随着计算机技术飞速发展及其应用领域的扩大,特别是计算机网络和Internet的发展,基于计算机网络和数据库技术的信息管理系统、应用系统得到了突飞猛进的发展。在国内,各企事业单位,不论其规模大小、行业类别,都离不开对信息系统的使用,如:财务管理系统、进销存管理系统及人事管理系统等。信息系统是否能够保护资产的安全、是否能够维护数据的完整、是否能够有效地实现既定的目标、是否能够使资源得到高效地使用等等对企事业单位而言就显得非常的重要,信息系统审计应运而生。本文拟就信息系统审计程序和审计内容谈些粗浅的看法。
一、信息系统审计程序
审计程序一般可分为四个阶段,即准备阶段、实施阶段、审计结论和执行阶段、异议和复审阶段。信息系统审计也可分为这四个阶段,同时结合自身的特殊要求,运用本身特有的方法,对信息系统进行评价。
(一)准备阶段
在此阶段主要是初步调查被审计单位信息系统的基本状况,并拟定科学合理的计划。一般应包括以下主要工作:
1.调查了解被审计单位信息系统的基本情况,如信息系统的硬件配置,系统软件的选用,应用软件的范围,网络结构,系统的管理结构和职能分工、文档资料等,调查完成后将审前调查情况记录下来。
2.提前三天送达审计通知书,要求被审计单位对所提供资料的真实性、完整性作出书面承诺,明确彼此的责任、权利和义务。
3.初步评价被审计单位的内部控制制度,以便确定符合性测试的范围和重点。
4.确定审计重要性、确定审计范围。
5.分析审计风险。
6.制定审计实施方案。在审计实施方案中除了对时间、人员、工作步骤及任务分配等方面作出安排以外,还要合理确定符合性测试、实质性测试的时间和范围,以及测试时的审计方法和测试数据。
在安排利用计算机辅助审计时,还需列出所选用的通用软件或专用软件。对于复杂的信息系统,也可聘请专家,但必须明确审计人员的责任。
(二)实施阶段
实施阶段是审计工作的核心,也是信息系统审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见。实施阶段的主要工作应包括以下两个方面的内容:
1.符合性测试。进行符合性测试应以系统安全可靠性的检查结果为前提。如果系统安全可靠性非常差,不值得审计人员信赖,则应当根据实际情况决定是否取消内控制度的符合性测试,而直接进行实质性测试并加大实质性测试的样本量。在信息系统的符合性测试项目中,主要内容应该是确认输入资料是否正确完整,计算机处理过程是否符合要求。如果系统安全可靠性比较高,则应对该系统给予较高的信赖,在实质性测试时,就可以相应地减少实质性测试的样本量。由于我国的信息系统审计刚起步,还没有相应的法律法规,相应的具体审计准则也没有出台,所以目前情况下,可暂时以财政部颁发的有关会计电算化的工作规范、条例、办法等作为参照,并以此作为符合性测试的主要内容。
2.实质性测试。实质性测试应该是对被审计单位信息系统的程序、数据、文件进行测试,并根据测试结果进行评价和鉴定。进行实质性测试须依赖于符合性测试的结果,如果符合性测试结果得出的审计风险偏高,而且被审计单位有利用信息系统进行舞弊的动机与可能,并且被审计单位又不能提供完整的会计文字资料,此时审计人员应考虑对会计报表发表保留意见或拒绝表示意见的审计报告。进行实质性测试时,可考虑采用通过计算机和利用计算机进行审计的方法,具体包括:
①“测试数据法”,就是将测试数据或模拟数据分别由审计人员进行手工核算和被审计单位信息系统进行处理,比较处理结果,作出评价;
②“受控处理法”,就是选择被审计单位一定时期(最好是12月份)实际业务的数据分别由审计人员和会计电算化系统同时处理,比较结果,作出评价。