信息系统环境下内部控制评审内容和方法初探
二、信息系统内部控制评审方法
《审计机关内部控制测评准则》第五条规定,审计人员进行内部控制测评分为下列四个步骤:一是对内部控制进行调查了解;二是对内部控制进行初步评价,评价控制风险;三是对内部控制的执行情况进行符合性测试;四是提出内部控制测评结果,并利用测评结果确定实质性测试的性质、范围、重点和方法。在信息系统环境下,审计人员对信息系统的内部控制评审可以通过下列方法实现上述步骤:
1.调阅被审计单位的关于计算机信息系统的各项管理制度和相关文件,对内部控制的健全性和合理性初步了解。
2.通过与被审计单位相关人员座谈和实地观察,了解硬件配置、软件运行及维护、相关人员操作经验等计算机信息系统使用环境。
3.检查被审计单位内部控制过程中形成的文件和记录,包括各种操作日志、软件修改记录、灾难恢复记录等。
以上方法适用于对信息系统内部控制的一般控制进行评审。审计人员也可以将上述有关内容设计成调查问卷,交由被审计单位据实填写,再进行检查核实,完成测评工作。
4.实行白箱法(通过计算机)对计算机系统应用控制的输入控制、处理控制和输出控制进行测试。
白箱法测试也称结构测试或逻辑驱动测试,其方法依赖于审计人员对被测应用程序的内部逻辑的深刻理解和根据被测应用程序的内部逻辑设计的测试用例。测试的是被审计单位应用软件内部每种操作是否符合要求。具体方法有:
(1)检测数据法。是指审计人员用一批预先设计好的检测数据(包括正常的、有效的业务和不正常的、无效的业务数据),利用被审程序加以处理,并把处理的结果与预期的结果作比较,以确定被审程序的控制与处理功能是否恰当。主要适用于下列三种情况:被审系统的关键控制建立在计算机程序中;被审系统的可见审计轨迹有缺陷;难以由输入直接跟踪到输出。
(2)授控处理法。是指审计人员通过被审程序对被审计单位实际业务的处理进行监控,查明被审程序的处理和控制功能是否恰当有效。如审计人员可通过检查输入错误的更正与重新输入的过程,判别被审程序输入控制的有效性;通过检查错误清单和输出打印结果来判断被审程序处理控制和功能的可靠性;通过核实对输出与输入来判别输出控制的可靠性。这种方法技术简单、省时省力,不需要较高的计算机知识,但审计人员首先要对输入的数据进行查验,并建立审计控制,然后亲自处理或监督处理这些数据。
(3)平行模拟法。是指审计人员从外部获取一份与被审程序副本或利用通用审计软件建立与被审程序相同处理和控制功能的模拟程序(模拟程序通常没有它所模拟的原始程序那么复杂,只包括与具体审计目标有关的程序处理、计算和控制),来处理当前的实际数据,把处理的结果与被审程序的处理结果进行比较,以评价被审程序的处理和控制功能是否可靠或被修改。
以上只是简单地叙述了计算机应用控制评审的几种方法,当然,这些方法不是孤立的,在实际应用中它们需要相互补充,具体采用那一种方法,要针对计算机系统实际情况而定。
三、评价内部控制评审结果以确定实质性测试范围
在实施完对信息系统内部控制评审后,审计人员要对内部控制作出评价,以确定内部控制是否真正发挥作用。如果认为内部控制没有得到执行,或执行表明内部控制存在重大隐患,此时,审计人员应提出审计中是否依赖已有的控制。另外,审计人员应当提出一个概括反映信息系统内部控制弱点的属性和程度的总结报告,并将报告列入审计底稿。对报告可以从以下三个方面加以利用:一是确定实质性审计的范围、重点和措施。二是将被审计单位信息系统的控制弱点纳入审计意见,以便其改进工作。三是为确定具体使用何种计算机辅助审计技术提供依据。
- 上一篇:加强内控建设
- 下一篇:对内部控制建设的若干思考
