信息系统审计的问题及对策

信息系统审计的问题及对策

科学家们有不同的看法。笔者认为,信息系统审计的目标应该是对被审计信息系统可靠性、安全性和有效性作出鉴证并得出结论,对象是被审计单位的信息系统,它贯穿信息系统建设的全周期。因此信息系统审计是指审计师运用相关法规,对被审计单位信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价,从而得出信息系统是否可靠、安全和有效并提出改进意见的过程。一、国外信息监控的现状(一)信息系统审计的发展。20世纪60年代,计算机在企业逐步得到了较为广泛的应用,会计信息处理也逐渐无纸化,这给审计人员带来了新的挑战——他们不得不关注以电子数据为载体的会计信息的来龙去脉,因此,电子数据处理审计,也就是EDP审计应运而生。作为信息系统审计的雏形,EDP审计一开始就受到了重视。大型国际会计师事务所开始应用EDP审计,有的金融企业也设立了电子数据处理及安全办公室,甚至美国国防部海军审计局也引进了通用的审计软件包。第一部相关著作——《电子数据处理与审计》([美]F·坎夫曼著)于1961年出版,美国注册会计师协会(AICPA)于1968年出版了《会计审计与计算机》,首个电子数据处理审计的专门组织——EDP审计师协会(EDPAA)也于1969年在美国成立。到了20世纪70年代,计算机技术的高速发展使得计算机辅助审计技术在实践中得到初步运用。AICPA在1974年发表了《内部控制制度的调查与评价对电子数据处理的影响》成为对电子数据处理系统实施审计的标准;日本注册会计师协会1976年发表了《使用电子计算机的会计组织的内部控制制度质问书(修订案)》、《电子数据处理系统的审计标准及审计过程案例》和《电子数据处理系统审计方法》等,作为对信息系统审计执行的强制标准;美国内部审计师协会在1977年发表了著名的《系统可审计性及控制制度的研究》,简称SAC报告,提出了多种计算机辅助审计技术,是利用计算机对计算机信息系统直接进行审核检查的开创性探索。美国和日本于20世纪80年代都开始举行相关的资格考试,美国EDP审计师协会开始举办注册信息系统审计师(CISA)资格认证考试,日本的软件水平考试中增添“系统审计师”考试,目的是培养信息系统审计的专业人才。并且,两国在此期间都发布了一系列信息系统审计标准,如美国1984年发布的《EDP控制的目标》和日本的计算机安全研究会的《有关计算机安全对策》等等。此时,信息系统审计逐步成熟并专业化。20世纪90年代信息系统审计开始高速发展,1994年,电子数据处理审计师协会(EDPAA)正式更名为信息系统审计与控制协会(ISACA),它制定和颁布了一系列信息系统审计准则及相关指南、职业道德规范等专业标准。它拥有自己的基金会,从事相关领域的研究工作,并在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流,从而成为从事信息系统审计的专业人员惟一的国际性组织,这个组织的CISA资格认证也成为国际信息系统审计领域的惟一职业资格认证。目前该组织在世界上100多个国家和地区设有160多个分会,现有会员两万多人。(二)我国信息系统审计的现状1.规范信息系统审计的法规极少。1996年12月19日,中华人民共和国审计署颁布了审法发376号文件《审计机关计算机辅助审计办法》,这是我国最早的关于计算机辅助审计的规范性文件,它规范了审计机关开展的计算机辅助审计,提高了计算机辅助审计工作质量。该办法阐明了计算机辅助审计的含义及其内容,规定了被审计单位及审计机关、审计人员在计算机审计中各自的义务和权利,并且对人员资格及业务素质、利用专家工作等都作了明确的规定。国务院办公厅颁发的《关于利用计算机信息系统开展审计工作有关问题的通知》(国办发88号)是继《审计机关计算机辅助审计办法》之后的信息系统审计的又一重要法规性依据,它规定:“审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统……审计机关发现被审计单位的计算机信息系统不符合法律、法规和政府有关主管部门的规定、标准的,可以责令限期改正或者更换。在规定期限内不予改正或者更换的,应当通报批评并建议有关主管部门予以处理。审计机关在审计过程中发现开发、故意使用有舞弊功能的计算机信息系统的,要依法追究有关单位和人员的责任……审计机关对被审计单位电子数据真实性产生疑问时,可以对计算机信息系统进行测试。测试计算机信息系统时,审计人员应当提出测试方案,监督被审计单位操作人员按照方案的要求进行测试。”除此之外,笔者很难找到系统的专门规范信息系统审计的法规,即便是《审计机关计算机辅助审计办法》和《关于利用计算机信息系统开展审计工作有关问题的通知》也不能完全归入信息系统审计专门法规的范畴。而且,《审计机关计算机辅助审计办法》是审计署颁布的,《关于利用计算机信息系统开展审计工作有关问题的通知》是国务院办公厅颁布的,两者之间缺乏系统性和连续性。《审计机关计算机辅助审计办法》和《关于利用计算机信息系统开展审计工作有关问题的通知》只是比较笼统地规范了信息系统审计中各主体的义务和权利,至于如何具体地进行信息系统审计,上述法规均未涉及,所以说,我国信息系统审计缺乏具有可操作性的准则、规范或指南。2.信息系统审计实践还处于摸索阶段。由于我国会计和审计水平在国际上都不处于领先地位,我国的信息系统审计仍然停留在查错纠弊阶段,停留在对财务财政收支的合法合规性审计上。真正意义上的信息系统审计应该对被审计单位信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价,得出信息系统是否可靠、安全和有效并提出改进意见。我国现阶段的信息系统审计仅仅局限于财务数据本身,放弃了对生成数据的信息系统却缺乏应有的关注,最后造成了“只见树木,未见森林”的恶果。3.缺乏有效的通用信息系统审计软件。国外审计软件的研制与开发较我国早得多,目前已经开发出了具有代表性的审计软件,但还是没有开发出真正意义上的信息系统审计软件。信息系统审计的内容不仅局限于财务信息,还涉及信息系统的整个生命周期,而信息系统本身的复杂性也加大了信息系统审计的难度。我国信息系统审计软件的研究和开发则更加落后。我国现行的审计软件仅仅停留在数据的复核、样本的选取等传统审计的范畴,功能还有待完善,利用现有审计软件是无法对被审计单位的信息系统是否可靠、安全和有效得出结论的。4.信息系统审计专业人才匮乏。国际上公认的信息系统审计专业人员是通过ISACA举办的考试而获得资格认证的注册信息系统审计师,这是目前国际信息系统审计领域惟一的职业资格认证。由于信息系统审计自身的复杂性,目前全球取得该项专业资格的只有两万多人。我国直到2002年才获准举办由ISACA授权的CISA资格考试,通过该项考试的人员全国不到400人。这相对于信息系统审计的前景和需求来说,是远远不够的。同时,专业人才的缺乏又阻滞了信息系统审计的发展。二、应重视我国的信息系统审计发展的若干问题(一)加快信息系统审计立法的步伐。我国目前信息系统审计的法规只有审计署颁布的《审计机关计算机辅助审计办法》和国务院办公厅颁布的《关于利用计算机信息系统开展审计工作有关问题的通知》,缺乏系统性、连续性和可操作性。在我国没有专门的信息系统审计与控制协会的前提下,建议审计署参考ISACA颁布的信息系统审计准则及相关指南、职业道德规范等专业标准,根据我国信息系统建设的实际情况,考虑前瞻性的需要,系统地制定一套信息系统审计的准则、指南和实务公告,以指导我国的信息系统审计发展,社会审计和内部审计参照执行。(二)推进信息系统审计实践。我国要发展信息系统审计,实践的作用是不能忽视的。在我国缺乏信息系统理论的前提下,信息系统实践可以参考国外的成功案例,对被审计单位的信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价,得出信息系统是否可靠、安全和有效并提出改进意见,以实践促进理论的发展。(三)开发有效的通用信息系统审计软件。首先要求被审计单位的信息系统留有审计接口。我国现有的电子政务系统和企业计算机信息系统很多都没有设置审计接口。因此,信息化管理部门与审计部门对此应进行全面检查,遇到没有留有审计接口的单位要督促整改,对不符合审计要求的财务软件应禁止使用。同时,审计部门还应组织专业组织和具有会计、审计和信息系统管理理论、软件工程学、数据结构、数据库理论及程序设计技术等知识的人员开发有效的通用信息系统审计软件。有效的通用信息系统审计不仅要具有现行审计软件的数据下载和转换功能、审计工作底稿制作、管理及审计报告生成功能,还必须具有系统和数据测试功能、数据库功能,必须要有