1、傳統審計方法的運用
廣州地鐵在開展信息係統審計過程中較多運用傳統審計的方法。例如,在對信息係統整體計算機控製進行審計時,通過對係統使用人員的訪談、調研和對係統各項操作的觀察,梳理出整體計算機控製相關的各種控製活動。在沒有測試環境的情況下對生產在用信息係統的人機交互界麵和功能進行調查和確認時,審計人員大量運用了觀察的方法。在對固定資產信息係統模塊進行審計中,審計人員通過觀察物資采購人員、資產管理人員、會計核算人員在係統中的操作界麵、係統實現效果以及業務操作流程來了解係統功能的構造。發現采購中的供應商信息在跨係統流程過程中丟失,導致財務係統和實物管理的MAXIMO係統的資產台賬中均缺少供應商信息,致使日後采購同類物資時,采購人員無法獲取曆史采購信息作為參考,增加了市場調研成本。除內控矩陣和訪談、觀察等方法之外,編製流程圖、數據流圖和報表流圖也是信息係統審計經常使用的方法。
2、計算機科學技術方法的運用
計算機科學技術方法是信息係統審計特有的方法,來源於IT行業的信息技術的轉換應用,主要包括基於數據分析的方法和基於程序分析的方法,這些方法的綜合使用使得對信息係統的審計更加有效。具體方法的選用需視被審計係統的實際情況而定。在一個審計項目中,廣州地鐵審計人員經常將多種方法結合使用。例如,在票務收入係統審計項目中,審計人員首先采用數據測試法,使用正常及非正常的測試地鐵票搭乘地鐵,在係統中跟蹤測試票的處理情況,以驗證係統處理與控製功能是否均有效;在對係統中後期內部開發的車站單程票售賣功能進行審計時,審計人員采用了程序編碼審查法,對係統的源程序編碼進行審查,審查後發現單程票售賣金額統計報表在進行數據處理時省略了小數點後的尾數,導致報表金額存在偏差;在對票務係統的清分報表進行驗證時,審計人員又采用了平行模擬法,抽取係統中一段時間內的正式交易記錄,在係統外模擬係統的處理規則對交易記錄進行處理,並將處理結果與係統的報表數據進行核對,結果發現係統在數據傳遞和處理過程中,由於係統對於異常數據的審核過於嚴格,導致部分正常數據被當作垃圾數據丟進異常庫,給公司造成票務損失。
3、計算機輔助審計軟件的應用
計算機輔助審計軟件的應用是信息係統審計的一個顯著特點,也是審計人員準備階段需要重點關注的問題之一。目前,廣州地鐵對計算機輔助審計軟件的應用主要體現在以下兩個方麵。
(1)對係統中數據的準確性、完整性和一致性的檢查。例如,在合同管理係統審計項目中,為核對係統接口程序的可靠性,審計人員利用審計輔助軟件快速完成了對合同係統和財務係統數據一致性的核對,迅速查找出兩個係統中不一致的數據。經過深入分析,審計人員發現由於財務核算人員在財務係統中複核合同支付數據時發現錯誤,將支付申請退回給合同係統再由合同經辦人重新填報時,合同係統未對已生成的支付信息進行更新,導致上述問題的出現。針對海量數據處理係統,數據驗證是審計的重點,計算機輔助軟件是“不可或缺”的審計工具。在地鐵票務收入保障審計項目中,審計人需要通過數據驗證的方式對業務處理的核心係統——自動售檢票(AFC)係統中的係統傳輸和處理機製進行驗證。為此,審計人員共設計了8大類29子類47個數據驗證主題。審計時,審計人員運用計算機輔助審計技術,在兩個月內完成了對AFC係統中10天總計超過3億條運營數據的驗證工作。
(2)利用計算機輔助軟件進行對比測試。即審計人員從信息係統中抽取某部門樣本數據,將樣本數據輸入到與計算機輔助軟件中進行處理,把審計軟件輸出的結果與業務係統產生的結果進行對比分析,以判定業務係統的可靠性與準確性。廣州地鐵在已開展的運營票務收入保障審計項目中大量地使用了此種方式。審計人員將各車站站務人員在票務係統中錄入的售票數據導入到計算機輔助軟件中,按照業務規則對數據進行處理,將處理結果和係統輸出的結果進行對比。經對比,審計人員發現票務係統在處理異常數據時過於嚴格,導致部分非異常數據被係統當作異常數據丟入異常庫中,給公司造成票務損失。
4、信息係統審計與業務內控審計相結合
企業管理流程信息化的過程中,會對原有的業務流程進行優化甚至重構。對原有手工流程的內控評價在信息化環境中可能不再適用。因此,廣州地鐵在信息係統審計中添加了對業務流程的內控評價——先對業務的內部控製情況進行評估,梳理並確定業務流程風險和關鍵控製點,再對照業務流程對係統的處理流程進行評價,確保信息係統審計評價的準確性。信息係統審計與業務內控審計相結合的方法還體現在對一個流程中未在信息係統實現的控製環節可以通過內控審計進行補充。實踐表明,信息係統審計與業務內控審計相結合的方法在很大程度上提高了審計的全麵性。
由於信息技術自身的特點,例如電子數據的不可視性,加之被審計單位信息係統內部控製方麵可能存在缺陷以及信息係統審計人員在專業技術和職業道德方麵亦不完美,信息係統審計風險客觀存在。麵對信息係統審計風險,需要審計人員通過深入調研,全麵了解被審計係統的情況;需要培養專業人才,“以點帶麵”提升團隊能力;結合企業發展情況,製定內部信息係統審計標準;利用審計軟件,降低抽樣風險,提高審計效率等多種措施,不斷降低審計過程中的檢查風險,提高審計質量。
【參考文獻】
[1] Ron A.Weber,Information Systems Control and Audit,1st ed,NJ:Prentice Hall,1998.
[2] S. Anantha Sayana:The IS Audit Process[J].The ISACA Journal,2002(1).
[3] Craig S. Wright:The IT Regulatory and Standards Compliance Handbook:How to Survive Information Systems Audit and Assessments,1st ed,MA:Syngress, 2008.
[4] Robert E. Davis:Information Systems Auditing:The IS Audit Planning Process,3rd ed,2010.
[5] Jack J. Champlain:Auditing Information Systems[J].2nd ed,NJ:John Wiley&Sons,2003.
[6] 盧紅柱:計算機信息係統審計的探索之路[J].審計研究,2006(增刊).
[7] 王進波、常衛:信息係統審計的發展與現狀[J].財政監督,2008(4).
[8] 陳繼初:信息係統審計在我國的現狀及存在的問題[J].消費導刊,2008(12).
[9] 吳沁紅:信息係統審計內容分析[J].財會研究,2008(10).
[10] 胡曉明:信息係統審計理論體係的構建[J].中國注冊會計師,2006(6).
[11] 王豔、周劍:信息係統審計辨析[J].圖書情報工作,2004(48).
[12] 田佳林:信息係統審計簡述[J].財政監督,2008(4).
[13] 陳婉玲、楊文傑:COBIT及其在信息係統控製與審計中的應用[J].審計研究,2006(增刊).
[14] 趙靜:COBIT框架在IT審計中的應用[J].中國內部審計,2009(12).
[15] 張妍:信息係統審計方法研究[J].審計月刊,2010(11).
[16] 劉傑、羅繼榮:信息係統審計質量控製準則研究[J].財會通訊,2011(5).
[17] 王振武、張子瑾:信息係統審計理論結構框架研究[J].會計之友,2011(7).
[18] 薛富平:信息係統審計風險[J].財會研究,2007(3).
[19] 徐經緯:淺談計算機審計風險評價及其防範對策[J].經濟研究導刊,2009(16).
(責任編輯:張瓊芳)