基层审计机关信息系统审计模式初探

　　三、基层结合型信息系统审计模式的内容

　　目前，基层审计机关独立开展信息系统审计的难度大，基层审计机关在审计实践中普遍采用与财政财务审计结合、或者与绩效审计结合等模式，为审计工作提供了很大的便利，但随着社会经济及审计事业的进一步发展，结合型审计模式也应创新。

　　《审计署2008至2012年审计工作发展规划》中提出：“坚持多种审计类型的有效结合和全面推进绩效审计，到2012年每年所有的审计项目都开展绩效审计”的要求。

　　刘家义审计长2009年在计算机审计科研评审会议上说过，计算机审计研究不应孤立进行，要结合财政审计、财务审计，加强对企业、财政等相关领域的研究，形成财政、企业 “一条线”的计算机审计模式。

　　由此，结合基层审计实际，我们提出了基层信息系统审计的新模式：“信息系统审计+财政财务审计+绩效审计”三者相结合的审计模式，其具体内涵为：基层审计机关在审计实施中，一般是从被审计单位的信息系统入手，通过实施信息系统审计，在确保被审计单位信息系统安全、可靠和数据真实、完整的情况下，对被审计单位经济活动的真实性、合法性和效益性进行监督， 通过加强信息系统管理，促进被审计单位提高资金利用的经济性、效率性和效果性。这种审计模式下，信息系统审计是财政财务收支审计的保障，是整个审计过程中的出发点；财政财务收支审计与信息系统审计密不可分，两者在审计内容、方式方法上可以有机结合，利用财政财务审计的内容和经验，及时发现系统的薄弱环节和漏洞，财政财务审计的重要事项，往往都是系统审计处理的重要业务模块；绩效审计是系统审计的落脚点和着眼点，信息系统审计发现的所有问题最终要体现在被审计单位加强管理，提高系统的利用绩效上。

　　三种审计类型能够有机结合主要基于以下四点：

　　一是审计目标的一致性，信息系统审计的总体目标是通过评价信息系统本身的安全性、可靠性，从而合理保证信息系统所产数据的准确性、完整性，从而保证企业资产安全性、完整性以及效率效果性；财政财务收支审计的目标是对被审计单位财政财务收支的真实、合法和效益进行审计监督；绩效审计的目标是被审计对象的对经济性、效率性和效果性的审计，通常所说的“3E”审计。从这一点来说，三种审计类型的落脚点都是对被审计单位绩效进行审计监督，这一点符合审计署五年发展规划的要求。

　　二是审计对象的趋同性，信息系统审计的对象主要是计算机系统内各模块，财政财务收支审计对象是被审计单位的会计资料，绩效审计对象，审计机关国际组织（INTOSAI）概述为对人力、财力和其他资源的使用效率进行审计，包括检查信息系统、绩效评价和监督机制等内容。可见绩效审计包含了信息系统审计及财政财务审计的对象和内容，而财政财务审计对象必然包括电子数据资料及信息系统输出的其他各类非财务数据等，由此可见三种审计类型都涉及被审计的信息系统。只有把财政财务资料和信息系统审计有机结合，才能充分发挥审计“免疫系统”功能。

　　三是审计程序的相同性。信息系统审计、财政财务收支审计还是绩效审计，审计程序上大体都遵循审计立项阶段、审计的准备阶段、审计的实施阶段、审计的报告阶段和后续跟踪阶段，每个阶段实施的审计程序基本相通，存在相通之处，在审计程序上三者可以融合。

　　四是审计方法的交融性，信息系统审计的方法，除了信息系统测试的方法如数据测试法、受控再处理法等方法外；还采用询问法、检查法、观察法等方法、这些方法在财政财务收支审计、绩效审计中都大量运用，三者有着相互交融之处，可以在审计过程中相互结合，相互借鉴，达到全面审计的目标。

　　四、基层信息系统模式在具体实践中的运用和成效

　　徐州市贾汪区审计局2007年度首次对贾汪区新型农村合作医疗基金信息系统进行探索实践，取得了良好的效果。通过对新型农村合作医疗基金信息系统的开发、管理和营运等方面的审计，发现新农合基金信息系统在设计软件补偿模块功能设置、系统软件容错性不强、内部控制制度不健全等5项信息系统的问题；财务收支审计查实全区2007年参合病人少补偿988966.02元，部分医院利用系统容错性差，变造、伪造参合人员3800名，套取补偿资金45万余元；提出了进一步建立和完善系统控制制度、完善新农合基金管理系统功能、加强对数据进行认真检查、完善新补偿弥补措施等8条建议。被审计单位出台文件2个，2名计算机管理人员受到内部处理。

　　系统审计历时39天，成员共5人，其中计算机专业人才仅一名，面对人员少、无经验、任务重的局面，审计经过周密调查，大胆采用了“信息系统审计+财政财务审计+绩效审计”的审计模式，实践证明该模式为及时、圆满完成审计任务发挥了重大作用。审计组首先通过系统后台数据的审查，确保了数据的真实性、完整性，杜绝了以往的“就账审账”的现象。然后，审计组把财政财务审计和信息系统审计有机结合，利用财政财务审计人员的经验和做法，确定重要的经济业务、找出系统舞弊及控制薄弱的环节，进而对上述重要业务和关键环节的系统流程或系统模块进行重点的分析核实，找出系统的问题。这样做有三点好处：一是从思路上容易被审计人员接受；二是，财政审计经验被充分利用，违规违纪问题最终要在系统中有所反应，由此根据财政审计经验，容易找出系统控制的薄弱点，发现系统问题；三是财政审计和系统审计程序基本相同，很多方法可以互相结合，互相借鉴，产生“1+1＞2”的效果。本次审计中，参合病人少补偿近百万元的问题就是首先通过财务审计发现，进而沿着财务审计的线索追踪至新农合补偿系统设置，最终通过系统测试、验算，发现该补偿系统的部分参数设置不符合文件规定，造成了应补资金未能补偿到位的问题。在审计建议下，被审计单位花费数万元，重新开发了“二次补偿”的软件补充系统。审计对新农合信息系统对专项资金使用、管理及效益的影响进行分析，找出深层次的问题，提高资金管理效果，资金利用效率和效益，让新农合资金切实为民服务，解决“看病难、看病贵”的社会矛盾。本次审计，发现新农合参合人员系统控制存在薄弱点，容易出现虚假参合人员的现象，如参合人员姓名中出现非法字符如*、&等，严重影响资金利用效果，审计发现的问题被审计单位进行了整改，审计建议得以落实，大大提高了财政资金的使用效益。

　　五、基层信息系统审计模式应注意的问题

　　基层审计机关采用“信息系统审计+财政财务审计+绩效审计”实施审计时，为了达到三者的有机结合，提高审计工作效率和效果，在审计实施的四个阶段应注意以下问题：

　　（一）审前准备阶段首先要重点把握审计立项，未雨绸缪、早做计划，基层审计机关应根据自身业务能力情况确定信息系统审计项目，把握好“五性”原则，即重要性、可行性、主动性、风险性、增值性；其次搞好前期调查，把握审计重点，在财政财务审计调查内容中应注重信息系统的调查，可以向系统使用和管理人员发放调查问卷或者调查表、查阅或者索取有关的资料等方式，通过分析性复核，确定信息系统在保障数据的安全性、完整性发挥的作用，以此确定审计重点。

　　（二）审计实施阶段从降低审计风险的角度出发，对财政财务审计相关的内容进行重点审计。一般来说，基层结合型系统审计重点关注以下四个方面：信息系统下电子数据的真实性、完整性审计，避免“假”账真审；信息系统控制审计，能否保证系统运行的安全性、有效性和效率性；信息系统对重要的经济业务的处理功能审计，是否能够满足实际需求；信息系统的控制功能审计，查找系统中的控制薄弱点和漏洞，确保信息系统使用的效益性。

　　（三）在审计报告阶段环节，信息系统审计报告没有统一的规范格式，结合型审计可以不必单独出具系统审计报告，但相关系统审计内容应加入审计报告，审计报告的主要包括：被审计单位信息系统基本情况介绍、绩效评价、系统审计实施情况、发现的信息系统、财务收支、影响效益的主要问题和原因、审计建议。

　　（四）在审计跟踪阶段，审计人员不仅对发现的财政财务和绩效问题进行整改跟踪，还要对信息系统发现的问题进行整改跟踪，查看被审计单位是否整改落实，整改效果是否优化了被审计单位的软件、是否有利于被审计单位的工作等。

　　主要参考资料：

　　1、《信息系统审计实例》，主编：董明灿 华夏文化艺术出版社

　　2、《信息系统审计内容与方法》执笔：庄明来 吴沁红 李俊 中国时代经济出版社

　　3、《西安社保局局长因系统问题损害市民利益被免职》

　　4、《国外信息系统审计案例》 中国时代经济出版社

　　5、《信息系统审计：审计发展的新路径》 中国审计2008年第3期