信息系统内部控制审计初探.docx

信息系统内部控制审计初探随着社会信息化进程的迅速推进信息系统成为不少被审单位内部管理与控制的关键工具因此信息系统的可靠性安全性已经直接影响着审计工作效率和质量在此背景下审计署至年审计工作发展规划提出逐步开展对关系国计民生的重大行业部门的联网审计和信息系统审计全面提高计算机应用水平日前令狐安副审计长在南京特派办调研时指出系统审计应成为今后审计工作的一个重点信息系统审计是一个通过收集和评价审计证据对信息系统是否能够保护资产的安全维护数据的完整使被审计单位的目标得以有效地实现使组织的资源得到高效地使用等方面作出判断的过程从该定义可以看出其审计内容及方法是通过对系统内部控制的审计来判断和评价系统的安全性完整性效果和效率等方面通常信息系统内部控制可分为一般控制和应用控制下面结合我们在失业保险基金养老保险基金公路养路费等多个审计项目中尝试信息系统内部控制审计的实践就相关审计内容与方法谈一下肤浅的认识一信息系统的一般控制及审计方法信息系统的一般控制是指为合理保证信息系统安全可靠的控制措施包括组织控制操作控制系统开发和维护控制硬件和系统软件控制灾难恢复控制目前被审计对象一般是在日常运行的信息系统因而我们重点是对信息系统的组织控制操作控制和灾难恢复控制进行审计判断信息系统的安全性可靠性组织控制组织控制主要是通过不相容职责的分离来实现审计内容包括系统管理人员及操作人员是否有明确的管理制度及明确的职责权限数据库管理人员是否不审批和处理经济业务系统管理人员和操作人员是否不能接触有关应用程序文件业务处理中不相容职能是否分离等审计可以采用查阅被审单位相关内控制度和检查信息系统中操作用户权限表等方法如在养路费审计项目中使用该方法发现信息系统中部分用户的不相容的操作权限未予分离征费员既有收费等征收管理的权限又有车辆类型管理费率设置修改缴费标准等权限灾难恢复控制灾难恢复控制是在系统遭受无法抗拒的突如其来的灾难时为了将灾害的损失降低最小的程度所采取的措施审计内容与方法主要是检查系统备份制度及执行情况灾难发生后的应急恢复安排等二信息系统的应用控制及审计方法信息系统的应用控制是设计用来合理地保证系统在特定的应用方面能够正确地完成数据的记录处理和报告功能包括输入控制处理控制和输出控制通过对系统的应用控制功能审计检查应用系统本身是否存在漏洞和功能缺陷评价信息系统的可靠性效果和效率等方面输入控制输入控制确保输入数据的合法准确和完整包括数据正确地存储业务数据没有丢失增加重复和改变错误的业务数据能够被拒绝改正并及时地重新提交处理审计可以采用以下方法检查系统输入控制面谈法观察法审计人员采用与操作人员座谈现场观察系统输入控制可以初步了解系统输入控制情况测试数据法审计人员设计一些虚拟数据提交系统进行处理以测试系统输入控制是否存在如在社保审计中审计人员通过测试数据法发现存在参保人员重复开户问题系统输入控制不严进而发现重复征收失业保险费养老保险费等问题数据验证法主要是通过检查数据之间逻辑关系验证输入数据的正确性和保存数据的完整性包括业务数据与财务数据对比验证和业务数据间主表与明细表核对如在养路费审计中通过数据库主表与明细表数据的核对和检查审计发现系统对部分业务数据保存不够完整和正确部分养路费滞纳金减免记录在减免明细表中记录不完整部分养路费缴费记录存在缴费总表与缴费明细表记录不符又如在养老保险基金审计中通过对养老保险系统保存的地税征收的养老保险费数据与地税部门实际征收的数据比较核对发现系统保存的地税征收的养老保险费不够正确和完整原因在于地税部门没有提供标准格式的征收养老保险费情况的电子数据社保部门通过手工将地税征收的养老保险费数据输入系统处理控制处理控制确保系统按规定对数据进行处理包括能够对经济业务进行正常处理业务数据在处理过程中没有丢失增加重复或不恰当的改变处理中错误能够发现并得到及时更正审计可以采用以下方法检查系统应用控制抽样数据法审计人员从被审单位抽样若干经济业务数据检查信息系统处理结果是否正确以确定系统控制是否有效的执行如在被征地人员养老保障审计中审计人员通过对不同类型参保人员个人账户计息情况抽样审核发现部分个人账户计息不正确平衡模拟法审计人员模拟被审单位对实际数据的处理要求设计一个程序将被审计单位的真实数据用审计人员的程序重新处理一遍检查信息系统控制功能是否有效如在养路费审计中通过该方法发现一是信息系统对征费吨位吨以上的运营货车没有根据交通运输业征收营业税有关征费吨位吨以上部分减半征收的规定分段计算计算营业税而是按全部减半的方式计算营业税导致少征营业税二是信息系统对原由自行申报纳税的单位营运车辆过户转让给个体运营户后没有重新调整新的征费标准而是继续使用了原来的征费标准导致漏征营业税输出控制输出控制确保系统处理结果的完整性和正确性输出结果提交给有权使用的人员可采用面谈法观察法和系统文档审阅法平衡模拟法等审计方法检查系统输出控制如在失业保险金审计中通过与系统管理员操作人员座谈及系统文档审阅等发现系统控制功能存在欠缺系统没有根据缴费记录自动计算失业金享受类型及期限的功能实际操作中由手工计算失业金享受类型及期限后输入系统然后审计人员按照法律法规的要求设计程序对业务数据进行复算发现存在超期限超标准发放失业保险金问题又如在养路费审计中发现信息系统部分查询功能不够全面养路费滞纳金减免查询只能根据时间段进行查询不能根据减免审批人员查询滞纳金减免情况不利于被审计单位内部监督