吕新民 黄俊青

【摘 要】 随着信息系统的广泛应用，迫切需要政府审计机关审计人员在政府审计项目中考虑信息系统因素，开展结合型政府信息系统审计。文章在阐明结合型政府信息系统审计概念和特点的基础上，围绕开展结合型政府信息系统审计的必要性（Why）、审计目标是什么（What）、审计重点在哪里（Where）以及如何实施审计（How）这四个基本问题进行了深入探讨，并由此构建了结合型政府信息系统审计“3W1H”模型。

【关键词】 政府审计; 信息系统审计; 结合型审计; “3W1H”模型

中图分类号：F239.44  文献标识码：A  文章编号：1004-5937（2015）06-0113-04

随着信息系统在行政事业单位和国有企业的广泛应用，迫切需要政府审计机关审计人员在政府审计项目中考虑被审计单位信息系统环境给审计工作带来的风险，开展信息系统审计。政府信息系统审计的方式主要有两种：一种是由审计机关独立立项或接受被审计单位专门委托而开展的专项信息系统审计;另一种是融合于特定政府审计项目中，如财政财务收支审计、住房公积金专项审计等项目中，与各审计项目相结合而实施的“结合型”信息系统审计（简称：结合型政府信息系统审计）。本文主要探讨后一种情况。

面对被审计单位信息系统环境，审计机关审计人员对结合型政府信息系统审计的必要性（Why）、审计目标是什么（What）、重点在哪里（Where）以及如何审计（How），仍然存在模糊不清的认识问题。这也直接导致审计人员在结合型政府信息系统审计实践中存在一定的随意性、无序性。为此，本文针对上述四个基本问题进行探讨，提出结合型政府信息系统审计的“3W1H”模型。

一、结合型政府信息系统审计概念

目前公认的有关信息系统审计的定义，如威伯（Ron Weber）、信息系统审计与控制协会（ISACA）和日本通产省情报协会等的定义，主要基于信息管理咨询、内部控制视角，并不能完全、准确地描述结合型政府信息系统审计（李春青，2008）。结合型政府信息系统审计概念的缺失，使得我国审计机关审计人员在政府审计项目的信息系统审计实践中缺乏所依据的概念框架和理论基础，主要靠自己的理解和需要开展信息系统审计，从而造成各自在信息系统审计定位、目标、内容和方式上的千差万别。因此，有必要对结合型政府信息系统审计概念进行清晰界定。

何谓结合型政府信息系统审计？一方面，结合型政府信息系统审计应以IT和政府审计相关学科理论为基础，主要目的是为了更好地履行政府审计经济监督职责（周德铭，2013），是将信息系统审计作为整个政府审计项目的一部分，服务于政府审计项目目标而进行的一个审计概念;另一方面，结合型政府信息系统审计的对象依然是信息系统，应该被当作信息系统审计的一个特例。因此，借鉴国内外主流信息系统审计的定义，结合政府审计项目的特点，可以作出如下定义：所谓结合型政府信息系统审计，是指政府审计机关基于经济监督目的，对影响被审计单位经济业务活动的有关信息系统进行检查、分析和评估，以判断信息系统的可靠程度、存在的问题以及对经济业务活动的影响程度，并提出针对性审计建议的过程。

二、结合型政府信息系统审计的必要性（Why）

随着被审计单位经济业务活动对信息系统依赖程度越来越高，信息系统已经逐渐融入各项经济活动当中。但是，信息系统存在的漏洞和缺陷、非法舞弊程序、人为操作错误、病毒感染、黑客攻击、系统故障等导致被审计单位经济业务数据失真的各种风险也在进一步加大，也就是说信息系统本身的安全性、可靠性直接威胁和影响到信息系统所产生经济业务电子数据的真实、准确和完整。因此，基于现代风险基础审计理论的政府审计，必须考虑与经济业务活动相关的信息系统产生的风险因素，突破传统政府审计业务范围，涵盖信息系统审计内容。如果忽视对信息系统本身的审计，审计机关审计人员审计依赖的被审计电子数据的真实性就会成为“空中楼阁”，就有可能出现“假账真审”的问题。

目前，各级政府部门、企事业单位为了提高信息化水平，纷纷加大资金投入，推进信息系统建设，建立统一数据集中平台，信息系统已经成为国家的一项投资巨大的重要资产。这就要求审计机关审计人员在对这些机构实施经济效益审计、绩效审计、经济责任审计等审计项目时，必须考虑信息系统资产因素，对信息系统实施相关审计，以有效揭示信息系统在安全、可靠、合法、效率、效果和效益等方面存在的问题，防范信息系统风险，保障信息系统安全、可靠运行，促进信息系统资源的有效利用，提高信息系统资源运用的收益水平。

由此，在政府审计项目中，考虑到信息系统的影响因素，迫切需要大力开展结合型政府信息系统审计，而不是可审可不审的问题。

三、结合型政府信息系统审计的目标是什么（What）

信息系统审计目标是信息系统审计行为的出发点，它指明了审计工作方向，并指导着信息系统审计实践活动（王振武等，2011）。我国政府审计以维护国家财政经济秩序，提高财政资金使用效益，促进廉政建设，保障国民经济和社会健康发展为职能，以国家经济活动的真实性、合规性和效益性为总体目标。因此，我国政府审计机关实施的结合型政府信息系统审计，也应遵守真实、合规和效益的根本目标。

审计机关审计人员在各项具体政府审计项目中，不能笼统地将一般意义上信息系统审计的安全性、可靠性、合法性和有效性目标作为结合型政府信息系统审计具体目标，这既不符合结合型政府信息系统审计的特点和需求，也不具备实际可操作性、指导性。如果信息系统审计目标因素与具体政府审计项目目标不相关，将起不到应有的作用，是多余的、不必要的，从成本效益角度来说，是对审计资源的浪费。审计人员应避免根据自己的理解来确定目标，造成混淆不清。结合型政府信息系统审计贯穿于各政府审计项目之中，成为审计全过程的一部分，其具体审计目标应根据国家审计机关实施审计项目预期要完成的任务和结果，即具体政府审计目标，以及所涉及的信息系统情况等综合确定。例如，政府财政财务收支审计的目标是财政财务收支情况的真实性、合规性和效益性，其审计的数据来源于相关信息系统产生的财务电子数据，而数据是否真实、完整，直接依赖于相关信息系统是否安全、可靠，由此可以确定政府财政财务收支审计中信息系统审计的目标是安全性、可靠性。又如，在国有企业绩效审计中，绩效审计的目标是效率性、效果性和效益性，虽然信息系统与绩效审计不直接相关，但是信息系统作为企业的一项重要资产，且信息系统建设的投入金额巨大，因此，在国有企业绩效审计中也应包括信息系统资产的绩效审计，这就决定了国有企业绩效审计中信息系统审计的目标应该是效率性、效果性和效益性。上述示例也表明，结合型政府信息系统审计具体目标随政府审计项目的不同而存在一定的差异性，也就是说政府审计具体目标的多元性决定了结合型政府信息系统审计具体目标的多元性，必须根据具体政府审计项目综合确定。

四、结合型政府信息系统审计的重点在哪里（Where）

结合型政府信息系统审计的成效取决于审计机关审计人员对信息系统审计重点内容的把握程度。审计人员应该在分析清楚各政府审计项目中信息系统审计具体目标的基础之上，确定信息系统审计意图和需要解决的问题，并根据“全面审计、突出重点”、“先系统本身后系统环境”的原则确定信息系统审计重点事项（唐剑，2012）。此外，还应考虑成本效益原则，尽力减少与政府审计目标不相关的、多余的、不必要的信息系统审计内容。

（一）结合型政府信息系统重点审计对象的选择

被审计单位一般建立有多个信息系统，依据结合型政府信息系统审计的特点，不需要也不必要将被审计单位的所有信息系统纳入重点关注的审计对象，只需要根据与被审计业务活动相关的程度选择目标信息系统。如何选择信息系统重点审计对象？审计机关审计人员选择的主要原则应是依据被审计单位核心业务对信息系统的依赖性以及被审计单位信息系统的复杂性确定需要重点调查和审计测试的信息系统的范围和深度。一般来说，越高度依赖的信息系统，就应该作为重点审计的对象;越复杂的信息系统，就应该扩大重点审计对象范围。例如，在财务收支审计中，被审计单位ERP系统由财务、采购、销售、库存、质量、人力资源等多个子系统组成，由于财务收支数据直接依赖于财务子系统，所以理应将其作为审计的重点，然而ERP系统又是一个集成化的复杂系统，审计人员还应扩大审计范围和深度，需要将ERP系统中系统管理子系统以及其他子系统的基础设置、凭证处理等模块也作为审计的重点。

（二）结合型政府信息系统内部控制测试重点内容的确定

现代风险基础政府审计是建立在内部控制的测评基础之上，根据内部控制的符合性测试结果实施业务数据的实质性测试。信息系统内部控制测试是对信息系统内部控制的可靠性、健全性和有效性进行的测试。基于结合型政府信息系统审计的经济监督和重在审计业务数据的特点，以及政府审计人员信息技术能力限制，为避免将对信息系统的审计引入技术陷阱（李春青，2008），审计人员应重点选择信息系统中容易产生数据风险的部分，作为信息系统内部控制测试的重点内容。而信息系统的硬件、软件、应用程序、数据、人员、制度等组成要素中，对业务数据直接产生影响的主要有信息系统数据、应用程序、人员和制度，因此审计人员在结合型政府信息系统审计中应选择信息系统数据、应用程序、人员、制度作为审计测试的重点，只在必要的时候再根据实际情况适当关注信息系统的软硬件环境。

（三）信息系统效率、效果和效益审计重点内容的选择

在结合型政府信息系统审计中，对行政事业单位、企业的效益审计、绩效审计、经济责任审计等政府审计项目中涉及的信息系统效率、效果和效益审计，其审计范畴从属于政府审计项目的范畴，只是审计对象中包括信息系统资产。因此，在这种结合型政府信息系统审计中，审计机关审计人员审计信息系统效率、效果和效益应从被审计单位正在运行使用中的信息系统资源的有效利用、促进产品或服务目标实现、降低产品或服务成本和增加产品或服务收益的角度选择重点审计内容：（1）效率性审计应重点评价使用中的信息系统对提高被审计单位劳动生产率所作的贡献，如节省人力、提高人员工作效率等;（2）效果性审计应重点评价使用中的信息系统使被审计单位业务、管理和决策等方面得到改善和提升，如满足业务处理需求、促进业务流程改进、增强信息交流与共享、提升客户服务能力、提高管理决策水平等;（3）效益性审计应重点评价使用中的信息系统的资金投入以及产生效益之比，资金投入包括信息系统运维资金投入、升级改造资金投入等方面，产生效益则可以从降低产品或服务成本、提高资金周转速度、提高产品或服务收入、增强竞争力等方面考虑。

五、结合型政府信息系统审计如何实施（How）

结合型政府信息系统审计作为信息系统审计的一个特例，两者在审计技术、方法、手段等方面理应具有一定的一致性。但是，审计机关审计人员在借鉴目前常用信息系统审计方法的同时，需要结合具体政府审计项目，立足审计人员的信息技术审计能力相对较弱、业务审计能力较强的审计专长，以审计人员的业务思路和职业判断为工作核心（王亚清，2012），积极探索富有实效的信息系统审计与传统审计相结合的方法。

（一）如何做好信息系统审前调查

在进行结合型政府信息系统审计调查时，审计机关审计人员可以将被审计信息系统调查与被审计项目业务调查结合进行，将信息系统调查作为业务调查的延伸。一方面，可运用询问法、观察法、查阅法、调查表法、流程图法等传统审计调查的方法，将被审计单位业务活动情况与信息系统情况调查融合在一起，一并调查了解被审计单位整体和业务活动情况、信息系统环境（如硬件环境、软件环境、组成、结构、分布等）、内部控制制度（含信息系统内部控制制度）、手工和计算机信息系统处理过程（如业务流程、运行流程、人员操作流程等）及执行情况;另一方面，可运用计算机辅助审计方法获取被审计业务电子数据，调查了解被审计信息系统数据处理情况等。两种方法相互补充，既能全面了解被审计单位业务活动情况，又能够摸清被审计单位信息系统基本运作情况，实现信息系统审计调查与整个审计工作调查的衔接，从而确保审计调查的效率、质量。

（二）如何做好信息系统内部控制测试

在结合型政府信息系统审计中，审计机关审计人员可运用熟悉的传统审计测试方法，辅以计算机辅助审计测试方法对前述确定的信息系统数据、应用程序、人员、制度等重点内容进行审计测试。具体可采用：（1）传统审计方法。通常可采用询问法、观察法、检查法、核对法、比较法、数据分析法等方法。如：询问或观察职责分离制度、人员操作制度、运行维护制度的执行情况;观察有关人员对信息系统访问是否设定口令、系统操作是否违反职责分离原则;查阅系统日志文件、操作记录，查看系统中是否有非法访问记录和报告，有无未经授权的用户操作系统;观察、检查系统功能设置、程序化控制、权限设置、系统参数配置等是否合理、有效，如权限设置是否符合职权要求，人员岗位变动或离职前是否及时进行权限锁定或删除，客户数据是否进行唯一性检验，财务软件是否存在反结账、反记账等功能;核对、比较原始凭证与数据库凭证文件数据的一致性，以测试凭证数据输入控制的有效性;对数据库文件数据采用数据分析法，如分析数据文件中操作员代码、数据异常值、数据间的关联关系、数据间的平衡或合计关系等审查是否存在非法用户或越权操作、参数设置的有效性、数据处理是否存在错误等以测试数据处理控制的有效性，也可通过数据分析反推系统中存在的非法功能和漏洞，等等。（2）计算机辅助测试方法。通常可采用计算机数据审计软件工具、整体测试法、平行模拟法、虚拟实体法、受控处理法等方法。如利用计算机审计软件（OA）、数据库管理系统（Access、Sql server）、Excel等获取和分析被审计信息系统数据输入、处理、输出控制;运用整体测试法、平行模拟法、虚拟实体法、受控处理法等方法（张■瑜，2012），测试系统的处理和控制功能是否恰当、可靠，接口程序是否存在缺陷等。除此以外，对于信息系统硬件、软件、网络安全等方面内部控制测试，由于其技术性较强，审计人员可重点从系统管理的视角着手。一般采用面谈法、询问法、观察法、测试软件等，重点审查计算机安全和管理制度的执行情况、是否建立安全认证机制、是否建立针对系统故障的应急安全机制、软硬件来源的合法性，观察硬件是否进行有效的保养、隔离，查看系统是否安装防火墙、安装防病毒软件、定期检测和清除计算机病毒，利用漏洞扫描工具和网络检测诊断工具等对网络环境进行测试和评估。

（三）如何做好信息系统效率、效果与效益审计

对于结合型政府信息系统审计中的效率、效果与效益性审计，应遵循可操作、实用性原则，审计机关审计人员可通过询问、观察、查阅资料、发放调查表和比较分析等方法，重点了解信息系统的各项功能在被审计单位日常工作过程中的使用情况，了解信息系统功能设置能否满足系统目标，了解信息系统保障被审计单位信息资源共享、业务有效开展和履行情况，了解信息系统运维成本和效益并进行定量化分析处理，对比被审计单位信息系统规划、运营目标，运用一定的评价方法（如平衡计分卡法、层次分析法、模糊综合法等）（张静等，2011）进行评价，给出审计结论和审计建议。就目前来说，信息系统的效率、效果和效益审计在我国仍然处于理论和实践探索阶段，缺少规范的指导，缺乏完善的评价指标体系，因此，如何科学、准确地评价信息系统的效率、效果和效益，仍然存在不小的难度。

六、结束语

目前，很多审计机关审计人员对开展结合型政府信息系统审计还存在概念模糊、认识不清以及不知道如何实施等问题，以至于结合型政府信息系统审计在我国政府审计项目实践中并没有普遍展开。基于此，本文就结合型政府信息系统审计问题提出了“3W1H”模型，以期能够帮助审计机关审计人员提高对结合型政府信息系统审计的理解和认识，并为审计人员开展结合型政府信息系统审计提供实践指导。

【参考文献】

[1] 李春青.基于WSR方法论的政府信息系统审计模型初探[J].中国管理信息化，2008（3）：57-60.

[2] 周德铭.国家审计信息化的系统定位、业务效能和发展展望[J].电子政务，2013（7）：2-24.

[3] 王振武，张子瑾.信息系统审计理论结构框架研究[C].第十届全国会计信息化年会论文集，2011：861-868.

[4] 唐剑.当前开展信息系统审计面临的难点和建议[J]. 审计与理财，2012（2）：19-20.

[5] 王亚清.基于手工与信息化结合模式下的审计方法研究[J].重庆理工大学学报（社会科学），2012（8）：126-127.

[6] 张瑜.信息系统审计的基本理论、方法、过程的浅析 [J]. 科技信息，2012（9）：102.

[7] 张静，余建坤，吴绍吉，等.信息系统绩效审计方法[J].全国商情（理论研究），2011（12）：29-31.