浅议我国信息系统审计发展存在的问题及对策
【摘要】信息系统审计是随着计算机在财会领城中的运用而逐渐发展起来的。
社会对信息系统的可靠性、安全性和有效性的重视,推动了信息系统审计的产生和发展,但是纵观我国信息系统审计的发展现状,信息系统审计还存在着一些不容忽视的问题,这些问题如不妥善解决,将会影响整个审计信息化的建设和发展进程。
因此,重视和加强对信息系统审计的研究,构建完善的信息系统审计系统,对于我国的信息系统审计的良好发展有着非常重要的作用。
【关键词】信息系统审计;现状;问题;建议
一、信息系统审计的定义
信息系统审计,是对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以检查系统的有效性。
具体而言,信息系统审计就是通过现代的审计理论,以企业或政府等组织的信息系统为审计对象,从信息资产的安全性、数据的完整性以及系统的稳定性、效率性等方面出发,对信息系统的整个生命周期过程,包括系统从开发、运行到维护的整个过程进行全面审查与评价,确定其是否能够有效可靠地达到组织的战略目标,最终达到改善和健全信息系统的控制并且提出建议的目的。
二、信息系统审计的现状及存在的问题
现代企业的业务运作更加依赖于计算机网络信息系统,但由于信息系统本身特点所具有的脆弱性,将使信息系统环境下审计风险加大,使审计遇到风险。
审计风险因客户的会计系统和内部控制使用
计算机而呈现出新的特征。
信息化带动工业化,客观上提高了我国的信息化水平。
新经济时代的到来,电子商务的蓬勃开展,信息化建设的普及,必将催生信息系统审计在我国的蓬勃发展。
然而,信息系统审计在实践运用中存在不少问题,主要集中在以下几个方面。
(一)没有完备的理论体系
一种职业要牢牢地立足于社会,就必须要建立一套成熟的理论体系。
否则,它将仅仅是一门实践学,是一种手艺,而不是一门科学。
从计算机审计角度来看,审计一般要经历绕过计算机审计、透过计算机审计、利用计算机审计等三个阶段。
目前,我国的审计实务还停留在绕过计算机审计阶段,信息系统审计工作目前还处于探索阶段,还没有形成一套成形的专业规范理论结构。
关于信息系统审计的程序标准、准则和法律还没有出台或并不完备,有些甚至还是完全空白。
(二)我国信息系统审计的制度不完备
信息系统审计相比较传统的审计在审计方法、对象、技术上都发生了很大的变化,传统的审计制度准则、法律法规体系已不能适应指导和规范信息系统审计的实践,而新的关于信息系统审计的准则和法律还有待进一步完善。
近几年,国务院、审计署、注册会计师协会先后颁布了《中华人民共和国计算机信息系统安全保护条例》、《审计署关于计算机审计的暂行规定》、《审计机关计算机辅助审计办法》等,对于规范信息系统审计起到了一定的推动作用,但总体
来说,我国的信息系统审计制度还不完善。
(三)信息技术的核心技术被垄断
核心技术被少数的大公司所掌握,他们为保持其垄断地位不会轻易公开其技术秘密,这种现象无疑使以信息系统为审计对象的信息系统审计的范围受到限制。
例如信息系统普遍依赖的操作系统和数据库系统的核心技术就掌握在少数的大公司手上,这些技术对信息系统的可靠性和安全性有重大影响,但信息系统审计人员由于不了解这些信息技术及其源代码,难以找到科学有效的方法对其进行审计。
(四)信息系统审计人才缺乏
由于计算机行业飞速发展,许多审计人员的计算机水平和其专业审计知识得不到同步提高。
而信息系统审计对审计人员综合素质的要求很高,不仅要具有扎实的专业基础知识、电算化知识、网络信息技术知识,还要有较强的职业判断水平、分析与表达能力、对信息系统输人输出的控制能力,在数据处理过程中对有可能发生的舞弊情况有深刻的把握和认识。
这促使一种新的职业——信息系统审计师诞生,但这类综合素质优秀的审计人才在目前十分缺乏,这将制约着审计信息化在我国的建设和发展。
(五)缺乏合适的信息系统审计工具软件
国外审计软件的研制与开发始于20世纪60年代中期,迄今已开发出功能强大为审计人员广泛接受的产品,其中acl软件和idea 软件最具代表性,这些通用审计软件具有强大的数据存取、访问和
报告功能,但是其局限性也是明显的:首先,他们只能进行事后审计而不能实施并行审计;其次,他们对应用系统处理逻辑的验证有缺陷,通常通用审计软件是使用现场数据对应用系统进行测试的,但现场数据并不能代表例外事项,致使应用系统对例外事项处理的准确性和完整性得不到测试,针对这种情况,审计人员必须自行设计测试数据;再次,通用审计软件不能取得应用系统能否恰当适应用户需求的证据,审计人员必须采用其它方式才能取得。
由此看出,目前还缺乏有效易用的通用信息系统审计工具软件。
三、完善信息系统审计的建议
(一)优化完善信息系统
随着人们对信息系统依赖性的日益增强,对信息系统安全性和稳定性的控制已经成了信息系统管理的核心内容,如果企业无法对其信息系统妥善维护管理,系统一旦瘫痪,将导致大量宝贵的数据流失。
此外,信息系统不仅要安全、稳定,而且要经济、高效。
就目前来看,我国信息系统审计的成本不断攀升,一些审计人员的水平仅停留在简单的办公自动化和信息收集、资料检索等阶段,而缺乏整理归纳审计资料的能力,造成企业资源的浪费。
所以,构建完善的信息系统审计首先要从系统的优化做起。
(二)开发实用高效的信息系统审计软件
为了配合信息系统的优化,企业应当从实际出发,研究开发适合不同信息化平台、运行环境以及不同审计内容的信息系统软件,来促进信息系统审计软件的集成化、多元化、网络化的发展。
在软件
开发方面,还要考虑审计作业的发展趋势。
例如,在现有审计软件基础上开发研制新的适用信息系统审计的分析工具,信息系统应该具有充分保留和提供审计线索的功能。
此外,系统软件的开发还要考虑到审计人员的工作方式和习惯,所以信息系统审计软件的开发最好由审计业务人员和计算机专业开发人员共同来完成。
(三)建立完善的风险评估体系和风险应对措施
一般来说,一个企业的计算机网络信息系统基本上覆盖了企业的营销、计划、生产、采购、仓储、财务、人力资源等企业运营管理的各个层面,各个环节都可能出现产生审计风险,就要求审计人员设计一套有针对性是检查程序,在进行调研和风险评估中运用专业知识以确定可接受的审计风险水平。
对被审计单位的信息系统的可靠性和内部控制进行初步的评价,以保证信息系统财务数据的安全、完整。
(四)加强对信息系统审计专业人才的培养
制约我国信息系统审计发展的一个重要原因就是高素质的审计专业人才的缺乏,目前全社会对信息系统审计师的需求以每年40%-50%在增长,开展信息系统审计工作的主体人员是注册信息系统审计师(cisa),但由于信息系统审计的复杂性,信息系统审计师不仅需要掌握会计、审计,而且需要掌握组织管理、计算机、网络技术等综合知识,迄今为止全世界获得cisa资格的只有2万多人,而开发实用性和通用性较强的审计软件所需要的高层次、高水平的人员那就更加缺乏了。
这与社会对信息系统审计业务的蓬勃需
求是极不适应的,信息系统审计的人才队伍还有待壮大。
可以感觉到这些年信息系统审计师的地位在日益提升,国家和社会审计机构应从渠道对现有审计人员进行培训,加快其知识更新,以适应时代的要求。
(五)改进信息系统软件的评审机制
信息系统的评审应该让审计人员介入,在系统设计、开发阶段,审计人员就应该介入。
在评审过程中,审计人员应根据国家的法律法规及开发计划与标准进行符合性和实质性测试和评价。
例如,对于商品化信息系统,审计重点是审查软件的数据接口是否存在并符合标准以及信息系统的可审计性和安全性对于定点开发或用户二次开发的信息系统,既要关注系统开发的一般控制,还要审查系统软件的输人、处理及输出的应用控制。
(六)借鉴并应用先进的审计程序和方法
一般来说,信息系统审计程序一般分为事前审计、事中审计和事后审计三个部分。
事前审计是对信息系统的应用框架进行合理性审计,以保证应用系统的安全性、可靠性和实用性;事中审计是对信息系统的应用过程和系统的合理性、合法性、真实性进行审计,以便能及时发现各种违规和可疑事件;事后审计是对信息系统的应用结果数据进行复核验证,以保证其真实性和合法性。
信息系统审计各个阶段具有不同的特点,这就要求审计人员在学习中借鉴国外先进的审计经验,从中摸索出一套行之有效的审计程序和方法,来满足我国社会经济的发展需要。
参考文献:
[1]胡晓明.信息时代的审计理论结构构建[j].武汉:中南财经政法大学学报,2006(3).
[2]邓春梅.信息系统审计及其相关问题分析[j].重庆大学学报,2004(6).
[3]扬琴.利用it技术,做好审计工作[j].经济师,2006(6).
[4]陈丹萍.信息环境下现代审计技术的探索:实时在线审计[j].审计与经济研究,2005(5).
作者简介:高明亮,硕士,现供职于无锡市气象局财会核算中心,研究方向:财务理论与实务。
