浅议信息系统审计
朱会强(江苏省连云港市灌云县审计局)
【发布时间:2010年01月20日】
字号:【大】 【中】 【小】
    【摘要】随着信息技术在社会各领域应用程度的不断提高,传统审计中的审计对象、审计线索、审计方法和技术以及审计环境和审计风险等都受到了巨大的影响,完善会计信息系统审计的理论体系,制定执业标准和规范,增强实践操作性,应当成为我们努力的方向。本文主要从信息系统审计定义、审计内容以及目前常见的审计方法几个方面阐述了自己的观点。
    【关键词】信息系统  审计内容  审计方法
    一、信息系统审计的基本概念
    信息系统审计( Information Systems Audit  简称ISA)至今还没有一致的定义,目前比较有代表性的定义有:
    1.“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程”(Ron Weber,  1999)。
    2.“为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第二方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动”(日本通产省,1996)。
    3.“IS审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据”(邓少灵,2002 ) 。
    通过以上概念的辨析,我们可将“信息系统审计”界定为:信息系统审计是指根据公认的标准和指导规范,对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。具体而言,信息系统审计就是以企业或政府等组织的信息系统为审计对象,通过现代的审计理论和IT管理理论,从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等方面出发,对信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价,以确定其是否能够有效可靠地达到组织的战略目标,并为改善和健全组织对信息系统的控制提出建议的过程。
    二、实行信息系统审计的必要性
    信息技术的兴起和企业对核心竞争力的追求推动了信息技术在数据处理、存贮和交换等方面的广泛应用,信息系统已经渗透到社会生活的方方面面,它的高效和程序化给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。信息系统审计作为一种可以确保信息系统的安全、可靠及高效运行的新的审计模式受到世界各国的普遍重视,随着我国以“信息化带动工业化”战略的全面实施,国民经济信息化被提到了前所未有的高度,加快发展我国的信息系统审计事业具有重要意义。
    1.信息系统审计是保证信息系统质量的重要工具
    信息系统的可靠性、安全性、有效性和效率成为制约信息系统质量的重要因素,通过信息系统审计可以查出系统潜在的软件、硬件和数据资源安全隐患,并利用当前先进的技术进行防范或改进。首先,信息系统的可靠性需要信息系统审计;其次,信息系统的安全性需要信息系统审计;再次,信息系统的有效性需要信息系统审计;最后,信息系统的效率审计是信息系统质量的重要保证。
    2.信息系统审计是企业信息化发展的必然要求
    计算机在企业管理中的应用使得会计信息的处理逐步电算化,促使信息系统审计的雏形一一电子数据处理审计(EDP审计)的产生及EDP审计师协会(EDPAA)的成立。指导信息系统审计的组织从传统的审计机关和组织发展成为专业的信息系统审计组织;信息系统审计的内容、依据、准则等也随着信息技术和信息系统的发展而不断发展和完善,由此可看出信息系统审计是企业信息化发展的必然要求。
    3.信息化建设的效益需要信息系统审计
    有资料研究表明,我国企业每年IT投入近万亿元,每年仅在ERP项目上的投资就超过80亿元;我国电子商务市场规模也从2000年的87. 3亿美元增长到2004年的546. 3亿美元;中国电子政务建设的市场规模大约在1800-2000亿元之间。如此大规模的信息化建设,一旦由于缺乏审计,缺乏对权利的有效制约,将不可避免地出现投资自目、轻率决策等问题,因此,在信息系统风险客观存在的情况下,在信息系统建设过程中对其进行风险审计和控制就显得尤为重要。
    4.信息系统审计有利于维护信息时代的市场经济秩序
    在网络经济环境中,信息系统审计师能够以在线、实时的信息为基础提供实时鉴证服务并满足投资公众对决策有用信息的访问需要,这对保护公众利益和保护资本市场的有序发展是非常有意义的。可见,信息系统审计工作有利于降低风险并维护信息时代的市场经济秩序。
    三、信息系统审计的主要内容
    信息系统的审计内容主要包括对系统开发过程审计、会计信息系统内部控制的评价与审计、系统应用程序审计及系统数据文件审计四个部分。
    1.信息系统开发过程审计
    信息系统的开发是一项系统工程,主要包括系统分析、系统设计、系统实施及系统运行与维护等。系统开发过程审计也就是指审计人员对会计信息系统开发过程中的各项活动进行的审核与评价,它通过对系统开发的全过程及结果是否符合内部控制、相关法规政策、开发规程以及形成的文件是否符合有关标准等方面的审计,达到保证系统的可靠性、效率性、可维护性,内部控制的适当性,运行结果的正确性、完整性及提高系统的可审性的目的。系统开发过程审计的重点是在复核设计阶段应考虑的各项控制问题,并就如何强化内部控制,适时提出意见,供系统分析、设计人员参考。
    2.信息系统内部控制的评价
    根据控制实施的范围不同,信息系统的内部控制包括一般控制和应用控制两部分。信息系统一般控制是指与多个应用系统有关的政策和程序,有助十保证会计信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。应用控制是指对会计信息系统中具体的数据处理功能的控制,是为适合各种数据处理的特殊控制要求,保证数据处理能完整、准确地完成而建立的内部控制。
    3.信息系统应用程序审计
    信息系统的核心就是程序编码,程序质量的高低,直接决定了信息系统整体水平的高低。因此,应用程序的审计是信息系统审计的重要内容,也是信息系统审计中最困难的任务之一。实践证明,程序是差错与舞弊最容易发生的地方,只有对应用程序进行审计,才能对系统的正确性、可靠性等作出公正的评价。应用程序审计的内容主要包括:审查程序内部控制的健全性和有效性,程序的合法性,对数据处理和控制的及时性、正确性和可靠性,以及程序的纠错能力和容错能力。
    4.信息系统数据文件审计
    要对会计信息系统输出信息的真实性、正确性、合法性等进行评价,必须对数据文件进行审计。数据文件审计包括对打印输出的数据文件的审计和存贮在磁性介质上的数据文件的审计。数据文件审计的内容包括两个方面,一是审查数据文件的一般控制和应用控制的健全性和有效性,二是审查数据文件内容的真实性与正确性。
    需要进一步说明的是,信息系统也可以采用双重目的测试,即符合性测试和实质性测试同时进行,许多审计方法如同用审计软件法等,即可用于符合性测试,又可用于实质性测试。
    三、信息系统审计的常用方法
    由于信息系统的复杂性,信息系统审计与传统的财务审计在审计对象、目标与方法上存在很大的不同,当然在执行信息系统审计时传统财务审计的某些方法依然适用,例如可以通过面谈法和问卷调查法了解被审计信息系统的基本情况及内部控制的总体情况。但信息系统审计主要是利用计算机辅助审计技术和工具进行,在信息系统审计工作中常用的计算机辅助审计技术有:
    (一)测试数据法
     测试数据法是指由审计人员将预先设计好的测试数据(包括正常的、有效的业务数据和不正常的、无效的业务数据)输入被测试程序加以处理,并将处理结果与事先计算的结果进行对比分析,从而验证有关应用程序处理逻辑和控制的有效性、可靠性和完整性的方法。      (二)综合测试工具法
    综合测试工具是应用程序在系统的开发过程中设计的一个或多个模块,它的原理是在应用系统中嵌入ITF模块处理审计测试数据,然后将测试结果与预期结果进行对照分析,从而核实处理过程的真实性、正确性和完整性,它能够使审计人员在应用程序的正常操作过程中测试程序的内部逻辑和控制。
    (三)系统控制审计评审文件法
    系统控制审计评审文件法也称为嵌入审计程序法,是指预先在应用系统的重要控制点上嵌入审计软件对系统中的事务进行连续监控,收集有关系统事务及其处理的重要信息,并存放在一个特殊的审计文件一一SCARF主文件中,审计人员通过审查该文件提取审计证据从而判断被审计程序的处理和控制功能的可靠性。
    (四)快拍技术
    快拍技术也称为程序追踪法,是指在应用系统中的重要处理点嵌入可以“拍照”的审计程序,当事务流经应用系统时嵌入式审计软件可以“捕获”事务的前映像和后映像,通过检验前映像和后映像及其转换情况,据以评价应用系统事务处理的真实性、正确性和完整性。快拍技术一般可用来测试被审计程序的控制功能执行情况或检查程序的正确性,但嵌入审计程序段的位置可能影响被审计单位正常业务的执行效率。
    (五)平行模拟法
    平行模拟法就是由审计人员编写一个具有被审程序的关键特征和相同处理控制功能的模拟程序,用它来重新处理以前已经由被审计程序处理过的各种交易,并将从模拟审计程序中获得的处理结果与原始程序的结果进行比较,从而评价被审计程序是否可靠的方法。平行模拟法能有效地检查出舞弊编码,但需要审计人员编写设计一套模拟程序,因此成本较高并且要求审计人员具有较高的计算机专业知识和技能。
    当前,我国的信息系统审计还处于探索阶段,缺乏专业的技术人员和相关的审计工具,有关信息系统审计的法规、准则还没有形成健全的体系,各个方面与西方发达国家都有一定的差距。国家相关部门应该在这些方面建立完善的体系,同时,审计人员也应该勤于专研,掌握信息系统审计的方法和技巧,为推进我国信息系统审计的发展做出应有的贡献。(朱会强  江苏省连云港市灌云县审计局)
    参考文献:
    [1]Ron Weber. 《Information Systems Control and Audit》Prentice-Hall, Inc.  1999.
    [2]乔鹏,杨宝刚编.《会计信息系统审计》[M],北京:科学技术出版社,2003。
    [3]中国注册会计师协会:中国注册会计师独立审计准则2003[M].北京:经济科学出版社,2003。
    [4]张茂燕.《论我国的信息系统审计》,2005。
    [5]董霞.《会计信息系统审计研究》,2006。
    [6] 胡克谨.《IT审计》,电子工业出版社,2004。
    [7]姚靠文.《计算机会计与审计》,西南财经大学出版社,2002。
    [8]金光华.《计算机审计实务》,中国时代经济出版社,2002。
    
    
    
【关闭】    【打印】