审计发展新道路上的石爱忠副审计长:信息系统审计_审计软件论文

审计发展新道路上的石爱忠副审计长:信息系统审计_审计软件论文

石爱中副审计长谈审计发展的新路径:信息系统审计,本文主要内容关键词为:信息系统论文,路径论文,石爱中论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。

(一)审计机关开展信息系统审计的必要性。

信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然结果。它既有传统审计条件下的审计内容,又有与信息技术紧密联系的审计内容。从国际审计发展来看,开始是电子数据处理,逐步发展到信息系统审计,现在又发展到IT审计(即信息技术审计)。名称的改变直接反映出审计内容的扩大。

以前,我们曾大张旗鼓地宣传和讨论数据式审计,现在我们转向对信息系统审计的讨论、探索和实践,这在认识上是一次跨越。信息系统审计发展很快,美国经历这个过程用了二三十年的时间,我们经历的时间比美国短得多。这是必然的,是规律。

不搞信息系统审计,我们就无法控制审计风险。近几年,大家对审计风险有了一定的认识。审计纸质账目时,我们说内部控制要审计,不能假账真审。现在同样的道理,不能假电子数据真审。目前还没有因审查电子数据产生重大疏漏的例子,但随着信息化发展步伐的加快,如果不对信息系统给予足够的关注,计算机数据审计也会有潜在的风险。

信息化环境下的审计,电子数据、信息系统、系统内部控制必须“三位一体”。在审计过程中,这三项内容不能少。只有这样,我们才能全面履行审计职责。审计署党组强调“全面审计,突出重点”,这两方面缺一不可,否则就不能叫全面履行审计职责。

我们对信息系统审计必要性的认识是逐步加深的。现在真正搞信息系统审计的同志,在八万审计队伍中,可能不到千人。我们应该清醒地认识到,信息系统审计是审计发展的新路径。有同志认为,搞一个信息系统审计项目要花费很长时间,最终未必审出大案要案,考核也不加分。我说,至少你自己不亏,你是在做高技术含量的工作,率先得到了锻炼,可能率先成为这方面的人才。

对于信息系统审计,我们要宣传,要鼓动,要强调其重要性和必要性。我讲过,审计数据规划“开弓没有回头箭”,信息系统审计也是一样。我们应有不推出一个具有中国特色的信息系统审计誓不罢休的决心。

(二)目前审计机关信息系统审计开展情况。

我从审计署收集的信息系统审计案例看到,大家都在积极探索。根据目前所做的项目,归纳起来有以下四种方式。

一是倒推式。通过数据审计发现异常,倒推系统内部控制或信息系统的毛病。比如,某特派办在实施审计时,发现被审计单位使用的财务软件非常不安全,在实际操作过程中,会计科长、网络管理员、数据库管理员、系统管理员、记账员等岗位由同一人担任。同时,系统管理员在实施数据库数据修改、会计人员岗位分工、权限设置等具体操作时,缺乏必要的审批和监督程序。权限高度集中,监控制约不力,财务核算系统存在隐患。后来被审计单位根据审计报告采取了措施。由此看来,虽然倒推式也有作用,也能发现系统内部控制的重要缺陷,但从更深的层次理解,审计实践过程已经给我们提出了必须审计信息系统的客观需求。大家为什么都不约而同地倒推出信息系统有问题,或者系统设置及软件有问题?这是客观存在的,如果置若罔闻,不去正视它、解决它,还仅仅局限于倒推,那就是失职。

二是结合式。就是将信息系统审计与财政财务收支、效益审计的内容结合起来。结合是以正推为前提的,有的是把数据审计与系统内部控制审计结合起来。也就是说,只把信息系统的一部分,即系统内部控制纳入关注范围,作为审计内容,不涉及整个软件开发、硬件环境等,单独把内部控制作为一个切入点。有的是把数据审计和信息系统审计结合起来,不仅关注信息系统内部控制,还关注整个信息系统的软硬件环境,甚至包括其建设过程。

三是独立式。对信息系统开展独立的审计,把它作为一个项目,从立项到后期维护,这就是独立的、专门针对信息系统的审计。比如,我们现在正在探讨的电子政务审计就是独立式的。在独立式信息系统审计中,数据审计、数据测试就是手段,目标是看系统的情况。从做法上看,审计目标可能有两种:一种是放在信息系统现有的功能上,看信息系统设置功能能否满足系统设置的目标;另一种是放在IT审计的大环境中,看信息系统是否符合信息化发展战略和业务发展战略要求。目前,我们的审计目标属于前一种。

四是特殊式。这是我们在探索阶段出现的一种以信息系统审计取代审计的做法,这种倾向值得注意。通常在审计中,对信息系统进行检查是手段,是为数据审计打基础,不能取代数据审计,不能说审计过程中因为审查了信息系统,找到了一些错误,或者发现了舞弊行为、违法违纪行为,就算审计完了。

以上四种方式是我们现在的做法,今后我们应提倡两种方式。一种就是数据审计、信息系统审计和系统内部控制审计“三位一体”的结合方式。信息系统审计和系统内部控制审计是为数据审计服务的,最终要通过审计数据得出审计结论。审计署在对某银行信息系统审计试点时就是这么做的。另一种是独立立项的,直接针对信息系统,审查信息系统本身。

(三)特派办如何进一步探索和开展信息系统审计。

信息系统审计现已列入“金审工程”二期试点的范围,要积极探索,争取迈开步子,创出路子。试点就是要有人先行动起来。在这方面令我们非常感动的是令狐安副审计长。他不是搞审计专业的,从来没接触过财务,大部分时间是部门领导、地方领导。这两年他在各地搞调研,感觉信息系统审计十分重要,发展势头很快,超过了我们预想的速度,指示我们要强化这方面的培训。这样一位不具有审计专业背景的领导都有这种感觉,可想而知信息系统审计的重要性和紧迫性。

有的特派员向我反映,他们在审计中发现被审计单位造价软件设置的参数不对,这几年的计算都是错误的。这就需要审计软件说话了。我们鼓励大家积极探索并开展信息系统审计,因为系统的可信与可靠是数据审计得以进行的前提和最终实现的基本条件,系统产生的数据必须是真实完整的,否则与假账真审没什么两样。有条件的特派办可以把信息系统审计作为一种审计常态,换句话说,作为正常审计程序的一环。每个重大项目的审计,只要背景是信息化的,我们都可以先看信息系统,看系统内部控制。每个特派员都要有意识地培养一两个专家型的人才,相对固定,不要每次审计都派不同的人去摸索,你这儿还没摸索完呢,人家审计就出点了。

关于信息系统审计人才的培养工作已经列入议事日程。令狐安副审计长是审计署干部培训工作领导小组组长,他对信息系统审计提出了硬性要求,2008年必须开班,每个特派办应该至少派出一人参加培训。目前正在研究课程安排和师资问题。

信息系统审计比较复杂,我们还不能十分自主地把握它、运用它,现在的案例,基本上都是“拔出萝卜带出泥”,而不是先看看“泥”怎么样,然后预计“萝卜”长得怎么样。要迈开步子,积极探索,逐步走出一条路子。

(四)中国信息系统审计的发展前景

总体上说,我们的信息系统审计还处于探索或尝试阶段,还有相当多的问题,需要大家进一步去研究,去思考,去努力解决。

一是要进一步提高认识。现在大家基本上认同“审计人员不掌握计算机技术,将失去审计资格”的观点,事实上,在很多地方,不用计算机就无法工作。而大多数人对于信息系统审计的认识还不到位,有的是对必要性、紧迫性有怀疑,有的是对可行性有怀疑,有的走向另一个极端,无限夸大其作用,寄希望于每每通过信息系统审计就能抓住大案要案。这将不利于信息系统审计的推进。我们应当逐步推行,提高认识,不能一蹴而就。

二是尽快弥补信息系统审计人才缺口。对信息系统审计人才培训,我们已经作出了规划,但专业性人才培养的步子还不能迈得太大,因为它的技术含量很高,不具有计算机专业背景、不经过深入的专业学习和钻研的人难以担当此任。要培训尖端人才,选拔出一些精英,重点培养,在重点部位重点攻关。普及型的人才培训也是需要的,要使一部分审计人员具有信息系统知识,了解信息系统审计的方法、步骤,掌握基本的操作程序。审计机关的领导也要有信息系统审计的意识,知道在通常的审计项目中,如何安排信息系统审计的内容。在这方面,要有一个长远的打算,要通过多种形式,鼓励人才冒出来。

三是进一步采取推进发展的组织措施。采取组织措施推进信息系统审计的发展是一个大问题,不完全是搞技术的人所能解决的。我们希望像推进计算机审计那样,为了让人才凸显出来,要采取强有力的组织措施。我到天津市审计局调研时发现,他们的组织措施非常到位,处长不组织计算机审计,拿不出计算机审计案例,就会失去领导资格。他们破格提拔了几个年轻的处长助理,都是懂计算机的。采取组织措施后,天津市审计局的审计信息化进展非常快。因此,我强调,采取组织措施要因时因地制宜。

四是改革审计的组织方式。我们现在还是按照传统审计方式去做审计项目,突然加进去信息系统审计的内容,人员和时间都保证不了。如果勉强搞起来,信息系统刚刚检查、测试完,可能其他审计内容也快结束了,这就使我们不得不考虑审计的组织方式。目前这个事情不能等,要认真研究对信息系统进行调查、测试工作应提前多长时间才能与整个审计工作相衔接。传统的组织方式没有给我们留下信息系统审计的空间,信息系统审计要在较大的范围内开展起来,改革审计的组织方式就应当提上议事日程。

我们将用三年的时间,形成符合中国国情的信息系统审计理论和方法。第一,要有总结,要写出书来;第二,准则和指南体系要基本完善。按照这个目标去做,需要我们共同作出艰苦的努力。

标签:;  ;  ;  ;  ;  ;  ;  ;  

审计发展新道路上的石爱忠副审计长:信息系统审计_审计软件论文
下载Doc文档

猜你喜欢