审计机关开展信息系统审计的若干思考
于飞(江苏省泰州市审计局)
[摘 要]本文结合审计机关开展信息系统审计工作的实践,就信息系统审计概念的理解、对象的认识、目标的明确、内容的界定、方法的选择、标准的选用等方面,进行了较为深入的研究和探讨,以期能够推动政府信息系统审计的进一步发展。
[关键词]审计机关;信息系统审计;框架
近年来,信息系统审计引起了各级审计机关的广泛关注。审计署在《2008-2012年审计工作发展规划》中,提出要“全面提高计算机技术应用水平,积极探索联网审计和信息系统审计”。刘家义审计长在《树立科学审计理念,发挥审计监督“免疫系统”功能》一文中,也明确提出要“探索信息系统审计方法”。从审计实践来看,2007年以来,各级审计机关陆续安排和实施了不少的信息系统审计项目,取得了明显的成效,也为今后信息系统审计的全面开展锻炼了队伍,积累了经验。同时,我们也清楚地意识到,由于信息系统审计引入我国时间尚短,很多理论方法体系尚未形成,在当前政府信息系统审计的实务中,还存在着不少的疑点和困惑。下面,笔者结合工作实际,谈谈对政府信息系统审计的一些个人看法。
一、理解信息系统审计概念
信息系统审计是什么?对此,不同的个人和组织进行了不同的描述和解释,其中以Ron Weber、日本通产省情报协会、信息系统审计与控制协会(ISACA)的观点最为各界广泛接收。如 “信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程”。由于信息系统审计理论主要来自西方,所以很多审计人员也就自然而然地采纳了上述的观点。
这其中的问题在于,信息系统审计的主体有多种,如信息咨询机构、社会审计组织、内部审计机构以及政府审计机关等,不同的实施主体有着不同的职能、定位和侧重点。我们理解信息系统审计的概念,不能不考虑审计主体的差异性。而Ron Weber等人的概念,主要针对的是专业咨询、内部审计等机构,并不完全适用于政府审计机关。
我们认为,政府信息系统审计的概念应该是:审计机关依法对被审计单位的信息系统进行独立检查和监督,评价其对财政财务收支及有关经济活动的影响程度,作出审计结论,提出针对性审计建议,促进信息系统产生正面影响的一系列过程。这其中需要特别强调的是:政府信息系统审计的主体是审计机关,而根本的出发点是监督。
二、认识信息系统审计对象
传统审计的对象主要是“会计凭证、会计账簿、财务会计报告以及其他与财政财务收支有关的资料和资产”,而信息系统审计的对象则主要是“运用电子计算机管理财政收支、财务收支电子数据的系统”。那么,对于政府信息系统审计对象的这个“系统”,我们应该如何准确地理解和把握呢?
首先,审计的对象不局限于财务系统。“管理财政收支、财务收支电子数据的系统”通常是指财务系统,但也可能涉及其他系统。有的财务系统是和其他系统整合在一起的;有的财务系统的基础数据是由业务系统自动生成的。审计机关有权检查所有可能影响财政财务收支电子数据的真实性和完整性的系统,而不管这个系统的名称是什么。
其次,审计的对象不局限于备份系统。被审计单位往往不同意审计人员检查其实时运行的系统,而只愿意提供对应的备份或测试系统。如果审计人员确实需要,完全可以对被审计单位的实时系统进行检查。只不过在检查时,要注意不能影响系统的正常运行,更不能随意向系统中加入或改写任何信息。
最后,审计的对象不局限于软件系统。“系统等同于应用软件”的观念,如果是定义在计算机技术发展的初期阶段,还可以为人普遍接受,但在系统集成技术高度发展的今天,已显得不够严密和科学。从构成要素上来说,软件、硬件、数据、人员和规程,都是系统的有机组成部分,也都应该是信息系统审计的对象。
三、明确信息系统审计目标
西方的信息系统审计,具有较强的工程控制和信息监理倾向,总体目标是对系统进行评估和完善,帮助实现组织的自身价值。而我国审计机关开展的信息系统审计,是以预防、揭露、抵御为职能,总体目标始终是监督财政财务收支及有关经济活动的真实性、合法性和效益性。
就真实性而言,在信息化的进程中,许多传统的控制手段都失去了作用,会计资料、业务数据的真实性和完整性得不到应有的保护,社会诚信也受到了很大的威胁。在这样的背景下,通过信息系统审计来堵塞系统漏洞,保证财务和业务数据的可信与可靠程度,就显得尤为迫切与重要。可以说,真实性是信息系统审计在新环境下延续的传统审计目标。
就合法性而言,我国政府审计的主要职责是维护财经法律秩序。通过审计剖析信息系统存在的漏洞和风险,最终发现被审计单位的违规违纪问题,甚至是大案要案的线索,是政府信息系统审计不可推卸的受托责任。从这个意义上讲,合法性应该是信息系统审计的最核心目标。
就效益性而言,虽然政府及其所属部门的信息系统大都是公益性或准公益性的项目,不以盈利为目的,但这些系统要为社会提供公共服务,要能满足社会共同需要,推动国民经济和社会事业持续发展,具有明显的宏观效益和社会效益,需要审计机关进行必要的评估。因此,效益性同样也是信息系统审计的重要目标。
四、界定信息系统审计内容
在实际操作中,如何准确地界定信息系统审计的内容和范围?这个问题,常常令审计人员倍感困扰。比较普遍的观点是分为三部分内容:信息系统内部控制的审计、信息系统本身的审计以及信息系统数据的审计。当然,确定信息系统审计的内容,最为关键的还是要围绕审计目标。信息系统在被审计单位的财政财务收支以及经济活动中,能对“真实、合法、效益”这三方面产生影响的,就应该列为审计内容;反之,则不应该列为审计的主要内容。
举例来说,对银行的“数据访问安全性评估”是否属于信息系统审计内容?回答是属于,因为数据的非授权访问,会直接影响到银行财务收支的真实性。再如,对社保的“灾备恢复计划检查”是否属于信息系统审计内容?回答也是属于,因为其决定了社保基金能否在意外事件发生后,不受影响地缴纳和发放,这与公众利益紧密关联,具有很强的社会效益性。也有一些情况我们需要区别对待,如在“系统生命周期审计”中,同样是系统开发控制,对内部人员预设舞弊模块、人为调整数值金额的控制,就应该属于信息系统审计内容,因为其对财务收支的真实性和合法性有直接影响;而对程序界面是否美观等方面的控制,则不应属于信息系统审计内容,因为其对于“真实、合法、效益”并无直接影响。
五、选择信息系统审计方法
信息系统审计的技术方法有多种,有的在传统审计中也经常使用,如面谈询问法、调查问卷法、实地观察法、分析复核法等;有的则是信息系统审计中所特有,如综合测试法、平行模拟法、受控处理法等。选用什么样的审计方法,一切要以获取充分和适当的审计证据、形成有说服力的审计报告为重。只有方法适当,才能为准确地描述和评价被审计单位的信息系统提供保证。
在现阶段,除了继续使用传统的审计方法外,审计人员也应该注意调整思维定式,不断尝试和采用先进的信息系统审计技术和手段。例如,利用审计人员在数据分析和审计业务方面的优势,从信息系统涉及的数据入手,追踪系统控制中存在的问题和疏漏,就是信息系统审计实务中比较可行的一种方法。对于那些受客观因素的限制,一时难以施行的审计方法,可以稍作变通,灵活运用。如源代码检查法,难度极大,又不易取得被审计单位的支持和配合,审计人员可以将其转变为对业务流程中主要计算公式的检查,这样既降低了审计风险,又不会影响审计质量。
六、选用信息系统审计标准
在信息系统审计实践中,由于被审计单位的多样性,不同的项目不可能使用完全相同的评价标准。因此,审计人员必须为每一个审计任务“量体裁衣”,根据项目的具体特点和具体目标,有针对性地来确定审计标准。在选择信息系统审计评价标准时,要与被审计单位充分沟通,解决相互间对衡量指标的分歧,这样审计结论才能得到被审计单位的认可。
信息系统审计的评价标准,通常来源于如下载体:法律法规,如国务院颁布的《计算机信息系统安全保护条例》;部门规章,如卫生部印发的《医院信息系统基本功能规范》;普适标准,指那些虽然没有在正式文件中具体出现,但却为绝多数人所普遍接受的正确规范或做法,类似于民法上的“公序良俗”。COBIT(信息及相关技术控制目标)能否作为政府信息系统审计的评价标准?这是需要慎重考虑的。COBIT是一个优秀的IT治理指标框架,为我们分析和控制信息系统的风险与收益提供了模型,但它作为一个国外的协会标准,似乎并不能直接作为我国政府审计的定性和评价依据,而只能作为审计建议的一种参考。
从实际情况来看,信息系统审计所需要的各类评价标准,大都是由其专业主管部门来制定的。审计机关要做的主要工作,是收集、整理和归纳已有的标准,并时刻注意其更新、修订的情况。不过,由于出发点和目的不同,很多行业标准并不能完全反映国家审计的重点关注。因此,在充分借鉴的基础之上,推动建立既满足审计需求,又符合行业规范的信息系统通用标准,也是非常必要的。
结语
信息系统审计是对审计监督“免疫系统”理论的积极回应,是审计发展的新路径。如果不搞信息系统审计,就无法履行“全面审计、突出重点”的审计职责,就无法实现融入世界审计主流的目标。因此,审计人员要勇于探索、勤于研究、善于实践,不断拓展信息系统审计的广度和深度,力争取得越来越大的审计成果。(于飞 江苏省泰州市审计局)
〔参考文献〕
[1] 石爱中.审计发展的新路径:信息系统审计[J].中国审计,2008,(3).
[2] 庄明来等.信息系统审计内容与方法[M].北京:中国时代经济出版社,2008.
[3] 刘汝焯等.计算机审计技术和方法[M].北京:清华大学出版社,2004.
[4] 王万军,周希,陈耿.信息系统审计决策模型研究[J].审计与经济研究,2008,(5).
[5] 卢红柱. 计算机信息系统审计的探索之路[J].审计研究,2006,(增刊).
[6] 李春青.政府信息系统审计:基于经济监督视角的信息系统审计[J].审计月刊,2007,(3).
[关键词]审计机关;信息系统审计;框架
近年来,信息系统审计引起了各级审计机关的广泛关注。审计署在《2008-2012年审计工作发展规划》中,提出要“全面提高计算机技术应用水平,积极探索联网审计和信息系统审计”。刘家义审计长在《树立科学审计理念,发挥审计监督“免疫系统”功能》一文中,也明确提出要“探索信息系统审计方法”。从审计实践来看,2007年以来,各级审计机关陆续安排和实施了不少的信息系统审计项目,取得了明显的成效,也为今后信息系统审计的全面开展锻炼了队伍,积累了经验。同时,我们也清楚地意识到,由于信息系统审计引入我国时间尚短,很多理论方法体系尚未形成,在当前政府信息系统审计的实务中,还存在着不少的疑点和困惑。下面,笔者结合工作实际,谈谈对政府信息系统审计的一些个人看法。
一、理解信息系统审计概念
信息系统审计是什么?对此,不同的个人和组织进行了不同的描述和解释,其中以Ron Weber、日本通产省情报协会、信息系统审计与控制协会(ISACA)的观点最为各界广泛接收。如 “信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程”。由于信息系统审计理论主要来自西方,所以很多审计人员也就自然而然地采纳了上述的观点。
这其中的问题在于,信息系统审计的主体有多种,如信息咨询机构、社会审计组织、内部审计机构以及政府审计机关等,不同的实施主体有着不同的职能、定位和侧重点。我们理解信息系统审计的概念,不能不考虑审计主体的差异性。而Ron Weber等人的概念,主要针对的是专业咨询、内部审计等机构,并不完全适用于政府审计机关。
我们认为,政府信息系统审计的概念应该是:审计机关依法对被审计单位的信息系统进行独立检查和监督,评价其对财政财务收支及有关经济活动的影响程度,作出审计结论,提出针对性审计建议,促进信息系统产生正面影响的一系列过程。这其中需要特别强调的是:政府信息系统审计的主体是审计机关,而根本的出发点是监督。
二、认识信息系统审计对象
传统审计的对象主要是“会计凭证、会计账簿、财务会计报告以及其他与财政财务收支有关的资料和资产”,而信息系统审计的对象则主要是“运用电子计算机管理财政收支、财务收支电子数据的系统”。那么,对于政府信息系统审计对象的这个“系统”,我们应该如何准确地理解和把握呢?
首先,审计的对象不局限于财务系统。“管理财政收支、财务收支电子数据的系统”通常是指财务系统,但也可能涉及其他系统。有的财务系统是和其他系统整合在一起的;有的财务系统的基础数据是由业务系统自动生成的。审计机关有权检查所有可能影响财政财务收支电子数据的真实性和完整性的系统,而不管这个系统的名称是什么。
其次,审计的对象不局限于备份系统。被审计单位往往不同意审计人员检查其实时运行的系统,而只愿意提供对应的备份或测试系统。如果审计人员确实需要,完全可以对被审计单位的实时系统进行检查。只不过在检查时,要注意不能影响系统的正常运行,更不能随意向系统中加入或改写任何信息。
最后,审计的对象不局限于软件系统。“系统等同于应用软件”的观念,如果是定义在计算机技术发展的初期阶段,还可以为人普遍接受,但在系统集成技术高度发展的今天,已显得不够严密和科学。从构成要素上来说,软件、硬件、数据、人员和规程,都是系统的有机组成部分,也都应该是信息系统审计的对象。
三、明确信息系统审计目标
西方的信息系统审计,具有较强的工程控制和信息监理倾向,总体目标是对系统进行评估和完善,帮助实现组织的自身价值。而我国审计机关开展的信息系统审计,是以预防、揭露、抵御为职能,总体目标始终是监督财政财务收支及有关经济活动的真实性、合法性和效益性。
就真实性而言,在信息化的进程中,许多传统的控制手段都失去了作用,会计资料、业务数据的真实性和完整性得不到应有的保护,社会诚信也受到了很大的威胁。在这样的背景下,通过信息系统审计来堵塞系统漏洞,保证财务和业务数据的可信与可靠程度,就显得尤为迫切与重要。可以说,真实性是信息系统审计在新环境下延续的传统审计目标。
就合法性而言,我国政府审计的主要职责是维护财经法律秩序。通过审计剖析信息系统存在的漏洞和风险,最终发现被审计单位的违规违纪问题,甚至是大案要案的线索,是政府信息系统审计不可推卸的受托责任。从这个意义上讲,合法性应该是信息系统审计的最核心目标。
就效益性而言,虽然政府及其所属部门的信息系统大都是公益性或准公益性的项目,不以盈利为目的,但这些系统要为社会提供公共服务,要能满足社会共同需要,推动国民经济和社会事业持续发展,具有明显的宏观效益和社会效益,需要审计机关进行必要的评估。因此,效益性同样也是信息系统审计的重要目标。
四、界定信息系统审计内容
在实际操作中,如何准确地界定信息系统审计的内容和范围?这个问题,常常令审计人员倍感困扰。比较普遍的观点是分为三部分内容:信息系统内部控制的审计、信息系统本身的审计以及信息系统数据的审计。当然,确定信息系统审计的内容,最为关键的还是要围绕审计目标。信息系统在被审计单位的财政财务收支以及经济活动中,能对“真实、合法、效益”这三方面产生影响的,就应该列为审计内容;反之,则不应该列为审计的主要内容。
举例来说,对银行的“数据访问安全性评估”是否属于信息系统审计内容?回答是属于,因为数据的非授权访问,会直接影响到银行财务收支的真实性。再如,对社保的“灾备恢复计划检查”是否属于信息系统审计内容?回答也是属于,因为其决定了社保基金能否在意外事件发生后,不受影响地缴纳和发放,这与公众利益紧密关联,具有很强的社会效益性。也有一些情况我们需要区别对待,如在“系统生命周期审计”中,同样是系统开发控制,对内部人员预设舞弊模块、人为调整数值金额的控制,就应该属于信息系统审计内容,因为其对财务收支的真实性和合法性有直接影响;而对程序界面是否美观等方面的控制,则不应属于信息系统审计内容,因为其对于“真实、合法、效益”并无直接影响。
五、选择信息系统审计方法
信息系统审计的技术方法有多种,有的在传统审计中也经常使用,如面谈询问法、调查问卷法、实地观察法、分析复核法等;有的则是信息系统审计中所特有,如综合测试法、平行模拟法、受控处理法等。选用什么样的审计方法,一切要以获取充分和适当的审计证据、形成有说服力的审计报告为重。只有方法适当,才能为准确地描述和评价被审计单位的信息系统提供保证。
在现阶段,除了继续使用传统的审计方法外,审计人员也应该注意调整思维定式,不断尝试和采用先进的信息系统审计技术和手段。例如,利用审计人员在数据分析和审计业务方面的优势,从信息系统涉及的数据入手,追踪系统控制中存在的问题和疏漏,就是信息系统审计实务中比较可行的一种方法。对于那些受客观因素的限制,一时难以施行的审计方法,可以稍作变通,灵活运用。如源代码检查法,难度极大,又不易取得被审计单位的支持和配合,审计人员可以将其转变为对业务流程中主要计算公式的检查,这样既降低了审计风险,又不会影响审计质量。
六、选用信息系统审计标准
在信息系统审计实践中,由于被审计单位的多样性,不同的项目不可能使用完全相同的评价标准。因此,审计人员必须为每一个审计任务“量体裁衣”,根据项目的具体特点和具体目标,有针对性地来确定审计标准。在选择信息系统审计评价标准时,要与被审计单位充分沟通,解决相互间对衡量指标的分歧,这样审计结论才能得到被审计单位的认可。
信息系统审计的评价标准,通常来源于如下载体:法律法规,如国务院颁布的《计算机信息系统安全保护条例》;部门规章,如卫生部印发的《医院信息系统基本功能规范》;普适标准,指那些虽然没有在正式文件中具体出现,但却为绝多数人所普遍接受的正确规范或做法,类似于民法上的“公序良俗”。COBIT(信息及相关技术控制目标)能否作为政府信息系统审计的评价标准?这是需要慎重考虑的。COBIT是一个优秀的IT治理指标框架,为我们分析和控制信息系统的风险与收益提供了模型,但它作为一个国外的协会标准,似乎并不能直接作为我国政府审计的定性和评价依据,而只能作为审计建议的一种参考。
从实际情况来看,信息系统审计所需要的各类评价标准,大都是由其专业主管部门来制定的。审计机关要做的主要工作,是收集、整理和归纳已有的标准,并时刻注意其更新、修订的情况。不过,由于出发点和目的不同,很多行业标准并不能完全反映国家审计的重点关注。因此,在充分借鉴的基础之上,推动建立既满足审计需求,又符合行业规范的信息系统通用标准,也是非常必要的。
结语
信息系统审计是对审计监督“免疫系统”理论的积极回应,是审计发展的新路径。如果不搞信息系统审计,就无法履行“全面审计、突出重点”的审计职责,就无法实现融入世界审计主流的目标。因此,审计人员要勇于探索、勤于研究、善于实践,不断拓展信息系统审计的广度和深度,力争取得越来越大的审计成果。(于飞 江苏省泰州市审计局)
〔参考文献〕
[1] 石爱中.审计发展的新路径:信息系统审计[J].中国审计,2008,(3).
[2] 庄明来等.信息系统审计内容与方法[M].北京:中国时代经济出版社,2008.
[3] 刘汝焯等.计算机审计技术和方法[M].北京:清华大学出版社,2004.
[4] 王万军,周希,陈耿.信息系统审计决策模型研究[J].审计与经济研究,2008,(5).
[5] 卢红柱. 计算机信息系统审计的探索之路[J].审计研究,2006,(增刊).
[6] 李春青.政府信息系统审计:基于经济监督视角的信息系统审计[J].审计月刊,2007,(3).
| 【关闭】 【打印】 |
