浅议现阶段信息系统审计质量控制
李海洋(江苏省邳州市审计局)
【摘 要】在信息技术向人们工作、生活的每一个角落发起冲击的大潮中,信息技术不仅改变着人们的行为方式,同时也改变着人们的思维方式。而审计这个以鉴证财务信息的真实、公允为目的的行业则不可避免地受到信息技术飞速发展所带来的冲击与挑战。众所周知,审计质量是评价审计工作水平高低的标准,而在计算机信息系统环境下,由于各种不确定因素的影响,使审计质量受到影响,要想提高审计质量就必须对计算机内部数据处理的详细过程进行审查,并加快发展信息系统审计来完善审计工作。
【关键词】信息系统 审计质量 控制
一、信息系统审计概述
(一)信息系统审计的定义
随着全球信息化和审计理论的发展,信息系统审计逐渐引起人们的关注。但是到目前为止,国际上对信息系统审计还没有固定、统一的定义。1969年在美国成立的国际信息系统审计委员会(ISACA)定义为“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标地过程”,该协会的专家 Ron Weber 定义为“搜集并评价证据,以判断一个计算机系统(信息系统)是否有效的做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。
1985年日本通产省情报处理开发协会信息系统审计委员会定义为“所谓信息系统审计是指由独立于审计对象的信息系统审计师站在客观的立场,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用和故障排除,使系统更加健全”,11年后的1996年,该委员会对信息系统审计重新定义为“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导层,提出问题与建议的一连串的活动”。
当前信息系统审计被通俗的定义为:信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。
所以信息系统审计所关注的内容不单纯是对电子数据的处理,更不仅仅是财务信息,而是对被审计单位整个信息系统的可靠性、安全性进行了解和评价,是一项通过审查与评价信息系统的规划、开发、实施、运行和维护等一系列活动,以确定信息系统运行是否安全、可靠、有效,信息系统得出的数据是否可靠准确以及数据是否能有效的存储的过程。
(二)实施信息系统审计的过程和方法
信息系统审计过程与一般审计过程一样,分为准备阶段、实施阶段和报告阶段。其中,准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大,而实施阶段所涉及的技术方法则具有信息技术的特色。在实施阶段,针对被审计的信息系统,审计人员所开展的工作可以分为三个层次,即了解、描述和测试。
计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比,相应增加了计算机技术的内容。对信息系统审计的方法既包括一般方法即手工方法,也包括应用计算机审计的方法。信息系统审计的一般方法主要用于对信息系统的了解和描述,包括:面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试,包括:测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用。但不能把计算机辅助审计技术与工具的使用过程与信息系统审计等同起来。在信息系统审计的过程中,仍然需要运用大量的手工审计技术。
二、现阶段我国信息系统审计的现状
(一)我国信息系统审计现状
目前我国在信息系统审计方面还没有形成一整套体系。但是近年来,在借鉴国外有关信息系统审计经验的基础上,审计署在利用计算机信息系统开展审计工作中已经取得了一定的成果。
1、全面开展对电子数据的审计,包括会计电子数据和业务管理电子数据。采取的具体方法是:
①精确复核。运用计算机,对各种数据进行精确复核,既可以对全辖并表机构的会计报表与汇总报表进行全面复核,又可以从会计流水账逐级核对至总账,还可以将业务管理数据与会计报表数据进行复核;
②编制计算机程序进行辅助计算。可以编制计算机程序对有比例关系的项目进行计算,然后与实际记录进行比较,找出产生差异的记录;
③对一些异常会计记录和交易进行筛选和查询,为审计人员提供审计线索,主要是根据某一特征进行筛选分析,从不同角度分析可疑问题线索。
2、对被审计单位的信息系统的可靠性和内部控制进行初步的评价。
① 主要调查信息系统的使用范围,网络安全和数据的备份等情况,以保证信息系统财务数据的安全、完整;
②对信息系统的内部控制情况进行初步的调查和评价,重点是权限管理、参数表的设置和修改控制等是否有效,信息系统的使用者和系统的开发者是否分离,被审计单位对交易录入的原始数据是否实施相应的控制,信息系统的数据流和业务流程是否吻合;
③通过系统日志等文件分析一些重大事件的原因,分析对整体信息系统的影响。
但是我国在全面开展信息系统审计方面还处在探索阶段,为了能够为被审计单位提出更有价值的审计建议,更好地服务被审计单位,保证信息系统能有效地实现被审计单位的目标,因此,在我国必须尽快建立起符合我国实际的信息系统审计体系。
(二)信息系统审计实施的紧迫性
由于我们国家的信息系统审计工作尚未完全开展起来,对信息系统的安全与控制的问题还没有充分的认识。从逻辑上讲,对系统的依赖是现代审计的基本策略,如果被审计对象全面采用计算机化的信息系统,而审计人员又没有对信息系统进行了解和审计,那么这种审计得出结论的可靠性就要受到质疑。整个审计行业,包括政府审计、注册会计师审计与内部审计在这方面所面临的问题日益严峻,已经危及到了审计行业的生存。“不搞计算机审计,我们就会失去审计的资格”已经逐渐成为审计业界的共识。
三、现阶段开展信息系统审计面临的问题
目前政府信息系统审计还处于探索阶段,还存在相当多的问题,需要审计机关及审计人员进一步去研究、去思考,进而找出解决问题的办法。
(一)审计目标和观念的模糊将信息系统审计引入误区
审计目标应分为总体目标和具体目标。审计的总体目标主要包括被审计单位信息系统的真实、合法、效益,在对系统内控及信息系统审计时,要对被审计单位的财务收支及其经济活动的真实、合法、效益做结论。而在审计实施过程中,部分审计机关及审计人员不能把握总体审计目标与具体目标的界限,笼统地进行表述,缺乏操作性、指导性。同时部分审计机关及审计人员的审计观念仅仅把审计目标认为是查错纠弊,这样势必将信息系统审计与当前中心工作对立起来。把审计仅仅理解为“查账”,则对信息系统审计的理解也只能停留在计算机辅助审计层次上。
大部分审计机关在实施信息系统审计时,十分注重查处问题,把结果最大化,好像只有查找出大案要案,才能证明我们信息化的成果,才发挥了计算机审计的作用,而忽略运用具体的审计方法。这样的审计观念对我们的计算机审计工作容易产生极大误导。在实际的信息系统审计工作中,不能说合法性审计目标不重要或绝对重要,但真实性和效益性与它同等重要。因此,在审计过程中,不能把合法性当成唯一审计目标。
(二)专业人才的缺乏是制约信息系统审计发展的瓶颈
政府审计机关开展信息系统审计不仅仅需要审计人员在业务方面有很强的能力,并且在计算机数据库理论、实物操作、设计等方面有很高的要求,即需要一批既掌握现代审计理论与实务又了解计算机技术并且通晓被审计单位业务的复合型专业人才。但从目前的人员数量和知识结构上看,还远远达不到审计工作目标要求。
(三)行业标准和操作规范的空白必将阻碍信息系统审计的进一步发展
信息系统审计发展到一定阶段,必须由行业组织出面将实践经验加以总结,并把有关概念、工作流程和技术方法固定、统一起来,形成行业的标准和规范。这将是信息系统审计进一步发展的基础。这也是所有行业发展的共同规律。没有标准和规范,所有的实践活动只能局限在低水平上重复。
四、现阶段信息系统审计质量控制策略
(一)积极转变审计人员审计目标和观念
在开展信息系统审计工作中,只有全面树立系统基础审计或风险基础审计的观念,才能理解信息系统审计的重要意义。审计中发现被审计者的很多错弊,究其原因,都是管理上出了漏洞,也就是系统出了问题。而一个管理完善的、控制良好的系统,应该能够防止、发现或纠正自身存在的问题。审计的任务就是要帮助被审计者建立、健全这种机制,而不应该是代替被审计者去履行他们的“管理责任”或“会计责任”。同时,在制定审计具体目标时,要充分考虑具体行业的审计目标,金融有金融的,企业有企业的,行政事业有行政事业的,而且可能每一次审计的重点不一样,领导要求不一样,具体目标就会有所不同。在审计实施过程中,审计机关及审计人员需要准确把握总体审计目标与具体目标的界限,清晰地进行表述,这样对审计工作才具有操作性、指导性。
(二)尽快建立完备的信息系统审计专业人才队伍
建立完备的信息系统审计专业人才队伍是信息系统审计发展的根本。当前,我们必须牢固树立“人才是第一资源”的观念,同时建立合理的选人机制、科学的用人机制和完备的育人机制等,努力形成以高素质审计人员为基础、骨干能手为中坚、行家专家为龙头的专业人才队伍新格局。因此,审计部门要适应时代发展,采取各种方式方法,加强相关人才的培养,从而突破瓶颈,进一步推动信息系统审计的发展。
(三)加快完善信息系统审计的行业标准并适时出台相关操作指南
目前,政府审计机关关于信息系统审计的依据主要有修订后的《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关问题的通知》(国办发【2001】88号)等文件。这些法律法规的出台,给审计部门提供了信息系统审计工作的依据。但是这些规定只赋予了审计部门开展信息系统审计的法律保证,至于具体的审计依据和操作规程则没有明确,可操作性不强。笔者认为,国家审计署和财政部应进一步加强协作,适时出台具体的信息系统审计操作指南和规程,以便更好的指导审计人员完成工作
【参考文献】
[1] 王广庆:《浅析政府信息系统审计现状及发展策略》
[2] 张磊 邵铮:《论开展信息系统审计的必要性和紧迫性》
[3] 薛富平:《浅谈信息系统审计和传统审计的区别和联系》
[4] 贺凤英、韩建荣:《7大问题挑战中国审计信息化 发展对策在何方》
[5] 李 俊:《信息系统审计的组织方式及其适用性分析》
[6] 李丹:《信息系统审计——传统审计的一场革命》
【关键词】信息系统 审计质量 控制
一、信息系统审计概述
(一)信息系统审计的定义
随着全球信息化和审计理论的发展,信息系统审计逐渐引起人们的关注。但是到目前为止,国际上对信息系统审计还没有固定、统一的定义。1969年在美国成立的国际信息系统审计委员会(ISACA)定义为“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标地过程”,该协会的专家 Ron Weber 定义为“搜集并评价证据,以判断一个计算机系统(信息系统)是否有效的做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。
1985年日本通产省情报处理开发协会信息系统审计委员会定义为“所谓信息系统审计是指由独立于审计对象的信息系统审计师站在客观的立场,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用和故障排除,使系统更加健全”,11年后的1996年,该委员会对信息系统审计重新定义为“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导层,提出问题与建议的一连串的活动”。
当前信息系统审计被通俗的定义为:信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。
所以信息系统审计所关注的内容不单纯是对电子数据的处理,更不仅仅是财务信息,而是对被审计单位整个信息系统的可靠性、安全性进行了解和评价,是一项通过审查与评价信息系统的规划、开发、实施、运行和维护等一系列活动,以确定信息系统运行是否安全、可靠、有效,信息系统得出的数据是否可靠准确以及数据是否能有效的存储的过程。
(二)实施信息系统审计的过程和方法
信息系统审计过程与一般审计过程一样,分为准备阶段、实施阶段和报告阶段。其中,准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大,而实施阶段所涉及的技术方法则具有信息技术的特色。在实施阶段,针对被审计的信息系统,审计人员所开展的工作可以分为三个层次,即了解、描述和测试。
计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比,相应增加了计算机技术的内容。对信息系统审计的方法既包括一般方法即手工方法,也包括应用计算机审计的方法。信息系统审计的一般方法主要用于对信息系统的了解和描述,包括:面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试,包括:测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用。但不能把计算机辅助审计技术与工具的使用过程与信息系统审计等同起来。在信息系统审计的过程中,仍然需要运用大量的手工审计技术。
二、现阶段我国信息系统审计的现状
(一)我国信息系统审计现状
目前我国在信息系统审计方面还没有形成一整套体系。但是近年来,在借鉴国外有关信息系统审计经验的基础上,审计署在利用计算机信息系统开展审计工作中已经取得了一定的成果。
1、全面开展对电子数据的审计,包括会计电子数据和业务管理电子数据。采取的具体方法是:
①精确复核。运用计算机,对各种数据进行精确复核,既可以对全辖并表机构的会计报表与汇总报表进行全面复核,又可以从会计流水账逐级核对至总账,还可以将业务管理数据与会计报表数据进行复核;
②编制计算机程序进行辅助计算。可以编制计算机程序对有比例关系的项目进行计算,然后与实际记录进行比较,找出产生差异的记录;
③对一些异常会计记录和交易进行筛选和查询,为审计人员提供审计线索,主要是根据某一特征进行筛选分析,从不同角度分析可疑问题线索。
2、对被审计单位的信息系统的可靠性和内部控制进行初步的评价。
① 主要调查信息系统的使用范围,网络安全和数据的备份等情况,以保证信息系统财务数据的安全、完整;
②对信息系统的内部控制情况进行初步的调查和评价,重点是权限管理、参数表的设置和修改控制等是否有效,信息系统的使用者和系统的开发者是否分离,被审计单位对交易录入的原始数据是否实施相应的控制,信息系统的数据流和业务流程是否吻合;
③通过系统日志等文件分析一些重大事件的原因,分析对整体信息系统的影响。
但是我国在全面开展信息系统审计方面还处在探索阶段,为了能够为被审计单位提出更有价值的审计建议,更好地服务被审计单位,保证信息系统能有效地实现被审计单位的目标,因此,在我国必须尽快建立起符合我国实际的信息系统审计体系。
(二)信息系统审计实施的紧迫性
由于我们国家的信息系统审计工作尚未完全开展起来,对信息系统的安全与控制的问题还没有充分的认识。从逻辑上讲,对系统的依赖是现代审计的基本策略,如果被审计对象全面采用计算机化的信息系统,而审计人员又没有对信息系统进行了解和审计,那么这种审计得出结论的可靠性就要受到质疑。整个审计行业,包括政府审计、注册会计师审计与内部审计在这方面所面临的问题日益严峻,已经危及到了审计行业的生存。“不搞计算机审计,我们就会失去审计的资格”已经逐渐成为审计业界的共识。
三、现阶段开展信息系统审计面临的问题
目前政府信息系统审计还处于探索阶段,还存在相当多的问题,需要审计机关及审计人员进一步去研究、去思考,进而找出解决问题的办法。
(一)审计目标和观念的模糊将信息系统审计引入误区
审计目标应分为总体目标和具体目标。审计的总体目标主要包括被审计单位信息系统的真实、合法、效益,在对系统内控及信息系统审计时,要对被审计单位的财务收支及其经济活动的真实、合法、效益做结论。而在审计实施过程中,部分审计机关及审计人员不能把握总体审计目标与具体目标的界限,笼统地进行表述,缺乏操作性、指导性。同时部分审计机关及审计人员的审计观念仅仅把审计目标认为是查错纠弊,这样势必将信息系统审计与当前中心工作对立起来。把审计仅仅理解为“查账”,则对信息系统审计的理解也只能停留在计算机辅助审计层次上。
大部分审计机关在实施信息系统审计时,十分注重查处问题,把结果最大化,好像只有查找出大案要案,才能证明我们信息化的成果,才发挥了计算机审计的作用,而忽略运用具体的审计方法。这样的审计观念对我们的计算机审计工作容易产生极大误导。在实际的信息系统审计工作中,不能说合法性审计目标不重要或绝对重要,但真实性和效益性与它同等重要。因此,在审计过程中,不能把合法性当成唯一审计目标。
(二)专业人才的缺乏是制约信息系统审计发展的瓶颈
政府审计机关开展信息系统审计不仅仅需要审计人员在业务方面有很强的能力,并且在计算机数据库理论、实物操作、设计等方面有很高的要求,即需要一批既掌握现代审计理论与实务又了解计算机技术并且通晓被审计单位业务的复合型专业人才。但从目前的人员数量和知识结构上看,还远远达不到审计工作目标要求。
(三)行业标准和操作规范的空白必将阻碍信息系统审计的进一步发展
信息系统审计发展到一定阶段,必须由行业组织出面将实践经验加以总结,并把有关概念、工作流程和技术方法固定、统一起来,形成行业的标准和规范。这将是信息系统审计进一步发展的基础。这也是所有行业发展的共同规律。没有标准和规范,所有的实践活动只能局限在低水平上重复。
四、现阶段信息系统审计质量控制策略
(一)积极转变审计人员审计目标和观念
在开展信息系统审计工作中,只有全面树立系统基础审计或风险基础审计的观念,才能理解信息系统审计的重要意义。审计中发现被审计者的很多错弊,究其原因,都是管理上出了漏洞,也就是系统出了问题。而一个管理完善的、控制良好的系统,应该能够防止、发现或纠正自身存在的问题。审计的任务就是要帮助被审计者建立、健全这种机制,而不应该是代替被审计者去履行他们的“管理责任”或“会计责任”。同时,在制定审计具体目标时,要充分考虑具体行业的审计目标,金融有金融的,企业有企业的,行政事业有行政事业的,而且可能每一次审计的重点不一样,领导要求不一样,具体目标就会有所不同。在审计实施过程中,审计机关及审计人员需要准确把握总体审计目标与具体目标的界限,清晰地进行表述,这样对审计工作才具有操作性、指导性。
(二)尽快建立完备的信息系统审计专业人才队伍
建立完备的信息系统审计专业人才队伍是信息系统审计发展的根本。当前,我们必须牢固树立“人才是第一资源”的观念,同时建立合理的选人机制、科学的用人机制和完备的育人机制等,努力形成以高素质审计人员为基础、骨干能手为中坚、行家专家为龙头的专业人才队伍新格局。因此,审计部门要适应时代发展,采取各种方式方法,加强相关人才的培养,从而突破瓶颈,进一步推动信息系统审计的发展。
(三)加快完善信息系统审计的行业标准并适时出台相关操作指南
目前,政府审计机关关于信息系统审计的依据主要有修订后的《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关问题的通知》(国办发【2001】88号)等文件。这些法律法规的出台,给审计部门提供了信息系统审计工作的依据。但是这些规定只赋予了审计部门开展信息系统审计的法律保证,至于具体的审计依据和操作规程则没有明确,可操作性不强。笔者认为,国家审计署和财政部应进一步加强协作,适时出台具体的信息系统审计操作指南和规程,以便更好的指导审计人员完成工作
【参考文献】
[1] 王广庆:《浅析政府信息系统审计现状及发展策略》
[2] 张磊 邵铮:《论开展信息系统审计的必要性和紧迫性》
[3] 薛富平:《浅谈信息系统审计和传统审计的区别和联系》
[4] 贺凤英、韩建荣:《7大问题挑战中国审计信息化 发展对策在何方》
[5] 李 俊:《信息系统审计的组织方式及其适用性分析》
[6] 李丹:《信息系统审计——传统审计的一场革命》
| 【关闭】 【打印】 |
