基层审计机关信息系统审计应用探讨
[摘 要] 信息系统审计是信息化发展到一定程度的必然结果,审计机关不发展信息系统审计,就无法完成全面审计,突出重点的审计目标。本文从分析基层审计机关开展信息系统审计面临的困难入手,对目前基层审计机关如何开展信息系统审计进行深层次思考,旨在引起基层审计机关对开展信息系统审计的重视,努力探索信息系统审计的实践。
信息系统审计是通过对信息系统合法性、可靠性、安全性和有效性的审计,对被审计信息系统作出评价,并为计算机数据审计开展打下基础,提供线索,同时依据计算机数据审计的结果分析信息系统,最终为实现政府审计真实、合法、效益的目标服务。信息系统审计作为信息系统环境下一种全新的审计方式,是信息化发展到一定程度的必然结果。审计机关要想完成全面审计,突出重点的审计目标,担负起社会经济运行的免疫系统作用,就必须要使信息系统审计有所作为。
根据国际信息系统审计委员会(ISACA)的定义信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现目标的过程。所以信息系统审计所关注的内容不单纯是对电子数据的处理,更不仅仅是财务信息,而是对企业整个信息系统的可靠性、安全性进行了解和评价,是一项通过审查与评价信息系统的规划、开发、实施、运行和维护等一系列活动,以确定信息系统运行是否安全、可靠、有效,信息系统得出的数据是否可靠准确以及数据是否能有效的存储的过程。从纵向(生命周期)看,信息系统审计覆盖了以电子计算机为核心的信息系统从计划、分析、设计、编程、测试、运行、维护到报废的全过程的各种业务;从横向(各阶段截面)看,它包含对硬软件的获取审计、软件审计、应用程序审计、数据完整性审计、安全审计和生命周期共同业务(如文档管理、人员管理、进度管理、外部委托、灾难恢复)审计等内容。
在现阶段,我国的信息系统审计尚处于探索和尝试阶段,审计机关尤其是基层审计机关在开展信息系统审计过程中存在一些实际问题,主要有以下几个方面:。
一是缺乏完善的信息系统审计法律依据。目前,审计机关开展信息系统审计所依赖的法律法规主要有《中华人民共和国审计法》和《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》等,上述法律法规仅授权审计机关对被审单位会计信息系统进行审计,而对与被审单位管理和决策等有关其它信息系统的审计,则未予以明确授权。因此,审计机关在对被审单位会计信息系统以外的其它信息系统进行审计或审计调查时,常遭到对方以涉及国家、企业和技术秘密等种种理由而拒绝。即使勉强配合,但由于提供的相关资料不完整或不及时而严重影响信息系统审计工作的开展。
二是缺乏完整的信息系统审计准则。信息系统审计发展到一定阶段,必须由行业组织出面将实践经验加以总结,并把有关概念、工作流程和技术方法固定、统一起来,形成行业的标准和规范。这将是信息系统审计进一步发展的基础。没有标准和规范,所有的实践活动只能局限在低水平上重复。目前我国审计机关开展信息系统审计正处于起步阶段,没有一个完整的、成熟的具有示范作用的审计案例,也缺少具备实际指导意义的相关信息系统审计准则和操作指南。信息系统审计准则和审计指南的缺失,不利于规范和指导信息系统审计实践,不利于衡量和评价信息系统审计工作质量,也不利于防范和规避信息系统审计风险。
三是缺乏系统的信息系统审计理论。信息系统审计在审计内容、审计方式、审计技术上与传统审计相比,更加复杂、技术性更强,而目前我国关于信息系统审计的研究主要还是停留在计算机、网络技术对会计、审计的冲击和影响方面。
四是缺乏专业的信息系统审计人才。开展信息系统审计,需要一批既熟悉审计专业又精通计算机技术的高端复合性人才,审计署干部培训中心开展的注册信息系统审计师培养及各省市审计机关在审计人员中进行的计算机培训工作,正是为了适应这一现实需要。但目前基层审计机关从人员数量和知识结构上来看,还远远达不到信息系统审计工作目标要求。
针对当前基层审计机关存在的实际困难,发展信息系统审计应从以下几点着手:。
一是加快信息系统审计立法的步伐,完善与信息系统审计相配套的相关政策、法律法规,从法律的角度保证信息系统审计的顺利开展。
二是制定信息系统审计准则体系,包含信息系统审计基本准则、信息系统审计具体准则与信息系统审计实务公告、信息系统审计执业规范指南三个层次的信息系统审计准则体系。
三是加强信息系统审计理论研究,创新审计模式。学术界、政府研究机构、审计机关应当加强信息系统审计理论研究,积极开展学术交流,密切关注国际信息系统审计的最新发展动态。
四是培养专业信息系统审计人才,健全人才培养机制。首先要加大对在职审计人员的信息系统审计培训,其次要加强对从事信息化技术的IT 人员的会计与审计知识的培训。
五是开发有效的通用信息系统审计软件,不断提高审计软件的实用性。首先要求被审计单位的信息系统留有数据接口,其次审计机关应组织专业组织和具有会计、审计、信息系统管理理论、数据库理论、程序设计等知识的人员开发有效的通用信息系统审计软件。
四、结束语。
信息系统审计作为一种全新的审计手段和审计理念,可以较好地从信息系统的角度发现舞弊问题和内控漏洞,使得审计内容不断丰富完善,较好地降低审计风险。基层审计机关如何开展信息系统审计,需要我们在实际工作中积极尝试,不断地思考总结,更好地适应审计工作的发展。
参考文献:。
[1]孙 强 郝亚斌:IT——中国信息化必由之路。