你现在的位置是: 首页 > 金审工程
企业信息化审计方法探索
发布日期:2013-02-25 来源:
随着我国信息化逐步推进,信息系统审计和综合数据分析在企业审计中发挥越来越重要的作用,结合实践经验,笔者认为可以采取“综合分析、确定点线,分散核查、形成成果”分析模式,以企业审计数据库、预警分析系统为基础开展数据综合分析,以“数据、系统、内控”三位一体的方式对企业信息系统开展审计,使数据分析、信息系统审计与审计业务较好的结合在一起,提升审计效率。
  
  一、以“综合分析、分散核查”模式开展数据总体分析
  
  审计中应以“综合分析、确定点线,分散核查、形成成果”的审计思路为指导,采取“预警系统分析为主,中央企业审计数据库分析为辅”的方式,着重对资产利润等常规规模指标、重大异常事项指标等进行分析。
  一是借助预警系统分析确定审计重点。以企业审计数据库资产负债表、利润分配表等为基础,结合分析预警系统重点关注科目,审计组对下属二级企业的资产总额、所有者权益、主营业务收入、利润总额进行分析排序,综合考虑各种因素,协助确定延伸审计单位,确保审计工作方案要求和“综合分析、确定点线,分散核查、形成成果”审计思路的有效执行。审计组首先根据分析预警系统挑选出重点关注企业,再通过企业审计数据库筛选资产、利润总额排名靠前,且疑点科目占集团比重较大的企业(大于20%),进而挑选出重点关注企业以及审计期间重点关注企业的重点关注科目。
  二是开展数据综合分析,主要从企业财务状况总体、业务板块经营情况、下属企业主要财务指标等4个方面进行分析。对企业总体情况进行分析时,以分析预警系统数据(源数据主要为久其企业报表处理软件)为主要分析对象,结合中央企业审计数据库数据、业务报表数据,综合分析集团及各下属子公司财务、业务指标,协助总部审计组和各审计小组确定审计重点和延伸审计单位,为编制审计实施方案提供数据支持。
  二级企业具体指标分析,采用集团汇总数作为对比分析的基础数据,以避免合并造成的相互间抵消影响实际规模;企业总体经济活动的趋势分析,则采用合并后的集团数据,以避免汇总造成的经济活动数据叠加。
  三是对重点业务数据进行分析,结合信息系统审计,可以针对企业的财务资产一体化系统中业务模块开展数据分析,主要从成本结转真实性、系统数据完整性、系统安全性等3个方面进行分析。
  
  二、“数据、系统、内控”三位一体开展信息系统审计
  
  在掌握企业信息系统总体情况的基础上,可以采取检查企业信息化建设的规划合理性,资产财务一体化系统的安全性、可靠性和经济性的信息系统思路,注重“数据、系统、内控”三位一体的综合审计。
  (一)信息系统审计重点内容。
  一是以规划为龙头掌握企业信息化建设的总体情况。检查集团的信息化战略和规划的制定实施情况、信息化组织结构是否与整个集团的业务发展战略相适应,以及采用哪些措施来确保规划落实。
  二是以数据为核心检查资产财务一体化系统的可靠性。如某企业采用财务资产一体化系统进行业务管理,其中燃料结算支付流程仍然采用原有的集中支付系统进行审批,两个系统之间存在数据接口。审批单由财务资产一体化系统发起,在集中支付系统完成审批流程后传给财务资产一体化系统完成财务核算。检查财务资产一体化系统的数据是否可靠,主要检查两个系统的数据是否一致,集中支付系统的数据审批是否及时,是否存在人为拖延审批,影响财务核算的问题。
  三是以内控为切入点检查资产财务一体化系统的经济性和安全性。结合企业资产财务一体化系统部署情况,检查系统建设情况、招投标情况;资产财务一体化系统在软件、硬件建设方面的投入,以及系统的使用效果,系统建设是否合规;检查资产财务一体化系统的物理环境和一般控制情况,是否有制度措施能确保系统的运行安全;检查系统可靠性,通过数据分析和业务流程设计分析系统数据的真实完整性。
  (二)信息系统审计的主要做法。
  一是把握总体,确定审计重点。在全企业范围内发放信息系统调查表,访谈信息化建设管理部门和相关人员,了解整个集团使用的信息系统基本情况,调阅企业信息化发展的战略规划,制度建设、网络建设、机房建设、终端用户信息系统情况建设和运行维护管理情况。
  二是采集财务数据和业务数据,分析系统可靠性。针对目前中央企业报表数据多,集团集中部署的信息系统少,数据覆盖面少的特点,可以按照“报表数据完全采集、财务数据重点采集、业务数据尽量采集”的思路,分批、分阶段及按需对相关数据进行采集整理。报表数据采集主要包括两部分:一部分是财务报表数据采集;另一部分是综合数据库系统和综合统计系统业务报表数据。财务数据,可以分别采取远程下载采集转换和原始数据送达后采集的方式,对确定的重点审计的公司数据进行采集。业务数据上,除采集相关的报表数据之外,根据企业业务特点,有目的地采集不同模块的数据。并采取数据穿行测试法,访谈系统使用人员,检查系统验收文件,数据关联分析等方式开展检查。
  三是调阅系统建设资料,检查系统建设经济性。审计组可以通过调阅设计、立项、批复文件;招投标、采购、合同签订及履行情况相关文档;项目建设、验收相关文档;系统资金拨入、使用账页凭证;需求说明书、概要设计、详细设计、业务开发、配置等相关文档;访谈项目建设人员,项目实施单位工程师等方式,了解系统建设过程。
  四是检查系统安全性。审计组可以通过实地检查、调阅网络拓扑图;发放系统环境安全性控制调查表;实地检查数据中心,检查出入登记、消防巡检、故障处理手册;用户权限检查记录等方式,查验系统建设的安全性。
  
  三、对非结构化数据进行分析,确定审计重点,挖掘审计线索
  
  首先,利用被审计单位的收发文登记簿、会议纪要及企业年度工作报告、内部规则制度等非结构化数据进行检索分析,确定审计重点。在开展审前调查过程中,审计组拓宽计算机审计思路,除收集企业财务数据和业务数据外,还收集了企业的发文登记簿、会议纪要及企业年度工作报告、内部规则制度等非结构化的电子数据。审计组对企业上述非结构化数据进行检索分析,对照有关法律法规和企业的规章制度,评价企业内部控制的健全性、合理性和有效性。
  其次,利用非结构数据分析方法对财务报表附注及财务情况说明书等资料进行分析,查找审计线索。审计组对M集团财务报表附注及财务情况说明书、以前年度审计报告等电子数据进行分类归纳、筛选对比,着重关注非标准审计报告内容。
  
  数据分析和信息系统审计不是分开进行的,应采取信息系统审计与业务数据分析相结合模式开展信息化审计工作,“内控、数据、信息系统”三位一体的信息系统审计模式应得到进一步应用。结合业务选择重点信息系统作为系统审计对象,同时也对其生成的业务数据进行全面分析,在数据分析过程中,也对信息系统的可靠性、安全性等进行审计,只有这样才能真正提高审计效率,取得较好的效果。(张显 审计署昆明办)

版权所有:乐山审计局 联系电话:0833-2434067

技术支持:好易通科技