一、引言
IT审计(Information Technology Audit)是信息技术应用于审计实务产生的新概念,人们对IT审计的理解是逐步深入的。我国国家审计中相对于IT审计的提法一般为计算机审计,自上世纪80年代以来的探索和实践过程中,也先后出现过会计电算化审计、计算机辅助审计、计算机数据审计、信息系统审计等诸多与IT审计相关的称谓,国外则有EDPA、CAA、ISA、ICTA等各种提法。笔者认为,结合我国国家审计的职能和特点,IT审计可以定义为利用信息技术组织开展的审计。这一提法可以较为全面、准确地定义信息技术在国家审计实务中的应用,同时也是世界审计组织(INTOSAI)及其IT审计工作组各成员国最高审计机关普遍认可和采用的提法。
由于各国国家审计机关在IT审计的定位和侧重等方面存在差异,其组织形式和实施模式也不尽相同。世界审计组织(INTOSAI)认为IT审计是通过获得和评估证据,确定IT系统是否保护了组织的资产,有效率地使用资源,维持数据的安全性和一致性,以及有效地达到组织的业务目标的过程,这一定位得到了各国最高审计机关的普遍认同;国际信息系统审计与控制协会(ISACA)建立了普遍适用的信息系统审计标准、指南和流程,所的COBIT已经成为国际上公认最先进、最权威的信息技术控制框架;美国审计署(GAO)将信息系统审计作为IT审计的重点,在20xx年2月的《联邦政府信息系统控制审计手册》中将信息系统审计的实施分为一般控制审计和应用控制审计两个部分;英国审计署(NAO)侧重于政府IT项目绩效审计,在20xx年2月的绩效审计报告中对过去十年来信息技术在政府工作中发挥的作用、面临的挑战和发展的方向进行了系统总结。
二、我国现行国家IT审计架构及缺陷
随着信息技术在社会经济生活各个方面的广泛运用,为适应信息化环境的变化,我国国家IT审计从上世纪80年代末开始起步,从无到有、从单机到网络、从探索研究到逐渐普及,在多年的发展中逐步形成了一套具有本国特色的IT审计架构和工作模式。
(一)现行国家IT审计架构。
在法理基础方面,审计法明确规定了审计机关有权要求被审计单位提供计算机储存和处理的财政、财务收支电子数据以及必要的技术文档,有权检查被审计单位的信息系统;《国家审计准则》也根据信息技术环境下开展审计工作的特殊性作出了一些特别规定,在编制年度审计项目计划和审计实施方案,实施审计检查、获取审计证据,作出审计结论、出具审计报告等环节表现出鲜明的关注信息系统、突出信息技术的特色。
在组织结构方面,以审计署为例,已经形成计算机技术中心负责组织协调和指导管理全国审计系统的信息化建设的格局,各审计业务部门负责结合审计项目开展电子数据审计。计算机技术中心不仅要配合业务部门开展计算机审计业务,同时还要承担建设、开发、推广和维护审计信息系统,以及编制IT审计规范和组织IT培训考试等各项工作。
在工作模式方面,随着现场审计实施系统(AO)和审计管理系统(OA)的全面应用,国家IT审计逐步迈入一个新的发展阶段,初步形成了利用信息技术开展大型项目组织管理,运用审计软件实施现场审计,积极探索联网审计和信息系统审计,逐步推进审计数据资源建设的IT审计模式,审计信息化水平不断提高。
(二)国家IT审计中存在的问题。
由于组织结构和工作模式还不能完全适应工作需求,与充分发挥审计保障国家经济社会健康运行“免疫系统”功能的要求相比,我国国家IT审计还存在以下不足:
1.审计业务与IT技术的结合不够紧密。
虽然计算机审计培训已开展多年,计算机审计技术也已在国家审计的各个行业、领域得到推广应用,但仍然较为普遍地存在审计业务部门过于依赖IT部门技术支持的现象,粉饰和包装计算机审计成果的情况也屡见不鲜。在审计项目中原本应由审计业务部门主导和实施的常规计算机审计工作往往过多地需要借助IT技术人员的参与,不仅不利于各行业、领域中审计业务与计算机技术的紧密结合,而且较易形成审计业务与计算机技术“两张皮”,阻碍了计算机审计技术在审计实务中的进一步深入应用。
一、澳大利亚IT审计的特点
澳大利亚审计署(ANAO)分为联邦审计署和州审计署,在各自审计长的领导下,对管辖范围内的单位进行审计。其政府审计分为财务审计和绩效审计两部分,这两种审计中都涉及到以计算机为基础的IT审计,所占比例达到20%至30%。ANAO的IT审计发展经历了三个阶段:第一阶段是技术层面(Technical Level)的审计,如程序代码、数据输入输出控制、数据备份;第二是操作层面(Operational Level)的审计,如计算机核心操作、软件应用、物理安全与逻辑安全;第三是管理层面(Management/Governance Level)的审计,如操作结构、商业可持续性、风险管理、项目管理、服务传输、安全管理、资源管理、执行矩阵、信息管理等。经过多年的研究和发展,澳大利亚已形成了较为完善的国家审计体系,并长期处于世界领先地位,尤其在IT审计理论与技术领域,积累了丰富的经验和成果,目前已进入到注重管理层面审计的阶段,重在把握对IT项目经济、效率、效果的评价和项目开发的合规、安全上,标志着澳大利亚IT审计已经非常成熟。笔者发现澳大利亚IT审计存在如下特点:
特点一:IT审计各个方面均执行相对规范的标准
ANAO开展IT审计,执行相对规范的标准,如在IT项目管理方面,执行国际通用的Gateway、Prince2(Projects In a Controlled Environment2)、PMBOK(Project Management Body of Knowledge)等标准;在IT服务传输与服务管理方面,执行COBIT(Control Objectives for Information and related Technology)、MOF(Microsoft Operations Framework)、ITIL(IT Infrastructure Library)等标准;在IT安全方面,执行信息安全标准ISO17799;在IT风险管理方面,则执行澳大利亚国家标准:AS/NZ4360:2005风险管理标准,等等。各类标准具体规定了审计人员在审计某一类型项目时的方法、程序步骤、工作重点,具有很强的可操作性。它既为没有经验的审计人员提供了一个详实的可供参照的操作规程,又约束了审计人员的行为,减少和避免审计人员工作中的随意性。正是由于严格按照各类标准开展审计,ANAO的审计尤其是IT审计的质量都得到了可靠的保证。
特点二:IT审计综合运用各种信息技术
ANAO的审计人员在下列情况下,可应用计算机辅助审计技术:一种是在运用制度遵守性和数据真实性程序中缺少输入文件和缺乏可见的审计踪迹时;另一种是通过利用计算机辅助审计技术可以改进审计程序的效果和效率时。计算机辅助审计技术有多种,一是用于审计目的的审计软件和工具,用以处理来源于单位会计制度的重要审计数据。传统的CAAT(Computer Assisted Audit Techniques)工具有SQL(Structure Query Language,如MySQL)、Microsoft Access、Excel。其他一些风险分析与计划管理软件如Methodware、司法模式鉴定软件如Netmap、证据采集与镜像软件如Encase等,也被因地制宜地运用到审计中去。通过各种审计软件和工具,审计人员可以方便地对数据进行排序、求和、筛选等操作,并能生成审计人员需要的各类图表。二是数据测试技术,用以检验应用程序、控制程序和信息系统的可靠性。在执行审计程序时,将数据录入被审计单位的信息系统,跟踪某项业务直至数据输出,将获得结果同预期结果相比较,以检查访问权控制的有效性和输入有效性控制的执行情况。如对工资处理程序审计中,使用不同身份的人员登录,输入不同类型的数据测试。
特点三:IT审计围绕风险控制
ANAO一贯秉持。风险控制的理念,每年都对其风险管理计划的执行情况进行回顾,根据外部环境的变化,修改业务要求考虑战略层次和操作层次等不同层次的风险,开展了以识别和处理经营风险及舞弊风险为核心的风险导向审计,建立了全面的风险管理框架,规避与防范风险。这一框架既包括对ANAO整体的风险管理计划,也包括对每一工作领域的风险管理计划。它陈述了所有ANAO已识别的风险,从“确定风险存在的环境”、“识别风险”、“分析风险”、“评价风险”和“处理风险”等五个环节,合理地确定风险的控制措施,将风险减少到可以接受的水平。通过评估计算机设备、电子数据、信息通讯的安全性,以评估信息系统的固有风险;通过评估系统开发控制、内部管理控制、访问权限控制,以评估信息系统的控制风险;通过对数据输入控制的测试、数据通讯和数据处理控制的测试和数据输出控制的测试,以评估信息系统的检查风险。
特点四:IT审计统筹考虑成本与收益
ANAO开展IT审计,统筹考虑成本与收益,努力在审计时间、审计费用和审计质量三者之间寻求较好的平衡点,以求IT审计如同经济活动一样,达到效率性(Efficiency)、效果性(Effectiveness)与经济性(Economy)的完美结合。为此,他们对每一项IT审计工作都做出周密部署:在编制审计计划时,确定对信息系统控制的可信赖程度;制定关于何时、何处与如何检查信息系统功能的计划;制定关于利用IT审计技术进行的审计程序计划;分析IT审计技术的可行性、预期效果与效率;考虑时间因素。在实施审计时,收集与审计计划有关的信息系统环境的资料,包括信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等;注意传统审计技术和IT审计技术相结合、IT审计人员与非IT审计人员相结合,考虑审计人员的资质与背景;考虑被审计单位在哪些重要方面应用了IT技术,其程度如何,及其对审计的影响,以确定合适而恰当的审计方法。
特点五:注重IT审计人才培养
ANAO始终把人才培养放在第一位,积极引进既有审计经验又具备高层次IT知识技能的复合型人才,同时对审计人员有计划、有步骤地进行IT知识后续教育,此外还在审计中积极吸收IT审计方面的专家为IT审计提供技术咨询与服务,保证了审计项目的顺利实施,也锻炼了该国的IT审计队伍。目前,该国已形成一支知识呈阶梯状的IT审计队伍:首先是普通IT审计人员,他们理解操作系统、系统软件、应用软件和网络环境等概念,并具备一些病毒防护、入侵侦测、授权管理等信息安全控制方面的知识;其次是IT审计管理者,他们除具备普通IT审计人员应具备的技能与知识外,还深刻理解IT审计的要点,以便于科学计划、测试、分析、报告、跟踪,并合理地组织项目实施;再高一层是IT审计专家,他们深刻理解信息系统底层技术,并熟悉与之有关的威胁和弱点,同时在数据库、网络技术等领域有较高造诣。
二、收获和体会
澳大利亚网络不如我国普及,但在IT审计理论与实践方面却是走在许多经济发达国家的前列。经过澳大利亚之行,笔者深有收获和体会:
(一)树立先进的IT审计理念。通过培训和考察,笔者发现目前我国计算机审计在技术方法层面上并不逊于澳大利亚。澳大利亚审计中使用了传统的SQL Server、Microsoft Access、Excel,为我国审计人员所熟知并熟练使用。我国审计人员使用的集项目管理、数据采集、统计抽样、经验利用、报告生成于一体的AO软件,甚至比ANAO所使用的许多软件更为先进;我国审计人员在OLAP(多维分析技术)、数据挖掘技术等尖端技术的研究方面,也丝毫不逊于澳大利亚。澳大利亚在IT审计方面取得令人瞩目的成绩,支撑其取得实效的并不在于技术方法,而是审计人员的IT审计理念。我们要充分认识到:如果不搞IT审计,审计内容就不全面,我们就无法实现融入世界审计主流的目标。更重要的是,开展IT审计是对“免疫系统”理论的积极回应,是对审计署认真践行科学发展观的体现。
(二)建立规范的IT审计程序。无论是授课老师,还是两州审计同行,无不强调“程序和政策”(Procedures & Policies)。面对我国IT审计指南缺失的现状,我国审计机关应当尽快将审计程序设计与审计技术方法的运用有机结合,规范和引导审计人员运用适当的审计技术和方法,把审计技术与方法融入到规范的审计程序之中,要求并指导审计人员合理运用审计技术;同时,顺应经济全球化的发展趋势,建立与国际审计准则接轨的中国IT审计准则,规范IT审计的工作。针对我国IT审计中存在审计人员在运用审计技术和方法缺少规范与约束的问题,建议将COBIT的IT治理思想和框架,引入审计业务支撑体系的质量控制中,科学、系统地对信息及相关技术进行管理,实现了审计战略与IT战略的互动,并形成持续改进的良性循环机制,这对于规范IT审计程序、提高IT审计质量具有重要的现实意义。
一、引言
IT审计(Information Technology Audit)是信息技术应用于审计实务产生的新概念,人们对IT审计的理解是逐步深入的。我国国家审计中相对于IT审计的提法一般为计算机审计,自上世纪80年代以来的探索和实践过程中,也先后出现过会计电算化审计、计算机辅助审计、计算机数据审计、信息系统审计等诸多与IT审计相关的称谓,国外则有EDPA、CAA、ISA、ICTA等各种提法。笔者认为,结合我国国家审计的职能和特点,IT审计可以定义为利用信息技术组织开展的审计。这一提法可以较为全面、准确地定义信息技术在国家审计实务中的应用,同时也是世界审计组织(INTOSAI)及其IT审计工作组各成员国最高审计机关普遍认可和采用的提法。
由于各国国家审计机关在IT审计的定位和侧重等方面存在差异,其组织形式和实施模式也不尽相同。世界审计组织(INTOSAI)认为IT审计是通过获得和评估证据,确定IT系统是否保护了组织的资产,有效率地使用资源,维持数据的安全性和一致性,以及有效地达到组织的业务目标的过程,这一定位得到了各国最高审计机关的普遍认同;国际信息系统审计与控制协会(ISACA)建立了普遍适用的信息系统审计标准、指南和流程,所的COBIT已经成为国际上公认最先进、最权威的信息技术控制框架;美国审计署(GAO)将信息系统审计作为IT审计的重点,在20__年2月的《联邦政府信息系统控制审计手册》中将信息系统审计的实施分为一般控制审计和应用控制审计两个部分;英国审计署(NAO)侧重于政府IT项目绩效审计,在20__年2月的绩效审计报告中对过去十年来信息技术在政府工作中发挥的作用、面临的挑战和发展的方向进行了系统总结。
二、我国现行国家IT审计架构及缺陷
随着信息技术在社会经济生活各个方面的广泛运用,为适应信息化环境的变化,我国国家IT审计从上世纪80年代末开始起步,从无到有、从单机到网络、从探索研究到逐渐普及,在多年的发展中逐步形成了一套具有本国特色的IT审计架构和工作模式。
(一)现行国家IT审计架构。
在法理基础方面,审计法明确规定了审计机关有权要求被审计单位提供计算机储存和处理的财政、财务收支电子数据以及必要的技术文档,有权检查被审计单位的信息系统;《国家审计准则》也根据信息技术环境下开展审计工作的特殊性作出了一些特别规定,在编制年度审计项目计划和审计实施方案,实施审计检查、获取审计证据,作出审计结论、出具审计报告等环节表现出鲜明的关注信息系统、突出信息技术的特色。
在组织结构方面,以审计署为例,已经形成计算机技术中心负责组织协调和指导管理全国审计系统的信息化建设的格局,各审计业务部门负责结合审计项目开展电子数据审计。计算机技术中心不仅要配合业务部门开展计算机审计业务,同时还要承担建设、开发、推广和维护审计信息系统,以及编制IT审计规范和组织IT培训考试等各项工作。
在工作模式方面,随着现场审计实施系统(AO)和审计管理系统(OA)的全面应用,国家IT审计逐步迈入一个新的发展阶段,初步形成了利用信息技术开展大型项目组织管理,运用审计软件实施现场审计,积极探索联网审计和信息系统审计,逐步推进审计数据资源建设的IT审计模式,审计信息化水平不断提高。
(二)国家IT审计中存在的问题。
由于组织结构和工作模式还不能完全适应工作需求,与充分发挥审计保障国家经济社会健康运行“免疫系统”功能的要求相比,我国国家IT审计还存在以下不足:
1.审计业务与IT技术的结合不够紧密。
虽然计算机审计培训已开展多年,计算机审计技术也已在国家审计的各个行业、领域得到推广应用,但仍然较为普遍地存在审计业务部门过于依赖IT部门技术支持的现象,粉饰和包装计算机审计成果的情况也屡见不鲜。在审计项目中原本应由审计业务部门主导和实施的常规计算机审计工作往往过多地需要借助IT技术人员的参与,不仅不利于各行业、领域中审计业务与计算机技术的紧密结合,而且较易形成审计业务与计算机技术“两张皮”,阻碍了计算机审计技术在审计实务中的进一步深入应用。
2. IT审计部门的职能定位不够清晰。
与部分其他国家审计机关比较,目前我国审计机关还没有纯粹意义上的IT审计部门,IT部门的职能定位较为模糊。一般来说,审计机关设立的计算机技术中心、计算机审计处、信息中心等部门同时承担了电子数据审计、信息系统审计、日常维护和技术支持等多项职能,凡是与信息技术相关的职能均由IT部门负责,因此不仅需要承担大量系统开发、维护和管理工作,还要投入精力开展计算机审计业务,IT业务需求与人力资源矛盾突出。同时,IT部门往往没有真正作为审计业务部门进行管理,在独立开展信息系统审计和IT绩效审计项目方面存在障碍,处于较为尴尬的局面。
3.信息系统审计和IT绩效审计起步较晚。
由于信息化程度的差别,美国、英国等国家广泛开展的信息系统审计和IT绩效审计在我国尚处于探索阶段。一是信息系统审计还没有成熟有效的组织方式和审计标准,同时由于掌握核心技术的IT公司为保持其垄断地位不会轻易公开其核心技术,审计人员对商业 银行、大型国企等单位所使用信息系统难以了解透彻;二是对IT项目投资的审计还仅仅停留在资金审计的层面,IT项目绩效尚未开始作为一个单独的审计类别进入国家审计的范围,也没有形成系统、科学的政府IT项目绩效评价指标体系。
三、国家IT审计架构探析
IT审计的职能来源于审计工作的实际需求。国家审计机关的法定职责是监督被审计单位财政、财务收支以及有关经济活动的真实性、合法性、效益性,保障国家经济和社会健康发展的工作目标。为了适应信息化环境下国家审计履行法定职责的需要,应当构建国家IT审计的体系架构。
(一)国家IT审计架构需求分析。
前述定义,IT审计是利用信息技术组织开展的审计。一方面,利用信息技术对以电子数据为载体的财政财务收支和相关经济活动的真实性、合法性、效益性进行审计监督;另一方面,需要对记录、处理和产生电子数据的信息系统内部控制进行检查,以确保电子数据的真实、完整和可靠。于是,总体来说IT审计架构可以划分为两大类,即:利用信息技术对记载财政财务收支和相关经济活动的电子数据的审计和利用信息技术对产生电子数据的信息系统内部控制的审计。
从国家审计履行法定职责的角度看,可先组织信息系统审计,检查信息系统内部控制对产生电子数据的真实、完整和可靠性的影响;再组织电子数据审计,检查财政财务收支和相关经济活动的真实性、合法性、效益性。通常情况下,也可交叉组织实施。
1.信息系统审计。
通常情况下,信息系统审计是实施电子数据审计的必要准备,属于结合电子数据审计的信息系统审计。但对于电子政务工程建设项目、企业ERP建设项目的审计,需要对项目建设的信息系统的规划、设计、研发、实施、运行、维护等全过程,对信息系统的应用系统、信息资源、网络系统、安全系统、运行服务系统等各组成部分,进行全面审查。此时的信息系统审计并不结合电子数据审计,属于独立的信息系统审计。因此,信息系统审计可划分为结合式和独立式两种方式。
结合式的信息系统审计,其目标是检查信息系统内部控制对产生电子数据的数据风险,测评信息系统对数据的真实性、完整性和正确性的影响。由于数据式审计的运用一定是在信息化环境下,如同在纸质环境下一样,系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。因此,为了控制数据风险,保障审计目标的实现,审计人员应该首先要对信息系统的内部控制进行调查、测试和评价。
独立式的信息系统审计,其目标是检查项目建设的信息系统的安全性、可靠性和经济性。据有关统计数据,20__年我国政府行业IT应用建设投资总规模达707.5亿元,同比增长14.2%,相当于奥运全部场馆建设的3.6倍,超过三峡工程15年投入的三分之一。历年政府IT项目建设投入巨额资金后,是否存在重复建设、绩效低下的情况,以及电子政务建设在提高政府行政效能和公众服务能力方面的效果如何都亟待评估。因此,除了一般意义上对被审计单位的信息系统的安全、可靠、有效和效率等进行审计之外,对信息系统和IT项目的经济性和投资绩效也应纳入独立式信息系统审计的范畴。
2.电子数据审计。
电子数据审计是以系统内部控制测评为基础,通过对电子数据的收集、转换、整理、分析和验证,对信息系统产生的电子数据及其他相关数据所记载的经济业务的真实、合法和效益进行审计。审计人员利用信息技术对被审计单位的财务数据及其他相关数据进行检查是审计机关的一项重要职责,电子数据审计的审计目标和审计范围与传统手工审计是基本一致的,只是审计的对象、方法和技术发生了变化,主要是审计机关和被审计单位双方都利用计算机作为作业工具,即一方用计算机记录财务会计核算和经营管理数据,另一方用计算机进行审计。
电子数据审计作为传统手工审计在信息化环境下的自然演化,是目前使用最多、应用最广的IT审计形式。近年来,我国各级审计机关总结审计经验,组织开发了以现场审计实施系统(AO)为代表的一批审计软件,并注重在实践中予以修改完善。审计软件的广泛应用,改进了审计手段,提高了审计效率,加强了审计工作在信息化环境下的适应能力。
另外,作为“金审工程”重要建设成果的国家审计信息系统(GAIS)已经初具规模,随着现场审计实施系统(AO)、审计管理系统(OA)、审计数据中心、网络系统和安全系统等应用的不断深化,对审计机关所属机房、网络、网站和信息系统等基础设施的建设、运行与维护,以及为审计业务和审计管理工作提供技术支持提出了更高的要求。
(二)建立适应国家审计需求的IT审计架构。
结合我国国家IT审计的实际需求,审计机关应该具备相应的组织结构,形成有效的IT审计模式开展工作。
1.开展信息系统审计的IT架构。
无论是结合式还是独立式的信息系统审计,其审计对象是信息系统本身。信息系统审计的重点是检查信息系统对其产生数据的影响,或是信息系统自身的安全性、可靠性和经济性。结合式的信息系统审计,需要对信息系统承载的业务流、数据流的技术设计和技术路径,对数据的输入、处理和输出的内部控制和安全防护等进行检查,以测评系统内控对数据影响的风险; 独立式的信息系统审计,需要对信息系统的应用系统、信息资源、网络系统、安全系统、运行服务系统等各组成部分进行检查,以测评信息系统的安全性、可靠性和经济性。由于信息系统审计的特殊要求,需要具有一定IT审计知识和技能的IT审计部门进行检查测评。
由于结合式的信息系统审计需要对信息系统承载的业务流、数据流进行检查,对数据输入、处理和输出的业务流程进行检查,即便独立式的信息系统审计也要检查项目建设的业务目标和项目投资的经济性问题,需要审计业务部门的配合和支持。因此,信息系统审计的IT架构,需要IT审计部门和审计业务部门的共同合作。通常情况下,应该以IT审计部门为主,以审计业务部门为辅。
2.开展电子数据审计的IT架构。
电子数据审计的应用范围较为广泛,核心是通过分析被审计单位财务数据和其他相关数据并取得审计证据的技术。电子数据审计的重点应该是运用计算机技术对电子数据进行分析性复核、比较和抽样,无论是现场审计还是远程审计,无论是单机模式还是联网模式,无论是简单的比较分析还是相对复杂的数据仓库技术,无论是国内的AO还是国际上普遍使用的ACL、IDEA审计软件,共同点都是利用间接测试并从关系模型中得出审计证据。
运用计算机技术进行审计为查错纠弊带来了极大便利,很容易实现对某一类数据的查询和筛选,使手工审计条件下无法做到的详细审查成为可能,同时财务数据和业务数据的结合更便于发现被审计单位管理和经营方面的漏洞和舞弊行为。由于审计对象、环境、方法和技术的变化,一方面需要审计业务部门在掌握和运用各类审计业务的知识、技能的同时,也要掌握和运用计算机审计的知识和技能;另一方面,复杂业务的计算机审计处理依赖于信息技术的审计组织模式和管理模式的运用,需要IT审计部门的配合和支持。因此,电子数据审计的IT架构,需要审计业务部门和IT审计部门的共同合作。通常情况下,应该以审计业务部门为主,以IT审计 部门为辅。
四、进一步完善国家IT审计架构的几点建议
我国国家审计信息化建设正处于发展阶段,与先进国家的发展水平相比,IT审计架构还不够完善,审计理念还不够先进,在很多方面都需要借鉴国外的经验。但借鉴并不是原样照搬和全盘接受,而是应该根据自身的特点,对他国的先进经验进行批判地吸收。着眼于国家审计作为保障国家经济社会健康运行“免疫系统”的特殊定位,同时结合国家IT审计的现实情况和发展方向,国家IT审计架构应该根据工作需求进一步加以完善。
(一)逐步实现审计模式的转变。
随着计算机技术在审计实务中的广泛运用,国家审计环境、对象和方法的变化导致原有的审计模式已不再适应发展的要求,国家审计正在原有的基础上不断完善,逐步向高效率、高质量的方向发展。未来信息化审计模式的实现在很大程度上需要依赖信息技术,其与传统审计模式相比有如下特征:其一,它是一种以电子数据作为直接审计对象的数据式审计模式;其二,具有不间断性、循环性和实时性,这意味着审计活动将在一个更连续、更频繁和更及时的基础上实施;其三,可以经济地实现详细测试,在信息化环境下利用技术自动执行控制测试和风险评估的方法使得进行连续性测试成为可能。在这种情况下,计算机技术势必与传统审计的技术和方法高度融合,以计算机技术作为支撑的审计业务处理能力大大提高,信息化环境下审计模式的转变将是IT审计未来发展的必然趋势。
(二)逐步实现IT审计的专业化。
在IT审计部门的机构设置和职能定位方面,以美国审计署为例,不仅有专门的信息技术局开展信息系统审计业务,而且还有专门的信息系统与技术服务部门保障内部信息系统的运转,另外还设有技术工程和信息安全实验中心负责改善信息技术和促进软件工程现代化,评估联邦政府计算机系统的安全性。我国国家审计也应当根据实际需求进一步调整IT部门的职能定位,结合审计机关内设机构细分电子数据审计、信息系统审计、技术支持与服务等不同的机构和职能,进而逐步实现IT审计的专业化。
在电子商务环境下,越来越多的企业通过互联网产品信息,确定产品交易,传递产品发货单,划账结汇等。客户也从网上了解所需产品的相关信息,与厂方签订合同,发送订单。经济业务产生的原始凭证由传统的纸质凭证演变为电磁信息的形式在网上传递并存储于磁性介质中;由于网络账务系统具有共享性的特点,会计信息的相关使用者可以随时通过授权,上网查询企业的财务状况和经营成果,信息的及时性大大提高,作为事后反映的会计报表对于会计信息使用者的重要性大大降低;网络财务的兴起使得企业从采购,销售,支付及到资金回笼这一系列烦琐的处理过程变成网上的瞬间实现,这些都使得在手工会计系统环境下进行的传统审计模式受到极大的冲击。由此,IT审计这一新兴审计模式应运而生。
一、IT审计与传统审计相比较之优势
1、使审计时效性大大提高。传统审计一般是在企业的会计报表完成后进行,审计人员经过调查取证等一系列工作后再经过一段时间的整理形成审计书面报告,这期间往往要耗用几个月的时间,其时效性不强。而在网络环境中,审计部门可随时对被审计企业进行审查,及时收集其最新的会计信息,并向有关各方,从而使审计的时效性得到保障。
2、收集审计证据的成本大大降低。传统审计通过实物盘点,审查大量的凭证,账簿和报表,口头询问及函询等来获取证据,耗费了大量的人力物力。而在IT审计中,所有的现金,存货及各项固定资产等实物由计算机进行实时动态管理,所有凭证等书面文件都已成为网络中的电磁信息,口头询问及函询可通过发送邮件和网上实时交谈的形式来获取。这必将大大减少审计证据的收集成本。
3、减轻了审计人员的工作量。传统审计中,审计人员要进行大量的调查取证工作。而在IT审计中,在获得必要的权限下,审计人员利用审计接口软件便可轻松、便捷、完整的获得被审计企业的会计信息和经济数据,大大减少了工作量。
二、IT审计应用中存在的问题
1、由于在网络环境中,经济业务产生的原始凭证是以电磁信息的形式传递并存储于磁性介质中,具有能被无痕修改,容易丢失不利于永久保存等缺点,审计面对的是企业的电算化会计信息系统和网络账务系统,它们的合理有效性,安全程度直接影响到审计工作的质量和效率,而这些又受到技术和人为的诸多因素影响,审计环境中的不确定因素增加。
2、在IT审计中,审计人员对于计算机网络的依赖性大大增强。主要的审计证据来自于系统网络,属间接证据,其可靠性依赖于网络内控制度的健全有效性,且由于计算机病毒和黑客攻击都可以通过网络威胁到会计信息系统的安全,使得审计人员对网络的安全可靠产生依赖。
三、IT审计发展现状
美国等先进国家开展IT审计始于20世纪六十年代,国际上唯一的信息系统控制与审计协会ISACA总部就设在美国,目前已经在世界上100多个国家设立了160多个分会,现有会员两万多人。在发达国家,IT审计已经得到了普及。
在我国,信息化事业已发展到一个新的阶段。各级政府正在推进“电子政务”,并认真落实“以信息化带动工业化”的战略。广大企业也开始着手整合与升级各自的信息化应用系统。可以预计,全国将有更大更多的信息系统上马。但是在信息化推进的过程中,至今不同程度上存在一些问题,主要表现在规划制定不够深思熟虑;项目管理不够严格;系统运行效益不够明显。究其原因是相当普遍的对信息化风险认识不足,规避风险的措施不力。中国加入WTO后,为了保证我国经济社会与科技方面的稳步发展,保证与经济安全,社会安全,国家安全紧密相连的信息系统的安全,在我国发展IT审计已经势在必行!
四、对我国IT审计工作未来开展的几点思考
1、规范电算化会计信息系统模块,规范会计信息系统的数据结构。开展IT审计工作要求企业的计算机信息系统留有审计接口,以便通过接口取得被审系统的电子信息,进行有关的审计处理。虽然我国软件协会财务及管理软件分会曾对财务软件的数据接口提出了标准要求,但许多财务与管理软件都没有执行。我国现有的计算机信息系统大部分没有设置审计接口,有些系统的数据库还加了密,使审计软件无法访问系统的资料,电子资料的获取成了利用计算机辅助审计的瓶颈。
2、加快审计网络建设。在网络环境中,审计人员所面临的不再是传统的交易模式和经营管理理念,而是实时动态的网络信息资源。审计人员只有通过互联网才能完成审计线索的收集,审计信息的输出及传送,因此需要加强审计网络建设。
3、迫切需要培育一批既懂得审计知识,又懂得计算机网络知识的复合型人才。目前,我国国内的审计人员无论在数量上还是质量上仍有较大不足。传统的审计人员虽在财会审计领域经验丰富,但对计算机网络技术了解不多,这使得他们难以对复杂的网络会计系统进行有效的评审,难以应付电子商务环境下的审计风险。因此要保障IT审计工作的顺利开展,必须培育出一批高素质合格的IT审计师队伍。
随着主义市场体制 改革的深入发展,内部审计在现 代中的重要性也日益凸现出来,特别是对一些规模大、管理严格的大型企业及跨国公司而言,信息技术审计(Information Techn010gy,简称IT审计)作为内部审计的一种形式,在发达国家的跨国公司中发展迅猛,且在不断更新,它对于我国的公司有很重要的借鉴意义。下面,作者重介绍美国杜邦公司在信息技术审计方面的最新进展及。
杜邦是一个拥有总资产44亿美元的大型跨国公司,一直在化学和化学器械、生物技术、地质学上处于技术上的领先地位。作为杜邦的审计人员,他们的使命是拿出世界一流的审计水平去支持公司的业务运作,他们定期制定标准且与其它公司相比较,然后评价结果,找出应改进的地方,为了与信息技术的飞速发展保持同步,杜邦公司把IT审计作为重点领域,要求内审人员拿出相应的方案,因为随着信息技术的迅速发展,相应的审计技术变得复杂起来。所以,杜邦公司决的支持、在职培训及监控。3.在一种业务范围内强调IT在总体审计意见里发现难于评估系统的相关性时,必须能将系统里的发现转化为业务项目。4.发展一种聚焦池,确保能不断关注到所有存在和新出现的技术。5.能从外部雇佣职员或刚离校的毕业生,来作为IT职能部门的新鲜血液。6.强调要通过初步的培训每个职员都应是全职的被培训者,如:规定每个人每年要参加培训10天。7.关心所有的重要技术开发,包括已存在和正在出现的技术。8.与研究部门紧密联系。这对IT审计来说是很重要的,因为这样会允许IT职能部门获得一些控制文件,在计划和设计阶段就会考虑这些因素。9,为协调管理而服务。杜邦认为在这个领域应处理得比其它公司的IT活动更有效率,同时,杜邦也希望自己的内审是通过适当的程序和技术来管理一些经营活动将来也可以于外审。10.适当地依靠外部服务所提供的信息。11.认识到它没必要达到高质量的最好限度。12.将自我评价作为未来世界一流审计组织的批评性产品,不仅对IT审计,而且对整个组织而言,都是很重要的。将以上发现作为评价标准,从而形成了许多固定的概念框架,根据以上内容,杜邦的研究小组设计了适应杜邦的IT审计方案。
二、小组工作
为使杜邦IT审计达到领先水平,杜邦从全球的内审人员和审计本公司的外部审计人员中抽调一部分组成了一个代表组,这个小组由一个总审计经理监督,对指挥部负责,这个指挥部包括副总裁、总审计师、副财务经理、信息主任和事务所的业务合伙人。
该小组在很紧凑的时间安排下建立了一套的工作方法。并对杜邦IT审计的发展和更新提出长期性的意见。
该小组给IT的定义是:IT审计与杜邦公司的其它所有审计活动是密切联系的。我们将在职能审计小组的支持下,对应用系统和整个信息系统的各个部门进行具体的审计,进而确保在系统的支持下的经营活动能有充分的应用控?quot;。
小组的目标之一就是:保持一个完整的相应统一的内部审计职能部门时,决定如何提高杜邦的IT审计能力。
在商讨和计划时,提到了几个固有风险因素,如:1.IT外部组织仍处于转换时期,且更大的组织变化将会发生。2.杜邦信息系统的可靠性已经惊人地提高。3.化的机,包括因特网和主要的系统化,如SAPR/3,正在成长期。4.成增长趋势的公司内部连网,导致公司向全体化和其它非传统商业联营方向扩张。
三、两种审计模型
杜邦常用IT审计总体模型(Audit Integration Model,简称AIM)和变量实施模型(Variable Sourcing Model,简称VSM)来决定是否应当从外部获得技术或保持他们,特别是认为计划需要改变的时候,这两个模型有重要的指导意义。这两个模型如下所示:
1.AIM
AIM根据IT审计的组成要素大略揭示了IT的审计过程,复杂的知识水平和工作人员的工作量随着以下所示的四个阶段而逐步下降
阶段1经营过程控制 准 备 活 动 实 施 选 择 培 训 要 求所有归属于一个过程审 计的非系统的不相关审 计活动:如过程、计划、流程图、检阅程序、访问和测试 执行所有正常情况下的 准备活动,不包括具体 的与IT有关的活动。 不需要具体的IT审计 技术 不需要高水平的IT培 钻15
阶段2输出
所有与符合性审计有关 的活动,包括数据进入、错误书写、输出和进入 控制 决定应该用什么政策, 若与具体的经营有关 时,应在工作底稿上从 头到尾写清楚;若与多 种经营有关时,应把它 单独拿出来进行符合性 测试,然后,在工作底稿 上注明 由有经验的审计人员来执行任务。IT审计人员的任何行动都应得到支持,因为这个阶段代表整个审计过程的重要环节。在向新结构进行完全转变之前,IT审计人员对所执行的符合性测 试都认为是适当的。 确保每一个审计人员都 有执行符合性测试所需 技能,复核IT的组成要 素,决定是否需要改变,以确保达到目标。确保 这些技能对审计小组来 说是容易达到的,且它 是必要的,直至达到审 计的长期目标。
阶段3附台性和分界面
在符合性审计和技术审 计之间的灰色领域,在这个阶段需要有高技 能的高水平的审计人 员,因为这些活动要进 入到系统的内部工作且 与其他符合性相联系。 决定执行的符合性复核 的细节应达到的水平, 确保灰色领域被完全充分校测,尤其注意系 统的共同范围,因为这 些可能没被包括在先前 的比较窄的审计范围中 确定符合条件的审计人员的比例和从外部寻找人员的可行性,确保此阶段审计人员的技能对审计小组来说是容易达到的,直至实现长期目标为止。 决定如何提供培训,以 使他们达到更高的技术 水平,期望达到所需技 能的审计人员的比例将 被作为实施阶段工作的 一部分,在转换期,应确保这些技能对审计小组 来说容易达到直至实现 长期目标。
阶段4基础性的结构
技术审计覆盖了计算机 环境的内部工作.在此阶段需要高技能和特 殊才能的人才,如:在运 行系统或安全软件方面 通过符合性调试复核平台的最近技术审计,根据峁页鲋葱猩蠹频氖奔洌际跎蠹票匦胩峁泄仄教ǖ恼逡?见,这一步应包括桌面系统环境和完整的桌面系统审计,必要时应事 先规划 检查正被杜邦使用的平台系统,且必须做这项工作,确定在社邦所要求的技能范围内的保留工作量,决定核心工作员、浮动工作量和特殊工作量的未来余 额,评价保留和维持这些技能的内部审计人员的职业道路前途等,确保改变计划时允许小组充分协调好内部活动与6F部专家的耸嚣- 对那些保留在杜邦内部 的技能应确定培训的关 键来源且确保这些人员 是通用的,在这个阶段,工作能力的大小受社邦 的联营者的规模而定p 所以培训只要及时就行。
IT AIM的建立可加强IT审计人员对IT审计的一般理解及他们应如何与其它审计活动相联系。杜邦运用这个模型解释了谁审计什么及在各个阶段所期望达到的审计人员的工作能力和工作量之间的转换,由于杜邦对全体审计人员进行了技能培训,所以,杜邦尤其关注这样的一些,如:实际培训人员能力与各阶段上审计人员应代表的水平之间的距离有多远,应在哪儿挑选有技能的IT审计人员等。AIM反映了社邦在这方面的决策,且AIM至少能被用于以下三个重要方面:1.通过提供一个评估与IT相关工作范围的框架,来帮助计划阶段的审计。2.为将来建立IT审计评价表作准备,这张表用来作VSM的参照物。3.作为一种鉴别不同IT审计培训的。
在以下三个领域中,模型提供了从一般了解到决策的各个部分的解决办法。具体如下:
(一)准备阶段
当进行更多的经营过程审计时,准备阶段的工作在确保清楚地界定审计范围和审计小组应有的技能和工具去从事工作这两方面起关键性的作用。经营过程审计将会在范围上更广、时间上更长,且很可能由大量不同机系统组成。如图所示,AIM可作为一种有效的准备工具,如果某种技能需由外部人员来实施时,及时地在此阶段补充审计人员会变得更重要。
(二)实施阶段
这是工作范围的重要部分,社邦审计小组一直在和采用VSM作为一个工具来决定成员水平和技术能力,模型显示出杜邦计划的技术能力保留在一个核心范围内,核心范围的大小由任何一年的估计工作量和杜邦是否维持这种技术能力由自己开发而决定,模型也表示出,可从外部获取资源,若保留技术能力的工作量比估计工作量要高,这一部分差额称为浮动工作,反之,称之为特殊工作。
AIM与VSM结合起来,可用来确定保留在杜邦内审中的技术能力和将来的核心工作、浮动工作及特殊工作的平衡。与杜邦的支持者及供应商们讨论,即实施IT审计的联营公司,可能也是这个阶段的一部分工作。另外,杜邦还计划转变战略,确保内审依赖外部专家时有力量控制局势。
(三)培训
除发展AIM和VSM外,工作小组还针对现在的IT审计组织进行技术描绘未来IT审计组织的前景。由信息武装起来,杜邦利用AIM来决定所期望的能达到多种目的的审计人员的IT技能是什么水平,及什么样的特殊行为是杜邦将保留和维持的,提供的培训课程应确保有一个完整的途径。AIM可用来确定所需和所计划的培训。
四、更新
除以上外,该方案还包括不断变化的组织评估表和技术分析表,针对现在至未来的组织,通过预想的变化,这些需要-个全球IT审计经理的命令,他将在下列领域内得到三个工作领导者的支持。1.信息统一:负责计划、实施和提高技术审计。对诸如数据中心、远程通讯等基础设施方面负责咨询。2.技术支持:负责发展和完成每年的计划,这些计划重点在于关注新出现的技术,评价和支持内审的技术要求,包括硬件、软件、审计工作、计算机辅助审计技术和一个内审网站。3.应用支持:负责发展和完成每年的应用审计计划,支持审计过程中的符合性测试,应用支持负责人也有责任确保所有的审计人员应符合控制目标且充分地受到培训。
剩余的IT审计人员保持他们现存的管理报告流程,但增加了一份职能报告与以上所述三组之一相联系,将会执行许多审计活动,以便对杜邦审计计划的准备阶段进行控制,对全部审计工作进行监督。
五、启迪与借鉴
实践证明,IT审计开辟:内审的新领域,它取得了一些成功经验。
由于各种原因,我国的内审质量不高,更不用说IT审计了,因为对我国众多来说,:企业内部治理结构还没理顺,信息化程度还不普及,只是在某些特殊行业中(如行业)比较普遍,、可以说,IT审计在我国还处于起步阶段,而国外已发展得比较成熟。所以笔者认为,除了进一步改变国有企业的内审管理双重体制之外,我国可在以下方面借鉴西方先进经验,努力提高我国的IT审计水平:
1.重视与外部审计师的合作,尤其是注册师。我国的注册会计师行业虽然起步较晚,但已取得令人瞩目的成绩,特别是知名会计师事务所积累了大量的企业管理信息,相信与某公司长期合作的会计事务所定会为该公司提供良好的内审控制建议。
2.强调对内审人员的培训。在我国,由于内审管理体制还没理顺,没有统一的准则。各企业应根据IT审计要求的高低进行不同程度的培训。
3.规范I丁审计的同时,注意改进审计方法技巧。可杜邦的作法,把整个审计过程划分为几个阶段,并固定下来。但在各个阶段的审计工作中,应注意审计方法的灵活运用。另外,尽量使用量化标准,如建立变量模型等。
4.重视内审人员的知识更新,这是IT审计的性质所决定的。企业的信息系统普遍应用网络技术,且与商务系统紧密结合,使产业信息系统无纸化。在此环境下,审计人员不仅要掌握传统审计的基本知识,还必须掌握计算机应用基本技能,这样才能满足审计需求,特别是对于内审的IT审计来说,不只是对企业的会计信息系统进行审计。所以,内审的管理机构及企业都应重视内审人员的知识更新,如,加快有关计算机审计的教材建设,计算机审计人员资格及制作计算机审计的具体准则等,方便企业选拔IT审计人员。
[参考]
[1]Wayne More and David Hen-drey. It Audit Renewal(J)。 Internal Auditorl999(4)。
[2] Pete Rosenwald. To Be or Not To Be LJ]. Accountancy. 1999. (8)
[3]傅元明。计算机信息系统环境下的几个审计问题LJ].审计研究,1999. (5) .
[4]王学龙。内部审计风险初探U].审计研究资料,1999.(10)。
银行IT审计意义
目前,信息系统的正常运行已经成为银行业务正常运营的最基本条件之一,信息科技在有力提升银行核心竞争力的同时,信息科技风险也愈发突出和集中,信息科技风险控制已成为银行业风险管理的重要内容,而IT审计作为银行业风险管理体系的重要组成部分,其重要性和必要性已经日益得到银行业管理层的关注。同时,国家相关部门对信息系统的管控也越来越重视,自2006年8月《银行业金融机构信息系统风险管理指引》开始,银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施(见表1),监管工作逐步走向规范化。通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性,也成为银行业实施IT审计的重要目的之一。
因此,银行业加强和规范IT审计,既是自身发展和获取竞争优势的内在需要,也是监管当局的外部要求。
银行IT审计标准
准确地运用标准和参照,成为顺利开展IT审计工作的重要前提之一。
COBIT
COBIT(Control Objectives for Information and related Technology) 是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,也是目前国际上通用的信息系统审计的标准之一。COBIT是一个基于控制的IT治理模型,其制定的宗旨是跨越业务控制和IT控制之间的鸿沟,从而建立一个面向业务目标的IT控制框架。
COBIT本身并非针对IT审计的专门论述,其面向的使用者可以是企业中想通过改善IT过程实现经营目标的管理者,也可以是业务过程的所有者,即用户,也可以为IT审计师。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。在最新的COBIT5.0版本中,COBIT已经被称作“一个治理和管理企业IT的业务框架”。
COBIT4.1版本中经典的体系框架一直为众多使用者参考使用,它包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档(见图1)。管理指南为每个过程提供了关键成功因素、关键目标指标和关键绩效指标等,并根据这些指标对每个过程进行了成熟度模型的划分;而审计指南,则就审计的控制目标、调查对象、需要掌握的证据及如何进行测试和评估做出了详细的说明。
COBIT4.1版本中的流程参考模型将所有与信息系统相关的活动进行了划分,主要包括34个流程,分属4个域。而COBIT 5.0的参考模型涵盖了治理和管理流程的完整集合,共分为37个流程。COBIT5.0流程参考模型是COBIT4.1流程参考模型的继承者,同时也融合了风险IT、价值IT流程模型。COBIT的广泛通用性也造就了它在应用上的弱点和难点,即COBIT中对相关流程和控制目标的描述过于笼统普适,需要使用者结合企业的实际情况和专业经验进行较大的定制化方可实施。
因此,COBIT模型的最大作用是将IT过程、IT资源与企业的策略和目标联系了起来,保障了企业的IT战略目标和其业务发展目标的一致性,也在IT管理层、IT技术人员/用户和IT审计师之间搭建了桥梁。
《商业银行信息科技风险管理指引》
近年来,随着银监会信用风险、商业风险和操作风险管理指引的,以及“巴塞尔协议II”在银行业内的逐步实施,推动了银行内部风险管理机制的建立和健全。但是,在全面风险管理的框架下,目前银行的信息科技风险管理机制滞后于业务风险管理体系的发展,并未建立体系化的风险管控机制,成为了银行风险管理体系中的短板。这主要体现在,信息科技风险治理组织不健全、风险管理制度不完善、风险处理过程规划依据不充分以及风险监控指标不明确等方面。
2009年的《商业银行信息科技风险管理指引》(以下简称《指引》),定义了商业银行信息科技风险的总体框架,即在当前商业银行普遍的信息科技现状下,可能存在的重大信息科技风险的范围,使商业银行的风险管理过程,能够集中精力在相关领域中。
《指引》确定了九大管理领域,即:信息科技治理;信息科技风险管理;信息安全;信息系统开发、测试和维护;信息科技运行;业务连续性管理;外包;内部审计;外部审计。这些领域覆盖了信息科技管理的大多数重要活动,这些活动中存在的风险,可能会对业务产生重大影响,因此对这些领域的风险识别和管理,应当在信息科技风险管理中优先对待。
在这九大领域中,IT审计占两个,分别是内部审计和外部审计。而《指引》本身,就是一个针对银行的框架完整的IT审计标准,银行可以参考这个标准,开展IT审计工作。
IT审计标准选择
实践中使用的标准远不止上述两个,而且,这两个标准建立本身就参照了很多IT相关的较为成熟的标准。如,COBIT制定时参照的标准就有ISO系列的相关IT技术标准、审计行为准则等等;《指引》其中“信息安全”管理领域的内容建立就是参照信息安全管理体系的国际标准ISO27001。
一、引言
21世纪,以计算机网络为代表的信息技术进一步迅猛发展,并不断更深入地渗透到生产、生活的各个层面。随着技术要素的渗透,计算机会计信息系统日益普及,计算机审计工作近年来蓬勃发展起来。目前的计算机审计虽然仍是桌面审计,但已逐步摆脱绕过计算机审计阶段,进入到穿过计算机审计、利用计算机审计阶段,并将随着网络经济的迅猛发展,向网络审计阶段进军。目前许多跨国公司已经开始普遍使用大型管理信息系统,但随之产生的问题是,信息系统对生产经营和管理的影响越重大,管理人员面对的经营风险和财务风险也越大。信息风险对企业生存和发展的挑战,使企业对信息系统的依赖程度越大,信息系统安全和运营隐患可能带来的伤害也就越严重。因此,信息系统必须随时置于专家的监控之下。
信息系统审计师,也称IT审计师或IS审计师,是指一批专家级人士,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉经济管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。IT审计师是由“国际信息系统审计与控制协会(ISACA)”认证的。ISACA是国际上惟一的信息系统审计师专业组织。会员被称为信息系统审计师,也就是我们通常所说的IT审计师,其主要从事的工作包括:向客户提供与信息系统相关的服务,在财务审计中对被审计单位的信息系统的了解、测试和评价以及计算机辅助审计技术的运用等方面。一般的IT审计师都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财会和单位内部控制有深刻的理解。因此,目前IT审计师已经成为全球范围最抢手的高级人才之一。
二、IT审计师的出现迎合了计算机审计的发展
计算机审计的发展一般要经过绕过计算机审计,穿过、利用计算机审计和网络审计三个阶段。其中前两个阶段属于计算机桌面审计系统。绕过计算机审计是指将计算机处理系统看作是一个“黑箱”。根据被审对象对计算机数据处理系统输入的原始数据,通过手工操作,将处理结果与计算机处理系统的输出进行对比,检查其是否一致,属于计算机审计的初级阶段。穿过计算机审计是对计算机数据处理系统进行审计,包括系统目的与功能需求是否达到,系统分析与系统设计是否先进、科学和实用,程序设计是否正确可靠,内部控制是否健全、可靠,管理制度是否严密、有效,文件资料是否齐全、完整等。利用计算机审计是为实施审计专门开发电子计算机程序,检验被审单位电子计算机程序的可靠性。网络审计是指综合运用计算机网络及其相关技术手段对网络经济及网络系统进行审查的新型审计,是计算机桌面审计系统发展的高级阶段。
随着目前电子商务等网络经济的发展和完善,网络审计势在必行。从审计的客体角度方面,网络审计的模式是建立在网络基础上,对被审单位一定时期内全部或部分经济活动,特别是正在发展中的电子商务、电子金融、网络财务和网络会计等进行审计的计算机系统。它包括两个方面:其一是对被审系统开发过程进行审计;其二是对被审系统运行过程及其结果进行审计。目前计算机审计的发展大多还处在只是对被审系统运行结果进行审计,或进一步对被审系统运行过程进行审计,这样的审计是建立在假定被审系统安全、可靠基础上的。而实际上这种假定是否合理,是应当予以验证的,这种验证也就是要对被审系统的安全性、稳定性和有效性进行审计、检查、评价和提出改造建议。而这也正是IT审计师的主要工作,并且这部分工作也是一直上溯到被审系统开发过程的。因此,IT审计师的出现正好迎合了网络审计模式的需要。IT审计师虽然主要源于信息系统安全问题而产生,其主要工作也含有较高的计算机技术因素,但就发展来看,IT审计师的出现迎合了计算机审机的发展趋势,昭示着计算机审计不久将随着电子商务和网络财务等的全面展开而逐步发展到网络审计阶段,未来的IT审计师们也将成为网络审计的“主力军”。从这个角度上讲,IT审计师也是计算机审计发展的必然产物。
三、IT审计师在网络审计的重要作用
计算机审计发展到网络审计后,计算机审计的主要内容将包括网络安全技术与内部控制系统的审计、系统开发审计、应用程序审计和数据文件审计等四个部分。通过分析可以发现,这四个部分的内容,不同程度地与IT审计师相关联,IT审计师在其中将起重要的作用。
(一)网络安全技术与内部控制系统的审计
从Internet诞生起,信息和网络的安全性就成为关注的一个焦点。在Internet发展的每一个阶段,安全问题也都是基础性的、关键性的因素。对于网络审计,其首先遇到的也是网络的安全性测试问题。与安全性相应的还有网络系统内部控制的测试问题,网络系统内部控制包括一般控制和应用控制两个方面。一般控制包括组织控制、软件开发、硬件和系统软件控制、系统安全控制、维护控制和文档控制等方面的审查与测试。应用控制包括输入控制、处理控制和输出控制。IT审计师的主要工作就是利用标准、规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行测试、检查、评价和改造。IT审计师首先关注信息系统的安全性,没有安全就没有一切,IT审计师会采用各种方法来测试系统的安全性,并对来自内部和外部的安全隐患提出相应对策;IT审计师还要审查信息系统的稳定性,没有长期稳定性,信息系统就无法承担起激烈竞争的压力,IT审计师会提出一系列对策保证客户信息系统的万无一失;IT审计师还要鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗企业大量的资源,一般情况下,一说到信息系统建设,大家都觉得是工程师或程序员的事,事实上,这是非常错误的观点。一个好的系统,在安全和稳定的前提下,必须最大程度地符合企业经营流程的特点,经济、有效地解决问题和提供信息。要做到这一点,信息系统开发和维护过程中,就必须有大量的经营管理人员参与,设计出最优的信息流转路径。如果不重视信息系统的有效性,其危害同样是巨大的。一方面由于其繁琐和复杂,导致内部业务人员不会用、不想用或使用不当;另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。显然,要对信息系统的安全、稳定和有效进行监控,就不单纯是某类技术人员能够完成的任务,经过专业训练,经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理,能够利用规范的审计手段,比较客观和冷静地分析、评价企业现有信息系统的运行,并从专业的角度提出建议。
通过以上分析可以看到,IT审计师的工作中实际上已经包含了网络安全技术与内部控制审计的内容。进一步从IT审计师的服务对象分析,IT审计师主要是为以下几类对象服务的:
软件供应商。特别是经济管理类的集成软件供应商,需要信息系统审计师参与产品设计、规划和检测,并对客户现有信息系统进行评价,提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师,管理咨询机构。20世纪90年代以后,管理咨询的重点已经逐步发展为提供一揽子解决方案,其中信息系统的配置,就是解决方案成功的基础。国际知名的管理咨询机构中,有50%以上的员工熟悉信息技术,其中20%拥有信息系统审计师资格。
会计师审计师事务所是信息系统审计师最早的落脚点,“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险,同时为客户提供ERP或CRM的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献。没有他们的工作,评估内部控制风险和企业固有风险将成为一句空话。人们常常看到,“五大”会计公司里,最年轻的合伙人或经理,往往都是信息系统审计师,因为这是一项年轻人的工作。
跨国公司。作为信息系统最集中的用户,跨国公司急需大量信息系统审计师,一方面参与信息化建设的过程;另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明,跨国公司内部审计部门也在大量招聘信息系统审计师,以加强内部的监督和牵制。
大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性,他们对信息系统审计师的要求和跨国公司类似。
(二)系统开发审计
系统开发过程一般分为:系统初步调查和可行性研究、系统详细调查和系统分析、系统总体设计、系统详细设计、程序编制、程序调试、系统调试、系统转换、平行操作试验、系统评审、系统维护和评价等过程。系统开发审计是事前审计,实际上是审计人员参与系统的全过程。主要监督审查下列问题:1.系统的功能是否恰当、完备,能否满足用户商务活动的需要;2.系统的数据流程、处理方法是否符合有关商贸法规;3.系统是否建立了恰当的程序控制,以防止或发现无意的差错或有意的舞弊;4.系统是否保留充分的审计线索,保证了电子商务系统的可审性;5.系统的安全保密措施和管理制度是否健全,能否保证系统安全、可靠地运行;6.系统的文档资料是否全面、完整。这部分内容和IT审计师的工作内容实际也是相适应的。因为IT审计师正是参与一个系统分析、设计和调试运行全过程的“保健医生”,并且IT审计师最关注系统的安全、稳定、有效。
(三)应用程序审计和数据文件审计
应用程序是信息系统的核心,其是否遵守国家财经法规和政策,对经济业务的处理是否合规、合法、正确等,均体现于应用程序。可以手工对应用程序直接进行审查,也可以使用计算机辅助方法,还可以通过数据在程序上的运行间接测试。电算化会计信息系统中,实质性测试的对象是数据文件。对数据库或数据文件的审计主要目的是为确保数据的完整性与正确性等。对数据文件的实质性测试包括:对各账户余额和发生额直接进行检查;对会计数据进行分析性复核,旨在对数据文件进行实质性测试;测试一般控制措施或应用控制的符合性。可以使用不处理数据文件的实质性测试方法、处理实际数据文件的实质性测试方法及处理虚拟数据文件的实质性测试方法。这两部分内容没有IT审计师的技术支持,一般审计人员也难胜其任。
