信息系统审计的发展过程和完善建议
随着我国经济社会发展进入信息化时代,信息技术在财务会计、管理领域的应用程度不断提高,信息系统审计逐渐受到社会各界的重视,信息系统审计逐渐成为审计工作中一个崭新而重要的领域。但是,我国在审计信息化建设中还存在一些问题,审计部门和单位对信息系统审计的有关情况了解不多,信息系统审计的积极作用尚未有效发挥。但是,只要树立起正确的审计观念,加快法律法规体系的制定,不断发展和壮大信息系统审计队伍,就能不断提高我国信息系统审计和审计信息化建设水平,促进市场经济更好更快发展。
一、信息系统审计的概念 目前,国际上对信息系统审计(Information system auditing)还没有公认通用的定义。1985年,日本通产省认为:信息系统审计是由独立于审计对象的信息系统审计师,站在客观的立场上,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用和故障排除,从而使系统更加健全。国际信息系统审计领域的一些权威专家将信息系统审计定义为:“信息系统审计是收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。 二、信息系统审计的发展过程 信息系统审计是现代信息技术和审计技术发展和相互结合的客观产物。 (一)信息系统审计是信息技术发展的产物 在信息系统审计的萌芽阶段(80年代初),信息系统审计主要称为计算机审计。在这一阶段,计算机的应用比较单一,计算机审计的重点是运用计算机对被审计单位数据进行收集、分析、计算等,严格意义上还称不上信息系统审计。在这一阶段,计算机审计的主要业务内容仅仅是针对被审计对象的金额、账户和报表等进行检查,其作用仅限于对客户的电子化会计数据进行处理和分析,属于审计程序中的实质性测试环节。因此,在当时的情况下,计算机审计只是传统财务审计业务的一种辅助工具。 随着信息化的不断深入发展,特别是踏入21世纪,计算机技术应用范围也在不断扩展,计算机审计所关注的内容也从单纯对电子数据的处理延伸到对计算机系统可靠性和安全性的评价上来,因此,计算机审计的业务内容已经扩展到了http://wWW.LWLm.cOM符合性测试领域。这时,计算机审计的业务范围已经覆盖了审计业务的全过程,严格意义上的信息系统审计已初步产生。 (二)信息系统审计是审计技术发展的结果 随着现代审计理论与技术的发展,审计经历了详细审计、系统审计和风险审计三个阶段。从现代审计理论来看,现代审计十分强调对系统控制的依赖。在会计信息手工处理的环境下,对系统的控制是由人工完成的,对系统控制的了解和测试也只能由审计人员凭借财务审计知识来判断。在信息化的飞速发展过程中,审计工作需要处理的数据量不断增加,面对庞大的数据,进行人工审计是不可想象的。随着计算机信息系统的介入,对系统的控制更多地由计算机来完成,使得审计人员对信息系统的控制更加依赖,信息系统审计因此可以作为一项独立的审计任务。 三、信息系统审计的目标 信息系统审计的目标,是通过对信息系统进行合规性、可靠性、安全性和有效性的审计,评价被审单位信息系统中输入、处理、存储、输出的电子数据的真实、完整性,查找和发现被审计单位在信息系统管理上存在的问题,并提出改进信息系统管理的相关建议。 四、信息系统审计的主要内容 信息系统审计的内容是由信息系统审计的对象决定的,信息系统的审计对象是被审计单位的计算机信息系统及其相关内部控制措施,因此,信息系统审计的主要内容包括以下方面: (一)信息系统组成部分审计 信息系统由计算机硬件、系统软件、应用软件等部分所组成。由于计算机硬件和系统软件的可靠程度较高,在审计过程中发生变动的可能性较小。因此,信息系统审计在实践上主要以应用软件(或应用程序)审计为主要内容。应用软件(或应用程序)是信息系统的核心,其对经济业务的处理是否正确,直接关系到信息系统的可靠性。 (二)信息系统一般控制审计 信息系统的一般控制也称信息系统管理控制,是从管理的角度来对信息系统进行的内部控制。信息系统一般控制的对象包括:组织管理、数据资源管理、信息系统环境安全管理、信息系统运行管理。信息系统的一般控制适用于整个信息系统,为信息系统提供良好的工作条件和必要的安全保证。对信息系统一般控制的审计,是信息系统审计的重要内容。 (三)信息系统内部控制审计 根据内部控制在信息系统中的作用和范围不同把信息系统内部控制分为一般控制和应用控制。一般控制是适用于所有应用系统为应用系统提供环境上的保证,其目的在于保证所有的信息处理的准确性、完整性和可靠性。应用控制与具体的应用系统有关,其目的在于确保数据处理完整正确。 (四)信息系统应用控制审计 信息系统应用控制是从具体技术层面对信息系统的数据传输、数据处理和存储管理进行控制,以保证信息系统安全、可靠、高效运行。信息系统应用控制审计包括:对输入控制的审计、对处理控制的审计、对通信控制的审计、对数据库控制的审计、对输出控制的审计。 (五)信息系统生命周期的审计 信息系统的生命周期包括信息系统的规划、开发、设计、编码、测试等全过程。由于信息系统生命收起直接关系着信息系统运行的质量,因此,信息系统生命周期的审计也构成了信息系统审计的一项重要内容。信息系统生命周期的审计,主要是对信息系统的生命周期过程情况及其涉及的文档进行审计。 (六)信息系统安全控制审计 信息系统安全控制审计是对信息系统的数据安全、软硬件安全和运行安全控制等实施的审计检查。主要包括:物理安全控制审计、系统网络架构控制审计、逻辑安全控制审计、灾难恢复与业务持续审计。 五、信息系统审计在实施中的主要问题 由于信息系统审计的内容比传统审计更加宽泛,无论是从审计范围、审计规模,还是在审计方法、应用环境等诸多方面都存在着与传统审计所不同的多样性和复杂性,因此,信息系统审计的难度比传统审计更加大。从现实看,我国在实施信息系统审计的过程存在以下一些问题需要引起我们注意。 (一)开展信息系统审计的法律法规尚不完善 审计是一项规范、严谨的经济工作,强调依法审计。因此,开展信息系统审计必须要求有法可依,有章可循。但是,目前我国开展信息系统审计可参考的法律法规仅有《中华人民共和国审计法》、《审计机关计算机辅助审计方法》等。随着信息系统审计技术的飞速发展,这些法律法规中的一部分已经跟不上现代审计的要求。同时,适用于信息系统审计的法律法规尚未形成体系,难以对信息系统审计开展过程中的方方面面进行系统性规范。 (二)开展信息系统审计观念较为落后 目前,社会各界对审计存在一定的认识误区,将审计的目标简单化地限定于查错纠弊。如果把审计仅仅理解为“查账”,会导致对信息系统审计的理解也只能停留在计算机辅助审计的层次上。这种落后的认识不能将信息系统审计与当前审计中心工作统一起来,将信息系统审计当成可有可无的东西,势必会制约信息系统审计的发展。 (三)缺乏信息系统审计人才 信息系统审计是一项非常专业的系统性工作,要求审计人员不仅精通审计专业知识和信息系统审计标准等,更需要熟练掌握计算机软硬件知识。从国外情况看,开展信息系统审计工作的主体人员是注册信息系统审计师(CISA),信息系统审计师需要同时掌握会计、审计、计算机软硬件和网络技术等综合知识,目前,全世界获得CISA资格的只有2万多人,我国更是少之又少,严重影响了信息系统审计队伍在我国的发展壮大。另外,我国对信息系统审计人员应具备的资格也没有统一的规定,对信息系统审计的规范开展造成了一定的障碍。 六、完善我国信息系统审计的建议 (一)加快信息系统审计法律法规的建立完善 健全、完善的法律和制度对信息系统审计的发展将发挥至关重要的作用。政府相关只能部门应当针对目前信息系统审计发展现状和存在的问题,要尽快制定具有规范信息系统审计的法律法规,尤其是注重突出相关法律法规体系的层次性和系统性,建立健全制定和完善信息系统审计法律法规的长效机制,为信息系统审计的发展奠定坚实的法律法规和制度保障。 (二)树立正确的信息系统审计观念 信息系统审计是运用现代的审计理念,以企业信息系统为主要审计对象,对企业信息系统的安全性、完整性和可靠性进行的审计工作。其审计目标并不局限于“查账”和查错纠弊,而是通过“查账”发现企业信息系统管理存在的问题,对企业信息系统的开发、运行到维护的整个生命周期过程进行全面评价,确定企业的信息系统是否能够有效可靠地达到企业的战略目标。因此,只有正确树立信息系统审计观念,才能从根本上保证信息系统审计工作的正确展开。 (三)建立完备的信息系统审计人才队伍 适应信息系统审计事业发展的管理运作和人才培养机制,需要建立一支完备的信息系统审计专业人才队伍。对我国而言,各级注册会计师协会应加大对信息系统审计工作的宣传,提升人们对信息系统审计的关注度,积极引导和培育信息系统审计人才的发展壮大,为大力发展信息系统审计创造良好的条件。同时,政府有关职能部门还应注重建立和完善适用于信息系统审计人才培养的标准体系,规范准入门槛,在制度上营造越来越信息系统审计人才发展的良好环境。