基层审计机关信息系统审计初探
开篇:润墨网以专业的文秘视角,为您筛选了一篇基层审计机关信息系统审计初探范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
进入21世纪,随着计算机技术的不断进步,以计算机为核心的信息系统得到了迅猛发展,信息系统也广泛深入地渗透到社会的各个领域,成为政治、经济、军事、文化乃至社会一切领域的基础,各种信息系统在帮助企业改善运作与管理水平的同时,也带来了许多已知的和潜在的风险。为了对信息系统工程建设质量和系统风险进行有效的监控,我国自2002年起初步建立了信息系统项目经理制和信息系统项目监理制度,而国外采取的监控手段主要是信息系统审计(Information System Auditing,ISA),我国近几年也开始把目光投向信息系统审计,日益关注包括财务信息系统在内的所有信息系统的安全性、可靠性,及其与组织目标的一致性。信息系统审计的必要性逐渐凸显。
一、信息系统审计的涵义
信息系统审计出现的时间不长,直到21世纪才进入我国。信息系统审计是在电子数据处理审计(EDP审计)的基础上发展起来的。虽然目前对信息系统审计的概念并没有统一的定义,但比较有代表性的定义有:Ron Weber(1999)认为“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程”。邓少灵(2002)认为“信息系统审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据”。国际信息系统审计和控制协会(ISACA)认为“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率的利用组织的资源并有效果的实现组织目标的过程”。钱啸森等(2006)认为信息系统审计是对信息系统规划、开发、运行和维护等各个环节进行评价,确保其符合经营管理目标的过程。
无论哪种定义我们都可以看出,信息系统审计是传统审计的深化,其目的在于有效地监控信息系统的风险。信息系统审计更加强调系统的观点,审计对象包括整个信息系统环境以及与此有关的业务在内的以网络及计算机为核心的信息系统。而审计过程比传统审计更加复杂,覆盖了信息系统从规划、开发、运行、维护到报废的整个生命周期的过程。
二、开展信息系统审计的必要性
信息技术的兴起和企业对核心竞争力的追求推动了信息技术在数据处理、存贮和交换等方面的广泛应用,信息系统已经渗透到社会生活的方方面面,它的高效和程序化给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生、系统不稳定引发社会问题等,系统安全问题日益严峻。如2007年9月,西安市医保中心使用未经测试、未经验收的软件系统将医保资金打入个人账户时,先是重复给18万余人账户多打入医保资金1 090万元;在发现错误扣回这些资金时,竟又多扣了1.85万人账户上的资金。为恢复数据,该中心被迫紧急叫停西安市医保信息系统,在长达7天的时间里,全市130万市民拿着医保卡却无法购药、无法就医,西安市社保局局长张平均因信息系统混乱诱发的问题而丢了官;2011年5月13日,广州市广珠轻轨站外抛锚,因信息系统故障致列车2个多小时进不了站;2011年10月25日,北京市东城区社区卫生服务信息系统发生故障,影响到社区卫生服务站的结算运行,患者无法使用医保卡结算,致使东城区39个社区卫生服务站因信息系统故障关闭近一周无法正常提供门诊取药服务等信息系统故障引发问题不胜枚举,原因也各种各样。
信息系统的可靠性、安全性、有效性和效率成为制约信息系统质量的重要因素,我们现在普遍开展的计算机辅助审计,是在基于认可了信息系统安全、可靠,数据真实的情况下,采取有关数据后进行数据分析,审计人员并未对信息系统进行审计,仅对它产生的财务数据、业务数据进行审查。那么信息系统是否安全、可靠呢?其运行结果是否真实有效呢?在回答这些问题之前,审计结论的可靠性就要受到质疑,审计风险也就在所难免。信息系统审计作为一种可以确保信息系统的安全、可靠及高效运行的新的审计模式受到世界各国的普遍重视,随着我国以“信息化带动工业化”战略的全面实施,国民经济信息化被提到了前所未有的高度,加快发展我国的信息系统审计事业具有重要意义。
首先,信息系统审计是审计机关维护国家信息安全的重要手段。新任审计长刘家义多次指出,作为经济社会运行的“免疫系统”,维护国家安全是审计工作的第一要务。信息安全是国家经济安全的一个重要方面。当前信息化条件下,政府机关通过信息系统和计算机网络运行了大量的国家资源,开展信息系统审计,确保这些系统的安全稳定,维护国家信息安全。
其次,信息系统审计是新形势下防范审计风险的必然要求。由于信息系统的迅速发展和单位业务量的不断扩大,许多我们审计过程中需要的取证材料都是通过计算机系统直接生成的,而如何确保这些系统直接生成的材料是百分之百正确的,如何确保审计机关不是“假账真查”,如何确保系统自身的产品(信息资源)是可靠的,不能仅仅依靠被审计单位的承诺来解决,而是要通过开展信息系统审计,来降低和防范审计风险,提高审计质量。
第三,信息系统审计是查处打击新型犯罪手段的重要途径。由于计算机和通信技术的不断普及,我们对信息系统的依赖越来越严重。在一些特殊的行业,如银行、保险、电信行业,如果离开信息系统,正常工作将无法开展。但同时,利用信息系统漏洞而进行的计算机犯罪行为屡有发生,这更加引起我们对信息系统内部控制、合理授权等安全性、可靠性的关注。开展信息系统审计,能够帮助被审计单位完善信息系统的运行,同时,对利用信息系统进行计算机犯罪也具有强大的震慑作用。
为适应经济社会的不断发展,目前基层多数单位在财务核算等内部管理上均开始使用计算机信息系统。如何克服审计资源的不足,积极有效地开展基层信息系统审计工作,已经成为基层审计机关面临的一个新问题。笔者认为,制约基层审计机关开展计算机信息系统审计主要有五大因素:
一是对信息系统审计的观念转变不到位。信息系统审计不仅是审计手段和审计对象的转变,更是对传统审计在思维方式上的转变。一方面,对信息系统审计的认识和定位不到位,对信息系统的理解还停留在计算机辅助审计或辅助审计软件开发及应用的层次上,尚未全面树立制度基础审计和风险审计的理念。信息系统审计不是计算机辅助审计,其对象就是信息系统本身。计算机辅助审计是一种审计手段,而信息系统审计就是一种审计模式,通过对信息系统整个生命周期过程的审计,来对系统的安全性、有效性和可靠性做出合理的评价。另一方面,对开展信息系统审计存在“等、靠、看”的思想。由于对信息系统审计这样一个新生事物,理论和实践的认识程度还不是非常成熟,常规性审计工作主要包含财政财务收支、经济责任、固定资产投资审计等,审计观念仍局限在查错纠弊上,审计习惯于“就账审账”,同时审计思路难以衔接,会造成不知如何下手,从而引起畏难情绪,望而却步,寄希望上级审计机关先进行合理的实践和探索,形成一套有效的经验和方法,在这基础上再开展信息系统审计,导致基层审计机关对于信息系统审计的开展仍处于“等、观、望”的状态。
二是审计人才培养尚未形成机制。开展信息系统审计,需要熟悉、精通审计专业和计算机专业的高端复合型人才。包含两个方面的人才,一种是精通审计、担任过大型项目主审且熟悉计算机应用的高级审计师;另一种是精通计算机(例如注册信息系统审计师CISA)或者熟练掌握数据库有关技术、信息系统控制以及软件工程等知识,同时又熟悉审计原理和审计实务的计算机专业人才。目前基层审计机关的业务骨干大多为财会和审计专业。虽然经过计算机强化培训审计机关会用计算机的人越来越多,但信息系统审计不仅要“会用”还要“精通”;不仅要精通计算机知识,还要会将审计思路转变成计算机审计方法,现有审计人员素质很难满足。针对这种状况,基层审计机关有的是直接引进计算机专业人才想取而代之,但从实际引入的计算机专业人才来看,如何将审计思路提炼成计算机语言并融合于信息系统审计中,依旧需要审计机关后期的不断培训。
三是计算机软硬件设施存在不足。一方面,在硬件设备购买上,目前基层审计机关经费重点保障计算机辅助审计、信息化办公管理和联网审计的硬件投入;而信息系统审计要承载运行的大量数据,往往依靠普通笔记本或配置较高的台式机是难以奏效的,引入小型服务器对经费紧张的基层审计机关来说难免捉襟见肘。另一方面,被审计单位信息系统应用参差不齐。从基层被审计单位软件应用情况看:各种软件各行其道,同一个品牌的诸如用友、金蝶等财务软件都有许多个版本,每个版本系统自身不复杂,但难在小而多;另有部分垂管单位和业务性强、业务量大的单位,其业务信息系统是由省统一布置,其信息化程度高但又不能实施信息系统审计,基层审计机关往往只能获取终端数据,测试数据的运行几乎不可能。
四是开展信息系统审计的法律法规依据不充足。当前,审计机关开展信息系统审计所依赖的法律法规主要有《审计法》和《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》([2001]88号)等。但是,《审计法》第三十一条和三十二条,仅明确审计机关对被审单位运用电子计算机管理财政和财务收支电子数据系统(即会计信息系统)进行审计,而对与被审单位管理和决策等有关其它信息系统的审计,则未予以明确。在现代信息系统审计中,不仅跳出了传统概念上的账册、凭证,甚至跳出了计算机电子数据,开始对计算机系统内部控制设置、内部评价标准进行探索,但由于缺少法律支撑,被审计单位对开展信息系统安全审计所需的数据字典、程序开发文档等核心文档时,常遭到对方以涉及企业商业秘密等种种理由而拒绝,而审计机关又没有确切的法律依据强制要求提供,导致信息系统审计开展困难。
五是信息系统审计相关审计准则和操作指南不完善。由于我国开展信息系统审计正处于起步阶段,对审计机关如何开展信息系统审计尚在积极探索中。信息系统审计缺少具备实际指导意义的相关审计准则和操作指南。因此,目前尚没有一个完整的、成熟的具有示范作用的审计案例,而信息系统审计查出问题定性复杂、依据难找,也缺少具备实际指导意义的相关信息系统审计准则和操作指南。信息系统审计准则和审计指南的缺失,不利于规范和指导信息系统审计实践,不利于衡量和评价信息系统审计工作质量,也不利于防范和规避信息系统审计风险。
四、基层审计机关加快开展信息系统审计的对策建议
针对上述问题,笔者认为,基层审计机关在推动信息系统审计工作的时候,只有充分运用现有条件,从“小”处入手,以小搏大,逐步推进,方是良策。
一是选择恰当的审计方法。目前推行信息系统审计主要有四种方式:独立式、全结合式、结合式和倒推式。各基层审计机关要充分了解自身的实际状况,充分学习了解各种系统审计方法,不能盲目推行独立式和全结合式。要以倒推式为起点,结合式为发展,独立式和全结合式为最终目标,有计划、有步骤地逐步推进信息系统审计工作。专项资金类审计项目被审计单位大多采用自行开发的软件,因而更具备开展信息系统审计的条件。如某地实施的《地方税务征管信息系统审计项目》,审计人员从一个抵扣项的“小”字段出发,见到其对减免税的“大”影响。实施过程中,不贪大求洋,采用最简单的倒推式审计方法,最终确认应退未退减免税近千万元的问题。而《J市新型农村合作医疗计算机管理系统审计项目》,审计人员则从身份证号这样一个“小”事项出发,倒推出该系统参保人员信息输入未予控制,导致一人多保的问题。以“小”事项见“大”系统,揭示出了资金管理的“大”问题和“大”漏洞。
二是逐步积累审计资源。从这两个成功的信息系统审计案例来看,项目的实施一旦取得阶段性的成果,审计人员对于被审计的信息系统就会更加熟悉,自信心就会更强,也逐步累积了经验,为今后的审计奠定了基础。“小”的审计成果促进了信息系统审计工作“大”的发展。在硬件设施的配备上,一方面要在经费供给上保障信息系统审计,逐步改善硬件设施,以点带面,推动信息系统审计工作;另一方面要充分发挥基层审计人员的主观能动性,对数据量过大又不能直接采集或运行的,可通过数据分割的方式来解决;对内存不够、计算运行时间过长等问题,可采用换人不停机的方式来解决。
三是加强审计沟通交流。首先加大审计系统内部交流。可以结合审计特点举办信息系统审计相关知识的培训班和审计案例观摩讲座,以成功的案例来挑开信息系统审计神秘的面纱。及时总结成功的经验,排除审计人员的畏难情绪。进一步规范审计操作、完善审计内容、统一审计处理,逐步形成操作性较强的指导意见和应用标准。其次加强与被审计单位的沟通。要让被审计单位充分感受电子化管理的便利,以推广会计电算化为基础,推广信息系统管理。要让被审计单位逐步了解并接受信息系统审计工作,从而转变观念,创造更加宽松的审计环境。
四是充分利用现有人才。首先继续加强对审计人员计算机知识的系统培训。目前各基层审计机关基本都已经具备一定数量的审计业务与计算机水平均比较突出的业务骨干,要继续进行系统培训,逐步培养出自己的“信息系统审计师”。其次要进一步加强审计机关之间需要业务学习与交流,了解互相存在的困难,交流彼此解决的方法,特别是成功案例的经验分享。通过交流和资源共享,提高基层审计系统的整体水平。
五是形成良好审计氛围。信息系统审计的开展并不能仅仅依靠一两个计算机业务骨干,而是要全员动员,全员参与,才能把信息系统审计这篇文章做好。首先,领导重视是关键。对于县级审计机关而言,只有领导重视了,信息系统审计才有发芽的土壤,才能有更多的审计人员参与进来,才能有更好的硬件软件保障。其次,转变思想观念。当前,要开展信息系统审计,审计人员要切实去除对信息系统审计的畏难思想、无用思想和上级先行思想,主动融入和参与到信息系统审计的发展潮流中去。
信息系统审计工作的推进不是一朝一夕就能解决的问题,各基层审计机关既不能被困难吓住,也不能冒进。要从自身的实际出发,充分利用现有审计资源,充分调动基层审计人员的积极性。用阶段性成果推动,用最终的目标鼓励,以小搏大,积极有效地开展信息系统审计工作。
(作者单位:吉安市审计局)