对信息系统审计业务的探讨,本文主要内容关键词为:信息系统论文,业务论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、信息技术的发展让报表审计与信息系统结缘
第一缘:由信息技术革命引发的电子商务革命,在企业管理上的体现最早是财务信息系统。如今,我国除一些乡村经济或民营小企业外,绝大多数企业、事业、机关单位都使用了财务信息系统。在审计中,需要从财务信息系统中导出资料,对客户的财务信息系统的真实性、可靠性做出判断,并对所得资料加以分析、核对,形成审计意见。
第二缘:在企业信息化发展到一定程度时,信息系统发展为集成的ERP系统。财务信息系统通过企业内部各机构、部门及企业外界的信息接口,转换、接收货币形态和非货币形态的相关信息,财务会计系统、供应链管理系统、制造及营运管理系统、项目管理系统、人力资源管理系统等子系统相互联系,相互制约。这样,信息系统的所有子系统均被纳入审计视野。审计人员在对财务信息系统的真实性、可靠性做出判断下,利用信息系统完成受托的报表审计任务。
第三缘:随着企业信息化的进一步发展,高效的信息流量的使用及储存,企业运营管理越来越依赖于信息系统了。正可谓“水能载舟也能覆舟”,信息系统在改善企业效果和效率的同时,也可能给企业造成很高的危害(风险)。于是,为判断信息系统能否保护资产安全、能否维护数据完整、能否实现既定目标、能否高效使用资源的合法性、可靠性、安全性和有效性的审计,即专项的信息系统审计(简称ISA),应运而生了。
需要说明的是,第二缘与第三缘的区别在于:在第二缘,审计主要关注信息系统影响客户的合法经营、财务核算及经营效益;在第三缘,审计主要关注信息系统的合法、安全、可靠、有效和效率。由于篇幅所限,本文主要联系报表审计探讨第三缘----专项的信息系统审计。
二、专项的信息系统审计起因于会计报表审计又超脱于会计报表
信息系统审计有四个部分的内容;(1)IT治理(信息技术治理)审计----评价客户在IT方面的组织结构、政策、职责划分、运营管理和监督机制是否合规,是否达到公司治理中对IT方面的要求;(2)系统建设生命周期管理审计----评价客户系统的开发、采购、测试、配置、使用、维护是否经济合理;(3)IT系统运行审计----评价客户IT服务质量是否达到所要求的等级、类别,是否有效地支持了企业业务;(4)信息资产安全审计----评价客户是否建立了适当的安全体系(如政策、标准和控制),信息资产的机密性、完整性和有效性如何,能否在业务影响最小化情况下实现灾难恢复。由此可见,信息系统审计区别报表审计的基本标志,就是信息系统审计不能只审会计报表,或者说审计的重心不是会计报表。信息系统审计所关注的内容不仅仅是财务信息和对电子数据的处理,而是关注包括计算机资源、硬件软件开发(配置)及数据库管理、信息系统的运行和维护等一系列活动。
因此,从根本上讲,信息系统审计属于非报表审计,是评价性、鉴证性审计。即便在审计中会涉及到会计报表,也不是审计类似资产负债表、损益表、现金流量表、会计报表附注及相关附表的总表,不是对会计报表的真实性、完整性、合法性、准确性、公允性、一致性发表意见。
在表1,笔者从项目性质、适用范围、承做项目方、审计目标、审计对象、审计依据、审计技术和方法、参加人员素质要求、客户配合部门、项目报价依据、项目成果形式、成熟度等12个方面,概述了信息系统审计与财务报表审计的区别。
三、信息系统审计业务带来的机遇和挑战
(一)信息系统审计的市场前景可观
1.我国电子商务市场发展迅猛。艾瑞咨询发布的监测数据显示,2010年前三季度,中国电子商务市场整体交易额规模达1.2万亿元,环比增长6.6%。2010年我国《政府工作报告》明确提出要“加强商贸流通体系等基础设施建设,积极发展电子商务”。有专家分析,这意味着电子商务将作为“十二五”规划内的重点计划,电子商务的市场规模将有可能在5年后占到GDP的5%。企业、事业及政府的大规模信息化建设,对信息系统的安全、有效、保密以及其提供的信息的真实、完整等提出了鉴证要求,因此,我们将拥有相当大的信息系统审计市场。
2.信息系统审计的需求旺盛。在我国,有不少企业出于风险防范的考虑,自己组织进行信息系统审计或委托中介机构进行信息系统审计。一般来说,金融类、电信类公司以及其他IT技术使用较多、财务和业务对IT的依赖程度比较高的企事业单位,都需要对其信息系统进行审计。目前,证券、基金、期货等行业的监管层已要求定期进行信息系统审计,笔者预计,由监管层出面要求公司进行信息系统审计的行业应该是不断增加的。公司在委托中介机构招标时,常常面向会计师事务所和咨询(IT管理类)公司。随着信息技术的发展,信息系统、内部控制、企业业务不断发生变化,这决定了对信息系统的审计不是一次性业务而是周期性发生的业务。虽然信息系统审计尚不是法定业务,但市场会越来越大。
(二)会计师事务所有较多的优势承做信息系统审计业务
对于信息系统的设计,不属会计师事务所之长,但对于信息系统的评价和审计,会计师事务所却有着明显优势。第一,信息系统审计作为信息系统和审计两个方面有机结合的复合性业务,说到底还是审计业务。由于会计师事务所长年承做报表审计业务,按执业准则需要对信息系统进行控制测试,因此相关的经验比较丰富,可套用的东西较多。如审计计划、重要性的运用,风险评估及测试等审计方法,审计报告与报表审计项目工作流程等。第二,会计师事务所在长期的报表审计中有了解客户业务流程及内部控制的便利条件,对国家关于企业经营的相关法律法规政策比较了解,从而在争取业务中有一定的成本优势。第三,据调查,对于转做信息系统审计,一个IT人员比起一个财务审计师相对较难。因此,尽管IT行业和审计行业都相中这一市场,但会计师事务所是水到渠成,近水楼台。
(三)当审计师进行信息系统审计面临的挑战
进行信息系统审计,要求项目人员除了掌握传统审计的基本知识外,还应掌握计算机应用、数据处理等现代信息技术;不仅要会操作审计软件,而且要能根据需要编写测试审查程序模块。从目前的情况看,符合条件的人员或事务所并不多。对于信息系统审计对项目人员的知识结构和能力结构提出的挑战,审计人员应当认真对待,及时跟上,否则,在信息系统审计市场竞争的“战国时代”,没有实力就不能称雄,就不能分享信息系统审计那一杯羹。
四、我所开展信息系统类审计的一些作法
近三年,我所承做了中国移动、中国电信、中国联通以及30多家证券、基金、期货公司的专项审计和内控评价,虽然这些不是独立的信息系统审计项目,但基本上都涉及对信息系统的审计和测试,有的在内容上甚至高达50%左右。对于如何承做信息系统类审计,我所积累了一些心得。
(一)一个中心——以信息系统的内部控制为中心进行测试及评价
对于信息系统审计,无论是一般控制,还是应用控制和管理控制,都要贯穿内部控制测试、评价的主线。项目团队首先要验证被审计单位有无IT内部控制的制度,如果有制度,要看这些制度是否完整合理,进而要通过控制测试及实质性测试,证明这些制度已经执行并有效地发挥作用。一般检查以下方面来证明企业的IT内部控制:(1)IT治理构建及实施情况;(2)物理资源和逻辑资源等软件、系统文件和表格数据等系统资源的存取控制情况;(3)按用户职能分配资源、减少无意的误操作、滥用系统资源和对数据的非授权修改的控制情况;(4)财务信息及系统的创建、修改和删除等系统的使用控制情况;(5)免遭计算机病毒袭击及灾害破坏的控制情况。
(二)两个基本点——数据管理和安全管理
1.系统数据管理
(1)在原始数据录入环节,着重关注其准确性、完整性。在ERP环境下,财务与生产、采购、销售、库存等信息管理环节紧密相连/无缝连接,系统自动进行账务处理,自动生成记账凭证。财务人员可以由系统进行自动审核、记账,也可以进行人工审核。在审计中,除了检查未经授权访问可能导致数据毁损或不恰当的修改或不存在的交易,或不正确地记录了交易等由于工作失误造成的原始数据不准确外,还包括由于舞弊造成的数据不真实。
(2)在非直接生成报表环节,着重关注对报表形成依据的核对。对于集成数据部分,要关注中间环节中的参数设置的改变;通过检查,确认企业是否存在随意调整成本的分摊循环比例、工艺参数的设置比例、会计折旧计提方法、计提比例的现象;审查自动核算和自动生成报表及参数是否合理、准确。
2.系统安全管理
(1)故障及事故管理,着重关注事故管理和灾难恢复的应急控制。系统可能由于硬件故障、网络连接中断、瞬间的高流量等原因而在一段时间内无法访问,或者可能发生服务器操作系统的“死机”和数据丢失等软件故障,对系统的正常运行产生不利影响。不可预计的环境灾害、病毒感染、硬件设备或软件失灵等都可能给系统造成无法估计的危害和巨大的风险。
(2)信息保全管理,着重关注介质、备份、授权及程序变更管理。由于信息的可拷贝性、网络的远程接入性,犯罪分子不必翻墙入室,只要获得密码就可能通过网络侵入系统,或是窃取企业重要的信息资产,或是使信息系统崩溃;信息系统的使用,使业务订单、发货单、发票、支票以及收付款凭证等都以电磁信息的形式在网上传递并存储于磁性介质中,这些磁性信息不是肉眼所能识别的,业务处理的结果可能被修改、删改且不留下痕迹。
(三)采取多种办法解决信息系统审计的技术要求
首先,我所注重自身的信息系统审计队伍的建设,设置了信息审计部,安排人手参加社会举办的专业培训班,组织部分人员参加国际信息系统审计和控制协会(ISACA)组织的资格考试,外请10来家IT公司的技术人员来我所进行计算机、信息系统、网络、审计软件、项目管理软件等的培训,以拓宽和更新审计人员的知识和技能。同时,从社会招聘了系统管理人员。当然,鉴于信息系统审计对IT技术的要求较高,作为会计师事务所,培育IT人才队伍不宜搞小而全、大而全,而是需要利用外力承做信息系统。为此,我们尝试从社会吸收IT团队挂靠于我所,在审计中聘用了IT专家,主要承担对数据库、网络系统、审计软件开发的分析和评价等。
五、发展信息系统审计业务的相关建议
(一)尽快制定出操作性强并适用于信息系统审计的准则及指南
没有准则,无异于战士打仗没有武器,不仅执业缺少评判的标准,也不利于在客户中树立威望。因此,制定出信息系统审计执业准则,对于会计师事务所顺利开展信息系统审计业务至关重要。现行的中国注册会计师执业准则中,虽然有1633号准则集中对其进行规范,还有其他至少7个准则规范了信息系统审计的相关内容,较好的指导了会计师事务所的执业,但是还不能满足专项的信息系统审计的需要。中国内部审计协会在2008年9月颁布的《内部审计具体准则第28号一信息系统审计》(2009年1月1日实施),虽然指出了信息系统审计的一般程序,但缺少详细、深入的技术规范及配套的审计指南。而且该准则是面向企业内审机构制定的自评性审计,对会计师事务所不尽适用。为此,我们建议中注协等国家相关部门研究、借鉴国际信息系统审计协会(ISACA)和国际审计实务委员会(IAPC)的做法,颁布适合国情的专门执业准则及指南,系统规定IT治理(信息技术治理)、系统建设生命周期管理、IT系统运行、信息资产安全等方面的评价审计的标准和程序。
(二)适应信息系统审计的需要,积极提高协会会员的业务素质
一是后续教育。可选择一些有关信息系统及审计的专题,组织会员进行在职培训,在注册会计师考试中增加《信息系统审计》课程,将其作为评价注册会计师执业能力的标准之一。二是提前充电。在高校开设信息系统专业或课程。三是资格认证。支持会员参加国际组织的信息系统审计师的考试认证,下一步由中注协组织或由中注协联合工信部等有关部门组织国内的信息系统审计师的考试认证。
标签:审计计划论文; 审计软件论文; 财务系统论文; 审计质量论文; 审计方法论文; 系统评价论文; 审计目标论文; 会计与审计论文; 审计准则论文; 信息系统规划论文; 会计师事务所论文; it审计论文;