信息系統(tǒng)審計方法及其實務應用分析

| 于波成 趙罡

作者單位 | 天健會計師事務所重慶分所 中喜會計師事務所重慶分所

數(shù)字經濟時代下，企業(yè)的管理手段和管理制度都發(fā)生了深刻變化，依托自動化業(yè)務系統(tǒng)、硬軟件等構成了現(xiàn)代化企業(yè)的管理信息網(wǎng)絡，在這樣的環(huán)境下，傳統(tǒng)審計工作模式難以有效識別企業(yè)信息系統(tǒng)存在的弊端，也無法準確判斷一個企業(yè)內部控制是否合理及有效。盡管信息技術的發(fā)展為審計從業(yè)人員帶來了更先進、更高效的工作模式，但目前我國審計行業(yè)從業(yè)人員對于信息化審計相關應用的了解程度并不高。在此背景下，本文著重介紹IS（信息系統(tǒng)）審計方法下信息系統(tǒng)流程審計、信息系統(tǒng)內部控制審計的概述、具體框架、程序應用，并結合國內某會計師事務所實施信息化審計業(yè)務的案例介紹IS審計方法在實務工作中的具體應用。

一、IS審計方法的基本概念

IS審計方法是一種專門針對企業(yè)信息系統(tǒng)審計而開發(fā)的審計方法，該方法獨立于企業(yè)信息系統(tǒng)本身，通過審計證據(jù)的收集、評價，審計人員可以判斷企業(yè)對信息系統(tǒng)的運用是否有助于企業(yè)內部控制的有效執(zhí)行、企業(yè)目標的順利實現(xiàn)、企業(yè)資源的高效利用等。

在運用IS審計方法針對不同審計對象執(zhí)行審計程序時，審計目標與審計業(yè)務內容之間通常有著相應的內部聯(lián)系。也因此,在企業(yè)財務報表審核中,審計人員的工作側重點主要集中在檢查企業(yè)信息系統(tǒng)所提供數(shù)據(jù)的真實性、完整性。在內部控制審計中，審計人員的側重點主要集中在檢查信息系統(tǒng)程序合理性、信息系統(tǒng)安全性。審計目標隨著審計業(yè)務的變化而變化，因此對IS審計方法的應用也會相應做出改變，從審計對象的角度可以將IS審計方法劃分為“信息系統(tǒng)流程審計”“信息系統(tǒng)內部控制審計”兩類。

二、信息系統(tǒng)流程審計

（一）方法概述

信息系統(tǒng)流程審計主要包括信息系統(tǒng)流程的合理性審計、有效性審計、完整性審計三個方面，流程合理性審計通過對信息系統(tǒng)流程的程序、運行、維護等相關活動進行檢測，檢驗信息系統(tǒng)流程本身是否可靠；流程有效性審計主要對信息系統(tǒng)產出物進行檢查，即數(shù)據(jù)的準確性、真實性；流程完整性審計主要針對信息系統(tǒng)自身的運行邏輯和數(shù)據(jù)進行整體檢測，識別信息系統(tǒng)流程中存在的漏洞或未能滿足被審計單位實際經營需求的地方。

（二）審計框架

通過圖1可以看出，運用IS審計方法對信息系統(tǒng)流程進行審計時，可以將信息系統(tǒng)流程合理性、信息系統(tǒng)流程有效性、信息系統(tǒng)流程完整性三個層面作為審計目標。審計人員通過審計目標的一、二級拆解確定具體的審計任務，再通過對審計任務的一、二級拆解執(zhí)行具體的審計流程，并最終對信息系統(tǒng)流程的合理性、有效性、完整性做出準確評價。

圖1 信息系統(tǒng)流程審計體系圖

（三）審計程序的應用

1.流程圖檢查。信息系統(tǒng)流程圖是以企業(yè)信息系統(tǒng)的運行過程為基礎所描繪,可以體現(xiàn)企業(yè)信息系統(tǒng)內部安全秩序和企業(yè)信息系統(tǒng)通過數(shù)據(jù)產生原理的框線圖。流程圖檢驗是指針對各種信息系統(tǒng)的流程圖加以檢驗其總體設計是否合理、制度運行是否合理、業(yè)務處理及信息處理邏輯是否合理。通過查閱與檢驗網(wǎng)絡系統(tǒng)中的流程圖,審計人員能夠迅速掌握審計網(wǎng)絡系統(tǒng)的總體業(yè)務流程、重要節(jié)點信息等,從而為制定更詳盡的審計程序提供基礎。

2.控制矩陣檢查?？刂凭仃囀切畔⑾到y(tǒng)管理部門制作的與信息系統(tǒng)相關的，主要揭示信息系統(tǒng)風險與控制節(jié)點的矩陣表格?？刂凭仃嚢ǖ膬热葜饕衅髽I(yè)業(yè)務發(fā)展目標、業(yè)務方向、適用單位、不相容崗位、控制點、控制點分值、控制點相關研究資料、控制點財務報表認定等多個層次的內容。通過對信息系統(tǒng)控制矩陣的檢查，審計人員可以充分了解信息系統(tǒng)審計業(yè)務的主要審計目標，并對審計過程中的相關風險點進行控制。

3.系統(tǒng)檢查。系統(tǒng)檢查是指審計人員在完成對企業(yè)信息系統(tǒng)設計流程圖、控制矩陣的初步檢查后，對信息系統(tǒng)本身實施的進一步檢查。系統(tǒng)檢查既是對被審計單位提供的流程圖、控制矩陣落實程度的檢查，也是對系統(tǒng)流程合理性、有效性本身的檢查。信息系統(tǒng)檢查的主要手段包括試運行信息系統(tǒng)錄入指令、系統(tǒng)功能瀏覽、隨機檢查等。

4.嵌入審計程序測試。嵌入審計程序測試通常是針對信息系統(tǒng)流程安全性所做的特殊檢查工作，也被稱為受控處理法、嵌入審計程序法。嵌入審計程序測試有主動測試和被動測試兩類方式，主動測試是指信息系統(tǒng)開發(fā)商事前主動整合了特定審計程序模塊，并將其嵌入系統(tǒng)中，審計人員僅需執(zhí)行上述審計程序，便可判斷系統(tǒng)的程序是否穩(wěn)定可靠。而另一種則是被動地嵌入審計程序測試，是指信息系統(tǒng)在設計開發(fā)期間未預留滿足審計需求的功能模塊，審計人員需要提供外部程序對信息系統(tǒng)的程序本身開展測試工作。從獨立性的角度來看，被動式嵌入審計程序測試的可靠性顯然高于主動式嵌入審計程序測試。但由于受到技術條件、軟件兼容性等各方面的影響，當前主流的嵌入審計程序測試仍然廣泛采用主動式測試方法。

5.系統(tǒng)日志審計。系統(tǒng)日志審計是對信息系統(tǒng)本身的運行日志進行檢查的一種審計程序，系統(tǒng)日志審計程序的主要目的有兩個，一是為了發(fā)現(xiàn)潛在的系統(tǒng)程序、數(shù)據(jù)篡改現(xiàn)象，確認或排除企業(yè)管理層對信息系統(tǒng)的人為干擾跡象；二是通過對日志的檢查，了解外部操作人員對信息系統(tǒng)錄入指令或執(zhí)行操作、維護、升級、權限修改的情況，能更加全面深入地了解這些信息平臺系統(tǒng)業(yè)務流程的有效性、完整性。

三、信息系統(tǒng)內部控制審計

（一）方法概述

信息系統(tǒng)內部控制審計包含控制環(huán)境、應用控制以及安全控制審計?？刂骗h(huán)境審計關注被審計單位治理層及管理層對內部控制和信息技術治理職能重要性的認識、態(tài)度，以及被審計單位是否具備維持信息系統(tǒng)平穩(wěn)、有效運行的基本條件。應用控制審計關注與數(shù)據(jù)輸入、數(shù)據(jù)處理以及數(shù)據(jù)輸出等環(huán)節(jié)相關的控制活動，關鍵控制點包括財務工作業(yè)務流程的控制、業(yè)務處理授權和不相容職責分離的控制、相關業(yè)務信息的輸入控制、系統(tǒng)控制和輸出過程的控制。安全控制審計涉及與內部權限安全和外部信息安全有關的控制活動，包括權限分布情況、關鍵控制點密碼策略、安全漏洞掃描、數(shù)據(jù)備份以及容災安全配置等。

（二）審計框架

由圖2可以看出，體系流程中以信息系統(tǒng)控制環(huán)境、信息系統(tǒng)應用控制、信息系統(tǒng)安全控制三個方面作為審計目標，審計人員可以通過內控審計目標的一、二級拆解確定具體的審計任務，再通過對審計任務的一、二級拆解執(zhí)行具體的審計業(yè)務流程，并最終對信息系統(tǒng)的控制環(huán)境和應用控制、以及安全控制做出準確評價。

圖2 信息系統(tǒng)內部控制審計體系圖

（三）審計程序的應用

1.符合性測試。符合性測試是指對內部控制制度的執(zhí)行情況和效果進行相關的測試。運用符合性測試來解決信息系統(tǒng)內部風險控制的問題主要有以下兩個類型：一般控制符合性測試與應用控制符合性測試。高效的一般控制是確保應用控制有效性的核心內容，它決定著應用系統(tǒng)和控制實施的境況，假如一般控制較弱，將會導致相關應用控制的可靠性降低。因而，對信息系統(tǒng)一般控制的符合性測試往往在應用控制符合性測試開始之前進行測試。一般控制測試主要針對信息系統(tǒng)的組織能力、操作日志能力、容災能力等方面，以確定信息系統(tǒng)的安全性和可靠性。應用控制測試中，信息系統(tǒng)的應用可控性具有合理確保系統(tǒng)在某一特定的方面能夠準確地完成相關數(shù)據(jù)的登記、處理和報告等功能。運用對系統(tǒng)的應用控制審計，檢驗應用系統(tǒng)本身的不足和功效缺陷，并評價信息系統(tǒng)的準確性、有效性。

2.滲透測試。滲透測試是用來證實網(wǎng)絡防御是否按照約定計劃正常運行而供應的一種工具。在測試過程中，執(zhí)行測試的審計人員應當假設被審計單位遵循內部控制要求定期更新安全策略和程序，隨時給系統(tǒng)打補丁，并采用了漏洞掃描器等工具。實際執(zhí)行滲透測試的目的在于通過測試結果驗證所提出的假設是否成立，并進一步證明假設是否可靠。測試進行中，滲透測試員一般使用兩套掃描器進行安全評價，這些工具在測試過程中應盡可能達到自動化檢測，全面關注所發(fā)現(xiàn)的問題。如果探查得更深入，則需要連接到任何可疑點，某些情況下，還要利用漏洞進行反向的滲透測試以驗證信息系統(tǒng)是否存在更多潛在的漏洞。

3.性能測試。性能測試是通過在信息系統(tǒng)流程中梳理一條線狀線路，由測試者自行提供基礎信息數(shù)據(jù)錄入信息系統(tǒng)，按照既定線路實施信息化處理，并驗證結果的反饋測試過程。性能測試的目的旨在驗證信息系統(tǒng)流程通路上是否存在隱含的系統(tǒng)后門，審計人員通過隨機的、突然的發(fā)起性能測試，可以驗證信息系統(tǒng)的獨立性。若測試過程中錄入的基礎信息數(shù)據(jù)能夠得到信息系統(tǒng)較快的處理與反饋，并給出合理的處理結果，則能夠進一步證明系統(tǒng)可能暫不存在潛在的程序后門，可以相信信息系統(tǒng)程序的可靠性。若錄入的基礎信息數(shù)據(jù)不能得到較快的反饋處理、無法給出反饋處理結果、未按照既定的流程路線運作、反饋的結果錯誤，則說明信息系統(tǒng)程序存在后門或嚴重錯誤。

四、運用IS審計方法的實務案例

（一）IS審計方法運用案例背景

20××年×月，甲會計師事務所（以下簡稱甲事務所）接受A股份有限公司（以下簡稱A公司）的委托，對A公司的售票信息系統(tǒng)（以下簡稱售票系統(tǒng)）進行專項信息系統(tǒng)審計，作為其收入真實性核查工作的一個組成部分。在本次審計中，甲事務所遵循了中國注冊會計師準則、CISA國際信息系統(tǒng)審計師審計準則，運用IS審計方法對A公司的售票信息系統(tǒng)進行了審計。

A公司的財務數(shù)據(jù)與售票信息系統(tǒng)無直接對接關系，目前是依靠核算員每天核對售票信息系統(tǒng)生成的日結數(shù)據(jù)，比對無誤后將其作為業(yè)務收入依據(jù)，交回財務人員作記賬處理。

（二）制定IS審計目標

在承接業(yè)務后，甲事務所項目人員分析了A公司的售票信息系統(tǒng)現(xiàn)狀，并制定了四個IS審計目標，分別是“了解售票系統(tǒng)的一般控制”、“核查售票系統(tǒng)記錄數(shù)據(jù)的及時性”、“核查售票數(shù)據(jù)及應收款項是否正確反映到日結數(shù)據(jù)”、“核查20××-20××三年歷史售票數(shù)據(jù)的完整性和可靠性”。

（三）IS審計程序的實施

甲事務所依據(jù)本次信息系統(tǒng)審計的性質和人員需求，設計和執(zhí)行了下列審計應用程序：

（1）辨別和評價企業(yè)因財務舞弊或錯誤操作引起的售票系統(tǒng)原始售票數(shù)據(jù)準確性的重大錯誤風險，并設計和實施審計程序以處理這些風險，得到全面、合適的審計資料，將其作為發(fā)表審計結論的基礎。

（2）在了解其業(yè)務流程基礎上，對售票系統(tǒng)一般控制進行核查。分析和整理與之有關的內部控制，以安排合適的審計程序，但最終的目標并不是對內部控制的有效性發(fā)表意見。

（3）與管理層、運營團隊、項目團隊和關鍵業(yè)務人員進行面談，現(xiàn)場觀察了解門票信息系統(tǒng)的運行情況。

（4）了解系統(tǒng)操作界面、系統(tǒng)設置、菜單架構和功能結構，了解原始數(shù)據(jù)在數(shù)據(jù)庫中的存儲規(guī)則和存儲邏輯，了解系統(tǒng)權限和操作員配置。

（5）通過穿行測試，對系統(tǒng)記錄數(shù)據(jù)的及時性和完整性進行審計，對系統(tǒng)產生的日結數(shù)據(jù)進行審計。

（6）各類統(tǒng)計數(shù)據(jù)分析及各類異常數(shù)據(jù)分析。

（四）IS審計結論

甲事務所借助IS審計方法對A公司實施審計后，通過對A公司售票信息系統(tǒng)的一般控制流程進行檢查、對售票信息系統(tǒng)數(shù)據(jù)內容進行核查，借助穿行測試、異常數(shù)據(jù)分析、統(tǒng)計分析等審計程序的執(zhí)行，有效得出了相關的IS審計結論。

A公司售票信息系統(tǒng)能及時正確記錄相關售票數(shù)據(jù)并生成用于記賬的日結單，售票終端和應用界面只有售票功能、無修改數(shù)據(jù)功能，不能對數(shù)據(jù)進行修改，后臺也未發(fā)現(xiàn)數(shù)據(jù)修改跡象，系統(tǒng)內基礎數(shù)據(jù)邏輯關系成立，系統(tǒng)內20××-20××三年歷史售票數(shù)據(jù)保存完整。其售票信息系統(tǒng)具有雙機互備高的可用性架構，建有每日數(shù)據(jù)完整備份機制，A公司專職數(shù)據(jù)人員不定期對數(shù)據(jù)進行拷貝并異地存儲。

A公司采用計算機和人工結合這兩種形式對售票數(shù)據(jù)進行處理，售票系統(tǒng)每天生成的日結單與售票員每天實際銷售票據(jù)與金額進行人工盤點核對，確認無誤后交回財務作為記賬依據(jù)，并定期由人工對領出票數(shù)、售出票數(shù)、結余票數(shù)、庫存票數(shù)進行盤點核對，運用線上、線下相融合的內控方法，保證售票數(shù)據(jù)和記賬數(shù)據(jù)的準確程度。