县级审计机关开展信息系统审计的现状和对策 |
发布日期:2010-08-09 |
信息系统审计是信息技术发展浪潮下与现代审计相结合的产物。随着信息技术的发展对社会生产的影响越来越大,信息系统的安全性、可靠性和有效性也成为人们不断关注的焦点。作为最基层的县级审计机关,如何在维护社会信息安全方面发挥审计的“免疫系统”功能,需要不断加大实践和探索的力度,结合自身实际,稳步推进和开展新形势下的信息系统审计工作。 一、信息系统审计概述 (一)信息系统审计概念 国际信息系统审计委员会(ISACA)对信息系统审计下的定义为:“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效果的实现组织目标的过程。”虽然ISACA对信息系统定义的表述有点生涩,但从事物定义的几个要素,我们可以具体的理解到底信息系统审计是怎么回事: 一是审计主体。ISACA的定义没有加以表述,但我们知道,信息系统审计的审计主体应该是独立于信息系统开发和运营的独立的第三方,可以是政府审计机关,也可以是独立的信息系统审计中介机构。 二是审计客体。信息系统审计的审计客体应该就是信息系统本身,而不仅仅是数据文档审计。信息系统生命周期的开发、运营、维护等各个阶段都是审计的对象, 三是审计手段和方法。与传统审计主要的检查、分析、核对等审计手段相比,信息系统审计的审计方法更加侧重于模拟、测试、询问等。 四是审计目标。信息系统审计的最终目标,就是通过一系列的审计过程,确保信息系统的安全、稳定和有效,从而更好的实现组织目标。 (二)开展信息系统审计的必要性 1.信息系统审计是审计机关维护国家信息安全的重要手段。新任审计刘家义在许多场合提到,作为经济社会运行的“免疫系统”,维护国家安全是审计工作的第一要务。信息安全是国家经济安全的一个重要方面。当前信息化条件下,政府机关通过信息系统和计算机网络运行了大量的国家资源,只有通过开展信息系统审计,确保这些系统的安全稳定,才能确保国家信息安全。 2.信息系统审计是新形势下防范审计风险的必然要求。由于信息系统的迅速发展和单位业务量的不断扩大,许多我们审计过程中需要的取证材料都是通过计算机系统直接生成的,而如何确保这些系统直接生成的材料是百分之百正确的,如何确保审计机关不是“假账真查”,如何确保系统自身的产品(信息资源)是可靠的,不能仅仅依靠被审计单位的承诺来解决,而是要通过开展信息系统审计,来降低和防范审计风险,提高审计质量。 3.信息系统审计是查处打击新型犯罪手段的重要途径。由于计算机和通信技术的不断普及,我们对信息系统的依赖越来越严重。在一些特殊的行业,如银行、保险、电信行业,如果离开信息系统,正常工作将无法开展。但同时,利用信息系统漏洞而进行的计算机犯罪行为屡有发生,这更加引起我们对信息系统内部控制、合理授权等安全性、可靠性的关注。开展信息系统审计,能够帮助被审计单位完善信息系统的运行,同时,对利用信息系统进行计算机犯罪也具有强大的震慑作用。 二、县级审计机关开展信息系统审计的现状 信息系统审计在我国还是一个新生事物,还处在一个不断摸索的阶段。作为最基层的审计机关,是坐、等、看,还是顺应时代潮流,主动加以实践和探索,是摆在我们面前的一个选择。现阶段,信息系统审计在县级审计机关开展的现状主要表现为: (一)多数县级审计机关还没有主动开展信息系统审计 由于信息系统审计还处在不断摸索的前进阶段,审计署、特派办、省市级审计机关也还处于起步阶段,因此,大多数的审计机关还处在观望阶段,没有主动结合实际,选择适当的项目进行信息系统审计探索,而是根据上级审计机关的考核要求,被动应付。但是,我们也看到,在许多县级审计机关还没有主动接触信息系统审计时,一些地方的审计机关正在进行有效的信息系统审计尝试,他们通过结合常规审计项目,如医院财务收支审计、社会保险基金审计等等,将信息系统审计内容作为整个项目的一部分,充分利用信息系统审计成果,为信息系统审计的开展作了有益的探索。 (二)繁重的审计任务使县级审计机关对信息系统审计无暇顾及 目前,县级审计机关每年的常规审计项目较多,地方政府领导又会临时交办许多任务,致使县级审计机关审计资源和审计任务之间的矛盾比较突出。而信息系统审计作为一项专业性要求较高的审计项目,需要耗费更多的时间和精力,致使县级审计机关更加无暇顾及如何部署开展信息系统审计。 (三)信息系统审计正处于数据审计的初步阶段 近几年,随着审计署对审计人员计算机知识和实践能力的培训,AO现场审计实施系统的大力推广应用,县级审计机关在对系统的数据采集和分析上已经取得了一些经验和成果。从审计署近几年审计专家经验和AO应用实例评选来看,县级审计机关就屡有优秀项目涌现。但是,数据采集与分析还只是处在信息系统审计的初步阶段,对于信息系统的安全性、稳定性和有效性审计,一直没有给予足够的重视。 三、县级审计机关开展信息系统审计的制约因素和有利条件 (一)制约县级审计机关开展信息系统审计的主要因素 1.主观因素 (1)对信息系统审计的观念转变不到位 信息系统审计不仅是审计手段和审计对象的转变,更是对传统审计在思维方式上的转变。首先,信息系统审计的对象不再是会计信息和业务信息,而是产生这些信息的系统自身的安全性、可靠性和稳定性。可想而知,如果产生信息的信息系统本身是不可靠的,那么他的产品—会计信息和业务信息,怎么会是可靠的呢,依据这些信息得出的审计结论又怎么能让人信服呢。其次,信息系统审计不是计算机辅助审计,其对象就是信息系统本身。计算机辅助审计是一种审计手段,而信息系统审计就是一种审计模式,通过对信息系统整个生命周期过程的审计,来对系统的安全性、有效性和可靠性做出合理的评价。实践中,大多数县级审计机关没有对信息系统审计做出理性的认识和定位,对计算机审计仅仅停留在辅助工具的层面上。 (2)开展信息系统审计存在“等、观、望”的思想 由于对信息系统审计这样一个新生事物,理论和实践的认识程度还不是非常成熟,导致县级审计机关对于信息系统审计的开展仍处于“等、观、望”的状态。由于开展信息系统审计的条件总体上没有上级审计机关成熟,因此在实践过程中,县级审计机关总是希望上级审计机关先进行合理的实践和探索,形成一套有效的经验和方法,在这基础上再开展信息系统审计,更加容易上手和取得效果。 (3)开展信息系统审计的专业人才匮乏 开展信息系统审计,需要熟悉、精通审计专业和计算机专业的高端复合性人才。包含两个方面的人才,一种是精通审计、担任过大型项目主审且熟悉计算机应用(例如计算机中级水平以上)的高级审计师;另一种是精通计算机(例如注册信息系统审计师CISA)或者熟练掌握数据库原理、数据库访问技术、信息系统的一般控制和应用控制、以及软件工程等知识,同时又熟悉审计原理和审计实务的计算机专业人才。从县级审计机关的现状来看,上述两方面都具备的复合型人才少之又少,而要培养这样的人才,又不是一朝一夕能够完成的,因此,人才因素成为制约县级审计机关开展信息系统审计的主要因素。 2.客观因素 (1)被审计对象的审计管辖权限制约 由于我国审计机关的审计管辖权限是根据被审计对象的财政预算拨款关系确定的,而现在很多重要的审计对象都实行了垂直管理,导致县级审计机关没有权限进行审计,只能通过上级审计机关的授权进行审计。例如税务、工商、海关、银行、保险、电信、住房公积金等等这些信息系统运用比较普遍的部门,由于审计权限的问题,县级审计机关根本不能进行审计。即便是在同级审过程中发现税务机关在征管信息系统过程中存在的问题,由于税务征管信息系统是上级统一开发的,县级审计机关的审计建议不一定能够得到及时的采纳。 (2)开展信息系统审计的法律法规依据不充分 当前,审计机关开展信息系统审计所依赖的法律法规主要有《中华人民共和国审计法》和《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》(国办发〔2001〕88号)等。但是,《中华人民共和国审计法》第三十一条和三十二条,仅授权审计机关对被审单位运用电子计算机管理财政和财务收支电子数据系统(即会计信息系统)进行审计,而对与被审单位管理和决策等有关其它信息系统的审计,则未予以明确授权。县级审计机关在实际工作开展中,当审计人员向信息系统开发商要求提供数据字典时,常遭到对方以涉及企业商业秘密等种种理由而拒绝,而审计机关有没有确切的法律依据强制要求提供,导致信息系统审计开展困难。 (3)信息系统审计相关审计准则和操作指南不完善 由于我国开展信息系统审计正处于起步阶段,对审计机关如何开展信息系统审计尚在积极探索中。因此,目前尚没有一个完整的、成熟的具有示范作用的审计案例,也缺少具备实际指导意义的相关信息系统审计准则和操作指南。 信息系统审计准则和审计指南的缺失,不利于规范和指导信息系统审计实践,不利于衡量和评价信息系统审计工作质量,也不利于防范和规避信息系统审计风险。因此,县级审计机关没有如何开展信息系统审计的方向和动力,也就不会花大量的时间和精力去开展信息系统审计,以免影响正常审计项目的开展。 (二)县级审计机关开展信息系统审计的有利条件 通过以上分析,县级审计机关相比上级审计机关,在开展信息系统审计时,确实存在人才、技术、观念等反面的制约因素,但我们也应该看到,作为最基层的审计机关,县级审计机关在开展信息系统审计时还是觉有自己的优势: 1.地方政府的支持和协调利于开展信息系统审计 政府审计开展信息系统审计,虽然《中华人民共和国审计法》和《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》(国办发〔2001〕88号)给出了法律依据,但由于涉及到第三方的商业秘密,如果法律没有具体的规定,审计机关将较难开展。而县级审计机关面对的审计对象都是地方单位,一旦审计项目得到政府的批准和支持,审计部门可以要求被审计单位向软件开发商提出要求,从而借助于地方政府的力量,降低审计机关开展信息系统审计的阻力。这是上级审计机关开展信息系统审计所不具备的优势。 2.作为审计对象的信息系统比较容易开展 县级审计机关的职能权限决定了不能对垂直管理部门的信息系统开展审计,但另一方面也将这些复杂的信息系统审计的任务交给了上级审计机关。而地方上一些部门为便于在自己的职能范围内开展工作,也委托软件公司开发了适宜自己的信息系统,如社保部门的管理软件、新农合资金管理系统、医院信息管理系统等等,这些信息系统相比较银行、通信、税务等部门信息系统而言,不管是软件开发周期、数据存储量,还是适用范围和要求而言,都是较容易分析和上手的,这也为县级审计机关选择适宜的信息系统开展审计,提供了有力的条件。 四、县级审计机关加快探索开展信息系统审计的对策建议 (一)合理储备开展信息系统审计的专业人才 开展信息系统审计,人才是关键。县级审计机关在平时的审计队伍建设中,就要致力于合理储备既懂信息系统知识,又精通审计实务的复合型人才,为开展信息系统审计打下基础。一是加大内部培养力度。加大输出参加上级审计机关组织的信息系统培训的力度,同时,鼓励审计人员参加社会资格考试,如ISACA认证的国际注册信息系统审计师(CISA),提高实际应用能力。二是针对性的引进人才。对于信息系统审计人才的培养,可能需要很长的周期,这就要求我们在平时的新进人员过程中,密切关注这方面的人才,缩短人才培养周期。三是储备社会专项人才。与环境审计、绩效审计等类似,信息系统审计也应该储备社会上的专业人才,适当时候通过聘用参加审计项目,进一步增强审计组的信息系统理论实践能力。 (二)合理选择审计项目展开信息系统审计尝试 信息系统审计并不是虚无缥缈或者是无法下手的,要真正做好信息系统审计,合理选择项目是关键。一是注意归纳整理被审计单位信息系统,形成信息系统备选库,利于审计机关挑选合适的信息系统开展审计。二是选择数据量较多,单位参与系统开发全过程的信息系统,便于审计人员对信息系统进行分析处理。三是成立信息系统审计课题组,将学习业务流程和信息系统相结合,做好打硬仗、打持久战的准备,做好开展信息系统的各项保障工作。 (三)争取地方政府和被审计单位的支持 县级审计机关要顺利开展信息系统审计,地方政府和被审计单位的支持是密不可分的。现在许多地方对信息化工作比较重视,提出了“以信息化带动产业化”的发展思路,县级审计机关在向地方政府领导汇报时,要从审计保障社会信息安全的角度出发,尽可能得到政府领对审计工作的大力支持。同时,也要向被审计单位做好信息系统审计的宣传解释工作,使他们能够积极配合审计工作。 (四)形成全员关注参与信息系统审计的氛围 信息系统审计的开展并不能仅仅依靠一两个计算机业务骨干,而是要全员动员,全员参与,才能把信息系统审计这篇文章做好。首先,领导重视是关键。对于县级审计机关而言,只有领导重视了,信息系统审计才有发芽的土壤,才能有更多的审计人员参与进来,才能有更好的硬件软件保障。其次,转变思想观念。当前,要开展信息系统审计,审计人员要切实去除对信息系统审计的畏难思想、无用思想和上级先行思想,主动融入和参与到信息系统审进的发展潮流中去。 信息系统审计是一个新生事物,我们国家政府审计对信息系统审计还处在一个探索阶段,但并不表明县级审计机关在这场审计革命中会无所作为。只要县级审计机关能够主动、积极的参与到信息系统审计中去,扬长避短,就一定能够开辟出一条信息系统审计的新路径。 |
(本文内容仅为作者个人观点,不代表任何审计机关和本网站的观点,未经许可,不得转载) |
主办单位:常州市审计局
地址:龙城大道1280号1号楼B座12楼
电话:0519-85682658 网站地图
技术支持电话:0519-85685023(工作日9:00-17:00)
网站支持IPV6 推荐使用1024*768或以上分辨率,并使用IE9.0或以上版本浏览器