题的线索。在信息系统环境下,审计针对的是数据而不仅是账套、报表、财务数据,更有大量的业务数据。和传统账套式审计相比,审计范围大大扩展了。
信息系统审计也称IT审计或IS审计,是对被审计单位信息系统进行审计。信息系统审计是基础,只有确保信息系统的安全可靠,才能保证系统数据的真实完整。发达国家已在该领域作了大量的理论研究和实践,国际信息系统审计协会(ISACA)已经制定了信息及相关技术的控制目标。
系统外审计并不直接针对信息系统,也不依赖信息系统或由信息系统产生的数据,而是用观察、查阅、询问核对、函证、盘点等传统审计方法,对在数据式审计或信息系统审计中确定的重点领域和发现的问题通过获取信息系统外的证据进行核实。
二、信息系统环境下审计模式分析
(一) 数据式审计
数据式审计是以被审计单位底层数据库原始数据为切入点,在对信息系统内部控制测评的基础上,通过对底层数据的采集、转换、整理、分析和验证,形成审计中间表,并且运用查询分析、多维分析、数据挖掘等多种技术方法构建模型进行数据分析,发现趋势、异常和错误,把握总体、突出重点、精确延伸,从而收集审计证据,实现审计目标的审计方式。这种审计模式关注的重点是数据,而不是传统意义上的账目,也不是一般审计人员望而生畏的信息系统。
与传统的审计模式相比,数据式审计模式扩大了审计对象,它包括信息系统的内部控制和电子数据。核心审计方法也由传统的抽样和测试方法,改变为对所有采集的数据进行清理、转换,并建立审计中间表和审计分析模型,对数据进行分析。在审计技术方面,则包括如数据采集、清理和转换,中间表及审计分析模型技术等。这种模式下的审计程序要求审前调查充分而细致,而审计准备和实施阶段的界限则变得不是很明显。在审前调查阶段,审计组对被审计单位进行摸底,并且通过对电子数据的采集、清理、转换、分析等步骤,确定审计重点和线索,进点以后可以直接带着线索延伸调查,审计思路明确,效率也得到了提高。
数据式审计主要在于分析既定结果的数据的合理性,但难以解释数据在信息系统中变化的过程。数据在系统中如何形成、是否被正确处理,则必须依靠信息系统审计中的软件测试来验证。
(二) 信息系统审计
信息系统审计指的是对用于业务管理和经营决策的信息系统及其内部控制措施以及信息系统生命周期进行的审计。审计的重点是功能模块的实现与处理规则、算法的合法性效益性、控制的执行与效率,强调检查与评价各种类型信息系统的合法性、安全性、可靠性和高效性。如果能证明被审计单位信息系统的设计、运行是合法、合理且有效的,将大大减少系统外审计的工作。
信息系统审计是以传统审计理论为理论基础的,两者之间有紧密的联系,也存在一定的区别。信息系统审计继承了传统审计的基本理论与方法,在立场上,要求信息系统审计师站在独立的立场上,通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标。
两者的区别也比较明显。首先,信息系统的审计对象不同于传统审计的财务领域,而是信息系统,包括基础设施,软硬件管理,信息安全,网络管理和通信等;其次,信息系统审计提出了更多的审计法与审计程序,这都是传统审计所不具备的,比如对某软件进行审计时,要采用技术含量相当高的测试,对网络安全审计时要采用穿透性测试;第三,信息系统审计不光是事后审计,主要关注系统的运行现状,在某种情况下,直接参与项目的开发或变更过程,以保证足够的控制得以顺利实施。
信息系统审计包括对内部控制的测试和对应用软件的测试,在不同的审计阶段,信息系统审计的侧重点也不一样。执行数据式审计之前,实施作为控制测试的信息系统审计,数据式审计之后,实施作为实质性测试的信息系统审计。
另外,需要关注对信息系统后台设置的审计。后台设置由系统维护人员在系统后台直接进行,内容包括业务处理的流程、运行参数、算法设置、数据库连接设置等,还包括对后台数据的直接修改。这种设置一般不留有历史记录,事后无迹可寻,隐蔽性更强,是系统舞弊的重要手段之一。审计人员应检查后台设置的合法性、合理性,查阅记录后台操作、修改的计算机日志或纸质内部控制文档,询问系统维护人员,以获得相关线索。对后台设置的审计,既可用于控制测试,也可用于实质性测试。
信息系统审计与数据式审计都涉及到对系统数据的审计,但两者对数据的利用角度是不一样的。数据式审计侧重于数据之间的关联,主要审计数据的结果,而信息系统审计主要关注数据的真实完整性,通过测试数据的真实性、完整性来审计系统的安全性、可靠性。
(三) 系统外审计
无论被审计单位后台数据是否真实完整、信息系统是否值得信赖,审计人员都应开展系统外审计。系统外审计是对数据式审计、信息系统审计的有效补充,可以解决依赖于信息系统的审计方式不容易处理的问题。
首先,关注信息系统之外的证据。审计人员除了对系统数据进行分析外,还要通过各种途径获取被审计单位信息系统之外的数据(如会议纪要、内部管理资料、操作流程等),并与信息系统数据核对以发现问题。
其次,关注从外单位取得的外部证据。信息系统数据容易被篡改,但外部单位的数据还是真实可信的,因此从被审计单位的客户、供应商、银行等直接获取的证据较可靠,这些证据包括发票、对账单、合同、订单以及与外单位交换的业务数据。
再次,关注信息系统中的手工处理环节。大量案例表明信息系统中的手工处理是进行舞弊的重要方式,因此对系统运行流程中的手工处理环节要重点关注。
三、信息系统环境下审计模式的选择
随着审计技术的发展,三种审计模式的某些部分可能相互替代。在信息系统环境下,传统审计中涉及的许多原始凭证就是信息系统各业务模块中的数据,因此原始凭证与记账凭证的部分核对工作变成了系统数据与财务数据的核对,可以在信息系统审计中完成。再如,函证将逐渐被内外数据联网取代。数据式审计中利用共享信息库,做到内外数据关联,从而印证被审计单位内部数据的可靠性,在相当程度上能取代函证。
信息系统环境下的审计模式应该是以上三种审计模式的有机结合。
(通信地址:江苏省徐州市昆仑大道一号徐州市审计局 邮政编码:221018)
|
