您当前的位置:首页 >> 审计动态 >> 审计文化 >> 内容
 
对联网审计项目建设过程进行信息系统开发审计初探
发布日期:2011-06-20    来源:交通局  浏览次数:  字号:〖
 

【摘要】国家审计机关已经开始尝试对大型信息系统项目进行信息系统开发审计,但是对目前正在大力发展的联网审计项目建设过程缺乏足够关注。基于此,本文在介绍信息系统开发审计的概念和分析其发展现状以及存在问题的基础上,对将信息系统开发审计运用到联网审计项目建设过程中审计形式进行初步探讨,并对这种审计形式的未来发展进行展望。

【关键字】联网审计 信息系统审计 信息系统开发审计

近年来,各级审计机关在审计署的带领下积极探索联网审计方式,在实践中不断开拓、进取,取得了许多宝贵经验。同时,在创新审计模式方面,作为信息系统审计主要内容之一的信息系统开发审计,已经受到部分审计机关的重视,其中一些部门对本地区政府投入大的电子政务系统进行了信息系统开发审计尝试,取得了可喜的成绩,但是,至目前为止,在全国审计机关大规模开展的联网审计项目环境下进行信息系统开发审计还未得到足够的关注。本文拟探讨对联网审计项目建设过程进行信息系统开发审计,通过介绍信息系统开发审计的概念、联网审计的发展现状和存在问题,思考将信息系统开发审计运用到联网审计项目建设中的审计形式,以期对信息系统审计的内涵和外延进行拓展和创新。

一、信息系统开发审计的基本概念

目前,信息系统开发审计还没有统一、准确的定义。审计署审计科研所最近的研究成果中提到,信息系统开发审计涉及信息系统生命周期的系统规划、系统分析、系统设计、系统实施与系统运行五个阶段。

实际工作中,信息系统开发审计业务主要有以下三类:(1)系统实施前审计。审计人员根据开发模型和相关问题,对系统风险进行评估,提出降低风险的措施。(2)系统开发过程审计。在系统开发各个阶段发生时,审查其风险及管理。(3)系统实施后审计。系统付诸实施运行后,参与信息系统开发的有关管理人员、用户和内审人员应对系统进行一次评审,以验证系统是否符合预期的目标和要求,评价应用控制的充分性,评估系统的收益和成本。

二、联网审计的发展现状和存在问题

(一)联网审计的发展现状

目前,各审计机关实施的联网审计,多数是通过与集中会计核算、集中资金管理的行政事业单位结算中心等数据大、集中的信息系统在网络连接的基础上进行的财政财务收支审计。从实践经验看,当前的联网审计还未有专门的审计程序,各审计机关根据自身对联网审计的理解,将审计的重点放在联网后的数据审计上,并在关注财政资金管理使用的真实性、合法性基础上关注其绩效。

(二)联网审计实施过程中存在的一些问题

(1)技术不足,进行的是“不完整”的联网审计

许多审计机关,由于审计人员素质和技术方法的局限,忽略了对与其网络互联的信息系统进行审计,目前主要开展的是数据审计,进行的是不完整的联网审计。如果被审计单位对联网审计接口进行非法篡改或者对被联网系统嵌入舞弊程序,则无法保证信息系统产生数据的真实、完整、可靠,可能出现“假账真审”的风险。

(2)认识偏差,进行的是“表面”的联网审计

部分审计机关实施的并非真正意义上的联网审计,而是“远程帐套式审计”,这种联网审计,仅实现了被审计单位财务备份数据的远程获取和传输,仅仅是提高了电子数据采集效率,而未能够真正实现联网审计的实时监控、查询、预警和远程审计等功能,只能算是“表面”的联网审计。

(3)人才缺乏,进行的是“盲目”的联网审计

联网审计由于技术的复杂性,审计人员需要掌握会计、审计、组织管理和网络技术等综合知识。审计机关中从事联网审计的人员是审计、会计等财经类专业人员,无法完全满足联网审计项目的需求。之前,某些审计机关就出现过电子数据的采集、转换和清理工作由联网审计软件供应商代劳的现象,这种“盲目”的联网审计可能带来泄密或重要数据被忽视的风险。

三、对联网审计项目建设过程进行信息系统开发审计的实施路径构建

(一)审计的组织形式

信息系统开发审计作为信息系统审计的重要内容,其主体包括内部审计主体与外部审计主体。本文论述的联网审计系统开发审计项目中,当审计人员属于实施联网审计项目的审计机关时,称为内部审计;当审计人员独立于实施联网审计项目的审计机关时,如实施单位的上级审计机关人员或委托审计人员,称为外部审计。

实施审计的审计部门应充分考虑联网审计项目是以国家审计机关为主体实施的电子政务系统这一特殊情况,结合审计项目的规模、目标和自身技术实力等因素,选择合适的组织形式组建审计组。审计形式可以为联网审计实施机关组织审计人员实施内部审计,或者上级审计机关对实施机关进行专项审计,或者外聘有资质的社会审计部门进行联合审计等等。

(二)审计的对象、目标和主要内容

对联网审计项目建设过程进行信息系统开发审计,涉及两个审计对象,分别为联网审计项目建设全过程和联网的被审计单位信息系统。两个审计对象的审计目标和内容存在一定的差异。

(1)对联网审计项目建设过程进行审计的目标和主要内容

对项目建设过程的审计是对联网审计系统开发过程的各个阶段的项目实施、资金使用和项目管理情况进行全程跟踪审计从而保证系统的可用性、经济性、真实性和安全性。审计的主要内容有:

1.对系统开发的系统规划、需求分析、系统设计、系统编码、系统测试、系统试运行六阶段实施审计,保证系统的可用性和安全性。

2.对系统开发过程中发生的各项费用进行跟踪审查,对项目过程中出现的损失、浪费和不合理资金支出,进行及时纠正,保证系统的经济性。

3.对系统开发过程中应同步建立的内部控制制度进行健全性审计,对内部控制制度存在的明显缺陷与不足,及时进行修正和完善。

4.系统开发后期,对联网审计系统进行配置管理,对系统的计算机程序、程序描述文档等软件配置项设定基线,为日后进行配置审计和变更管理做好前期工作。联网审计系统所处的计算机环境复杂,审计前置机一般置于被审计单位机房,审计接口存在被篡改的风险,配置管理可以保证系统的真实性,也为以后进行联网信息系统审计打下基础。

(2)对联网的被审计单位信息系统进行审计的目标和主要内容

对被联网的信息系统进行审计主要是通过对被审计单位信息系统进行全面审计,保证信息系统数据处理的正确性、准确性和真实性,系统运行的安全性;确保审计联网的安全有效。审计的主要内容有:

1.结合被审计单位主要业务内容,审查内部控制制度和相关信息系统逻辑结构,整理出信息系统业务处理流程,审查信息系统与联网审计系统对接的吻合情况和逻辑合理性。

2.对被审计单位相关信息系统进行信息系统审计测试,审查系统数据处理的正确和准确情况。

3.为便于后续进行变更控制审计,对系统程序文件进行配置标识后存档。在系统正式运行后的联网信息系统审计阶段,可以通过对比存档程序文件和当前程序文件,进行程序变更审查,提高审计效率。

(三)审计流程和主要审计方法

跟传统的审计流程一样,信息系统开发审计流程包括三个阶段:审计准备阶段、审计实施阶段和审计报告阶段。联网审计项目开发审计的流程、主要步骤和审计方法见图1:

图1 审计的阶段、步骤和方法

四、对联网审计项目进行信息系统开发审计的未来展望

(一)对联网审计项目进行信息系统开发审计是传统形式的信息系统审计向连续性审计的过渡。

连续性审计(CA)融合了实时审计、计算机辅助审计、联网审计、信息系统审计、非现场审计等方式,实现了审计人员和被审计单位电子数据的及时连接与交互,克服了当前审计的滞后性,是IT环境下审计发展的必然趋势。对联网审计项目进行信息系统开发审计,搭建了从传统信息系统审计向连续性审计过渡的桥梁,具体体现在:(1)审计人员对联网审计项目建设的全过程进行了跟踪审计,使得审计人员能更好地理解联网审计系统的处理流程,更熟练地掌握联网审计系统的使用技巧。(2)审计人员对被审计单位信息系统进行了全面审计,有利于审计人员精准把握被审计单位核心业务环节,为连续性审计中开发嵌入式审计模块打下基础。(3)审计人员在审计过程中建立的联网审计系统基线和被审计单位信息系统资料库,为后续的联网信息系统审计提供了基础资料,也属于连续性审计的范畴。

(二)对联网审计项目进行信息系统开发审计是绩效审计的有效模式。

信息系统审计是事后、事中、事前审计的结合体,信息系统开发审计作为信息系统审计的重要组成部分,更侧重于事前和事中的审计,这符合绩效审计“不是在事后,而是在经济活动的过程中挖掘提高经济效益的潜力”的特征。因此对联网审计项目进行信息系统开发审计是绩效审计的有效模式,符合当前信息系统审计模式不断完善向更高层次发展的规律。

主要参考文献:

[1]于昆.2008.信息系统开发审计的目标与技术方法.审计研究简报(11).

[2]审计署审计科研所《关于联网审计的若干问题》课题组.2005.关于联网审计的若干问题.中国审计研究报告(2005).

[3]王刚.2005.关于联网审计的几个基本问题.中国审计研究报告(2005).

[4]审计署审计科研所.2008.信息系统审计内容与方法.中国时代经济出版社

[5]刘汝焯.2007.计算机审计概念、框架与规则.清华大学出版社

[6]吴晓东.2009.信息系统审计问题研究.科技情报开发与经济(2)

 
主办单位:常州市审计局
地址:龙城大道1280号1号楼B座12楼    网站地图
电话:0519-85682658    技术支持电话:0519-85685023(工作日9:00-17:00)
网站支持IPV6 推荐使用1024*768或以上分辨率,并使用IE9.0或以上版本浏览器
苏公网安备32041102000483号  网站标识码:3204000054  苏ICP备05003616号