某航空公司的信息系统审计项目与案例研究,审计论文.docx

《某航空公司的信息系统审计项目与案例研究,审计论文.docx》由会员分享，可在线阅读，更多相关《某航空公司的信息系统审计项目与案例研究,审计论文.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、某航空公司的信息系统审计项目与案例研究,审计论文信息技术正在扩展审计的内涵与外延。与早期的审计相比，当代审计的 对象 、 目的 以及 目的 已经发生了很大的变化，以行为、经过和系统等为审计主体的 非信息审计 变得越来越重要。我们国家在相关审计法规的指引下，信息系统审计实践也正在如火如荼的开展，但通过对相关案例的分析能够发现，信息系统审计实践存在不少的问题。本文就某航空公司的收入结算系统审计项目进行案例分析，透视信息系统审计实践存在的问题，并对政策制定提供相关的建议。 一、某航空公司的信息系统审计项目 某航空公司的审计项目是2005年的重点审计项目之一，其目的是要为实现 真实、合法、效益 的审计

2、目的奠定基础。开展信息系统审计是捉住该集团特点，培育项目亮点，把这个项目做成精品的重要举措之一。信息系统到底怎么审，怎么评价，审计人员想到找一条别人走过的路子，照猫画虎。但查阅信息系统审计的相关资料，看到的基本上是国外对信息系统审计的理解与做法，与我们的审计有较大的差异不同，假如直接硬套过来，只能是东施效颦；询问相关的专业人员，大家都没有类似的经历体验。经过几次讨论，审计组决定首先找对某航空公司信息系统施行管理的规则发展部、信息技术中心两个部门的领导进行一次深谈，听听他们对A航空公司信息系统的评价，希望从中理出一些思路，再进一步确定详细工作方案。与被审计单位部门领导谈话进行得比拟顺利，审计人员

3、也渐渐理出了自个的工作思路：企业的信息系统具体表现出的是企业的管理理念。这次信息系统审计应该主要捉住下面方面：首先是该航空集团信息系统的规划、建设、管理与整个公司的发展能否相适应，信息系统资源的整合能否能够跟上公司其他资源高速整合的步伐；其次是公司信息系统的功能能否能够知足业务特点的要求；再次是结合在数据审计中发现的大量数据问题，十分是数据整理中再现的问题，来考察信息系统中存在的问题。但在实际问题的处理经过中也存在着众多困难，无现成的案例和信息系统审计规范可借鉴。为了确保审计目的的实现，审计组开展了信息系统审计。在系统审计的探寻求索中，审计人员根据调查了解的情况，在数据分析的基础上，通过跟踪被

4、审计单位的业务经过和数据处理流程，发现了被审计单位收入结算系统中存在的非法销售暗扣处理模块，详细信息系统审计经过包括：一是数据分析，发现问题线索；二是通过数据比照，求证问题线索；三是跟踪业务经过，发现暗扣代码文件；四是跟踪数据处理流程，发现暗扣模块。最终通过对某航空公司收入结算系统的审计发现，进入系统的原始数据由面额逐步转变为毛额和净额，系统以最后的净额与代理人结算，并生成运输报告传递到财务系统确认收入，进而实现了航空公司暗扣销售和净额结算。至此，该信息系统审计项目也宣告结束。 二、案例分析 由上述案例经过可知，我们国家对企业信息系统审计还处于探寻求索阶段，在审计实务中到底怎样开展信息系统审计

5、还缺乏有讲服力的案例和行之有效的办法，更不要讲具有可操作性的完好的信息系统审计规范体系。总体来讲，笔者以为从上述案例能够反映出当下我们国家信息系统审计规范体系还存在着如下几个方面的缺陷。 一没有完好可借鉴的由权威机构制定的信息系统审计规范 信息系统审计规范是信息系统审计经历体验的总结，是对审计活动内在规范的反映，审计人员根据信息系统审计规范所确定的程序、步骤、技术和方式方法开展工作，能够少走弯路，提高信息系统审计效率，保障信息系统审计工作科学、有序、高效地运行，全面实现信息系统审计目的，降低信息系统风险，同时可以降低财务审计、绩效审计以及环境审计等风险。而上述案例也讲明我们国家信息系统审计尚处

6、于探寻求索阶段，在信息系统审计实践中缺乏有讲服力的案例，根本谈不上完善的信息系统审计规范体系，而在国外却存在如ISACA这样的机构去提供完好的信息系统审计准则、指南和审计程序，至2018年4月其已经发布了16项基本准则，41项审计指南和11项作业程序。因而，国家相关部门应整合信息系统审计规范制定的实践与理论资源，在借鉴国外信息系统审计规范的基础上，推进我们国家信息系统审计规范体系制定的进程。 二信息系统审计的开展缺乏计划，不存在后续审计阶段 对信息系统的审计是一个经过，包括信息系统审计计划、施行、审计报告以及后续审计阶段，而在上述案例中，对信息系统的审计是一个探索的经过，根本谈不上信息系统审计

7、计划。凡事预则立，不预则废。无论是国家审计，还是注册会计师审计，同样需要制定信息系统审计计划。(内部审计详细准则第28号-信息系统审计中指出，内部审计人员在执行信息系统审计之前，需要确定审计目的并初步评估审计风险，估算完成信息系统审计或专项审计所需的资源，确定重点审计领域及审计活动的优先次序，明确审计组成员的职责，并以此制定信息系统审计计划，除此之外第28号详细准则没有作具体深切进入的阐述。在ISACA的审计准则体系中，关于审计计划的基本准则有审计计划S5、审计计划中风险评估的运用S11和审计重要性S12；审计指南有信息系统审计中的重要性概念G6、审计计划中风险评估的运用G13 以及信息系统审

8、计的计划G15；审计程序中有信息系统风险评估P1等可供借鉴与参考，并且ISACA对审计计划的相关准则、指南和程序进行了具体深切进入的阐述，以利于引导和约束审计人员的审计行为。 审计报告的签署并不意味着信息系统审计的终结。上述案例不存在后续审计阶段，这与缺乏信息系统审计规范的指导是分不开的。在ISACA的审计准则体系中，后续审计方面的准则包括基本准则后续工作S8以及审计指南后续工作G35等。根据ISACA审计标准，审计人员对于在信息系统审计中发现信息系统的重大问题和漏洞，并提出改良意见后，可对被审单位所采取的纠正措施及效果进行后续审计。假如审计建议如期落实，则实现了信息系统审计的目的，也意味着信

9、息系统审计意见得到了被审计单位的认可；假如审计建议没有落实，应耐心听取被审计人员的反应意见，对于落实的难点问题，审计部门应反映给高级管理层，请其协助落实。除此之外，对于不切实际的审计建议，审计组成员应该分析原因，以利于下一次审计项目的改良。因而，后续审计阶段对于信息系统审计同样重要，而在上述审计案例中，对A航空公司收入结算系统的审计根据不存在后续审计阶段。 三信息系统审计出于 真实、合法、效益 的审计目的 我们国家开展的信息系统审计与西方的信息系统审计在目的上存在着差异，我们国家审计部门开展信息系统审计主要是为 真实、合法、效益 的审计目的服务的，主要关注信息系统影响被审计单位的合法经营、财务

10、核算、经营效益等方面存在的问题，还没有到达审查信息系统安全、可靠、有效和效率以及能否有效地使用组织资源、实现组织目的的层次。因而，对于信息系统审计，在很大程度上主要是根据数据审计的需要开展。随着企业信息化、政务信息化等的发展，信息系统的安全审计、生命周期审计以及软硬件审计等变得越来越重要，其重要程度在很多时候已经超过了出于 真实、合法、效益 审计目的的信息系统审计。我们国家信息系统审计及规范的发展不能只是停留在 真实、合法、效益 审计目的的基础上，这样只能限制信息系统审计的范围，我们国家的信息系统审计实践也没有办法拓展到对信息安全保卫、软件系统开发以及商业流程评估及风险管理等的审计实践上来。

11、四缺乏信息系统审计项目的质量控制准则 我们国家在信息系统审计项目方面的质量控制准则尚处于空白状态。固然国家审计署、中注协和内部审计协会都公布了一些关于审计质量控制的准则或规范，但这些规范不是针对财务审计的，就是针对会计师事务所质量控制的，而专门针对信息系统审计项目的质量控制基本上还处于空白状态。因而，上述案例在信息系统审计经过中，基本上不存在任何质量控制措施，这也对我们国家提出了尽早制定与公布信息系统审计质量控制方面相关的规范。否则，在信息系统审计市场上将出现一个一般化的 格雷欣法则 ,即劣等品驱逐优等品，其结果是出现卖方与买方勾结，根据买方的要求设计信息系统内部控制规范刘杰，2018。一般化

12、的 格雷欣法则 也不利于我们国家信息系统产品市场和信息系统审计市场的规范。 三、启示及政策建议 通过上述对某航空公司收入结算系统审计案例的分析可知，我们国家信息系统审计实践尚处于起步阶段，还存在着众多问题。为规范信息系统审计行为，加强对信息系统审计实践的指导，信息系统审计规范的制定与发布是关键。信息系统审计规范是一种公共品，机构或相关职业团体在信息系统审计规范制定经过中扮演着重要的角色。因而，笔者以为我们国家应从如下几个方面作出努力。 一是以(2004至2007年审计信息化发展规划与(审计署2008至2020年信息化发展规划中提出的整合审计资源思想为契机，抽调中国注册会计师协会、国家审计署以及

13、中国内部审计协会相关信息系统审计制定的人力、物力和财力，成立专门的信息系统审计规范制定机构。 二是在借鉴国外诸如ISACA以及IIA等信息系统审计资源的基础上，吸引我们国家信息系统审计实践中已经发布并实践的信息系统审计操作规则，结合我们国家信息系统审计实践，出台完好、系统的信息系统审计规范体系。完善、系统的信息系统审计规范有利于指导信息系统审计人员在审计计划、审计施行、审计报告以及后续审计阶段的审计行为。同时，信息系统审计当前属于非强迫性审计的范畴，审计质量控制准则往往容易被忽视，而忽视审计质量控制准则的制定与发布在某种程度上会导致信息系统审计市场上 格雷欣法则 的出现。因而，在信息系统审计规

14、范体系中，不应忽视信息系统审计质量控制准则的制定与发布。 三是在信息系统审计规范体系制定的经过中，应将信息系统审计规范应用的范围扩展，不能仅仅服务于财务审计。假如仅仅服务于财务审计，则制定与发布的信息系统审计规范不能很好地服务于信息系统生命周期审计、软硬件审计、信息系统安全审计等其他信息系统审计活动。 四是加强信息系统审计实践案例的调查研究，从信息系统审计实践中总结出一些典型信息系统审计案例，用以指导和规范信息系统审计人员的审计行为，防止信息系统审计实践人员在从事信息系统审计活动时，陷入不知所措的境地。 以下为参考文献： 1 刘汝焯，任有泉。计算机审计情景案例选M.清华大学出版社，2006. 2 刘杰。我们国家信息系统审计规范体系研究D.厦门大学博士论文，2018. 3ISACA,IS Standards,Guidelines and Procedures for Auditingand Control ProfessionalsR.ISACA,2018.