淺談如何實施信息系統審計
如何加強和改善公司內部控制狀況,建立和完善公司內控體系呢?談到這個問題,大多數人就很自然聯想到了公司治理,而當前IT治理作為公司治理中必不可少的關鍵環節,通過加強企業的IT治理水平,就可以促進企業改善
記錄和描述信息系統內部控制制度的方法有三種:
1、書面說明法
書面說明法是將調查得到的內部控制制度記錄下來,并用文字詳細敘述的方法。運用這種方法時,審計人員往往是按著主要經濟業務的運行順序,或每一經濟活動的流程環節向有關人員一一詢問并予以記錄,最后整理結合,形成文字說明材料。書面說明法的優點是可以根據實際情況靈活地選擇內容,并且能做出較深入和具體的描述。但這種方法也有局限性,針對經濟業務復雜、經濟活動環節較多的企業,用書面說明難免冗長。
2、調查表法
調查表法是指審計人員將那些與保證信息的正確性和可靠性以及保證資產的完整性有密切關系的事項列作調查對象,設計成標準化的調查表,交由企業有關人員填寫,再由審計人員收集調查結果,統一將問題歸納整理。調查表的優點是調查范圍明確,省時省力,可以提高評審工作效率;審計人員通過調查表可以抓住企業內部控制中的強點和薄弱環節。但這種方法也有局限性,如果調查表的問題設置不當,就不能客觀全面地反映內部控制制度的情況。
3、流程圖法
流程圖是指用特定的符號和圖形來描述某項業務的整個處理過程,用圖解的形式將主要經營環節和憑證,記錄傳遞關系直觀地表達出來的一種方法。流程圖的優點是,可以把文字敘述減少到最低程度,形象直觀,能幫助審計人員較快地發現控制系統的薄弱環節。其缺點是,繪制流程圖技術不過關,就不能準確地反映被審單位的內部控制制度,就會影響審計工作質量。
(二)對內部控制進行初步評價
審計人員在完成內部控制制度的描述之后,通過與被審單位相關人員座談和實地觀察,了解硬件配置、軟件運行及維護、相關人員操作經驗等計算機信息系統使用環境,并根據取得的資料對被審單位的內部控制制度進行評價。
1、評價內部控制的健全性。
評價內部控制的健全性既要從總體的一般控制來評價,又要從具體的應用控制來評價。一般控制是信息系統有可能安全、可靠地運行和處理的前提。如果沒有恰當的控制環境,沒有強有利的制度保證,不管系統設計的如何好,程序和數據也會被篡改,整個系統的安全就沒有保證。因此,一般控制如有缺陷,將對整個信息系統產生普遍的影響,即使應用控制很強,也難以發揮其功能。同樣,如果應用控制有缺陷,則會直接影響到數據輸入、處理和輸出的正確性。
2、評價內部控制的合理性。
評價信息系統內部控制的合理性,主要考慮的布局是否合理,有沒有不必要的控制,評價時要特別注意信息系統應用控制中的程序化控制。
(三)對內部控制的執行情況進行符合性測試
即使再健全的內部控制,在實際業務處理過程中也不一定被認真執行,因此,應檢查被審單位內部控制過程中形成的文件和記錄,包括各種操作日志、軟件修改記錄、災難恢復記錄等,并對其實際執行情況還要進行符合性測試。
符合性測試的幾種方法:
1、檢查證據法
審計人員通過對有關會計資料和文件的審查,來確定內部控制制度是否被遵循以及遵循的程度。
2、重新測試法
審計人員選擇某一項經濟業務,按照內部控制制度規定的業務處理程序重新實做一遍,來審查被審單位進行的業務處理程序是否達到理想的效果。
3、實地觀察法
審計人員到業務處理現場實地觀察,來考核內部控制的執行是否良好。
(四)提出內部控制測評結果
在實施完對信息系統內部控制評審后,審計人員要對內部控制作出評價,以確定內部控制是否真正發揮作用。如果認為內部控制沒有得到執行,或執行表明內部控制存在重大隱患,此時,審計人員應提出評審中是否依賴已有的控制。
另外,審計人員應當提出一個概括反映信息系統內部控制弱點的屬性和程度的總結報告,并將報告列入審計底稿。對報告可以從以下三個方面加以利用:一是確定實質性審計的范圍、重點和措施。二是將信息系統的控制弱點納入審計意見,以便其改進工作。三是為確定具體使用何種計算機輔助審計技術提供依據。
由此可見,對信息系統內部控制的評審則涉及到審計學、信息技術、企業管理、項目管理、服務管理、信息安全學等跨學科的知識領域,要求第三方咨詢機構的審計人員素質很高,且國內尚無完整的標準規范可以遵循,這也是我們下一步亟待解決的問題之一。
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
