信息系统审计研究,本文主要内容关键词为:信息系统论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、信息系统审计的目标和主要内容
关于信息系统审计,目前还没有一个能够被广泛认可的权威定义。结合信息系统审计在政府审计领域内的应用特点,我们认为审计机关开展信息系统审计的含义如下:国家审计机关对被审计单位中对其经济活动产生重要影响的信息系统进行检查和分析,评估信息系统的安全性、可靠性和有效性方面存在的问题,提出针对性的审计建议,促进信息系统对经济活动产生正面影响的一系列活动。
(一)信息系统审计的目标
审计机关开展信息系统审计的目标必须符合国家审计的总目标,即真实性、合法性和效益性。并可以细化为以下几个方面:
1.审查信息系统是否能为所产生的业务数据和财务数据的真实、完整、准确性提供合理保证:
2.审查和评价信息系统的安全性;
3.审查和评价信息系统的可靠性;
4.审查和评价信息系统的有效性;
5.审查和评价信息系统的效率和效益性;
6.审查和评价信息系统的合法合规性。
(二)信息系统审计的对象和主要内容
信息系统审计的对象是影响被审计单位主要经济活动的信息系统。主要包括被审计单位的软硬件系统、数据库系统、网络和通讯设备、办公场所、人员及其管理、财务及业务等相关数据。
其主要内容包括以下几个方面:
1.IT治理(IT Governance)。主要任务是评估IT治理结构的效果,确保董事会对IT决策、IT方向和IT性能的充分控制;评估IT组织结构和人力资源管理;评估IT战略及其起草、批准、实施和维护程序;评估IT政策、标准和程序的制定、批准、实施和维护流程;评估IT资源的投资、使用和配置实务;评估IT外包战略和政策,以及合同管理实务;评估监督和审计实务;保证董事和执行层能及时、充分地获得有关的IT绩效信息。
2.系统生命周期审计。主要任务是确定系统在开发之前是否进行了充分的可行性研究(经济、技术、法律);确定信息系统开发各个阶段的各项活动是否符合有关的法律、法规和政策,并经过了严格审核与批准;确定系统开发各个阶段的人力、物力、财力和进度安排是否合理;确定系统的功能设计和开发是否充分考虑了用户对信息系统在功能、性能、可靠性、安全性、开发费用和时间方面的要求;确定系统在运行之前是否经过全面测试,而不存在重大错误和舞弊;确定系统是否制定了稳妥可靠的试运行方案或新旧系统切换方案;确定系统是否有完整的维护计划,并严格按照维护计划进行维护;确定系统是否能长时间安全可靠的运行,运行中出现的问题是否能得到及时解决;确定系统各个阶段的文档是否准确完整。
3.系统一般控制审计。主要任务是确定被审计单位是否制定了信息系统规划,其规划是否得当;确定是否在管理制度上实现了恰当的职责分离;确定是否能够从管理制度和措施上保障系统环境安全,从而使系统各种资源免受毁坏、替换、盗窃和丢失的威胁;确定系统网络是否存在安全漏洞和隐患,评估网络安全措施是否有效;确定系统的运行控制政策是否能保证系统长时间稳定运行,文档和操作维护日志是完整的和安全的以及硬件和软件是可兼容性和安全的;确定数据资源控制措施是否能保证数据资源的完整性和安全性;确定灾难恢复和业务持续计划是否适应被审计单位的要求,实施方案是否可行和有效。
4.系统应用控制审计。主要任务是确保输入的数据是准确、完整、授权和正确的;数据在可接受的时间内得到预期的处理;数据存储是准确和完整的;输出是准确和完整的;记录在从输入到存贮,再到最终输出的整个过程中是可追溯的。
5.系统数据审计。信息系统审计模式下的电子数据审计与常规的数据式审计程序区别不大,同时更强调与信息系统审计结果的交互性和互补性。一方面可以根据信息系统内部控制的审计结果,找出信息系统内部控制的薄弱环节,从而确定数据审计的重点和范围。另一方面对数据审计发现异常后,也能倒推出信息系统功能设置上的缺陷或者系统内部控制中存在的薄弱环节。
(三)信息系统审计的技术方法
信息系统审计涵盖了多种技术方法,在实际工作中,审计人员可以根据被审计信息系统的具体情况,结合审计目标、审计内容、审计成本效益、审计组人员与设备配置情况等因素,选择合适的信息系统审计技术和方法,并且通常需要多种方法的综合、穿插使用。
信息系统审计中比较常用的技术方法有:问卷调查法、访谈法、文档查阅法、实地观察法、系统描述法、流程图检查法、测试数据法、集成测试法、平行模拟法、程序编码比较法、编码检查法、程序追踪法、快照、嵌入审计模块技术。
(四)信息系统审计流程
信息系统审计的一般流程如图一。
图一
1.选择信息系统审计项目
信息系统审计项目的选择要充分考虑各方面因素,并非所有的信息系统都适宜开展信息系统审计。主要影响因素包括:被审计单位核心业务是否高度依赖于信息系统;信息系统的规模和复杂程度;信息系统当前所处的生命周期阶段;自身人力资源及审计力量;审计时间。
2.审前调查阶段
审前调查阶段的目标是了解被审计单位核心业务的流程,核心业务的信息化程度和信息系统的开发、运行、管理及维护情况,初步分析主要信息系统在开发、运行、管理及维护中可能存在的问题与风险。并明确是否需要进行后续的系统审计,以及需要审计的信息系统或审计重点。
3.选择重点审计系统编写方案
根据审前调查阶段了解到的被审计单位的信息化概况,选择需要重点审计的信息系统,并确定审计目标和审计重点,编制审计实施方案。
对于重点审计的信息系统的选择主要考虑以下几点要素:选择与常规审计重点高度相关或者与被审计单位核心业务高度相关的信息系统;选择正常运行且能够持续运行的信息系统;选择系统设计文档齐全的信息系统;选择在信息系统审计小组能力范围内的信息系统。
4.审计实施阶段
在审计实施阶段,应完成的工作包括:进一步调查被审计单位的基本情况;根据审计目标的需要,对信息系统相关内部控制进行测试,收集相关的审计证据;对收集的审计证据进行评价,在整理归纳审计证据的基础上,对被审计单位的信息系统进行分析,针对审计目标作出评价;编写审计日记和审计工作底稿。完成上述工作,应该注意以下几点:
(1)要继续深入了解业务流程和信息系统构成信息,详细分析信息化条件下被审计单位业务处理流程的重点和关键环节,并根据可能的风险因素确定应有的控制点。
(2)应根据审计目标,结合审计资源情况,选择对与审计目标或者核心业务关联程度大的系统进行重点测试,收集审计证据。根据测试的具体情况,可以对审计实施方案进行适当调整,进一步确定审计重点和审计方法,将审查重点放在内控制度的薄弱点上。
(3)在与数据审计相结合的情况下,可以根据信息系统内部控制符合性测试的结果,确定内部控制的薄弱环节,为数据审计进行实质性测试提供依据,确定实质性测试的重点和范围,实现数据审计与信息系统审计的结合。
5.审计终结阶段
在审计终结阶段,审计组根据信息系统审计情况,起草审计报告:对审计过程中发现的问题进行定性,对问题产生的原因进行分析,并针对信息系统需要改进和完善之处,提出相关审计建议。
在该阶段应注意以下问题:
(1)审计报告可以考虑两种模式。一种是作为总体审计报告的一部分,由信息系统审计组向总审计组提交;另一种是单独出具信息系统审计报告。
(2)由于目前信息系统审计领域缺乏相应的法规依据,且审计机关受人力、物力、财力、时间等因素的限制,往往无法对信息系统进行全方位的审计。因此,审计机关在进行审计评价时,应综合考虑各方面因素,尤其是要认真研究分析被审计单位提出的有关意见,客观公正地反映审计事实。
(3)在建设信息系统时,建设方一般会出于投入资金、运行成本和客观环境等方面的原因,对信息系统的功能、设备选型和人员配置等方面做出权衡和取舍,因此在客观条件限制下信息系统存在一定的缺陷或不足。在问题定性和提出审计建议的时候要注意考虑信息系统的投资效益性。
二、浙江省审计机关信息系统审计调研与分析
(一)现状简介与相关分析
截至2008年10月,我省的信息系统审计项目总共有111个。这些项目显示,我省已经开展的信息系统审计具有一个明显的“数据式审计”痕迹,处于从数据审计走向信息系统审计过渡阶段。
1.行业分布
我省的111个案例应用涉及的领域有:社保审计、财政审计、经贸审计、金融审计、行政事业、经济责任审计、资源环保、农业审计和预算执行共9个领域。
分析结论:目前政府机关的信息系统审计案例主要发生在电子政务领域,当中社保领域居多(比如社会保险,公积金)居多,资源环保类,“三农”(千万素质培训工程)虽有提升,但绝对数量仍然比较落后,其中一个主要的客观原因就在于金融、社保类被审计对象的行业信息化程度高,而农业与资源环保类的被审计对象信息化程度相对较低,开展信息系统审计的客观条件不够成熟。
2.时间性
2005年有6个案例,2006年为13个,2007年为23个,2008年约为69个。
分析结论:信息系统审计近4年来呈明显增长趋势,尤以2008年呈剧增态势。
3.审计技术与方法
纵观这些案例,其中以访谈法,文档查阅法、实地观察法等3种方法用得最为普遍,与此形成鲜明对比的是只有极个别项目采用了平行模拟法、编码检查法两种方法。
分析结论:关于信息系统审计的基本方法,目前我们的审计队伍运用水平相对较高;对于平行模拟法、编码检查法这类对技术力量要求较高,并且必须对被审计单位信息系统的结构和功能进行深入了解才能熟练运用的方法, 由于其门槛较高,只有个别单位有能力运用。
4.审计内容
这111个审计案例,基本对信息系统安全、信息系统的数据可靠性进行审计,大多数对信息系统内部控制进行了审计;然而,对信息系统生命周期(开发的规范性)、信息系统的效率效益,以及信息系统的组织管理体现进行审计的较少。
分析结论:从审计内容上来看,信息系统安全审计和数据可靠性审计较为被了解,原因有二:一是我们强调要发挥审计系统的“免疫系统”功能,信息系统审计对“信息安全”的保障作用尤为直接体现了这一功能;二是审计人员在数据审计方面已有一定基础,对于防止“假账真审”的问题一直较为关注。
(二)我省各市信息系统审计条件成熟度比较
开展信息系统审计需要满足一定的主客观条件。我们将从领导意识、技术力量、审计对象的信息化程度三个方面建立信息系统审计条件成熟度模型。其中技术力量包含三个技术特征:信息系统审计知识、信息系统审计技能、信息系统审计经验。
根据该成熟度,我们对我省各地市进行了详细的横向比较和内部比较。
1.各地市横向比较
截止2008年10月,我省信息系统审计项目总共有111个,分布在省审计厅与其他9个地市。
如图所示,我省信息系统审计水平发展不平衡。条件相对成熟些的是省厅、杭州、宁波。另外,虽然丽水和温州技术力量较为薄弱,但体现出了明显的试点意识。丽水地区的20个案例,有14个发生在2008年。温州地区也在2007、2008年进行了尝试。
2.各地区内部比较
以上是11个地区的横向对比,各地区内部的水平也有一定的分布。总体上说,地市比区县的成熟度高,有些区县主要因为审计对象的信息化水平不高,信息系统审计的可行性偏低,但也有些区县有较高的成熟度水平。
三、影响和制约审计机关信息系统审计发展的因素及对策
(一)制约因素
1.开展信息系统审计的法律依据不足
现行的法律法规对审计机关开展信息系统审计未予以明确授权。这导致被审计单位经常以涉及国家机密、商业机密、影响系统稳定运行等理由拒绝配合审计机关的信息系统审计工作,客观上给信息系统审计的开展造成了一定的困难。
2.信息系统审计准则指南尚未制定
目前国内并未专门制定关于信息系统审计的审计准则和操作指南。虽然国外的信息系统审计理论和准则指南相对成熟,然而其一是国情不同,其二是这些理论和准则指南倾向适用于社会审计和内部审计,与审计机关开展的信息系统审计在定位、目标和侧重点方面有相当大的差异,因此这些理论和审计准则并不能直接照搬应用于我国信息系统审计的实践。
3.部分被审计单位的信息系统规模大、复杂程度高,给审计工作带来较大难度
随着社会信息化的发展,被审计单位信息系统的规模和复杂度不断提高,具体表现在系统子模块多,模块之间结构复杂,业务处理流程复杂,数据来源广泛、数据量大等方面。这给信息系统审计工作带来较大难度,超出了当前阶段审计资源的承受能力。
4.一些审计人员还认识不到开展信息系统审计的必要性
从问卷调查的情况来看,虽然大家认同信息系统审计有重要意义,但被问及近半年是否有计划试点信息系统审计项目时,仍然有很多回答没有,有的甚至对开展信息系统审计的可行性持怀疑态度。
5.一些审计人员对信息系统审计目标的认识还存在局限性
很多审计人员局限于传统的制约性的审计观念,仅片面关注对信息系统的合法合规性的审计,而忽视了对其安全性、可靠性和效益性的审计。甚至认为如果发现不了什么实质性的违法违规事件,信息系统审计就谈不上成功。这无疑是一个认识误区。
6.信息系统审计的基本概念尚未普及,实践探索不够
目前大部分审计人员对信息系统审计的基本概念,比如含义、目标、内容和技术方法都不甚了解,这给信息系统审计的开展带来了困难,也导致了对信息系统审计的实践探索不够,这种实践探索的缺乏又反过来造成了信息系统审计经验总结不足,理论提升较慢。
7.审计机关内部现有的信息系统审计人才储备不足
开展信息系统审计,需要熟悉、精通审计专业和计算机专业的高端复合型人才。其中一种是精通审计、担任过大型项目主审且熟悉计算机应用,了解并掌握了信息系统基本审计思路的高级审计师;另一种是精通计算机技术,同时又熟悉审计原理和审计实务的计算机专业高级人才。从审计机关现状来看,显然这两方面的人才相当匮乏。
(二)相关建议
1.完善信息系统审计的法律依据
针对信息系统审计法律依据不足的现状,建议相关部门以法律、法规的形式将开展信息系统审计的内容和范围确定下来,使审计机关能够依法开展信息系统审计,更好地履行宪法和法律赋予的职责。
2.制定信息系统审计准则和操作指南
针对我国信息系统审计准则和操作指南缺失的问题,一方面要对国内外的相关理论和准则进行分析、借鉴,另一方面还必须理论联系实际,积极开展信息系统审计实践,在实践中认真归纳、总结信息系统审计经验,从而建立起有中国特色的,适应我国国情的,能真正指导我国政府机关开展信息系统审计实践的信息系统审计准则和操作指南。
3.开发与整理常用的信息系统审计的技术和方法
我省目前运用的方法多是初级层次的信息系统审计技术与方法,这类方法所能取得的审计效果相对有限,可尝试组织专门队伍总结开发适应的、可操作性强的技术与方法体系,然后加以推广普及。比如开发全面的、系统的信息系统内部控制调查和测评表格,有条件的还可以开发用于对信息系统的可靠性、安全性等方面进行辅助评估的实用工具软件。
4.集中技术力量选择优先领域、优先单位开展信息系统审计典型试点,进行总结推广
从我省信息系统审计的现状来看,存在各地区各领域发展不平衡的情况。建议可以先集中优势地区的技术力量,成立信息系统审计攻关小组,选择信息化程度较高,数据审计基础比较好的领域,进行系统规范的信息系统审计项目试点。集中优势力量攻坚克难,总结经验教训,从而在这些领域形成典型案例,继而将这种经验模式推广到全省乃至全国。
5.加大信息系统审计的宣传、培训力度
一方面可以解决部分审计人员对信息系统审计的概念认识模糊,对信息系统审计的必要性认识不足和目标认识不全面的问题,另一方面可以解决信息系统审计人才储备不足的问题。
6.征集信息系统审计案例,开展考核评比工作
定期在全省范围内征集信息系统审计案例,并组织专家对各地上报的案例进行评审,评选出一部分优秀的信息系统审计案例,予以表彰,以达到以评促审,促进全省信息系统审计水平不断提高的目的。
标签:审计准则论文; 审计计划论文; 审计目标论文; 审计软件论文; 审计方法论文; 审计流程论文; 数据单位论文; 信息系统规划论文;