基层审计机关如何开展信息系统审计

龚峻峰

现代社会是一个信息高度发达的社会，各行各业与外界的联系越来越广泛，所获得的信息量也会越来越多。随着信息技术的飞跃和现代社会对信息需求的增长，信息技术的应用在各领域也得到了迅猛发展。目前几乎各行业、各部门都有自己的信息系统，在这种形势下，审计信息化也必将越来越重要，但是从审计现状看，基层审计机关在这方面的工作比较薄弱，尤其是信息系统审计更是如此。下面本人就审计信息化主要组成部分的信息系统审计结合平常工作中的审计实践，与各位同行用最平白的语言和大家都非常熟悉的审计模式，探讨一下基层审计机关如何开展信息系统审计。

一、初步了解信息系统审计

引用审计署2012年2月发布的《信息系统审计指南》的原文：信息系统是指被审计单位利用现代信息技术实现财政收支、财务收支及其相关经济业务活动的信息处理的系统;信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。信息系统审计的定义很好理解，但真正要完全按照《指南》的要求操作就存在很大的难度。尽管目前从审计署到基层审计机关都非常重视审计信息化建设，但是大多数审计人员受知识结构、观念等因素的制约，一提起信息系统审计，总觉得非常“高、大、上”，而且现实也确实如此。随便翻开一本介绍有关信息系统审计的书，里面都充满了各种专业术语、流程图、表格，给人一种拒之千里的感觉，总觉得信息系统审计就应该是少部分计算机专业人士做的事。本人在多年的审计实践中接触过各种类型的信息系统，并结合审计需要对被审单位的信息系统进行过简单分析，也取得了一定成效。本人认为现阶段的信息系统审计没必要拘泥于书本上的理论知识，应该根据实际情况，形式多样、由浅入深，确定切实可行的审计工作方案，这样基层审计机关同样可以开展信息系统审计，进一步实现审计全覆盖的要求。

二、选择好合适的审计组织模式

基层审计机关往往面临着审计项目小、审计任务重、计算机专业人员少的现实情况。因此，基层审计机关开展信息系统审计可以根据实际情况采取以下两种组织模式：

一是选择好合适的信息系统项目，整合本单位相关专业审计人员力量或者联合相关部门的专业技术人员，对被审单位的信息系统开展较为全面的审计，审计的内容和重点应该根据审计力量与审计需求进行把握，切不可贪大求全。这种审计模式对审计机关的审计力量要求较高、审计成本也会较大，而且需要审计人员具备一定的信息系统审计知识和经验。当然采取这种审计组织模式可以迅速锻炼审计队伍，为全面推广信息系统审计积累审计经验。

二是将信息系统审计的内容融入正常的财政财务收支及经济责任审计之中，把信息系统审计作为传统审计的一个重要组成部分。这种审计组织模式对审计人员的要求相对较低，更符合大多数审计信息化程度较低的基层审计机关需求，而且信息系统审计、数据审计、财务审计、工程审计几者可以互相配合、互相促进，当然这种模式虽然门槛低、成效快，但是由于受到常规审计内容、目标等因素限制而不能对被审单位的信息系统作较为全面深入地审计。

以上两种审计组织模式各有千秋，但个人认为现阶段大多数基层审计机关可以采取第二种模式，在常规审计中逐步积累信息系统审计经验，在今后条件成熟时再开展全面的信息系统审计。

三、确定合适的审计重点和审计步骤

基层审计机关的审计力量有限，开展信息系统审计可能做不到面面俱到，可以对审计人员能力范围内的审计事项重点审计。

1.信息系统的建设可以结合传统的投资审计方法，查阅项目的立项、招投标、预决算、验收、资金拨付、建设情况等资料，以及实际查看建成后的项目使用情况、设备的资产管理情况，另外还要关注系统运营过程中产生的维护费、培训费等费用的合规性及必要性进行审查，揭示信息系统在建设运营过程中是否存在舞弊行为和系统闲置而产生的损失浪费等行为。如今，各单位、各部门大都建有自己的信息系统，而信息系统建设需要花费大量的资金，由于各种原因，目前对信息系统建设的监督机制相对比较薄弱，缺少对项目建设的全方位监督，特别是项目建设期间及建成后使用期间的损失浪费行为尤其应该重点关注。

2.考察信息系统数据处理的真实性、完整性、合法性，这部分审计可以结合数据审计，进而与财政财务审计相结合。财政财务审计必定会产生对财务、业务数据分析的需求，数据审计可以为财政财务审计提供支持，而对采集分析数据的真实性、完整性、合法性的审计则直接关系到数据审计的准确性和有效性，其实这也是数据审计所非常必要的一个审计步骤，只不过大多数审计人员未对该审计过程中发现的问题进行认真整理、分析、提炼。对信息系统数据处理的真实性、完整性、合法性审计，最直接的方法：一是向操作人员询问，并观察实际操作过程;二是仔细阅读信息系统的操作说明及培训资料;三是对输入输出资料与原始财务或业务资料对比。通过以上步骤可以对系统数据的处理流程和内控制度有个大概了解，有了了解之后就可以根据审计经验分析易产生问题的环节，要重点关注数据录入以及数据输出环节，信息系统数据处理的中间环节比较复杂而且不透明，如果审计人员专业知识不足，就没必要在这方面花费大量精力。由于系统数据的录入是手工行为，这个环节最容易产生问题，如：审计某国土部门的信息系统，就发现系统内的数据不完整，缺失了大量数据，而且省国土厅也是直接利用该系统进行土地资源的监控，这就形成监管漏洞;审计某财政部门“财政大平台”信息系统，首先预算科要录入预算总指标，这个过程中就存在指标录入错误的情况，尤其是录入了大量的历年结转指标，而且某些指标类型选择错误，直接导致输出的预算执行情况表不准确，其次在财政业务科室下达用款计划过程中，存在计划和指标不匹配的情况，另外在国库集中支付阶段，存在实际支出内容与用款计划类型不匹配的问题，公用支出有可能就使用了人员福利支出的用款计划。上述都是数据录入阶段产生的问题，这直接导致系统输出的数据不真实、准确，给审计造成了很大不便，其中也很可能会产生舞弊行为。系统数据与业务、财务资料结合审计也是一个重点，如：审计某财政部门“一卡通”专户账时发现2014年开始有大量的发放资金由银行退回，经询问得知2014年开始银行需使用18位身份证开户，而系统内的身份证还有很多是15位，这就直接导致发放失败。

另外，信息系统审计还包含有信息安全、信息共享、系统绩效评价、风险评估等很多方面的内容，作为基层审计机关可以根据自身的实际情况进行有选择性地审计，超越自己能力范畴的内容就不必勉强，在制定审计方案要仔细斟酌，尽量规避审计风险。

四、存在的问题及对策

大多数基层审计机关开展信息系统审计目前存在很多问题：一是被审单位信息系统相关资料缺失，无专业人员;二是审计人员知识结构老化，跟不上新形势的要求，对信息系统审计有畏验证情绪;三是审计人员不重视，未充分认识到信息系统审计的重要性。针对以上情况，我们首先要多深入了解信息系统审计，克服畏难情绪，要认识到信息系统审计事业的发展是一个长期的过程，可以逐步尝试;其次可以积极参加审计署组织的计算机审计培训，丰富自身的专业知识，并在审计过程中不断积累经验;最后还要积极向被审单位宣传信息系统审计，取得被审单位的理解和支持。

（作者单位：抚州市审计局）