会计信息化I ACCOUNTING INFORMATION 网络环境下信息系统审计研究 河南理工大学 石勇 崔超 赵晓光 出现故障导致系统数据丢失甚至瘫痪的风险;其次,由于互联网系 统具有分散性和开放性等特点,信息系统面临着电子财务数据被 信息系统审计由国家审计机关、企业内部审计部门和会计师 事务所等来实施,因此不同的审计主体对信息系统审计的定位也 不同。网络环境下信息系统审计,指审计机关执行审计监 督职能的需要,利用计算机网络进行审计工作,其主要表现形式是 审计工作不再依靠纸质文件及单据的传输,而是利用计算机、网络 和现代通讯技术,对被审单位信息系统及其内部控制和流程开展 的一系列综合检查、评价,从而评估被审计单位信息系统对企业的 日常的经济业务产生影响的程度,保证信息系统对企业经营业务 活动产生正面的影响。目前先进的信息系统审计理论、审计技术和 审计实施方法大都是由国外根据本国实际情况提出,并且主要针 对内部审计部门和会计师事务所,并不完全适用于我国审计。 本文针对网络环境下审计工作发生的变化进行分析并提出了 相关对策。 一、网络环境下信息系统审计的现状分析 (一)信息系统审计标准规范缺失信息系统审计是由国外组 织提出的,我国引入的时间较短,目前还没有建立起适合我国 信息系统审计的审计标准和规范。在这种情况下,审计机关更 多的运用外国组织制定的标准来开展信息系统审计,然而并不适 用于我国的实际情况。例如,一般被审单位在信息系统建设时,由 于资金、成本和客观环境的考虑,对硬件的购置、系统功能和人员 的配置方面做出衡量和取舍。因此,被审单位的信息系统在客观条 件的下都存在一定的缺陷和不足,如果不考虑成本效益问题, 单纯审查信息系统的完整性、安全性和可靠性,则审计人员容易发 表片面的审计结论。 (二)财务数据电子化增大审计线索隐蔽性信息系统审 计的目标是经济业务的审计监督,因此审计工作的重点在于 被审单位财务资料的正确性和可靠性。在对传统的手工会计进行 审计时,审计人员只对会计凭证、会计账簿、会计报表等会计资料 完整性、正确性和可靠性进行审计,因为这些资料都有纸质的文件 保存,交易过程有文字记录,有相关负责人签字,每笔交易业务都 有完整的审计证据。然而在网络环境下,纸质记录消失了,取而代 之的是电子数据的处理,即业务数据进入企业信息系统中,然后又 由会计软件自动生成会计账簿及报表。大量的原始凭证的减少,会 计数据之间直接对应关系的模糊,业务处理和会计数据的高度集 成,使得系统输出数据与手_T计算的结果可能不一致。特别是被审 单位有关人员可能在系统中嵌入非法程序,篡改了会计数据,从而 给审计人员打印出虚假的财务报表,审计人员很难从中发现审计 线索。 (三)审计范围扩大增加审计工作的难度网络环境下, 信息系统审计的特点和信息系统的固有风险决定了审计的范围发 生了变化。首先,任何计算机系统都存在着硬件、软件和网络本身 非法访问、篡改和破坏的风险;再次,由于财务数据电子化,保存电 子数据的磁盘和磁带比纸质的凭证、账簿更加容易破坏,并且破坏 后更加难以恢复;最后,由于企业内部控制薄弱,企业内部人员利 用工作之便,嵌入非法程序,从而达到对会计数据的非法访问、篡 改和泄密。因此,审计人员应该把信息系统看做是由硬件、软件、数 据、人员管理和控制制度等组成的综合系统,审计人员除了完成传 统审计内容之外,审计的重点还应该包括企业信息系统组织控制、 系统安全控制、系统开发与维护控制、硬件及会计软件控制和操作 人员权限的控制。 (四)审计人员知识局限性降低审计结论准确性信息系统审 计技术方法的先进性以及审计人员自身素质的高低已成为影响审 计质量的重要因素。首先,网络环境下信息系统审计的技术发展滞 后,增加了审计的检查风险。在信息技术飞速发展的强大带动下, 信息系统已从最初部门内信息集成发展到企业集团间集成阶段。 在网络环境下,传统的信息系统审计技术,如测试数据法、平行模 拟法等已不再完全适合。网络环境下信息系统审计要求动态取证, 即在系统运行过程中进行取证,审计人员不仅要完成审计任务,而 且还不能干扰被审计单位信息系统正常工作;其次,审计人员素质 不高,增加了审计的检查风险。网络环境下审计人员的主要工作不 仅是审计企业财务状况以及所取得经营成果的数字本身,还包括 审计企业财务数据在计算机系统中形成的过程。因此,作为信 息系统审计人员,不仅要掌握财务会计知识、经济管理方法,还要 掌握网路技术、计算机技术和现代通讯技术。然而这种复合型审计 人才目前还很少,从而导致了审计效率低下,审计质量不高,也给 信息系统审计带来检查风险。 二、网络环境下信息系统审计的技术改进 (一)程序追踪程序追踪是一种对给定业务,跟踪被审计程序 处理步骤的审查技术,一般可由追踪软件来完成。该方法的优点 是,可列出被审计程序中什么指令被执行以及按什么顺序执行,最 终可以查出被审程序中的非法指令。程序追踪法是为了适应各种 数据处理的特殊要求,保证数据处理的完整、准确,并且从经济业 务的原始凭证跟踪审查到记账凭证、账簿和报表。程序追踪法包括 业务流程审计、输入输出控制审计和程序执行控制审计。被审单位 的信息系统一般都有较为明确的业务流程,因此,审计人员可以使 用追踪程序跟踪信息系统的数据处理过程、系统_丁作流程和程序 运行过程,并且把追踪到的资料保存到特定的文件夹中,并且定期 发送到审计机关的数据库中,审计人员根据收到的资料可以 了解被审单位经济业务的产生、审批、数据输入,信息输}JJ,操作员 操作记录,业务是否按照信息系统规定的流程进行处理,从而获得 财今通孔‘综合2010年第8期l上) 会计信息化l ACCOUNTING INFORMATION 审计证据。具体如图1所示: 统帮助他们来完成审计【作中的证据收集和证据分析工作,以此 来弥补审计人员知识和经验的不足。专家系统主要有知识库管理 系统、推理机等部分。知识库管理系统包括财务会计、经济管理领 域的基本知识、计算机网络处理技术、常用的审计工具以及成功的 审计案例库。推理机的功能主要是查询和预警分析。网络环境下, 审计人员可以根据实时接收到的资料,将数据输入专家系统, 推理机可根据系统知识库的数据,可以完成以下分析检查:首先, 检查被审单位信息系统程序代码,即对被审程序逐条加以审查,以 验证程序的合法性、正确性;其次,通过分析被审单位的系统流程 来核查被审程序是否可靠和处理逻辑是否正确;最后,通过专家系 统知识库中存储的数据测试程序,将被审单位的实际业务的财务 数据输入,并将输出的结果与被审单位信息系统得到的结果比较, 如果一致,说明被审单位信息系统功能正常,反之则可以发现审计 线索。(如图2) 图1 (二)管理控制测试矩阵信息系统是南硬件、软件、数据、人员 管理和控制制度等组成的综合系统,但是在审计过程中,审计人员 容易片面关注硬件的安全性和软件的正确性、完整性、可靠性等方 面,而忽略了人和制度对经济业务的影响。管理测试矩阵(如表1) 针对企业内部控制而设计,审计人员可以采用检查控制文档、问卷 调查、会谈、观察等手段进行。首先是对硬件安全性和软件系统的 检查,测试的主要目标检查控制措施是否能够防止来自硬件的失 灵、计算机网络黑客入侵、病毒感染和具有员 的各种破坏行 为,保障系统正常工作;其次是内部控制制度的测试,审计人员应 对被审单位信息系统的内部控制制度健全性和实际执行情况进行 符合性测试,了解被审单位是否制定了权责分离的规章制度,对不 同级别的职权是否授予了不同的权限,业务人员的_[作职权是否 明确清晰;信息部门对系统的开发和维护是否遵循一定的标准,是 否保存操作日志,数据的备份与软件的管理是否由不同的人来承 担。审计人员最终通过完成管理控制测试矩阵了解被审单位内部 控制制度是否完善和执行是否有效,从而发现薄弱环节。 图2 网络环境下的信息系统审计过程中,大量的财务数据和 序号 据常1;} 施 控制目标 控 执 内部控制都是由计算机系统完成,更多的风险和控制措施转移到 叔责分离 人员管翻划 行情况 信息系统中。因此,审计人员要更好地履行监督经济活动职 1 信 匏 阱、戢件舱 空丰4 、/ 2 是否带l定了叔责分离的 尊搬 、/ 、/ 能,就必须掌握更多新的审计方法和技能,相关审计方法仍需要在 3 业务人员的丘 明确 i晰 、/ 、/ 实践中不断地检验和改进。 4 系统的喻^^员与复核人员不能相互兼征 V 5 信 包封 术部f1只负责系统的开发纬护工作,日常的业务 、/ 操怍只能.由桕关| 门的工作^员采完戍 参考文献: 6 对按 瑶虫栅々工钟天员签;丁=f 密协议书 、/ 7 列关键}生业务首己喾 § 员 、/ [1]吴沁红:《第八届全国会计信息化年会综述》,《会计研究》 8 癌 日信 系统^员翌 j± l】 、/ 20{}9年第7期。 9 人员离骺 主 系绕.中的账号和口令吸硝栅 余 、/ 1O 系统开发雏 员控制 、/ [2]李青春:《试论信息系统审计的定义、产生动因与影响 11 系统硬件、软件出据文件的备 分以及霓后恢复系统的 、/ 、/ 因素》,《科技管理研究))2009年第1期。 安 [3]王振武:《信息系统审计技术研究》,《东北财经大学学报》 (三)实时专家系统随着人工智能技术的发展,基于专家系 2009年第4期。 统的各种审计软件系统也在不断的普及和发展。实时专家系统是 [4]吴沁红、南:《并行审计技术探讨》,《审计研究)2002年 一种智能化的系统,它包含了财务会计、经济管理领域的知识和计 第1期。 算机技术、网络技术以及现代通讯技术,审计人员能够使用专家系 (编辑代娟) 财冬通萱L・综合2olo ̄8期(上)
