1、构建我国信息系统审计监督体系摘要:随着整个社会信息化程度的不断提高,信息系统审计也日益得到审计界越来越多的重视,然而怎样开展信息系统审计仍然是困扰广大审计人员的一个问题。本文在描述信息系统审计发展与国内信息系统审计现状的基础上,通过对政府审计、社会审计与内部审计的对比,指出他们应该在信息系统审计方面分工协作,以构建我国合理的信息系统审计监督体系,并提出了关于分工协作的具体建议。 关键词:信息系统审计;政府审计;社会审计;内部审计 信息系统审计是信息化发展到一定程度的必然结果。它是一个通过收集和评价审计证据,对信息系统能否保护资产安全、维护数据完整、有效实现组织目标、高效使用组织资源等方面做出判
2、断的过程。 一、信息系统审计的发展与国内信息系统审计现状 早在大型计算机时代的 1954 年,美国通用电气公司就实现了会计电算化。那时审计人员没有能力检查计算机系统的内部处理过程,只能根据原始数据对处理结果进行人工核对,被称为“黑盒审计” 。随着计算机应用技术的发展,财务软件和业务软件迅猛增长,客观上要求审计人员关注 EDP(电子数据处理) 。1973 年,Touche Ross 审计事务所首次检查美国权益融资公司电算化系统的计算机处理过程,开启了“白盒审计”时代。 1968 年,美国注册会计师协会出版了审计和 EDP ,介绍如何开展EDP 审计、如何进行内部控制检查。1969 年,信息系统审
3、计组织EDP审计师协会正式成立;1977 年,它出版了 COBIT(信息及相关技术环境下的控制目标)行业标准;1978 年,它推出了 CISA(国际注册信息系统审计师)资格认证;1994 年,该协会更名为 ISACA(信息系统审计与控制协会) ,这反映了人们对计算机审计的关注重点从电子数据审计转向系统控制审计;1999 年,它开始研究 IT 治理,并提供了信息及其相关技术的管理体系模型和最佳实务;2002 年,它又推出了 CISM(国际注册信息安全经理)资格认证。2002 年美国政府出台 SOX 法案,对上市公司的年度审计增加了信息系统控制审计方面的要求。 我国的信息系统审计起步较晚,20 世
4、纪 90 年代学术界才开始在国外信息系统审计发展成果的基础上开展国内信息系统审计发展的探索和研究。到目前为止,主流的应用分为两大类:一类是依据 SOX 法案,对在美国上市的国内公司进行信息系统内部控制测评;另一类是依据 COBIT标准来评价信息系统的安全性、可靠性和有效性。 二、国家审计、社会审计和内部审计的区别和联系 我国的审计组织体系由国家审计、社会审计和内部审计组成。 国家审计是指政府审计机关依法独立监督国务院各部门和地方各级政府、国有财政金融机构和企事业单位组织的财政财务收支情况的真实性、合法性和效益性的行为。其目标有:1、审查被审计单位的会计帐表、凭证及相关资料,评价其是否真实、完整
5、、公允地反映了该单位的财政财务收支状况;2、评价被审计单位财政财务收支的合法性,审查其是否违反国家规定和相关财经法规;3、评价被审计单位财政财务收支活动的效益性,审查其是否存在决策失误、管理不善等造成的损失浪费和国有资产流失行为,是否存在不讲效益、效率和效果的现象。 社会审计是注册会计师接受委托,对被审计单位的会计报表及相关资料进行独立审查,并对其是否真实、公允地反应该单位的财务状况和经营成果做出鉴证。其职能有:1、替股东们揭露管理人员在业务经管过程中有无舞弊行为;2、验证财务报表是否真实公允地反映了公司财务状况和经营成果,发表一个具有职业权威的鉴证意见。 内部审计是指在部门或单位负责人领导下
6、的专职审计机构或人员,对本部门、本单位的财政财务收支及各项经济活动的真实性、合法性和效益性进行审查和评价,以提出审计报告、意见和建议的一种经济监督活动。其目标是发现企业管理中的漏洞及存在的问题,从而挖掘企业内部潜力,改善经营管理,提高经济效益,实现企业资源的最佳配置,增强企业的自我发展能力。 我们要处理好这三者的关系,让它们各尽所能地执行审计监督,同时还要让它们相互协作、共享有关审计资源,从而使整个社会的审计监督成本最小化、审计效率最大化。在信息系统审计方面,国家审计、社会审计和内部审计应该分工协作,各有侧重点地均衡发展,以构建我国合理的信息系统审计监督体系。 三、国家审计、社会审计和内部审计
7、在信息系统审计方面分工协作的建议 (一)国家信息系统审计工作思路为: 1.对于在财政财务收支审计、效益审计项目中涉及的信息系统审计,建议审计人员在详细了解和初步评价信息系统内部控制的基础上,对内部控制的薄弱环节实施数据审计;必要的时候再根据情况适当关注信息系统的软硬件环境及其建设过程。 2. 对信息系统展开专项审计调查时,还应对信息系统项目的整体效益进行审查,了解其功能设置能否满足系统目标,评价其信息系统建设是否符合整个单位的信息化发展战略及其业务发展战略。 (二)社会信息系统审计工作的重点为: 1.注册审计师应当关注各种内部控制框架,结合国内实际开发上市公司信息系统内部控制评价标准,为杜绝其
8、财务舞弊提供法律约束和自律制衡机制。 除了 COBIT 框架中的相关内容外,注册审计师还应当关注的其他标准有 COSO 框架(内部控制整体框架)和 ITIL(信息技术基础架构库)。尽管 COSO 框架并不是信息技术方面的内部控制框架,但是由于它在审计领域的重要性,几乎所有的信息系统审计的框架和指南都会考虑吸取它的主要思想作为内部控制的考虑出发点。SOX 法案把 COSO 框架作为组织加强内部控制的唯一参考框架。ITIL 为企业的 IT 服务管理实践提供了一个客观、严谨、可量化的标准和规范,它是目前普遍实行的“事实”上的标准。它包括了一系列适用于所有 IT 组织的最佳实践无论这些组织的规模如何,
9、以及使用的是什么技术。 2.注册审计师还应当关注信息系统安全相关技术,紧跟国际潮流,参照国外SysTrust、WebTrust 认证,结合国内实际,加快国内信息系统安全认证标准的研究和应用。 20 世纪 90 年代中期,互联网在全球范围内普及。1998 年由于软件和程序的错误,AT&T 公司的一台主要交换机产生故障,使许多信用卡用户在长达 18 个小时的时间里无法完成正常的交易。类似事件的发生使人们开始关注 IT 服务的可靠性问题,对信息系统的可靠性进行认证的服务应运而生,这种认证被称为 SysTrust(信息系统安全认证) ,其标准被称为“SysTrust 原则与标准” ,该标准由美国注册会
10、计师协会和加拿大特许会计师协会共同开发。 20 世纪 90 年代末,电子商务迅速成为互联网上的热点应用。2000年 2 月,雅虎、亚马逊、易贝等许多大型电子商务公司遭到黑客攻击,这使消费者对电子商务的信心受到影响,网络公司开始关注如何进行自我保护,对电子商务网站的可靠性进行认证的服务应运而生,这种认证被称为 WebTrust(网站认证) ,其标准被称为“WebTrust 原则与标准” ,该标准由美国注册会计师协会和加拿大特许会计师协会共同开发,目前欧洲的会计师协会也开始提供这项服务。 (三)内部信息系统审计工作方面: 建议内部审计师重点关注 COBIT 标准,协助本企业做好 IT 治理。 19
11、99 年,英国首先提出 IT 治理的概念,他们认为越来越多的企业风险是由内部控制疏忽、信息技术失败引起的。同年,ISACA 成立了 IT 治理研究院,专门研究 IT 治理的概念,并提供了信息及其相关技术的管理体系模型和最佳实务。目前,该体系已在世界上 100 多个国家的重要组织中成功运用,指导这些组织有效利用信息资源、有效管理信息相关的风险。 内部审计师应当结合本单位实际来研究如何利用 COBIT 的 IT 治理最佳实践标准、方法和工具,针对组织的信息系统进行审计,以发现组织信息系统在 IT 治理、安全、运维、开发及业务连续性等方面存在的技术脆弱性和管理薄弱环节,以适宜的方式向管理当局报告所发现的风险,并对风险进行持续的追踪,不断提高组织的 IT 风险控制水平。 (作者单位:河南省审计干部培训中心) 参考文献: 1康晓丽关于政府审计、民间审计和内部审计比较的案例分析, 康晓丽 2石爱中副审计长在信息系统审计研讨会上的讲话, 石爱中
