
劉樂榮
浙江省農(nóng)村信用社聯(lián)合社
隨著農(nóng)村合作金融機構(gòu)電子化程度的日益提高以及數(shù)據(jù)集中體系建設(shè)力度的加大,農(nóng)村合作金融各項業(yè)務(wù)對信息科技的依賴度顯著增強,其內(nèi)部控制也越來越依托于信息系統(tǒng)。作為服務(wù)于農(nóng)村合作金融的內(nèi)部審計不可避免地受到農(nóng)村合作金融信息化建設(shè)所帶來的沖擊與挑戰(zhàn),為了更好的發(fā)揮農(nóng)村合作金融內(nèi)部審計職能,規(guī)范信息系統(tǒng)風(fēng)險管理、促進內(nèi)控水平和風(fēng)險防范能力的全面提升,提高審計質(zhì)量,農(nóng)村合作金融內(nèi)部審計須加強對信息系統(tǒng)審計。
一、信息系統(tǒng)審計的必要性
信息系統(tǒng)審計是一個獲取并評價證據(jù),以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整,以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標(biāo)的過程。
(一)信息系統(tǒng)審計是完善風(fēng)險控制措施和促進流程再造的需要
由于農(nóng)村合作金融各項業(yè)務(wù)處理已逐步實現(xiàn)計算機自動處理,絕大多數(shù)的紙質(zhì)資料打印正在淡化,審計所需要的大量信息都儲存在只能通過計算機識別的存儲器上,如磁盤、磁帶、光盤等,傳統(tǒng)的一些審計線索也將隨著計算機處理而中斷、消失。同時農(nóng)村合作金融內(nèi)部控制也逐步從計算機控制作為手工補充的軟控制轉(zhuǎn)變?yōu)橛嬎銠C自動控制的硬約束,隨著數(shù)據(jù)大集中的推進,信息化進程中存在操作軌跡不可見、操作流程缺失、數(shù)據(jù)非法修改、生產(chǎn)系統(tǒng)故障、信息系統(tǒng)人為欺詐等各類風(fēng)險。對信息系統(tǒng)的可靠性的依賴,如審計人員沒有對信息系統(tǒng)各項控制進行了解和審計,那么審計得出結(jié)論的可靠性就易受到質(zhì)疑。這就迫切需要對正在使用或即將投產(chǎn)的信息系統(tǒng)的安全性、真實性、完整性、有效性進行審計,通過對信息系統(tǒng)的審計,保證信息系統(tǒng)的可信度,促進農(nóng)村合作金融內(nèi)控體系的建設(shè)和流程再造。
(二)信息系統(tǒng)審計是保障信息系統(tǒng)穩(wěn)定運行和信息資產(chǎn)安全的需要
農(nóng)村合作金融機構(gòu)的日常運營越來越依賴于信息技術(shù),在這種情況下,信息技術(shù)潛藏的風(fēng)險更加不容忽視。通過對信息系統(tǒng)的安全、研究開發(fā)、運行維護等的審計,實現(xiàn)對信息系統(tǒng)風(fēng)險的識別、計量、評價、預(yù)警和控制,能有效防范農(nóng)村合作金融機構(gòu)運用信息系統(tǒng)進行業(yè)務(wù)處理、經(jīng)營管理和內(nèi)部控制過程中產(chǎn)生的風(fēng)險,加強對信息系統(tǒng)風(fēng)險點的防范和管理,促進農(nóng)村合作金融機構(gòu)安全、持續(xù)、穩(wěn)健運行。
(三)信息系統(tǒng)審計是進一步完善信息系統(tǒng)功能的需要
農(nóng)村合作金融各項業(yè)務(wù)發(fā)展越來越快,金融產(chǎn)品創(chuàng)新步伐日益加快,為了適應(yīng)業(yè)務(wù)發(fā)展的需要,農(nóng)村合作金融內(nèi)部審計范圍也逐漸擴大,這使得內(nèi)部審計部門能夠較快的獲取業(yè)務(wù)發(fā)展存在的一些問題,了解業(yè)務(wù)發(fā)展對信息系統(tǒng)的要求,農(nóng)村合作金融內(nèi)部審計可以利用各種審計結(jié)果,從合規(guī)性、效率性、控制操作風(fēng)險等多方面對完善信息系統(tǒng)功能提出一些有價值的建議。
二、信息系統(tǒng)審計的內(nèi)容
信息系統(tǒng)審計的內(nèi)容是信息系統(tǒng)審計的對象所決定,信息系統(tǒng)的審計對象是信息系統(tǒng)的各個組成部分及其相關(guān)的控制措施,并覆蓋信息系統(tǒng)生命周期的各個階段。具體而言,信息系統(tǒng)審計的內(nèi)容主要是由信息科技治理和組織結(jié)構(gòu)、信息系統(tǒng)安全管理、信息系統(tǒng)開發(fā)設(shè)計管理、信息系統(tǒng)運行維護管理、業(yè)務(wù)持續(xù)性規(guī)劃等方面組成。在對信息系統(tǒng)這5個方面進行審計時,必須貫穿信息系統(tǒng)生命周期整個過程即包括準(zhǔn)備階段、分析階段、設(shè)計階段、實施階段、運行維護階段、退出階段,不能孤立的看待信息系統(tǒng)生命周期的各個階段。
(一)信息科技治理和組織結(jié)構(gòu)
信息系統(tǒng)科技治理和組織結(jié)構(gòu)是信息系統(tǒng)正常運行的基本保障,也是信息系統(tǒng)審計首先需要關(guān)注的內(nèi)容。對信息科技治理和組織結(jié)構(gòu)的審計主要關(guān)注的是農(nóng)村合作金融信息系統(tǒng)制度建設(shè)是否健全、中長期信息科技建設(shè)的規(guī)劃是否與業(yè)務(wù)發(fā)展規(guī)劃相適應(yīng)、信息科技部門崗位設(shè)置及人員分工是否合理、信息系統(tǒng)科技人員專業(yè)素質(zhì)、業(yè)務(wù)培訓(xùn)是否符合信息科技建設(shè)的要求等。
(二)信息系統(tǒng)安全管理
信息系統(tǒng)安全管理包括信息系統(tǒng)硬件和軟件的安全。
1.信息系統(tǒng)硬件安全指的是為信息系統(tǒng)的各項硬件設(shè)備提供適合的溫度、濕度、清潔度,做好防火、防盜以及防止非正常接觸硬件設(shè)備等工作,保證設(shè)備正常運轉(zhuǎn)。對信息系統(tǒng)硬件安全審計時需重點關(guān)注的是消防及防水設(shè)施、不間斷電源保護、人員疏散計劃和通道、監(jiān)控、人員進出管理等。
2.信息系統(tǒng)軟件安全指的是信息系統(tǒng)軟件設(shè)計與管理是否存在導(dǎo)致信息系統(tǒng)無法實現(xiàn)其保密性、完整性和可用性的缺陷。信息系統(tǒng)軟件安全審計需重點關(guān)注的是信息系統(tǒng)程序設(shè)計是否存在明顯重大安全隱患、訪問控制與網(wǎng)絡(luò)安全控制是否合理、內(nèi)部管理是否到位等。
(三)信息系統(tǒng)開發(fā)設(shè)計管理
信息系統(tǒng)開發(fā)設(shè)計管理指的是信息系統(tǒng)生命周期的前四個階段即準(zhǔn)備階段、分析階段、設(shè)計階段、實施階段。
1.系統(tǒng)準(zhǔn)備階段。此階段主要是對信息系統(tǒng)立項的可行性分析,審計重點是信息系統(tǒng)立項的可行性分析是否到位,與企業(yè)的發(fā)展戰(zhàn)略是否相符,技術(shù)上、經(jīng)濟上是否可行等,如審計在信息系統(tǒng)這個階段介入,那將能很好避免信息系統(tǒng)立項的盲目性。此階段需要關(guān)注的文檔資料是信息系統(tǒng)立項的可行性分析報告。
2.系統(tǒng)分析階段。此階段是需求提出階段,審計重點是提出需求是否合規(guī)、合理及可實現(xiàn)。此階段需要關(guān)注的文檔資料是系統(tǒng)分析報告。
3.系統(tǒng)設(shè)計階段。此階段是解讀需求階段,審計重點是系統(tǒng)內(nèi)各項設(shè)計是否合理。此階段需要關(guān)注的文檔資料是系統(tǒng)設(shè)計報告,包括系統(tǒng)概要設(shè)計說明書和詳細設(shè)計說明書。
4.系統(tǒng)實施階段。此階段是滿足需求階段,審計重點是源程序編寫是否合理,系統(tǒng)測試是否全面恰當(dāng),系統(tǒng)試運行出現(xiàn)問題是否得到解決等。此階段需要關(guān)注的文檔資料是源程序表,系統(tǒng)測試報告、操作手冊和評審報告等。
(四)信息系統(tǒng)運行維護管理
信息系統(tǒng)運行維護管理指的是信息系統(tǒng)生命周期運行維護階段。在此階段,信息系統(tǒng)審計主要針對信息系統(tǒng)是否正確操作和有效運行,從而真正實現(xiàn)信息系統(tǒng)的開發(fā)目標(biāo)、滿足用戶需求。審計可以從信息系統(tǒng)運行和系統(tǒng)運行管理兩個方面進行,評價系統(tǒng)的缺陷和不足,以及用戶操作管理的疏漏,并提出相關(guān)改進建議。審計包括系統(tǒng)輸入審計、網(wǎng)絡(luò)通信系統(tǒng)審計、處理過程審計、數(shù)據(jù)庫審計、系統(tǒng)輸出審計和運行管理審計等。對于系統(tǒng)維護,審計主要包括對維護組織、維護順序及流程、維護計劃、維護實施、改良系統(tǒng)的試運行和舊系統(tǒng)的廢除等活動的審計。系統(tǒng)運行和維護階段的審計主要集中在數(shù)據(jù)中心的測試管理、運行操作管理、變更管理、問題管理、數(shù)據(jù)管理、應(yīng)急管理、環(huán)境管理、網(wǎng)絡(luò)管理、日常運營管理、性能管理等各個環(huán)節(jié)的控制上,審查和評價其控制的充分性和有效性,同時還需關(guān)注軟件開發(fā)部門在此階段的技術(shù)支持、功能完善是否到位。
(五)業(yè)務(wù)持續(xù)性規(guī)劃
為了盡可能減少一些災(zāi)難性事件如建筑物、基礎(chǔ)設(shè)施、IT系統(tǒng)、業(yè)務(wù)數(shù)據(jù)和關(guān)鍵人員的毀滅等發(fā)生對信息系統(tǒng)正常運行的影響,需要制定信息科技系統(tǒng)風(fēng)險應(yīng)急處理方案,且能涵蓋整個機構(gòu)的信息科技系統(tǒng)的管理、維護、重啟、恢復(fù)等各環(huán)節(jié),最大限度地降低突發(fā)事件所帶來的風(fēng)險。審計的重點在于業(yè)務(wù)持續(xù)性規(guī)劃的制定與實施、數(shù)據(jù)備份中心的管理與操作、業(yè)務(wù)持續(xù)性規(guī)劃的測試和維護等。
三、信息系統(tǒng)審計流程與質(zhì)量控制
(一)信息系統(tǒng)審計流程
信息系統(tǒng)審計流程基本方向與傳統(tǒng)的審計業(yè)務(wù)基本相同,都是根據(jù)既定的審計目標(biāo)、審計范圍,在對內(nèi)部控制了解、測試、評價的基礎(chǔ)上,對各個確定的審計點進行審計。信息系統(tǒng)審計測試的方法有符合性測試方法與實質(zhì)性測試方法。符合性測試指是的通過信息系統(tǒng)內(nèi)部控制的有效性、存在性、合規(guī)性進行核實并形成審計結(jié)論的方法。實質(zhì)性測試指是的對信息系統(tǒng)業(yè)務(wù)處理信息、管理信息進行合法性、合理性、真實性進行直接檢查和分析性復(fù)核,最終形成審計結(jié)論的方法。在對信息系統(tǒng)測試時,可使用一些計算機輔助方法,如測試數(shù)據(jù)法、平行模擬法、嵌入審計模塊法、虛擬實體法、受控處理法、受控再處理法、程序代碼檢查法等。
(二)信息系統(tǒng)審計質(zhì)量控制
由于信息技術(shù)自身的專業(yè)性極強,信息系統(tǒng)審計,需要一批既掌握現(xiàn)代審計理論與實務(wù)又了解計算機技術(shù)的復(fù)合型專業(yè)人才和統(tǒng)一規(guī)范的農(nóng)村合作金融信息系統(tǒng)行業(yè)標(biāo)準(zhǔn)和規(guī)范。現(xiàn)階段,由于相應(yīng)的信息系統(tǒng)審計標(biāo)準(zhǔn)與實務(wù)尚在探索中,可供借鑒的成熟經(jīng)驗不多,對信息系統(tǒng)審計質(zhì)量的管控主要集中在以下三方面。
1.制定詳細全面的審計實施方案是信息系統(tǒng)審計質(zhì)量控制的基礎(chǔ)
由于信息系統(tǒng)審計涉及面很廣,如果沒有制定詳細全面的審計實施方案,很有可能會漏掉一些很重要的審計點,從而影響整個審計質(zhì)量。為了不遺漏審計點,可以在制定審計實施方案時,根據(jù)審計范圍和確定了的審計內(nèi)容,制作能夠涵蓋所有重要審計點的表格,審計人員可以利用這些表格來對信息系統(tǒng)進行審計。
2.測試信息系統(tǒng)各項業(yè)務(wù)處理流程是信息系統(tǒng)審計質(zhì)量控制的關(guān)鍵
信息系統(tǒng)是對農(nóng)村合作金融業(yè)務(wù)各項業(yè)務(wù)處理流程的優(yōu)化,對信息系統(tǒng)業(yè)務(wù)處理流程進行測試是進行信息系統(tǒng)審計的基礎(chǔ),也是信息系統(tǒng)審計質(zhì)量控制關(guān)鍵。測試信息系統(tǒng)各項業(yè)務(wù)處理流程就要測試包括在系統(tǒng)中運行的業(yè)務(wù)是否全部通過系統(tǒng)運行;信息是否及時錄入系統(tǒng);錄入的信息是否真實、準(zhǔn)確;系統(tǒng)運行是否正確,有無系統(tǒng)錯誤;流程是否通暢,有無缺陷或舞弊的可能,能否進行進一步的優(yōu)化;識別、評價和應(yīng)對流程風(fēng)險的效果如何等。
3.把握信息系統(tǒng)各項內(nèi)部控制的有效性是信息系統(tǒng)審計質(zhì)量控制的保障。信息系統(tǒng)審計是建立在對信息系統(tǒng)內(nèi)部控制測試的基礎(chǔ)上,在對信息系統(tǒng)的內(nèi)控制度進行測試時,審計人員必須驗證內(nèi)部控制系統(tǒng)是否存在,并能提供令人滿意的證據(jù),證明它正在有效地發(fā)揮作用。信息系統(tǒng)內(nèi)部控制分為一般控制和應(yīng)用控制。一般控制是指為信息系統(tǒng)的所有信息處理而設(shè)定的政策和措施,是對信息系統(tǒng)的構(gòu)成要素(人、機器、文件)所進行的控制,其目的在于保證所有的信息處理的準(zhǔn)確性和可靠性,是信息系統(tǒng)安全運營的基本保障,包括組織控制、開發(fā)維護控制、安全控制和軟硬件控制等。應(yīng)用控制是指針對計算機信息系統(tǒng)的各應(yīng)用(即子系統(tǒng)或功能模塊)的敏感環(huán)節(jié)和控制要求,為各子系統(tǒng)的輸入、處理和輸出完整準(zhǔn)確而建立的控制,包括輸入控制、處理控制和輸出控制。
四、當(dāng)前浙江省農(nóng)村合作金融信息系統(tǒng)審計的工作重點
近年來,浙江省農(nóng)村合作金融機構(gòu)對信息技術(shù)的投入越來越大,設(shè)備規(guī)模和技術(shù)水平不斷提高,數(shù)據(jù)大集中的實現(xiàn),給金融創(chuàng)新和農(nóng)村合作金融機構(gòu)的進步帶來了強勁動力,但也蘊含著巨大的風(fēng)險,在這種形勢下,浙江農(nóng)村合作金融信息系統(tǒng)內(nèi)部審計必須以滿足業(yè)務(wù)發(fā)展需要和有效控制風(fēng)險為重點,以充分發(fā)揮內(nèi)部審計作用,全面識別、評價系統(tǒng)的信息系統(tǒng)控制和風(fēng)險水平,并根據(jù)評價結(jié)果,提出合理、可行的建議,以此進一步促進信息系統(tǒng)正常、安全、穩(wěn)定運行。
(一)積極建立符合浙江農(nóng)村合作金融實際的信息系統(tǒng)審計機制
為了更好的發(fā)揮信息系統(tǒng)審計作用,規(guī)范信息系統(tǒng)審計,提高審計質(zhì)量、加大審計深度、拓寬審計范圍和領(lǐng)域,積極建立涵蓋信息系統(tǒng)審計標(biāo)準(zhǔn)、審計范圍、審計程序、審計行為規(guī)范、審計證據(jù)獲取、詳細審計方案、評審考核等內(nèi)容的信息系統(tǒng)審計機制,由獨立的內(nèi)(外)部審計進行經(jīng)常性風(fēng)險評估,提出改進意見,引入恰當(dāng)控制,出具審計報告,有效地、動態(tài)地建立合理的安全管理體系,形成對信息系統(tǒng)安全的客觀評價。
(二)加大信息系統(tǒng)審計人才的培養(yǎng)力度
信息系統(tǒng)審計與傳統(tǒng)審計相比,在審計線索、審計內(nèi)容、審計風(fēng)險等方面都發(fā)生了變化,這就要求審計人員必須具有復(fù)合型知識結(jié)構(gòu),既通曉經(jīng)營管理核心要義,又具備全面的信息技術(shù)知識,同時還要掌握信息技術(shù)條件下的審計方法技巧。目前浙江農(nóng)村合作金融審計人員與信息系統(tǒng)審計的要求存在一定的矛盾,加大信息系統(tǒng)審計人才的培養(yǎng)力度將在相當(dāng)長的時期成為浙江農(nóng)村合作金融信息系統(tǒng)審計的工作重點。
(三)積極探索識別和規(guī)避信息系統(tǒng)審計風(fēng)險的對策
在復(fù)雜的信息系統(tǒng)技術(shù)和管理環(huán)境下,實施信息系統(tǒng)審計具有一定的審計風(fēng)險。要規(guī)避信息系統(tǒng)審計風(fēng)險就必須識別信息系統(tǒng)審計的風(fēng)險所在,以幫助審計人員確立信息系統(tǒng)審計風(fēng)險意識。在控制信息系統(tǒng)審計質(zhì)量的前提下,積極探索如何有效地識別和規(guī)避信息系統(tǒng)審計風(fēng)險。