审计案例分析论文：某航空公司信息系统审计案例分析

会 计 之 友 2010 年 第 9 期 中 FRIENDS OF ACCOUNTING 案 例 研 究 【摘 要】信息系统审计已经在我国开展了相当长的一段时间，但通过对相关案例的 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 发现，我国信息系统审计实践存在着诸多问题。 文章在介绍某航空公司收入结算系统审计项目的基础上，就该信息系统审计案例进行了分析，对我国信息系统审计 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 体系的建立提出了相 关的建设性意见。 【关键词】信息系统审计； 审计规范； 案例分析 信息技术正在扩展审计的内涵与外延。与早期的审计相 比，现代审计的“对象”、“目标”以及“目的”已经发生了很大的 变化，以行为、过程和系统等为审计主体的“非信息审计”变得 越来越重要。我国在相关审计法规的指引下，信息系统审计实 践也正在如火如荼的开展，但通过对相关案例的分析可以发 现，信息系统审计实践存在不少的问题。本文就某航空公司的 收入结算系统审计项目进行案例分析，透视信息系统审计实践 存在的问题，并对政策制定提供相关的建议。 一、某航空公司的信息系统审计项目 某航空公司的审计项目是 2005 年的重点审计项目之一， 其目的是要为实现“真实、合法、效益”的审计目标奠定基础。开 展信息系统审计是抓住该集团特点，培育项目亮点，把这个项 目做成精品的重要举措之一。信息系统到底怎么审，怎么评价， 审计人员想到找一条别人走过的路子，照猫画虎。但查阅信息 系统审计的相关资料，看到的基本上是国外对信息系统审计的 理解与做法，与我们的审计有较大的差别，如果直接硬套过来， 只能是东施效颦；询问相关的专业人员，大家都没有类似的经 验。经过几次讨论，审计组决定首先找对某航空公司信息系统 实施管理的规则发展部、信息技术中心两个部门的领导进行一 次深谈，听听他们对 A航空公司信息系统的评价，希望从中理 出一些思路，再进一步确定具体工作 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 。与被审计单位部门 领导谈话进行得比较顺利，审计人员也渐渐理出了自己的工作 思路：企业的信息系统体现的是企业的管理理念。这次信息系 统审计应该主要抓住以下方面：首先是该航空集团信息系统的 规划、建设、管理与整个公司的发展是否相适应，信息系统资源 的整合是否能够跟上公司其他资源高速整合的步伐；其次是公 司信息系统的功能是否能够满足业务特点的要求；再次是结合 在数据审计中发现的大量数据问题，特别是数据整理中再现的 问题，来考察信息系统中存在的问题。但在实际问题的处理过 程中也存在着诸多困难，无现成的案例和信息系统审计规范可 借鉴。为了确保审计目标的实现，审计组开展了信息系统审计。 在系统审计的探索中，审计人员根据调查了解的情况，在数据 分析的基础上，通过跟踪被审计单位的业务过程和数据处理流 程，发现了被审计单位收入结算系统中存在的非法销售暗扣处 理模块，具体信息系统审计过程包括：一是数据分析，发现问题 线索；二是通过数据对比，求证问题线索；三是跟踪业务过程， 发现暗扣代码文件；四是跟踪数据处理流程，发现暗扣模块。最 终通过对某航空公司收入结算系统的审计发现，进入系统的原 始数据由面额逐步转变为毛额和净额，系统以最后的净额与代 理人结算，并生成运输报告传递到财务系统确认收入，从而实 现了航空公司暗扣销售和净额结算。至此，该信息系统审计项 目也宣告结束。 二、案例分析 由上述案例过程可知，我国对企业信息系统审计还处于探 索阶段，在审计实务中到底如何开展信息系统审计还缺乏有说 服力的案例和行之有效的办法，更不要说具有可操作性的完整 的信息系统审计规范体系。总体来讲，笔者认为从上述案例可 以反映出当前我国信息系统审计规范体系还存在着如下几个 方面的缺陷。 （一）没有完整可借鉴的由权威机构制定的信息系统审计 规范 信息系统审计规范是信息系统审计经验的总结，是对审计 活动内在规范的反映，审计人员按照信息系统审计规范所确定 的程序、步骤、技术和方法开展工作，能够少走弯路，提高信息 系统审计效率，保障信息系统审计工作科学、有序、高效地运 行，全面实现信息系统审计目标，降低信息系统风险，同时也可 降低财务审计、绩效审计以及环境审计等风险。而上述案例也 说明我国信息系统审计尚处于探索阶段，在信息系统审计实践 中缺乏有说服力的案例，根本谈不上完善的信息系统审计规范 体系，而在国外却存在如 ISACA这样的机构去提供完整的信 息系统审计准则、指南和审计程序，至 2010 年 4 月其已经发布 了 16 项基本准则，41 项审计指南和 11 项作业程序。因此，国 家相关部门应整合信息系统审计规范制定的实践与理论资源， 在借鉴国外信息系统审计规范的基础上，推进我国信息系统审 计规范体系制定的进程。 （二）信息系统审计的开展缺乏 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 ，不存在后续审计阶段 对信息系统的审计是一个过程，包括信息系统审计计划、 实施、审计报告以及后续审计阶段，而在上述案例中，对信息系 统的审计是一个摸索的过程，根本谈不上信息系统审计计划。 凡事预则立，不预则废。无论是国家审计，还是注册会计师审 贵州财经学院财政与税收学院 李汉文 贵州财经学院会计学院 刘 杰 某航空公司信息系统审计案例分析 56 FRIENDS OF ACCOUNTING 案 例 研 究 计，同样需要制定信息系统审计计划。《内部审计具体准则第 28 号———信息系统审计》中指出，内部审计人员在执行信息系统 审计之前，需要确定审计目标并初步评估审计风险，估算完成 信息系统审计或专项审计所需的资源，确定重点审计领域及审 计活动的优先次序，明确审计组成员的职责，并以此制定信息 系统审计计划，除此之外第 28 号具体准则没有作详细深入的 阐述。在 ISACA的审计准则体系中，关于审计计划的基本准则 有审计计划（S5）、审计计划中风险评估的运用（S11）和审计重 要性（S12）；审计指南有信息系统审计中的重要性概念（G6）、 审计计划中风险评估的运用（G13）以及信息系统审计的计划 （G15）；审计程序中有信息系统风险评估（P1）等可供借鉴与参 考，并且 ISACA对审计计划的相关准则、指南和程序进行了详 细深入的阐述，以利于引导和约束审计人员的审计行为。 审计报告的签署并不意味着信息系统审计的终结。上述案 例不存在后续审计阶段，这与缺乏信息系统审计规范的指导是 分不开的。在 ISACA的审计准则体系中，后续审计方面的准则 包括基本准则后续工作（S8）以及审计指南后续工作（G35）等。 根据 ISACA审计标准，审计人员对于在信息系统审计中发现 信息系统的重大问题和漏洞，并提出改进意见后，可对被审单 位所采取的纠正措施及效果进行后续审计。如果审计建议如期 落实，则实现了信息系统审计的目标，也意味着信息系统审计 意见得到了被审计单位的认可；如果审计建议没有落实，应耐 心听取被审计人员的反馈意见，对于落实的难点问题，审计部 门应反映给高级管理层，请其协助落实。此外，对于不切实际的 审计建议，审计组成员应该分析原因，以利于下一次审计项目 的改进。因此，后续审计阶段对于信息系统审计同样重要，而在 上述审计案例中，对 A航空公司收入结算系统的审计根据不存 在后续审计阶段。 （三）信息系统审计出于“真实、合法、效益”的审计目标 我国开展的信息系统审计与西方的信息系统审计在目标 上存在着差异，我国审计部门开展信息系统审计主要是为“真 实、合法、效益”的审计目标服务的，主要关注信息系统影响被 审计单位的合法经营、财务核算、经营效益等方面的问题，还没 有达到审查信息系统安全、可靠、有效和效率以及能否有效地 使用组织资源、实现组织目标的层次。因此，对于信息系统审 计，在很大程度上主要是根据数据审计的需要开展。随着企业 信息化、政务信息化等的发展，信息系统的安全审计、生命周期 审计以及软硬件审计等变得越来越重要，其重要程度在很多时 候已经超过了出于“真实、合法、效益”审计目标的信息系统审 计。我国信息系统审计及规范的发展不能只是停留在“真实、合 法、效益”审计目标的基础上，这样只能限制信息系统审计的范 围，我国的信息系统审计实践也没有办法拓展到对信息安全保 护、软件系统开发以及商业流程评估及风险管理等的审计实践 上来。 （四）缺乏信息系统审计项目的质量控制准则 我国在信息系统审计项目方面的质量控制准则尚处于空 白状态。虽然国家审计署、中注协和内部审计协会都颁布了一 些关于审计质量控制的准则或规范，但这些规范不是针对财务 审计的，就是针对会计师事务所质量控制的，而专门针对信息 系统审计项目的质量控制基本上还处于空白状态。因此，上述 案例在信息系统审计过程中，基本上不存在任何质量控制措 施，这也对我国提出了尽早制定与颁布信息系统审计质量控制 方面相关的规范。否则，在信息系统审计市场上将出现一个一 般化的“格雷欣法则”，即劣等品驱逐优等品，其结果是出现卖 方与买方勾结，按照买方的要求 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 信息系统内部控制规范 （刘杰，2010）。一般化的“格雷欣法则”也不利于我国信息系统 产品市场和信息系统审计市场的规范。 三、启示及政策建议 通过上述对某航空公司收入结算系统审计案例的分析可 知，我国信息系统审计实践尚处于起步阶段，还存在着诸多问 题。为规范信息系统审计行为，加强对信息系统审计实践的指 导，信息系统审计规范的制定与发布是关键。信息系统审计规 范是一种公共品，政府机构或相关职业团体在信息系统审计规 范制定过程中扮演着重要的角色。因此，笔者认为我国政府应 从如下几个方面作出努力。 一是以《2004 至 2007 年审计信息化发展规划》与《审计署 2008至 2012 年信息化发展规划》中提出的整合审计资源思想 为契机，抽调中国注册会计师协会、国家审计署以及中国内部 审计协会相关信息系统审计制定的人力、物力和财力，成立专 门的信息系统审计规范制定机构。 二是在借鉴国外诸如 ISACA以及 IIA等信息系统审计资 源的基础上，吸引我国信息系统审计实践中已经发布并实践的 信息系统审计操作规则，结合我国信息系统审计实践，出台完 整、系统的信息系统审计规范体系。完善、系统的信息系统审计 规范有利于指导信息系统审计人员在审计计划、审计实施、审 计报告以及后续审计阶段的审计行为。同时，信息系统审计目 前属于非强制性审计的范畴，审计质量控制准则往往容易被忽 视，而忽视审计质量控制准则的制定与发布在某种程度上会导 致信息系统审计市场上“格雷欣法则”的出现。因此，在信息系 统审计规范体系中，不应忽视信息系统审计质量控制准则的制 定与发布。 三是在信息系统审计规范体系制定的过程中，应将信息系 统审计规范应用的范围扩展，不能仅仅服务于财务审计。如果 仅仅服务于财务审计，则制定与发布的信息系统审计规范不能 很好地服务于信息系统生命周期审计、软硬件审计、信息系统 安全审计等其他信息系统审计活动。 四是加强信息系统审计实践案例的调查研究，从信息系统 审计实践中总结出一些典型信息系统审计案例，用以指导和规 范信息系统审计人员的审计行为，防止信息系统审计实践人员 在从事信息系统审计活动时，陷入不知所措的境地。● 【参考文献】 ［1］刘汝焯，任有泉.计算机审计情景案例选［M］.清华大学出版社， 2006. ［2］刘杰.我国信息系统审计规范体系研究［D］.厦门大学博士论 文，2010. ［3］ ISACA，IS Standards，Guidelines and Procedures for Auditing and Control Professionals［R］.ISACA，2009. 57