系统审计 财政审计的深化信息系统审计
一、问题的提出现代审计是以系统和风险为基础的审计,在电算化和网络化条件下也不例外。如果经审查证实计算机信息系统的内部控制能够有效地防止或及时地发现错弊,达到预期的控制目标,计算机系统的功能准确可靠,则审计人员可以依赖信息系统,在保证审计质量的前提下,减少实质性审查,降低审计成本。因此,在当前形势下,重视并尝试对信息系统进行审计,验证执行经济业务和会计信息处理的计算机系统的合法性、正确性和安全性,既是审计技术发展的内在要求,又是深化审计工作的客观需要。财政审计是国家审计永恒的主题,既离不开信息系统审计,又使信息系统审计有着更加广阔的发展前景。目前,信息系统审计是计算机审计中最为薄弱的环节,既没有形成一个较为完善的能够指导实践的规范和准则体系,也没有较为成熟的适合实践的可供借鉴的案例和经验。这种尴尬局面的改善,有赖于审计人员在审计实践中大胆尝试和探索,及时交流和总结,最终归纳上升到理论的高度。
二、实践中的探索在年中央税收收入审计中,我们针对税务机关税收征管系统版本较多、实际利用率不高等特点,尝试从信息系统的功能、信息系统的内部控制等多个角度,对多个税收征管系统进行了审计。同时,结合数据审计中发现的问题,反向思考信息系统中存在的缺陷,将面向数据的审计与信息系统的审计紧密结合起来。下面列举几个信息系统审计的实例。实例:测试代开增值税专用发票模块,发现系统参数设置错误。审计目的:增值税专用发票的使用有着严格的规定:一般纳税人可以自行开出增值税专用发票,适用的税率;小规模纳税人只能由税务机关代开增值税专用发票,适用的税率。如果为小规模纳税人代开增值税专用发票时,系统开出的税率,则造成增值税的“高开高征”或“高开低征”。因此,为了验证代开增值税专用发票模块处理业务时的正确性、合法性和可靠性,我们对某国税局自行开发的代开增值税专用发票模块实施了系统审计。审计方法:一是受控处理法。监控运用该模块实际代开增值税专用发票时的处理过程,取得相应的处理结果,并检查处理结果的正确性。二是程序编码检查法。直接检查该模块相应的源程序代码。该方法检查的是程序本身,能够发现程序中存在的任何错弊。审计结果:通过上述检查,我们发现该模块中税率参数的设置有违现行《增值税暂行条例》,提供了两档不应使用的税率。实例:测试会统模块,发现系统功能不够完善。审计目的:税收会统报表应如实反映税务部门各项应征税款、减免税款、欠缴税款、呆账税金等税收业务。某税务局税收会统报表中的“待征税款”、“欠税”等会统科目长期为%,但在电子数据的审计中,我们发现该局实际上存在待征税款和欠税。这种现象引导我们反向思考该局税收征管信息系统中的会统模块是否存在缺陷。因此,为了验证该会统模块业务处理的正确性,我们对其实施了系统审计。审计方法:一是流程图检查法。要求系统管理员提供生成会统报表的流程图,分析各个程序之间的关联性和逻辑性,审阅数据的来源和完整性。二是测试数据法。将一组测试数据输入系统中,并对系统运行结果与预期结果进行比较。审计结果:通过上述检查,我们发现该税收征管系统中会统模块的功能设计尚有欠缺,以实际开票税款数作为入库税款数,根本不反映待征税款数和欠税数。实例":检查系统的内部控制措施和管理制度,发现系统安全存在隐患。审计目的:当信息的处理方式由手工处理转变为计算机处理后,就给信息系统的控制带来了许多新的课题,使得信息系统潜在的风险比手工系统更大、更复杂。同时,由于信息系统所产生的信息日益增多,如果没有健全的控制措施,就很难保证信息的收集、传递、处理能够及时、准确、完整和不会出现无意的差错或有意的舞弊。为了验证税收征管系统的内部控制设置是否完善适当,已有的控制是否恰当地发挥了作用,我们选取内部控制的几个控制点作为突破口,实施了系统审计。审计方法:一是内控调查表法。借鉴手工会计条件下内部控制的描述方法,询问、观察、查阅系统的文档资料,调查系统的内部控制措施。二是符合性测试。观察有关业务的实际执行情况,检查有关的记录、凭证和报表,测试有关的控制是否有效。审计结果:通过上述检查,我们发现部分税收征管系统内控不严,存在如下明显的漏洞和缺陷,系统的安全性得不到保障。一是系统后台数据库使用数据库,不存在使用者身份认证和权限控制的行为,不能有效地防止数据被篡改、破坏和窃取。二是系统缺乏日志功能,操作员对数据的异常操作不留任何痕迹。三是内控薄弱,造成年的电子数据丢失。四是系统的文档资料不全。
三、发展中的展望当前,国家税务总局与神州数码公司共同开发出的,-./0系统(中国税收征管信息系统),正在每省一个市的国税部门进行试点应用,即将在全国所有的国税部门进行推广。现在以及今后的国税审计,我们必须直面这个税收征管的新型载体。这个新型的税收征管系统能够保证所提供的电子数据的合法性、真实性和可靠性,从而避免新形势下的“假账真查”吗?未来两年内,海关部门将全面启用1+%%%通关管理系统,以取代现行的系统,系统的安全性、合法性和可靠性能否得到保证呢?要回答这些问题,深化当前的财政审计工作,降低财政审计的风险,就必须积极尝试和探索对这些系统进行审计。笔者认为,财政审计中对系统审计的尝试和探索,可以先从局部开始,尝试以下几个方面的工作,待积累一定的经验后,再逐步向全面拓展。一是开展信息系统功能的审计。信息系统的功能包括处理功能和控制功能。处理功能是指系统对经济业务和相应信息处理的功能。控制功能是指为了保证系统的安全可靠,建立在系统中的各项程序化的控制功能。开展信息系统功能的审计,可以围绕信息系统的处理功能和控制功能,验证信息系统处理功能的合法性、正确性与恰当性,查明信息系统控制功能的健全有效性,并查找系统中是否存在易于被攻破和利用的漏洞。审计实践中,可以根据审计的目的和具体条件,选用多种审计方法。二是开展信息系统控制的审计。为了保证信息的有效、准确、及时、完整和安全,系统在审计和运行时存在许多内部控制措施。对信息系统控制的审计,就是对系统的内部控制措施(一般控制、应用控制等)进行检查、测试和评价,验证内部控制的完善性和有效性。三是时机成熟后,可以尝试对系统的开发进行审计。对系统的开发进行审计,可以将审计时间从事后审计向事前、事中审计转变,充分发挥审计的预防作用。
