本站原创信息系统审计由国家审计机关、企业内部审计部门和会计师事务所等来实施,因此不同的审计主体对信息系统审计的定位也不同.网络环境下政府信息系统审计,指政府审计机关执行审计监督职能的需要,利用计算机网络进行审计工作,其主要表现形式是审计工作不再依靠纸质文件及单据的传输,而是利用计算机、网络和现代通讯技术,对被审单位信息系统及其内部控制和流程开展的一系列综合检查、评价,从而评估被审计单位信息系统对企业的日常的经济业务产生影响的程度,保证信息系统对企业经营业务活动产生正面的影响.目前先进的信息系统审计理论、审计技术和审计实施方法大都是由国外根据本国实际情况提出,并且主要针对内部审计部门和会计师事务所,并不完全适用于我国政府审计.本文针对网络环境下政府审计工作发生的变化进行分析并提出了相关对策.
一、网络环境下政府信息系统审计的现状分析
(一)信息系统审计标准规范缺失信息系统审计是由国外组织提出的,我国引入的时间较短,目前还没有建立起适合我国政府信息系统审计的审计标准和规范.在这种情况下,政府审计机关更多的运用外国组织制定的标准来开展信息系统审计,然而并不适用于我国的实际情况.例如,一般被审单位在信息系统建设时,由于资金、成本和客观环境的考虑,对硬件的购置、系统功能和人员的配置方面做出衡量和取舍.因此,被审单位的信息系统在客观条件的限制下都存在一定的缺陷和不足,如果不考虑成本效益问题.单纯审查信息系统的完整性、安全性和可靠性,则审计人员容易发表片面的审计结论.
(二)财务数据电子化增大审计线索隐蔽性政府信息系统审计的目标是经济业务的审计监督,因此政府审计工作的重点在于被审单位财务资料的正确性和可靠性.在对传统的手工会计进行审计时,审计人员只对会计凭证、会计账簿、会计报表等会计资料完整性、正确性和可靠性进行审计,因为这些资料都有纸质的文件保存.交易过程有文字记录,有相关负责人签字,每笔交易业务都有完整的审计证据.然而在网络环境下,纸质记录消失了,取而代之的是电子数据的处理,即业务数据进入企业信息系统中,然后又由会计软件自动生成会计账簿及报表.大量的原始凭证的减少,会汁数据之间直接对应关系的模糊,业务处理和会计数据的高度集成,使得系统输出数据与手工计算的结果可能不一致.特别是被审单位有关人员可能在系统中嵌入非法程序,篡改了会计数据,从而给审计人员打印出虚检测的财务报表,审计人员很难从中发现审计线索.
(三)审计范围扩大增加审计工作的难度网络环境下,政府信息系统审计的特点和信息系统的固有风险决定了审计的范围发生了变化.首先,任何计算机系统都存在着硬件、软件和网络本身出现故障导致系统数据丢失甚至瘫痪的风险;其次,由于互联网系统具有分散性和开放性等特点,信息系统面临着电子财务数据被非法访问、篡改和破坏的风险;再次,由于财务数据电子化,保存电子数据的磁盘和磁带比纸质的凭证、账簿更加容易破坏,并且破坏后更加难以恢复;最后,由于企业内部控制薄弱,企业内部人员利用工作之便,嵌入非法程序,从而达到对会计数据的非法访问、篡改和泄密.因此,审计人员应该把信息系统看做是由硬件、软件、数据、人员管理和控制制度等组成的综合系统,审计人员除了完成传统审计内容之外,审计的重点还应该包括企业信息系统组织控制、系统安全控制、系统开发与维护控制、硬件及会计软件控制和操作人员权限的控制.
(四)审计人员知识局限性降低审计结论准确性信息系统审计技术方法的先进性以及审计人员自身素质的高低已成为影响审计质量的重要因素.首先,网络环境下信息系统审计的技术发展滞后,增加了审计的检查风险.在信息技术飞速发展的强大带动下,信息系统已从最初部门内信息集成发展到企业集团间集成阶段.在网络环境下,传统的信息系统审计技术,如测试数据法、平行模拟法等已不再完全适合.网络环境下信息系统审计要求动态取证,即在系统运行过程中进行取证,审计人员不仅要完成审计任务,而且还不能干扰被审计单位信息系统正常工作;其次,审计人员素质不高,增加了审计的检查风险.网络环境下审计人员的主要工作不仅是审计企业财务状况以及所取得经营成果的数字本身,还包括审计企业财务数据在计算机系统中形成的过程.因此,作为政府信息系统审计人员,不仅要掌握财务会计知识、经济管理方法.还要掌握网路技术、计算机技术和现代通讯技术.然而这种复合型审计人才目前还很少,从而导致了审计效率低下,审计质量不高,也给信息系统审计带来检查风险.
二、网络环境下信息系统审计的技术改进
(一)程序追踪程序追踪是一种对给定业务,跟踪被审计程序处理步骤的审查技术,一般可由追踪软件来完成.该方法的优点是,可列出被审计程序中什么指令被执行以及按什么顺序执行,最终可以查出被审程序中的非法指令.程序追踪法是为了适应各种数据处理的特殊要求,保证数据处理的完整、准确,并且从经济业务的原始凭证跟踪审查到记账凭证、账簿和报表.程序追踪法包括业务流程审计、输入输出控制审计和程序执行控制审计.被审单位的信息系统一般都有较为明确的业务流程,因此,审计人员可以使用追踪程序跟踪信息系统的数据处理过程、系统工作流程和程序运行过程,并且把追踪到的资料保存到特定的文件夹中,并且定期发送到政府审计机关的数据库中,审计人员根据收到的资料可以了解被审单位经济业务的产生、审批、数据输入,信息输出,操作员操作记录,业务是否按照信息系统规定的流程进行处理,从而获得审计证据.具体如图1所示:
(二)管理控制测试矩阵信息系统是由硬件、软件、数据、人员管理和控制制度等组成的综合系统,但是在审计过程中,审计人员容易片面关注硬件的安全性和软件的正确性、完整性、可靠性等方面,而忽略了人和制度对经济业务的影响.管理测试矩阵(如表1)针对企业内部控制而设计,审计人员可以采用检查控制文档、问卷调查、会谈、观察等手段进行.首先是对硬件安全性和软件系统的检查,测试的主要目标检查控制措施是否能够防止来自硬件的失灵、计算机网络入侵、病毒感染和具有特权员工的各种破坏行为,保障系统正常工作;其次是内部控制制度的测试,审计人员应对被审单位信息系统的内部控制制度健全性和实际执行情况进行符合性测试,了解被审单位是否制定了权责分离的规章制度,对不同级别的职权是否授予了不同的权限,业务人员的工作职权是否明确清晰;信息部门对系统的开发和维护是否遵循一定的标准,是否保存操作日志,数据的备份与软件的管理是否由不同的人来承担.审计人员最终通过完成管理控制测试矩阵了解被审单位内部控制制度是否完善和执行是否有效,从而发现薄弱环节.
(三)实时专家系统随着人工智能技术的发展,基于专家系统的各种审计软件系统也在不断的普及和发展.实时专家系统是一种智能化的系统,它包含了财务会计、经济管理领域的知识和计算机技术、网络技术以及现代通讯技术,审计人员能够使用专家系统帮助他们来完成审计工作中的证据收集和证据分析工作,以此来弥补审计人员知识和经验的不足.专家系统主要有知识库管理系统、推理机等部分.知识库管理系统包括财务会计、经济管理领域的基本知识、计算机网络处理技术、常用的审计工具以及成功的审计案例库.推理机的功能主要是查询和预警分析.网络环境下,政府审计人员可以根据实时接收到的资料.将数据输入专家系统,推理机可根据系统知识库的数据,可以完成以下分析检查:首先,检查被审单位信息系统程序代码,即对被审程序逐条加以审查,以验证程序的合法性、正确性;其次,通过分析被审单位的系统流程来核查被审程序是否可靠和处理逻辑是否正确;最后,通过专家系统知识库中存储的数据测试程序,将被审单位的实际业务的财务数据输入,并将输出的结果与被审单位信息系统得到的结果比较,如果一致,说明被审单位信息系统功能正常,反之则可以发现审计线索.(如图2)
网络环境下的政府信息系统审计过程中,大量的财务数据和内部控制都是由计算机系统完成,更多的风险和控制措施转移到信息系统中.因此,政府审计人员要更好地履行监督经济活动职能,就必须掌握更多新的审计方法和技能,相关审计方法仍需要在实践中不断地检验和改进.