一、引言
IT审计(Information Technology Audit)是信息技术应用于审计实务产生的新概念,人们对IT审计的理解是逐步深入的。我国国家审计中相对于IT审计的提法一般为计算机审计,自上世纪80年代以来的探索和实践过程中,也先后出现过会计电算化审计、计算机辅助审计、计算机数据审计、信息系统审计等诸多与IT审计相关的称谓,国外则有EDPA、CAA、ISA、ICTA等各种提法。笔者认为,结合我国国家审计的职能和特点,IT审计可以定义为利用信息技术组织开展的审计。这一提法可以较为全面、准确地定义信息技术在国家审计实务中的应用,同时也是世界审计组织(INTOSAI)及其IT审计工作组各成员国最高审计机关普遍认可和采用的提法。
由于各国国家审计机关在IT审计的定位和侧重等方面存在差异,其组织形式和实施模式也不尽相同。世界审计组织(INTOSAI)认为IT审计是通过获得和评估证据,确定IT系统是否保护了组织的资产,有效率地使用资源,维持数据的安全性和一致性,以及有效地达到组织的业务目标的过程,这一定位得到了各国最高审计机关的普遍认同;国际信息系统审计与控制协会(ISACA)建立了普遍适用的信息系统审计标准、指南和流程,所发布的COBIT已经成为国际上公认最先进、最权威的信息技术控制框架;美国审计署(GAO)将信息系统审计作为IT审计的重点,在2009年2月发布的《联邦政府信息系统控制审计手册》中将信息系统审计的实施分为一般控制审计和应用控制审计两个部分;英国审计署(NAO)侧重于政府IT项目绩效审计,在2011年2月发布的绩效审计报告中对过去十年来信息技术在政府工作中发挥的作用、面临的挑战和发展的方向进行了系统总结。
二、我国现行国家IT审计架构及缺陷
随着信息技术在社会经济生活各个方面的广泛运用,为适应信息化环境的变化,我国国家IT审计从上世纪80年代末开始起步,从无到有、从单机到网络、从探索研究到逐渐普及,在多年的发展中逐步形成了一套具有本国特色的IT审计架构和工作模式。
(一)现行国家IT审计架构。
在法理基础方面,审计法明确规定了审计机关有权要求被审计单位提供计算机储存和处理的财政、财务收支电子数据以及必要的技术文档,有权检查被审计单位的信息系统;《国家审计准则》也根据信息技术环境下开展审计工作的特殊性作出了一些特别规定,在编制年度审计项目计划和审计实施方案,实施审计检查、获取审计证据,作出审计结论、出具审计报告等环节表现出鲜明的关注信息系统、突出信息技术的特色。
在组织结构方面,以审计署为例,已经形成计算机技术中心负责组织协调和指导管理全国审计系统的信息化建设的格局,各审计业务部门负责结合审计项目开展电子数据审计。计算机技术中心不仅要配合业务部门开展计算机审计业务,同时还要承担建设、开发、推广和维护审计信息系统,以及编制IT审计规范和组织IT培训考试等各项工作。
在工作模式方面,随着现场审计实施系统(AO)和审计管理系统(OA)的全面应用,国家IT审计逐步迈入一个新的发展阶段,初步形成了利用信息技术开展大型项目组织管理,运用审计软件实施现场审计,积极探索联网审计和信息系统审计,逐步推进审计数据资源建设的IT审计模式,审计信息化水平不断提高。
(二)国家IT审计中存在的问题。
由于组织结构和工作模式还不能完全适应工作需求,与充分发挥审计保障国家经济社会健康运行“免疫系统”功能的要求相比,我国国家IT审计还存在以下不足:
1.审计业务与IT技术的结合不够紧密。
虽然计算机审计培训已开展多年,计算机审计技术也已在国家审计的各个行业、领域得到推广应用,但仍然较为普遍地存在审计业务部门过于依赖IT部门技术支持的现象,粉饰和包装计算机审计成果的情况也屡见不鲜。在审计项目中原本应由审计业务部门主导和实施的常规计算机审计工作往往过多地需要借助IT技术人员的参与,不仅不利于各行业、领域中审计业务与计算机技术的紧密结合,而且较易形成审计业务与计算机技术“两张皮”,阻碍了计算机审计技术在审计实务中的进一步深入应用。
2. IT审计部门的职能定位不够清晰。
与部分其他国家审计机关比较,目前我国审计机关还没有纯粹意义上的IT审计部门,IT部门的职能定位较为模糊。一般来说,审计机关设立的计算机技术中心、计算机审计处、信息中心等部门同时承担了电子数据审计、信息系统审计、日常维护和技术支持等多项职能,凡是与信息技术相关的职能均由IT部门负责,因此不仅需要承担大量系统开发、维护和管理工作,还要投入精力开展计算机审计业务,IT业务需求与人力资源矛盾突出。同时,IT部门往往没有真正作为审计业务部门进行管理,在独立开展信息系统审计和IT绩效审计项目方面存在障碍,处于较为尴尬的局面。
3.信息系统审计和IT绩效审计起步较晚。
由于信息化程度的差别,美国、英国等国家广泛开展的信息系统审计和IT绩效审计在我国尚处于探索阶段。一是信息系统审计还没有成熟有效的组织方式和审计标准,同时由于掌握核心技术的IT公司为保持其垄断地位不会轻易公开其核心技术,审计人员对商业银行、大型国企等单位所使用信息系统难以了解透彻;二是对IT项目投资的审计还仅仅停留在资金审计的层面,IT项目绩效尚未开始作为一个单独的审计类别进入国家审计的范围,也没有形成系统、科学的政府IT项目绩效评价指标体系。
三、国家IT审计架构探析
IT审计的职能来源于审计工作的实际需求。国家审计机关的法定职责是监督被审计单位财政、财务收支以及有关经济活动的真实性、合法性、效益性,保障国家经济和社会健康发展的工作目标。为了适应信息化环境下国家审计履行法定职责的需要,应当构建国家IT审计的体系架构。
(一)国家IT审计架构需求分析。
前述定义,IT审计是利用信息技术组织开展的审计。一方面,利用信息技术对以电子数据为载体的财政财务收支和相关经济活动的真实性、合法性、效益性进行审计监督;另一方面,需要对记录、处理和产生电子数据的信息系统内部控制进行检查,以确保电子数据的真实、完整和可靠。于是,总体来说IT审计架构可以划分为两大类,即:利用信息技术对记载财政财务收支和相关经济活动的电子数据的审计和利用信息技术对产生电子数据的信息系统内部控制的审计。
从国家审计履行法定职责的角度看,可先组织信息系统审计,检查信息系统内部控制对产生电子数据的真实、完整和可靠性的影响;再组织电子数据审计,检查财政财务收支和相关经济活动的真实性、合法性、效益性。通常情况下,也可交叉组织实施。
1.信息系统审计。
通常情况下,信息系统审计是实施电子数据审计的必要准备,属于结合电子数据审计的信息系统审计。但对于电子政务工程建设项目、企业ERP建设项目的审计,需要对项目建设的信息系统的规划、设计、研发、实施、运行、维护等全过程,对信息系统的应用系统、信息资源、网络系统、安全系统、运行服务系统等各组成部分,进行全面审查。此时的信息系统审计并不结合电子数据审计,属于独立的信息系统审计。因此,信息系统审计可划分为结合式和独立式两种方式。
结合式的信息系统审计,其目标是检查信息系统内部控制对产生电子数据的数据风险,测评信息系统对数据的真实性、完整性和正确性的影响。由于数据式审计的运用一定是在信息化环境下,如同在纸质环境下一样,系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。因此,为了控制数据风险,保障审计目标的实现,审计人员应该首先要对信息系统的内部控制进行调查、测试和评价。
独立式的信息系统审计,其目标是检查项目建设的信息系统的安全性、可靠性和经济性。据有关统计数据,2010年我国政府行业IT应用建设投资总规模达707.5亿元,同比增长14.2%,相当于奥运全部场馆建设的3.6倍,超过三峡工程15年投入的三分之一。历年政府IT项目建设投入巨额资金后,是否存在重复建设、绩效低下的情况,以及电子政务建设在提高政府行政效能和公众服务能力方面的效果如何都亟待评估。因此,除了一般意义上对被审计单位的信息系统的安全、可靠、有效和效率等进行审计之外,对信息系统和IT项目的经济性和投资绩效也应纳入独立式信息系统审计的范畴。
2.电子数据审计。
电子数据审计是以系统内部控制测评为基础,通过对电子数据的收集、转换、整理、分析和验证,对信息系统产生的电子数据及其他相关数据所记载的经济业务的真实、合法和效益进行审计。审计人员利用信息技术对被审计单位的财务数据及其他相关数据进行检查是审计机关的一项重要职责,电子数据审计的审计目标和审计范围与传统手工审计是基本一致的,只是审计的对象、方法和技术发生了变化,主要是审计机关和被审计单位双方都利用计算机作为作业工具,即一方用计算机记录财务会计核算和经营管理数据,另一方用计算机进行审计。
电子数据审计作为传统手工审计在信息化环境下的自然演化,是目前使用最多、应用最广的IT审计形式。近年来,我国各级审计机关总结审计经验,组织开发了以现场审计实施系统(AO)为代表的一批审计软件,并注重在实践中予以修改完善。审计软件的广泛应用,改进了审计手段,提高了审计效率,加强了审计工作在信息化环境下的适应能力。
另外,作为“金审工程”重要建设成果的国家审计信息系统(GAIS)已经初具规模,随着现场审计实施系统(AO)、审计管理系统(OA)、审计数据中心、网络系统和安全系统等应用的不断深化,对审计机关所属机房、网络、网站和信息系统等基础设施的建设、运行与维护,以及为审计业务和审计管理工作提供技术支持提出了更高的要求。
(二)建立适应国家审计需求的IT审计架构。
结合我国国家IT审计的实际需求,审计机关应该具备相应的组织结构,形成有效的IT审计模式开展工作。
1.开展信息系统审计的IT架构。
无论是结合式还是独立式的信息系统审计,其审计对象是信息系统本身。信息系统审计的重点是检查信息系统对其产生数据的影响,或是信息系统自身的安全性、可靠性和经济性。结合式的信息系统审计,需要对信息系统承载的业务流、数据流的技术设计和技术路径,对数据的输入、处理和输出的内部控制和安全防护等进行检查,以测评系统内控对数据影响的风险; 独立式的信息系统审计,需要对信息系统的应用系统、信息资源、网络系统、安全系统、运行服务系统等各组成部分进行检查,以测评信息系统的安全性、可靠性和经济性。由于信息系统审计的特殊要求,需要具有一定IT审计知识和技能的IT审计部门进行检查测评。
由于结合式的信息系统审计需要对信息系统承载的业务流、数据流进行检查,对数据输入、处理和输出的业务流程进行检查,即便独立式的信息系统审计也要检查项目建设的业务目标和项目投资的经济性问题,需要审计业务部门的配合和支持。因此,信息系统审计的IT架构,需要IT审计部门和审计业务部门的共同合作。通常情况下,应该以IT审计部门为主,以审计业务部门为辅。
2.开展电子数据审计的IT架构。
电子数据审计的应用范围较为广泛,核心是通过分析被审计单位财务数据和其他相关数据并取得审计证据的技术。电子数据审计的重点应该是运用计算机技术对电子数据进行分析性复核、比较和抽样,无论是现场审计还是远程审计,无论是单机模式还是联网模式,无论是简单的比较分析还是相对复杂的数据仓库技术,无论是国内的AO还是国际上普遍使用的ACL、IDEA审计软件,共同点都是利用间接测试并从关系模型中得出审计证据。
运用计算机技术进行审计为查错纠弊带来了极大便利,很容易实现对某一类数据的查询和筛选,使手工审计条件下无法做到的详细审查成为可能,同时财务数据和业务数据的结合更便于发现被审计单位管理和经营方面的漏洞和舞弊行为。由于审计对象、环境、方法和技术的变化,一方面需要审计业务部门在掌握和运用各类审计业务的知识、技能的同时,也要掌握和运用计算机审计的知识和技能;另一方面,复杂业务的计算机审计处理依赖于信息技术的审计组织模式和管理模式的运用,需要IT审计部门的配合和支持。因此,电子数据审计的IT架构,需要审计业务部门和IT审计部门的共同合作。通常情况下,应该以审计业务部门为主,以IT审计部门为辅。
四、进一步完善国家IT审计架构的几点建议
我国国家审计信息化建设正处于发展阶段,与先进国家的发展水平相比,IT审计架构还不够完善,审计理念还不够先进,在很多方面都需要借鉴国外的经验。但借鉴并不是原样照搬和全盘接受,而是应该根据自身的特点,对他国的先进经验进行批判地吸收。着眼于国家审计作为保障国家经济社会健康运行“免疫系统”的特殊定位,同时结合国家IT审计的现实情况和发展方向,国家IT审计架构应该根据工作需求进一步加以完善。
(一)逐步实现审计模式的转变。
随着计算机技术在审计实务中的广泛运用,国家审计环境、对象和方法的变化导致原有的审计模式已不再适应发展的要求,国家审计正在原有的基础上不断完善,逐步向高效率、高质量的方向发展。未来信息化审计模式的实现在很大程度上需要依赖信息技术,其与传统审计模式相比有如下特征:其一,它是一种以电子数据作为直接审计对象的数据式审计模式;其二,具有不间断性、循环性和实时性,这意味着审计活动将在一个更连续、更频繁和更及时的基础上实施;其三,可以经济地实现详细测试,在信息化环境下利用技术自动执行控制测试和风险评估的方法使得进行连续性测试成为可能。在这种情况下,计算机技术势必与传统审计的技术和方法高度融合,以计算机技术作为支撑的审计业务处理能力大大提高,信息化环境下审计模式的转变将是IT审计未来发展的必然趋势。
(二)逐步实现IT审计的专业化。
在IT审计部门的机构设置和职能定位方面,以美国审计署为例,不仅有专门的信息技术局开展信息系统审计业务,而且还有专门的信息系统与技术服务部门保障内部信息系统的运转,另外还设有技术工程和信息安全实验中心负责改善信息技术和促进软件工程现代化,评估联邦政府计算机系统的安全性。我国国家审计也应当根据实际需求进一步调整IT部门的职能定位,结合审计机关内设机构细分电子数据审计、信息系统审计、技术支持与服务等不同的机构和职能,进而逐步实现IT审计的专业化。
(三)逐步实现信息系统审计的常态化。
一是成立专门的IT审计部门开展信息系统审计,由有经验和资质的IT审计师就被审计单位信息系统进行审计和评价,并单独出具审计报告、审计决定和审计建议,使信息系统审计逐渐成为常态。二是根据国家审计的定位和信息系统审计的特点,全面总结各级审计机关近年来信息系统审计经验,围绕被审计单位信息系统的安全性、可靠性和经济性,制订具有中国特色的信息系统审计标准和指南,系统阐述信息系统审计的审计目标、组织方式、审计步骤和技术方法,加快信息系统审计人才的培养。三是克服IT绩效审计起步较晚、基础薄弱等种种障碍,及早制订适合我国实际情况的IT项目评价指标体系,将IT绩效审计列为审计工作长期规划中的一项重要任务。