審計署武漢辦積極探索信息系統(tǒng)審計成效顯著
近年來,審計署駐武漢特派辦高度重視信息系統(tǒng)審計,將其作為推動計算機審計工作再上新臺階的著力點,取得較好成效。2009、2010年度,武漢辦緊緊圍繞劉家義審計長提出的“安全性、有效性、經(jīng)濟性”三個著力點,共在5個審計項目中開展了信息系統(tǒng)審計,在審計思路、組織方式、方法技術(shù)方面均做出了有益的實踐。
一、積極探索審計思路,項目呈現(xiàn)不同特色。目前,運用信息化手段提升管理水平和效率,已成為被審計單位的普遍選擇,信息系統(tǒng)審計的重要性也隨之日益顯現(xiàn)。但是,多數(shù)被審計單位應(yīng)用的信息系統(tǒng)結(jié)構(gòu)復(fù)雜、數(shù)量眾多而且涉及業(yè)務(wù)管理全流程,而審計的時間和人力資源相對有限。在此情況下,武漢辦組織信息系統(tǒng)審計項目實施時,按“有面有點,重點揭露被審計單位信息系統(tǒng)中關(guān)鍵問題”這一思路開展,抓住重點、突出特色、注重效率。如某政策銀行信貸管理系統(tǒng)審計,重點是“向商業(yè)銀行外購的軟件是否符合政策性銀行業(yè)務(wù)需要”;某市環(huán)保部門信息系統(tǒng)審計,重點是“環(huán)保部門環(huán)境監(jiān)測系統(tǒng)數(shù)據(jù)是否一致,信息是否有效共享”;中國海洋石油總公司(以下簡稱中海油)ERP系統(tǒng)審計,重點是“ERP項目實施是否實現(xiàn)了預(yù)期目標,運行效果如何”;中國人民財產(chǎn)保險股份有限公司(以下簡稱人保財險)核心業(yè)務(wù)系統(tǒng)審計,重點是“系統(tǒng)能否有效防范異常操作的產(chǎn)生”;全國社會保障基金理事會(以下簡稱社保理事會)信息管理系統(tǒng)審計,重點是“核算數(shù)據(jù)是否真實、完整”。在這5個項目中,審計人員牢牢抓住其信息系統(tǒng)運行和管理的特點,有的放矢,集中專業(yè)力量開展分析核查,使審計結(jié)論和建議更具有針對性,每個項目都呈現(xiàn)鮮明特色。
二、靈活安排組織方式,充分融入審計項目。武漢辦所實施的5個信息系統(tǒng)審計項目,均采用“結(jié)合式”的方法,即服務(wù)于審計項目開展信息系統(tǒng)審計。一方面,在選擇系統(tǒng)和確定審計事項時綜合考慮與審計項目總體目標的關(guān)聯(lián)程度、審計資源的充分程度和被審計單位對業(yè)務(wù)系統(tǒng)的依賴程度,另一方面,開展信息系統(tǒng)審計時緊密結(jié)合數(shù)據(jù)式審計,相互促進、相互補充,共同發(fā)揮計算機審計的功能。如在對中海油的審計中,發(fā)現(xiàn)對方使用的信息系統(tǒng)有160余個,但其ERP系統(tǒng)與日常經(jīng)營管理最為密切相關(guān),能有效回答內(nèi)部控制是否到位、IT項目投資是否發(fā)揮效益等問題,因此選擇該系統(tǒng)為審計對象。同時,審計人員下載了ERP系統(tǒng)的全部數(shù)據(jù),并組織數(shù)據(jù)分析團隊對數(shù)據(jù)進行了全面分析,形成數(shù)據(jù)分析報告。根據(jù)數(shù)據(jù)分析的結(jié)果,審計組確定了報表準確性、收發(fā)貨量和單價等關(guān)鍵應(yīng)用控制環(huán)節(jié)作為信息系統(tǒng)審計的重點,并進一步通過數(shù)據(jù)分析深入查找證據(jù),信息系統(tǒng)審計和數(shù)據(jù)式審計相輔相成,效果良好。
三、認真研究方法技術(shù),因地制宜有所創(chuàng)新。在信息系統(tǒng)審計中,武漢辦計算機審計人員還根據(jù)每個項目的特點,積極探索一些行之有效的審計技術(shù)方法。一是數(shù)據(jù)對比分析法,如在某市環(huán)保部門的審計中,對不同系統(tǒng)的數(shù)據(jù)進行比對,在社保理事會的審計中,對不同時點采集的數(shù)據(jù)進行比對,以此方法查找系統(tǒng)是否留有非法修改的功能模塊。二是測試環(huán)境中的模擬數(shù)據(jù)運行法,如人保財險審計中,被審計單位的生產(chǎn)系統(tǒng)均不允許直接操作,審計人員即在其測試環(huán)境中設(shè)計模擬數(shù)據(jù)運行,包括不符合校驗條件、關(guān)鍵字段缺失、流程不全等異常操作。三是日志文件分析法,如在中海油ERP系統(tǒng)審計中,通過分析登錄日志文件,發(fā)現(xiàn)大量用戶長期未登錄,使用效果不佳;在社保理事會審計中,分析日志文件發(fā)現(xiàn)有關(guān)人員跨年度對以前年度的明細賬、記賬憑證等進行修改。四是量化指標設(shè)計分析法,即在面對大型國有企業(yè)的ERP系統(tǒng)時,審計人員設(shè)計并計算關(guān)鍵績效評價指標,如在中海油審計時,通過梳理業(yè)務(wù)流程,設(shè)計出“采購業(yè)務(wù)在線結(jié)算率”這一評價指標,對系統(tǒng)使用情況進行量化評價,最終揭示出該企業(yè)核心業(yè)務(wù)流程使用率不高,有力支持了“中海油ERP系統(tǒng)運行效果不佳”這一審計結(jié)論。(張海燕)
一、積極探索審計思路,項目呈現(xiàn)不同特色。目前,運用信息化手段提升管理水平和效率,已成為被審計單位的普遍選擇,信息系統(tǒng)審計的重要性也隨之日益顯現(xiàn)。但是,多數(shù)被審計單位應(yīng)用的信息系統(tǒng)結(jié)構(gòu)復(fù)雜、數(shù)量眾多而且涉及業(yè)務(wù)管理全流程,而審計的時間和人力資源相對有限。在此情況下,武漢辦組織信息系統(tǒng)審計項目實施時,按“有面有點,重點揭露被審計單位信息系統(tǒng)中關(guān)鍵問題”這一思路開展,抓住重點、突出特色、注重效率。如某政策銀行信貸管理系統(tǒng)審計,重點是“向商業(yè)銀行外購的軟件是否符合政策性銀行業(yè)務(wù)需要”;某市環(huán)保部門信息系統(tǒng)審計,重點是“環(huán)保部門環(huán)境監(jiān)測系統(tǒng)數(shù)據(jù)是否一致,信息是否有效共享”;中國海洋石油總公司(以下簡稱中海油)ERP系統(tǒng)審計,重點是“ERP項目實施是否實現(xiàn)了預(yù)期目標,運行效果如何”;中國人民財產(chǎn)保險股份有限公司(以下簡稱人保財險)核心業(yè)務(wù)系統(tǒng)審計,重點是“系統(tǒng)能否有效防范異常操作的產(chǎn)生”;全國社會保障基金理事會(以下簡稱社保理事會)信息管理系統(tǒng)審計,重點是“核算數(shù)據(jù)是否真實、完整”。在這5個項目中,審計人員牢牢抓住其信息系統(tǒng)運行和管理的特點,有的放矢,集中專業(yè)力量開展分析核查,使審計結(jié)論和建議更具有針對性,每個項目都呈現(xiàn)鮮明特色。
二、靈活安排組織方式,充分融入審計項目。武漢辦所實施的5個信息系統(tǒng)審計項目,均采用“結(jié)合式”的方法,即服務(wù)于審計項目開展信息系統(tǒng)審計。一方面,在選擇系統(tǒng)和確定審計事項時綜合考慮與審計項目總體目標的關(guān)聯(lián)程度、審計資源的充分程度和被審計單位對業(yè)務(wù)系統(tǒng)的依賴程度,另一方面,開展信息系統(tǒng)審計時緊密結(jié)合數(shù)據(jù)式審計,相互促進、相互補充,共同發(fā)揮計算機審計的功能。如在對中海油的審計中,發(fā)現(xiàn)對方使用的信息系統(tǒng)有160余個,但其ERP系統(tǒng)與日常經(jīng)營管理最為密切相關(guān),能有效回答內(nèi)部控制是否到位、IT項目投資是否發(fā)揮效益等問題,因此選擇該系統(tǒng)為審計對象。同時,審計人員下載了ERP系統(tǒng)的全部數(shù)據(jù),并組織數(shù)據(jù)分析團隊對數(shù)據(jù)進行了全面分析,形成數(shù)據(jù)分析報告。根據(jù)數(shù)據(jù)分析的結(jié)果,審計組確定了報表準確性、收發(fā)貨量和單價等關(guān)鍵應(yīng)用控制環(huán)節(jié)作為信息系統(tǒng)審計的重點,并進一步通過數(shù)據(jù)分析深入查找證據(jù),信息系統(tǒng)審計和數(shù)據(jù)式審計相輔相成,效果良好。
三、認真研究方法技術(shù),因地制宜有所創(chuàng)新。在信息系統(tǒng)審計中,武漢辦計算機審計人員還根據(jù)每個項目的特點,積極探索一些行之有效的審計技術(shù)方法。一是數(shù)據(jù)對比分析法,如在某市環(huán)保部門的審計中,對不同系統(tǒng)的數(shù)據(jù)進行比對,在社保理事會的審計中,對不同時點采集的數(shù)據(jù)進行比對,以此方法查找系統(tǒng)是否留有非法修改的功能模塊。二是測試環(huán)境中的模擬數(shù)據(jù)運行法,如人保財險審計中,被審計單位的生產(chǎn)系統(tǒng)均不允許直接操作,審計人員即在其測試環(huán)境中設(shè)計模擬數(shù)據(jù)運行,包括不符合校驗條件、關(guān)鍵字段缺失、流程不全等異常操作。三是日志文件分析法,如在中海油ERP系統(tǒng)審計中,通過分析登錄日志文件,發(fā)現(xiàn)大量用戶長期未登錄,使用效果不佳;在社保理事會審計中,分析日志文件發(fā)現(xiàn)有關(guān)人員跨年度對以前年度的明細賬、記賬憑證等進行修改。四是量化指標設(shè)計分析法,即在面對大型國有企業(yè)的ERP系統(tǒng)時,審計人員設(shè)計并計算關(guān)鍵績效評價指標,如在中海油審計時,通過梳理業(yè)務(wù)流程,設(shè)計出“采購業(yè)務(wù)在線結(jié)算率”這一評價指標,對系統(tǒng)使用情況進行量化評價,最終揭示出該企業(yè)核心業(yè)務(wù)流程使用率不高,有力支持了“中海油ERP系統(tǒng)運行效果不佳”這一審計結(jié)論。(張海燕)
【關(guān)閉】 【打印】 |