企业内部控制体系中信息系统审计的内容和方法,本文主要内容关键词为:信息系统论文,内部控制论文,体系论文,方法论文,内容论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、在内部控制体系中开展信息系统审计的内容
信息系统审计通常包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计,或者根据企业实际情况可以分为总体控制和应用控制(如图1所示)。
图1 在内部控制体系中开展信息系统审计内容
1、信息系统总体控制制度体系,旨在保证整个公司范围内更加科学、规范地应用信息技术,提高企业在信息技术开发、实施、运营活动方面的控制能力,增强日常信息工作效率,更好地保护信息资产,提高信息技术对业务的支持力度,其目标是对信息技术管理和运行有效性的检查。信息系统总体控制审计目的是通过全面准确的信息系统内部控制制度的评价,保证其有效地发挥作用。信息系统总体控制审计应重点关注六个方面:一是控制环境。包括信息系统总体控制环境、信息与沟通、风险评估、监控等。二是信息安全情况。包括信息安全管理组织、逻辑安全、物理安全、网络安全、计算机病毒防护、第三方安全管理、信息安全事件响应等。三是项目建设管理。包括项目建设方法论、项目立项审批、商业软件及硬件的外购、项目启动、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收和上线后评估、用户培训等。四是系统变更管理。包括变更管理、日常变更流程、紧急变更流程等。五是信息系统日常运作。包括机房环境控制、系统日常运作监控、批处理作业调度管理、备份与恢复、问题管理等。六是最终用户操作。包括最终用户计算机操作安全制度、电子表格管理等。其中,对最终用户操作的检查,并在关键环节建立关键控制点,通过手工测试或者开发计算机软件来证明其内部控制的有效性。由于目前电子表格越来越多的应用在办公系统、财务报表和财务处理过程,且越来越复杂。但是电子表格使用存在一些缺点,91%的电子表格存在错误,超过200行的表格将100%地存在错误。这些问题可能导致巨大的风险,因此,必须关注与财务报表相关的电子表格,即电子表格将直接或间接影响财务报表或信息披露事项。(1)表格可能包括Excel、Access、文本文件等,根据电子表格的用途,可以分为:一是操作型。指用来对流程进行审核、跟踪和监控的电子表格,如订单列表、未开出的发票列表等。通常这些信息已经在纸质文件或其他系统中存在,用电子表格来监控财务交易执行的准确性和完整性。二是分析/管理型。指用来进行分析和管理决策的电子表格。通常用来评估财务数据的合理性和准确性。三是财务型。指直接用于财务报表交易数据和余额的电子表格,并导入到总账和/或财务报表中。(2)表格可能很简单,也可能很复杂。简单电子表格,一般作为电子日志、数据输入和信息跟踪等,如待处理订单、存货清单等。复杂电子表格,包括复杂的计算公式和计算模型,如税务计算、成本摊销、计算存货周转、金融衍生计算等。通常需要把这类型的电子表格作为一个独立的应用系统看待。(3)表格的管理流程。第一,制定电子表格的总体策略,对电子表格进行分类;登记电子表格,登记内容包括名称、版本、负责人、用户、开发人、变更频率和程度、电子表格内容概要和影响的财务科目。第二,评估电子表格的用途和复杂性,确定是否纳入管理范围,并说明理由;对纳入范围的电子表格明确其是重要电子表格还是一般电子表格。评估应考虑以下因素:复杂度、用途、用户数量、文档的完备性、变更频率和程度、是否测试等。第三,决定需要实施的控制措施。重要电子表格应实施安全控制、版本控制、变更管理、开发管理、定期审阅、备份管理、存档管理等控制措施;一般电子表格应实施安全控制、版本控制、变更管理等控制措施。第四,测试现有电子表格:设计有效性测试,主要评估电子表格是否存在相关的控制措施;执行有效性测试,主要评估这些控制措施是否得到有效执行。测试中发现的例外情况需记录下来,并进行评估是否为缺陷。第四,对控制缺陷进行整改,对确认的缺陷制定相应整改方案,将电子表格控制提高到必要的水平,有时甚至要重新开发电子表格;对每个整改方案分配责任人、确定日期和优先级。
2、信息系统应用控制测试指对会计信息系统中具体的数据处理功能的控制,是为适合各种数据处理的特殊控制要求,保证数据处理能完整、准确地完成而建立的内部控制,其目标是对业务层面的关键信息系统应用控制设计和执行有效性的检查。应用系统主要用于有关重要交易事项的生成、授权、记录、处理和报告,生成的表单和数据以及财务报表,供财务部门直接作为记账依据和相关利益者使用,或者为其他作为记账依据或生成财务报表的系统使用。当信息技术被用于生成、授权、记录、处理或报告交易事项以及其他将在财务报告中体现的财务数据时,信息系统和程序可能包括与重要科目及披露信息认定相关的控制,或对依赖于系统的人工控制的有效性有着关键的影响。对应用系统的依赖程度,取决于是否存在相应的计算、检查、核对过程的控制,并且控制措施是否可以通过手工控制达到控制目标、弥补风险。信息系统应用控制审计内容:(1)应用程序审计。信息系统的核心就是程序编码,程序质量的高低,直接决定了信息系统整体水平的高低。因此,应用程序的审计是信息系统审计的重要内容,也是信息系统审计中最困难的任务之一。应用程序审计主要包括:一是应用程序内部控制的健全性和有效性:访问控制,只有经授权的操作员才能登录系统相应模块进行相应的操作,如系统初始化时,只有经授权的操作员才能变更账务结构;职责分离,数据录入时输入项目的完整性控制,如会计核算岗只有将凭证的重要内容填列完整才能在系统中生成新凭证,如缺失责任中心、总账科目、明细科目、金额等的任何一项,系统均不允许保存该凭证等;输入控制,根据不相容职责分离原则,用户在系统中被授予设置相应的权限,如日常会计处理系统权限根据不相容职责分离原则设定,用户不能同时具有账务结构维护的权限和与其冲突的相关权限等;处理控制,系统处理过程中,按照业务处理步骤进行系统操作的控制,如只有经过审核的凭证才能够在系统中记账,记账凭证的编号由系统自动生成并连续编号,每月末,记账凭证只有被执行审核及记账、完成、汇总操作后才能在系统中进行账务结转,否则系统提示错误信息等内容;输出控制,生成报告的数据及访问路径安全,如系统生成的财务报表只可以将上报报表存放至指定的专门路径,只有负责报表人员具有访问该路径的权限。二是应用程序的合法性,即应用程序中的编码是否符合规章制度的要求,不包含非法的编码。三是应用程序的正确性,即应用程序中的编码是否正确地进行了逻辑处理,不包含无意中造成错误的编码。四是应用程序的效率性,即应用程序是否以最小的系统开销和时间成本完成程序执行任务。(2)信息系统数据文件审计。要对会计信息系统输出信息的真实性、正确性、合法性等进行评价,必须对数据文件进行审计。数据文件审计包括对打印输出的数据文件的审计和存贮在磁性介质上的数据文件的审计,包括审查数据文件的一般控制、应用控制的健全性、有效性和内容的真实性、正确性。
二、在内部控制体系中开展信息系统审计的方法
信息系统审计过程分为准备阶段、实施阶段和报告阶段。其中,准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大,而实施阶段所涉及的技术方法则具有信息技术的特色,既包括一般方法即手工方法,也包括应用计算机审计的方法。实施阶段可以分为三个层次,即了解、描述和测试。
1、信息系统审计基本方法。信息系统审计基本方法为询问、观察、检查和再执行。其中,询问是指通过口头或书面的方式对执行控制的相关人员提出问题,根据被询问人的回答确定控制是否存在以及控制执行人对控制的理解程度。询问前应收集相关的背景资料,确定合适的询问对象;询问过程中应做好记录并要求被询问对象签字;询问后应对谈话的内容进行评价和总结。观察是指对信息系统的物理环境、硬件设施和办公场所以及对信息系统的开发设计、构成和操作情况进行了解或者现场见证正在执行的控制,从而判断控制是否存在,观察过程中做好记录并对观察结果进行评价和总结。检查是指通过查看与控制相关的文档性记录,以了解信息系统的总体情况、控制情况以及开发设计情况等,并对控制有效性做出判断,检查中应做好相应记录并将检查过程和结果记入工作底稿中。再执行是指通过重新执行控制活动以确定控制是否有效。根据最新的国际审计准则,只使用“询问”一种方法是不够的,必须同时使用检查、观察或再执行中的至少一种方法,才可以称为有效的测试。
2、利用计算机辅助技术与工具开展信息系统测试的方法。在信息系统审计中,为了达到审计目的,必须收集大量存储于计算机的数据,并借助于计算机对这些数据进行分析,得出结论。目前,计算机辅助审计技术与工具主要包括以下几种:一是通用和专业审计软件,是一组能够读取、计算、分析计算机可读记录的程序。通用审计软件具有较强的扩充能力和较为广泛的适用范围和应用前景。专业审计软件是指适用范围较小,功能和专用性强,主要功能一是数据读取和转换、查询、计算、分类、抽样选择、排序和数据文件联结、比较、合并等。二是实用工具软件,包括:评估安全性和完整性的工具软件,如访问控制分析软件;熟悉系统的工具软件,如系统配置分析软件、流程图制作器;评价数据质量的工具软件,如查询工具、数据比较软件;评估程序质量的工具软件,如程序比较软件、测试数据生成器;辅助审计程序开发的工具软件,如程序生成器;辅助生成有关审计文档的工具软件,如文档生成器、办公软件。三是性能度量工具,包括硬件监测器、软件监测器、固件监测器、混合监测器。四是测试数据法(平行模拟法),是指开发一个与被审计单位信息系统或程序模块功能完全相同的模拟系统,通过编制模拟程序输入测试数据与实际应用程序结果比较,以评价系统。平行模拟的优点是测试不会干扰被审计单位信息系统的运行,缺点是对审计人员的程序设计能力要求高,具有很大的限制性。五是连续在线审计,可以利用信息技术在不中断被审计业务系统的正常运行的情况下,对业务系统的内部控制进行检查与评估,连续监测系统运作,评价系统安全性、有效性以及数据的真实性和完整性。目前常用的连续在线审计方法有以下几种:(1)系统控制审计检查文件/嵌入式审计模型(SCARF/EAM)。通过在应用系统中嵌入特殊的审计软件模块,实现对系统有选择的监测。审计人员在认为重要的控制点上嵌入审计模块对系统中的事务进行连续的监控,将收集的信息写入一个特殊的审计文件——SCARF主文件,如图2所示。(2)整体测试法。通过在系统中建立虚拟实体,用正常系统运行,对结果进行比较分析,判断控制,适用于一般测试数据不能有效测试系统控制的情况,如图3所示。在实施整体测试方法时要注意测试数据可能会进入被审计系统的真实数据环境。(3)快照。对输入业务标记,记录业务的处理轨迹,适用于需要记录审计轨迹的情况,如图4所示。(4)持续性与间歇性模拟(CIS)。采用计算机系统模拟事务/交易的执行,当事务/交易满足预定的标准,对该事务/交易进行检查,否则等待下一个满足标准事务/交易的输入,适用于在已确定满足某种条件的数据需要被检查的情况,如图5所示。(5)审计钩。在应用系统中嵌入审计钩程序,在审计人员既定的错误或不规范问题失控之前引导审计人员进行检查,并实施相应的控制,这种方法针对特定的业务或过程进行检查。目前,多数ERP软件包、操作系统和网络管理软件等都提供了连续监控与连续审计工具的采样器,如果适当的配置、应用相关规则、设置参数和公式,投入生产后可以获得预期的例外交易清单,这也是实施连续在线审计的具体事例。六是审计专家系统。作为一种决策支持工具,专家系统可以为审计人员提供指导及有价值的信息。七是其他特殊的审计软件。以上工具或技术可以帮助审计人员对交易与账面数据的详细测试、实施分析性的检查过程、对信息系统一般控制与应用控制进行符合性测试、对操作系统脆弱性进行评估及实施穿透性测试等。
3、审计抽样测试方法。审计抽样是从审计总体中选取一定数量的样本进行测试,并根据测试结果,推断审计对象总体特征的一种方法。审计抽样分类的方法有很多种,常用的分类方法:一是按抽样决策的依据不同分为统计抽样和非统计抽样。统计抽样是在计算正式抽样结果时采用统计推断技术的方法;非统计抽样是凭审计人员主观标准和个人经验评价样本结果、并对总体做出结论的方法,两者最根本的区别是非统计抽样不能量化抽样风险,而统计抽样可以。二是依据所了解的总体特征的不同分为属性抽样和变量抽样。属性抽样是用来估计一个控制或一组相关控制的发生概率,主要用来测试控制,与符合性测试相关。在进行控制测试时可分为以下三种基本方法:固定样本量抽样,常用于估计审计对象总体中某种偏差的发生比例,其特点是预先确定样本量,在执行抽样计划的过程中不再进行变动;停一走抽样,是在固定样本量抽样的基础上的一种改进形式,从预计总体误差为零开始,采用边抽样边审查评价的方式,可以克服固定样本量抽样样本过多的缺点,提高工作效率;发现抽样,是一种特殊形式,主要用于查找非法重大事件,其理论依据是如果总体偏差率大于或等于某一特定比率,那么在既定的可信赖程度下,从一个足够大的样本中至少能查出一个偏差。变量抽样是根据总体的抽样来估计总体的金额数或其他衡量单位,其主要目的是验证可能存在于程序或功能中的因控制失效导致重大影响的重大金额,与实质性测试相关。在选用这种方法时,必须满足以下三个条件:设计分层样本的能力;审计价值与账目价值之间的差异不能太大;资料的可得性。变量抽样法主要运用在实质性测试中。通常有以下几种常用方法:分层单位平均估计抽样,先对样本总体进行分层,在不同分层中进行抽样检查确定样本的平均值,根据样本平均值推断总体的平均值和总值;不分层单位平均估计抽样,通过抽样检查确定样本的平均值,根据样本平均值推断总体的平均值和总值;差额估计抽样,以样本实际价值与账面价值的平均差额来估计总体实际价值与账面价值的平均差额,然后再以这个平均差额乘以总体项目个数,从而求出总体的实际价值与账面价值差额。在实质性测试中,如果推断的总体误差超过了可容忍误差,应增加样本量或执行替代审计程序;在符合性测试中,如果认为抽样结果无法达到其对所测试内部控制的预期信赖程度,则应考虑增加样本量或者修改实质性测试程序。三是样本总体的选择。样本总体是指测试人员通过在样本总体中抽取样本和检查控制实施证据来验证相关关键控制在样本总体中是否有效的执行。选择正确的样本总体是为了防止测试对象的不完整,为了保证样本总体的完整性,关键控制测试对应的样本总体是全部的业务,但是有的时候为了便于理解和操作,样本总体也可能是控制实施证据,即相关的表单。定期发生业务活动样本量的选择,测试组应该在测试准备阶段根据关键控制的执行频率及公司已经确定的“频率与样本数量”,明确并记录进行关键控制测试所需要抽取的样本数量,将选择的样本数量填写在关键控制《测试计划表》中。表1是根据控制频率不同建立的《样本量示例》。对不定期发生业务活动样本量的选择,由于不定期发生的控制活动或者某些定期执行的关键控制对象比较多,需要明确该控制在一个会计年度内大约发生的次数,折合成控制发生的频率后再按定期发生业务活动样本量的规定选择样本量。
图2 系统控制审计检查文件/嵌入式审计模型
图3 整体测试法
图4 快照
图5 持续性与间歇性模拟
表1 样本量示例
测试人工控制
控制发生频率 样本总量
年度 60
季度 40
月度 15
每周 5
每天 2
每天数次 1
标签:内部控制论文; 电子表格论文; 审计软件论文; 样本量论文; 审计抽样论文; 审计计划论文; 审计方法论文; 业务管理论文; 数据有效性论文; 过程管理论文; 管理控制论文; 审计质量论文; 控制测试论文; 信息安全论文; 审计流程论文; 审计目的论文; 审计准则论文; 管理审计论文;