劉樂榮
浙江省農村信用社聯合社
隨著農村合作金融機構電子化程度的日益提高以及數據集中體系建設力度的加大,農村合作金融各項業務對信息科技的依賴度顯著增強,其內部控制也越來越依托于信息系統。作為服務于農村合作金融的內部審計不可避免地受到農村合作金融信息化建設所帶來的沖擊與挑戰,為了更好的發揮農村合作金融內部審計職能,規范信息系統風險管理、促進內控水平和風險防范能力的全面提升,提高審計質量,農村合作金融內部審計須加強對信息系統審計。
一、信息系統審計的必要性
信息系統審計是一個獲取并評價證據,以判斷信息系統是否能夠保證資產的安全、數據的完整,以及有效率地利用組織的資源并有效果地實現組織目標的過程。
(一)信息系統審計是完善風險控制措施和促進流程再造的需要
由于農村合作金融各項業務處理已逐步實現計算機自動處理,絕大多數的紙質資料打印正在淡化,審計所需要的大量信息都儲存在只能通過計算機識別的存儲器上,如磁盤、磁帶、光盤等,傳統的一些審計線索也將隨著計算機處理而中斷、消失。同時農村合作金融內部控制也逐步從計算機控制作為手工補充的軟控制轉變為計算機自動控制的硬約束,隨著數據大集中的推進,信息化進程中存在操作軌跡不可見、操作流程缺失、數據非法修改、生產系統故障、信息系統人為欺詐等各類風險。對信息系統的可靠性的依賴,如審計人員沒有對信息系統各項控制進行了解和審計,那么審計得出結論的可靠性就易受到質疑。這就迫切需要對正在使用或即將投產的信息系統的安全性、真實性、完整性、有效性進行審計,通過對信息系統的審計,保證信息系統的可信度,促進農村合作金融內控體系的建設和流程再造。
(二)信息系統審計是保障信息系統穩定運行和信息資產安全的需要
農村合作金融機構的日常運營越來越依賴于信息技術,在這種情況下,信息技術潛藏的風險更加不容忽視。通過對信息系統的安全、研究開發、運行維護等的審計,實現對信息系統風險的識別、計量、評價、預警和控制,能有效防范農村合作金融機構運用信息系統進行業務處理、經營管理和內部控制過程中產生的風險,加強對信息系統風險點的防范和管理,促進農村合作金融機構安全、持續、穩健運行。
(三)信息系統審計是進一步完善信息系統功能的需要
農村合作金融各項業務發展越來越快,金融產品創新步伐日益加快,為了適應業務發展的需要,農村合作金融內部審計范圍也逐漸擴大,這使得內部審計部門能夠較快的獲取業務發展存在的一些問題,了解業務發展對信息系統的要求,農村合作金融內部審計可以利用各種審計結果,從合規性、效率性、控制操作風險等多方面對完善信息系統功能提出一些有價值的建議。
二、信息系統審計的內容
信息系統審計的內容是信息系統審計的對象所決定,信息系統的審計對象是信息系統的各個組成部分及其相關的控制措施,并覆蓋信息系統生命周期的各個階段。具體而言,信息系統審計的內容主要是由信息科技治理和組織結構、信息系統安全管理、信息系統開發設計管理、信息系統運行維護管理、業務持續性規劃等方面組成。在對信息系統這5個方面進行審計時,必須貫穿信息系統生命周期整個過程即包括準備階段、分析階段、設計階段、實施階段、運行維護階段、退出階段,不能孤立的看待信息系統生命周期的各個階段。
(一)信息科技治理和組織結構
信息系統科技治理和組織結構是信息系統正常運行的基本保障,也是信息系統審計首先需要關注的內容。對信息科技治理和組織結構的審計主要關注的是農村合作金融信息系統制度建設是否健全、中長期信息科技建設的規劃是否與業務發展規劃相適應、信息科技部門崗位設置及人員分工是否合理、信息系統科技人員專業素質、業務培訓是否符合信息科技建設的要求等。
(二)信息系統安全管理
信息系統安全管理包括信息系統硬件和軟件的安全。
1.信息系統硬件安全指的是為信息系統的各項硬件設備提供適合的溫度、濕度、清潔度,做好防火、防盜以及防止非正常接觸硬件設備等工作,保證設備正常運轉。對信息系統硬件安全審計時需重點關注的是消防及防水設施、不間斷電源保護、人員疏散計劃和通道、監控、人員進出管理等。
2.信息系統軟件安全指的是信息系統軟件設計與管理是否存在導致信息系統無法實現其保密性、完整性和可用性的缺陷。信息系統軟件安全審計需重點關注的是信息系統程序設計是否存在明顯重大安全隱患、訪問控制與網絡安全控制是否合理、內部管理是否到位等。
(三)信息系統開發設計管理
信息系統開發設計管理指的是信息系統生命周期的前四個階段即準備階段、分析階段、設計階段、實施階段。
1.系統準備階段。此階段主要是對信息系統立項的可行性分析,審計重點是信息系統立項的可行性分析是否到位,與企業的發展戰略是否相符,技術上、經濟上是否可行等,如審計在信息系統這個階段介入,那將能很好避免信息系統立項的盲目性。此階段需要關注的文檔資料是信息系統立項的可行性分析報告。
2.系統分析階段。此階段是需求提出階段,審計重點是提出需求是否合規、合理及可實現。此階段需要關注的文檔資料是系統分析報告。
3.系統設計階段。此階段是解讀需求階段,審計重點是系統內各項設計是否合理。此階段需要關注的文檔資料是系統設計報告,包括系統概要設計說明書和詳細設計說明書。
4.系統實施階段。此階段是滿足需求階段,審計重點是源程序編寫是否合理,系統測試是否全面恰當,系統試運行出現問題是否得到解決等。此階段需要關注的文檔資料是源程序表,系統測試報告、操作手冊和評審報告等。
(四)信息系統運行維護管理
信息系統運行維護管理指的是信息系統生命周期運行維護階段。在此階段,信息系統審計主要針對信息系統是否正確操作和有效運行,從而真正實現信息系統的開發目標、滿足用戶需求。審計可以從信息系統運行和系統運行管理兩個方面進行,評價系統的缺陷和不足,以及用戶操作管理的疏漏,并提出相關改進建議。審計包括系統輸入審計、網絡通信系統審計、處理過程審計、數據庫審計、系統輸出審計和運行管理審計等。對于系統維護,審計主要包括對維護組織、維護順序及流程、維護計劃、維護實施、改良系統的試運行和舊系統的廢除等活動的審計。系統運行和維護階段的審計主要集中在數據中心的測試管理、運行操作管理、變更管理、問題管理、數據管理、應急管理、環境管理、網絡管理、日常運營管理、性能管理等各個環節的控制上,審查和評價其控制的充分性和有效性,同時還需關注軟件開發部門在此階段的技術支持、功能完善是否到位。
(五)業務持續性規劃
為了盡可能減少一些災難性事件如建筑物、基礎設施、IT系統、業務數據和關鍵人員的毀滅等發生對信息系統正常運行的影響,需要制定信息科技系統風險應急處理方案,且能涵蓋整個機構的信息科技系統的管理、維護、重啟、恢復等各環節,最大限度地降低突發事件所帶來的風險。審計的重點在于業務持續性規劃的制定與實施、數據備份中心的管理與操作、業務持續性規劃的測試和維護等。
三、信息系統審計流程與質量控制
(一)信息系統審計流程
信息系統審計流程基本方向與傳統的審計業務基本相同,都是根據既定的審計目標、審計范圍,在對內部控制了解、測試、評價的基礎上,對各個確定的審計點進行審計。信息系統審計測試的方法有符合性測試方法與實質性測試方法。符合性測試指是的通過信息系統內部控制的有效性、存在性、合規性進行核實并形成審計結論的方法。實質性測試指是的對信息系統業務處理信息、管理信息進行合法性、合理性、真實性進行直接檢查和分析性復核,最終形成審計結論的方法。在對信息系統測試時,可使用一些計算機輔助方法,如測試數據法、平行模擬法、嵌入審計模塊法、虛擬實體法、受控處理法、受控再處理法、程序代碼檢查法等。
(二)信息系統審計質量控制
由于信息技術自身的專業性極強,信息系統審計,需要一批既掌握現代審計理論與實務又了解計算機技術的復合型專業人才和統一規范的農村合作金融信息系統行業標準和規范。現階段,由于相應的信息系統審計標準與實務尚在探索中,可供借鑒的成熟經驗不多,對信息系統審計質量的管控主要集中在以下三方面。
1.制定詳細全面的審計實施方案是信息系統審計質量控制的基礎
由于信息系統審計涉及面很廣,如果沒有制定詳細全面的審計實施方案,很有可能會漏掉一些很重要的審計點,從而影響整個審計質量。為了不遺漏審計點,可以在制定審計實施方案時,根據審計范圍和確定了的審計內容,制作能夠涵蓋所有重要審計點的表格,審計人員可以利用這些表格來對信息系統進行審計。
2.測試信息系統各項業務處理流程是信息系統審計質量控制的關鍵
信息系統是對農村合作金融業務各項業務處理流程的優化,對信息系統業務處理流程進行測試是進行信息系統審計的基礎,也是信息系統審計質量控制關鍵。測試信息系統各項業務處理流程就要測試包括在系統中運行的業務是否全部通過系統運行;信息是否及時錄入系統;錄入的信息是否真實、準確;系統運行是否正確,有無系統錯誤;流程是否通暢,有無缺陷或舞弊的可能,能否進行進一步的優化;識別、評價和應對流程風險的效果如何等。
3.把握信息系統各項內部控制的有效性是信息系統審計質量控制的保障。信息系統審計是建立在對信息系統內部控制測試的基礎上,在對信息系統的內控制度進行測試時,審計人員必須驗證內部控制系統是否存在,并能提供令人滿意的證據,證明它正在有效地發揮作用。信息系統內部控制分為一般控制和應用控制。一般控制是指為信息系統的所有信息處理而設定的政策和措施,是對信息系統的構成要素(人、機器、文件)所進行的控制,其目的在于保證所有的信息處理的準確性和可靠性,是信息系統安全運營的基本保障,包括組織控制、開發維護控制、安全控制和軟硬件控制等。應用控制是指針對計算機信息系統的各應用(即子系統或功能模塊)的敏感環節和控制要求,為各子系統的輸入、處理和輸出完整準確而建立的控制,包括輸入控制、處理控制和輸出控制。
四、當前浙江省農村合作金融信息系統審計的工作重點
近年來,浙江省農村合作金融機構對信息技術的投入越來越大,設備規模和技術水平不斷提高,數據大集中的實現,給金融創新和農村合作金融機構的進步帶來了強勁動力,但也蘊含著巨大的風險,在這種形勢下,浙江農村合作金融信息系統內部審計必須以滿足業務發展需要和有效控制風險為重點,以充分發揮內部審計作用,全面識別、評價系統的信息系統控制和風險水平,并根據評價結果,提出合理、可行的建議,以此進一步促進信息系統正常、安全、穩定運行。
(一)積極建立符合浙江農村合作金融實際的信息系統審計機制
為了更好的發揮信息系統審計作用,規范信息系統審計,提高審計質量、加大審計深度、拓寬審計范圍和領域,積極建立涵蓋信息系統審計標準、審計范圍、審計程序、審計行為規范、審計證據獲取、詳細審計方案、評審考核等內容的信息系統審計機制,由獨立的內(外)部審計進行經常性風險評估,提出改進意見,引入恰當控制,出具審計報告,有效地、動態地建立合理的安全管理體系,形成對信息系統安全的客觀評價。
(二)加大信息系統審計人才的培養力度
信息系統審計與傳統審計相比,在審計線索、審計內容、審計風險等方面都發生了變化,這就要求審計人員必須具有復合型知識結構,既通曉經營管理核心要義,又具備全面的信息技術知識,同時還要掌握信息技術條件下的審計方法技巧。目前浙江農村合作金融審計人員與信息系統審計的要求存在一定的矛盾,加大信息系統審計人才的培養力度將在相當長的時期成為浙江農村合作金融信息系統審計的工作重點。
(三)積極探索識別和規避信息系統審計風險的對策
在復雜的信息系統技術和管理環境下,實施信息系統審計具有一定的審計風險。要規避信息系統審計風險就必須識別信息系統審計的風險所在,以幫助審計人員確立信息系統審計風險意識。在控制信息系統審計質量的前提下,積極探索如何有效地識別和規避信息系統審計風險。
