曹博(湖北省审计厅)
20世纪80年代以来,随着计算机技术和网络技术的迅猛发展,计算机特别是计算机信息系统逐渐的应用在金融、证券、保险、医院、学校等各个领域,政府部门高度依赖于它们来提高效率,改进服务,加强管理和提高生产力,建立了很多的信息系统来辅助计算机应用,审计署“金审工程”开发的AO(现场审计实施系统)就是利用信息系统进行审计的一个例子,但是信息系统在给人类带来巨大的好处的同时,由于它自身的安全性、可靠性等问题也给企业带来了损失,所以信息系统的安全、可靠、效率和功能完善比以往任何时候都更加重要,在此背景下产生了对信息系统进行审计的需求,这就是ISA(Information System Audit,信息系统审计)。
AO(现场审计实施系统)作为一种CAA(Computer-Assisted Audit,计算机辅助审计)正被广泛应用,而 ISA作为新兴的审计类型,与其具有不同的性质,不能混为一谈,但都有大力发展的必要。本文就想寻求在现有的AO中实施ISA。
一、利用AO的审计程序与ISA 审计程序
(一)利用AO的审计程序
利用 AO 进行审计的程序主要分为审前准备、审计实施和审计终结三个阶段,这与传统的审计在内容上是基本一致的, 只是手段发生了变化,一般称为计算机辅助审计(CAA)。
(二)ISA审计程序
根据国际信息系统审计协会(ISACA,International information system audit and control attitude)的定义:信息系统审计(ISA)是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效果地实现组织目标的过程。信息系统审计步骤和内容如图1所示:
(三)利用AO审计与ISA的区别与联系
从上面利用AO审计的审计程序与ISA审计程序我们可以发现,第一,两种类型审计的步骤和程序基本相同,我们可以归纳为三个阶段:审计准备阶段、审计实施阶段、审计终结报告阶段。第二,两者在各个阶段的工作步骤和工作重点基本相同,审计报告阶段的审计证据和审计工作底稿的收集工作也非常类似,但是在各个阶段他们的审计内容又有所不同,下面从审计过程的各个阶段来识别两者的区别和联系:
1、审计准备阶段确定的审计目标不同
ISA是保证资产的安全、数据的完整以及有效利用组织资源;而利用AO审计是实现传统审计所要达到的目标:提高审计效率、改善审计效果、降低审计成本、规范审计工作;对被审计单位同财政、财务收支有关的信息系统做出评价并提出改进措施。显然,我们可以看到ISA是为了保证信息系统中存储、处理、输出的财政、财务收支等信息的真实、有效。从而保证传统审计在电子化环境中更可靠、更有效!
2、审计准备阶段确定的审计对象不同
利用AO审计的审计对象仍是传统的同财政财务收支有关的财务电子数据、生产业务数据等;同时,需要考虑财务软件的可靠性,即审计对象中增加了对财务软件这部分信息系统的审计——这是CAA中的ISA。
ISA的审计对象是以电子计算机为核心的信息系统,即被审计单位与财政、财务收支有关的计算机应用系统。ISA审计对象从纵向(生命周期)看,覆盖了信息系统从计划、分析、设计、编程、测试、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对硬软件的获取审计、软件审计、应用程序审计、数据完整性审计、安全审计和生命周期共同业务(如文档管理、人员管理、进度管理、外部委托、灾难恢复等)审计等。
从这个意义看,ISA扩大了传统审计的内涵,将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统,同时CAA又需要适当运用ISA的技术为其服务。
二、在AO系统中实施ISA
在利用AO系统进行包含ISA的审计过程中,我们首先要进行传统的内部控制测试,然后进行ISA,将形成的审计报告和给出的审计意见报相关人员共同讨论,商量对策,从而修改信息系统缺陷。确定信息系统的安全性、有效性和可靠性在可接受的范围时,我们就按照传统的审计方式进行下一步的审计工作,如图2包含ISA的AO系统审计程序。这样做就能够使审计人员在确定信息系统的安全性、可靠性及有效性,从而保证信息系统存储、处理、传输、操作等的财务信息、财务数据的正确性、准确性,进而保证审计结果的真实、有效。
三、实例分析 ——在AO中实现ISA
在AO系统中进行ISA,我们首先考虑两个前提条件:第一,在尽量不改变现有的AO系统的基础上进行ISA;二是采用类似内部控制测试的方式进行ISA;三是利用AO系统强大的分析功能进行ISA中相关数据真实性、有效性和可靠性方面的审计工作。
基于以上三点,我们在AO系统中实施ISA主要包括两方面的内容:
(一)利用AO系统审计文档模块管理进行ISA
我们采用与传统内部控制测试相类似的方式,决定在“AO系统辅助工具/审计文档管理”中建立信息系统审计文档模板,我们把信息系统审计相关文档分为三类:信息部门组织管理控制调查模板、信息系统外部环境测评模板、信息系统自身测评模板。各个类型内部又包括若干文档模板(如图3),我们可以逐一进行审计,完成审计文档,形成审计意见,收集审计证据等,方便整个项目的管理。
(二)利用AO系统审计分析功能进行ISA
影响数据真实性、有效性和可靠性的问题问题有很多种,总结起来主要有以下几种:
(1)字段:这类错误仅仅局限于单个字段的值。
(2)记录:这类错误表现在同一记录中不同字段值之间出现的不一致。
(3)记录类型:这类错误表现在同一数据源中不同记录之间的不一致关系。
(4)数据源:这类错误表现在数据源中的某些字段值和其它数据源中相关值的不一致关系。
下面我们给出以上四种情况的例子,如表1所示:
表1 单数据源中的数据质量问题
|
范围 |
问题 |
脏数据 |
原因 |
|
字段 |
不合法值 |
最近发生日期=1903-5-16 |
值超出了域范围 |
|
记录 |
违反属性依赖 |
最近发生日期=2005-1-1,起息期=2003-4-4 |
最近发生日期与起息期应该保持一致 |
|
记录类型 |
重复的记录 |
供应商1:(“西安汽车修配厂”,“西安”,…)
供应商2:(“陕西省西安市汽车修配厂”,“西安”,…) |
由于数据输入错误,同一个供应商输入了两次 |
|
冲突的值 |
供应商1:(“新疆轴承总厂”,“4”,…)
供应商2:(“新疆轴承总厂”,“3”,…) |
同一个供应商被不同的值表示 |
|
数据源 |
引用错误 |
供应商:Name=“新疆轴承总厂”,City=“12” |
编号为12的城市不存在,但该供应商不在这个城市 |
下面我们在AO系统中进行信息系统数据质量问题的审计分析,一般是采用SQL语句进行查询,筛选,然后得出疑点数据集,再对疑点数据集进行具体的分析,更正。
(1)如果存在表1字段错误举例,我们采用这样的SQL语句为
Select * From 表名 Where 字段不在域范围内
(2)如果存在表1记录错误举例,我们可以采用上面的方法,但是用以下SQL语句把有问题的数据查找出来进行分析,SQL语句为:
Select * From 表名 Where 最近发生日期!=起息日
(3)如果存在表1中记录类型错误2:有冲突的值,我们采用的SQL语句为
Select * From 表名 Where 供应商名称=“新疆轴承总厂” And 编号值!=4
(4)如果存在表1中数据源错误,我们可采用的SQL语句为:
Select * From 表名 Where City not between 100 to 999
四、总结
利用AO系统审计与ISA在审计程序上几乎没有什么区别,但是他们在具体审计过程中的审计对象、审计目标、审计内容以及采用的方法又有所区别,我们可以看到利用AO系统审计只是审计的工具与方法,是传统审计在计算机领域的延伸,而ISA作为新兴的审计方面,其实最终目标也是判断信息系统的安全性、可靠性及有效性,从而判断由信息系统存储、处理、输出的财务、财政等电子数据信息的安全性、可靠性及有效性,这样也就能保证审计数据的真实、有效,也就能使审计的结果更加准确!
ISA与利用AO系统审计中内部控制测试与控制风险评估在审计内容、审计形式等方面都非常类似,这就为在AO系统中实施ISA提供了切入点。本文就利用AO系统的“审计文档模块管理”对信息系统审计进行定性分析,也利用AO系统的“审计分析”功能进行信息系统内部数据质量的审计。
|
