审计信息管理系统
[摘要]建立信息化建设的第三方监督对保证信息化建设的效益最大化至关重要。本文通过信息系统监理和信息系统审计的概念、产生动因等进行比较,分析我国信息系统监理面临的新问题、新要求,并介绍美国信息系统审计的实践经验,在此基础上提出对我国信息系统监理事业发展的若干建议。
[关键词]信息系统信息系统监理信息系统审计比较独立性
引言
“信息化带动工业化”是我国长期的重要发展战略,江泽民同志在十六大的报告中指出:“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带动工业化,以工业化促进信息化,走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。”这段论述表现了我们党对信息化建设的高度重视,也指明信息化带出一条新型工业化路子的光明前景。
目前,各地区、各部门都在认真贯彻十六大精神,十分重视推进信息化工作,我国信息化建设已经进入新的阶段,我国信息化事业已发展到一个新的阶段。各级政府正在积极推进“电子政务”,许多城市及企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,在信息化推进过程中,存在不同程度上的一些问题,主要表现在规划制订不够科学,项目管理不够严格,监理机制不够健全,系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标,浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。
国内外的实践表明:信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示,96%的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统,认为“所制作的报告缺乏一贯性”或者是“核对信息花费了太多时间”的企业约占70%。特别引人深思的是该调查是由美国HarteHanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中,40%以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60%;对于数据的精度表示担心的企业约占60%;60%以上的企业正在策划有关数据及信息的整合计划。这充分说明,信息系统的建设项目较之传统工业工程项目成功率更低,风险也更加突出。
中央领导同志在国家信息化领导小组第一次会议中特别强调:信息化建设一定要讲求效益,不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。
目前,在国内的信息化项目工程建设中,绝大多数用户(业主)无法组织队伍对信息系统建设进行专业化管理,难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作,建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多,一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量管理的做法。但是,监理介 入信息系统在我国还处于一个探索的过程中。
我国加入WTO后,鉴于我国IT服务业未来巨大的增长空间,国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面,他们提供符合国际标准的信息系统审计服务。因此当前监理事业的发展面临新的形势,监理工作外部环境发生了深刻变化,势将对我国监理企业形成严重冲击,本土监理企业面临前所未有的严峻挑战。监理事业往何处去?这是摆在每一个监理人面前的重大课题。每一个监理企业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势,增强危机感和紧迫感,迎接新的挑战。
信息系统监理
信息系统监理概念
依据信息产业部《信息系统工程监理暂行规定》,信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
信息系统监理产生动因及其发展
1、信息系统监理产生动因分析
监理工作、监理企业是我国在计划经济向市场经济转变的过程中在建设领域中应运而生的,并取得了有目共睹的显著成效,直接促进了工程监理业的繁荣发展,这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此,回顾建设工程监理的发展,将有助于对信息系统监理的认识。
1988年7月建设部发布了《关于开展建设监理工作的通知》,随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》,使得试点工作有章可循。1989年,根据初步试点取得的经验,建设部制定了《建设监理试行规定》,这是我国第一个比较完备的关于工程建设监理的法规文件,勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分别制定颁发了《建设监理单位资质管理试行办法》和《监理工程师资格考试及注册试行办法》,建设监理法规制度进一步配套完善。1993年,上海市开始了工程设备监理制度的试点工作。1998年,国务院机构改革后赋予了国家质量技术监督局“协调建立设备工程监理制度”的职能要求,随后,国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》,在国家发展计划委员会的指导和具体参与下,会同国务院有关部门,在国内有关技术及咨询机构的帮助、支持下,完成了设备监理制度中有关规章的起草工作。此间,世界银行、国家开发银行等亦曾规定,其贷款的有关项目要有监理公司监理,并作为申请贷款的项目单位获得贷款的基本条件。由此开始推行建设工程监理制度,监理事业得到持续快速发展,从而积累了一定经验,取得了积极成效。发展至今建立了一套比较完整的监理法规体系,组成了一支规模较大的监理队伍,监理出一批优良的工程项目,监理工作在工程建设中发挥了重要作用,得到了各级领导的支持,得到了社会的普遍认可,正逐步向规范化、制度化、科学化方向迈进
但同时我国工程监理事业经过十多年的发展,虽然取得了一定成绩,但也存在不少问题。如:监理人员整体素质不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积累和发展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。
2、信息系统监理的发展
目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后,特别是1996年建设监理全面推行后,建筑工程的质量普遍提高,业主和承建商之间的纠纷普遍减少,凡是出问题的工程,监理也有问题。因此,要求参考建筑工程的管理办法对信息工程实施监理的呼声日益高涨,这既是信息工程用户(业主)的愿望,也是系统集成商的愿望,信息工程市场呼唤“第三方”—信息系统工程监理的出现。
早在1995年,原电子工业部就出台了《电子工程建设监理规定(试行)》。1996年,深圳市成立了全国第一家信息工程质量监督机构—信息工程质量监督检验总站。1998年,西安协同软件股份有限公司经西安技术监督局和西安市科委批准,获得“计算机管理信息系统工程监理”资质认证,成为国内第一家获此资格的公司。1999年6月,深圳市政府在国内率先出台了包括实施信息工程监理条款在内的《深圳市信息工程管理办法》,并要求首届我国国际高新技术成果交易会信息网络工程实施监理。2000年7月,深圳市信息化建设委员会办公室制订了《深圳市信息工程建设管理办法实施意见》,要求“市、区、镇人民政府及其所属部门使用财政性资金(包括预算内资金、预算外资金、事业收入等),投资规模在100万元以上的信息工程建设项目必须遵照本实施意见进行立项、招投标、监理、质量监督、验收”。2002年7月,北京市信息化工作办公室制定了《北京市信息系统工程监理管理办法(试行)》,要求“本市推行信息系统工程监理制度,建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。各级财政全部补助或者部分补助以及为社会提供公共服务的重大信息化工程项目必须通过招标的方式选择信息系统工程监理单位,实行强制监理。”2002年11月,国家质量监督检验检疫总局公布《设备监理单位资格管理办法》,在该管理办法的21类设备工程专业中,涉及信息工程的共有三类,即信息网络系统、信息资源开发系统和信息应用系统。最近,在国家信息办和国家标准管理委员会直接领导下,信息化系统监理规范化项目正在加紧制定中,并且是作为电子政务标准化项目的一个子项目而提出的。预计在今年年底,监理规范就要完成,经过试用和修改后,将上升为国家标准。2002年12月,信息产业部在广泛征求意见和开展试点工作的基础上,正式颁布《信息系统工程监理暂行规定》,这标志着我国信息工程监理开始迈向科学化、专业化和规范化,也预示着在我国即将出现一个新的中介服务行业,将很快涌现一批监理机构和执业人员,从此信息系统工程监理工程师也将逐步成为国民经济和社会信息化的“警察”。
但我国的信息系统工程监理目前仅仅是处在起步阶段,事实上根据对国内信息化应用程度较高的行业部门(如银行、证券、保险、气象、社保、旅游等)和部分大型企业(如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等)30个样本作为调查对象的调查结果显示,对于大多数企业来说,项目监理是个新概念。只有30%的被调查者表示在某些信息化项目中使用过监理服务。在70%未使用过项目监理的被调查者中,5%表示听说过,95%表示知道建筑工程有监理,但在IT信息化项目中引入监理还是第一次听说。
图1监理服务内容重要程度(引自胡敏《市场呼唤项目监理》)
目前,我国还没有一套完善的IT项目监理制度,相应的监理法规、监理内容、收费标准等也都没有制定。特别是收费标准问题,大多数用户采用协商解决。以北京城域网项目的监理费为例,其采用了建筑行业的监理服务收费标准(2%10%),支付的服务费占整个项目资金支出的2%。广大用户也反映,项目监理的标准如何才能做到公正、科学,项目监理的工作流程是否也应该规范,如何界定和权衡监理公司、用户、IT厂商三方利益?监理过程中出了问题,该怎么办?,这一系列问题都需要不断探索。原北京市信息中心主任华平澜表示,只有使监理更加规范化,才能更好地推进监理工作,才能使信息系统的建设更加顺利。事实上,与建筑等其他发展很成熟的行业的监理相比,对IT项目的监理要难得多。并且由于信息技术是一个新兴技术,它本身还在不断发展和完善,因此,即使制定出的监理的内容和标准也不能僵化,需要不断地变更和完善。
信息系统监理的基本理论
信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理,保证工程的顺利进行和工程质量。
1、成本控制
成本控制的任务,主要是在建设前期进行可行性研究,协助建设单位正确地进行投资决策;在设计阶段对设计方案、设计标准、总概(预)算进行审查;在建设准备阶段协助确定标底和合同造价;在实施阶段审核设计变更,核实已完成的工程量,进行工程进度款签证和索赔控制;在工程竣工阶段审核工程结算。
2、进度控制
进度控制首先要在建设前期通过周密分析研究确定合理的工期目标,并在实施前将工期要求纳入承包合同;在建设实施期通过运筹学、网络计划技术等科学手段,审查、修改实施组织设计和进度计划,做好协调与监督,排除干扰,使单项工程及其分阶段目标工期逐步实
现,最终保证项目建设总工期的实现。
3、质量控制
质量控制要贯穿在项目建设从可行性研究、设计、建设准备、实施、竣工、启用及用后维护的全过程。主要包括组织设计方案评比,进行设计方案磋商及图纸审核,控制设计变更;在施工前通过审查承建单位资质等;在施工中通过多种控制手段检查监督标准、规范的贯彻;以及通过阶段验收和竣工验收把好质量关等。
3、合同管理
合同管理是进行投资控制、工期控制和质量控制的手段。因为合同是监理单位站在公正立场采取各种控制、协调与监督措施,履行纠纷调解职责的依据,也是实施三大目标控制的出发点和归宿。
4、信息管理
信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。
5、协调
协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。
总之,三控两管一协调,构成了监理工作的主要内容。为完满地完成监理基本任务,监理单位首先要协助建设单位确定合理、优化的三大目标,同时要充分估计项目实施过程中可能遇到的风险,进行细致的风险分析与评估,研究防止和排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中,绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。
信息系统监理的主要业务和依据
1、信息系统监理的主要业务
信息系统监理的主要业务范围有信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。根据国内信息系统监理的实践,其涵盖计算机工程、网络工程、通信工程、结构化布线工程、智能大厦工程、软件工程、系统集成工程以及有关计算机和信息化建设的工程及项目。其业务内容具体如下:
帮助建设单位做好项目需求分析,协助建设单位选择合适的承建单位;
审定承建单位的开工报告、系统实施方案、施工进度计划;
对项目实施的各个阶段进行有效的监督和控制,帮助建设单位控制工程进度、投资和质量;
审查和处理工程变更;
参与工程质量和其他事故调查;
调解建设单位与承包单位的合同争议,处理索赔、审批工程延期;
组织进行竣工验收测试。
组织建设单位和承建单位完成工程移交。
2、信息系统监理的依据
信息系统监理的依据如下:
国务院颁发的《质量振兴纲要》;
现行国家、各省、市、自治区的有关法律、法规、规定;
国际、国内IT行业质量标准规范;
建设单位和承建单位的合同;
将来还有国家标准,例如《信息化工程监理规范》等。
信息系统监理的程序
图3信息系统监理的程序
信息系统工程监理的特点是全过程监理,主要包括四个阶段的监理工作:招投标阶段、设计阶段、实施阶段、验收阶段。监理的目标、方法和程序都体现在这四个阶段的监理工作中。
信息系统审计
信息系统审计概念
信息系统审计是全部审计过程的一个部分,信息系统审计(ISaudit)目前还没有固定通用的定义,美国信息系统审计的权威专家RonWeber将它定义为“收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。
信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类:
可用性——商业高度依赖的信息系统能否在任何需要的时刻提供服务?信息系统是否被完好保护以应对各种的损失和灾难?
保密性——系统保存的信息是否仅对需要这些信息的人员开放,而不对其他任何人开放?
完整性——信息系统提供的信息是否始终保持正确、可信、及时?能否防止未授权的对系统数据和软件的修改?
信息系统审计产生动因及其发展
1、信息系统审计产生动因分析
关于信息系统审计的产生动因,目前国际上存在两种观点:一种观点认为是从会计审计发展到计算机审计再发展到信息系统审计(计算机审计的范围扩展,最后涵盖整个信息系统)演变过来的;另外一种认为由于信息系统尤其是大型信息系统的建设是一项庞大的系统工程,它投资大、周期长、高技术、高风险,在系统的建设过程中,对工程进行严格、规范的管理和控制至关重要。而正是由于信息系统工程所具有的这些特点,建设单位往往由于技术力量有限,无力对项目的技术、设备、进度、质量和风险进行控制,无法保证项目的实施成功。所以需要有第三方进行独立审计。
2、信息系统审计在国际上的发展
信息系统审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期,由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识,认为计算机处理数据准确可靠,不会出现错弊,因而很少对数据处理系统进行审计,主要是对计算机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大,利用计算机犯罪的案件不断出现,使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计,即EDI审计。同时随着社会经济的发展,审计对象、范围越来越大,审计业务也越来越复杂,利用传统的手工方法已不能及时完成审计任务,必须应用计算机辅助审计技术(CAATs)进行审计。八十年代、九十年代信息技术的进一步发展与普及,使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果,真正意义的信息系统审计才出现。随着电子商务的全球普及,信息系统的审计对象、范围及内容将逐渐扩大,采用的技术也将日益复杂。到目前为止,信息系统审计在全球来看,还是一个新的业务,从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名,1995年已有500名,到2000年时,信息系统审计师正以40%——50%的速度增加,说明信息系统审计正逐渐受到重视。
美国在计算机进入实用阶段时就开始提出系统审计(SYSTEMAUDIT),从成立电子数据处理审计协会(EDPAA后更名为ISACA)以来,从事系统审计活动已有三十多年历史,成为信息系统审计的主要推动者,在全球建有一百多个分会,推出了一系列信息系统审计准则、职业道德准则等规范性文件,并开展了大量的理论研究,IT控制的开放式标准COBIT(ControlObjectivesforInformationandRelatedTechnology)已出版了第三版。
3、信息系统审计在国内的发展
目前国内有学者提出计算机审计,电算化审计,但基本上停留在对会计信息系统的审计上,延伸手工会计信息系统审计,尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计为例,其更多关注的是会计信息系统。在信息时代,面对加入WTO后全球一体化市场,我国IT服务业面临巨大的挑战,开展信息系统审计业务不失为推动我国IT服务业发展的一次绝佳机会。
信息系统审计的理论基础
信息系统审计不仅仅是传统审计业务的简单扩展,信息技术不单影响传统审计人员执行鉴证业务的能力,更重要的是公司和信息系统管理者都认识到信息资产是组织最有价值的资产,和传统资产一样需要控制,组织同时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科,跨越多学科领域。
如图3所示,信息系统审计是建立在四个理论基础之上的:
传统审计理论。传统审计理论为信息系统审计提供了丰富的内部控制理论与实践经验,以保证所有交易数据都被正确处理。同时收集并评价证据的方法论也在信息系统审计中广泛应用,最为重要的是传统审计给信息系统审计带来的控制哲学,即用谨慎的眼光审视信息系统在保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
信息系统管理理论。信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论,它的发展提高了系统保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
行为科学理论。人是信息系统安全最薄弱的环节,信息系统有时会因为人的问题而失败,比如对系统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题”。
计算机科学。计算机科学本身的发展也在关注如何保护资产安全、保证信息完整,并能有效地实现企业目标。但是技术是一把双刃剑,计算机科学的发展可以使审计人员降低对系统组件可靠性的关注,信息技术的进步也可能启发犯罪,例如一个重要的问题是信息技术在会计制度中的应用是否给罪犯提供了较多缓冲时间?如果是,那么今天网络犯罪产生的社会威胁较以往任何时候都要大。
图4 :IS审计的理论基础
信息系统审计的基本业务和依据
1、信息系统审计的基本业务
信息系统审计业务将随着信息技术的发展而发展,为满足信息使用者不断变化的需要而增加新的服务内容,目前其基本业务如下:
系统开发审计,包括开发过程的审计、开发方法的审计,为IT规划指导委员会及变革控制委员会提供咨询服务;
主要数据中心、网络、通讯设施的结构审计,包括财务系统和非财务系统的应用审计;
支持其他审计人员的工作,为财务审计人员与经营审计人员提供技术支持和培训;
为组织提供增值服务,为管理信息系统人员提供技术、控制与安全指导;推动风险自评估程序的执行;
软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计;
灾难恢复和业务持续计划审计;
对系统运营效能、投资回报率及应用开发测试审计;
系统的安全审计;
网站的信誉审计;
全面控制审计等。
一个信息系统不等同于一台计算机。今天的信息系统是复杂的,由多个部分组成以做出商业解决方案。只有各个组成部分通过了评估,判定安全,才能保证整个信息系统的正常工作。对一个信息系统审计的主要组成部分分成以下几类:
信息系统的管理、规划与组织——评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标.资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
灾难恢复与业务持续计划——这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。
应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。
业务流程评价与风险管理——评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。
2、信息系统审计的依据
信息系统审计师须了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。
一般公认信息系统审计准则——包括职业准则、ISACA公告和职业道德规范。职业准则可归类为:审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证(CISA)持有者有关职业上及个人的指导规范。
信息系统的控制目标——信息系统审计与控制协会在1996年公布的COBIT(ControlObjectivesforInformationandrelatedTechnology)被国际上公认是最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师,而且更重要的是可用于全面指导管理者与业务过程的所有者。商业实践中越来越多的包含了对业务过程所有者的全面授权,因此他们承担着业务过程所有方面的全部责任。特别的是,这其中包含着要提供足够的控制。Cobit框架为业务过程所有者提供了一个工具,以方便他们承担责任。其框架包括四大部分:架构、控制目标、审计指南及执行概要。COBIT架构着重各项处理的高层次控制,控制目标则着重于各项IT处理或对该架构所包括的34项IT处理的特定详细控制目标,每一项IT处理都有5至25个详细控制目标,控制目标使整体架构和详细控制目标密切对应,相互一致。详细控制目标有18种主要来源,涵盖现行的及法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的预期结果或目标的叙述,以提供全球所有的产业有关IT控制的明确方针及实际最佳的应用。
其他法律及规定。每个组织不论规模大小或属于何种产业,都需要遵守政府或外部对与电脑系统运作、控制,及电脑、程序、信息的使用情况等有关的规定或要求,对于一向受严格管制的行业,尤其要注意遵守。以国际性银行为例,若因不良备份及复原程序而无法提供适当的服务水准,其公司及员工将受严重处罚。此外,由于对EDP及信息系统的依赖性加重,许多国家极力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员必须考虑与组织目标、计划及与信息服务部门/职能/工作的责任及工作等有关的外部规定或要求。
信息系统审计流程
开始审计工作的准备包括收集背景信息,估计完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理举行一次正式的开始审计会议,最后决定范围,理解特别关注之处,如果有的话,制定日程,解释审计方法。这样的会议有高级经理的参与,使人们互相认识,阐明问题强调商业关注点,使得审计工作得以顺利进行。类似的,在审计完成后,也召开一次正式会议,向高级经理交流审计结果,提出改进建议。这将确保进一步的理解,增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对提出问题的观点。会议之后书写报告,可以大大增加审计的效果。
开始审计工作预备工作了解内部控制结构评价控制风险是否信赖内部控制?是否仍可信赖内部控制?内部控制测试评价控制风险是否提高内部控制的信赖程度?扩大实质性测试有限的实质性测试形成审计意见出具审计报告是否是是否结束否
基于风险的审计方法
很多组织意识到技术能带来的潜在好处。然而,成功的组织还能够理解和管理好与采用新技术相关的很多风险。因此,审计从基于控制(ControlBased)演变为基于风险(RiskBased)的方法,其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。
每个组织使用许多信息系统。对不同功能和活动有不同的应用软件,在不同的地理区域可能有众多的计算机配置。审计者面临的问题是审计什么,什么时候及审计频率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险,这些风险用不同方式冲击信息系统。对繁忙的零售超市,信息系统哪怕一个小时的不可用都会对营业系统造成严重影响。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的技术环境也可能影响系统的运行风险。
基于风险方法来进行审计的步骤是:
编制组织使用的信息系统清单并对其进行分类。
决定哪些系统影响关键功能和资产。
评估哪些风险影响这些系统及对商业运做的冲击。
在上述评估的基础上对系统分级,决定审计优先值,资源,进度和频率。审计者可以制定审计计划,罗列出一年之中要进行的审计项目。
信息系统监理与信息系统审计之对比分析
从前面两部分的介绍可知,信息系统审计在国际上已经体系化、标准化、程序化,而 我国信息系统监理仅有最基本的轮廓,积累了一些经验,但尚没有形成完整的方法论。因此,目前只能从概念、发展动因等方面做较为宽泛的对比。不过,对比国际通用体系,可为我国发展信息系统监管体系以及制定相应的管理制度或实施细则提供借鉴。
信息系统监理与信息系统审计之对比,可归纳出以下特点:
两者性质相同,都是第三方监督,但对独立性的要求有差别。
两者都是立足在第三方的立场,公平对待委托方与被监督方,并要求确保公正性、公平性,以《北京市信息系统工程监理管理办法》为例,其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”,但是对这一行业赖以存在并得以发展的信条和灵魂——独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格,也因此在保证客观、公正上更有可操作性。
客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标,但是人们很难衡量其在执行业务时是否已经达到了客观公正,如果只作精神上的要求,那么准则和要求将变成牧师的布道,职业人员很难执行,社会公众很难观察,所以信息系统审计准则中有关于审计师独立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨(R.K.Mautz)和侯赛因.A.夏拉夫(H.A.sharaf)1961年出版的《审计哲学》(ThephilosophyofAuditing)。其中对独立性的讨论包含了两个方面:执业者的独立性(Practitionerindependence)和职业的独立性(Professionindependence)。前者包括审计计划的独立性、审计过程的独立性和审计报告的独立性;后者则是指社会公众对注册会计师行业的一种印象。曾任美国注册会计师协会职业道德委员会主席的托马斯.G.希金斯(ThomasGHiggins)在1962年对独立性的概念又进行了进一步的提升与概括,他认为:“注册会计师必须拥有的独立性,实际上有两种,实质上的独立性和形式上的独立性”。所谓形式上的独立性,是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系,如不得拥有被审查企业股权或担任其高级职务,不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系,等等。否则,就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性,又称为精神独立性,即认为独立性是一种精神状态、一种自信心以及在判断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性,不能主观袒护任何一方当事人,尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知,实质上的独立性是无形的,通常是难以观察和度量的,而形式上的独立性则是有形的和可以观察的。社会公众通常是透过注册会计师形式上的独立性来推测其实质上的独立性。因此,从这个意义上来说,形式上的独立性是实质上的独立性的载体和重要前提。由此可见,形式上独立很重要,因为它很好界定,便于准则规范,在现实环境中有很好的可执行性。因此我们认为,信息系统监理行业如果不能在独立性的制度建设上取得重大突破,整个行业的社会信任度大打折扣,而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要,但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。(本文对注册会计师的讨论同样适用于信息系统审计师)。
国外信息系统审计已经发展为较完善的行业监督体系。
目前国内信息系统审计刚刚起步,而信息工程监理还不够规范。国家缺乏相应的法律、法规和标准,至今还没有有效的管理手段,在委托方和被委托方之间也没有一种协调的机制来建立两者之间的信任。并且我国行业不规范的责任往往被轻易地归咎于政府监管的不力;同样轻易得到的结论,是因此要“加强监管机构的权力和范围”。美国的会计行业规范不是这么一种逻辑。在规范行业行为中,政府监管是一个重要的辅助措施;而真正起决定性作用的,是市场中的制衡力量,以及为这些制衡力量切实发挥作用而形成的各种正式 或非正式的制度安排。
美国注册会计师行业的管理机制——行业自我管理和外部约束向结合发挥了重要作用。行业自我管理是通过行业组织、准则和规则、监督来实现的,行业外部约束通过政府组织、准则和规则、监督和实施来实现。如美国国会和SEC监管下的行业自律。外部监管以加强管制的可能性来对行业施加约束。而较强的行政管制,将在很大程度上限制会计行业自主发展的权利和业务拓展空间,损害所有从业者的利益,因此行业总体上需要以行业自律来换取行业自我管制。如果行业不能自律,公众要求国会加强行政管制的压力使得这种可能性现实存在。
两者业务范围和目的均有所差别。
信息系统工程监理和信息系统审计都是对质量控制的再控制,但两者业务范围和目的均有所差别。
1、两者业务范围差别
信息系统工程监理是指具有信息系统工程监理资质的单位,接受建设单位的委托,依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同,对信息系统工程的质量、进度和投资方面实施监督。目前主要应用在信息化工程建设阶段。
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域,例如信息系统安全审计、网誉审计、PKI/CA审计、电子签名审计业务等。
2、两者目的差别
信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其核心是信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行,审计活动一直存在。
另外,信息系统工程监理的过程是可见的,即对项目成本、进度和质量与目标出现的偏差是可见的,及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性,这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕,这仅仅是信息化的开始,大量的问题将出现在信息系统运维阶段,因此,从这个角度而言,信息系统审计是保证信息系统质量的行之有效的方法。
信息系统审计与方法研究具有科学化、规范化、智能化和系统化的特点。
所谓科学化,是指现代审计技术与方法的研究,已经超越了传统的经验论,非常强调把科学手段和经验总结相结合。比较典型的例子就是分析性复核技术的发展。所谓分析性复核,其实质就是将审计人员掌握的一些客观规律总结出来,测算出被审计事项的合理预期值,再与被审计事项的实际值相比较,进一步评估差异的合理性之后,确定是否还需要对被审计事项进行详细测试。这一个过程,实际上被许多审计人员不自觉地运用了多年,但通过公式和比率等形式总结出来,主动指导审计人员的实践,却是最近20年来审计技术与方法研究的一大突出特点。科学化的另一个表现就是数学和统计学技术在审计中的运用日益广泛,抽样统计技术的全面推广就是例证。
所谓规范化,是指审计机构将审计程序设计与审计技术方法的运用有机结合,规范和引导审计人员运用适当的审计技术和方法。以往,审计人员在运用审计技术和方法的过程中容易有较大的随意性,用与不用,在什么时候用,如何使用,都没有规范和约束,导致整个审计机构的标准不统一,质量没有保证。随着程序导向式审计软件平台的开发和广泛运用,越来越多的审计机构开始把审计技术与方法融入到规范的审计程序之中,要求并指导审计人员合理运用审计技术。
所谓智能化,强调的就是将历史经验总结、科学规律推导和审计人员的专业判断结合起来,指导审计人员得出合理的审计结论。在审计过程中,数学、统计学的分析结果,都不能完全替代审计人员的专业判断,因为在其利用的数学公式中,仍然有许多变量需要审计人员主观确定。在这种情况下,越来越多的审计机构,倾向于在审计软件中为审计人员的决策提供参考。目前,许多审计机构不惜花巨资,邀请审计领域的专家,分析在各种情况下常见的审计策略或方法以及对不同审计结果的判断标准。当然,对审计而言,智能化永远都是一个相对的概念,电脑和机器永远不能替代审计人员的决策,但提供决策辅助和参考意见,确实非常必要。
所谓系统化,是指审计战略(策略)和审计技术方法的全面协调。审计战略(策略)解决的是要审什么、想达到什么目的,审计技术和方法解决的是怎么审和怎么达到目的,这两者的协调是审计技术与方法的研究成果得以全面运用的关键。回顾最近20多年来审计技术与方法的研究历程,可以清晰地发现,审计技术的研究和运用完全是在风险基础审计理论指导下的开拓和发展,而脱离理论指导的实践经验总结相对越来越少。这一点给我们的启示在于,审计技术与方法的研究,不能超越基本审计理论和审计目标的研究,也不能脱离审计战略和审计目标的总体要求。
信息系统审计具有较完善的职业教育和认证体系。
国际信息
系
统
审
计
与
控
制
协
会
ISACA(InformationSystemAuditandControlAssociation)是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构,该协会成立于1969年,总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会,现有会员两万多人。注册信息系统审计师CISA(CertifiedInformationSystemAuditor)资格由ISACA授予,是信息系统审计领域的唯一职业资格,受到全世界的广泛认可。由于信息技术的国际性,国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。自1978年以来,国际信息系统审计师CISA认证已经成为在信息系统审计、控制与安全专业领域中取得成绩的标准,并得到了全世界的公认。在世界各地,每年都要举行一次认证考试和若干次后续教育,目前在我国香港、台湾、北京、上海、广州、深圳设有考点。经过认证的信息系统审计师最擅长鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗企业大量的资源,信息系统审计师的优势就是对财经管理和信息技术融会贯通,为企业信息系统的改造提供建议。
鉴于信息安全市场的高速增长,最近国际信息系统审计与控制协会又迅速推出了信息安全管理师认证CISM,以配合市场对安全人才的巨大需求。
对信息系统监理的建议
目前,我国的信息系统监理业巨大的发展空间吸引着越来越多的国际咨询公司和专业服务提供商抢滩我国市场。据不完全统计,目前在我国的海外咨询足有百余家。随着摩立特集团(我国)公司日前在北京成立,国际上最著名的咨询公司如麦肯锡、科尔尼、埃森哲、BCG、PWC、罗兰贝格、德勤等皆已在我国登陆,给国内的咨询包括监理机构带来了巨大的压力,其丰富的案例库、数据库、知识库,数十甚至百年创下的品牌,短时期内本土咨询业与其的差距依然较大。
面对机遇和挑战,如何借鉴国际上先进的经验,推动我国信息系统监理的健康发展,避免其他中介服务行业曾走过的弯路,我们在广泛的理论分析和实证研究的基础上提出如下具体建议:
建立健全的管理体制与法律法规体系,尽快形成统一、规范、竞争、有序的信息系统工程监理服务市场。
各级信息化主管部门,在规范政府管理职能的同时(政府部门要避免管的过多、过细,应过多关注整个监理市场的宏观管理和调控),注重加强行业自律管理,避免其他中介服务行业曾出现过的多种问题。例如,个别人凭借权利强行包揽监理业务,采取高回扣等不正当手段,以及为独揽业务,不惜损害其他方和当事人的权益等。
鉴于信息系统工程监理具有专业性强和风险大的特点,建议把执业队伍的业务素质和职业道德素质的提高作为一项重要工作常抓不懈,使信息系统工程监理工程师真正成为国民经济和社会信息化的“警察”。
尽快建立信息系统工程监理的标准和执业规范。
推动信息系统工程监理工业的分化整合,探索信息系统工程监理公司扩大规模的方式和途径。在我国加入WTO的新形势下,面对国际IT服务咨询业巨头的竞争,我国信息系统工程监理行业刚起步,监理公司如何脱颖而出、迅速成长,参与国内甚至国际信息系统中介服务市场的竞争,将是重中之重的工作。
开展信息系统工程监理公司内部管理机制研究。努力提高信息系统工程监理行业的监理质量。
执业程序要统一。“四大”发展到今天这样的规模,执业程序的统一是其基石。这些程序历经多年的经验积累而形成,并针对新出现的问题随时加以完善。从某种意义上将,客户对“四大”的统一的执业程序的认同,超过了对其名称品牌的认同。
培训统一。为保证执业程序的统一,首先要做到培训统一。信息系统监理工程师在开始执业前要经过严格的培训,定期培训当然更不可少。建议信息系统监理公司设立专门的培训部门,并将每年收入相当大的比重用于培训。另外,严格、规范的培训也是监理公司能够吸引众多高素质从业人员的一个重要因素。
人事管理在一定范围内统一。建议将监理工程师的级别进行细分,并且不要出现一个地方的人员比另外一个地方同一级别的人员水平明显高的情况。这种管理方式,对于监理机构来说非常重要。
一、网络审计信息系统的体系结构
通过网络进行审计的网络审计信息系统是审计中心通过网络获得被审计单位的会计信息并进行审计。审计人员就不必亲自到审计单位, 这样便可以降低审计成本并且使审计人员更好的保持独立性。网络审计系统的体系结构如图1所示。
上述模式的系统由三个部分组成:审计中心 (服务器) 、被审计单位 (客户机) 、和网络环境。客户中心在服务器端配备有大容量的存储器。被审计单位会计信息系统的所有会计信息都实时的传输到审计中心, 由审计中心统一保存, 审计中心随时对保存在本地的审计信息进行审计。由于被审计单位的所有会计信息都在审计中心, 被审计系统可以不设数据库, 有关数据库的操作都可以请求服务器来完成, 但这样可能导致服务器不堪重负, 因此被审系统最好自设数据库, 保留本端数据, 相当于做一个备份。在这种模式下, 审计中心进行审计时不需通知被审系统, 更进一步提高了会计信息审计的真实性和审计的可靠性。
二、利用网络和审计信息系统进行远程审计的步骤
第一, 数据采集。数据采集是网络审计中的一个初始环节, 是审计测试和审计抽样的数据来源的根本渠道。此环节通过以审计信息系统和被审单位的财务信息系统的对接使将被审计单位的财务数据按照通过已加密的传输通道从被审计单位的财务信息系统的接口中导入到审计部门的数据系统中从而实现数据采集。数据从被审计单位的财务信息系统转换到审计单位审计信息系统并不改变它的内容, 只是从形式上改变它在被审软件系统中的识别标志, 从而可以按照审计信息系统要求的标志为审计信息系统所识别。数据采集是网络审计系统工作的基础, 对于企业通常只需要导入科目表, 起初余额表, 凭证库表就可以生成相应的会计明细账、总账、各种报表等信息。还可将原始数据加入到相应的数据库, 以备核查和其他功能模块共享。第二, 数据整理、转换。数据清理对从被审计单位采集来的数据进行分析, 查找审计对象潜在的问题、疑点和异常情况, 并得出初步意见。主要涉及到数据的匹配与合并。通过匹配, 发现重复的对象;通过合并, 保留或生成一个完整的对象。数据清理活动的核心是近似重复对象的识别。如果两条记录在某些字段上的值相等或足够相似, 则认为这两条记录互为近似重复。我们把从被审计单位数据到审计中间表数据之间所需要的各种操作均刻画为转换操作, 在审计数据的转换过程中, 一个转换将源对象利用一种转换规则转换成一组目标对象。源对象和目标对象都是数据对象集合的元素。数据对象集中的元素能够是任何类型的数据元素, 但是典型的是表、列或表示在内存中暂存对象的模型元素。通常, 转换也可以产生一系列的临时数据。那些必须一起执行的转换被归类到相应的转换任务中。在执行时, 转换步骤是用来协调转换任务之间执行情况的控制流。每个转换步骤执行单一的转换任务, 这种转换任务既可以是从源对象利用一种转换规则转换成一组目标对象, 又可以是源对象经过多种转换规则转换成一组目标对象。第三, 数据处理。对预处理后的财务电子数据采用查询、统计、抽样、汇总、计算等技术进行分析处理。第四, 符合性测试。进行符合性测试工作按照计划安排, 依照审计程序, 对所审计对象进行符合性测试, 主要通过填表或回答问题方式完成调查表, 通过程序进行统计, 分析出符合性测试结果。第五, 实质性测试。在已做好符合性测试的基础上进行实质性测试。审计程序会自动形成各科目固定格式的审定表, 审计人员要进一步套用模板, 形成诸如现金盘点、固定资产折旧、应付福利费等的计算表。第六, 将分析和测试后的数据归档存入审计工作底稿。
三、审计信息系统进行网络审计的局限性及解决建议
1、统一会计软件数据接口标准
开发会计核算软件的厂商为了长期拥有自己的固定的用户和保证会计核算软件的安全, 对财务信息系统的数据存储格式保密, 以至该软件所含的信息不能被其他厂商调用, 从而使财务数据人为割裂, 形成数据孤岛。这些孤岛易守难攻, 大大增加了实施审计工作的难度。财务软件数据接口成为了制约审计信息系统开发使用的“瓶颈”。这个“瓶颈”就使每次审计都需要寻找不同的数据转换软件, 严重降低了审计工作效率, 也使得利用网络和审计。信息系统进行联网审计的使用范围大大缩小 (见图2) 。
统一会计软件数据接口标准可以使在审计中可以使用审计软件利用网络对各种财务信息系统的财务数据获取成为可能。有了统一的接口标准。首先, 审计软件可以向财务软件采集数据, 解决了原来财务数据不兼容而不能直接调用的问题, 而利用网络开发的网络审计信息系统就有了更广阔的空间。审计工作也将会更好地发挥其职能;其次, 可以充分利用现有的审计资源在各个审计机关之间形成一个有效的信息共享链, 许多集体和个人开发出来的经过实践证明行之有效的计算机审计小模块或计算机应用小技巧都可以在整个审计系统内共享, 避免审计资源的浪费以及重复建设, 可优化整合审计资源, 实现审计信息的有效共享。《中国财务软件数据接口标准》对审计应用软件的设计和开发方面将有巨大的推进作用。使审计信息系统联合网络进行网络审计在不久的将来将被广泛运用。它有利于审计软件的标准化、产品化, 缩短软件开发周期, 提高开发效率, 降低计算机审计工作的复杂度。
2、网络安全技术
首先, 应加强物理安全控制, 即参与系统开发和财务软件评审工作。财务软件开发时应全面考虑审计程序的嵌入, 建立一个独立的模块作为审计软件系统的“前置”来专门处理电子信息。即由前置模块来完成对输入电子信息的接收、真伪鉴别、解密、模式转换;针对发出的信息由它加密 (将标准数据模式生成电子报文并加密) 和发送。这样一来, 被审计单位的计算机网络就可以对经济业务进行实时监控, 自动完成部分审计任务。审计人员参与审计信息系统开发和财务软件审计有利于将错误扼杀在萌芽阶段。
其次, 加大逻辑安全控制, 即重点审查系统的安全控制。审计人员要着重对系统的职责分离情况、操作权限设置进行审查, 防止越权操作和计算机舞弊行为的发生, 检查被审单位的系统安全管理体制和安全保密技术, 是否设置外部访问区域, 是否建立防火墙和实时监控程序。
再次, 做好审计信息系统防病毒工作。使用计算机病毒的疫苗程序, 监督系统运行防止病毒入侵。及时升级杀毒软件。及时修补操作系统和审计信息系统的漏洞做好防病毒准备。
最后, 做好总体环境控制, 审计人员可以实施网络咨询和电子商务签证服务。可就如何选购财务软件, 如何实施有效的系统安全控制和如何改进现有的财务管理模式提供咨询服务, 并按照标准对网上商业活动的完整性、真实性和可靠性进行全面签证。
3、加强网络审计立法, 制定相关法规准则
网络审计立法是保障网络审计正常发展的保障。加强网络审计有关的立法, 使审计执业人员在开展网络审计工作时尤其是进行电子证据、电子签名、电子合同、电子货币等合法性审计时有法可依、有章可循。同时, 由于网络审计的对象、线索、方法、流程、结果等各方面相对于传统审计都发生了变化, 所以加快建立一套网络审计准则是促进网络审计的重要任务, 加强网络审计立法以指导网络审计工作实践的深入。
利用审计信息系统和网络进行审计虽然有很多的优点, 但我们也应该认识到联网审计并不能完全取代实地审计的全部。我们应该坚持网络审计和实地审计相结合。一些必须进行实地审计的工作是不能够完全被网络审计所取代的, 如取证材料的认可、现场查看, 实地盘点、询问和调查函证等, 所以网络的远程审计还必须和其他的审计方法相结合。
参考文献
[1]王学荣、张金城:网络环境下的实时自动化审计系统[J].审计与经济研究, 2001 (2) .
[2]中国软件协会财务与企业管理分会:中国财务软件数据接口标准[J].中国会计电算化, 1999 (4) .
众所周知,审计质量是评价审计工作水平高低的标准,是会计师事务所的生命。审计质量的高低直接影响审计目标的实现,对社会经济的发展与稳定产生着直接或间接的影响。由于早期计算机应用比较简单,计算机审计业务主要关注被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计;随着信息时代的到来,网络的普及及计算机信息系统的建立为信息系统审计带来了前所未有的机遇和挑战。
一、计算机信息系统环境下对审计质量的影响
(一)审计线索的减少
审计线索,亦称“审计轨迹”,在计算机信息系统环境下,会计核算主要由计算机完成,计算机只记录最后处理结果,忽略中间处理过程,数据形成依据的记录减少。储存于磁性介质上的会计数据具有存取方便、修改与删除不留痕迹的特点,这又给审计的追踪带来重重困难。因此,计算机信息系统环境下审计线索的减少和追踪困难的增加,必定给审计质量带来重大影响。
(二)审计对象的限制
审计对象是审计监督、检查和评价的客体,具体体现为被审计单位的各项经济活动及其反映的资料。在计算机信息系统环境下,注册会计师进行审计的依据是计算机的输出信息,审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息,其他敏感性信息则极有可能被人为掩藏。这样,注册会计师处于被动地位,难以获取充足的审计证据支持其审计结论,审计质量显然要受到影响。
(三)审计内容的扩展
手工系统中,审计内容就是有关财务会计的信息,而计算机环境下的审计内容还包括会计电算化系统的开发与设计、会计软件的程序以及数据库管理系统。此外,注册会计师还应该确定系统的开发与设计方法是否合理,是否严格按照分析、设计,测试、运行、维护的步骤进行,分析是否全面、设计是否恰当、测试是否充分,会计软件执行程序是否与实际操作中的业务流程一致,数据库管理系统是否有效,会计软件是否能够予以信赖,并以会计软件处理输出的结果作为审计对象。
(四)审计方法的落后
目前,被审计单位的财务工作多采用计算机进行数据处理,会计电算化软件功能日臻完善,但是审计软件的发展远远没有跟上会计软件发展的步伐,同时大部分注册会计师对计算机信息系统还不太熟悉,绝大多数审计业务仍停留在绕过计算机进行审计的阶段。但是这种方法的运用以系统必须留有足够的、肉眼可以识别的审计线索为条件,如前文所述,审计线索缺乏是计算机环境的一个特点,因此,绕过计算机审计的方法难以保证计算机环境下的审计质量。
(五)注册会计师计算机知识的缺乏
在计算机环境下,从审计计划的制定到审计程序的确定,从审计技术的选择到审计方法的采用,都必须由注册会计师操作和指挥。这要求注册会计师不仅要有丰富的会计、财务、审计知识和技能,熟悉财经法律以及其他的审计依据,而且还应当掌握计算机知识及应用技术,掌握数据处理和管理技术;不仅要懂得审计软件的操作方法,而且还应当根据审计过程中所出现的种种问题,即时编写出各种测试、审计程序模块。
二、计算机信息系统环境下提高审计质量的对策
为了提高在计算机信息系统环境下的审计质量,在财务审计中,变绕过计算机审计为穿过计算机审计,对计算机内部数据处理的详细过程直接进行审查。内容包括以下几个方面。
(一)积极开展计算机信息系统的事前审计
通过事前审计监督,对计算机信息系统建立的内部控制的严密完善性、系统的合规合法性以及系统的可审性等进行评价,保证计算机信息系统运行以后数据处理结果的真实性和正确性,防止和减少计算机信息系统信息失真风险的发生。
(二)定期对被审系统的内部控制制度进行审计
对计算机信息系统的内部控制进行审查和评价是提高计算机信息系统环境下审计质量的有效措施之一。通过对被审计系统内部控制制度的健全性调查和实际执行情况的符合性测试,找出控制的弱点,提出强化内部控制措施,督促被审计单位完善内部控制系统。
(三)重视计算机信息系统的事后审计
通过事后审计,对计算机信息系统的电子账以及打印输出资料的真实性、合法性进行评价,防止和揭露计算机信息失真的风险。
通过以上分析,在计算机信息系统环境下审计的业务范围已经扩展到了符合性测试领域。为财务报表审计提供服务只是信息系统审计业务内容很小的一部分,与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务在不断涌现。
三、加快发展信息系统审计
信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中,传统审计服务的收入比例在迅速下降,风险控制服务和管理咨询服务收入的比重大大提高,而这些收入中增长的部分往往又和IT环境审计和信息系统安全审计服务有关。所以,应该从三个方面发展信息系统审计工作。
(一)内部控制环节的变化,使许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础
计算机信息系统下的内部控制虽然与手工会计系统的目标是一致的,但是与手工会计系统相比,由于计算机有自动处理的功能,内部处理的不可控制性要求采用更为严格的方法。所以在控制方式、内容、手段等方面均不同于手工会计系统的内部控制。
1.职权制审查:即从组织机构角度审查信息系统中各种人员的职责与权利、联系与牵制。
2.人员素质审查:即是否有以提高人员素质为目的的控制措施。
3.硬件及环境审查:即对存档的系统设计文本中有关硬件的资料审查。
4.运行审查:即对计算机在输入、处理、输出过程中的运行情况审查。
5.修改方式及保密措施审查:审查操作修改程序是否只有一个入口,即凭证输入口;发现错误是否采用重新输入凭证的方式加以修改;是否修改后有修改痕迹;各主要功能模块是否设置操作口令,程序是否建立保密制度。
(二)控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点
由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,企业信息系统安全性导致的信息风险也日益增长。非授权用户常常利用信息系统本身存在的脆弱性对系统进行非法访问,这种非法访问使系统中储存信息的完整性受到威胁,使信息被修改或破坏而不能继续使用,更为严重的是系统中有价值的信息被非法篡改、伪造、窃取或删改而不留任何痕迹。此外,计算机还容易受各种自然灾害和各种误操作的破坏。必须认识到信息系统的这种脆弱性,采取有效措施来保证信息系统的安全。
减少被审计单位的信息风险、提高信息系统的安全性,其中最重要的手段是系统开发审计。在信息系统开发过程中控制信息系统中的不安全因素,使信息系统减少有意的或无意的差错。目前,我国大多数企业正处于信息系统的应用及逐步完善阶段,系统开发审计应该是我国信息系统审计师的主要业务范围。
根据《中华人民共和国审计法》规定,审计组决定对机关的信息化建设专项资金使用绩效情况开展专项审计调查。
一、基本情况
近3年信息化投入逐步加大,使得电子政务稳步展开,成为转变政府职能、提高行政效率、推进政务公开的有效手段。各部门利用信息技术,扩大信息公开,促进信息资源共享,推进政务协同,提高了行政效率,改善了公共服务,有效推动了政府职能转变。金字工程进展顺利,成效显著。
二、政务信息化审计调查的目标
通过审计调查,了解各部门信息化的建设、运行和资产管理基本现状,揭示在信息化建设程序、信息化资金使用效益、信息化资产管理效能、信息系统运行维护效率、信息共享机制等方面可能存在的问题,以保证信息化项目的真实、合理和有效,促进政务资源整合、信息共享和业务协同,提高政府公共服务、社会管理和综合监管水平。
三、审计调查范围和对象
本次审计调查主要选10家机关单位2007-2009年财政资金安排的信息化建设项目,对持续性建设项目适当延伸其他年度,并有选择地延伸信息化建设和维护的相关单位。
四、审计调查的内容和重点
(一)基本情况调查。
1.机构和人员。是否有专门的信息技术部门,部门性质(事业编制、参公、公务员等),部门职责;信息技术部门的分管领导和组织结构;信息部门人员技术水平和资格,责任分配和职权,分工是否明确。
调查部门举办的信息技术类培训班,以及培训的周期、师资和教学内容;调查信息技术人员近3年参加的信息技术类培训,评估知识更新情况。
2.规划和业务目标
信息化建设管理的相关内部控制制度是否健全和有效;关注各部门的信息技术规划和十一五规划或其他中长期规划,评判二者的契合度。
3.当前运行的项目情况
了解部门当前运行的信息系统,审查信息系统的立项,部署或购买时间,开发单位,上线运行时间,预算投入资金,实际投入资金,所有技术文档是否齐全,后继维护单位,维护方式。
4、近3年信息化专项资金情况
2007年初信息化专项自有资金和上年结余,各年信息化的预算新增资金和财政收回资金,各年信息化专项资金的会计科目支出结构以及所列经济功能分类,2009年底信息化专项资金结余,以及部门专项资金的收支余总额。
5.硬件状况
机房规模(面积、UPS功率、空调制冷功率),机柜数(其中服务器机柜数、屏蔽机柜、空臵数)、服务器数量(小型机、微机服务器等)。
(二)信息系统建设情况
选取政务网站和自行开发、合作开发、上级统一部署的业务系统进行信息系统审计。
1.检查项目建设的各项审批手续是否完备、合法,是否经过批准立项。
2.检查信息化项目主要硬件设备、系统软件采购是否符合政府采购的要求,调查采购方式的合适性和选择依据。检查项目实施合同是否符合标书或者立项文件的要求签订,合同是否明确建设成果形式,需要交接的资料,运行维护等条款。资金支付是否符合相关政策规定;是否严格遵照合同执行;
3.检查需求分析是否清晰到位,是否提交了需求分析报告,是否存在重大变更,检查项目实施中需求变更的合理性,变更手续齐全与否,是否与当前项目密切相关,有无擅自扩大工程规模和提高标准及挪作他用。
4.审阅项目验收资料,检查是否按照合同要求提供相关
资料,是否按期完成,是否进行了功能验证测试、安全测试、性能压力测试等,实现功能与需求的符合性是否达到立项要求;
5.检查信息化项目资产管理情况,是否建立管理台帐,是否计入部门资产。
6.检查网站防篡改系统,全文检索系统是否单独报价,以何种形式实现单点登录,网站和办公系统是否采用单点登录技术,检查部门网上办事业务开展程度。
7.审计项目建设经济的适用性,软件系统与硬件设备采购的资金比例;建成以来各年数据量和存储容量是否匹配,是否存在高配低用的情况。系统功能的实际利用情况,系统开发的成熟程度。
8.检查系统输出报告的应用情况,反映应用绩效性。信息化项目的政府公共服务和综合应用功能,包括在线申报、在线查询、在线补交、在线审批等功能,信息网上发布等应用情况,使用数量,问题反馈数据统计。
9.已经废弃的信息化项目情况,立项时间,建成时间,在线运行时间,估计已完成投资,剩余可利用资产以及运行评价,废弃的原因,替代系统。
10.调查信息系统的应用在环境变革方面的推动,是否在效率方面提高,是否在控制执行方面加强。
(三)信息系统运行维护审计
1.检查网站、业务系统等运行维护方式,维修计费方式和收费,维护是否进行政府采购,以及采购的方式和类型,是否签订维护合同,审查维护的成本与维护工作量的匹配性。
2.检查系统在运行中的稳定性、易于使用性和易于维护性。审查维修台帐或者询问相关人员,审查信息系统近3年主要故障内容和维护内容,分析维护类型(改正性、适应性、完善性、预防性、修正错误等),评判系统质量。
3.检查对信息技术部门人员的依赖程度或对外部信息技术服务的依赖程度,信息部门是否有人员专门进行日常维护,维护单位和人员是否可以替代;审计系统的变更、配臵
和发布管理实务,确保被详细记录;审计问题和事件管理实务,确保所有事件、问题和错误都被及时记录,分析和解决。
4.审计备份和恢复准备的充分性,审计组织的灾难恢复、业务连续性计划,确保一旦发生灾难,IT处理能力可以及时恢复;确保IT服务中断期间,基本业务运营不间断的能力。
5.维护中新需求的应用是否经过严格的测试、审核。
(四)信息技术标准化建设审计
1、检查信息系统技术规划、项目规划、实施方案中是否有关于信息资源共享和业务系统交互的要求,审查信息系统中信息共享的设计思路,是否对全行业提出统一的建设标准并检查执行情况。
2、行业数据是否建立标准化数据库,检查部门信息化部门是否掌握业务数据库设计的相关文档,是否有人员分工负责。检查现有文档与在线运行的数据库结构一致程度。
3、对于考虑横向对外提供服务的业务系统,检查合同中是否明确提出标准化公开接口,以及接口的形式(文本文件、XML文件、WebService等),这些接口在验收中是否提供相关文档,检查这些接口在实际中是否处于可以使用状态,现被审计单位是否需要借助其他力量配合检查。
4、审查第三方是否可以独立调用系统数据。对于第三方使用业务系统的数据,是否必须由开发单位参与,信息技术部门是否独立具有业务系统协同能力。信息化部门是否有人员已经接受系统培训。
5、应提交的文档,是否按照软件工程的要求全部提交。包括系统需求分析、系统概要设计、系统数据库设计,系统编码,系统维护手册,系统使用手册。
五、审计人员以及分工
本次审计调查组成员5人,组长总体负责,……,组员各抽查一项业务系统按
(二)至
(四)内容进行审计。
六、审计调查时间安排
2010年7月20日-8月20日,实施现场调查工作,8月
23日-9月10日汇总结果,起草审计调查报告。
六、工作要求
(一)审计组在审计过程中要严格审计纪律,遵守“八不准”审计纪律和“四条禁令”,规范行为,遵守纪律。严格执行审计保密和廉政纪律,增强自律意识。
(二)严谨细致,提高质量。按《审计机关专项审计调查准则》(简称3号令)、《审计机关审计项目质量控制办法(试行)》(简称6号令)有关要求,及专项审计调查实施办法和专项审计调查工作方案,组织实施本审计项目的审计,依法审计、履行程序。
(三)计算机审计。积极开展计算机辅助审计,进行财务业务数据分析,利用数据库技术进行系统分析,重点应用AO软件的审计管理功能,完成日记,签证单和底稿,提高审计效率。着重从软件系统分析角度检查和思考被审计单位信息系统实现方式。
(四)创新方法,加强分析,提升成果。在审计调查中要积极探索应用效益审计的方法和思路,充分应用调查问卷、座谈会、实地查看等手段,注重发现重大问题或线索,对于政策和管理方面存在的问题,要与被审计调查单位研究探讨,充分听取意见和建议。
2010年7月12日
一、引言
大数据是一种重要的战略资源,在大数据环境下,世界成为一个统一的数据集合,人们用数据化思维和先进的处理技术探索海量数据之间的关系,从而构筑一个更加透明化、对称化的世界。大数据已经成为经济发展的巨大引擎,在提升产业竞争力、推动商业模式创新方面发挥出越来越重要的作用。国家审计应积极适应,全面服务经济发展需要,认真分析研究大数据对传统审计带来的挑战,创新审计思维、组织方式和技术方法,优化信息系统审计,提升审计数据分析能力,培养大数据人才,以应对大数据时代带来的深刻变革。
二、信息系统审计的基本类型
1.真实性审计
真实性审计主要是对被审计单位的信息系统以及电子数据的真实性、准确性、完整性进行的审核,为财务审计提供基础支持。面对信息系统存储、处理产生的海量数据,传统的审计技术方法已经捉襟见肘,难以实现有效地分析判断。因此,大数据环境下的审计首先必须核实被审计单位的电子数据,只有确保数据的真实和准确,才能确保根据数据进行的`审计工作的有效性。审计人员核实信息系统中数据与实际业务流程符合程度,发现信息系统使用过程中的固有弊病,能够避免对假账进行有效审核的现象,提高财务审计的准确性。
2.安全性审计
安全性审计以被审计单位电子信息系统的安全防护为主要目标,确保信息系统的安全、持久、可靠运行。随着现代信息技术的迅猛发展,企业及党政机关事业单位正面临着前所未有的网络安全威胁。为确保财务审计的合理性,审计人员应从信息系统漏洞的防护人手,采取必要的防护措施,使信息系统存储、处理产生的重要数据免于因恶意篡改,或因未授权访导致的泄漏等问题,始终处于安全状态。
3.绩效审计
绩效审计是企业财务审计的核心内容,进行绩效审计主要是确保投人与产出之间的比值小于1.绩效考核的对象不仅在于人,还在于对影响企业利润生产的主要因素的分析和审计,使企业获得直接的或间接的利润。基于大数据环境的信息系统审计使企业间接利润获取的主要途径,货币核算并不能作为企业审计的唯一内容。在企业绩效审核过程中,由于信息系统的流程复杂,且对操作人员具有较高的要求,因此如何衡量信息系统审计与成本投人之间的关系,是企业面临的主要问题。为提高信息系统的审计效率,应从系统的开发成本支出人手,降低信息系统的设计和应用管理,以降低审计系统风险。正确、合理地评价企业信息系统投资的绩效,给企业的投资者、债权人、管理者与经营人员提供专业的市场信息,能够确保企业审计的积极作用,促进审计部门的可持续发展。
三、大数据环境对信息系统审计的影响
1.庞大的数据信息影响审计效率
大数据环境除了为审计带来方便之外,繁杂的信息同时也影响了数据信息的审计。对于一些部门来说,审计信息包含了大量的文字信息、音频信息和视频图像等信息,信息处理存在一定的困难。加之一些被审计单位缺乏信息财务管理经验,在处理手段上缺乏先进性,尤其是在无关联信息处理上,更难发现问题。
2.大数据环境下的系统分布特征加大了审计难度
目前,随着分布式网络的快速发展,网络信息呈现出节点。在计算过程中,容易出现延迟,网络传输延时、不同的节点空间坐标都将给企业网络信息造成威胁。目前,企业多采取动态审计码获取的方式增加其安全系数,但与同时,这一方式也增加了审计难度。
3.审计范围增大,审计内容增多
大数据环境下,信息更新速度快,被审计单位的业务量也随之增加。另外,信息系统已经成为处理大量信息的被审计单位不可或缺的设施,为其提供管理效率化及使用便捷化。因此,审计内容不仅包括传统的审计内容,还包括被审计单位信息系统的基础设施控制与硬件控制,网络安全性能控制、系统开发、维护和控制。
4.新技术的发展对网络审计人员提出新的要求
随着网络技术的不断发展,基于云处理新技术、物联网业务大量出现,信息系统也变得更加先进和复杂。传统的审计技术已经不再适用信息系统审计的发展。也就是说,新技术对于信息系统审计人员提出了新的要求,其中包括扎实的财务信息基础、多元化的信息系统管理安全知识。但在更新发展过程中,审计人才的招聘和培养存在滞后性。如何培养专业性、复合型审计人才,提高审计项目质量值得审计机构深人研究。
四、大数据环境下信息系统审计的关键技术分析
1.基于网络基础的信息系统安全审计
安全审计是对被审计单位信息系统的监督管理行为,需要对网络信息进行实时跟踪,并提供数据记录。捕捉系统存在的安全隐患的系统信息并进行调整,并生成管理日志。针对目前情况下的先进的信息技术,开展基于大数据环境的安全审计,需要着重探索基于神经网络的安全审计技术,确保安全审训顷利开展。
2.基于大数据环境的信息系统审计证据生成技术
审计证据生成技术是指在计算机取证过程中使用信息系统整体保护措施。在确保大数据环境整体性的基础上对被审计单位数据进行有效的取证调查。其主要作用在于确保了审计原始数据的完整性,提高其安全系数。总之,审计证据生成技术尝试使用除信息系统以外的第三方公证机构,通过原始数据签名的方式来确保系统数据的完整性。
3.审计技术方案改革与完善
在传统审计基础上,实施网络审计方式,需要对相应的技术进行改进。其中包括:基于程序追踪、专家信息基础与管理控制测试矩阵相结合的审计技术,在被审计单位内部建立专业的审计信息系统,为被审计单位提供庞大的信息处理方式,并随着被审计单位发展对其进行完善。
参考文献:
[1]顾洪菲。大数据环境下审计数据分析技术方法初探[J]中国管理信息化,2015,03:45一47.
(试行)
第一章 总则
第一条 为督促落实各项网络与信息安全管理办法、技术规范,规范各项网络与信息安全检查工作(以下简称“信息安全审计”,根据总部信息安全相关文件规定,特制订本办法。
第二条 安全审计内容分为管理和技术两个方面,管理审计检查安全管理制度的执行情况;技术审计检查企业网、局域网、互联网出口和各信息系统符合设备安全技术要求、安全配置要求以及其他技术规范的情况。第三条 安全审计通过设立独立的审计岗位或交叉审计等方式开展。
第二章 适用范围
第四条 本办法适用于河南石油分公司和各市分公司。第五条 可依据本办法开展企业网、局域网、互联网出口和各信息系统的安全审计,开展信息安全等其他安全管理方面的审计。
第六条 用于指导开展定期和不定期,全面和针对特定目的的安全审计。
第三章 组织与职责
第七条 发起网络与信息安全审计工作的部门是:省公司信息管理处、各市分公司信息管理部门。
第八条 信息管理处在总部和河南石油分公司信息安全领导小组的领导下,组织开展全省层面信息安全审计工作:
(一)落实总部信息安全工作总体安排;
(二)组织制定信息安全审计细则;
(三)组织制定并实施公司级的信息安全审计计划;
(四)对各市分公司进行指导、审批、检查和备案;
(五)汇总、审阅信息安全审计报告,制定整改方案,解决发现的突出问题,重大问题或者需要对技术、管理流程做出重大调整时,应向河南石油分公司信息化领导小组汇报。
第九条 各市分公司信息部门职责:
(一)配合完成信息安全领导小组、信息管理处安排的信息安全审计任务;
(二)制定本单位内部信息安全审计实施细则;
(三)制定本单位信息安全审计计划和实施方案,并上报信息管理处备案审核;
(四)按照信息安全审计计划实施工作;
(五)提交信息安全审计报告,针对审计发现的问题,形成改进方案。第四章 信息安全审计重点内容
第十条 信息安全审计原则:对重要系统、核心设备、规章制度和技术要求,进行重点检查。第十一条 信息安全审计频次:
(一)针对公司范围进行的全面审计,每年一次,不定期开展;
(二)对局部范围进行的安全策略技术审计,根据总部信息安全等级保护文件规定,三级系统每半年审计一次,三级以下系统每年审计一次,并形成分系统的审计报告。
第十二条 信息安全审计重点应包括重点要求、重点规范、重要系统中的重要设备,以及用户的操作行为等。
第五章 审计内容和审计方法
第十三条 安全审计主要依据各项安全管理规定和技术检查,检查具体要求的落实情况。
第十四条 审计方法包括:对安全运行维护等记录的抽样检查、系统检查、现场访问等。
第十五条 可以采用人工和技术手段进行。
第六章 工作步骤
第十六条 制定计划,确定审计范围、审计重点、时间安排、审计人员和配合人员安排,采用的技术手段、主要风险及规避方案等。第十七条 细化审计内容。审计的系统范围,检查的重点项,各个系统中增删改等重点操作的指令、关键词等。第十八条 编写《信息安全审计检查表》等工作底稿。检查表应包括信息安全审计内容、审计方式、依据标准、审计方法、审计结果、问题描述、审计人员和被审计人员签字栏等。第十九条 按照《信息安全审计检查表》,采用人工河技术手段相结合的方式,进行抽样检查、系统检查、现场访问等,并逐一记录结果。
第二十条 提交《信息安全审计报告》,总结审计情况,分析主要问题,提出改进意见及下次审计重点等建议。第二十一条 被审计系统责任部门按照审计报告,形成《信息安全审计问题整改计划及实施方案》,并提交《信息安全审计改进情况报告》。
第二十二条 各方签字的《信息安全审计报告》、《信息安全审计问题整改计划及实施方案》和《信息安全审计改进情况报告》等相关文档,经过审批后提交信息安全领导小组、信息管理处存档。
第七章 监督执行
第二十三条 各信息部门应督促各级领导对办法执行情况进行有效监督和管理。
我校是国内最早开设信息系统审计课程的高校之一。自课程开设以来, 课程组围绕课程建设进行了积极探索, 并取得了一定成效。本文结合我校建设信息系统审计省级精品课程的经验和体会, 对信息系统审计教学中的有关课程定位与教学目标、师资队伍建设、教学方法与手段、实践教学以及教材与教辅资料建设等问题进行了相关探讨。
一、课程定位与教学目标
搞好信息系统审计课程教学, 必须合理进行课程定位, 明确教学目标。首先, 清晰的课程定位直接关系到课程教学的方方面面。该课程是一门集审计学、会计学、管理学、计算机技术等学科知识于一体的交叉性、综合性课程, 与其他经济管理类课程相比, 它的综合分析性、判断推理性和实践性都比较强。我们依据该课程的学科特点, 从社会及审计行业的人才需求出发, 结合我校“培养基础扎实、视野开阔、适应性强、具有创新精神和实践能力的应用型人才”的人才培养目标, 以及我校以审计为特色的办学定位, 对课程教学进行了合理定位。我们将课程在专业培养目标中定位为:使学生系统掌握信息系统审计的基本概念与理论, 培养学生信息化环境下的信息系统审计应用能力和动手能力, 注重实践能力、创新能力的培养, 并根据审计学、会计学、信息管理与信息系统等专业的专业特色, 进行针对性、差异化的教学, 从而使学生能适应信息化社会对审计工作和审计人才所需信息系统审计知识和能力的要求。其次, 在课程定位基础上, 必须明确课程教学目标。课程内容的安排、师资队伍的建设等课程教学工作都有赖于教学目标。基于课程目标的重要作用, 我们明确了以下课程教学目标:掌握信息系统审计的基本概念、理论及其发展趋势;理解并掌握信息系统审计的基本程序步骤;了解和掌握信息系统审计的内容及其技术与方法;通过案例教学环节, 增加学生的感性认识, 掌握分析、解决信息系统审计实际问题的能力;通过实践教学环节, 掌握审计软件等审计工具的实际应用能力。
二、课程师资队伍建设
建立一支结构合理、素质过硬、教学水平高、科研能力强的教学团队是搞好课程教学的重要因素和重要保障, 因此, 必须加大师资队伍的建设力度。从课程对师资专业知识结构要求看, 信息系统审计课程涵盖技术、管理等专业领域, 要求课程主讲教师既懂审计又懂信息技术, 具有审计学、管理学、信息管理与信息系统、计算机技术等专业背景。而从现实状况看, 目前高校中普遍存在课程师资缺乏、结构不合理等现象。如何加强师资队伍建设, 成为亟待解决的问题。针对该问题, 我们采取课程师资优化配置, 教师在职读博或进修、出国深造, 组织老教师对青年教师的传帮带与定期听课指导, 以及观摩教学、教学研讨等措施, 着力解决师资结构不合理、力量不足、教学水平不高的问题。我们还积极鼓励和组织课程教师参与有关学术研究, 申报国家级、省级课题, 发表高水平研究论文, 以提高学术水平和科研能力, 形成了以科研促教学的良好环境。信息系统审计作为一门应用性非常强的课程, 纯理论课教学解决不了动手能力问题。为了提高课程教师的实务水平和能力, 我们依托审计行业的背景优势, 通过让教师进行挂职锻炼, 积极参与审计署、审计厅、特派办等审计机构的信息系统审计项目, 参与审计暑组织的联合国审计项目, 以及与事务所开展信息系统审计项目合作等, 有效地提高了课程教师信息系统审计的实务水平和能力。通过以上措施, 打造了一支知识结构全面、能适应理论和实践教学需要的课程教学师资队伍。
三、教学方法与教学手段
要实现课程教学目标, 使学生能学习和掌握更多的课程知识和方法, 培养学生逻辑思维能力、分析综合能力以及解决实际问题的能力、创新能力等, 离不开与课程教学相适应的教学方法和现代化教学手段, 它直接关系到教学的效果和教学的质量。为此, 我们通过采用启发式教学、案例教学、讨论教学等方式方法, 通过采用现代化的多媒体教学、网络教学、模拟实训等手段, 通过课程考试环节强化实践环节的考核和实际应用能力的考核, 多侧面地考核学生课程知识的掌握情况等, 促进了教学质量的提高, 使学生更好地掌握了课程知识, 提高了实践能力和创新能力, 学生的满意度高, 成效突出。
(1) 在教学方法上, 通过将课堂启发式教学、讨论式教学与自学、导学相结合, 在课堂教学中除讲好教材的基本内容外, 对学生通过自学基本能掌握的内容, 根据大纲要求和教材内容, 列出参考书, 让他们根据自学提纲自学有关教材内容, 教师则抓住重点、难点进行精讲, 选择具有综合性、整体性、启发性和趣味性的问题进行讨论, 充分调动了学生积极性、主动性和创造性, 把教学的对象变成学习的主人, 也培养了学生自行获取知识的能力, 拓宽了学生的知识面。因为该课程具有较强的实际应用价值, 所以, 在教学过程中, 我们大量采用案例方式, 通过对精心编制的信息系统审计案例的剖析, 通过课程知识讲解与案例分析相结合, 使知识点更加突出, 问题也更容易理解, 培养了学生透过现象看本质、理论联系实际, 以及灵活运用所学理论、技术和方法解决实际问题的能力。
(2) 在教学手段上, 利用多媒体课件辅助教学具有优化教学过程, 改善教学效果, 加大课堂的信息传输量等优点, 在本课程教学中, 我们全部采用了多媒体教学手段, 向学生展现了逻辑缜密、重点突出、体系完整的教学内容, 增强了教学的直观性、趣味性, 取得了省时增效等效果。学生上课时可以专心听讲和参与讨论, 不用忙于记笔记, 课件可以从老师处拷贝, 或从网络课程中下载, 便于其课后复习。课程组成员对课件进行了精心设计, 做到图文并茂, 形象直观, 内容精练, 易于理解, 获得学生好评。
(3) 在课程作业布置环节, 彻底改变了书面作业的单一方式, 一切从学生的基本概念、理论和技术方法的实际掌握和运用出发。我们采取了书面作业、课堂测验、小论文、课堂回答问题、分组讨论等多种作业形式, 加大了案例分析题、理论联系实际题等的比重, 注重知识点的掌握和实际应用能力的提高, 使学生既巩固了所学知识, 又提高了分析问题、解决问题的实际能力, 取得了较好的效果。
(4) 在课程考试考核环节, 改革和完善考试考核体系, 增强考核的科学性、全面性。在考核内容上, 首先, 根据课程理论性与实践性并重的特点, 改变了过去重理论、轻实践的状况, 既注重理论知识的考核, 又注重实践能力的考核;其次, 减少了以再现书本知识为主的考试内容, 加强了对学生理解性、综合性、创造性应用知识能力的考核, 促进了学生知识、能力、素质的协调发展和综合提高。在考试成绩评定上, 改变以期末考试成绩为主的状况, 加大平时成绩、实践成绩在总成绩中的比重, 并将平时出勤、学习态度、完成作业、课堂测验、小论文、课堂回答问题等内容纳入考核的范畴。在考试手段上, 积极探索了现代考试手段和方式的运用, 我们尝试建立了网上考试系统。通过考试方式的改革和完善, 既全面有效地检查了学生的学习效果, 又全面考核了学生知识的掌握程度和综合运用能力、实践能力与创新能力。
四、实践教学与实践教学环境建设
信息系统审计作为一门应用性较强的课程, 要真正实现培养应用型高级人才的目标, 纯理论教学解决不了学生的动手能力问题, 必须强化实践教学。为了培养学生的实际动手和应用能力, 我们建立了“实验与实训相结合, 侧重于实训”的实践教学新体系。通过采取课堂上机实验、课程实习、暑期社会实践等多种形式强化实践环节教学。对于上机实验环节, 我们采用了直接在机房上课, 教师一边讲, 学生一边做的方式, 实现了教师和学生的互动, 取得了很好的效果。通过与审计机构、企业、软件公司等共建审计模拟实验室, 增强了学生的信息系统审计技术、方法与工具的掌握与运用能力。我们还通过与有关会计师事务所等共建“信息系统审计”实践教学基地, 为学生创造了一个真实的工作环境, 使学生进一步提高解决实际工作中信息系统审计问题的能力。力求通过多种形式的实践教学, 使学生能更好地理解、掌握信息系统审计的基本理论、技术和方法;了解常用审计工具的基本功能, 并掌握其操作方法;熟悉和掌握运用各种计算机审计技术、方法及工具解决实际信息系统审计问题的能力。另外, 通过课程实践教学, 培养学生理解问题、分析问题、解决问题的能力以及创新能力。搞好实践环节的教学, 必须有一个良好的实践教学环境作支撑, 为此, 我们建立了信息系统审计课程实验室, 建立了“审计信息工程实验室”、“信息管理省级实验教学示范中心”, 与有关合作单位共建了“信息系统审计”模拟实验室、实践基地等, 构建了高水平、丰富多彩的实践教学环境, 从而为学生实践能力、创新能力的培养提供了较为理想的教学实践环境。从课程实践教学的效果看, 取得了预期成效。
五、教材与教辅资料建设
教材建设是保障课程教学质量、达到教学效果的前提条件。目前, 鉴于国内缺乏本课程所需优秀教材和精品教材, 本课程组组织教师在参考国内外各种教材资料的基础上精心编写了适应课程教学目标需要的、体现我校办学特色的教材, 如《信息系统审计》 (清华大学出版社) 、《信息系统审计实验指导书》 (自编教材) 、《信息系统审计案例集》 (讲义) 、《信息系统审计习题集》 (讲义) 。为了使学生能理解和掌握课程知识, 便于学生的课外自学, 结合课程的特点与课程体系的统一性, 我们组织编写并推荐了一批颇具特色的教辅参考资料, 向学生推荐了一些相关数据库及网站资源等, 以促进学生的自主学习、扩充知识面以及相关主题的研学探讨。在实践教学中, 对课程实验提出了规范化的要求, 组织教师研究制定了实验教学大纲, 编写了实验指导书, 并按照培养目标的要求不断更新实验内容。旨在通过实验教学, 巩固学生理论知识的掌握, 提高学生的理论联系实际能力、动手能力、综合分析问题与解决问题能力以及创新能力, 加强学生的应用能力培养。经过多年建设, 目前课程的教学大纲、教学授课进度计划、实验大纲、教科书、实验指导书、教案、多媒体课件、实验报告、习题集、案例集、课程教学网站都已设计制作完成, 投入教学使用, 并日趋完善, 一套完整的教学和管理体系已经形成。
总之, 搞好信息系统审计课程教学, 必须依据信息系统审计课程的特点及目标定位, 针对信息系统审计课程教学涉及的各个环节, 采取相应的对策措施, 重视师资队伍的建设、教材与教辅资料建设, 处理好教与学的关系;处理好知识传授与能力培养的关系, 改革教学方法和手段;处理好理论教学与实践教学的关系, 强化实践环节教学。通过以上各方面的措施, 并积极探索搞好课程教学的新途径和新措施, 从而提高课程教学效果, 促进教学质量的提高。
参考文献
[1]陈凤霞.高等院校审计学课程教学改革探讨[J].东北农业大学学报:社会科学版, 2009 (5) :96-98.
[2]李立成, 刘宏.会计学专业开展信息审计课程教学的思考[J].商业会计, 2009 (21) :55-56.
[3]饶艳超, 陈建勇, 等.计算机审计专业人才培养及教学问题研究[J].会计研究, 2008 (10) :84-87.
摘 要 伴随着科技进步和企业管理理念的发展,越来越多的组织更加依赖于信息技術。与此同时,对信息系统审计的研究和实践也正不断发生着变化。笔者认为,信息系统审计有其自身的特点,是审计的新领域,与传统审计相对独立,应从组织的整体风险控制、价值实现以及整个审计体系的角度来重新认识。
关键词 信息系统 信息技术 审计内容 策略
伴随着科技进步和企业管理理念的发展,以计算机技术、通信技术以及网络技术为主要内容的信息技术在社会各行业的管理中正发挥着越来越重要的作用。无论是企事业单位,还是政府公共服务机构,都越来越依赖于信息系统。信息系统的可靠性、有效性和效率性影响着组织的正常运转。
与此同时,对信息系统审计的研究和实践也正不断发生着变化。从计算机辅助审计到面向系统数据的审计,再到对应用系统的审计,信息系统的审计范围和领域不断扩大。目前,对信息系统审计的认识受到较多传统审计的影响,不少研究人员认为信息系统条审计是传统审计的补充和延伸,是为传统审计提供支撑和服务的。但笔者认为,信息系统审计有其自身的特点,是审计的新领域,对信息系统审计的认识和研究要从企业整体风险控制、价值实现以及整个审计体系的角度来重新认识。
一、信息系统审计的内容
从信息系统在组织中所处地位以及信息系统的开发、运行和维护过程分析,信息系统审计应包括对IT治理结构审计等9个方面的主要内容。
1.对IT治理结构与实施的审计。信息技术过去被认为仅仅是企业组织战略的强化器,而现在被认为是组织战略的重要组成部分,越来越受到管理层的关注。通过有效使用安全、可靠的信息和适用的技术,IT治理有助于企业获得成功。因此,在对信息系统审计中,审计人员应首先关注组织的IT治理机构,判断组织是否做到了IT与业务的融合,并保持目标一致。
2.对系统开发过程的审计。传统的系统开发生命周期法(SDLC)仍是目前大多数系统开发的首选方式。审计人员的职责是参与全过程的监督和评价。
3.对系统和运行的审计。信息系统的运行承担了计算机系统软件、硬件的日常支持工作。
4.对应用控制的审计。审计人员应通过对重要应用程序组件和贯穿系统的事务流的识别,审核系统中的事务进入点、处理点和输出点,以发现控制弱点。一般可以通过审核用户活动报告和违例报告,以及通过平行作业、整体测试等方法来实现对应用控制的审计。
5.对系统安全策略的审计。随着组织对信息系统的依赖性越来越强,信息安全问题正变得日益突出,信息资产比传统资产更容易受到损害。一般而言,为了有效保护信息资产,组织需要建立信息安全管理的一些要素,关键的有:高级管理层的承诺与支持、信息安全政策与程序、组织、安全意识与教育、监督与符合性审核、应急处理与响应。
6.对逻辑访问控制的审计。逻辑访问控制是通过一定的技术方法去控制用户可以利用什么样的信息,可以运行什么样的程序,可以修改什么样的数据。这些控制可以内置在操作系统中,通过单独的访问控制软件进行调用;也可以内置在应用系统、数据库系统和网络控制设施(实时性能监测)中。
7.对物理访问控制的审计。物理访问的暴露可能使企业的业务资源面临非授权访问,导致组织受损。组织一般通过使用胸牌、内存卡、门锁、生物测定设备等限制人员进出机房和数据中心等敏感区域。
8.对环境控制的审计。环境风险可能来自自然灾害,还可能来自电力故障、设备故障、温度、湿度、静电、恐怖袭击等方面。
9.业务连续性计划的审计。业务连续性计划(BCP)是组织为避免关键业务功能中断,减少业务风险而建立的一个控制过程。一般包括对支持组织关键功能的人力、物力需求和关键功能所需的最小级别服务水平的连续性保证。BCP的目标就是要把组织的剩余风险和因意外事件产生的风险降到组织可接受的程度。BCP主要包括灾难恢复计划、作业计划和重建计划。
二、信息系统审计的策略
1.评估现有审计人员的专业胜任能力,补充完善审计人力资源。“知己知彼”才能有效开展审计项目。前面着重阐述的是审计对象,是“彼”,面对新的审计领域,审计人员自身也需要客观审视“己”的专业胜任能力。目前,我国内审人员绝大多数来自财务和审计专业,从事IT开发和管理的人员凤毛麟角,接受过信息系统审计培训的人员也极少。从9个方面的审计内容看,仅在对IT治理结构和实施以及环境控制审计两个方面,目前的审计人员能够基本胜任,其余7个方面都不能完全胜任。这是开展信息系统审计的最大障碍,因此,尽快补充新的审计人力资源是当务之急。
补充完善审计人力资源的途径有两个:一是直接招聘有信息系统背景的审计人员;二是签订信息系统审计业务外包协议。两种途径各有利弊,审计部门负责人可以视具体情况灵活掌握。
2.对现有信息系统的再认识。信息系统是个大系统、大概念,其中包含了众多小的应用系统。以某市通信公司为例,该公司除了使用了上级统一开发的MSS、CRM、综合营帐系统和物资管理系统等之外,又结合自身管理需要陆续开发了增值业务系统、中间渠道管理系统等20多个小型管理应用系统。
要对如此庞杂的系统进行审计,审计人员须要对整个信息系统进行有效的归类整理,划清生产系统、管理系统和支撑系统等的界限,分析系统与系统之间的相互联系,识别核心系统与非核心系统,为下一步具体实施审计奠定良好的基础。
3.制定信息系统审计的长期规划。信息系统审计的内容繁杂,专业技术性强,有效实施审计不可能“全面开花”,一蹴而就。制定长期规划十分必要。与其他长期规划制定工作类似,信息系统审计的长期规划要与组织的价值目标相一致,需要明确审计的最终目的和任务。规划时间一般为5年,规划期内各年的主要任务和重点工作清楚,并对完成规划所需的人力资源、物质资源等有科学的测算。
4.确定中短期审计目标和重点审计领域。中短期审计目标就是将长期规划具体化,主要明确今后2到3年内的具体审计项目。这些项目的确定需要注意以下几个原则:
(1)与组织中短期的经营管理目标一致。
(2)符合长期规划的步骤。
(3)内容具体,可操作性强。
(4)有相应的考核评价体系。
同时,在具体实施中短期审计计划过程中,要注意量力而行,对暂时不能完成的长期规划任务,要及时反馈,适时修订。
5.协调好自审与业务外包的关系。考虑到人力资源成本、管理专业化以及人类认知的固有局限性,目前国际上通行的信息系统审计方式是采用审计人员与外聘专家共同工作的方式。彼此发挥自身优势,取长补短。笔者认为,在信息系统审计中,一般不宜采取完全外包的方式,这不利于审计人员专业素质的提升,也不利于组织信息安全管理。通常,在信息系统审计开展的初期,外包审计的范围可稍大一些,之后,应逐步降低,并保持在适当的比例水平。
6.建立良好的沟通渠道。同传统审计一样,“沟通”在信息系统审计中也显得十分重要。良好的外部沟通有利于审计人员更为全面地认识信息系统的内在控制过程,有利于审计目标与管理目标的结合,有利于审计结果的落实和执行。
另外,还需要做好审计人员的内部沟通,实现审计信息共享。一方面,信息系统审计人员要注意搜集在其他财务审计项目中发现的异常而又暂时难以解决的信息系统方面的问题,提高信息系统审计的针对性和实用性;同时,信息系统审计人员还应将可信赖的信息系统及时反馈给财务审计人员,以减少他们相应的测试工作量,提高审计工作效率,实现整体审计目标。
参考文献:
[1]陈婉玲.COBIT及其在信息系统控制与审计中的应用.审计研究.2006.(131).
[2]刘宝岭.信息系统审计实务手册.北京金领前程信息服务中心.2006.
【审计信息管理系统】推荐阅读:
审计信息理论11-14
审计工作信息化07-25
信息化审计建议书09-17
计算机信息安全保密审计报告06-12
关于信息化条件下审计项目质量控制的思考10-27
审计系统演讲稿:审计之歌09-22
经济责任审计系统06-10
内部审计管理06-23
系统审计自查报告07-01
采购管理审计方案07-05
