英大长安保险经纪有限公司
摘要:随着信息技术的发展和成熟,企业在业务处理、经营管理和内部控制等方面越来越多的依靠信息化手段,对信息系统项目的人力、财力投入也越来越多。鉴于信息系统项目专业性强的特点,特别是在审计人员普遍缺乏信息化专业背景的情况下,本文通过梳理信息系统项目管理审计程序,归纳信息系统项目管理审计方法,梳理常见问题及风险,促进提高信息系统项目审计水平。同时也帮助企业进一步规范信息系统项目管理,增强风险防范能力。
关键词:信息系统项目 审计程序 审计方法
一、梳理内控关键节点,制定审计程序
信息系统项目普遍具有投入成本高、建设运维周期长等特点,是企业的高风险领域,同时由于专业性强,在项目管理过程中其他职能部门对其的监督效果有限。所以有必要通过开展内部审计加强对信息系统项目全生命周期的监督力度,检查发现信息系统项目管理中存在的漏洞,促进完善内部控制,并通过对项目建设或运维效果的定性评价,确定项目建设和运维服务的优先级,促进企业提质增效。
从信息系统项目内部审计实务出发,审计程序有以下几个步骤:
(一)熟悉相关法律法规和规章制度
审计前审计人员需要对信息系统项目相关法律法规和规章制度进行深入学习和研究,在此基础上,明确信息系统项目类别及不同管理流程和关键控制环节,把握审计检查要点,根据不同类别信息系统项目的特点制定审计记录模板,模板要素要清晰、可汇总,随着现场审计的开展,可以再加以完善。
(二)收集整理项目资料
分项目建立文件夹,按照管理流程分类整理项目资料。信息系统项目管理流程一般包括立项、采购、签订合同、过程管控、验收付款及档案的整理归档等。其中建设项目的过程管控包括设计、开发、实施、上线、验收等环节,运维项目的过程管控包括工单管理、系统维护、数据管理等环节。
(三)综合运用现场查阅、对比、访谈等方式开展审计工作
对照相关规定,通过查阅授权审批相关资料,检查项目管理过程中申请、审核和审批等不相容岗位是否分离;通过查阅项目过程文档,检查立项、采购、合同、实施等环节项目内容是否前后一致,检查项目档案是否齐全。通过对比同一信息系统连续年份的项目开展情况,检查项目内容是否重叠、是否存在重复建设或运维情况。通过对信息职能管理部门人员进行访谈,了解其工作流程、管理重点等,通过对项目建设或运维人员进行访谈,了解项目实施进度和项目人员管理等情况,通过对系统用户进行访谈,了解系统建设或运维人员服务规范性和技能水平。
(四)撰写审计报告
审计报告分为三部分,第一部分介绍信息系统项目开展的基本情况;第二部分列示审计发现问题,可以按照信息系统项目管理流程的先后顺序或者问题的严重程度对审计发现问题进行列示;第三部分是审计建议,应针对问题和重要风险认真研究提出审计建议,审计建议应具有针对性、可操作性和建设性。
二、运用审计方法,查找问题和风险
(一)建设类项目
审计方法:查阅立项资料,关注需求是否明确、预期功能是否合理,是否与单位经营管理目标一致;查阅立项评审意见,关注是否开展了可行性研究评审,评审人员和评审程序是否规范。
常见问题和风险:需求不明确、评审不规范,导致项目预算编制不科学,系统建设不符合业务管理和内控要求,存在项目建设失控风险。
审计方法:查阅采购档案,关注采购方式、采购文件内容是否与需求及可行性评审结果一致、应答人资格审核和评审的客观公正性、是否存在围标或串标情况。
常见问题和风险:采购方式不恰当、采购文件内容与需求或可行性评审结果不一致、采购评审不规范、围标或串标,存在采购不合规、采购范围不满足需求、采购结果无效风险。
审计方法:查阅合同,关注合同服务期限和付款条件的合理性、是否有考核评价条款;将合同与可行性评审意见、采购文件进行对比,关注合同约定的服务内容是否符合需求及评审意见,是否按照采购结果签订合同;查阅服务过程文档,关注是否存在先实施后签订合同情况。
常见问题和风险:合同签订内容不完整、不规范,导致权利义务约定不明确,先实施后签合同,存在违约及合规风险。
审计方法:查阅立项资料,关注业务需求论证是否充分、业务需求审核是否严格;将设计方案与可研评审意见进行对比,关注设计方案技术路线是否符合要求;将设计开发方案与合同约定的项目内容、可研评审意见、项目进度安排等进行对比,关注应用架构、数据架构、功能模块等是否偏离需求。
常见问题和风险:业务需求论证不充分、需求审核不严,设计方案技术路线不符合公司要求;设计开发工作偏离业务需求,存在设计开发不符合业务管理需要、性能或安全测试不通过、进度滞后风险。
审计方法:查阅安全、性能测试报告、试运行报告,关注是否在上线前开展相关测试、试运行时间是否符合要求;检查物理环境控制和数据备份及恢复管理情况,关注是否针对数据安全及防止系统被非法侵入设置控制措施
。
常见问题和风险:未开展安全、性能测试,用户试运行测试不充分,数据安全控制不到位,存在系统性能和安全风险、功能不满足需求风险。
审计方法:查阅验收报告和验收意见,关注项目进度是否符合计划、是否有充分的文档支撑验收意见。
常见问题和风险:项目延期,验收审核不严,存在系统运行不畅或验收不通过、系统延期上线风险。
审计方法:查阅结算资料,关注付款进度是否符合合同约定、成本的归集和划分依据是否充分、财务核算是否规范,是否与预算相符;查阅竣工决算报告及审计报告,关注项目投资是否真实、合法。
常见问题和风险:未按合同约定进度付款,成本归集和划分不科学,财务核算不规范,项目投资弄虚作假,存在会计信息风险和合规风险。
审计方法:查阅能够证明软件合法性的证书及相关文件档案,对信息职能管理部门人员进行访谈,关注软件资产的权属登记或变更情况、相关文件管理情况;检查交付资产是否真实、完整,资产交付手续是否完备,资产验收、交接是否真实、合规。
常见问题和风险:软件资产权属登记或变更资料缺失,虚列固定资产,资产交接手续不全,存在资产权属风险。
审计方法:查阅项目档案,对信息职能管理部门人员进行访谈,关注档案归档的及时性、完整性。
常见问题和风险:项目档案不完整、管理不善,存在遗失和检查风险。
(二)运维类项目
审计方法:查阅需求提报及评审意见,关注需求是否明确、可行;对信息职能管理部门人员进行访谈,了解需求提报和审核程序,关注需求评审及立项审批情况。
常见问题和风险:需求不明确、评审不规范,存在重复运维、运维服务无法满足要求风险。
审计方法:查阅采购档案,关注采购方式、评审过程是否依法合规。
常见问题和风险:采购方式不合规,采购评审不规范,应答人资格审查不严,供应商围标或串标,存在采购结果不符合要求及合规风险。
审计方法:对项目运维人员进行访谈,查阅运维服务合同,并与服务过程资料对比,关注项目实施时间,关注合同是否约定了考核评价指标、约定的服务内容是清晰明确。
常见问题和风险:签合同前先实施,实际运维服务内容与合同约定不符,存在合规风险、系统运行风险和损失风险。
审计方法:查阅工单,对相关系统用户进行访谈,关注故障抢修情况及服务水平;检查系统参数设置变更或数据修改情况,关注相关变更的授权审批执行情况。
常见问题和风险:故障抢修不及时、现场人员技能低、系统变更授权审批不到位,存在服务支撑能力不足及数据安全风险。
审计方法:查阅供应商服务质量考核评价资料,关注评价标准及打分情况;查阅验收报告和验收意见,关注验收内容的完整性、验收程序的规范性。
常见问题和风险:供应商退出机制不健全、验收内容不完整、验收不严,存在运维服务质量差、供应商未退出风险。
三、归纳总结,提高报告质量
在报告第一部分,以可视化形式展示被审计期间信息系统项目开展情况,对系统名称、金额、供应商等进行统计、归纳,运用横向和纵向对比分析法、统计分析法等多维度反映信息系统项目开展情况。报告第二部分要清晰描述审计发现的问题以及违反的法律法规或规章制度,其中具有代表性、倾向性的重大问题和风险可以单独形成专题报告。对问题的表述要在不曲解原意的前提下总结提炼并揭示问题本质及风险。报告第三部分要提出审计建议,在发现问题的基础上,通过对问题产生的原因进行深入分析,揭示问题背后的机制性和制度性漏洞,从顶层设计、制度优化完善、提高制度执行力等角度提出管理建议,发挥审计促进治理提升功能。
作者简介:尹雪(出生于1989年3月),女,汉族,籍贯山东济宁,学历硕士研究生,职称中级会计师,研究方向是内部审计实务。
客服QQ:30444492琼网文【2021】1550-113号
增值电信业务经营许可证:琼B2-20210322
出版物经营许可证:新出发龙华出字第(2021)009号
广播电视节目制作经营许可证:(琼)字第00779号
版权所有 ©2002-2024 期刊网(www.qikanchina.com) 琼ICP备2021005105号
