信息技术在各行业管理中得到广泛应用的同时,信息系统带来的风险也日益显露并被各方所重视。信息系统审计作为一种新的审计类型,在西方发达国家已发展的比较成熟、逐渐普及,在我国也逐渐为广大审计人员所认识,受到各级审计机关的重视,理论研究与实务近年来逞现上升趋势。审计署《2008至2012年信息化发展规划》提出要探索符合中国国情的信息系统审计,逐步加大对信息系统审计的力度,关注信息系统的可靠性和安全性,维护被审计单位和国家的信息安全。
笔者针对现阶段制约地方审计机关开展信息系统审计的问题和解决对策进行了以下分析思考。
一、当前面临的问题:
(一)、信息系统审计准则和指南尚未建立
《中华人民共和国审计法》第三十二条规定,“审计机关进行审计时,有权检查被审计单位的会计凭证、会计账簿、财务会计报告和运用电子计算机管理财政收支、财务收支电子数据的系统,以及其他与财政收支、财务收支有关的资料和资产,被审计单位不得拒绝。”这在法律层面上为开展信息系统审计提供了依据,然而由于信息系统审计在我国处于起步阶段,信息系统审计准则和指南尚未建立。地方审计机关在开展信息系统审计时,因无准则可依,也缺乏合适的理论支持,审计目标、审计内容上与财政财务收支审计区分不清。从地方审计机关的信息系统审计案例看,一些信息系统审计项目只是在财务收支审计过程中加入了信息系统审计的手段和方法。
(二)、对信息系统审计认识还存在偏差
1、被审单位对信息系统审计还不完全理解
长期以来的传统审计使得一些被审单位对审计的认识局限于“检查财务账”,对信息系统审计的目标和内容还不能完全理解。有些被审单位认为信息系统不属于财务,在提供信息系统相关的资料上不太配合;一些被审单位领导对信息系统潜在的风险认识不足,即使审计人员发现了信息系统的瑕疵,但如果该瑕疵没有导致严重的后果,他们也会不以为然。
2、审计人员对信息系统审计的认识不足
信息系统审计有别于传统财政财务收支审计,它以计算机信息系统作为审计对象,其审计目标是对被审单位信息系统的安全、可靠、有效和效率以及能否有效地使用组织资源、实现组织目标等发表审计意见并提出改进建议。目前还有不少审计人员对信息系统审计的认识模糊,认为在财政财务收支审计时,对被审单位的电子数据进行分析就是信息系统审计,没有认识到信息系统审计与传统财政财务收支审计在审计目标、审计内容等方面的区别。
从地方审计机关的信息系统审计案例看,一些县(区)审计机关已经开展的信息系统审计只是传统审计业务的简单扩展,增加了对电子数据的分析,审计目标仍然限于对财政财务收支的真实、合法和效率发表意见,对信息系统本身的性能指标却很少发表意见。如多个新型农村合作医疗信息系统审计案例中都将“补偿不实”、“用药不合理”、“药品价格高”等作为主要审计内容,多个医院管理信息系统审计案例中将破解看病难、看病贵作为主要审计内容。显然这些业务合法性问题与信息系统本身没有关系,也不是信息系统造成的问题。
(三)、缺少信息系统审计的专业人员
信息系统审计要求审计人员不仅要熟悉审计专业知识,而且精通计算机专业知识和技能。当前地方审计机关审计人员以会计专业或审计专业为主,计算机相关专业人员少,人员结构比较单一。一些地方审计机关因人员编制少,这种单一的人员结构短时间内还无法改善。一些地方审计机关通过审计署计算机中级培训班提高了审计人员的计算机水平和技能,在数据审计方面有了巨大突破,但在信息系统审计时仍力不从心。由于对信息系统的安全、系统控制、程序设计等专业知识没有系统的认识和掌握,审计人员难以在短时间内透彻了解被审计单位的信息系统,也难以发现系统内的瑕疵,更难以对系统进行评估。
(四)、现行的项目考核制度没有考虑到信息系统审计
目前地方审计机关的项目考核制度是针对传统审计项目设计的,对审计项目成果的评价以查处大案要案和违法违规金额为主导。信息系统审计以信息系统的安全、可靠、有效及效率等为审计目标,审计内容也有别于传统审计项目,审计实务处于探索阶段,既缺少行业规范的支持,也缺乏技术力量,因此审计项目总体时间长,涉及审计人员多,而审计成果不被现行考核制度所接受,这在一定程度上影响了信息系统审计的开展。已开展信息系统审计项目为考核的需要,也以查处违规金额为主要目标,而将对信息系统本身和内部控制系统的审计放于次要位置。
二、解决的对策
针对以上问题,笔者认为应该从以下几方面着手解决。
(一)、转变思想观念,站在“审计免疫系统论”的高度看待信息系统审计。
“审计免疫系统论”是在新的经济社会形势下,在和谐社会构建和科学发展重大时期指导审计工作的理论,是国家审计监督制度的经验总结。《审计署2008至2012年审计工作发展规划》把充分发挥审计的“免疫系统”功能作为审计工作总体目标的重要内容。信息系统审计工作也必然要以“审计免疫系统论”指导。
随着计算机信息技术的发展,传统的内部控制发生了变化。信息系统是管理理念和管理制度的固化,也是被审单位内部管理和控制的重要手段和工具,因此信息系统的安全性、可靠性和有效性已经直接影响被审计单位的财政财务信息质量和业务安全。目前以“金”字工程为主导的信息化建使得国家经济管理驶向信息高速路,管理数据越来越集中,管理方式越来越依赖计算机信息系统。实践表明,信息系统规模越大,功能越复杂,风险也就越大。因此查错纠弊式的审计已经越来越不能满足政府和社会公众的要求,信息系统审计就是着眼于控制的源头,发现被审计单位的风险隐患,维护国家经济运行的安全,是审计“免疫方式”的具体手段之一。
(二)、加快制订信息系统审计准则,保障信息系统审计快速健康发展。
审计准则是规范化的管理框架,有助于提高审计质量和效率,降低审计风险。信息系统审计有别于传统审计业务,它的特殊性和进行审计所需的专门技术要求制定出信息系统审计准则。审计署应尽早出台适合我国国家审计的信息系统审计准则,以解决当前信息系统审计目标不明,内容不清的现状。
在信息系统审计准则没有颁布前,地方审计机关开展信息系统审计,可参考中国内部审计协会2008年9月3日发布的《内部审计具体准则第28号-信息系统审计》,信息系统审计与控制协会(ISACA)颁布的国际信息系统审计准则。
(三)、加快信息系统审计人才的引进和培养。
信息系统审计需要审计人员应具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对单位内部控制理念有深刻的理解。地方审计机关要注重计算机专业人才的引进,改善人员知识结构。同时要注重对现有人员的培养,鼓励有计算机基础的审计人员参加国际注册信息系统审计师(CISA)培训。审计署应该在计算机中级培训的基础上,有针对性的开展信息系统审计培训,为地方审计机关培养一批信息系统审计的领军人才。
在专业人员培训的同时,也要加强对各级领导的信息系统审计知识的培训,以便使他们更快的树立信息系统审计意识,了解基本方法和内容,知道如何安排信息系统审计。
(四)、开展信息系统审计实务和理论研究,建立适合我国国家审计的信息系统审计理论体系。
地方审计机关在开展信息系统审计时,不可拘泥地方当前的情况,应树立全球的视野,研究当今信息系统审计的总体状况、发展趋势,在充分吸收国内外成熟理念和做法的基础上开展审计实务。在信息系统审计实践中不断提炼总结,加强信息系统审计方法体系研究。我国信息系统审计理论体系的建立应该以审计署为主导,地方审计机关积极参与。2008年审计署召开的信息系统审计研讨会,有力的促进了各级审计机关信息系统审计实务的开展。相信经过两三年的审计实践与理论总结,适合我国国情的信息系统审计理论体系一定能建立起来。
|