信息系统内部控制审计初探

随着社会信息化进程的迅速推进，信息系统成为不少被审单位内部管理与控制的关键工具。因此，信息系统的可靠性、安全性已经直接影响着审计工作效率和质量。在此背景下，《审计署2006至2010年审计工作发展规划》提出“逐步开展对关系国计民生的重大行业、部门的联网审计和信息系统审计，全面提高计算机应用水平”。日前，令狐安副审计长在南京特派办调研时指出：系统审计应成为今后审计工作的一个重点。

信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。从该定义可以看出，其审计内容及方法是通过对系统内部控制的审计，来判断和评价系统的安全性、完整性、效果和效率等方面。通常，信息系统内部控制可分为一般控制和应用控制。下面结合我们在失业保险基金、养老保险基金、公路养路费等多个审计项目中尝试信息系统内部控制审计的实践，就相关审计内容与方法谈一下肤浅的认识。

一、信息系统的一般控制及审计方法

信息系统的一般控制是指为合理保证信息系统安全、可靠的控制措施。包括组织控制、操作控制、系统开发和维护控制、硬件和系统软件控制、灾难恢复控制。目前，被审计对象一般是在日常运行的信息系统，因而，我们重点是对信息系统的组织控制、操作控制和灾难恢复控制进行审计，判断信息系统的安全性、可靠性。

1.组织控制。组织控制主要是通过不相容职责的分离来实现。审计内容包括：系统管理人员及操作人员是否有明确的管理制度及明确的职责权限、数据库管理人员是否不审批和处理经济业务、系统管理人员和操作人员是否不能接触有关应用程序文件、业务处理中不相容职能是否分离等。审计可以采用查阅被审单位相关内控制度和检查信息系统中操作用户权限表等方法。如在养路费审计项目中，使用该方法发现信息系统中部分用户的不相容的操作权限未予分离，征费员既有收费等征收管理的权限，又有车辆类型管理、费率设置、修改缴费标准等权限。