另外,需要关注对信息系统后台设置的审计。后台设置由系统维护人员在系统后台直接进行,内容包括业务处理的流程、运行参数、算法设置、数据库连接设置等,还包括对后台数据的直接修改。这种设置一般不留有历史记录,事后无迹可寻,隐蔽性更强,是系统舞弊的重要手段之一。审计人员应检查后台设置的合法性、合理性,查阅记录后台操作、修改的计算机日志或纸质内部控制文档,询问系统维护人员,以获得相关线索。对后台设置的审计,既可用于控制测试,也可用于实质性测试。
信息系统审计与数据式审计都涉及到对系统数据的审计,但两者对数据的利用角度是不一样的。数据式审计侧重于数据之间的关联,主要审计数据的结果,而信息系统审计主要关注数据的真实完整性,通过测试数据的真实性、完整性来审计系统的安全性、可靠性。
(三) 系统外审计
无论被审计单位后台数据是否真实完整、信息系统是否值得信赖,审计人员都应开展系统外审计。系统外审计是对数据式审计、信息系统审计的有效补充,可以解决依赖于信息系统的审计方式不容易处理的问题。
首先,关注信息系统之外的证据。审计人员除了对系统数据进行分析外,还要通过各种途径获取被审计单位信息系统之外的数据(如会议纪要、内部管理资料、操作流程等),并与信息系统数据核对以发现问题。
其次,关注从外单位取得的外部证据。信息系统数据容易被篡改,但外部单位的数据还是真实可信的,因此从被审计单位的客户、供应商、银行等直接获取的证据较可靠,这些证据包括发票、对账单、合同、订单以及与外单位交换的业务数据。
再次,关注信息系统中的手工处理环节。大量案例表明信息系统中的手工处理是进行舞弊的重要方式,因此对系统运行流程中的手工处理环节要重点关注。
三、信息系统环境下审计模式的选择
随着审计技术的发展,三种审计模式的某些部分可能相互替代。在信息系统环境下,传统审计中涉及的许多原始凭证就是信息系统各业务模块中的数据,因此原始凭证与记账凭证的部分核对工作变成了系统数据与财务数据的核对,可以在信息系统审计中完成。再如,函证将逐渐被内外数据联网取代。数据式审计中利用共享信息库,做到内外数据关联,从而印证被审计单位内部数据的可靠性,在相当程度上能取代函证。
信息系统环境下的审计模式应该是以上三种审计模式的有机结合。
