浅析信息系统审计在我国的发展现状
摘要:随着计算机技术的不断发展,企业的经营发展对于计算机信息系统的依赖程度越来越强,在信息技术突飞猛进的网络时代,由于大型管理信息系统的普遍使用,对信息系统安全和稳定性的控制受到越来越多的重视,信息系统审计也就应运而生。本文分析了我国信息系统审计的发展现状和问题,并提出了加快信息系统审计发展步伐的建议。
关键词:信息系统审计 现状 问题 建议
一.信息系统审计概述
1. 信息系统审计的定义
信息系统(Information system)是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。信息系统审计就是对信息系统进行审计,是信息系统审计人员对被审计单位的信息系统从规划、开发、实施到维护的整个生命周期进行全面审查与评价,在此过程中,信息系统审计人员应对信息系统的安全性,可靠性以及实现组织目标的有效性做出判断,并向企业的管理者报告。
2. 信息系统审计与传统审计的区别
(1)审计主体的不同
传统审计的主体主要是注册会计师,而信息系统审计的主体是IT 审计师,也就是说不仅要具备传统注册会计师的审计知识,还要懂得信息系统得到专业知识。
(2)审计对象不同
传统审计主要是对被审计单位的财务状况、经营结果以及现金流量进行审计,而信息系统审计是对被审计单位的信息系统从规划、开发、实施到维护的整个生命周期进行审计。
(3)审计报告使用者不同
传统的财务报告使用者包括股东,公司债权人,证劵监管机构等预期使用者,以便他们做出正确的投资决策,而信息系统审计报告的使用者是企业管理者,是便于企业管理者了解公司信息系统中的安全漏洞,保障企业信息安全。
3. 信息系统审计的目标
审计本质上是根据审计目标对收集的审计证据进行分析评价并得出结论的过程。
信息系统审计也是如此,信息系统审计的目标包括以下内容:
(1)提高信息系统资产的安全性
一个完整的信息系统包括软件硬件人力资源数据文件系统文件等,那么相应的信息系统审计目标就是要保证这些资源的安全性。信息系统审计可以审查和评价信息系统的内部控制体系,找出其制度缺陷,完善内部控制,保护资产安全。
(2)保证数据的完整性
数据完整就是指数据是精确的完整的。如果数据的完整得不到保证的话,那么组织将无法正确描述其自身真实情况,将陷入混乱,无法持续经营。信息系统审计就是要通过审计程序审查被审计单位的信息系统能否正确、恰当地记录被审计单位的数据。
(3)提高信息系统的效率
充分利用信息系统的各项资源,提高系统的效率,从而保证信息处理快速、及时。
(4)提高系统的合法性、合规性
随着信息技术的不断发展,计算机犯罪问题也越来越突出,其手段和方法越来越高级和隐秘,给国家、社会和企业带来了很大的损失,因此,信息系统审计人员进行信息系统审计时要提高信息系统的合法性、合规性。
4. 信息系统审计的基本流程
与传统审计并没有明显差异,基本上可以分为三个阶段:审计准备阶段、审计实施阶段和审计报告阶段。
(1)信息系统审计准备阶段
信息系统审计准备阶段是整个信息系统审计过程的基础,是关键的环节,此阶段主要的工作是调查了解被审计单位的内部环境,对信息系统风险进行初步评价,接受信息系统审计委托,并制定出科学合理的审计计划,组成审计小组。
(2)信息系统审计实施阶段
实施阶段是信息系统审计的关键阶段,主要任务是根据准备阶段确定的范围、内容、重点、方法、步骤,进行取证、评价,编制审计报告,发表审计意见。主要包括符合性测试阶段和实质性测试阶段。
(3)信息系统审计报告阶段
审计报告阶段是信息系统审计工作的最后阶段,审计报告是信息系统审计工作的
最后产品,也是审计人员向被审单位报告问题、提出建议的工作。主要工作有: 第一, 整理评价搜集到的审计证据。
第二, 复核审计证据,评价审计结果,形成审计意见,编制信息系统审计报告。
二.我国信息系统审计发展的现状
我国信息系统审计起步于20世纪90年代,现今已有十几年的发展,人们也逐渐认识到信息系统审计的必要性和重要性,在理论和实践方面进行了一些有益的探索,如今已有了一定的成效。但总的来说,我国的信息系统审计工作还处于探索阶段,还没有形成一套成型的专业规范,也没有形成能够全面开展信息系统审计业务的人才队伍,更没有建立和健全一套适应信息系统审计事业发展的管理运作机制。
三.我国信息系统审计发展存在的问题
虽然信息系统审计得到人们越来越多的关注,但是还处于探索阶段,在发展的过程中存在着许多令人担忧的问题。
1. 尚未建立健全适应信息系统审计事业发展的人才培养和管理运作机制
虽然我国审计署、国务院办公厅、中国注册会计师协会均对计算机环境下的审计工作做过有关的规定,但是所做的规定大多属于电算化、计算机审计之类的。《内部审计具体准则第 28 号——信息系统审计》是与信息系统审计有关的,是我国第一个有关信息系统审计方面的准则。为信息系统审计提供了法律上的规范,缺乏具体操作指南与作业程序,不能满足我国信息系统审计事业发展的要求。信息系统审计是建立在传统审计、信息系统管理和计算机等学科基础之上的交叉学科。因此信息系统审计工作是十分复杂的,要求信息系统审计人员具有复合型的知识结构,不仅要掌握会计、审计知识,具有一定的职业判断能力、分析能力和表达能力,还应掌握计算机、信息系统管理和网络技术等综合知识。目前在信息系统审计行业,拥有国际注册信息系统审计师资格是相当权威的,直到2002年6月我国才开始举办有国际信息系统审计与控制协会(ISACA )授权的注册信息系统审计师的资格考试,到2005年我国大陆仅有10人通过,目前我国通过这项资格认证的认识并不是很多。
2. 与信息系统审计有关的法规和准则尚不完备
审计工作必须要依据一定的法律进行,虽然我国审计署和中国注册会计师协会已经颁布了一些信息系统审计相关方面的法律法规,但是这些法律法规只是对信息系统审计的某个方面的规定,比较笼统,没有相应的实施细则,缺乏一套权威的体系完整、
结构合理、内容全面的信息系统审计法规和准则。目前,我国信息系统审计人员在实际工作中大多采用ISACA 颁布的信息系统审计准则,但是ISACA 颁布的信息系统审计准则不一定适合我国的国情,一味照办ISACA 的信息系统审计准则,不仅不会促进我国信息系统审计事业的发展,反而会阻碍其发展。
3. 信息系统缺乏应有的审计接口
审计人员在对被审计单位进行信息系统审计师,需要通过被审计计算机信息系统预留的审计接口进行审计,方便审计人员获取被审计单位的信息和数据,从而保证审计工作的顺利进行。虽然审计署、财政部发布的《信息技术会计核算软件数据接口》国家标准(GB/T1958—2004)对信息系统的数据接口提出了明确的要求,要求被审计单位的信息系统必须提供符合国家标准或行业标准的数据接口。但是目前我国大部分计算机信息系统都没有设置审计接口,制约了信息系统审计的发展。
4. 对信息系统审计存在观念的障碍,信息系统审计实践水平低
我国开展信息系统审计已有十几年的历史,但是,在审计界对信息系统审计并没有足够的重视,其中一个重要的原因就是对信息系统审计存在观念的障碍。人们已经习惯了传统的财务审计,对信息系统审计存在无所谓的态度。在信息技术高速发展的现在,计算机信息系统在人们的观念中是万能,认为没有必要对信息系统进行审计。
四.我国信息系统审计发展的建议
信息时代的到来,信息技术充斥着我们生活的每一个角落。然而如果信息系统本身如果安全性、可靠性得不到保障的话,也会威胁企业的发展,给企业带来巨大的经济损失。因此我们必须要采取积极有效的措施,加强对信息系统审计理论研究,构建信息系统审计规范体系和管理运用体制,促进我国信息系统审计的进一步发展。
1. 建立健全信息系统审计管理运作机制
信息系统审计在美国等西方国家已有近 50 年的历史,发展的比较成熟,已经建立了比较完善的信息系统审计管理运作机制,拥有处于国际领先地位和专业水平的信息系统审计与控制协会(ISACA ),并向全球发布了具有国际标准的、完整系统的信息系统审计规范。我国可以借鉴国外的先进经验,成立一个专门的信息系统审计与控制协会——中国信息系统审计与控制协会(The Chinese Information Systems Audit and Control Association,简称(CISACA ),该协会专门负责管理信息系统审计。信息系统审计与控制协会(ISACA )实行的是完全的行业自律管理机制,但是在我国未必行的
通,因为我国的政治、经济、法律环境同西方国家有很大差别,且我国的信息系统审计事业刚刚起步,需要有政府的监管以保证其可以顺利实施。因此,我国的信息系统审计与控制协会应实行行业自律为主,政府监管为辅的管理机制。
2. 制订完善的信息系统审计准则体系
目前,我国信息系统审计刚刚起步,制定信息系统审计准则是其发展的必然需求,必将推动我国信息系统审计事业的健康发展。制定信息系统审计准则是一项系统的工程,需要政府部门、信息系统审计理论界、信息系统审计实务界以及各有关方面团结协作,为制定适应我国国情,与国际趋同的,具有前瞻性的系统的信息系统审计准则体系而努力。我国在制定信息系统审计准则体系时也要借鉴国际审计准则的做法,并总结我国历史经验。建议我国信息系统审计准则体系由信息系统审计基本准则、实施指南和作业程序三个层次构成,其中基本准则应该反应现今信息系统审计理论和实践的研究成果和信息系统审计发展的历史经验。
3. 加强与信息系统审计相配套的立法
信息系统审计必须依法进行,在我国有关信息系统审计方面的法律法规几乎为零,有关电子商务、电子政务、网络经济方面的法规还很不完善。因此,我国在制定信息系统准则体系的同时,要健全与信息系统审计相配套的法律法规,并正确的处理信息系统审计准则与相关法律法规之间的关系。 首先,应当修订《审计法》。《审计法》作为调整审计关系的法律规范,对全部的审计活动都具有指导意义。在《审计法》中确认信息系统审计的法律地位,并确定审计机关和取得信息系统审计资格的所有审计人员有权对被审单位的信息系统的可靠性、安全性、有效性以及内部控制的健全性和有效性进行审查,并根据审计结果编制审计报告;在审计中被审单位应及时提供审计所需资料数据,并保证资料数据是真实、准确、完整的,不弄虚作假。 4 . 建立一支完备的信息系统审计专业人才队伍
要推动信息系统审计事业的发展, 必须依靠一大批高素质的信息系统审计专业人才队伍。信息系统审计人员必须具有复合型的知识结构,既对经营管理有深刻的理解,又具备全面的会计、审计、信息技术知识,并且可以为信息系统的可靠性、有效性、安全性提供合理保证。但是我国目前还没建立信息系统审计与控制协会,自然也不具备组织注册信息系统审计师资格考试的条件。
5加大对信息系统审计的研究和宣传力度
我国应加大对信息系统审计理论的研究,审计机关、注册会计师协会应加大对信息系统审计的宣传力度,引起人们对信息系统审计的重视,促进信息系统审计事业的发展。 结论
随着信息时代的到来,信息技术迅速渗透到世界的每一个角落。信息系统审计是一个崭新的领域,它的产生和发展是与信息系统的产生息息相关的。信息系统审计在国外已经发展的很成熟,信息系统审计的理念也深入人心,但是我国的信息系统审计还处于探索阶段,面对国内强大的信息系统审计需求,我们必须抓住机遇,大力发展信息系统审计事业,促进信息化建设的发展。本文主要对信息系统审计的内涵、内容和实施流程进行了阐述,对我国信息系统审计的发展现状和存在的问题进行了分析,以此提出我国信息系统审计发展的建议。
浅析信息系统审计在我国的发展现状
摘要:随着计算机技术的不断发展,企业的经营发展对于计算机信息系统的依赖程度越来越强,在信息技术突飞猛进的网络时代,由于大型管理信息系统的普遍使用,对信息系统安全和稳定性的控制受到越来越多的重视,信息系统审计也就应运而生。本文分析了我国信息系统审计的发展现状和问题,并提出了加快信息系统审计发展步伐的建议。
关键词:信息系统审计 现状 问题 建议
一.信息系统审计概述
1. 信息系统审计的定义
信息系统(Information system)是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。信息系统审计就是对信息系统进行审计,是信息系统审计人员对被审计单位的信息系统从规划、开发、实施到维护的整个生命周期进行全面审查与评价,在此过程中,信息系统审计人员应对信息系统的安全性,可靠性以及实现组织目标的有效性做出判断,并向企业的管理者报告。
2. 信息系统审计与传统审计的区别
(1)审计主体的不同
传统审计的主体主要是注册会计师,而信息系统审计的主体是IT 审计师,也就是说不仅要具备传统注册会计师的审计知识,还要懂得信息系统得到专业知识。
(2)审计对象不同
传统审计主要是对被审计单位的财务状况、经营结果以及现金流量进行审计,而信息系统审计是对被审计单位的信息系统从规划、开发、实施到维护的整个生命周期进行审计。
(3)审计报告使用者不同
传统的财务报告使用者包括股东,公司债权人,证劵监管机构等预期使用者,以便他们做出正确的投资决策,而信息系统审计报告的使用者是企业管理者,是便于企业管理者了解公司信息系统中的安全漏洞,保障企业信息安全。
3. 信息系统审计的目标
审计本质上是根据审计目标对收集的审计证据进行分析评价并得出结论的过程。
信息系统审计也是如此,信息系统审计的目标包括以下内容:
(1)提高信息系统资产的安全性
一个完整的信息系统包括软件硬件人力资源数据文件系统文件等,那么相应的信息系统审计目标就是要保证这些资源的安全性。信息系统审计可以审查和评价信息系统的内部控制体系,找出其制度缺陷,完善内部控制,保护资产安全。
(2)保证数据的完整性
数据完整就是指数据是精确的完整的。如果数据的完整得不到保证的话,那么组织将无法正确描述其自身真实情况,将陷入混乱,无法持续经营。信息系统审计就是要通过审计程序审查被审计单位的信息系统能否正确、恰当地记录被审计单位的数据。
(3)提高信息系统的效率
充分利用信息系统的各项资源,提高系统的效率,从而保证信息处理快速、及时。
(4)提高系统的合法性、合规性
随着信息技术的不断发展,计算机犯罪问题也越来越突出,其手段和方法越来越高级和隐秘,给国家、社会和企业带来了很大的损失,因此,信息系统审计人员进行信息系统审计时要提高信息系统的合法性、合规性。
4. 信息系统审计的基本流程
与传统审计并没有明显差异,基本上可以分为三个阶段:审计准备阶段、审计实施阶段和审计报告阶段。
(1)信息系统审计准备阶段
信息系统审计准备阶段是整个信息系统审计过程的基础,是关键的环节,此阶段主要的工作是调查了解被审计单位的内部环境,对信息系统风险进行初步评价,接受信息系统审计委托,并制定出科学合理的审计计划,组成审计小组。
(2)信息系统审计实施阶段
实施阶段是信息系统审计的关键阶段,主要任务是根据准备阶段确定的范围、内容、重点、方法、步骤,进行取证、评价,编制审计报告,发表审计意见。主要包括符合性测试阶段和实质性测试阶段。
(3)信息系统审计报告阶段
审计报告阶段是信息系统审计工作的最后阶段,审计报告是信息系统审计工作的
最后产品,也是审计人员向被审单位报告问题、提出建议的工作。主要工作有: 第一, 整理评价搜集到的审计证据。
第二, 复核审计证据,评价审计结果,形成审计意见,编制信息系统审计报告。
二.我国信息系统审计发展的现状
我国信息系统审计起步于20世纪90年代,现今已有十几年的发展,人们也逐渐认识到信息系统审计的必要性和重要性,在理论和实践方面进行了一些有益的探索,如今已有了一定的成效。但总的来说,我国的信息系统审计工作还处于探索阶段,还没有形成一套成型的专业规范,也没有形成能够全面开展信息系统审计业务的人才队伍,更没有建立和健全一套适应信息系统审计事业发展的管理运作机制。
三.我国信息系统审计发展存在的问题
虽然信息系统审计得到人们越来越多的关注,但是还处于探索阶段,在发展的过程中存在着许多令人担忧的问题。
1. 尚未建立健全适应信息系统审计事业发展的人才培养和管理运作机制
虽然我国审计署、国务院办公厅、中国注册会计师协会均对计算机环境下的审计工作做过有关的规定,但是所做的规定大多属于电算化、计算机审计之类的。《内部审计具体准则第 28 号——信息系统审计》是与信息系统审计有关的,是我国第一个有关信息系统审计方面的准则。为信息系统审计提供了法律上的规范,缺乏具体操作指南与作业程序,不能满足我国信息系统审计事业发展的要求。信息系统审计是建立在传统审计、信息系统管理和计算机等学科基础之上的交叉学科。因此信息系统审计工作是十分复杂的,要求信息系统审计人员具有复合型的知识结构,不仅要掌握会计、审计知识,具有一定的职业判断能力、分析能力和表达能力,还应掌握计算机、信息系统管理和网络技术等综合知识。目前在信息系统审计行业,拥有国际注册信息系统审计师资格是相当权威的,直到2002年6月我国才开始举办有国际信息系统审计与控制协会(ISACA )授权的注册信息系统审计师的资格考试,到2005年我国大陆仅有10人通过,目前我国通过这项资格认证的认识并不是很多。
2. 与信息系统审计有关的法规和准则尚不完备
审计工作必须要依据一定的法律进行,虽然我国审计署和中国注册会计师协会已经颁布了一些信息系统审计相关方面的法律法规,但是这些法律法规只是对信息系统审计的某个方面的规定,比较笼统,没有相应的实施细则,缺乏一套权威的体系完整、
结构合理、内容全面的信息系统审计法规和准则。目前,我国信息系统审计人员在实际工作中大多采用ISACA 颁布的信息系统审计准则,但是ISACA 颁布的信息系统审计准则不一定适合我国的国情,一味照办ISACA 的信息系统审计准则,不仅不会促进我国信息系统审计事业的发展,反而会阻碍其发展。
3. 信息系统缺乏应有的审计接口
审计人员在对被审计单位进行信息系统审计师,需要通过被审计计算机信息系统预留的审计接口进行审计,方便审计人员获取被审计单位的信息和数据,从而保证审计工作的顺利进行。虽然审计署、财政部发布的《信息技术会计核算软件数据接口》国家标准(GB/T1958—2004)对信息系统的数据接口提出了明确的要求,要求被审计单位的信息系统必须提供符合国家标准或行业标准的数据接口。但是目前我国大部分计算机信息系统都没有设置审计接口,制约了信息系统审计的发展。
4. 对信息系统审计存在观念的障碍,信息系统审计实践水平低
我国开展信息系统审计已有十几年的历史,但是,在审计界对信息系统审计并没有足够的重视,其中一个重要的原因就是对信息系统审计存在观念的障碍。人们已经习惯了传统的财务审计,对信息系统审计存在无所谓的态度。在信息技术高速发展的现在,计算机信息系统在人们的观念中是万能,认为没有必要对信息系统进行审计。
四.我国信息系统审计发展的建议
信息时代的到来,信息技术充斥着我们生活的每一个角落。然而如果信息系统本身如果安全性、可靠性得不到保障的话,也会威胁企业的发展,给企业带来巨大的经济损失。因此我们必须要采取积极有效的措施,加强对信息系统审计理论研究,构建信息系统审计规范体系和管理运用体制,促进我国信息系统审计的进一步发展。
1. 建立健全信息系统审计管理运作机制
信息系统审计在美国等西方国家已有近 50 年的历史,发展的比较成熟,已经建立了比较完善的信息系统审计管理运作机制,拥有处于国际领先地位和专业水平的信息系统审计与控制协会(ISACA ),并向全球发布了具有国际标准的、完整系统的信息系统审计规范。我国可以借鉴国外的先进经验,成立一个专门的信息系统审计与控制协会——中国信息系统审计与控制协会(The Chinese Information Systems Audit and Control Association,简称(CISACA ),该协会专门负责管理信息系统审计。信息系统审计与控制协会(ISACA )实行的是完全的行业自律管理机制,但是在我国未必行的
通,因为我国的政治、经济、法律环境同西方国家有很大差别,且我国的信息系统审计事业刚刚起步,需要有政府的监管以保证其可以顺利实施。因此,我国的信息系统审计与控制协会应实行行业自律为主,政府监管为辅的管理机制。
2. 制订完善的信息系统审计准则体系
目前,我国信息系统审计刚刚起步,制定信息系统审计准则是其发展的必然需求,必将推动我国信息系统审计事业的健康发展。制定信息系统审计准则是一项系统的工程,需要政府部门、信息系统审计理论界、信息系统审计实务界以及各有关方面团结协作,为制定适应我国国情,与国际趋同的,具有前瞻性的系统的信息系统审计准则体系而努力。我国在制定信息系统审计准则体系时也要借鉴国际审计准则的做法,并总结我国历史经验。建议我国信息系统审计准则体系由信息系统审计基本准则、实施指南和作业程序三个层次构成,其中基本准则应该反应现今信息系统审计理论和实践的研究成果和信息系统审计发展的历史经验。
3. 加强与信息系统审计相配套的立法
信息系统审计必须依法进行,在我国有关信息系统审计方面的法律法规几乎为零,有关电子商务、电子政务、网络经济方面的法规还很不完善。因此,我国在制定信息系统准则体系的同时,要健全与信息系统审计相配套的法律法规,并正确的处理信息系统审计准则与相关法律法规之间的关系。 首先,应当修订《审计法》。《审计法》作为调整审计关系的法律规范,对全部的审计活动都具有指导意义。在《审计法》中确认信息系统审计的法律地位,并确定审计机关和取得信息系统审计资格的所有审计人员有权对被审单位的信息系统的可靠性、安全性、有效性以及内部控制的健全性和有效性进行审查,并根据审计结果编制审计报告;在审计中被审单位应及时提供审计所需资料数据,并保证资料数据是真实、准确、完整的,不弄虚作假。 4 . 建立一支完备的信息系统审计专业人才队伍
要推动信息系统审计事业的发展, 必须依靠一大批高素质的信息系统审计专业人才队伍。信息系统审计人员必须具有复合型的知识结构,既对经营管理有深刻的理解,又具备全面的会计、审计、信息技术知识,并且可以为信息系统的可靠性、有效性、安全性提供合理保证。但是我国目前还没建立信息系统审计与控制协会,自然也不具备组织注册信息系统审计师资格考试的条件。
5加大对信息系统审计的研究和宣传力度
我国应加大对信息系统审计理论的研究,审计机关、注册会计师协会应加大对信息系统审计的宣传力度,引起人们对信息系统审计的重视,促进信息系统审计事业的发展。 结论
随着信息时代的到来,信息技术迅速渗透到世界的每一个角落。信息系统审计是一个崭新的领域,它的产生和发展是与信息系统的产生息息相关的。信息系统审计在国外已经发展的很成熟,信息系统审计的理念也深入人心,但是我国的信息系统审计还处于探索阶段,面对国内强大的信息系统审计需求,我们必须抓住机遇,大力发展信息系统审计事业,促进信息化建设的发展。本文主要对信息系统审计的内涵、内容和实施流程进行了阐述,对我国信息系统审计的发展现状和存在的问题进行了分析,以此提出我国信息系统审计发展的建议。