信息系統內部控制審計初探

隨著(zhù)社會(huì )信息化進(jìn)程的迅速推進(jìn)，信息系統成為不少被審單位內部管理與控制的關(guān)鍵工具。因此，信息系統的可靠性、安全性已經(jīng)直接影響著(zhù)審計工作效率和質(zhì)量。在此背景下，《審計署2006至2010年審計工作發(fā)展規劃》提出“逐步開(kāi)展對關(guān)系國計民生的重大行業(yè)、部門(mén)的聯(lián)網(wǎng)審計和信息系統審計，全面提高計算機應用水平”。日前，令狐安副審計長(cháng)在南京特派辦調研時(shí)指出：系統審計應成為今后審計工作的一個(gè)重點(diǎn)�！　⌒畔⑾到y審計是一個(gè)通過(guò)收集和評價(jià)審計證據，對信息系統是否能夠保護資產(chǎn)的安全、維護數據的完整、使被審計單位的目標得以有效地實(shí)現、使組織的資源得到高效地使用等方面作出判斷的過(guò)程。從該定義可以看出，其審計內容及方法是通過(guò)對系統內部控制的審計，來(lái)判斷和評價(jià)系統的安全性、完整性、效果和效率等方面。通常，信息系統內部控制可分為一般控制和應用控制。下面結合我們在失業(yè)保險基金、養老保險基金、公路養路費等多個(gè)審計項目中嘗試信息系統內部控制審計的實(shí)踐，就相關(guān)審計內容與方法談一下膚淺的認識�！　�一、信息系統的一般控制及審計方法　　信息系統的一般控制是指為合理保證信息系統安全、可靠的控制措施。包括組織控制、操作控制、系統開(kāi)發(fā)和維護控制、硬件和系統軟件控制、災難恢復控制。目前，被審計對象一般是在日常運行的信息系統，因而，我們重點(diǎn)是對信息系統的組織控制、操作控制和災難恢復控制進(jìn)行審計，判斷信息系統的安全性、可靠性�！　�1.組織控制。組織控制主要是通過(guò)不相容職責的分離來(lái)實(shí)現。審計內容包括：系統管理人員及操作人員是否有明確的管理制度及明確的職責權限、數據庫管理人員是否不審批和處理經(jīng)濟業(yè)務(wù)、系統管理人員和操作人員是否不能接觸有關(guān)應用程序文件、業(yè)務(wù)處理中不相容職能是否分離等。審計可以采用查閱被審單位相關(guān)內控制度和檢查信息系統中操作用戶(hù)權限表等方法。如在養路費審計項目中，使用該方法發(fā)現信息系統中部分用戶(hù)的不相容的操作權限未予分離，征費員既有收費等征收管理的權限，又有車(chē)輛類(lèi)型管理、費率設置、修改繳費標準等權限�！　�2.操作控制。操作控制是用來(lái)控制信息系統的操作，以保證信息系統僅用于經(jīng)授權的用途和只有經(jīng)授權的人員才能操作信息系統。審計內容包括：系統的操作日志設置及管理情況、操作人員是否經(jīng)過(guò)授權、在人員崗位變更時(shí)，操作權限是否妥善地進(jìn)行、密碼保護措施等。審計可以采用檢查操作用戶(hù)權限與被審單位內控制度、現場(chǎng)觀(guān)察實(shí)際操作用戶(hù)和分析系統的操作日志等方法。如在養路費項目中，使用該方法發(fā)現存在操作人員使用其他用戶(hù)進(jìn)行操作信息系統的情況，操作控制不嚴，有3名協(xié)管員于2005年10月至2006年6月期間，擅自使用領(lǐng)導的用戶(hù)名及密碼先后8次私自減免5輛汽車(chē)養路費滯納金�！　�3.災難恢復控制。災難恢復控制是在系統遭受無(wú)法抗拒的、突如其來(lái)的災難時(shí)，為了將災害的損失降低最小的程度所采取的措施。審計內容與方法主要是檢查系統備份制度及執行情況、災難發(fā)生后的應急恢復安排等�！�　二、信息系統的應用控制及審計方法　　信息系統的應用控制是設計用來(lái)合理地保證系統在特定的應用方面能夠正確地完成數據的記錄、處理和報告功能，包括輸入控制、處理控制和輸出控制。通過(guò)對系統的應用控制功能審計，檢查應用系統本身是否存在漏洞和功能缺陷，評價(jià)信息系統的可靠性、效果和效率等方面�！　�1.輸入控制。輸入控制確保輸入數據的合法、準確和完整，包括：數據正確地存儲、業(yè)務(wù)數據沒(méi)有丟失、增加、重復和改變、錯誤的業(yè)務(wù)數據能夠被拒絕、改正并及時(shí)地重新提交處理。審計可以采用以下方法檢查系統輸入控制�！　。�1）面談法、觀(guān)察法。審計人員采用與操作人員座談、現場(chǎng)觀(guān)察系統輸入控制，可以初步了解系統輸入控制情況。 　�。�2）測試數據法。審計人員設計一些虛擬數據，提交系統進(jìn)行處理，以測試系統輸入控制是否存在。如在社保審計中，審計人員通過(guò)測試數據法，發(fā)現存在參保人員重復開(kāi)戶(hù)問(wèn)題，系統輸入控制不嚴，進(jìn)而發(fā)現重復征收失業(yè)保險費、養老保險費等問(wèn)題�！　。�3）數據驗證法。主要是通過(guò)檢查數據之間邏輯關(guān)系驗證輸入數據的正確性和保存數據的完整性，包括業(yè)務(wù)數據與財務(wù)數據對比驗證和業(yè)務(wù)數據間主表與明細表核對。如在養路費審計中通過(guò)數據庫主表與明細表數據的核對和檢查，審計發(fā)現系統對部分業(yè)務(wù)數據保存不夠完整和正確：部分養路費滯納金減免記錄在減免明細表中記錄不完整、部分養路費繳費記錄存在繳費總表與繳費明細表記錄不符。又如在養老保險基金審計中通過(guò)對養老保險系統保存的地稅征收的養老保險費數據與地稅部門(mén)實(shí)際征收的數據比較核對，發(fā)現系統保存的地稅征收的養老保險費不夠正確和完整，原因在于地稅部門(mén)沒(méi)有提供標準格式的征收養老保險費情況的電子數據，社保部門(mén)通過(guò)手工將地稅征收的養老保險費數據輸入系統�！　�2.處理控制。處理控制確保系統按規定對數據進(jìn)行處理，包括：能夠對經(jīng)濟業(yè)務(wù)進(jìn)行正常處理；業(yè)務(wù)數據在處理過(guò)程中沒(méi)有丟失、增加、重復或不恰當的改變；處理中錯誤能夠發(fā)現并得到及時(shí)更正。審計可以采用以下方法檢查系統應用控制�！　。�1）抽樣數據法。審計人員從被審單位抽樣若干經(jīng)濟業(yè)務(wù)數據，檢查信息系統處理結果是否正確，以確定系統控制是否有效的執行。如在被征地人員養老保障審計中，審計人員通過(guò)對不同類(lèi)型參保人員個(gè)人賬戶(hù)計息情況抽樣審核，發(fā)現部分個(gè)人賬戶(hù)計息不正確�！　。�2）平衡模擬法。審計人員模擬被審單位對實(shí)際數據的處理要求設計一個(gè)程序，將被審計單位的真實(shí)數據用審計人員的程序重新處理一遍，檢查信息系統控制功能是否有效。如在養路費審計中，通過(guò)該方法發(fā)現：一是信息系統對征費噸位10噸以上的運營(yíng)貨車(chē)沒(méi)有根據交通運輸業(yè)征收營(yíng)業(yè)稅有關(guān)“征費噸位10噸以上部分減半征收”的規定分段計算計算營(yíng)業(yè)稅，而是按全部減半的方式計算營(yíng)業(yè)稅，導致少征營(yíng)業(yè)稅。二是信息系統對原由自行申報納稅的單位營(yíng)運車(chē)輛過(guò)戶(hù)轉讓給個(gè)體運營(yíng)戶(hù)后，沒(méi)有重新調整新的征費標準，而是繼續使用了原來(lái)的征費標準，導致漏征營(yíng)業(yè)稅�！　�3.輸出控制。輸出控制確保系統處理結果的完整性和正確性、輸出結果提交給有權使用的人員�？刹捎妹嬲劮�、觀(guān)察法和系統文檔審閱法、平衡模擬法等審計方法檢查系統輸出控制。如在失業(yè)保險金審計中，通過(guò)與系統管理員、操作人員座談及系統文檔審閱等，發(fā)現系統控制功能存在欠缺：系統沒(méi)有根據繳費記錄自動(dòng)計算失業(yè)金享受類(lèi)型及期限的功能，實(shí)際操作中由手工計算失業(yè)金享受類(lèi)型及期限后輸入系統，然后審計人員按照法律法規的要求設計程序對業(yè)務(wù)數據進(jìn)行復算，發(fā)現存在超期限、超標準發(fā)放失業(yè)保險金問(wèn)題；又如在養路費審計中，發(fā)現信息系統部分查詢(xún)功能不夠全面：養路費滯納金減免查詢(xún)，只能根據時(shí)間段進(jìn)行查詢(xún)，不能根據減免審批人員查詢(xún)滯納金減免情況，不利于被審計單位內部監督。

【信息系統內部控制審計初探】相關(guān)文章：

內部控制審計評價(jià)初探01-10

高校內部控制審計初探03-23

內部審計質(zhì)量控制初探作03-21

風(fēng)險導向內部審計與內部控制結合初探（下）03-22

信息系統環(huán)境下內部控制評審內容和方法初探03-21

內部控制審計經(jīng)典論文05-23

內部控制審計經(jīng)典論文06-11

（經(jīng)典）內部控制審計經(jīng)典論文05-26