下载
加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 结合型政府信息系统审计“3W1H”模型探讨

结合型政府信息系统审计“3W1H”模型探讨.doc

结合型政府信息系统审计“3W1H”模型探讨

小戋戋1999
2018-04-05 0人阅读 举报 0 0 暂无简介

简介:本文档为《结合型政府信息系统审计“3W1H”模型探讨doc》,可适用于综合领域

结合型政府信息系统审计“WH”模型探讨结合型政府信息系统审计“WH”模型探讨八字算命【摘要】随着信息系统的广泛应用迫切需要政府审计机关审计人员在政府审计项目中考虑信息系统因素开展结合型政府信息系统审计。文章在阐明结合型政府信息系统审计概念和特点的基础上围绕开展结合型政府信息系统审计的必要性(Why)、审计目标是什么(What)、审计重点在哪里(Where)以及如何实施审计(How)这四个基本问题进行了深入探讨并由此构建了结合型政府信息系统审计“WH”模型。【关键词】政府审计信息系统审计结合型审计“WH”模型随着信息系统在行政事业单位和国有企业的广泛应用迫切需要政府审计机关审计人员在政府审计项目中考虑被审计单位信息系统环境给审计工作带来的风险开展信息系统审计。政府信息系统审计的方式主要有两种:一种是由审计机关独立立项或接受被审计单位专门委托而开展的专项信息系统审计另一种是融合于特定政府审计项目中如财政财务收支审计、住房公积金专项审计等项目中与各审计项目相结合而实施的“结合型”信息系统审计(简称:结合型政府信息系统审计)。本文主要探讨后一种情况。面对被审计单位信息系统环境审计机关审计人员对结合型政府信息系统审计的必要性(Why)、审计目标是什么(What)、重点在哪里(Where)以及如何审计(How)仍然存在模糊不清的认识问题。这也直接导致审计人员在结合型政府信息系统审计实践中存在一定的随意性、无序性。为此本文针对上述四个基本问题进行探讨提出结合型政府信息系统审计的“WH”模型。一、结合型政府信息系统审计概念目前公认的有关信息系统审计的定义如威伯(RonWeber)、信息系统审计与控制协会(ISACA)和日本通产省情报协会等的定义主要基于信息管理咨询、内部控制视角并不能完全、准确地描述结合型政府信息系统审计(李春青)。结合型政府信息系统审计概念的缺失使得我国审计机关审计人员在政府审计项目的信息系统审计实践中缺乏所依据的概念框架和理论基础主要靠自己的理解和需要开展信息系统审计从而造成各自在信息系统审计定位、目标、内容和方式上的千差万别。因此有必要对结合型政府信息系统审计概念进行清晰界定。何谓结合型政府信息系统审计,一方面结合型政府信息系统审计应以IT和政府审计相关学科理论为基础主要目的是为了更好地履行政府审计经济监督职责(周德铭)是将信息系统审计作为整个政府审计项目的一部分服务于政府审计项目目标而进行的一个审计概念另一方面结合型政府信息系统审计的对象依然是信息系统应该被当作信息系统审计的一个特例。因此借鉴国内外主流信息系统审计的定义结合政府审计项目的特点可以作出如下定义:所谓结合型政府信息系统审计是指政府审计机关基于经济监督目的对影响被审计单位经济业务活动的有关信息系统进行检查、分析和评估以判断信息系统的可靠程度、存在的问题以及对经济业务活动的影响程度并提出针对性审计建议的过程。二、结合型政府信息系统审计的必要性(Why)随着被审计单位经济业务活动对信息系统依赖程度越来越高信息系统已经逐渐融入各项经济活动当中。但是信息系统存在的漏洞和缺陷、非法舞弊程序、人为操作错误、病毒感染、黑客攻击、系统故障等导致被审计单位经济业务数据失真的各种风险也在进一步加大也就是说信息系统本身的安全性、可靠性直接威胁和影响到信息系统所产生经济业务电子数据的真实、准确和完整。因此基于现代风险基础审计理论的政府审计必须考虑与经济业务活动相关的信息系统产生的风险因素突破传统政府审计业务范围涵盖信息系统审计内容。如果忽视对信息系统本身的审计审计机关审计人员审计依赖的被审计电子数据的真实性就会成为“空中楼阁”就有可能出现“假账真审”的问题。目前各级政府部门、企事业单位为了提高信息化水平纷纷加大资金投入推进信息系统建设建立统一数据集中平台信息系统已经成为国家的一项投资巨大的重要资产。这就要求审计机关审计人员在对这些机构实施经济效益审计、绩效审计、经济责任审计等审计项目时必须考虑信息系统资产因素对信息系统实施相关审计以有效揭示信息系统在安全、可靠、合法、效率、效果和效益等方面存在的问题防范信息系统风险保障信息系统安全、可靠运行促进信息系统资源的有效利用提高信息系统资源运用的收益水平。由此在政府审计项目中考虑到信息系统的影响因素迫切需要大力开展结合型政府信息系统审计而不是可审可不审的问题。三、结合型政府信息系统审计的目标是什么(What)信息系统审计目标是信息系统审计行为的出发点它指明了审计工作方向并指导着信息系统审计实践活动(王振武等)。我国政府审计以维护国家财政经济秩序提高财政资金使用效益促进廉政建设保障国民经济和社会健康发展为职能以国家经济活动的真实性、合规性和效益性为总体目标。因此我国政府审计机关实施的结合型政府信息系统审计也应遵守真实、合规和效益的根本目标。审计机关审计人员在各项具体政府审计项目中不能笼统地将一般意义上信息系统审计的安全性、可靠性、合法性和有效性目标作为结合型政府信息系统审计具体目标这既不符合结合型政府信息系统审计的特点和需求也不具备实际可操作性、指导性。如果信息系统审计目标因素与具体政府审计项目目标不相关将起不到应有的作用是多余的、不必要的从成本效益角度来说是对审计资源的浪费。审计人员应避免根据自己的理解来确定目标造成混淆不清。结合型政府信息系统审计贯穿于各政府审计项目之中成为审计全过程的一部分其具体审计目标应根据国家审计机关实施审计项目预期要完成的任务和结果即具体政府审计目标以及所涉及的信息系统情况等综合确定。例如政府财政财务收支审计的目标是财政财务收支情况的真实性、合规性和效益性其审计的数据来源于相关信息系统产生的财务电子数据而数据是否真实、完整直接依赖于相关信息系统是否安全、可靠由此可以确定政府财政财务收支审计中信息系统审计的目标是安全性、可靠性。又如在国有企业绩效审计中绩效审计的目标是效率性、效果性和效益性虽然信息系统与绩效审计不直接相关但是信息系统作为企业的一项重要资产且信息系统建设的投入金额巨大因此在国有企业绩效审计中也应包括信息系统资产的绩效审计这就决定了国有企业绩效审计中信息系统审计的目标应该是效率性、效果性和效益性。上述示例也表明结合型政府信息系统审计具体目标随政府审计项目的不同而存在一定的差异性也就是说政府审计具体目标的多元性决定了结合型政府信息系统审计具体目标的多元性必须根据具体政府审计项目综合确定。四、结合型政府信息系统审计的重点在哪里(Where)结合型政府信息系统审计的成效取决于审计机关审计人员对信息系统审计重点内容的把握程度。审计人员应该在分析清楚各政府审计项目中信息系统审计具体目标的基础之上确定信息系统审计意图和需要解决的问题并根据“全面审计、突出重点”、“先系统本身后系统环境”的原则确定信息系统审计重点事项(唐剑)。此外还应考虑成本效益原则尽力减少与政府审计目标不相关的、多余的、不必要的信息系统审计内容。(一)结合型政府信息系统重点审计对象的选择被审计单位一般建立有多个信息系统依据结合型政府信息系统审计的特点不需要也不必要将被审计单位的所有信息系统纳入重点关注的审计对象只需要根据与被审计业务活动相关的程度选择目标信息系统。如何选择信息系统重点审计对象,审计机关审计人员选择的主要原则应是依据被审计单位核心业务对信息系统的依赖性以及被审计单位信息系统的复杂性确定需要重点调查和审计测试的信息系统的范围和深度。一般来说越高度依赖的信息系统就应该作为重点审计的对象越复杂的信息系统就应该扩大重点审计对象范围。例如在财务收支审计中被审计单位ERP系统由财务、采购、销售、库存、质量、人力资源等多个子系统组成由于财务收支数据直接依赖于财务子系统所以理应将其作为审计的重点然而ERP系统又是一个集成化的复杂系统审计人员还应扩大审计范围和深度需要将ERP系统中系统管理子系统以及其他子系统的基础设置、凭证处理等模块也作为审计的重点。(二)结合型政府信息系统内部控制测试重点内容的确定现代风险基础政府审计是建立在内部控制的测评基础之上根据内部控制的符合性测试结果实施业务数据的实质性测试。信息系统内部控制测试是对信息系统内部控制的可靠性、健全性和有效性进行的测试。基于结合型政府信息系统审计的经济监督和重在审计业务数据的特点以及政府审计人员信息技术能力限制为避免将对信息系统的审计引入技术陷阱(李春青)审计人员应重点选择信息系统中容易产生数据风险的部分作为信息系统内部控制测试的重点内容。而信息系统的硬件、软件、应用程序、数据、人员、制度等组成要素中对业务数据直接产生影响的主要有信息系统数据、应用程序、人员和制度因此审计人员在结合型政府信息系统审计中应选择信息系统数据、应用程序、人员、制度作为审计测试的重点只在必要的时候再根据实际情况适当关注信息系统的软硬件环境。(三)信息系统效率、效果和效益审计重点内容的选择在结合型政府信息系统审计中对行政事业单位、企业的效益审计、绩效审计、经济责任审计等政府审计项目中涉及的信息系统效率、效果和效益审计其审计范畴从属于政府审计项目的范畴只是审计对象中包括信息系统资产。因此在这种结合型政府信息系统审计中审计机关审计人员审计信息系统效率、效果和效益应从被审计单位正在运行使用中的信息系统资源的有效利用、促进产品或服务目标实现、降低产品或服务成本和增加产品或服务收益的角度选择重点审计内容:()效率性审计应重点评价使用中的信息系统对提高被审计单位劳动生产率所作的贡献如节省人力、提高人员工作效率等()效果性审计应重点评价使用中的信息系统使被审计单位业务、管理和决策等方面得到改善和提升如满足业务处理需求、促进业务流程改进、增强信息交流与共享、提升客户服务能力、提高管理决策水平等()效益性审计应重点评价使用中的信息系统的资金投入以及产生效益之比资金投入包括信息系统运维资金投入、升级改造资金投入等方面产生效益则可以从降低产品或服务成本、提高资金周转速度、提高产品或服务收入、增强竞争力等方面考虑。五、结合型政府信息系统审计如何实施(How)结合型政府信息系统审计作为信息系统审计的一个特例两者在审计技术、方法、手段等方面理应具有一定的一致性。但是审计机关审计人员在借鉴目前常用信息系统审计方法的同时需要结合具体政府审计项目立足审计人员的信息技术审计能力相对较弱、业务审计能力较强的审计专长以审计人员的业务思路和职业判断为工作核心(王亚清)积极探索富有实效的信息系统审计与传统审计相结合的方法。(一)如何做好信息系统审前调查在进行结合型政府信息系统审计调查时审计机关审计人员可以将被审计信息系统调查与被审计项目业务调查结合进行将信息系统调查作为业务调查的延伸。一方面可运用询问法、观察法、查阅法、调查表法、流程图法等传统审计调查的方法将被审计单位业务活动情况与信息系统情况调查融合在一起一并调查了解被审计单位整体和业务活动情况、信息系统环境(如硬件环境、软件环境、组成、结构、分布等)、内部控制制度(含信息系统内部控制制度)、手工和计算机信息系统处理过程(如业务流程、运行流程、人员操作流程等)及执行情况另一方面可运用计算机辅助审计方法获取被审计业务电子数据调查了解被审计信息系统数据处理情况等。两种方法相互补充既能全面了解被审计单位业务活动情况又能够摸清被审计单位信息系统基本运作情况实现信息系统审计调查与整个审计工作调查的衔接从而确保审计调查的效率、质量。(二)如何做好信息系统内部控制测试在结合型政府信息系统审计中审计机关审计人员可运用熟悉的传统审计测试方法辅以计算机辅助审计测试方法对前述确定的信息系统数据、应用程序、人员、制度等重点内容进行审计测试。具体可采用:()传统审计方法。通常可采用询问法、观察法、检查法、核对法、比较法、数据分析法等方法。如:询问或观察职责分离制度、人员操作制度、运行维护制度的执行情况观察有关人员对信息系统访问是否设定口令、系统操作是否违反职责分离原则查阅系统日志文件、操作记录查看系统中是否有非法访问记录和报告有无未经授权的用户操作系统观察、检查系统功能设置、程序化控制、权限设置、系统参数配置等是否合理、有效如权限设置是否符合职权要求人员岗位变动或离职前是否及时进行权限锁定或删除客户数据是否进行唯一性检验财务软件是否存在反结账、反记账等功能核对、比较原始凭证与数据库凭证文件数据的一致性以测试凭证数据输入控制的有效性对数据库文件数据采用数据分析法如分析数据文件中操作员代码、数据异常值、数据间的关联关系、数据间的平衡或合计关系等审查是否存在非法用户或越权操作、参数设置的有效性、数据处理是否存在错误等以测试数据处理控制的有效性也可通过数据分析反推系统中存在的非法功能和漏洞等等。()计算机辅助测试方法。通常可采用计算机数据审计软件工具、整体测试法、平行模拟法、虚拟实体法、受控处理法等方法。如利用计算机审计软件(OA)、数据库管理系统(Access、Sqlserver)、Excel等获取和分析被审计信息系统数据输入、处理、输出控制运用整体测试法、平行模拟法、虚拟实体法、受控处理法等方法(张瑜)测试系统的处理和控制功能是否恰当、可靠接口程序是否存在缺陷等。除此以外对于信息系统硬件、软件、网络安全等方面内部控制测试由于其技术性较强审计人员可重点从系统管理的视角着手。一般采用面谈法、询问法、观察法、测试软件等重点审查计算机安全和管理制度的执行情况、是否建立安全认证机制、是否建立针对系统故障的应急安全机制、软硬件来源的合法性观察硬件是否进行有效的保养、隔离查看系统是否安装防火墙、安装防病毒软件、定期检测和清除计算机病毒利用漏洞扫描工具和网络检测诊断工具等对网络环境进行测试和评估。(三)如何做好信息系统效率、效果与效益审计对于结合型政府信息系统审计中的效率、效果与效益性审计应遵循可操作、实用性原则审计机关审计人员可通过询问、观察、查阅资料、发放调查表和比较分析等方法重点了解信息系统的各项功能在被审计单位日常工作过程中的使用情况了解信息系统功能设置能否满足系统目标了解信息系统保障被审计单位信息资源共享、业务有效开展和履行情况了解信息系统运维成本和效益并进行定量化分析处理对比被审计单位信息系统规划、运营目标运用一定的评价方法(如平衡计分卡法、层次分析法、模糊综合法等)(张静等)进行评价给出审计结论和审计建议。就目前来说信息系统的效率、效果和效益审计在我国仍然处于理论和实践探索阶段缺少规范的指导缺乏完善的评价指标体系因此如何科学、准确地评价信息系统的效率、效果和效益仍然存在不小的难度。六、结束语目前很多审计机关审计人员对开展结合型政府信息系统审计还存在概念模糊、认识不清以及不知道如何实施等问题以至于结合型政府信息系统审计在我国政府审计项目实践中并没有普遍展开。基于此本文就结合型政府信息系统审计问题提出了“WH”模型以期能够帮助审计机关审计人员提高对结合型政府信息系统审计的理解和认识并为审计人员开展结合型政府信息系统审计提供实践指导。【<ahref=">八字算命<a>

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/9

结合型政府信息系统审计“3W1H”模型探讨

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利