摘要:审计机关开展信息系统审计是“国家审计免疫系统”建设的重要环节,当前基层审计机关在开展信息系统审计的过程中,存在着评价标准、人员素质、技术水平等因素制约,信息系统审计难以进一步全面推广。通过创新信息系统审计方法、引入专业人才、加强与内审机构协作等方法,能够进一步推进基层审计机关开展信息系统审计的发展。
教育期刊网 http://www.jyqkw.com
关键词 :审计机关;信息系统;计算机审计
随着信息化在社会各个领域的广泛应用,审计机关所面临的审计对象信息化程度不断提高,审计机关应用计算机审计经历了从电子分析到业务数据审计、到目前逐步开展信息系统审计的过程。本文中拟结合笔者在审计实务中进行信息系统审计的经验,探讨基层审计机关开展信息系统审计的经验、困难及对策。
一、开展信息系统审计的必要性和迫切性
当前,针对电子数据所进行的计算机审计已经在各级审计机关得到普及和提高,但是在实际工作中我们常常会发现这样的情况,当将上次运用计算机审计所总结的专家经验再次运用于被审计单位的电子数据时,原先发现的问题往往不再存在,这可能是被审计单位已经对问题进行了整改,也有可能是被审计单位的信息系统针对审计做出了修正,表面上看提供的数据好像没有问题,而实质却没有变化,问题下沉了、掩藏了,或者说被审计单位的信息系统对审计经验具有了免疫力。
在后一种情况下,如果我们仍然按对电子数据进行审计的办法开展审计,必然会影响审计工作的成效。
当我们以信息系统审计的眼光去审视被审计单位业务信息系统时,所看到的不再仅仅是数据,而是从硬件系统→操作系统→数据库系统→业务系统→向审计提供的财务数据、业务数据的层次结构,从中可以看出,由被审计单位所提供的财务数据和业务数据处于系统的最外层,目前我们实施计算机审计主要从二个方面进行取数,一是由被审计单位提供其业务系统产生的备份数据,比较常见的财务电子账套;二是直接从被审计单位业务数据库中取数,如税务数据、社保数据等原始业务数据。这二种方法均没有深入涉及到被审计单位的业务系统,前者完全在系统之外进行审计,后者虽然从系统内部取数,但往往也是重点审查其中几张表,缺乏对系统的全面考虑。所以说,如果计算机审计仅仅停留在数据审计的层面,将是不完整、不全面的审计,不能推动计算机审计的进一步发展,只有以全面的眼光来看待被审计单位的信息系统,才能够真正发挥计算机审计的作用。通过对被审计单位开展信息系统审计,强化其信息系统控制功能,从系统内部防范差错和舞弊的发生,使审计从“病后防治”转变为“事前免疫”,是“国家审计免疫系统”建设的重要环节。
二、现阶段开展信息系统审计存在的难点
1.系统审计受评价标准、现场时间、技术水平等因素限制难以审深审透
传统的政府审计已经制定了较为详尽的审计评价体系,但对于政府信息系统审计来说,这些适用于传统审计的方法和程序在一定程度上并不适用于政府信息系统审计。审计方法的落后和审计程序的缺失,在一定程度上影响了政府信息系统审计的发展。另外,信息系统审计需要审计人员对业务系统有充分的理解和认识,而目前受现场审计时间制约,审计人员短期内能够把系统业务流程、底层数据结构掌握已属不易。与国际上信息系统审计提出的审计目标相比,目前基层审计机构开展信息系统审计难以做到审深审透。
2.系统审计专业人才匮乏
开展信息系统审计要求审计人员不仅要懂得传统审计理论与实务,而且要懂得现代信息技术、网络技术、信息系统审计技术,精通信息系统的开发、管理与控制方面的理论与实务。否则将无法对信息系统进行全面审查,难以胜任信息系统审计工作。目前我国审计机关计算机专业人员不熟悉审计实务,而精通审计业务的专家对信息技术和信息系统又缺乏了解和认识,既精通审计,又精通信息技术的复合型审计人才十分缺乏。
3.系统审计全面推广存在瓶颈
在审计创新发展中提出了绩效审计、信息系统审计等新的审计观念,目前绩效审计的发展已经全面开花,不论是独立式还是结合式,绩效审计都取得了较大的成功,而信息系统审计经过这几年的发展,仍然还是局限在较小的区域内发展,没能够达到绩效审计那样的发展规模。究其原因,绩效审计和财政财务收支审计本身具有较强的关联性,审计人员从财政财务收支审计过度到绩效审计也较为自然,而信息系统审计与传统审计之间在审计目标、审计方法、结果应用等方面存在较大的跳跃性,全面推广信息系统审计存在瓶颈。
三、进一步深入开展信息系统审计的对策
1.息系统建设阶段跟踪审计
按照国际信息系统审计协会(ISACA)对信息系统审计的定义,信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现目标的过程。这样一个过程涵盖整个信息系统的生命周期,审计机关在实施信息系统审计项目时,需要考虑审计的切入时机,不妨借鉴工程项目跟踪审计的办法,对信息系统的审计在系统建设阶段就参与进去,把对被审计单位信息系统建设的工程审计与信息系统审计结合起来,实行信息系统跟踪审计,理由如下:一是软件的开发周期往往较长,并且软件开发的关键在初期的软件规划和设计上,一旦软件开发完成,再需要对软件做较大的变动往往会产生很多副作用,作为审计如果能够在软件设计阶段参与,就能够在系统开发初期发现其存在的缺陷,对被审计单位来讲也可以避免事后改动所增加的成本;二是在目前审计人员缺乏信息系统审计经验的情况下,如果能够参与到信息系统的建设过程中,必然能够加大对软件系统建设的理解,逐步形成和发展信息系统审计思路,积累经验,为今后开展信息系统审计打下基础。
2.信息系统审计专业人才培养
开展信息系统审计不仅需要审计知识和计算机专业知识,更重要的是对被审计系统的专业了解,如我们所知道的社保系统,开发这样的软件系统往往是国内较大规模的软件公司,而且还需要社保专业人员参与建设一至二年,这样的信息系统对审计人员来讲,仅仅有一些基本的计算机知识,靠较短的现场审计时间就能够对系统进行评价几乎是不可能,另外,审计人员很少参加过大型软件的编制工作,就算发现一些问题也是比较明显的差错,缺乏对系统的深层次了解。要解决这方面的问题,不仅要加强培训,鼓励审计人员自学成才,还要加强人员队伍建设,引进从事过这类大型项目开发的专业人才,达到事半功倍的效果。
3.对内部审计机构开展信息系统审计的指导
指导和监督内部审计机构开展审计业务是审计法赋予审计机关的职责之一。根据ISACA对信息系统审计实施主体的描述,内部审计机构是承担企业IT治理的主要责任者之一,内部审计机构对本单位信息系统审计具有其自身优势,特别是对信息系统的持续运营可以保持经常性的审计,而审计机关只能在某一个时点实施信息系统审计项目,很难做到对一个系统的整个运行周期进行审计。审计机关开展信息系统审计不应忽视单位内部IT治理方面的状况,通过对被审计单位内审机构开展信息系统审计业务的指导和监督,弥补审计机关难以持续跟踪、全面监督而存在的不足,实现对信息系统多方位、多层次的审计。
(作者单位:无锡市审计局)