新时期信息系统审计面临的挑战与对策
开篇:润墨网以专业的文秘视角,为您筛选了一篇新时期信息系统审计面临的挑战与对策范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘 要】 随着社会信息化的不断推进,信息系统审计已成为现代审计的一个重要分支。文章在分析信息系统审计概念、内涵和国际发展的基础上,指出了我国开展信息系统审计所面临的挑战,进而有针对性地提出了深化认识、加强人才培养、构建行业准则和建设审计使能信息系统的整体对策。
【关键词】 信息系统审计; 内涵; 挑战; 对策
一、信息系统审计的概念与内涵
现代信息系统是以开放式网络平台为基本运行环境,由人、信息、信息设备、运作规程等组成,通过信息的收集、加工、存储和传输,以组织战略竞优、提高工作效率为目标,支持组织高层决策、中层管理和基层运作的集成化、社会化人机系统。随着信息技术的普及和管理决策科学化的需求,信息系统在各类社会组织中的作用越来越突出,已成为日常工作必不可少的基础设施。重要信息存储于信息系统,关键业务运行于信息系统,因此必须对信息系统进行严格的管理和控制,以保证信息化战略与企业战略相融合,降低信息化风险。信息系统审计(Information System Audit, ISA)是必然趋势。
尽管目前学术界对于信息系统审计尚无统一的定义,但较为普遍接受的概念有两个:(1)1999年Weber提出的:信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产安全、数据完整以及有效地利用组织资源并实现组织目标的过程。(2)1996年日本通产省提出的:为了信息系统的安全、可靠和有效,由独立于被审计对象的信息系统审计师以第三方的客观立场对信息系统进行综合的检查、评价,向被审计对象的最高领导提出问题与建议的一连串活动。根据上述描述,结合ISACA注册信息系统审计师考试大纲对于知识体系的要求,可以判断信息系统审计主要有三个方向:安全性审计、可靠性审计和有效性审计。
信息系统审计最早主要是指对会计信息系统的审计。随着信息化程度的不断深入,组织内各类信息系统不断涌现,从管理层次和管理范围上实现了对组织业务的全面覆盖,信息系统在组织中的作用也越来越重要,新兴信息系统同样需要审计,以维护投资收益,保证系统安全、有效。
信息系统审计的目的不同,审计内容可能有所侧重,但总体来说,信息系统需要从系统组成、系统生命周期、系统管理等角度进行全面审计。信息系统审计的内容可详细划分为:(1)软硬件平台审计,可以确定软硬件的选型是否恰当、是否满足需求,以及是否可以构建安全稳定的系统运行环境。(2)系统开发过程审计,可以确定各项开发活动是否符合规范,是否实施了全面质量控制。(3)系统管理维护审计,可以确定系统管理维护规章是否完善,预案是否完备可靠,规章制度是否得以严格遵守。(4)信息系统安全审计,可以确定安全设施是否齐备,安全制度是否完善等。(5)信息系统业务流程审计,确定信息系统是否与组织战略相融合、一致,业务过程是否科学合理。(6)信息系统数据审计,确定信息系统中的数据是否真实、可信。(7)审计功能审计,确定信息系统的设计与实现是否有利于外部审计和内部控制。
二、国外信息系统审计的发展
信息系统审计是在电子数据处理(Electronic Data Processing,EDP)审计的基础上发展起来的。EDP审计主要是指电子数据处理环境下的审计,同时包含了对电子数据处理系统的审计。1969年EDP审计协会EDPAA成立。20世纪,计算机及计算机软件开始大规模商用,计算机逐渐成为会计审计的辅助工具,而计算机数据也成为审计对象,计算机审计应运而生。为了更为完整、真实地审计,作为关键数据承载者和核心业务运行平台的信息系统不应该游离于审计范围之外。1994年,EDPAA正式更名为国际信息系统审计与控制协会(Information System Audit and Control Association,ISACA),标志着信息系统审计作为现代审计的重要分支被广泛接受和认可。
尽管目前在绝大多数国家,信息系统审计还未纳入到强制性审计的范畴,基本上仍处于自觉自愿的状态,但是,美国、英国、日本、澳大利亚等传统经济强国在对信息系统审计的研究以及实施上已经走在了世界前列。
2001年,安然事件之后,美国国会和政府充分认识到了信息系统审计的重要性,通过了萨班斯法案(SOX法案)规范电子数据的保存、审计和责任等问题,不但要求本土企业开展和加强信息系统审计的力度,而且对美国上市的他国公司提出了同样的要求。调查显示,近年来美国、英国企业实施信息系统审计的比例逐年提高。信息系统审计从业人员的数量也在快速增长。
在IT审计方面,日本的做法是重视人才培养。日本通产省于20世纪80年代就在全国软件水平考试中增加了“系统审计师”一级的考试。
澳大利亚的信息系统审计经历了技术层审计、操作层审计和管理层审计三个发展阶段,形成了相对健全和比较完善的行业规范和执业准则体系。目前以信息系统审计为重要内容的IT审计已经占到该国审计业务的20%以上。
三、我国信息系统审计面临的挑战
(一)对信息系统审计缺乏准确全面的认识
计算机审计和信息系统审计都是目前审计领域内的讨论热点,但是两者之间的联系和区别在我国的学术研究和实践应用中长期模糊不清,在较早的文献研究中甚至将两者等同视之。这不仅不利于现代审计的理论研究,同时也严重影响审计信息化的发展。
另外,信息系统审计不仅是对财务信息的检查、评价和监督,信息系统自身同样需要审计,审计其投资、安全和效用,但这一点目前往往被业界忽视了。正确全面认识信息系统审计的必要性及审计内容对于信息系统审计在我国的发展非常重要。
(二)信息系统审计准则、程序不完善
截至2008年2月,ISACA共了16个审计标准、39个审计指南和11个审计程序。其1996年的信息和相关技术控制目标(Control Objective for Information and Related Technology,COBIT)已成为全球公认的、权威的信息技术控制目标体系。我国内部审计协会于2009年1月的《内部审计具体准则第28号——信息系统审计》围绕总则、一般原则、审计计划、信息技术风险评估、信息系统审计的内容、审计方法、审计报告等对内审中的信息系统审计进行了规约。然而这些审计准则主要以财务审计和财务信息系统审计为主线,这是根据以往信息系统审计人力、物力等资源相对匮乏的现实作出的理性选择,一旦这种资源瓶颈得以解决,信息系统审计将不再完全以财务审计为主线,更广义的信息系统将成为审计目标。当将运行于开放网络环境下的更广义的信息系统作为审计对象时,依附于传统财务审计所制定的审计准则已成掣肘。
(三)信息系统的设计和开发没考虑审计的需求
信息系统审计进入我国较晚,较长一段时间以来,人们对它的认识还不全面、系统,信息产业更是缺乏对信息系统审计思想及必要性的认识,使得系统审计职能一直没有真正进入信息系统工程领域,在信息系统建设过程中,在系统的设计、开发环节没有考虑系统审计的需求,导致目前常规的信息系统审计方法与技术在具体实施过程中屡屡碰壁,证据取得困难,程序追踪困难,审计过程效率低、效果差。
同时有相当一部分信息系统的设计者、开发者认为软件测试可以取代信息系统审计。其实,测试只要求功能的实现,而审计需要功能的规范实现,要考虑更多的企业内部控制的需求。另外,系统测试只在软件开发阶段有效,而审计是覆盖信息系统整个生命周期的,因此,信息系统测试不能代替信息系统审计。
(四)信息系统审计人才匮乏
信息系统审计归根结底是从传统财务审计衍生出来的一种新审计分支,从业人员多数也是从传统审计转化而来。但是,信息系统审计涉及审计学、信息科学、系统科学等学科,是一个多学科交叉的新领域,对从业人员提出了更高的要求,需要同时具备相关知识的复合型人才。
一直以来,我国高等教育专业划分过严、过细,同时具备信息技术和审计知识的高校毕业生非常少见。近年来,随着信息系统审计业务规模的不断壮大,人才紧缺的问题已愈发凸显,成为制约其发展的重要因素之一。
四、信息系统审计对策
(一)深化对信息系统审计的认识
通过培训和教育,使有关部门和单位明确信息系统审计对于信息化建设工作的重要性。信息系统审计工作应随着系统建设的开展而开展,应当落实好涵盖所有相关信息资源、信息系统声明周期、信息系统管理维护的全方位的信息系统审计。
进一步理顺和划清信息系统审计与计算机审计等相关概念的联系和区别,以主管部门正式文件的形式规定各自的职责目标、业务范围、适用准则与技术,为信息系统审计的研究和实践打好基础。
(二)推广和建设审计使能信息系统
萨班斯法案要求企业从信息系统的建设入手,增强其对审计功能的支持。
信息系统是数据与业务逻辑的集合体,在支持企业内部控制及外部审计方面具有先天优势。例如,在信息系统中可以设置内部控制审计轨迹保留机制,用来记录用户、应用程序及系统的关键活动。同样在信息系统中也可以增加会计记录随机抽样功能,并将抽样保存于安全数据库中,这样就可以有效防范“反记账”和“反结账”。
统一财务软件的数据结构与数据接口,做好信息系统的规范工作,强制要求信息系统提供审计接口,将会计信息系统是否支持标准数据格式、是否具有审计线索保留功能作为评价其质量高低的评价标准。
在信息系统建设过程中推广和应用时间戳技术、电子签名技术、XBRL技术对于审计数据的规范共享、提高审计证据的真实性有重要作用。
(三)加强信息系统审计人才培养
针对信息系统审计人才匮乏的现状,可以多渠道开展信息系统审计人才培养,弥补人才的不足。
1.鼓励现有审计人员学习信息系统审计知识,扩展和充实职业技能,应对信息系统审计业务的快速增长。他们具备完备的审计专业知识,只要适当地补充与信息系统审计相关的信息技术,就可胜任信息系统审计的职业要求。
2.在高校开展信息系统审计专业人才培养。针对审计专业的学生或者信息系统专业的学生开展交叉教学,培养复合型人才。
3.鼓励从业人员、学生参加注册信息系统审计师考试。ISACA针对信息系统审计的职业技能要求,推出了国际注册信息系统审计师考试,目前在我国北京、上海、广州、南京四个城市设有考点。准备和参加考试不仅可以学习和检验专业技能,同时可以了解相关领域的最新发展。
(四)加紧制定信息系统审计标准与规范,促进行业规范发展
尽管从技术角度来看,ISACA的标准、指南和程序已经日臻完善和成熟,我国似乎没有必要发展自己的准则,但是由于我国企业种类繁多,信息化水平地区差异大,许多内外环境与国外存在较大差异,如果没有切合国情的准则、程序对信息系统审计加以指导,则可能影响这项新审计业务的发展。因此,需要在借鉴国外先进经验,追踪国际惯例的基础上,结合我国信息系统审计的现实状况,由主管部门分期相应规章与规范性文件,逐步规范我国的信息系统审计。
五、总结
随着社会信息化的推进,信息系统已成为各类社会组织开展工作的基础平台,信息系统审计师需要依据特定的规范,运用科学系统的程序方法对信息系统进行监督审计,确定信息系统的可靠性、安全性和有效性。我国的信息系统审计工作还面临认识不足、准则不完善和人才匮乏等问题。只有不断深化相关领域对于信息系统审计工作重要性的认识,结合国情完善行业规范,积极培养领域人才,进一步研究相关技术,才能保证我国信息系统审计工作健康有序发展。
【参考文献】
[1] 庄明来.计算机审计与信息系统审计之比较[J].会计之友,2010(5):82-85.
[2] 陈耿.网络环境下信息系统审计的职能与类型[J].南京审计学院学报,2012(1):45-50.
[3] 崔春,陈晓栋.我国政府部门信息系统审计问题研究[J].生产力研究,2012(11):221-223.
[4] 王会金,刘国城.中观经济主体信息系统审计的理论分析与实施路径探索[J].审计与经济研究,2009(5):27-31.
[5] 刘杰.信息系统审计质量控制准则研究[J].财会通讯,2011(5):138-140.
[6] 石勇,崔超,赵晓光.网络环境下政府信息系统审计研究[J].财会通讯,2010(8):117-118.
[7] 郭强.澳大利亚IT审计特点与体会[J].审计与理财,2009(10):57-58.