企业信息系统审计的思考与探究
徐磊(审计署长沙办)
在当今竞争激烈和快速变化的商业环境中,企业面临严峻的挑战,传统的企业管理模式产生变革,信息技术正在渗透到企业业务环境的各个环节,信息化已经成为企业的中枢,影响到企业的生存与发展,其中以ERP为代表的企业信息系统的高度集成逐渐开始兴起。从逻辑上讲,如果被审计对象全面采用信息系统,而审计人员又没有对信息系统进行了解和审计,那么这种审计得出结论的可靠性就要受到质疑。国家审计在这方面所面临的问题日益严峻,“不搞计算机审计,我们就会失去审计的资格”已经成为审计界的共识,作为国家审计机关,对被审计单位的信息系统进行审计已迫在眉睫。
本文结合了相关理论研究和审计实践,对企业信息系统审计进行了思考和探究,并提出了以下具有现实意义的建议。本文以企业计算机审计的组织实施为主进行研究,同时涉及企业审计数据的分析应用方面的介绍。
一、信息系统审计组织方式的探讨
按照现行信息系统审计实践,企业信息系统审计的组织方式主要分为结合式和独立式。结合式的信息系统审计和独立式的信息系统审计关注点有所不同,现阶段由于独立式的信息系统审计项目还不多,结合式的信息系统审计是实践中最常见的组织方式。
(一)结合式信息系统审计的选择。
1.业务电子数据或信息系统可信度需要
在审前调查时,“审计组认为被审计单位所使用的软件或者信息系统可能存在瑕疵或者缺陷,进而可能对于电子数据的真实性、完整性产生重要影响时,应当建议在审计实施方案中增加检查信息系统的内容。”[1]
业务电子数据的真实是开展审计的前提,审计组在编制审计方案前,应根据审计项目的规模和性质,安排适当的人员和时间,对被审计单位的有关情况进行考察。如果被审计单位的信息系统存在明显错误或缺陷,则需要根据错误和缺陷的具体情况,对信息系统开展可信度审计。
2.业务数据审计的需要
在审计的过程中,发现一些规律性和倾向性的问题,分析后发现若主要原因是信息系统不设定控制,完全由人为控制导致的情况。这种类型应该放弃对信息系统本身的审计(因为系统完全没有控制),转为数据式审计。例如某企业未购置ERP SRM模块(供应链关系管理),没有完整的招投标管理功能,招投标主要是通过人工管理,审计人员通过数据整理、转换、筛选等常规数据审计方法,最后发现该公司违规(标书)向少于三家的单位发出投标邀请书,合同金额共计50758.19万元。
(二)独立式信息系统审计的选择。
由于独立式的企业信息系统审计是单纯的信息系统审计,并不伴随着财务审计同时进行。审计人员为了对某信息系统的安全、可靠、有效和效率性以及信息系统是否符合组织目标进行独立评价,可以进行独立式的信息系统审计,并根据所获得审计证据得出审计结论。
从目前来看,独立式的企业信息系统审计主要适用于一些信息化程度比较高的行业的信息系统的审计,特点是信息系统比较复杂,财务业务集成度比较高,终端用户比较多,数据比较集中,信息化程度比较高,因此相应的信息化风险也比较高。其中值得关注的是这些信息系统的绩效审计,这也是信息系统独立审计的一大优点和特色。
1.信息系统绩效审计的需要
当企业信息化发展水平达到一定程度后,信息系统的绩效问题逐渐引起了人们的关注。ERP项目实施过程十分昂贵和复杂。而且,由于软件的复杂性和封闭式集成,一旦实施后很难改变。另外,ERP在项目实施过程中,经常会期望企业改变商业运作模式以适应其软件。一些超大型企业可以投入巨资进行软件的客户化,但是对于中等规模的企业,复杂的项目实施,往往会将客户拖入无休止的泥潭。例如国内一汽大众的SAP ERP的累计实施投资已经过亿元,但实施效果其实并不理想。之后又选用了与SAP的ERP “配套” 的CRM(客户关系管理)供应商SIEBEL软件, 其CRM系统实施了几年, 至今效果不佳。因此基于IT投资项目的潜在高风险,对IT投资项目开展绩效审计很有意义。
2.信息系统安全审计的需要
企业对信息系统的依赖性逐渐增强,信息系统中处理和存储的信息其中相当部分信息是重要的战略资源并有保密要求的。如金融机构的核心业务系统,电信运行系统,铁路、飞机的调动运营系统等。这些关系国计民生的行业的信息系统一旦出现安全事故,将给社会带来不可估量的损失,甚至威胁着国民经济的正常运行和国家安全。因此,对企业信息系统开展安全审计具有极为重要的意义。
(三)关于组织方式的探讨。
现阶段的企业信息系统审计还不适合开展独立式审计,主要瓶颈包括几个方面:一是囿于法律的障碍,现在还不能只针对企业的信息系统进行审计立项,二是审计人员知识结构和技术能力还未达到可以独立开展信息系统审计,三是特派办审计人力资源匮乏,一方面人员力量不足,另一方面基本每个项目都需要计算机专业人员的支持,四是“两张皮”的问题依然严峻,不适合开展独立信息系统审计。
二、关于信息系统审计的几点探讨
一是深入研究Oralce、SAP两家公司的ERP产品,充分利用事务所IT审计结果。目前在国外独立式的信息系统审计已经成为一种职业,在我国一些大型的事务所也已经逐步开展独立式信息系统审计,并取得了一定的成效。从审计实践中发现,事务所IT审计有很多地方值得我们借鉴。
二是利用信息系统审计的优势,开展效益审计。
信息系统审计在审计中的优势我们认为包括两个方面:一是数据审计,主要优点是总体数据的分析效果好,如总体分析和统计、某项指标的趋势分析,数据审计重点应放在分析业务数据上;二是信息系统本身的效益审计。信息系统耗费了国家和企业大量的人力、物力和财力建造而成,国家和人民迫切需要对这些系统运行的安全、可靠、有效和效率等进行评价,信息系统审计能够满足这一要求。
三是适当考虑项目计划安排,促进信息系统审计的发展。
我国信息系统审计还处在初级阶段,项目的安排对信息系统审计的发展和指导起到至关重要的作用。一方面不是所有的企业审计都适合采用信息系统审计的方式。在企业信息系统审计项目的选择过程中,应考虑企业的信息化发展水平、企业的财务、业务与信息化的结合程度以及企业信息化的风险等相关因素,来加以综合考虑。另一方面应综合考虑项目安排对信息系统审计的指导与发展。我们统计了一下近2年审计署企业审计项目安排,并对企业所属行业进行了对比。从结果来看,2010年至2011年,共开展企业审计项目22个,其中制造业占50.00%,建筑业占18.18%,采矿业、电力及煤气的生产和供应业、信息传输业各占9.09%,交通运输、仓储及邮政业占4.55%。
表一:企业所属行业占比
图1:企业所属行业占比饼图
以上结果仅供参考,企业多元经营对行业统计结果有一定影响。
总的来说被审计单位行业较为分散,各审计项目之间缺乏借鉴意义;同一特派办负责项目所属行业较为分散,信息系统审计缺乏延续性。
四是积极推进政策法规、指导意见的改革和完善。
目前,国外在私人企业和政府部门的信息系统审计方面积累许多经验,并制定了相应的信息系统审计准则和指南,但是针对国有企业信息系统审计的研究较少。信息系统审计中除信息系统安全法规外,如在电子证据法规等其他方面缺乏相关国家法律法规、政策依据的支持,取证难度较大。此次我们在执行信息系统审计中,明显感觉政策依据不足,主要只使用了被审单位内部规定和国家推荐标准(GB/T),法律层面不高,缺乏强制性。同时具体执行的指导意见相对较粗犷,缺乏对具体操作的要求和规范。因此我们认为一方面要积极推进审计依据的建设与完善,另一方面要推进指导意见或标准的改革和发展。(徐磊)
参考资料:
[1]《计算机审计审前调查指南――计算机审计实务公告第8号》
本文结合了相关理论研究和审计实践,对企业信息系统审计进行了思考和探究,并提出了以下具有现实意义的建议。本文以企业计算机审计的组织实施为主进行研究,同时涉及企业审计数据的分析应用方面的介绍。
一、信息系统审计组织方式的探讨
按照现行信息系统审计实践,企业信息系统审计的组织方式主要分为结合式和独立式。结合式的信息系统审计和独立式的信息系统审计关注点有所不同,现阶段由于独立式的信息系统审计项目还不多,结合式的信息系统审计是实践中最常见的组织方式。
(一)结合式信息系统审计的选择。
1.业务电子数据或信息系统可信度需要
在审前调查时,“审计组认为被审计单位所使用的软件或者信息系统可能存在瑕疵或者缺陷,进而可能对于电子数据的真实性、完整性产生重要影响时,应当建议在审计实施方案中增加检查信息系统的内容。”[1]
业务电子数据的真实是开展审计的前提,审计组在编制审计方案前,应根据审计项目的规模和性质,安排适当的人员和时间,对被审计单位的有关情况进行考察。如果被审计单位的信息系统存在明显错误或缺陷,则需要根据错误和缺陷的具体情况,对信息系统开展可信度审计。
2.业务数据审计的需要
在审计的过程中,发现一些规律性和倾向性的问题,分析后发现若主要原因是信息系统不设定控制,完全由人为控制导致的情况。这种类型应该放弃对信息系统本身的审计(因为系统完全没有控制),转为数据式审计。例如某企业未购置ERP SRM模块(供应链关系管理),没有完整的招投标管理功能,招投标主要是通过人工管理,审计人员通过数据整理、转换、筛选等常规数据审计方法,最后发现该公司违规(标书)向少于三家的单位发出投标邀请书,合同金额共计50758.19万元。
(二)独立式信息系统审计的选择。
由于独立式的企业信息系统审计是单纯的信息系统审计,并不伴随着财务审计同时进行。审计人员为了对某信息系统的安全、可靠、有效和效率性以及信息系统是否符合组织目标进行独立评价,可以进行独立式的信息系统审计,并根据所获得审计证据得出审计结论。
从目前来看,独立式的企业信息系统审计主要适用于一些信息化程度比较高的行业的信息系统的审计,特点是信息系统比较复杂,财务业务集成度比较高,终端用户比较多,数据比较集中,信息化程度比较高,因此相应的信息化风险也比较高。其中值得关注的是这些信息系统的绩效审计,这也是信息系统独立审计的一大优点和特色。
1.信息系统绩效审计的需要
当企业信息化发展水平达到一定程度后,信息系统的绩效问题逐渐引起了人们的关注。ERP项目实施过程十分昂贵和复杂。而且,由于软件的复杂性和封闭式集成,一旦实施后很难改变。另外,ERP在项目实施过程中,经常会期望企业改变商业运作模式以适应其软件。一些超大型企业可以投入巨资进行软件的客户化,但是对于中等规模的企业,复杂的项目实施,往往会将客户拖入无休止的泥潭。例如国内一汽大众的SAP ERP的累计实施投资已经过亿元,但实施效果其实并不理想。之后又选用了与SAP的ERP “配套” 的CRM(客户关系管理)供应商SIEBEL软件, 其CRM系统实施了几年, 至今效果不佳。因此基于IT投资项目的潜在高风险,对IT投资项目开展绩效审计很有意义。
2.信息系统安全审计的需要
企业对信息系统的依赖性逐渐增强,信息系统中处理和存储的信息其中相当部分信息是重要的战略资源并有保密要求的。如金融机构的核心业务系统,电信运行系统,铁路、飞机的调动运营系统等。这些关系国计民生的行业的信息系统一旦出现安全事故,将给社会带来不可估量的损失,甚至威胁着国民经济的正常运行和国家安全。因此,对企业信息系统开展安全审计具有极为重要的意义。
(三)关于组织方式的探讨。
现阶段的企业信息系统审计还不适合开展独立式审计,主要瓶颈包括几个方面:一是囿于法律的障碍,现在还不能只针对企业的信息系统进行审计立项,二是审计人员知识结构和技术能力还未达到可以独立开展信息系统审计,三是特派办审计人力资源匮乏,一方面人员力量不足,另一方面基本每个项目都需要计算机专业人员的支持,四是“两张皮”的问题依然严峻,不适合开展独立信息系统审计。
二、关于信息系统审计的几点探讨
一是深入研究Oralce、SAP两家公司的ERP产品,充分利用事务所IT审计结果。目前在国外独立式的信息系统审计已经成为一种职业,在我国一些大型的事务所也已经逐步开展独立式信息系统审计,并取得了一定的成效。从审计实践中发现,事务所IT审计有很多地方值得我们借鉴。
二是利用信息系统审计的优势,开展效益审计。
信息系统审计在审计中的优势我们认为包括两个方面:一是数据审计,主要优点是总体数据的分析效果好,如总体分析和统计、某项指标的趋势分析,数据审计重点应放在分析业务数据上;二是信息系统本身的效益审计。信息系统耗费了国家和企业大量的人力、物力和财力建造而成,国家和人民迫切需要对这些系统运行的安全、可靠、有效和效率等进行评价,信息系统审计能够满足这一要求。
三是适当考虑项目计划安排,促进信息系统审计的发展。
我国信息系统审计还处在初级阶段,项目的安排对信息系统审计的发展和指导起到至关重要的作用。一方面不是所有的企业审计都适合采用信息系统审计的方式。在企业信息系统审计项目的选择过程中,应考虑企业的信息化发展水平、企业的财务、业务与信息化的结合程度以及企业信息化的风险等相关因素,来加以综合考虑。另一方面应综合考虑项目安排对信息系统审计的指导与发展。我们统计了一下近2年审计署企业审计项目安排,并对企业所属行业进行了对比。从结果来看,2010年至2011年,共开展企业审计项目22个,其中制造业占50.00%,建筑业占18.18%,采矿业、电力及煤气的生产和供应业、信息传输业各占9.09%,交通运输、仓储及邮政业占4.55%。
|
行业 |
项目数 |
占比 |
|
制造业 |
11 |
50.00% |
|
建筑业 |
4 |
18.18% |
|
采矿业 |
2 |
9.09% |
|
电力、煤气及水的生产和供应业 |
2 |
9.09% |
|
信息传输、计算机服务和软件业 |
2 |
9.09% |
|
交通运输、仓储及邮政业 |
1 |
4.55% |
|
合计 |
22 |
100% |
|
图1:企业所属行业占比饼图
以上结果仅供参考,企业多元经营对行业统计结果有一定影响。
总的来说被审计单位行业较为分散,各审计项目之间缺乏借鉴意义;同一特派办负责项目所属行业较为分散,信息系统审计缺乏延续性。
四是积极推进政策法规、指导意见的改革和完善。
目前,国外在私人企业和政府部门的信息系统审计方面积累许多经验,并制定了相应的信息系统审计准则和指南,但是针对国有企业信息系统审计的研究较少。信息系统审计中除信息系统安全法规外,如在电子证据法规等其他方面缺乏相关国家法律法规、政策依据的支持,取证难度较大。此次我们在执行信息系统审计中,明显感觉政策依据不足,主要只使用了被审单位内部规定和国家推荐标准(GB/T),法律层面不高,缺乏强制性。同时具体执行的指导意见相对较粗犷,缺乏对具体操作的要求和规范。因此我们认为一方面要积极推进审计依据的建设与完善,另一方面要推进指导意见或标准的改革和发展。(徐磊)
参考资料:
[1]《计算机审计审前调查指南――计算机审计实务公告第8号》
| 【关闭】 【打印】 |
