随着信息技术的广泛应用,以计算机和网络为特征的信息系统日益普及,审计机关实施审计的信息很多来源于被审计单位的信息系统,这些信息系统是否安全、可靠和有效是审计工作顺利开展的重要前提。对信息系统进行审计是信息化环境下新的审计模式,也是审计工作中一个重要环节,越来越受到审计机关的重视。为更好地履行审计监督的职能,完成信息化时代所赋予审计新的使命,本文针对现阶段审计机关应采取哪些措施开展信息系统审计进行了初步探讨。
一、什么是信息系统审计
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程(国际信息系统审计与控制协会ISACA的定义)。
目前审计机关信息系统审计主要有两种方式,一种是将信息系统审计作为常规审计的一部分,为实现审计项目的总体目标服务,即数据审计、信息系统审计和系统内部控制审计“三位一体”的结合方式。信息系统审计和系统内部控制审计为数据审计服务,通过审计数据得出结论。另一种是独立立项的,直接审计信息系统本身的安全性、可靠性和有效性。
二、为什么要开展信息系统审计
信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然产物。
(一)开展信息系统审计是控制审计风险的要求。近几年,审计纸质账目时,内部控制也要审计,不能假账真审。同样的道理也不能假电子数据真审,如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。
(二)开展信息系统审计是全面履行审计职责的要求。信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须“三位一体”,在审计过程中,这三项内容不能少。只有这样,我们才能完成审计署党组强调的“全面审计,突出重点”的要求,全面履行审计职责。
三、现阶段如何开展信息系统审计
(一)提高全体审计人员信息系统审计的意识。
“审计人员不掌握计算机技术,将失去审计资格”这一观点基本得到了八万审计人员的认同,这些年计算机在审计领域得到了普遍的应用,数据审计得到了有力的推进,但大多数人对于信息系统审计的认识还不到位,对开展信息系统审计的必要性、紧迫性认识不足,甚至对开展信息系统审计的可行性持怀疑态度。为保证信息系统产生的数据真实完整,信息系统的安全、可靠和有效是前提,重大的审计项目,只要被审计单位应用的是信息系统,我们就必须审计信息系统,检查系统内部控制,只有这样才能防止假账真审。
(二)学习国外先进的信息系统审计理论。
国际上的信息系统审计已经发展多年,信息系统审计最早出现于美国。20世纪60年代,人工数据处理开始转向电子数据处理,产生了电子数据审计,可以看作是信息系统审计的雏形;20世纪90年代以来,随着计算机信息系统的应用,出现了信息系统审计。成立于1969年的美国信息系统审计与控制协会ISACA,于1996年推出了用于“IT审计”的知识体系COBIT,作为IT治理的核心模型,COBIT包含34个信息技术过程控制,归集为四个控制域:IT规划和组织、系统获得和事实、交付与支持以及信息系统运行性能监控。COBIT目前已成为国际上公认的IT管理与控制标准。ISACA协会制定了信息系统审计职业道德规范、准则、指南和程序。通过学习国外经验,以去粗取精,去伪存真,可以使我们信息系统审计理论与实践少走弯路,节约时间和资源。
(三)分层次进行信息系统审计人才的培养。
信息系统审计人才的培养应从三个方面入手:一是信息系统审计领军人才的培养。信息系统审计是信息化环境下一种新的审计模式,是审计方式的重大变革,厅局长、处长的科学指导是这项工作得以开展的重要前提,可以通过短期培训提高他们信息系统审计的意识,知晓通常的审计项目中,如何安排信息系统审计的内容。
二是信息系统审计师资的培训。信息系统审计是一个交叉学科,要求教师既懂得信息科学的理论又通晓审计实务,可采取选拔优秀高校教师参加具体的审计项目,具备一定的审计实际经验后担当此任,也可以采取在审计署范围内选拔具有信息系统审计实际经验的计算机审计骨干,通过短期理论培训走上讲台的方式,这两种师资队伍相比较而言,前者注重传授理论,后者注重介绍审计实践,只有这样才能保证科学严谨、前后一致、各有侧重。
三是信息系统审计专业人才的培养。可通过选送具有计算机专业背景的审计人员和通过审计署计算机中级考试的业务骨干参加审计署信息系统审计培训班的方式,培养信息系统审计专业人才,培训班学员应具备软件工程、信息安全等方面的预备知识,培训课程的安排可参照ISACA协会的COBIT标准,包括IT治理、信息系统开发过程审计、信息系统一般控制审计和信息系统应用控制审计等内容,可结合具体的信息系统审计案例讲解。通过培训使学员能够编制信息系统审计方案,担任信息系统审计主审。
(四)努力探索信息系统审计实践。
一是调动全国审计系统力量,上下共同努力探索信息系统审计实践。每年可由审计署机关领导担任项目组长,在全国范围内抽调信息系统审计高级人才开展一至两个信息系统审计项目,同时鼓励地方省厅、特派办每年在署安排的项目中挑选一至两个项目开展信息系统审计,继续征集高水平的信息系统审计案例,充实信息系统审计案例库。
二是分行业、分领域开展信息系统审计。不同行业、领域的信息系统开展的业务各不相同,都有其各自的特点,如金融、海关、税务等,我们可以分领域进行人才的培养,由这些人才在各自的领域中探索信息系统审计的方法和程序,每个领域都要有意识地培养一两个专家型的人才,并相对固定,每次审计都派这些人参加,以便起到事半功倍的效果。
三是将信息系统模块化设计思想引入信息系统审计中。在信息系统审计中面对被审计单位庞大的信息系统,审计人员无从下手,有些信息系统被审计单位委托专业的软件公司开发了好些年,中间又经过了多次的改版升级,投入上亿元资金,如银行、高速公路等信息系统。面对这样的“巨无霸”可采取模块化的审计方法,目前被审计单位的信息系统绝大多数都是采取结构化设计方法,由若干个功能不同的模块组合在一起,模块设计原则是高内聚低耦合,模块之间联系少,每个模块相对独立,鉴于这种情况我们可以先挑选一些最重要的模块来审,将这些审计资料保存下来,下次审计的时候再审另外一些模块,同时对比上次审的模块有无变化,最后达到审计的目标。
(五)尽快建立适合中国国情的信息系统审计理论和方法。
审计署早在三年前就提出对信息系统审计进行探索,三年来无论是实践还是科研都将信息系统审计列为重点之一,通过将审计机关在信息系统审计方面的探索与国外的经验进行比较,发现国外的东西也仅能是借鉴。目前审计工作急需适合中国国情的信息系统审计准则和指南,这是信息系统审计进一步发展的要求,审计机关应加快进行信息系统审计方法体系研究,在实践中不断提炼总结,将审计人员的经验上升成理论与方法,逐步建立适合中国国情的信息系统审计理论和方法。
信息系统审计是审计发展的新路径,目前还处于探索或尝试阶段,还有相当多的问题,需要进一步研究、解决。我们相信在审计署党组的正确领导下,在全体审计人员的共同努力下,一定会走出一条具有中国特色的信息系统审计之路,任重而道远!