信息系统审计的组织与适用性_财务审计论文

信息系统审计的组织与适用性_财务审计论文

信息系统审计的组织方式及适用性,本文主要内容关键词为:适用性论文,信息系统论文,组织论文,方式论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。

信息系统审计,是指通过对被审计单位信息系统的组成部分及其规划、研发、实施、运行、维护等过程进行审查,就被审计单位的信息系统的安全、可靠、有效和效率性以及信息系统能否有效地使用组织资源并帮助实现组织目标发表意见的审计。近年来,随着被审计单位特别是一些国家机关、大型国企、商业银行信息化水平的不断提高,审计机关也越来越多地采用信息系统审计的方式来进行审计。要做好信息系统审计,必须合理有效地组织信息系统审计活动。在我国国家审计中,专门进行的信息系统审计的单位和项目还不多。根据与财务审计的关系,可以把信息系统审计的组织方式分为与财务审计相结合的组织方式和专门进行的组织方式。

与财务审计相结合的组织方式

所谓与财务审计相结合的组织方式,是指在财务审计的过程中运用信息系统审计的有关手段所进行审计的组织方式。

1.与财务审计相结合的信息系统审计的审计目标。

与财务审计相结合的信息系统审计一般是根据财务审计的需要提出的,因此这种信息系统审计应该为减少财务审计的风险服务,为财务审计提供最低限度的保证。

(1)保证信息系统软件和相关模块没有经过非法篡改。在信息化条件下,被审计单位的财政财务收支数据是通过信息系统处理和输出的。如果信息系统及具相关模块被非法篡改,就难以保证被审计单位财政财务收支数据的真实性和合法性。在审计中,也发现了通过在信息系统研发中预留“后门”,或是篡改相关信息系统模块作弊的例子。审计实践中发现的这些情况,要求财务审计人员关注信息系统是否经过非法篡改,合理保证其真实、合法和有效性,尽量减少财务审计风险。

(2)保证与信息系统相关的内部控制存在并且有效。信息系统的真实、合法和有效、效率等目标是通过内部控制措施加以实现的。信息系统的内部控制是否存在并且有效,直接影响了信息系统的真实、合法和有效性,进而影响了财务审计中财政、财务收支数据的真实、合法性和准确性。内部控制测评是信息系统审计的重要内容,通过对信息系统有关的内部控制进行测评,并提出相关的意见和建议,有利于审计人员从风险控制的角度去控制财务审计的风险。

(3)在财务审计重点关注的领域,应重点进行信息系统审计,以保证信息系统为实现被审计单位的目标服务。财务审计重点关注的领域一般也是被审计单位所应实现的目标。例如在国有企业审计中应重点关注国有资产的保值增值;在上市公司审计中应重点关注收入、成本、利润的真实完整性;在社保资金的审计中应重点关注资金的安全性;在财政专项资金的审计中应关注专项资金使用的合法性等。信息系统审计作为被审计单位管理环节中的重要一环,对实现这些目标具有不可替代的作用。审计人员在信息系统审计中,在财务审计重点关注的领域,应重点关注信息系统及相应的模块是否处理得正确、合法、功能完备,内部控制是否健全有效等,是否为实现被审计单位的目标服务。

2.与财务审计相结合的组织方式的特点。

与财务审计相结合的信息系统审计并不是一开始就确定的,而是在财务审计过程中发现信息系统出现问题或者需要的时候才进行。因此,这种信息系统审计开始时并没有专门的审计计划,也没有专门的信息系统审计报告。对信息系统的审计也仅限于在财务审计过程中发现出现问题的业务模块,而不是全面的信息系统审计。这是与这一组织方式的定位相适应的。

专门进行信息系统审计的组织方式

根据信息系统审计与财务审计的关系,除了与财务审计相结合的组织方式外,还有专门进行信息系统审计的组织方式。

1.专门进行信息系统审计的组织方式的含义。

经过单独立项、单独实施并且单独出具审计报告进行信息系统审计的方式,就是专门进行信息系统审计的组织方式。是否单独立项决定了审计项目的地位,是独立进行还是从属于其他审计项目。作为专门进行的信息、系统审计,必须是经过单独立项批准的,不从属于其他财务审计项目。单独实施意味着信息系统审计要在人员、时间、经费等审计资源方面与其他审计分开。由于信息系统审计在审计的内容、过程、方法以及审计人员的知识结构等方面,都与其他审计有很大区别,因此单独实施是信息系统审计自身的内在要求。最后,专门进行的信息系统审计还必须单独出具审计报告。审计报告作为审计工作的最终成果,在审计项目中具有标志性意义。专门进行的信息系统审计,既然是单独立项又是单独实施的,就应单独出具审计报告。

2.专门进行信息系统审计的目标和特点。

相比与财务审计相结合的信息系统审计,专门进行的信息系统审计的目标不在于减少财务审计风险,而是放在信息系统本身。首先,要审查的是信息、系统的性能,看信息系统的性能是否满足系统设置的目标,即满足信息系统本身的安全、可靠、效率和效果等目标;其次,要审查信息系统的大环境,看信息系统是否符合信息化发展战略和业务发展战略的要求,即信息系统本身的目标如何与整个组织的目标相适应。

为了对信息、系统本身安全性、可靠性、效率性和效果性进行评价,审计人员将制定专门的信息系统审计计划,并采用信息系统的审计方法进行审计,最后还将出具专门的信息系统审计报告。对信息系统的审计也是全面的,不仅包括被审计单位的信息系统、内部控制等,而且覆盖系统生命周期的全过程。审计中需要掌握一些专门方法和技巧,包括一些复杂的计算机辅助审计手段,这些都对审计人员提出了更高的要求。

两种组织方式的适用性

与财务审计相结合的信息系统审计一般是伴随着财务审计进行的,其目的也主要是为财务审计服务,减少财务审计的风险。

在财务审计之前,审前调查发现被审计单位可能存在信息系统方面的问题,为了减少审计风险,可先对信息系统进行审计,然后再针对信息系统薄弱环节,有针对性地进行财务审计。根据审计署计算机技术中心发布的《计算机审计审前调查指南——计算机审计实务公告第8号》第17条的规定:“根据审前调查的初步结果,审计组认为被审计单位所使用的软件或者信息系统可能存在瑕疵或者缺陷,进而可能对于电子数据的真实性、完整性产生重要影响时,应当建议在审计实施方案中增加检查信息系统的内容。”另外,财务审计现场审计工作结束后,审计人员为了总结审计意见,会对搜集到的审计证据进行整理归纳。对于一些经验丰富的审计人员来说,他们往往会发现一些带有规律性和倾向性的问题,这就不能不引起审计人员的警觉,可能是信息系统本身出现问题,也可针对所发现的问题进行信息系统审计。

专门进行的信息系统审计是单纯的信息系统审计,并不伴随着财务审计同时进行。审计人员为了对某信息系统的安全、可靠、有效和效率性以及信息系统是否符合组织目标进行独立评价,可以进行专门的信息系统审计,并根据所获得审计证据得出审计结论。目前在国外专门进行的信息系统审计已经成为一种职业。国际信息系统审计与控制协会(Information System Audit and Control Association,ISA CA)举办的注册信息系统审计师(Certified Information System Auditor,CISA)考试已获得全球的广泛认可,其发布的16个审计标准、39个审计指南和11个审计程序,成为信息系统审计师执业的基本标准。

专门进行的信息系统审计由于其目标专注于信息系统本身,主要适用于一些大型信息系统的专门审计。比如,对于一些关系国计民生重要的信息系统进行审计,包括中央政府门户网站,一些部委带“金”字头的电子政务工程,重点企业的信息系统等。这些大型信息系统的共同特点都是关系国计民生,而且耗费了国家大量的人力、物力和财力建造而成,国家和人民迫切需要对这些系统运行的安全、可靠、有效和效率等进行评价。专门进行的信息系统审计能够满足这一要求。由于信息系统审计采用一些专门的审计程序和技术方法,对审计人员知识结构要求比较高。审计难度比较大,因此在国家审计实践中可以考虑先试点、积累经验再推广的方式积极稳妥地推进。2007年,审计署对国家开发银行的信息系统审计试点中,审计人员就采用了信息系统审计与财务审计同时进行,共享审计资源,但又相对独立的新方式。虽然不是专门的信息系统审计,但却为将来的专门信息系统审计积累了宝贵经验。相信随着信息系统审计实践的发展,信息系统审计的组织将会越来越科学化和规范化。

标签:;  ;  ;  ;  ;  ;  ;  ;  

信息系统审计的组织与适用性_财务审计论文
下载Doc文档

猜你喜欢