近年來��,審計署駐武漢特派辦高度重視信息系統審計����,將其作為推動計算機審計工作再上新臺階的著力點����,取得較好成效����。2009��、2010年度���,武漢辦緊緊圍繞劉家義審計長提出的“安全性���、有效性�、經濟性”三個著力點����,共在5個審計項目中開展了信息系統審計����,在審計思路����、組織方式���、方法技術方面均做出了有益的實踐�����。
一����、積極探索審計思路�����,項目呈現不同特色����。目前��,運用信息化手段提升管理水平和效率���,已成為被審計單位的普遍選擇��,信息系統審計的重要性也隨之日益顯現��。但是�,多數被審計單位應用的信息系統結構復雜����、數量眾多而且涉及業務管理全流程����,而審計的時間和人力資源相對有限�����。在此情況下����,武漢辦組織信息系統審計項目實施時�����,按“有面有點�����,重點揭露被審計單位信息系統中關鍵問題”這一思路開展����,抓住重點�����、突出特色����、注重效率��。如某政策銀行信貸管理系統審計����,重點是“向商業銀行外購的軟件是否符合政策性銀行業務需要”��;某市環保部門信息系統審計���,重點是“環保部門環境監測系統數據是否一致�����,信息是否有效共享”��;中國海洋石油總公司(以下簡稱中海油)ERP系統審計����,重點是“ERP項目實施是否實現了預期目標�,運行效果如何”�����;中國人民財產保險股份有限公司(以下簡稱人保財險)核心業務系統審計�����,重點是“系統能否有效防范異常操作的產生”��;全國社會保障基金理事會(以下簡稱社保理事會)信息管理系統審計�,重點是“核算數據是否真實�����、完整”��。在這5個項目中���,審計人員牢牢抓住其信息系統運行和管理的特點�����,有的放矢���,集中專業力量開展分析核查�����,使審計結論和建議更具有針對性��,每個項目都呈現鮮明特色�����。
二�����、靈活安排組織方式�,充分融入審計項目����。武漢辦所實施的5個信息系統審計項目���,均采用“結合式”的方法����,即服務于審計項目開展信息系統審計����。一方面��,在選擇系統和確定審計事項時綜合考慮與審計項目總體目標的關聯程度����、審計資源的充分程度和被審計單位對業務系統的依賴程度���,另一方面�����,開展信息系統審計時緊密結合數據式審計��,相互促進�����、相互補充�,共同發揮計算機審計的功能�����。如在對中海油的審計中�,發現對方使用的信息系統有160余個�����,但其ERP系統與日常經營管理最為密切相關��,能有效回答內部控制是否到位��、IT項目投資是否發揮效益等問題��,因此選擇該系統為審計對象�。同時�����,審計人員下載了ERP系統的全部數據���,并組織數據分析團隊對數據進行了全面分析�,形成數據分析報告�����。根據數據分析的結果���,審計組確定了報表準確性��、收發貨量和單價等關鍵應用控制環節作為信息系統審計的重點���,并進一步通過數據分析深入查找證據��,信息系統審計和數據式審計相輔相成��,效果良好��。
三����、認真研究方法技術��,因地制宜有所創新�。在信息系統審計中��,武漢辦計算機審計人員還根據每個項目的特點��,積極探索一些行之有效的審計技術方法��。一是數據對比分析法�,如在某市環保部門的審計中�,對不同系統的數據進行比對��,在社保理事會的審計中��,對不同時點采集的數據進行比對����,以此方法查找系統是否留有非法修改的功能模塊���。二是測試環境中的模擬數據運行法���,如人保財險審計中�,被審計單位的生產系統均不允許直接操作��,審計人員即在其測試環境中設計模擬數據運行�����,包括不符合校驗條件���、關鍵字段缺失��、流程不全等異常操作����。三是日志文件分析法����,如在中海油ERP系統審計中����,通過分析登錄日志文件��,發現大量用戶長期未登錄���,使用效果不佳�����;在社保理事會審計中��,分析日志文件發現有關人員跨年度對以前年度的明細賬��、記賬憑證等進行修改�。四是量化指標設計分析法����,即在面對大型國有企業的ERP系統時��,審計人員設計并計算關鍵績效評價指標���,如在中海油審計時���,通過梳理業務流程�����,設計出“采購業務在線結算率”這一評價指標����,對系統使用情況進行量化評價�,最終揭示出該企業核心業務流程使用率不高����,有力支持了“中海油ERP系統運行效果不佳”這一審計結論����。(張海燕)
|
