Practice实务内部审计信息化建设企业内部控制体系中信息系统审计的内容和方法◆鲁海波一、在内部控制体系中开展信息系统审计的内容信息系统审计通常包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计，或者根据企业实际情况可以分为总体控制和应用控制（如图１所示）。图１在内部控制体系中开展信息系统审计内容包括变更管理、日常变更流程、紧急变更流程等。五是信息系统日常运作。包括机房环境控制、系统日常运作监控、批处理作业调度管理、备份与恢复、问题管理等。六是最终用户操作。包括最终用户计算机操作安全制度、电子表格管理等。其中，对最终用户操作的检查，并在关键环节建立关键控制点，通过手工测试或者开发计算机软件来证明其内部控制的有效性。由于目前电子表格越来越多的应用在办公系统、财务报表和财务处理过程，且越来越复杂。但是电子表格使用存在一些缺点，９１％的电子表格存在错误，超过２００行的表格将１００％地存在错误。这些问题可能导致巨大的风险，因此，必须关注与财务报表相关的电子表格，即电子表格将直接或间接影响财务报表或信息披露事项。１）（表格可能包括Ｅｘｃｅｌ、Ａｃｃｅｓｓ、文本文件等，根据电子表格的用途，可以分为：一是操作型。指用来对流程进行审核、跟踪和监控的电子表格，如订单列表、未开出的发票列表等。财务报表的重要账户资产负债表利润表报表附注１、信息系统总体控制制度体系，旨在保证整个公司范围内更加科学、规范地应用信息技术，提高企业在信息技术开发、实施、运营活动方面的控制能力，增强日常信息工作效率，更好地保护信息资产，提高信息技术对业务的支持力度，其目标是对信息技术管理和运行有效性的检查。信息系统总体控制审计目的是通过全面准确的信息系统内部控制制度的评价，保证其有效地发挥作用。信息系统总体控制审计应重点关注六个方面一是控制环境。：包括信息系统总体控制环境、信息与沟通、风险评估、监控等。二是信息安全情况。包括信息安全管理组织、逻辑安全、物理安全、网络安全、计算机病毒防护、第三方安全管理、信息安全事件响应等。三是项目建设管理。包括项目建设方法论、项目立项审批、商业软件及硬件的外购、项目启动、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收和上线后评估、用户培训等。四是系统变更管理。通常这些信息已经在纸质文件或其他系统中存在，用电子表格来监控财务交易执行的准确性和完整性。二是分析／管理型。指用来进行分析和管理决策的电子表格。通常用来评估财务数据的合理性和准确性。三是财务型。指直接用于财务报表交易数据和余额的电子表格，并导入到总账和／或财务报表中。（２）表格可能很简单，也可能很复杂。简单电子表格，一般作为电子日志、数据输入和信息跟踪等，如待处理订单、存货清单等。复杂电子表格，包括复杂的计算公式和计算模型，如税务计算、成本摊销、计算存货周转、金融衍生计算等。通常需要把这类型的电子表格作为一个独立的应用系统看待。（３）表格的管理流程。第一，制定电子表格的总体策略，对电子表格进行分类；登记电子表格，登记内容包括名称、版本、负责人、用户、开发人、变更频率和程度、电子表格内容概要和影响的财务科目。第二，评估电子表格的用途和复杂性，确定是否纳入管理范围，并说明理58中国内部审计2010.8内部审计信息化建设实务Practice由；对纳入范围的电子表格明确其是重要电子表格还是一般电子表格。评估应考虑以下因素：复杂度、用途、用户数量、文档的完备性、变更频率和程度、是否测试等。第三，决定需要实施的控制措施。重要电子表格应实施安全控制、版本控制、变更管理、开发管理、定期审阅、备份管理、存档管理等控制措施一般电子表格应实施安全控制、；版本控制、变更管理等控制措施。第四，测试现有电子表格：设计有效性测试，主要评估电子表格是否存在相关的控制措施；执行有效性测试，主要评估这些控制措施是否得到有效执行。测试中发现的例外情况需记录下来，并进行评估是否为缺陷。第四，对控制缺陷进行整改，对确认的缺陷制定相应整改方案，将电子表格控制提高到必要的水平，有时甚至要重新开发电子表格；对每个整改方案分配责任人、确定日期和优先级。２、信息系统应用控制测试指对会计信息系统中具体的数据处理功能的控制，是为适合各种数据处理的特殊控制要求，保证数据处理能完整、准确地完成而建立的内部控制，其目标是对业务层面的关键信息系统应用控制设计和执行有效性的检查。应用系统主要用于有关重要交易事项的生成、授权、记录、处理和报告，生成的表单和数据以及财务报表，供财务部门直接作为记账依据和相关利益者使用，或者为其他作为记账依据或生成财务报表的系统使用。当信息技术被用于生成、授权、记录、处理或报告交易事项以及其他将在财务报告中体现的财务数