主題詞:信息系統 審計
壹、信息系統審計的定義
隨著全球信息化和審計理論的發展,信息系統審計逐漸引起人們的關註。但是到目前為止,國際上對信息系統審計還沒有固定、統壹的定義。國際信息系統審計委員會(ISACA)定義為“信息系統審計是壹個獲取並評價證據,以判斷計算機系統是否能夠保證資產的安全、數據的完整以及有效率利用組織的資源並有效果地實現組織目標地過程”,該協會的專家 Ron Weber 定義為“搜集並評價證據,以判斷壹個計算機系統(信息系統)是否有效的做到保護資產、維護數據完整、完成組織目標,同時最經濟的使用資源”;1985年日本通產省情報處理開發協會信息系統審計委員會定義為“所謂信息系統審計是指由獨立於審計對象的信息系統審計師站在客觀的立場,對以計算機為核心的信息系統進行綜合的檢查、評價,向有關人員提出問題與勸告,追求系統的有效利用和故障排除,使系統更加健全”,11年後的1996年,該委員會對信息系統審計重新定義為“為了信息系統的安全、可靠與有效,由獨立於審計對象的信息系統審計師,以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價,向信息系統審計對象的領導層,提出問題與建議的壹連串的活動”。所以信息系統審計所關註的內容不單純是對電子數據的處理,更不僅僅是財務信息,而是對企業整個信息系統的可靠性、安全性進行了解和評價,是壹項通過審查與評價信息系統的規劃、開發、實施、運行和維護等壹系列活動,以確定信息系統運行是否安全、可靠、有效,信息系統得出的數據是否可靠準確以及數據是否能有效的存儲的過程。
實施信息系統審計(ISA)的人員稱為信息系統審計師(IS Auditor),我國國內稱為IT審計師。國際信息系統審計與控制協會(ISACA)是國際上可授權信息系統審計師的權威機構,通過考試可獲得註冊信息系統審計師(CISA)證書,該證書被世界各國廣泛認可。
二、信息系統審計的內容和特點
國際信息系統審計協會(ISACA)規定了信息系統審計主要內容:1.信息系統審計程序。依據信息系統審計標準、準則和實務等提供信息系統審計服務,以幫助組織確保其信息技術和運營系統得到保護並受控;2. IT治理(信息技術治理)。確保組織擁有適當的結構、政策、工作職責、運營管理機制和監督實務,以達到公司治理中對IT 方面的要求;3.系統和基礎建設生命周期管理。系統的開發、采購、測試、實施(交付)、維護和(配置)使用,與基礎框架,確保實現組織的目標;4. IT 服務的交付與支持。IT 服務管理實務可確保提供所要求的等級、類別的服務,來滿足組織的目標;5. 信息資產的保護。通過適當的安全體系(如,安全政策、標準和控制),保證信息資產的機密性、完整性和有效性;6. 災難恢復和業務連續性計劃。壹旦連續的業務被(意外)中斷(或破環),災難恢復計劃確保(災難)對業務影響最小化的同時,及時恢復(中斷的)IT 服務。
從信息系統審計的上述定義和內容,大致歸納出信息系統審計的幾個特征:壹是獨立性,為了確保信息系統審計的公正性與有效性,信息系統審計師必須以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價;二是綜合性,信息系統審計不僅包括審計信息系統運行的有形設施,還包括運行環境以及內部控制;三是管理特征,信息系統審計通過對信息系統安全、可靠與有效性的評價,促使企業有效率的利用組織的資源並有效果地實現組織的目標。
三、信息系統審計與傳統審計之間的區別與聯系
信息系統審計是傳統審計的壹部分,是以傳統審計理論為理論基礎的,兩者之間有緊密的聯系,也存在壹定的區別。兩者的聯系是:信息系統審計繼承了傳統審計的基本理論與方法,與傳統的審計壹樣。在立場上,要求信息系統審計師站在獨立的立場上,通過選擇特定的審計對象,采用詢問、檢查、分析、模擬、測試等方法獲得客觀的審計證據,來判斷其與既定標準的符合程度。在程序上,信息系統審計壹般也要經過審計計劃、符合性測試與實質性測試、審計報告等主要階段來進行審計工作,實現審計目標;兩者的區別也比較明顯,主要表現在:首先,信息系統的審計對象不同於傳統審計的財務領域,而是信息系統,包括基礎設施,軟硬件管理,信息安全,網絡管理合通信等;其次,信息系統審計提出了更多的審計法與審計程序,這都是傳統審計所不具備的,比如對某軟件進行審計時,要采用技術含量相當高的測試,對網絡安全審計時要采用穿透性測試(模擬成黑客進行各種攻擊以驗證其安全性);第三,信息系統審計不光是事後審計,主要關註系統的運行現狀,在某種情況下,直接參與項目的開發或變更過程,以保證足夠的控制得以順利實施;最後,信息系統審計的咨詢價值顯得更高,信息化的風險很高,信息系統審計師可憑借其專門知識和實踐經驗,受托或主動服務於被審計單位的管理者或其業務人員,在企業信息化過程中,幫助企業建立健全內部控制制度,進行系統診斷,根據企業需求,確定信息化的目標和內容,選擇合適的信息系統。
四、盡快建立起符合我國實際的信息系統審計體系
我國在信息系統審計方面還沒有形成壹整套體系。但是近年來,在借鑒國外有關信息系統審計經驗的基礎上,審計署在利用計算機信息系統開展審計工作中已經取得了壹定的成果:(壹)全面開展對電子數據的審計,包括會計電子數據和業務管理電子數據。采取的具體方法是:1.精確復核。運用計算機,對各種數據進行精確復核,既可以對全轄並表機構的會計報表與匯總報表進行全面復核,又可以從會計流水賬逐級核對至總賬,還可以將業務管理數據與會計報表數據進行復核;2.編制計算機程序進行輔助計算。可以編制計算機程序對有比例關系的項目進行計算,然後與實際記錄進行比較,找出產生差異的記錄;3.對壹些異常會計記錄和交易進行篩選和查詢,為審計人員提供審計線索,主要是根據某壹特征進行篩選分析,從不同角度分析可疑問題線索。(二)對被審計單位的信息系統的可靠性和內部控制進行初步的評價。主要是:1. 主要調查信息系統的使用範圍,網絡安全和數據的備份等情況,以保證信息系統財務數據的安全、完整;2.對信息系統的內部控制情況進行初步的調查和評價,重點是權限管理、參數表的設置和修改控制等是否有效,信息系統的使用者和系統的開發者是否分離,被審計單位對交易錄入的原始數據是否實施相應的控制,信息系統的數據流和業務流程是否吻合;3.通過系統日誌等文件分析壹些重大事件的原因,分析對整體信息系統的影響。但是我國在全面開展信息系統審計方面還處在探索階段,為了能夠為被審計單位提出更有價值的審計建議,更好地服務欲被審計單位,保證信息系統能有效地實現企業(單位)的目標,在我國也要盡快建立起符合我國實際的信息系統審計體系。