审计署计算机技术中心主任王智玉谈国外计算机审计,本文主要内容关键词为:审计署论文,中心主任论文,计算机技术论文,国外论文,计算机论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
国外计算机审计的概况
王智玉:近年来由于工作的关系,我考察过一些国家的审计信息化,也参加过一些国际会议,接触过一些国外同行,了解了一些情况。我就仅仅依据这些谈谈“概况”,而不是讲什么“发展趋势”。因为对国外的情况了解得不多,没有全面掌握,总结不出趋势来。
2006年修订后的《审计法》,专门增加了被审计单位要提供电子数据技术文档、审计机关有权检查被审计单位计算机系统的规定,国外相关的法律法规是否比我国规定得更具体、更明确呢?
王智玉:在中国开展计算机审计,所谓的“法律准入”问题曾经困扰过不少审计机关,我们开始在立法上找出路,于是习惯性地要看一看国外是怎么解决的。2004年9月我们曾经把“计算机审计的法规环境”作为专门的分课题列入第二届计算机审计国际研讨会。这次研讨会在南京审计学院举行,参加会议的共有来自15个国家和港澳地区的境外代表28人,国内代表24人。但结果令人失望,在法律环境问题上,我们没有找到可以攻玉的他山之石。巴基斯坦代表在论文中列举了从宪法到指南对于审计权利义务的规定,说这些都是审计的法律依据,“审计署可根据工作需要提出进行观察的要求,要求提供所有信息。被审计单位应提供配合。任何阻碍审计调查的人或机构都将面临根据《效率、纪律规章》相关规则的纪律处罚。”从我考察过的国家看,或从参加国际会议接触到的外国审计同行中间接了解,基本上都是这么解决所谓“法律准入”问题的。
我想,审计工作地位的提高、中国民主法制进程的推进、审计实践的需要是致使《审计法》做出如此规定的三个因素。
国外没有专门的法规,计算机审计是不是也能开展起来呢?
王智玉:审计是一个传统的职业。被审计单位应当毫无保留地向审计机关开放资料,接受监督,这是国家权力的作用,而与被审计单位使用什么工具从事经济活动、记录经济活动无关。我开过一个玩笑,中国周朝的审计官叫宰夫,周朝的文字是甲骨文,那时的如果有财务主管,他必须给宰夫提供“老鳖盖儿”;到了宋朝,有了笔墨纸砚,财务主管送到审计院的肯定是账本子;到了21世纪,计算机记账,CFO(首席财务官)交给审计人员的就得是电子数据!这在国内国外都是同样的道理,从EDP(电子数据处理Electronic Data Processing)审计、IS(信息系统Information-System)审计,到IT(信息技术Information technology)审计,反映的也是类似的过渡。
国外对于计算机审计很重视,认识到信息化的推进对于审计工作带来的挑战,计算机的广泛使用给审计工作带来的变化。于是各国审计机关,有的在想、有的在说、有的在做,处于一种百花齐放的发展阶段,有很多好的经验、好的做法,更有很多好的计划、好的思路。这是我们要学习借鉴的时候特别关注的。
中国可否从国外引进一些审计软件?
王智玉:我把国外的计算机审计软件分为两种。一种是引导审计人员履行工作程序、控制审计质量的,如普华会计公司和德勤会计公司分别开发使用了PW(Price Water house)工作平台和AS/2(审计系统Audit System)工作平台。中国审计署在澳大利亚专家的协助下也曾经开发了一套类似的软件叫EAS(企业审计系统Enterprise Audit System)。
另一种是数据分析软件,比较知名的有IDEA(交互数据析取和分析Interactive Data Extract Analysis),它是加拿大公司投资数亿美元开发的,经过十多年的完善,这套软件在世界上许多国家的审计机关推广使用。2004年我有幸陪同董大胜副审计长访问罗马尼亚,在哈尔吉塔县审计院,罗方审计人员给我们演示了他们使用IDEA2.02版的情况。IDEA在中国推出了汉化版,称之为“快思维审计软件”,大概售价是每套1万元人民币,神州数码是它的合作伙伴。国外使用较多的计算机审计软件还有ACL(审计命令语言Audit Command Language),也是加拿大公司开发的,它可以对导入的电子数据进行分析,嵌入了许多国外常用的分析公式。
另外,审计软件的概念有时也被搞得非常宽泛。比如审计署派到英国一个效益审计考察团,在英国同行向我们的介绍中:PPT(电子幻灯Power Point)被称做“审计报告软件”;项目管理软件(Project Manager)被称做“审计计划软件”;Excel(电子表格)被称为“财务分析软件”……不一而足。这也不能说不对,只不过和我们中国人对审计软件的理解不太一致。
中国审计署的AO(审计师办公室Auditor Office)在开发过程中,学习借鉴了国外的审计软件。
国内现在为什么不太用计算机辅助审计技术这个概念了?
王智玉:这个概念的英文缩写为CAATs(Computer Assisted Audit Techniques)。CAATs的定义在《国际审计准则第15号》中是这么表述的:“在电子数据环境下,审计的总体目标和范围没有改变。但是,在电子数据处理环境中,审计程序的应用可能要求审计人员考虑使用计算机作为审计的工具。这方面的各种计算机使用技术即称之为计算机辅助审计技术。”同时准则说明,CAATs“在符合性测试和实质性测试程序应用时采用”,目的是“改善审计程序的效果和效率”。
根据以上分析,CAATs的概念要小于计算机审计。由于计算机审计的概念相对大一些,所以我们有一种说法,计算机在审计工作中的应用不仅是工具的改变,更重要的是审计方式的改变。这是二者的不同,这也是国内有些人不愿使用计算机辅助审计这个概念的原因吧。
国外联网审计发展如何?
王智玉:我们叫联网审计,国外的叫法(On Line Auditing)直译应当是在线审计。
网络的广泛应用只是近一、二十年的事情,审计作为上层建筑的一部分,对经济活动的反应稍有滞后是很正常的,应当说对于联网审计各国审计机关都在探索,都在力所能及的范围内、尽其所能地去推进联网审计的发展。说句令大家失望的话,国外联网审计的水平也是参差不齐。
联网审计解决的不仅仅是数据传递方式,而更重要的是要提高获取数据的频率、审计的频率。意大利审计长来华访问介绍情况时说,他们对财政预算执行情况实行的是“随时、逐笔审计”,因为审计法院已经实现了与国家财政资金支付中心等单位的联网,支付中心向谁拨付了资金、金额是多少、有没有预算,随时都在审计机关的监督之下。在挪威国家审计署计算机中心,可以访问挪威国家税务局计算机上的数据,甚至可以看每一个家庭的收入情况和所得税的缴纳情况,国家税收征收、缴纳情况一目了然。那么,我们设想,在这两个国家,只要审计机关愿意,可以天天“察看”——浏览被审计单位的数据,也可以天天“操作”——分析被审计单位的数据。至于他们如何做,是现在做,还是将来做还需要进一步了解。
但是如果只是通过网络取得数据,那就与手工条件下的送达审计没有什么区别了。据对乌克兰审计院的考察,乌克兰审计院开展联网审计探索始于1997年,制订的目标是实现与被审计单位的信息交换。1997年审计院实现了与国家银行的联网,按照预算审计委员会的要求,国家银行每三个月向审计院报送一次财务报表信息;2001年预算审计委员会又要求财政、国库、预算执行单位每个月向审计院报送一次会计报表。所以“乌克兰审计院的Oracle数据库现存储电子数据约50 GB”。
我个人理解,对于网络传输工具运用与否,体现了社会基础设施条件和审计人员主观意志的结合;而先进传输工具效率的发挥程度,体现的是审计机关工作目标的要求。
国外对计算机的审计是怎样的呢?
王智玉:对计算机的审计应当说是一个“很中国”的提法,严格来讲指的是对管理电子数据的计算机系统的审计。我觉得从三个方面分析比较容易理解。
一是建立计算机系统的必要性、效益性。如美国在上世纪70年代计算机系统审计的关注点是“系统是否能完成规定的使命,资源的利用是否最优”,并要对采购方案进行成本效益分析。1977年至1987年的10年中,美国审计署就曾提出过175份有关采购的报告。现在这种分析并不过时,比如我们要开展对于电子政务建设的审计,也会从这个地方切入。
二是检查计算机系统的安全性。有两个关注点:一个关注点是系统的环境是否安全,是否防水、防火、防雷、防盗,供电是否有保障等;另一个关注点是系统的内部控制是否安全,能否完全防止未经批准的人员蓄意变更或访问数据,备份和灾难恢复机制是否完善等。
三是计算机系统在录入、传输、存储、显示、输出数据过程中是否能够避免错误,直接关系到审计资料的真实、合法,如果处理数据的软件有瑕疵甚至有人为舞弊,将给审计带来巨大的风险。美国、加拿大、澳大利亚等国的审计机关,专门配备技术人员负责这项工作。
与“对计算机的审计”有些类似的信息系统审计,涉及三个比较重要的概念:IT审计师、COBIT、ITIL。
IT审计师实际上英文缩写是CISA(Certified Information System Auditor),直译显然是注册信息系统审计师。IT审计师属于总部设在美国芝加哥的信息系统审计与控制协会(ISACA),该协会在各国有会员2万多人。
IT审计师的知识结构及其工作领域,与我国审计机关领导干部的期望值相去甚远。直白一些说,他偏重于计算机技术太多而涉足财政财务收支(哪怕是财务会计管理软件)太少。对此,我们从IT审计师考试内容的几个方面中可见一斑:信息系统审计程序(10分);信息系统的管理计划和组织(11分);技术基础和操作实务(13分);信息资产的保护(25分);灾难恢复和业务连续性(10分);业务应用系统的开发、取得、实施和维护(16分);业务过程的评估和风险管理(15分)。从这里面没有发现直接与查处信息系统作弊的内容。
有选择地向审计人员介绍信息系统审计方面的知识,鼓励青年同志学习CISA课程,适当地引进IT审计师,对于改善审计机关的人才结构、改善审计人员的知识结构是非常有益的。
讲到信息系统审计,紧接着就要讲IT审计师的协会—ISACA制定的COBIT(信息及相关技术的控制目标Control Object of Information and related Technology)。我给COBIT作了一个归纳:它是用于指导信息系统建设和应用的标准性文件,其目的是确保业务目标的实现,实现在风险管理和收益实现间的有效平衡,对各类IT活动实施有效的管理,控制与IT相关的风险。
COBIT包含34个信息技术过程控制,并归集为四个控制域:1.IT规划和组织(Planning and Organization),主要讲在上一个信息系统项目的时候,应当搞清楚:为什么做、做什么、用什么技术做、组织哪些人去做、做的风险在哪里、如何从组织上保证质量。2.系统获得和实施,主要讲要上这个信息系统项目,应当搞清楚:选择哪一种解决方案、从何处获得(买到或者委托谁来开发)软件、如何选择硬件、如何安装调试验收、系统将来如何维护升级。3.交付与支持,主要讲当系统建成之后,应当搞清楚:谁来操纵这个系统为业务提供服务、如果服务交给第三方应当如何管理控制、服务质量如何评价、如何保证系统持续运行服务不致中断、如何建立保密机制、信息服务成本如何计量、如何对系统使用者开展培训、出现问题如何处理、数据资源和设备设施的如何管理。4.信息系统运行性能监控(Monitoring),主要讲系统投入运行之后使用中如何控制、监视、跟踪等。
综上所述,COBIT更多的是信息系统的建设、应用方面的管理标准,告诉信息系统的建设者、管理者应当注意些什么,应当做到什么。当然,审计人员也可以参考(或者按照)这个标准去检查判断信息系统的得失成败,作为审计的参照物或者当成审计判断依据。
除了COBIT之外,有的国家审计机关对信息系统进行评价时,比较推崇采用ITIL(信息技术基础架构库Information Technology Infrastructure Library)作为评价依据。ITIL是英国于上世纪80年代中期开始开发的一套针对IT行业的服务管理标准。当时英国政府为了提高政府部门IT服务的质量,邀请了知名IT厂商和专家共同开发一套规范化的、可对IT资源使用进行财务计量的方法,用于衡量不同规模、不同技术和业务需求组织的IT管理。现在ITIL已经成为国外IT管理领域事实上的标准,全球已经有1万多家知名公司在参考其方法来管理自己的信息系统。国外审计同行提及对信息系统进行评价,也津津乐道ITIL。90年代末,ITIL也被有关公司引入中国。据说有的城市社会保障机构在专业公司协助下,使用ITIL指导构建信息化过程。
ITIL的主要内容或者说其框架包括6个部分:1.业务管理,它强调IT服务首先应该考虑业务需求,根据业务需求来确定IT需求,而不是反之。2.服务管理,它强调IT服务要按照业务流程进行组织,而不能按照信息系统的功能模块去组织。3.IT基础架构管理,它强调IT基础设施要进行有机的整合,目标是确保IT基础架构是稳定可靠的,能够满足业务需求和支撑业务运作。4.应用管理,包括对应用系统的支持、维护和运行,使各个不同的应用软件能协调一致地为组织的业务运行提供支持和服务。5.安全管理,它从政策、策略和方法的角度指导组织,如何确定安全需求、制定安全策略、处理安全事故,其目标是保护IT基础架构,使其避免未经授权的使用。6.规划与实施,它具体指导前五个部分如何实施,并提供了对实施情况进行评审的方法。
从ITIL的内容我们很容易发现,既然它是一个要求被审计单位“做什么”(What)、“如何做”(How)的标准,当然也可以作为审计人员检查它们做得如何的标准。
标签:审计软件论文; 审计计划论文; 审计质量论文; 会计与审计论文; 国家审计论文; 审计准则论文; 审计目标论文; 审计职业论文; 信息系统规划论文;