浅析农村合作金融信息系统内部审计内审师资格考试

文章作者 100test 发表时间 2009:07:25 23:53:53
来源 100Test.Com百考试题网

　　随着农村合作金融机构电子化程度的日益提高以及数据集中体系建设力度的加大，农村合作金融各项业务对信息科技的依赖度显著增强，其内部控制也越来越依托于信息系统。作为服务于农村合作金融的内部审计不可避免地受到农村合作金融信息化建设所带来的冲击与挑战，为了更好的发挥农村合作金融内部审计职能，规范信息系统风险管理、促进内控水平和风险防范能力的全面提升，提高审计质量，农村合作金融内部审计须加强对信息系统审计。
　　一、信息系统审计的必要性
　　信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整，以及有效率地利用组织的资源并有效果地实现组织目标的过程。
　　（一）信息系统审计是完善风险控制措施和促进流程再造的需要
　　由于农村合作金融各项业务处理已逐步实现计算机自动处理，绝大多数的纸质资料打印正在淡化，审计所需要的大量信息都储存在只能通过计算机识别的存储器上，如磁盘、磁带、光盘等，传统的一些审计线索也将随着计算机处理而中断、消失。同时农村合作金融内部控制也逐步从计算机控制作为手工补充的软控制转变为计算机自动控制的硬约束，随着数据大集中的推进，信息化进程中存在操作轨迹不可见、操作流程缺失、数据非法修改、生产系统故障、信息系统人为欺诈等各类风险。对信息系统的可靠性的依赖，如审计人员没有对信息系统各项控制进行了解和审计，那么审计得出结论的可靠性就易受到质疑。这就迫切需要对正在使用或即将投产的信息系统的安全性、真实性、完整性、有效性进行审计，通过对信息系统的审计，保证信息系统的可信度，促进农村合作金融内控体系的建设和流程再造。
　　（二）信息系统审计是保障信息系统稳定运行和信息资产安全的需要
　　农村合作金融机构的日常运营越来越依赖于信息技术，在这种情况下，信息技术潜藏的风险更加不容忽视。通过对信息系统的安全、研究开发、运行维护等的审计，实现对信息系统风险的识别、计量、评价、预警和控制，能有效防范农村合作金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，加强对信息系统风险点的防范和管理，促进农村合作金融机构安全、持续、稳健运行。
　　（三）信息系统审计是进一步完善信息系统功能的需要
　　农村合作金融各项业务发展越来越快，金融产品创新步伐日益加快，为了适应业务发展的需要，农村合作金融内部审计范围也逐渐扩大，这使得内部审计部门能够较快的获取业务发展存在的一些问题，了解业务发展对信息系统的要求，农村合作金融内部审计可以利用各种审计结果，从合规性、效率性、控制操作风险等多方面对完善信息系统功能提出一些有价值的建议。
　　二、信息系统审计的内容
　　信息系统审计的内容是信息系统审计的对象所决定，信息系统的审计对象是信息系统的各个组成部分及其相关的控制措施，并覆盖信息系统生命周期的各个阶段。具体而言，信息系统审计的内容主要是由信息科技治理和组织结构、信息系统安全管理、信息系统开发设计管理、信息系统运行维护管理、业务持续性规划等方面组成。在对信息系统这5个方面进行审计时，必须贯穿信息系统生命周期整个过程即包括准备阶段、分析阶段、设计阶段、实施阶段、运行维护阶段、退出阶段，不能孤立的看待信息系统生命周期的各个阶段。
　　（一）信息科技治理和组织结构
　　信息系统科技治理和组织结构是信息系统正常运行的基本保障，也是信息系统审计首先需要关注的内容。对信息科技治理和组织结构的审计主要关注的是农村合作金融信息系统制度建设是否健全、中长期信息科技建设的规划是否与业务发展规划相适应、信息科技部门岗位设置及人员分工是否合理、信息系统科技人员专业素质、业务培训是否符合信息科技建设的要求等。
　　（二）信息系统安全管理
　　信息系统安全管理包括信息系统硬件和软件的安全。
　　1．信息系统硬件安全指的是为信息系统的各项硬件设备提供适合的温度、湿度、清洁度，做好防火、防盗以及防止非正常接触硬件设备等工作，保证设备正常运转。对信息系统硬件安全审计时需重点关注的是消防及防水设施、不间断电源保护、人员疏散计划和通道、监控、人员进出管理等。
　　2．信息系统软件安全指的是信息系统软件设计与管理是否存在导致信息系统无法实现其保密性、完整性和可用性的缺陷。信息系统软件安全审计需重点关注的是信息系统程序设计是否存在明显重大安全隐患、访问控制与网络安全控制是否合理、内部管理是否到位等。
　　（三）信息系统开发设计管理
　　信息系统开发设计管理指的是信息系统生命周期的前四个阶段即准备阶段、分析阶段、设计阶段、实施阶段。
　　1．系统准备阶段。此阶段主要是对信息系统立项的可行性分析，审计重点是信息系统立项的可行性分析是否到位，与企业的发展战略是否相符，技术上、经济上是否可行等，如审计在信息系统这个阶段介入，那将能很好避免信息系统立项的盲目性。此阶段需要关注的文档资料是信息系统立项的可行性分析报告。
　　2．系统分析阶段。此阶段是需求提出阶段，审计重点是提出需求是否合规、合理及可实现。此阶段需要关注的文档资料是系统分析报告。
　　3．系统设计阶段。此阶段是解读需求阶段，审计重点是系统内各项设计是否合理。此阶段需要关注的文档资料是系统设计报告，包括系统概要设计说明书和详细设计说明书。
　　4．系统实施阶段。此阶段是满足需求阶段，审计重点是源程序编写是否合理，系统测试是否全面恰当，系统试运行出现问题是否得到解决等。此阶段需要关注的文档资料是源程序表，系统测试报告、操作手册和评审报告等。
　　（四）信息系统运行维护管理
　　信息系统运行维护管理指的是信息系统生命周期运行维护阶段。在此阶段，信息系统审计主要针对信息系统是否正确操作和有效运行，从而真正实现信息系统的开发目标、满足用户需求。审计可以从信息系统运行和系统运行管理两个方面进行，评价系统的缺陷和不足，以及用户操作管理的疏漏，并提出相关改进建议。审计包括系统输入审计、网络通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计等。对于系统维护，审计主要包括对维护组织、维护顺序及流程、维护计划、维护实施、改良系统的试运行和旧系统的废除等活动的审计。系统运行和维护阶段的审计主要集中在数据中心的测试管理、运行操作管理、变更管理、问题管理、数据管理、应急管理、环境管理、网络管理、日常运营管理、性能管理等各个环节的控制上，审查和评价其控制的充分性和有效性，同时还需关注软件开发部门在此阶段的技术支持、功能完善是否到位。
　　（五）业务持续性规划
　　为了尽可能减少一些灾难性事件如建筑物、基础设施、IT系统、业务数据和关键人员的毁灭等发生对信息系统正常运行的影响，需要制定信息科技系统风险应急处理方案，且能涵盖整个机构的信息科技系统的管理、维护、重启、恢复等各环节，最大限度地降低突发事件所带来的风险。审计的重点在于业务持续性规划的制定与实施、数据备份中心的管理与操作、业务持续性规划的测试和维护等。
　　三、信息系统审计流程与质量控制
　　（一）信息系统审计流程
　　信息系统审计流程基本方向与传统的审计业务基本相同，都是根据既定的审计目标、审计范围，在对内部控制了解、测试、评价的基础上，对各个确定的审计点进行审计。信息系统审计测试的方法有符合性测试方法与实质性测试方法。符合性测试指是的通过信息系统内部控制的有效性、存在性、合规性进行核实并形成审计结论的方法。实质性测试指是的对信息系统业务处理信息、管理信息进行合法性、合理性、真实性进行直接检查和分析性复核，最终形成审计结论的方法。在对信息系统测试时，可使用一些计算机辅助方法，如测试数据法、平行模拟法、嵌入审计模块法、虚拟实体法、受控处理法、受控再处理法、程序代码检查法等。
　　（二）信息系统审计质量控制
　　由于信息技术自身的专业性极强，信息系统审计，需要一批既掌握现代审计理论与实务又了解计算机技术的复合型专业人才和统一规范的农村合作金融信息系统行业标准和规范。现阶段，由于相应的信息系统审计标准与实务尚在探索中，可供借鉴的成熟经验不多，对信息系统审计质量的管控主要集中在以下三方面。
　　1．制定详细全面的审计实施方案是信息系统审计质量控制的基础
　　由于信息系统审计涉及面很广，如果没有制定详细全面的审计实施方案，很有可能会漏掉一些很重要的审计点，从而影响整个审计质量。为了不遗漏审计点，可以在制定审计实施方案时，根据审计范围和确定了的审计内容，制作能够涵盖所有重要审计点的表格，审计人员可以利用这些表格来对信息系统进行审计。
　　2．测试信息系统各项业务处理流程是信息系统审计质量控制的关键
　　信息系统是对农村合作金融业务各项业务处理流程的优化，对信息系统业务处理流程进行测试是进行信息系统审计的基础，也是信息系统审计质量控制关键。测试信息系统各项业务处理流程就要测试包括在系统中运行的业务是否全部通过系统运行；信息是否及时录入系统；录入的信息是否真实、准确；系统运行是否正确，有无系统错误；流程是否通畅，有无缺陷或舞弊的可能，能否进行进一步的优化；识别、评价和应对流程风险的效果如何等。
　　3．把握信息系统各项内部控制的有效性是信息系统审计质量控制的保障。信息系统审计是建立在对信息系统内部控制测试的基础上，在对信息系统的内控制度进行测试时，审计人员必须验证内部控制系统是否存在，并能提供令人满意的证据，证明它正在有效地发挥作用。信息系统内部控制分为一般控制和应用控制。一般控制是指为信息系统的所有信息处理而设定的政策和措施，是对信息系统的构成要素（人、机器、文件）所进行的控制，其目的在于保证所有的信息处理的准确性和可靠性，是信息系统安全运营的基本保障，包括组织控制、开发维护控制、安全控制和软硬件控制等。应用控制是指针对计算机信息系统的各应用（即子系统或功能模块）的敏感环节和控制要求，为各子系统的输入、处理和输出完整准确而建立的控制，包括输入控制、处理控制和输出控制。
　　四、当前浙江省农村合作金融信息系统审计的工作重点
　　近年来，浙江省农村合作金融机构对信息技术的投入越来越大，设备规模和技术水平不断提高，数据大集中的实现，给金融创新和农村合作金融机构的进步带来了强劲动力，但也蕴含着巨大的风险，在这种形势下，浙江农村合作金融信息系统内部审计必须以满足业务发展需要和有效控制风险为重点，以充分发挥内部审计作用，全面识别、评价系统的信息系统控制和风险水平，并根据评价结果，提出合理、可行的建议，以此进一步促进信息系统正常、安全、稳定运行。
　　（一）积极建立符合浙江农村合作金融实际的信息系统审计机制
　　为了更好的发挥信息系统审计作用，规范信息系统审计，提高审计质量、加大审计深度、拓宽审计范围和领域，积极建立涵盖信息系统审计标准、审计范围、审计程序、审计行为规范、审计证据获取、详细审计方案、评审考核等内容的信息系统审计机制，由独立的内（外）部审计进行经常性风险评估，提出改进意见，引入恰当控制，出具审计报告，有效地、动态地建立合理的安全管理体系，形成对信息系统安全的客观评价。
　　（二）加大信息系统审计人才的培养力度
　　信息系统审计与传统审计相比，在审计线索、审计内容、审计风险等方面都发生了变化，这就要求审计人员必须具有复合型知识结构，既通晓经营管理核心要义，又具备全面的信息技术知识，同时还要掌握信息技术条件下的审计方法技巧。目前浙江农村合作金融审计人员与信息系统审计的要求存在一定的矛盾，加大信息系统审计人才的培养力度将在相当长的时期成为浙江农村合作金融信息系统审计的工作重点。
　　（三）积极探索识别和规避信息系统审计风险的对策
　　在复杂的信息系统技术和管理环境下，实施信息系统审计具有一定的审计风险。要规避信息系统审计风险就必须识别信息系统审计的风险所在，以帮助审计人员确立信息系统审计风险意识。在控制信息系统审计质量的前提下，积极探索如何有效地识别和规避信息系统审计风险。