一、审计信息系统
信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。
审计信息系统最早称为计算机审计,计算机审计业务主要关注对被审计单位 电子 数据的取得、 分析 、计算等数据处理业务,还称不上信息系统审计。随着计算机技术应用范围的不断扩展,计算机审计所关注的 内容 也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。计算机审计的业务范围已经覆盖了一项审计业务的全过程,信息系统审计的概念随之出现。
在建立信息系统审计制度,开展信息系审计研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEM AUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)即ISACA,总部设在美国芝加哥。 目前 该组织在世界上100多个国家设有160多个分会,现有会员两万多人,它是从事信息系统审计的专业人员唯一的国际性组织,CISA(Certified Information System Auditor)也是这一领域的唯一职业资格。
在很多大型公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外 会计 、审计界的一个共识。信息系统审计师的地位也在不断提高。在国外的一些大型会计公司中已经出现了没有CPA资格的合伙人,他们持有的专业资格就是CISA.据专家介绍,国际信息系统审计师(简称IT审计师)目前已经成为全球范围最抢手的高级人才。
在初期,信息系统审计是作为传统审计业务的一部分,在审计师对由计算机系统处理的数据的质量进行判断时提供技术支持。有信息系统审计技能的审计师被看作是会计师事务所的技术资源,在必要时为同事提供技术支持。对于信息系统审计,需求领域很广。如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等等。
二、构建信息系统审计
信息系统审计的建立是一项复杂的系统工程,所以应制订长远的开发规划,由简到繁分阶段逐步实现。它的功能应该是:实现审计信息的收集、处理和共享;实现审计日常管理的自动化;通过计算机建立程序化的标准审计 方法 和统一的审计标准,从而提高审计工作的效率和质量。实现审计管理规范化;保证审计作业规范化;促进审计文档规范化;审计质量监督规范化;提高审计结论的层次。基于上述的系统目标,信息系统审计当前应由审计证据管理子系统、信息系统安全标准子系统、信息系统安全评估子系统、项目管理审计子系统和信息系统审计 法律 标准子系统等五个子系统组成。
(一)审计证据管理子系统
1.审计证据收集
(1)传统方法收集审计证据
(2)通过数据接口直接向计算机会计信息系统获取审计证据
(3)在线系统审计证据收集
(4)计算机 网络 系统审计证据收集
2.审计证据评价
(1)真实性。查明审计证据的来源、形成的时间、地点、制作过程及设备情况,有无伪造和删改的可能性。一般说来,由第三方(如中间商或网络服务商)来储存记录或转存的证据具有较高的证据效力;被审计事项的事实和行为发生时留下的证据的效力较以后专为诉讼的目的而形成的证据更为真实;对于自相矛盾、内容前后不一致或不符合情理的审计证据,应小心对待,不可轻信,对不能排除合理怀疑的审计证据不得采纳。
(2)合法性。包括收集手段是否合法和形式条件是否合理两部分。有些审计证据其本身也有证据力,但在收集过程中,违背了规定的手续和程序,因而也就不具有法律效力,也不能用来证实问题,为此,鉴定分析审计证据时,要了解证据是以什么方法、在什么情况下取得的,是否违背了法定的程序和要求,是否符合法律规定的形式要件,这样有利于判明审计证据的真伪程度和效力。
(3)相关性。查明审计证据反映的事实与被审计事项有无关系,只有与被审计事项的事实或逻辑上是相关的事实才能被认为是证据。
(4)结合其他证据进行鉴定分析。将审计过程中收集的全部证据综合起来加以分析、判断。如审查计算机审计证据中有无数据、图表等反映的事实,同有关书证、物证、证人证言进行分析,明确是否互相一致,是否有矛盾。如果与其他证据相一致,共同指向同一事实,就可以认定其效力,可以作为审计证据。反之则不能作为审计证据。
(二)信息系统安全标准子系统
构建通用的信息系统安全标准,作为信息系统审计工作中的 参考 标准。信息系统安全标准是由高级管理人员制定的最小标准、规则构成的集合,所以必须加以实现,以确保信息系统安全政策的实现。信息系统安全标准需要指明每个信息系统控制的详细要求。它为管理人员提供一个基准或底线,可以照此对单个信息系统控制的适当性进行评估。信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。
(三)信息系统安全评估子系统
信息系统审计集中反映了 企业 的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性; 信息系统审计资源维主要包括以信息、 应用 系统、设施及人在内的信息相关的资源,这是信息系统审计治理过程的主要对象;信息系统审计过程则是在信息系统审计准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、获取与实施、交付与支持、监督与评估等方面确定了信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针以对信息系统审计处理过程进行评估。
(四)项目管理审计子系统
项目管理系统是对审计过程进行全面指导、帮助和控制的软件,它通过对标准审计 方法 的各个工作流程的合理细分,使每个子流程都对应相应的 计算 机处理模块。从而使一个完整的审计项目可通过计算机辅助而完成,并产生各个工作环节应该生成的底稿和报告。有利于提高工作效率,为进行审计质量考核提供了极大的方便。
(五)信息系统审计 法律 标准子系统
此系统主要是实现信息资料的收集和共享。 内容 定期进行更新,包括:审计工作所需要的各类法律、法规、规章制度等。一般来讲,按不同层次设立,信息的共享通过系统内互联的企业网实现,还可根据信息的保密要求,设定不同的信息访问权限。
三、规范信息系统审计范围
其业务范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计以及网誉审计、 电子 签名审计业务等电子商务审计。
1.信息系统开发计划、管理及组织架构的战略、政策、标准及相应实践过程的评估;
2.技术基础设施及运行实践的效能和效率的评估;
3.信息资源在逻辑访问、运行环境以及IT基础设施各方面的安全性的评估;
4.系统灾难恢复及保证业务连续性的能力的评估;
5.业务应用系统开发、实施与维护的方法和过程的评估;
6.业务流程的风险管理水平的评估;
7.财务系统的评估。
第一,鉴证作用。信息系统审计的鉴证价值是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。
第二促进作用。促进价值体现在两个方面,一是指信息系统审计可以促进被审计单位更有效地融入到 社会 经济 生活中;二是指审计可以促进被审计单位改进内部控制,加强管理,提高信息系统实现组织目标的效率、效果。
第三咨询作用。信息技术的 发展 为组织的管理变革提供了技术手段,组织扁平化、工作丰富化等管理变革都要信息技术来实现。信息化已是大势所趋。
四、创建行业标准与实务指南
如同开展业务审计要具有相关法律法规作为审计依据一样,开展信息系统审计同样需要审计依据。国内信息系统审计方面的工作近几年才刚刚开始,基本仍处于摸索阶段,而在国家审计中更是如此。 目前 ,由于国内关于信息系统审计方面的标准尚处于空白状态。
国际上关于信息系统审计方面可以 参考 的标准主要有信息及相关技术控制目标COBIT(Control Objectives for Information and related Technology)、ISO177
9
9、能力成熟度集成模型CMMI(Capability Maturity Model Integration)和IT基础架构库ITIL(Information Technology Infrastructure Library)等。
信息系统审计与控制协会ISACA(Information System Audit and Control Association)于1996年公布的目前国际上通用的信息系统审计的标准。它将IT 过程,IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。它是一个在国际上公认为最先进、最权威的安全与信息技术管理和控制的标准。2005年,ISO发布了新版的信息安全管理实施细则,即ISO/IEC17799-2005,对2000年版的标准进行了修订,更加注重标准的通用性和实用性。
日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平 考试 中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。近几年东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。但是我国信息系统审计才刚起步,审计技术、审计规范、制度等都有待 研究 。随着我国信息化水平的提高,对信息系统的有效控制与审计将逐渐成为研究热点。
五、开展信息系统审计的意义
1.信息系统审计是未来审计发展的必然
未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。
2.维护信息 时代 的市场经济秩序
市场经济是建立在信用基础上的,信息系统审计应当充当信息时代经济生活中公正的鉴证人起着维护市场经济稳定的作用。信息时代竞争的加剧,信息流的电子传播方式等,使市场对及时和相关信息的需求越来越多,现有财务报告模式的局限性性日渐突出。现有财务报告是以 历史 成本为计量基础的、周期性的向利益相关者报告。在新经济环境中,信息系统审计师应能够以在线、实时的信息为基础提供鉴证,通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。提供实时报告鉴证对保护公众利益和保护资本市场的有序发展是非常有意义的。
3.为信息化建设保驾护航
“以信息化带动工业化”,推进“电子政务”及“电子商务”,许多企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。信息系统审计师的出现,可以从项目计划开始介入信息系统建设的每个环节,以他们的专业素养,从项目的初始阶段一直到运营的全过程,给予项目投资者风险控制的评估与建议,提高信息系统的投资效益。
参考书目
1.江泽民同志在十六大的报告.
2.(美)Jack J.Champlain著 审计信息系统(第二版)张金城等译 清华大学出版社 2004年11月第一版.
3.计算机审计中数据处理新方法探讨陈 伟 刘思峰 邱广华 《审计与经济研究》2006年第1期
(37).
4.信息环境下 现代 审计技术的探索:实时在线审计 陈丹萍 《审计与经济研究》2005年第4期.
5.关于电子证据可采性与证明力的若干问题探讨 姚太明 审计研究 2005年第1期.
6. 会计 电算化条件下的计算机审计 秦 宇会计之友2005年第三期
(42)
