企业信息系统审计中存在的问题及对策
郑子恒(审计署长沙办)
信息系统和计算机网络的发展正改变着经济、社会和文化的结构和运行方式。随着电子政务的迅速发展和计算机技术在企业管理等方面的广泛普及,信息系统的安全性、可靠性直接影响着审计质量。国家审计的目标是监督财政收支或者财务收支的真实性、合法性和效益性,当企业财务收支活动依赖于信息系统运行环境时,企业信息系统的安全性、可靠性和经济性就成了企业信息系统审计的主要目标。
一、企业信息系统审计的发展
我国的企业信息系统审计起步较晚,不仅技术水平低,而且制度、规范和标准建设方面也相对落后,直到2001年国务院办公厅颁布88号文《关于利用计算机信息系统开展审计工作有关问题的通知》,才明确审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统。2006年2月新修订的《中华人民共和国审计法》第三十二条增加了“审计机关进行审计时,有权检查被审计单位的会计凭证、会计账簿、财务会计报告和运用电子计算机管理财政收支、财务收支电子数据的系统”的规定,使信息系统审计的开展真正有法可依,至此我国的信息系统审计工作开始步入发展的快车道。
企业信息系统审计作为信息系统审计的一部分,随着国有企业信息化工作的不断加强,最近几年也取得较大的进步。从2010年开始,企业信息化建设审计作为企业内部管理审计的一部分列入审计署对中央企业开展审计的工作方案,并选择部分企业进行信息系统审计试点,检查企业信息系统的建设和实际运行情况,对企业信息系统的经济性、可靠性和安全性进行重点审计并予以评价。2012年2月审计署印发了计算机审计实务公告第34号《信息系统审计指南》,2012年11月审计署组织编写了《信息系统审计实务》,指南和实务的出台将使审计机关开展信息系统审计有据可循,更能提高审计效率、保证审计质量。
二、企业信息系统审计的主要内容
企业信息系统审计按组织方式可以分为结合式企业信息系统审计和独立式企业信息系统审计,结合式审计是指在传统的企业审计项目中运用信息系统审计的手段进行的信息系统审计,独立式审计是指以信息系统审计的形式单独立项、实施和报告的企业信息系统审计。目前国家审计在实践中大部分采用与企业财务收支审计相结合的方式开展信息系统审计,较少开展独立式企业信息系统审计。
《信息系统审计指南》在研究国内外关于信息系统审计的理论和实践的基础上,提出信息系统审计的内容应该包括应用控制审计、一般控制审计和项目管理审计三部分内容,其中应用控制审计包括信息系统业务流程控制审计、数据输入和处理及输出的控制审计、信息共享和业务协同审计3项具体内容;一般控制审计包括信息系统总体控制审计、信息安全技术控制审计和信息安全管理控制审计3项具体内容;项目管理审计包括信息系统建设经济性审计、信息系统建设管理审计和信息系统绩效审计3项具体内容。上述信息系统审计内容非常全面,应该作为开展独立式企业信息系统审计时涵盖的审计内容。
当对某企业信息系统开展结合式审计时,则应根据该企业所在行业的特点、企业的特点及社会的热点来确定信息系统审计内容的重点,主要内容应包括:(1)检查企业信息系统安全管理控制和安全技术控制情况,重点关注是否存在安全管理制度不健全、安全措施不到位等问题,揭示一些核心领域和关键控制点的财务、业务系统存在的安全隐患和潜在风险;(2)检查企业信息系统对提升经济活动的效率、效果和效能的贡献,以及关键节点控制、数据接口控制的有效性;(3)检查企业信息系统的规划、建设、应用和运维的经济性;(4)检查企业信息化建设的立项申报、建设管理、资金管理、监督管理、验收管理和运行管理等情况。
三、企业信息系统审计中存在的主要问题
一是较难评价企业信息系统审计中发现的问题。由于我国从上世纪八十年代才开始信息化建设,企业信息系统审计的发展也较晚,相关信息系统的法律法规和标准还不够完善,导致较难评价企业信息系统审计中发现的相关问题,信息系统审计的权威性大打折扣,很难体现信息系统审计的成果。
二是较难总结普遍适用的企业信息系统审计方法。企业信息系统审计面对的审计对象具有多样性、复杂性等特点,使企业信息系统审计难以总结出一种固定的审计模式。如国有企业涉及几十个行业,每个行业的业务流程都不一样,即使是同一家企业也可能同时使用上百个信息系统,因此在企业信息系统审计中难以总结出一套普遍适用的审计方法进行推广。
三是较难深入开展企业信息系统审计。目前的审计中审计人员和审计对象均不固定,具有双重流动性,使得企业信息系统审计缺乏连贯性,较难对某一家企业的信息系统深入开展企业信息系统审计。另外企业信息系统审计基本上结合企业领导人经济责任审计开展的,同一家企业往往要等几年才会审计一次,同时上次参与审计的审计机关和人员都不一定会再次参加到本次的审计中,审计人员往往面对一个需要重新进行了解的企业信息环境。
四是较难保证企业信息系统审计的时间要求。《信息系统审计实务》中提出对于结合式企业信息系统审计,应在审计实施阶段的初期提交信息系统审计报告,这样才能确定审计实施阶段中是否能够信任该信息系统环境下的数据。但是由于审计任务确定时间较晚、被审计单位的不配合等原因,信息系统审计人员往往只能在下发审计通知书后和审计业务人员同时进点开展审计,并且在审计初期阶段往往有大量的数据采集分析任务,难以提前开展信息系统审计。
五是较难保证企业信息系统审计的人员要求。由于信息系统审计主要是关注信息系统的安全性、可靠性和经济性,很难发现金额巨大、性质严重的问题,导致领导和审计人员均不太重视对信息系统的审计,也不会配备太多的审计力量,往往就是1-2名审计人员负责,使企业信息系统审计很难深入开展下去。
四、进一步开展企业信息系统审计的建议
(一)完善信息系统的法律法规和标准。为了进一步推动信息系统审计的发展,审计机关应积极推动建立和完善相关信息系统的法律法规和标准,尽快建立一套科学、完整的信息系统审计评价标准体系。一是加强信息安全立法,目前我国信息安全立法的法阶不高,真正的法律少,部门规章多,涉及信息安全的法律只有两部,即《中华人民共和国电子签名法》和《全国人民代表大会常务委员会关于维护互联网安全的决定》,缺乏专门的信息安全基本法;二是完善电子证据法规,在企业信息系统审计过程中,需要采集大量的电子审计证据,加快电子证据方面的立法是企业信息系统审计工作的迫切需要,建议在电子证据法规建设中增设电子证据这一证据类别,明确界定电子证据的概念和法律效力。
(二)积极开发企业信息系统审计的成果。在目前的业绩考核导向下,只有积极开发企业信息系统审计的成果,才能让信息系统审计引起大家的重视,才能给信息系统审计配备更加充足的审计人员,使企业信息系统审计步入良性发展的渠道。开发企业信息系统审计的成果可以从以下几个方面入手:一是加强企业信息系统审计与数据分析的联系,信息系统审计是为数据分析服务的,在对信息系统进行审计时要重点关注系统的相关模块是否会对数据产生影响,另一方面数据分析中发现的问题也可以倒推信息系统是否存在缺陷;二是企业信息系统审计应更多关注容易出审计成果的领域以及资金的走向,如关注信息技术服务外包业务中是否存在应招标未招标、以化整为零规避公开招标,关注信息系统开发运维预算透支、成本过高等与资金有关的问题;三是在对几家企业进行信息系统审计时,可以通过统一安排同时重点关注企业信息系统的某些共性问题,最后汇总审计发现的问题形成有分量的审计信息。
(三)加强计算机专业审计人员和业务审计人员的融合。目前企业的信息系统审计基本上由计算机专业审计人员负责,有时甚至数据的采集分析任务也由计算机专业审计人员负责,业务审计人员则根据经验判断或数据分析的疑点进行审计。应大力加强计算机审计人员和业务审计人员在数据分析及信息系统审计中的融合程度,只有吸取双方的知识背景才能够充分发挥计算机审计的优势。
(四)对企业信息系统实行跟踪审计。当前的中央企业审计组织方式很难让审计人员连续几年对某个企业的信息系统进行审计,导致审计人员对每个企业的信息系统都只是浅尝辄止,没有机会和时间做深入的了解。建议对部分信息化水平高、有代表性的企业的信息系统进行跟踪审计,每年集中部分计算机审计人员和业务审计人员用一定的时间重点分析企业的信息系统及数据,相信经过几年的积累后,既建成了复合型的审计人才队伍,又能让审计人员对企业的信息系统有深入的了解,对将来的企业经济责任审计形成更有力的支撑。(郑子恒)
一、企业信息系统审计的发展
我国的企业信息系统审计起步较晚,不仅技术水平低,而且制度、规范和标准建设方面也相对落后,直到2001年国务院办公厅颁布88号文《关于利用计算机信息系统开展审计工作有关问题的通知》,才明确审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统。2006年2月新修订的《中华人民共和国审计法》第三十二条增加了“审计机关进行审计时,有权检查被审计单位的会计凭证、会计账簿、财务会计报告和运用电子计算机管理财政收支、财务收支电子数据的系统”的规定,使信息系统审计的开展真正有法可依,至此我国的信息系统审计工作开始步入发展的快车道。
企业信息系统审计作为信息系统审计的一部分,随着国有企业信息化工作的不断加强,最近几年也取得较大的进步。从2010年开始,企业信息化建设审计作为企业内部管理审计的一部分列入审计署对中央企业开展审计的工作方案,并选择部分企业进行信息系统审计试点,检查企业信息系统的建设和实际运行情况,对企业信息系统的经济性、可靠性和安全性进行重点审计并予以评价。2012年2月审计署印发了计算机审计实务公告第34号《信息系统审计指南》,2012年11月审计署组织编写了《信息系统审计实务》,指南和实务的出台将使审计机关开展信息系统审计有据可循,更能提高审计效率、保证审计质量。
二、企业信息系统审计的主要内容
企业信息系统审计按组织方式可以分为结合式企业信息系统审计和独立式企业信息系统审计,结合式审计是指在传统的企业审计项目中运用信息系统审计的手段进行的信息系统审计,独立式审计是指以信息系统审计的形式单独立项、实施和报告的企业信息系统审计。目前国家审计在实践中大部分采用与企业财务收支审计相结合的方式开展信息系统审计,较少开展独立式企业信息系统审计。
《信息系统审计指南》在研究国内外关于信息系统审计的理论和实践的基础上,提出信息系统审计的内容应该包括应用控制审计、一般控制审计和项目管理审计三部分内容,其中应用控制审计包括信息系统业务流程控制审计、数据输入和处理及输出的控制审计、信息共享和业务协同审计3项具体内容;一般控制审计包括信息系统总体控制审计、信息安全技术控制审计和信息安全管理控制审计3项具体内容;项目管理审计包括信息系统建设经济性审计、信息系统建设管理审计和信息系统绩效审计3项具体内容。上述信息系统审计内容非常全面,应该作为开展独立式企业信息系统审计时涵盖的审计内容。
当对某企业信息系统开展结合式审计时,则应根据该企业所在行业的特点、企业的特点及社会的热点来确定信息系统审计内容的重点,主要内容应包括:(1)检查企业信息系统安全管理控制和安全技术控制情况,重点关注是否存在安全管理制度不健全、安全措施不到位等问题,揭示一些核心领域和关键控制点的财务、业务系统存在的安全隐患和潜在风险;(2)检查企业信息系统对提升经济活动的效率、效果和效能的贡献,以及关键节点控制、数据接口控制的有效性;(3)检查企业信息系统的规划、建设、应用和运维的经济性;(4)检查企业信息化建设的立项申报、建设管理、资金管理、监督管理、验收管理和运行管理等情况。
三、企业信息系统审计中存在的主要问题
一是较难评价企业信息系统审计中发现的问题。由于我国从上世纪八十年代才开始信息化建设,企业信息系统审计的发展也较晚,相关信息系统的法律法规和标准还不够完善,导致较难评价企业信息系统审计中发现的相关问题,信息系统审计的权威性大打折扣,很难体现信息系统审计的成果。
二是较难总结普遍适用的企业信息系统审计方法。企业信息系统审计面对的审计对象具有多样性、复杂性等特点,使企业信息系统审计难以总结出一种固定的审计模式。如国有企业涉及几十个行业,每个行业的业务流程都不一样,即使是同一家企业也可能同时使用上百个信息系统,因此在企业信息系统审计中难以总结出一套普遍适用的审计方法进行推广。
三是较难深入开展企业信息系统审计。目前的审计中审计人员和审计对象均不固定,具有双重流动性,使得企业信息系统审计缺乏连贯性,较难对某一家企业的信息系统深入开展企业信息系统审计。另外企业信息系统审计基本上结合企业领导人经济责任审计开展的,同一家企业往往要等几年才会审计一次,同时上次参与审计的审计机关和人员都不一定会再次参加到本次的审计中,审计人员往往面对一个需要重新进行了解的企业信息环境。
四是较难保证企业信息系统审计的时间要求。《信息系统审计实务》中提出对于结合式企业信息系统审计,应在审计实施阶段的初期提交信息系统审计报告,这样才能确定审计实施阶段中是否能够信任该信息系统环境下的数据。但是由于审计任务确定时间较晚、被审计单位的不配合等原因,信息系统审计人员往往只能在下发审计通知书后和审计业务人员同时进点开展审计,并且在审计初期阶段往往有大量的数据采集分析任务,难以提前开展信息系统审计。
五是较难保证企业信息系统审计的人员要求。由于信息系统审计主要是关注信息系统的安全性、可靠性和经济性,很难发现金额巨大、性质严重的问题,导致领导和审计人员均不太重视对信息系统的审计,也不会配备太多的审计力量,往往就是1-2名审计人员负责,使企业信息系统审计很难深入开展下去。
四、进一步开展企业信息系统审计的建议
(一)完善信息系统的法律法规和标准。为了进一步推动信息系统审计的发展,审计机关应积极推动建立和完善相关信息系统的法律法规和标准,尽快建立一套科学、完整的信息系统审计评价标准体系。一是加强信息安全立法,目前我国信息安全立法的法阶不高,真正的法律少,部门规章多,涉及信息安全的法律只有两部,即《中华人民共和国电子签名法》和《全国人民代表大会常务委员会关于维护互联网安全的决定》,缺乏专门的信息安全基本法;二是完善电子证据法规,在企业信息系统审计过程中,需要采集大量的电子审计证据,加快电子证据方面的立法是企业信息系统审计工作的迫切需要,建议在电子证据法规建设中增设电子证据这一证据类别,明确界定电子证据的概念和法律效力。
(二)积极开发企业信息系统审计的成果。在目前的业绩考核导向下,只有积极开发企业信息系统审计的成果,才能让信息系统审计引起大家的重视,才能给信息系统审计配备更加充足的审计人员,使企业信息系统审计步入良性发展的渠道。开发企业信息系统审计的成果可以从以下几个方面入手:一是加强企业信息系统审计与数据分析的联系,信息系统审计是为数据分析服务的,在对信息系统进行审计时要重点关注系统的相关模块是否会对数据产生影响,另一方面数据分析中发现的问题也可以倒推信息系统是否存在缺陷;二是企业信息系统审计应更多关注容易出审计成果的领域以及资金的走向,如关注信息技术服务外包业务中是否存在应招标未招标、以化整为零规避公开招标,关注信息系统开发运维预算透支、成本过高等与资金有关的问题;三是在对几家企业进行信息系统审计时,可以通过统一安排同时重点关注企业信息系统的某些共性问题,最后汇总审计发现的问题形成有分量的审计信息。
(三)加强计算机专业审计人员和业务审计人员的融合。目前企业的信息系统审计基本上由计算机专业审计人员负责,有时甚至数据的采集分析任务也由计算机专业审计人员负责,业务审计人员则根据经验判断或数据分析的疑点进行审计。应大力加强计算机审计人员和业务审计人员在数据分析及信息系统审计中的融合程度,只有吸取双方的知识背景才能够充分发挥计算机审计的优势。
(四)对企业信息系统实行跟踪审计。当前的中央企业审计组织方式很难让审计人员连续几年对某个企业的信息系统进行审计,导致审计人员对每个企业的信息系统都只是浅尝辄止,没有机会和时间做深入的了解。建议对部分信息化水平高、有代表性的企业的信息系统进行跟踪审计,每年集中部分计算机审计人员和业务审计人员用一定的时间重点分析企业的信息系统及数据,相信经过几年的积累后,既建成了复合型的审计人才队伍,又能让审计人员对企业的信息系统有深入的了解,对将来的企业经济责任审计形成更有力的支撑。(郑子恒)
| 【关闭】 【打印】 |
