某航空公司的信息系统审计项目与案例研究.docVIP

某航空公司的信息系统审计项目与案例研究 信息技术正在扩展审计的内涵与外延。与早期的审计相比，现代审计的“对象”、“目标”以及“目的”已经发生了很大的变化，以行为、过程和系统等为审计主体的“非信息审计”变得越来越重要。我国在相关审计法规的指引下，信息系统审计实践也正在如火如荼的开展，但通过对相关案例的分析可以发现，信息系统审计实践存在不少的问题。本文就某航空公司的收入结算系统审计项目进行案例分析，透视信息系统审计实践存在的问题，并对政策制定提供相关的建议。 　　 　　一、某航空公司的信息系统审计项目 　　 　　某航空公司的审计项目是2005年的重点审计项目之一，其目的是要为实现“真实、合法、效益”的审计目标奠定基础。开展信息系统审计是抓住该集团特点，培育项目亮点，把这个项目做成精品的重要举措之一。信息系统到底怎么审，怎么评价，审计人员想到找一条别人走过的路子，照猫画虎。但查阅信息系统审计的相关资料，看到的基本上是国外对信息系统审计的理解与做法，与我们的审计有较大的差别，如果直接硬套过来，只能是东施效颦；询问相关的专业人员，大家都没有类似的经验。经过几次讨论，审计组决定首先找对某航空公司信息系统实施管理的规则发展部、信息技术中心两个部门的领导进行一次深谈，听听他们对A航空公司信息系统的评价，希望从中理出一些思路，再进一步确定具体工作方案。与被审计单位部门领导谈话进行得比较顺利，审计人员也渐渐理出了自己的工作思路：企业的信息系统体现的是企业的管理理念。这次信息系统审计应该主要抓住以下方面：首先是该航空集团信息系统的规划、建设、管理与整个公司的发展是否相适应，信息系统资源的整合是否能够跟上公司其他资源高速整合的步伐；其次是公司信息系统的功能是否能够满足业务特点的要求；再次是结合在数据审计中发现的大量数据问题，特别是数据整理中再现的问题，来考察信息系统中存在的问题。但在实际问题的处理过程中也存在着诸多困难，无现成的案例和信息系统审计规范可借鉴。为了确保审计目标的实现，审计组开展了信息系统审计。在系统审计的探索中，审计人员根据调查了解的情况，在数据分析的基础上，通过跟踪被审计单位的业务过程和数据处理流程，发现了被审计单位收入结算系统中存在的非法销售暗扣处理模块，具体信息系统审计过程包括：一是数据分析，发现问题线索；二是通过数据对比，求证问题线索；三是跟踪业务过程，发现暗扣代码文件；四是跟踪数据处理流程，发现暗扣模块。最终通过对某航空公司收入结算系统的审计发现，进入系统的原始数据由面额逐步转变为毛额和净额，系统以最后的净额与代理人结算，并生成运输报告传递到财务系统确认收入，从而实现了航空公司暗扣销售和净额结算。至此，该信息系统审计项目也宣告结束。 　　 　　二、案例分析 　　 　　由上述案例过程可知，我国对企业信息系统审计还处于探索阶段，在审计实务中到底如何开展信息系统审计还缺乏有说服力的案例和行之有效的办法，更不要说具有可操作性的完整的信息系统审计规范体系。总体来讲，笔者认为从上述案例可以反映出当前我国信息系统审计规范体系还存在着如下几个方面的缺陷。 　　 　　（一）没有完整可借鉴的由权威机构制定的信息系统审计规范 　　 　　信息系统审计规范是信息系统审计经验的总结，是对审计活动内在规范的反映，审计人员按照信息系统审计规范所确定的程序、步骤、技术和方法开展工作，能够少走弯路，提高信息系统审计效率，保障信息系统审计工作科学、有序、高效地运行，全面实现信息系统审计目标，降低信息系统风险，同时也可降低财务审计、绩效审计以及环境审计等风险。而上述案例也说明我国信息系统审计尚处于探索阶段，在信息系统审计实践中缺乏有说服力的案例，根本谈不上完善的信息系统审计规范体系，而在国外却存在如ISACA这样的机构去提供完整的信息系统审计准则、指南和审计程序，至2010年4月其已经发布了16项基本准则，41项审计指南和11项作业程序。因此，国家相关部门应整合信息系统审计规范制定的实践与理论资源，在借鉴国外信息系统审计规范的基础上，推进我国信息系统审计规范体系制定的进程。 　　 　　（二）信息系统审计的开展缺乏计划，不存在后续审计阶段 　　 　　对信息系统的审计是一个过程，包括信息系统审计计划、实施、审计报告以及后续审计阶段，而在上述案例中，对信息系统的审计是一个摸索的过程，根本谈不上信息系统审计计划。凡事预则立，不预则废。无论是国家审计，还是注册会计师审计，同样需要制定信息系统审计计划。《内部审计具体准则第28号---信息系统审计》中指出，内部审计人员在执行信息系统审计之前，需要确定审计目标并初步评估审计风险，估算完成信息系统审计或专项审计所需的资源，确定重点审计领域及审计活动的优先次序，明确审计组成员的职责，并以此制定信息系统审计计划，除此之外第28号具体准