黎建忠

信息系統(tǒng)審計(jì)，是指國(guó)家審計(jì)機(jī)關(guān)依法對(duì)被審計(jì)單位信息系統(tǒng)的真實(shí)性、合法性、效益性和安全性進(jìn)行檢查監(jiān)督的活動(dòng)。審計(jì)的主要目標(biāo)是通過(guò)檢查和評(píng)價(jià)被審計(jì)單位信息系統(tǒng)的安全性、可靠性和經(jīng)濟(jì)性，揭示信息系統(tǒng)存在的問(wèn)題，提出完善信息系統(tǒng)控制的審計(jì)意見和建議，促進(jìn)被審計(jì)單位信息系統(tǒng)實(shí)現(xiàn)組織目標(biāo)；同時(shí)，通過(guò)檢查和評(píng)價(jià)信息系統(tǒng)產(chǎn)生數(shù)據(jù)的真實(shí)性、完整性和正確性，防范和控制審計(jì)風(fēng)險(xiǎn)。本人就近幾年參與信息化系統(tǒng)審計(jì)的經(jīng)歷，對(duì)審計(jì)過(guò)程中需要注意的環(huán)節(jié)做一些探討。

一、信息系統(tǒng)項(xiàng)目的選擇

對(duì)信息系統(tǒng)項(xiàng)目的選擇一般要考慮到幾點(diǎn)：信息系統(tǒng)作為一個(gè)獨(dú)立的項(xiàng)目來(lái)開展審計(jì)還是把信息系統(tǒng)作為一個(gè)子項(xiàng)目來(lái)審計(jì)；信息系統(tǒng)項(xiàng)目是被審計(jì)單位的核心業(yè)務(wù)，信息系統(tǒng)審計(jì)與常規(guī)審計(jì)的目標(biāo)一致或相關(guān)，兩者關(guān)聯(lián)密切，能夠相互補(bǔ)充，如醫(yī)院的收費(fèi)業(yè)務(wù)系統(tǒng)、企業(yè)的ERP系統(tǒng)等；項(xiàng)目已完工結(jié)算正常運(yùn)行，這樣便于對(duì)項(xiàng)目進(jìn)行整體的審計(jì)評(píng)價(jià)；項(xiàng)目涉及資金量較大，涉及部門和人員較多，內(nèi)部控制存在問(wèn)題；信息系統(tǒng)項(xiàng)目為本地區(qū)公益民生項(xiàng)目，例如“金保”工程、天網(wǎng)工程等。

二、做好審前調(diào)查，確定審計(jì)重點(diǎn)

審前調(diào)查是審計(jì)的重要組成部分，直接關(guān)系到審計(jì)方案如何制定、如何安排審計(jì)人員以及審計(jì)風(fēng)險(xiǎn)是否可控。審前調(diào)查的內(nèi)容一般應(yīng)包含：（1）調(diào)查了解被審計(jì)單位相關(guān)經(jīng)濟(jì)業(yè)務(wù)活動(dòng)所依賴信息系統(tǒng)的業(yè)務(wù)內(nèi)容、業(yè)務(wù)流程、業(yè)務(wù)規(guī)模、資金流和信息流等；（2）調(diào)查了解信息系統(tǒng)的總體框架、技術(shù)架構(gòu)、業(yè)務(wù)實(shí)現(xiàn)流程、數(shù)據(jù)運(yùn)行流程、系統(tǒng)功能結(jié)構(gòu)、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用部署模式等；（3）調(diào)查了解信息系統(tǒng)建設(shè)的項(xiàng)目管理、投資管理、績(jī)效評(píng)估情況和文檔資料；（4）調(diào)查了解被審計(jì)單位信息化項(xiàng)目建設(shè)規(guī)劃和標(biāo)準(zhǔn)、基本管理制度和單位績(jī)效目標(biāo)。

在調(diào)查了解的基礎(chǔ)上，深入分析被審計(jì)單位信息部門在該單位的職責(zé)地位以及部門人員的具體分工；項(xiàng)目中如何劃定信息人員、管理人員和財(cái)務(wù)使用人員之間的職責(zé)分工；被審計(jì)單位業(yè)務(wù)流程與信息化的耦合度如何；信息系統(tǒng)業(yè)務(wù)流程涉及的主要部門，權(quán)限分配如何；檢查被審計(jì)單位信息機(jī)房設(shè)備是否符合標(biāo)準(zhǔn)要求，數(shù)據(jù)庫(kù)等軟件的國(guó)產(chǎn)化程度和程序數(shù)據(jù)接口標(biāo)準(zhǔn)；單位系統(tǒng)和數(shù)據(jù)安全評(píng)估等級(jí)；被審計(jì)單位在財(cái)務(wù)上如何與業(yè)務(wù)數(shù)據(jù)進(jìn)行對(duì)接，是否數(shù)據(jù)上保持一致；數(shù)據(jù)恢復(fù)和備份情況等。通過(guò)以上分析，關(guān)注信息系統(tǒng)中的一些關(guān)鍵環(huán)節(jié)、容易忽略的地方，把握整體，抓住主要問(wèn)題，避免審計(jì)風(fēng)險(xiǎn)。例如審計(jì)醫(yī)院的業(yè)務(wù)系統(tǒng)，應(yīng)該關(guān)注醫(yī)院各個(gè)部門的工作職責(zé)、整個(gè)的藥品流程、醫(yī)療項(xiàng)目收費(fèi)流程和處方流程等。

三、審計(jì)內(nèi)容和方法

信息系統(tǒng)審計(jì)的內(nèi)容一般有應(yīng)用控制、一般控制和項(xiàng)目管理審計(jì)。審計(jì)當(dāng)中要看具體情況，內(nèi)容的側(cè)重點(diǎn)由被審計(jì)單位信息系統(tǒng)來(lái)決定。簡(jiǎn)單地說(shuō)，應(yīng)用控制審計(jì)包括被審計(jì)單位信息系統(tǒng)主要業(yè)務(wù)流程控制審計(jì)、使用系統(tǒng)的各類人員輸入輸出控制審計(jì)（界面交互控制）和系統(tǒng)網(wǎng)絡(luò)共享和協(xié)同作業(yè)審計(jì)，應(yīng)用控制審計(jì)基本定位在系統(tǒng)業(yè)務(wù)流程操作控制環(huán)節(jié)；一般控制審計(jì)是從系統(tǒng)的整體出發(fā)的，主要是審查信息系統(tǒng)的規(guī)劃體系、組織架構(gòu)、設(shè)備安全以及安全管理等方面；項(xiàng)目管理審計(jì)是指從信息系統(tǒng)項(xiàng)目建設(shè)的角度審計(jì)，主要包括項(xiàng)目建設(shè)的經(jīng)濟(jì)性、建設(shè)過(guò)程的合規(guī)性和系統(tǒng)項(xiàng)目績(jī)效如何。通過(guò)這三項(xiàng)內(nèi)容的審計(jì)，審計(jì)人員對(duì)整個(gè)信息系統(tǒng)項(xiàng)目就有了一個(gè)比較全面準(zhǔn)確的把握。

信息系統(tǒng)審計(jì)的方法好多地方概括有系統(tǒng)調(diào)查法、資料審查法、信息系統(tǒng)檢查法、數(shù)據(jù)測(cè)試法、數(shù)據(jù)驗(yàn)證法、工具測(cè)試法、風(fēng)險(xiǎn)評(píng)估法和專家評(píng)審法，基層審計(jì)機(jī)關(guān)多使用前面五種方法。前面三種方法類似我們平常的財(cái)務(wù)審計(jì)方法，檢查信息系統(tǒng)建設(shè)、使用和維護(hù)檔案、查看項(xiàng)目管理資料和現(xiàn)場(chǎng)檢查檢測(cè)等。數(shù)據(jù)測(cè)試法和數(shù)據(jù)驗(yàn)證法是指采用數(shù)據(jù)媒介的方式檢測(cè)系統(tǒng)的有效性和合規(guī)性，這里選取的數(shù)據(jù)要保證可行性和有代表性，對(duì)數(shù)據(jù)在系統(tǒng)流程中的各種轉(zhuǎn)換驗(yàn)證要考慮全面，并且注重?cái)?shù)據(jù)庫(kù)和數(shù)據(jù)接口的測(cè)試。工具測(cè)試法是利用專業(yè)的系統(tǒng)工具對(duì)信息系統(tǒng)的物理環(huán)境、安全環(huán)境和運(yùn)行環(huán)境等進(jìn)行測(cè)試，已確定信息系統(tǒng)的安全性、可靠性和高效性。風(fēng)險(xiǎn)評(píng)估法是從信息系統(tǒng)面臨的風(fēng)險(xiǎn)角度分析，找到當(dāng)前安全水平與安全期望之間的差距，評(píng)價(jià)信息系統(tǒng)的風(fēng)險(xiǎn)狀況。專家評(píng)審法就是指組織有關(guān)專家或委托機(jī)構(gòu)對(duì)信息系統(tǒng)評(píng)審。各種方法的選擇要根據(jù)審計(jì)組人員知識(shí)能力結(jié)構(gòu)和被審計(jì)單位的信息系統(tǒng)內(nèi)控情況來(lái)決定。

四、審計(jì)適用法規(guī)

信息系統(tǒng)審計(jì)目前還處在探索和發(fā)展階段，適用于信息系統(tǒng)審計(jì)的法律法規(guī)、標(biāo)準(zhǔn)規(guī)范同樣也處于建設(shè)和發(fā)展完善階段。依據(jù)《國(guó)家審計(jì)準(zhǔn)則》和《信息系統(tǒng)審計(jì)指南》，信息系統(tǒng)審計(jì)實(shí)用法規(guī)包括國(guó)家信息化規(guī)劃、國(guó)家和部門信息化法規(guī)、電子政務(wù)建設(shè)項(xiàng)目管理、國(guó)家信息化標(biāo)準(zhǔn)、信息系統(tǒng)安全保護(hù)、信息安全風(fēng)險(xiǎn)安全評(píng)估、信息系統(tǒng)軟件規(guī)范、行業(yè)信息系統(tǒng)規(guī)范、信息系統(tǒng)服務(wù)、招投標(biāo)和政府采購(gòu)、被審計(jì)單位會(huì)計(jì)核算和財(cái)務(wù)管理等。除上述法規(guī)規(guī)范外，審計(jì)中要特別注意被審計(jì)單位所在行業(yè)對(duì)信息系統(tǒng)的標(biāo)準(zhǔn)要求，以及被審計(jì)單位在信息系統(tǒng)項(xiàng)目建設(shè)初期，與建設(shè)方簽訂的項(xiàng)目建設(shè)預(yù)期標(biāo)準(zhǔn)和后期的維護(hù)標(biāo)準(zhǔn)，這些同樣是有效的審計(jì)評(píng)價(jià)依據(jù)。

（作者單位：新余市審計(jì)局）