政府信息系统审计发展战略研究
钱芳(江苏省无锡市审计局)
摘要:随着信息时代的到来,政府审计越来越需要在信息系统审计方面发挥其更大的作用,但是信息系统审计知识能力、审计规范和审计人才的缺乏使得我国政府的信息系统审计仍处于探索的阶段。本文从信息系统审计的基本理论出发,通过对国内外政府信息系统审计现状的了解和比较,揭露出我国政府审计开展信息系统审计所面临的问题,试图对我国政府信息系统审计发展的战略提出一定的设想。
关键字:政府 信息系统审计 发展战略
信息系统审计诞生于20世纪60年代,经过40余年的发展,国际信息系统审计已经形成了较为完备的理论体系,并在实践中发挥着积极的作用。我国的信息系统审计起步较晚,2001年国务院首次提出审计部门应利用计算机开展信息系统审计。自政府信息系统审计提出以来,各级审计机关在信息系统审计方面做了很多有益的探索,我国的政府信息系统审计取得了很大的成效,但是我们看到政府信息系统审计在审计准则规范、审计实践、审计接口、审计评价体系和审计人才培养方面还存在着很多问题,在一定程度上阻碍了我国信息系统审计的发展。本文试图对当前政府信息系统审计存在的问题进行深入的分析,并试图构建合理的政府信息系统审计发展战略,以期能够促进政府信息系统审计的发展,全面提高政府审计工作质量和效率。
一、 信息系统审计的理论基础
(一)信息系统审计及相关概念
在了解信息系统审计的概念之前,我们有必要介绍几个与信息系统审计相关的概念:
1.电子数据处理审计(EDP审计,Electronic Data Processing Audit)
电子数据处理审计是信息系统审计的初级阶段,它是在计算机技术应用于电子数据处理,特别是应用于管理和会计核算的电子数据处理时出现和发展起来的,它是指对计算机信息处理系统的开发及其软件、硬件和运行环境进行测试,并评价计算机信息系统数据处理是否准确、真实、安全、可靠、高效,满足企业经营管理的需要。EDP 审计可以看作是信息系统审计的雏形。
2.计算机审计(Computer Audit,CA)
计算机审计是与传统手工审计相对应的概念,主要是指运用计算机审计技术对与财政、财务收支有关的计算机应用系统实施的审计,具体来说包括两方面的内容:一是对包括会计电算化在内的信息系统的设计进行审计,以及对包括会计电算化在内的信息系统的数据处理过程和处理结果进行审计。二是审计人员利用计算机辅助审计技术,把计算机作为工具,将计算机及网络技术等各种手段引入审计工作,建立审计信息系统,帮助审计人员完成部分审计工作,实现审计工作的办公自动化。
3.计算机辅助审计(Computer Assisted Audit,CAA)
计算机辅助审计(CAA) 实际上是指计算机辅助审计工具与技术,它强调的是审计方法、技术和手段的计算机化。国际审计实务委员会认为“按照《国际审计准则 15——电子数据处理环境下的审计》的解释,在电子数据处理的环境下进行审计时,并不改变审计的总体目标和范围。但是,审计程序的运用,可能要求审计人员考虑利用计算机技术作为一项审计的工具。计算机在这方面的各种使用称之为计算机辅助审计技术。” 我国审计署则认为“计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计。本办法所称计算机应用系统,是指被审计单位与财政、财务收支有关的计算机应用系统。”
4.信息技术审计(IT审计,Information Technology Audit)
信息技术审计常常被当作是信息系统审计的代名词,但严格来说,IT审计与信息系统审计是不完全相同的,信息技术审计虽然也是针对系统的审计但更加强调对信息技术的审计以及审计过程中信息技术手段的运用,而信息系统审计则是对信息系统的审计,强调的是系统的概念。
从上述概念我们可以看出,EDP 审计强调的是对电子数据处理过程及结果的审计;计算机辅助审计强调的是计算机技术的应用;计算机审计概念相对广一些,只要使用计算机技术的审计过程都可以称为计算机审计,从某种意义上说信息系统审计也属于计算机审计的一部分;而对于信息技术审计,目前业界基本上把它与信息系统审计等同。但是不管是 EDP 审计、计算机审计还是信息技术审计目前在理论和实践上都停留在与财政、财务收支有关的会计信息系统审计的层面上,审计的目标仅是会计数据处理的合法性、合规性以及结果的正确性及完整性。
通过上述比较,本文倾向于采用国际信息系统审计协会(ISACA)对于信息系统审计的定义:信息系统审计(Information Systems Audit,ISA)是一个过程,在此过程中搜集和评估证据以确定信息系统和相关资源是否充分保护资产、维持数据和系统完整性、提供相关和可靠信息、有效实现组织机构目标、有效地使用资源、包含有效内部控制以提供运营和控制目标得到满足的合理保障。本文认为,信息系统审计的目标不仅在于对会计数据提出审计结论,而更加注重于从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等方面出发,对信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价,以确定其是否能够有效可靠地达到组织的战略目标,并为改善和健全组织对信息系统的控制提出建议。
(二)信息系统审计的特点
与其他类型的审计相比较,信息系统审计具有其与众不同之处:
1.信息系统审计贯穿于整个信息系统的生命周期
由于信息系统审计是一个收集并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程,因此它是一个较长的过程,贯穿于整个信息系统的生命周期。
2.信息系统审计的对象较为复杂
ISA的对象是以计算机为核心的信息系统,它包含了除财务信息以外的其他与生产经营流程有关的所有信息系统,其实质是审计对象及内容的拓展,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务。ISA拓展了传统审计的内涵,将审计对象从财务范畴扩展到了同经营活动有关的一信息系统。
3.信息系统审计拓展了传统审计的目标和范围
虽然国家审计基本准则第二十六条指出“审计组和审计人员在计算机信息系统环境下进行审计,不应改变审计方案确定的审计目标和范围”。但是我们可以看到,信息系统审计的目标和范围不仅限于传统审计的财政、财务收支范围,而拓展到涉及整个信息系统的全部流程。
(三)政府信息系统审计
信息系统审计可以由内部审计部门、会计师事务所、信息管理咨询公司和政府审计机关等机构来实施,不同的实施主体对信息系统审计有着不同的理解和实践。因此政府审计机关开展的信息系统审计与广义的信息系统审计应该在某些方面有所区分。政府信息系统审计是政府审计机关出于履行审计监督职能的需要,对影响被审计单位主要经济活动的信息系统进行检查和分析,评估信息系统存在的问题对经济活动的影响程度,以保证审计质量、保障审计实施和促进信息系统对经济活动产生正面影响的审计活动。政府信息系统审计与广义的信息系统审计相比有如下特点:
第一,政府信息系统审计的实施主体是政府审计机关,政府信息系统审计是政府审计的一部分。
第二,由于审计资源的限制,审计机关不可能对需要监督的每个信息系统在其生命周期的每个阶段进行监督,因此政府信息系统审计的对象是被审计单位运行的、对审计结论起重要影响作用的信息系统,在实施审计时要根据与经济活动的相关程度选择目标信息系统。
第三,政府信息系统审计的目的是通过对信息系统的审计来正确评价被审计单位的信息系统,以保证审计的效率和效果、保障审计监督活动的顺利实施、进一步促进被审计信息系统的不断完善,达到审计的评价和监督的目的。
二、国内外政府信息系统审计发展现状
(一)国外政府信息系统审计发展现状
1.美国的政府信息系统审计
美国在计算机进入实用阶段时就开始提出信息系统审计,已有三十多年历史,成为信息系统审计的主要推动者。1969年,美国成立国际信息系统审计与控制协会,该协会是唯一有权授予国际信息系统审计师资格(CISA)的跨国界、跨行业专业机构,CISA是信息系统审计领域的唯一职业资格,在世界范围内得到广泛认可 。CISA推出了一系列信息系统审计准则、职业道德准则等规范性文件和IT控制的开放式标准(COBIT)等并开展了大量的理论研究。
美国的政府计算机审计分为三个层次:计算机辅助审计技术(CAATS)、信息技术审计(IT审计)和网络审计。其信息技术审计与我们所说的信息系统审计较为类似。IT审计已经是美国政府计算机审计的重点,它是对载有与财务会计和财务管理有关的计算机系统进行审计。它不仅对财务会计和财务管理进行检查,而且还对记录与财务有关的系统和管理环境进行检查,主要包括
(1)信息系统一般控制的检查
一般控制通常适用于系统进行的大部分数据处理,而应用控制则可能因应用项目而异,而要分别加以检查。在检查个别应用控制时,审计人员应考虑被查系统一般控制的效果。包括:
组织控制,职权和责任的分配必须以能够保证有效果、高效率地实现组织目标的方式进行,审计人员应该检查被审单位的组织结构、职权和责任的分配与分工情况、其目的在于确定职责分工是否能够提供有力的内部控制。
设施、人员和安全控制,拥有足够的实物设施和其他资源(如训练有素的人员等)是一个单位实现其数据处理目标所必需的,审计人员应该确定被审单位是否拥有满足数据处理需要的足够资源。
操作系统控制,审计人员应该了解操作系统能够执行的控制,并确定这些控制的利用程度以及未被利用的情况。审计人员应该知道哪些人维护操作系统,或有能力修改操作系统。这些人可能有意或无意地破坏操作系统的控制,使其失效。
硬件控制。计算机硬件经常能够检查出硬件功能失常而引起的错误。
(2)电算化系统应用控制的检查
在对所有应用项目的数据处理的可靠性或完整性进行估计之前,必须对具体的应用控制和一般控制措施进行全面的评价。包括:与标准及批准的设计相符,其目的是确定建成的应用项目或系统是否符合适用的标准及最后批准的设计规格;控制弱点的测试,其目的是测试内部控制和处理的数据的可靠性。
2.巴西的政府信息系统审计
巴西联邦审计法院十分重视信息系统审计,在1992年提出了IT审计的概念,并进行了初步研究。1993年,依据INTOSAI IT审计委员会的相关标准制定了巴西联邦审计法院的信息系统审计准则,并于1994年对国家内部收入部的信息系统进行了试点审计。1998年制定了信息系统审计手册(审计指南)。
为了有效地对联邦政府建立的公众服务信息系统进行检查,巴西联邦审计法院于2003年建立了信息系统审计处,2006年8月提升为信息技术监督局。该局设有两个处。一是信息系统采购审计处,负责对联邦政府和部门信息系统的软硬件采购进行合规性检查。二是信息系统审计处,负责对联邦政府和部门建设的信息系统进行有效性检查。
巴西联邦审计法院的信息系统审计内容包括信息系统管理情况审计,重点检查被审计单位信息系统的建设,运行的管理情况,以及投入的人力、财力情况;信息系统安全情况审计,重点检查被审计单位信息系统的安全性、可靠性;信息系统基础设施审计,重点检查被审计单位信息系统软硬件等设施;信息系统内控情况审计,重点检查被审计单位信息系统的内部控制,包括身份认证、权限控制、操作管理等情况;信息系统数据审计,重点检查被审计单位信息系统所产生的数据的真实性,完整性和可靠性;电子政府项目的审计等。
巴西联邦审计法院的信息系统审计总体看也处在探索过程中,对一些问题正在调查研究。主要包括对政府建立的信息系统如何实现政府工作目标的调查;对政府建设信息系统的投资情况和效果效益的调查;对信息系统建设和信息系统审计的立法、标准、准则的调查研究;对信息系统管理情况的调查等。
(二)我国政府信息系统审计发展现状
我国政府审计部门一般认为,政府信息系统审计是通过对信息系统合法性、可靠性、安全性和有效性的审计,对被审计信息系统作出评价,并为计算机数据审计开展打下基础,提供线索,同时依据计算机数据审计的结果分析信息系统,最终为实现政府审计真实、合法、效益的目标服务。具体来讲,信息系统审计的目标可以细化为以下三个方面。
从我国审计机关的信息系统审计时间来看,审计署收集的信息系统审计案例表明,全国审计机关都在对信息系统审计进行着积极的探索。根据目前全国审计机关的信息系统审计实践来看,目前我国的信息系统审计主要有以下几种方式:一是倒推式。通过数据审计发现异常,倒推系统内部控制或信息系统的毛病。二是结合式。就是将信息系统审计与财政财务收支、效益审计的内容结合起来。结合是以正推为前提的,有的是把数据审计与系统内部控制审计结合起来。也就是说,只把信息系统的一部分,即系统内部控制纳入关注范围,作为审计内容,不涉及整个软件开发、硬件环境等,单独把内部控制作为一个切入点。三是独立式。对信息系统开展独立的审计,把它作为一个项目,从立项到后期维护,这就是独立的、专门针对信息系统的审计。四是特殊式。这是我们在探索阶段出现的一种以信息系统审计取代审计的做法,
三、 我国政府信息系统审计面临的问题
在我国,政府审计信息化建设走过了十多年的历程,人们逐渐认识到了信息系统审计的重要性和必要性,也从理论和实践上对信息系统审计进行了一些有益的探索,取得了初步的成效,但总的来看我国的信息系统审计工作仍处于探索阶段,没有一套成型的信息系统审计专业规范,信息系统审计专业人才还很匮乏,适应信息系统审计事业发展的管理运作机制等还没有建立和健全。
(一)没有形成有关政府信息系统审计的审计准则和规范
我国政府审计在传统审计业务方面已经建成了一套比较成熟规范的审计准则体系,但在信息系统审计方面还没有形成系统的准则和技术标准体系,迄今仅颁布了两个规范性文件(审计署颁布的审法发[1996]376号文件《审计机关计算机辅助审计办法》、国务院办公厅颁发的《关于利用计算机信息系统开展审计工作有关问题的通知(国办发[2001]88号) 》),有关信息系统审计的业务准则规范和技术标准极度匮乏。
(二)信息系统审计实践大多数还停留在对会计信息系统的审计上
我国的政府信息系统审计实践目前大都集中在电子数据的采集与分析方面, 仍然停留在对会计信息系统审计的层面上对财务收支事项的合法合规性进行检查,而很少关注非财务信息系统,这仍然属于实质性测试阶段的内容,这是与我国目前审计的发展水平密切相关的。在计算机信息系统环境下,目前我们的主要精力仍放在查错纠弊方面,也就是关注财务数据本身,审计人员所看到的更多是财务数据的载体的变化,即从纸质文档变成了电子文档,而较少关注处理这些数据的系统发生的变化,对被审计单位的信息处理系统或内部控制一直没有给予足
够的重视。
(三)我国的政府信息系统审计缺乏应有的审计接口
虽然《关于利用计算机信息系统开展审计工作有关问题的通知(国办发[2001]88 号)》明确规定了“计算机信息系统应当具备符合国家标准或者行业标准的数据接口”,我国软件协会财务及管理软件分会也对财务软件的数据接口标准提出了要求,但许多财务与管理软件都没有遵照执行,我国现有的计算机信息系统大部分没有设置审计接口,有些系统的数据库还加了密,使审计软件无法直接访问系统的资料,电子资料的获取成了利用计算机辅助审计的瓶颈。更令人忧虑的是,现在正在开发的电子政务系统和企业管理信息系统大部分也都没有考虑审计接口这一要求。
(四)没有形成系统的信息系统审计评价体系
传统的政府审计已经制定了较为详尽的审计评价体系,但对于政府信息系统审计来说,这些适用于传统审计的方法和程序在一定程度上并不适用于政府信息系统审计。审计方法的落后和审计程序的缺失,在一定程度上影响了政府信息系统审计的发展。如前文所述,各级审计机关在进行政府信息系统审计时分别采用倒推式、独立式、特殊式、结合式等方法和程序。由于没有系统的审计方法和程序对政府信息系统审计进行指导,各级国家审计机关只能“各展其才、百花齐放”,结果自然也是五花八门的了。
(五)政府信息系统审计专业人才匮乏,
开展信息系统审计要求审计人员不仅要懂得传统审计理论与实务,而且要懂得现代信息技术、网络技术、信息系统审计技术,精通信息系统的开发、管理与控制方面的理论与实务。否则将无法对信息系统进行全面审查,难以胜任信息系统审计工作。目前我国审计机关计算机专业人员不熟悉审计实务,而精通审计业务的专家对信息技术和信息系统又缺乏了解和认识,既精通审计,又精通信息技术的复合型审计人才十分缺乏 。
四、 我国政府信息系统审计发展战略构建
政府信息系统审计代表了政府审计未来重要的发展方向,同时也面临着巨大的挑战。本文通过对信息系统审计理论的研究,结合国外政府信息系统审计实践的经验和我国开展政府信息系统审计所面临的切实问题,试图提出我国政府信息系统审计的发展战略。
本文认为政府信息系统审计未来的发展应从以下几个方面入手:
(一) 构建我国政府信息系统审计准则和规范
我国的政府信息系统审计与国外相比仍处于落后状态,这与我国政府信息系统审计准则和规范的落后不无原因。如上所述,至今为止仅颁布了两个有关的规范性文件,既不成体系,时效内容也已滞后,已远远不能适应我国政府信息系统审计事业发展的要求。由此,我国急需构建既适应我国国情又与国际接轨的信息系统审计准则规范体系,加强与信息系统审计相套的有关立法建设,使审计人员在实施信息系统审计时有法可依、有据可查,大力推动我国信息系统审计事业的发展。首先,应完善与信息系统审计相配套的相关政策、法律法规,从法律的角度保证信息系统审计的顺利开展,要在《审计法》的基础上,补充完善涉及信息系统审计的相关法律法规。 其次,要制定完善的审计准则体系。 将有关概念、 工作流程和技术方法统一起来,制定包含信息系统审计基本准则、信息系统审计具体准则与信息系统审计实务公告、信息系统审计执业规范指南三个层次的信息系统审计准则体系。第三,要制定信息系统审计的各项具体规则。制定合理的信息系统审计方法和程序。
(二) 建立合理的信息系统审计评价体系
信息系统审计是通过搜集和评估证据,来确定信息系统和相关资源是否充分保护资产、维持数据和系统完整性、提供相关和可靠信息、确定信息系统能否有效实现组织机构目标、有效地使用资源。要实现这些就需要一套信息系统审计的评价体系来帮助审计人员作出客观、公正的判断。
ISACA发布的COBIT系统为商业风险、控制需求和技术手段之间架设了一座桥梁,将IT过程、IT资源信息与企业的策略和目标联系起来,形成了一个三维的体系结构,提供了34个高层控制目标,每个控制目标对应一个处理过程,并将其归类为四个域:计划与组织、获取与实现、交付与支持以及监控。这个结构覆盖了信息技术的各个方面,通过确定这 34 个高层控制目标,信息系统审计能够保证为信息技术环境提供一个满足要求的信息控制系统。本文试图借鉴COBIT系统框架建立主要由信息系统的计划与组织、获取与实现、交付与支持、监控四大部分组成的信息系统审计体系:
1.计划与组织
计划与组织主要从制定与信息系统密切相关的各种计划,进行信息系统的相关组织建设和各种信息系统的管理等方面提供相应的定性和定量的指标。在计划组织方面,政府信息系统审计主要评价被审计信息系统整合系统的人员、应用系统、技术、设施和数据资源,以达到有效性和效率目标的能力;判断被审计信息系统是否将应用系统和数据资源进行优化,是否达到完整性、机密性、有效性以及效率目标;判断被审计信息系统与信息系统相关的内容符合法律、法规和合同条款。
2.获取与实现
获取与实现是针对审计单位的IT战略和解决方案,主要涉及技术层面,考虑系统能否顺利实现。主要有以下指标:自动解决方案的识别、应用软件的获取和维护、技术设施的获取和维护、开发和维护程序、安装和授权系统、变更管理。获取与实现主要用于评价被审单位的IT战略和最终战略是否一致,信息系统能否推动被审单位中级目标的实现。
3.交付与支持
交付与支持类指标描述的是把系统交付给被审计单位,并且被审计单位能否顺利使用使用该系统完成自身战略目标的能力。
4.监控
监控是对被审计系统的风险管理进行全面监控,贯穿信息系统规划、建设、运行和维护的全过程,可以通过持续的管理活动、个别评价或者两者结合来完成,主要包含了:监视过程、评估内部控制充分性、获得独立保证、提供独立审计等。
(三) 开发信息系统审计软件,统一规范数据接口标准
我国政府信息系统审计尚停留在浅层次运用上,究其原因之一是缺乏专业的信息系统审计软件。要开发信息系统审计软件,不仅要掌握会计、审计知识和信息系统管理理论,还要精通软件工程学、数据结构、数据库理论及程序设计技术等,难度之大可想而知。开发政府信息系统软件,要使其适用于各种信息系统的审计,能与各信息系统之间进行数据交换。
目前我国的信息系统审计落后的另外一个重要原因在于没有一个统一的数据接口的标准。由于目前我国企业使用的信息系统参差不齐,尤其财务软件很多是自行组织开发,自成体系,数据平台与数据结构千差万别,且大都不留数据接口,这一情况加重了审计人员的工作负担,也产生了两重操作可能带来的错误。但是如果能为各类信息系统提供一个统一的数据接口标准文件,即制定出一个转出数据的标准,要求各类信息系统共同遵守它,则审计人员在获取信息系统数据信息之时就可以驾轻就熟,减少很多麻烦,避免很多失误。
(四) 建立完备的信息系统审计人才队伍和管理运作机制
人才是一切工作的基础,政府信息系统审计也急需培养专业的信息系统审计人才,同时健全人才培养机制。首先,要加大对在职审计人员的培训,从现有的审计队伍中选拔人员进行专门的信息系统审计培训,拓展审计人员在系统可靠性、风险管理、信息安全以及网络等方面的业务能力。其次,要加强对从事信息化技术的I T人员的会计与审计知识的培训。从事信息化技术的I T人员具比较容易发现被审计信息系统及其控制的缺陷,但他们由于缺乏对管理与审计知识的了解,难以揭示审计工作中存在的问题,因此要不断丰富I T人员的会计和审计理论知识,培养他们用审计和管理控制的角度来思考问题。我们还要建立起一套切实可行的人才培养机制,为信息系统审计储备人才,推动信息系统审计的长足发展。
五、 结束语
本文从信息系统审计的理论出发,结合国内外信息系统审计的实践,分析了我国目前政府信息系统审计存在的问题,并构建了未来发展的战略。本文的创新之处可能在于在对政府信息系统审计战略的构建之时,借鉴了ISACA发布的COBIT系统的体系结构,建立了由信息系统的计划与组织、获取与实现、交付与支持、监控四大部分组成的政府信息系统审计体系。同时,本文仍存在着很多不足,本文没有对政府信息系统审计实践进行探讨,作者将在后续的研究之中继续关注这个问题。(作者:钱芳 江苏省无锡市审计局)
关键字:政府 信息系统审计 发展战略
信息系统审计诞生于20世纪60年代,经过40余年的发展,国际信息系统审计已经形成了较为完备的理论体系,并在实践中发挥着积极的作用。我国的信息系统审计起步较晚,2001年国务院首次提出审计部门应利用计算机开展信息系统审计。自政府信息系统审计提出以来,各级审计机关在信息系统审计方面做了很多有益的探索,我国的政府信息系统审计取得了很大的成效,但是我们看到政府信息系统审计在审计准则规范、审计实践、审计接口、审计评价体系和审计人才培养方面还存在着很多问题,在一定程度上阻碍了我国信息系统审计的发展。本文试图对当前政府信息系统审计存在的问题进行深入的分析,并试图构建合理的政府信息系统审计发展战略,以期能够促进政府信息系统审计的发展,全面提高政府审计工作质量和效率。
一、 信息系统审计的理论基础
(一)信息系统审计及相关概念
在了解信息系统审计的概念之前,我们有必要介绍几个与信息系统审计相关的概念:
1.电子数据处理审计(EDP审计,Electronic Data Processing Audit)
电子数据处理审计是信息系统审计的初级阶段,它是在计算机技术应用于电子数据处理,特别是应用于管理和会计核算的电子数据处理时出现和发展起来的,它是指对计算机信息处理系统的开发及其软件、硬件和运行环境进行测试,并评价计算机信息系统数据处理是否准确、真实、安全、可靠、高效,满足企业经营管理的需要。EDP 审计可以看作是信息系统审计的雏形。
2.计算机审计(Computer Audit,CA)
计算机审计是与传统手工审计相对应的概念,主要是指运用计算机审计技术对与财政、财务收支有关的计算机应用系统实施的审计,具体来说包括两方面的内容:一是对包括会计电算化在内的信息系统的设计进行审计,以及对包括会计电算化在内的信息系统的数据处理过程和处理结果进行审计。二是审计人员利用计算机辅助审计技术,把计算机作为工具,将计算机及网络技术等各种手段引入审计工作,建立审计信息系统,帮助审计人员完成部分审计工作,实现审计工作的办公自动化。
3.计算机辅助审计(Computer Assisted Audit,CAA)
计算机辅助审计(CAA) 实际上是指计算机辅助审计工具与技术,它强调的是审计方法、技术和手段的计算机化。国际审计实务委员会认为“按照《国际审计准则 15——电子数据处理环境下的审计》的解释,在电子数据处理的环境下进行审计时,并不改变审计的总体目标和范围。但是,审计程序的运用,可能要求审计人员考虑利用计算机技术作为一项审计的工具。计算机在这方面的各种使用称之为计算机辅助审计技术。” 我国审计署则认为“计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计。本办法所称计算机应用系统,是指被审计单位与财政、财务收支有关的计算机应用系统。”
4.信息技术审计(IT审计,Information Technology Audit)
信息技术审计常常被当作是信息系统审计的代名词,但严格来说,IT审计与信息系统审计是不完全相同的,信息技术审计虽然也是针对系统的审计但更加强调对信息技术的审计以及审计过程中信息技术手段的运用,而信息系统审计则是对信息系统的审计,强调的是系统的概念。
从上述概念我们可以看出,EDP 审计强调的是对电子数据处理过程及结果的审计;计算机辅助审计强调的是计算机技术的应用;计算机审计概念相对广一些,只要使用计算机技术的审计过程都可以称为计算机审计,从某种意义上说信息系统审计也属于计算机审计的一部分;而对于信息技术审计,目前业界基本上把它与信息系统审计等同。但是不管是 EDP 审计、计算机审计还是信息技术审计目前在理论和实践上都停留在与财政、财务收支有关的会计信息系统审计的层面上,审计的目标仅是会计数据处理的合法性、合规性以及结果的正确性及完整性。
通过上述比较,本文倾向于采用国际信息系统审计协会(ISACA)对于信息系统审计的定义:信息系统审计(Information Systems Audit,ISA)是一个过程,在此过程中搜集和评估证据以确定信息系统和相关资源是否充分保护资产、维持数据和系统完整性、提供相关和可靠信息、有效实现组织机构目标、有效地使用资源、包含有效内部控制以提供运营和控制目标得到满足的合理保障。本文认为,信息系统审计的目标不仅在于对会计数据提出审计结论,而更加注重于从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等方面出发,对信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价,以确定其是否能够有效可靠地达到组织的战略目标,并为改善和健全组织对信息系统的控制提出建议。
(二)信息系统审计的特点
与其他类型的审计相比较,信息系统审计具有其与众不同之处:
1.信息系统审计贯穿于整个信息系统的生命周期
由于信息系统审计是一个收集并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程,因此它是一个较长的过程,贯穿于整个信息系统的生命周期。
2.信息系统审计的对象较为复杂
ISA的对象是以计算机为核心的信息系统,它包含了除财务信息以外的其他与生产经营流程有关的所有信息系统,其实质是审计对象及内容的拓展,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务。ISA拓展了传统审计的内涵,将审计对象从财务范畴扩展到了同经营活动有关的一信息系统。
3.信息系统审计拓展了传统审计的目标和范围
虽然国家审计基本准则第二十六条指出“审计组和审计人员在计算机信息系统环境下进行审计,不应改变审计方案确定的审计目标和范围”。但是我们可以看到,信息系统审计的目标和范围不仅限于传统审计的财政、财务收支范围,而拓展到涉及整个信息系统的全部流程。
(三)政府信息系统审计
信息系统审计可以由内部审计部门、会计师事务所、信息管理咨询公司和政府审计机关等机构来实施,不同的实施主体对信息系统审计有着不同的理解和实践。因此政府审计机关开展的信息系统审计与广义的信息系统审计应该在某些方面有所区分。政府信息系统审计是政府审计机关出于履行审计监督职能的需要,对影响被审计单位主要经济活动的信息系统进行检查和分析,评估信息系统存在的问题对经济活动的影响程度,以保证审计质量、保障审计实施和促进信息系统对经济活动产生正面影响的审计活动。政府信息系统审计与广义的信息系统审计相比有如下特点:
第一,政府信息系统审计的实施主体是政府审计机关,政府信息系统审计是政府审计的一部分。
第二,由于审计资源的限制,审计机关不可能对需要监督的每个信息系统在其生命周期的每个阶段进行监督,因此政府信息系统审计的对象是被审计单位运行的、对审计结论起重要影响作用的信息系统,在实施审计时要根据与经济活动的相关程度选择目标信息系统。
第三,政府信息系统审计的目的是通过对信息系统的审计来正确评价被审计单位的信息系统,以保证审计的效率和效果、保障审计监督活动的顺利实施、进一步促进被审计信息系统的不断完善,达到审计的评价和监督的目的。
二、国内外政府信息系统审计发展现状
(一)国外政府信息系统审计发展现状
1.美国的政府信息系统审计
美国在计算机进入实用阶段时就开始提出信息系统审计,已有三十多年历史,成为信息系统审计的主要推动者。1969年,美国成立国际信息系统审计与控制协会,该协会是唯一有权授予国际信息系统审计师资格(CISA)的跨国界、跨行业专业机构,CISA是信息系统审计领域的唯一职业资格,在世界范围内得到广泛认可 。CISA推出了一系列信息系统审计准则、职业道德准则等规范性文件和IT控制的开放式标准(COBIT)等并开展了大量的理论研究。
美国的政府计算机审计分为三个层次:计算机辅助审计技术(CAATS)、信息技术审计(IT审计)和网络审计。其信息技术审计与我们所说的信息系统审计较为类似。IT审计已经是美国政府计算机审计的重点,它是对载有与财务会计和财务管理有关的计算机系统进行审计。它不仅对财务会计和财务管理进行检查,而且还对记录与财务有关的系统和管理环境进行检查,主要包括
(1)信息系统一般控制的检查
一般控制通常适用于系统进行的大部分数据处理,而应用控制则可能因应用项目而异,而要分别加以检查。在检查个别应用控制时,审计人员应考虑被查系统一般控制的效果。包括:
组织控制,职权和责任的分配必须以能够保证有效果、高效率地实现组织目标的方式进行,审计人员应该检查被审单位的组织结构、职权和责任的分配与分工情况、其目的在于确定职责分工是否能够提供有力的内部控制。
设施、人员和安全控制,拥有足够的实物设施和其他资源(如训练有素的人员等)是一个单位实现其数据处理目标所必需的,审计人员应该确定被审单位是否拥有满足数据处理需要的足够资源。
操作系统控制,审计人员应该了解操作系统能够执行的控制,并确定这些控制的利用程度以及未被利用的情况。审计人员应该知道哪些人维护操作系统,或有能力修改操作系统。这些人可能有意或无意地破坏操作系统的控制,使其失效。
硬件控制。计算机硬件经常能够检查出硬件功能失常而引起的错误。
(2)电算化系统应用控制的检查
在对所有应用项目的数据处理的可靠性或完整性进行估计之前,必须对具体的应用控制和一般控制措施进行全面的评价。包括:与标准及批准的设计相符,其目的是确定建成的应用项目或系统是否符合适用的标准及最后批准的设计规格;控制弱点的测试,其目的是测试内部控制和处理的数据的可靠性。
2.巴西的政府信息系统审计
巴西联邦审计法院十分重视信息系统审计,在1992年提出了IT审计的概念,并进行了初步研究。1993年,依据INTOSAI IT审计委员会的相关标准制定了巴西联邦审计法院的信息系统审计准则,并于1994年对国家内部收入部的信息系统进行了试点审计。1998年制定了信息系统审计手册(审计指南)。
为了有效地对联邦政府建立的公众服务信息系统进行检查,巴西联邦审计法院于2003年建立了信息系统审计处,2006年8月提升为信息技术监督局。该局设有两个处。一是信息系统采购审计处,负责对联邦政府和部门信息系统的软硬件采购进行合规性检查。二是信息系统审计处,负责对联邦政府和部门建设的信息系统进行有效性检查。
巴西联邦审计法院的信息系统审计内容包括信息系统管理情况审计,重点检查被审计单位信息系统的建设,运行的管理情况,以及投入的人力、财力情况;信息系统安全情况审计,重点检查被审计单位信息系统的安全性、可靠性;信息系统基础设施审计,重点检查被审计单位信息系统软硬件等设施;信息系统内控情况审计,重点检查被审计单位信息系统的内部控制,包括身份认证、权限控制、操作管理等情况;信息系统数据审计,重点检查被审计单位信息系统所产生的数据的真实性,完整性和可靠性;电子政府项目的审计等。
巴西联邦审计法院的信息系统审计总体看也处在探索过程中,对一些问题正在调查研究。主要包括对政府建立的信息系统如何实现政府工作目标的调查;对政府建设信息系统的投资情况和效果效益的调查;对信息系统建设和信息系统审计的立法、标准、准则的调查研究;对信息系统管理情况的调查等。
(二)我国政府信息系统审计发展现状
我国政府审计部门一般认为,政府信息系统审计是通过对信息系统合法性、可靠性、安全性和有效性的审计,对被审计信息系统作出评价,并为计算机数据审计开展打下基础,提供线索,同时依据计算机数据审计的结果分析信息系统,最终为实现政府审计真实、合法、效益的目标服务。具体来讲,信息系统审计的目标可以细化为以下三个方面。
从我国审计机关的信息系统审计时间来看,审计署收集的信息系统审计案例表明,全国审计机关都在对信息系统审计进行着积极的探索。根据目前全国审计机关的信息系统审计实践来看,目前我国的信息系统审计主要有以下几种方式:一是倒推式。通过数据审计发现异常,倒推系统内部控制或信息系统的毛病。二是结合式。就是将信息系统审计与财政财务收支、效益审计的内容结合起来。结合是以正推为前提的,有的是把数据审计与系统内部控制审计结合起来。也就是说,只把信息系统的一部分,即系统内部控制纳入关注范围,作为审计内容,不涉及整个软件开发、硬件环境等,单独把内部控制作为一个切入点。三是独立式。对信息系统开展独立的审计,把它作为一个项目,从立项到后期维护,这就是独立的、专门针对信息系统的审计。四是特殊式。这是我们在探索阶段出现的一种以信息系统审计取代审计的做法,
三、 我国政府信息系统审计面临的问题
在我国,政府审计信息化建设走过了十多年的历程,人们逐渐认识到了信息系统审计的重要性和必要性,也从理论和实践上对信息系统审计进行了一些有益的探索,取得了初步的成效,但总的来看我国的信息系统审计工作仍处于探索阶段,没有一套成型的信息系统审计专业规范,信息系统审计专业人才还很匮乏,适应信息系统审计事业发展的管理运作机制等还没有建立和健全。
(一)没有形成有关政府信息系统审计的审计准则和规范
我国政府审计在传统审计业务方面已经建成了一套比较成熟规范的审计准则体系,但在信息系统审计方面还没有形成系统的准则和技术标准体系,迄今仅颁布了两个规范性文件(审计署颁布的审法发[1996]376号文件《审计机关计算机辅助审计办法》、国务院办公厅颁发的《关于利用计算机信息系统开展审计工作有关问题的通知(国办发[2001]88号) 》),有关信息系统审计的业务准则规范和技术标准极度匮乏。
(二)信息系统审计实践大多数还停留在对会计信息系统的审计上
我国的政府信息系统审计实践目前大都集中在电子数据的采集与分析方面, 仍然停留在对会计信息系统审计的层面上对财务收支事项的合法合规性进行检查,而很少关注非财务信息系统,这仍然属于实质性测试阶段的内容,这是与我国目前审计的发展水平密切相关的。在计算机信息系统环境下,目前我们的主要精力仍放在查错纠弊方面,也就是关注财务数据本身,审计人员所看到的更多是财务数据的载体的变化,即从纸质文档变成了电子文档,而较少关注处理这些数据的系统发生的变化,对被审计单位的信息处理系统或内部控制一直没有给予足
够的重视。
(三)我国的政府信息系统审计缺乏应有的审计接口
虽然《关于利用计算机信息系统开展审计工作有关问题的通知(国办发[2001]88 号)》明确规定了“计算机信息系统应当具备符合国家标准或者行业标准的数据接口”,我国软件协会财务及管理软件分会也对财务软件的数据接口标准提出了要求,但许多财务与管理软件都没有遵照执行,我国现有的计算机信息系统大部分没有设置审计接口,有些系统的数据库还加了密,使审计软件无法直接访问系统的资料,电子资料的获取成了利用计算机辅助审计的瓶颈。更令人忧虑的是,现在正在开发的电子政务系统和企业管理信息系统大部分也都没有考虑审计接口这一要求。
(四)没有形成系统的信息系统审计评价体系
传统的政府审计已经制定了较为详尽的审计评价体系,但对于政府信息系统审计来说,这些适用于传统审计的方法和程序在一定程度上并不适用于政府信息系统审计。审计方法的落后和审计程序的缺失,在一定程度上影响了政府信息系统审计的发展。如前文所述,各级审计机关在进行政府信息系统审计时分别采用倒推式、独立式、特殊式、结合式等方法和程序。由于没有系统的审计方法和程序对政府信息系统审计进行指导,各级国家审计机关只能“各展其才、百花齐放”,结果自然也是五花八门的了。
(五)政府信息系统审计专业人才匮乏,
开展信息系统审计要求审计人员不仅要懂得传统审计理论与实务,而且要懂得现代信息技术、网络技术、信息系统审计技术,精通信息系统的开发、管理与控制方面的理论与实务。否则将无法对信息系统进行全面审查,难以胜任信息系统审计工作。目前我国审计机关计算机专业人员不熟悉审计实务,而精通审计业务的专家对信息技术和信息系统又缺乏了解和认识,既精通审计,又精通信息技术的复合型审计人才十分缺乏 。
四、 我国政府信息系统审计发展战略构建
政府信息系统审计代表了政府审计未来重要的发展方向,同时也面临着巨大的挑战。本文通过对信息系统审计理论的研究,结合国外政府信息系统审计实践的经验和我国开展政府信息系统审计所面临的切实问题,试图提出我国政府信息系统审计的发展战略。
本文认为政府信息系统审计未来的发展应从以下几个方面入手:
(一) 构建我国政府信息系统审计准则和规范
我国的政府信息系统审计与国外相比仍处于落后状态,这与我国政府信息系统审计准则和规范的落后不无原因。如上所述,至今为止仅颁布了两个有关的规范性文件,既不成体系,时效内容也已滞后,已远远不能适应我国政府信息系统审计事业发展的要求。由此,我国急需构建既适应我国国情又与国际接轨的信息系统审计准则规范体系,加强与信息系统审计相套的有关立法建设,使审计人员在实施信息系统审计时有法可依、有据可查,大力推动我国信息系统审计事业的发展。首先,应完善与信息系统审计相配套的相关政策、法律法规,从法律的角度保证信息系统审计的顺利开展,要在《审计法》的基础上,补充完善涉及信息系统审计的相关法律法规。 其次,要制定完善的审计准则体系。 将有关概念、 工作流程和技术方法统一起来,制定包含信息系统审计基本准则、信息系统审计具体准则与信息系统审计实务公告、信息系统审计执业规范指南三个层次的信息系统审计准则体系。第三,要制定信息系统审计的各项具体规则。制定合理的信息系统审计方法和程序。
(二) 建立合理的信息系统审计评价体系
信息系统审计是通过搜集和评估证据,来确定信息系统和相关资源是否充分保护资产、维持数据和系统完整性、提供相关和可靠信息、确定信息系统能否有效实现组织机构目标、有效地使用资源。要实现这些就需要一套信息系统审计的评价体系来帮助审计人员作出客观、公正的判断。
ISACA发布的COBIT系统为商业风险、控制需求和技术手段之间架设了一座桥梁,将IT过程、IT资源信息与企业的策略和目标联系起来,形成了一个三维的体系结构,提供了34个高层控制目标,每个控制目标对应一个处理过程,并将其归类为四个域:计划与组织、获取与实现、交付与支持以及监控。这个结构覆盖了信息技术的各个方面,通过确定这 34 个高层控制目标,信息系统审计能够保证为信息技术环境提供一个满足要求的信息控制系统。本文试图借鉴COBIT系统框架建立主要由信息系统的计划与组织、获取与实现、交付与支持、监控四大部分组成的信息系统审计体系:
1.计划与组织
计划与组织主要从制定与信息系统密切相关的各种计划,进行信息系统的相关组织建设和各种信息系统的管理等方面提供相应的定性和定量的指标。在计划组织方面,政府信息系统审计主要评价被审计信息系统整合系统的人员、应用系统、技术、设施和数据资源,以达到有效性和效率目标的能力;判断被审计信息系统是否将应用系统和数据资源进行优化,是否达到完整性、机密性、有效性以及效率目标;判断被审计信息系统与信息系统相关的内容符合法律、法规和合同条款。
2.获取与实现
获取与实现是针对审计单位的IT战略和解决方案,主要涉及技术层面,考虑系统能否顺利实现。主要有以下指标:自动解决方案的识别、应用软件的获取和维护、技术设施的获取和维护、开发和维护程序、安装和授权系统、变更管理。获取与实现主要用于评价被审单位的IT战略和最终战略是否一致,信息系统能否推动被审单位中级目标的实现。
3.交付与支持
交付与支持类指标描述的是把系统交付给被审计单位,并且被审计单位能否顺利使用使用该系统完成自身战略目标的能力。
4.监控
监控是对被审计系统的风险管理进行全面监控,贯穿信息系统规划、建设、运行和维护的全过程,可以通过持续的管理活动、个别评价或者两者结合来完成,主要包含了:监视过程、评估内部控制充分性、获得独立保证、提供独立审计等。
(三) 开发信息系统审计软件,统一规范数据接口标准
我国政府信息系统审计尚停留在浅层次运用上,究其原因之一是缺乏专业的信息系统审计软件。要开发信息系统审计软件,不仅要掌握会计、审计知识和信息系统管理理论,还要精通软件工程学、数据结构、数据库理论及程序设计技术等,难度之大可想而知。开发政府信息系统软件,要使其适用于各种信息系统的审计,能与各信息系统之间进行数据交换。
目前我国的信息系统审计落后的另外一个重要原因在于没有一个统一的数据接口的标准。由于目前我国企业使用的信息系统参差不齐,尤其财务软件很多是自行组织开发,自成体系,数据平台与数据结构千差万别,且大都不留数据接口,这一情况加重了审计人员的工作负担,也产生了两重操作可能带来的错误。但是如果能为各类信息系统提供一个统一的数据接口标准文件,即制定出一个转出数据的标准,要求各类信息系统共同遵守它,则审计人员在获取信息系统数据信息之时就可以驾轻就熟,减少很多麻烦,避免很多失误。
(四) 建立完备的信息系统审计人才队伍和管理运作机制
人才是一切工作的基础,政府信息系统审计也急需培养专业的信息系统审计人才,同时健全人才培养机制。首先,要加大对在职审计人员的培训,从现有的审计队伍中选拔人员进行专门的信息系统审计培训,拓展审计人员在系统可靠性、风险管理、信息安全以及网络等方面的业务能力。其次,要加强对从事信息化技术的I T人员的会计与审计知识的培训。从事信息化技术的I T人员具比较容易发现被审计信息系统及其控制的缺陷,但他们由于缺乏对管理与审计知识的了解,难以揭示审计工作中存在的问题,因此要不断丰富I T人员的会计和审计理论知识,培养他们用审计和管理控制的角度来思考问题。我们还要建立起一套切实可行的人才培养机制,为信息系统审计储备人才,推动信息系统审计的长足发展。
五、 结束语
本文从信息系统审计的理论出发,结合国内外信息系统审计的实践,分析了我国目前政府信息系统审计存在的问题,并构建了未来发展的战略。本文的创新之处可能在于在对政府信息系统审计战略的构建之时,借鉴了ISACA发布的COBIT系统的体系结构,建立了由信息系统的计划与组织、获取与实现、交付与支持、监控四大部分组成的政府信息系统审计体系。同时,本文仍存在着很多不足,本文没有对政府信息系统审计实践进行探讨,作者将在后续的研究之中继续关注这个问题。(作者:钱芳 江苏省无锡市审计局)
| 【关闭】 【打印】 |
