首页 > 文章中心 > 正文

制约审计机关开展信息系统审计的问题成因及对策

制约审计机关开展信息系统审计的问题成因及对策

随着计算机技术、网络技术和通讯技术的广泛应用与普及,企业的经营、管理和核算模式正在发生较大的变化,愈来愈依赖于高效、复杂而又庞大的信息系统,也改变了传统的企业会计信息系统和经营管理系统的构成要素。审计人员面临的原始资料不再仅仅是手工的凭证、账簿和报表,而是计算机信息系统本身及其高度集中的大量电子数据。在这种情况下,以审查真实性、合法性和效益性为目的的国家审计,将不可避免地受到审计对象信息化高速发展所带来的冲击与挑战。

信息系统审计作为信息系统环境下一种全新的审计方式,是以系统内部控制测评和审查信息系统本身为基础,通过收集、转换、整理、分析和验证信息系统所产生的电子数据,来实现审计目标的审计方式。未来一段时期内,审计机关要想完成“全面审计,突出重点”的审计目标,担负起社会经济运行的“免疫系统”作用,就必须要使信息系统审计有所作为。近年来,审计署已经高度重视,并在《*至2007年审计信息化发展规划》中明确提出,要积极探索信息系统审计。然而,目前已开展的信息系统审计试点工作虽然积累了一些经验,取得了一些成果,但总体而言,与石爱中副审计长提出的“争取早日把信息系统审计作为一种审计常态”的要求相比,尚距离甚远。

那么,现阶段制约各级审计机关普遍开展信息系统审计的问题主要原因是什么?笔者经过深入研究和细致分析认为,成因如下:

一、客观因素

(一)开展信息系统审计的法律、法规依据不充分。

信息系统是由硬件、软件、数据、人和内部控制制度等部分组成。信息系统的构成要素应当包括会计信息系统、业务信息系统、管理信息系统和决策信息系统等企业所有的信息系统。目前,审计机关开展信息系统审计所依赖的法律法规主要有《中华人民共和国审计法》和《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》(国办发〔*〕88号)等。笔者发现,上述法律法规仅授权审计机关对被审单位运用电子计算机管理财政和财务收支电子数据系统(即会计信息系统)进行审计,而对与被审单位管理和决策等有关其它信息系统的审计,则未予以明确授权。因此,审计机关在对被审单位会计信息系统以外的其它信息系统进行审计或审计调查时,常遭到对方以涉及国家、企业和技术秘密等种种理由而拒绝;或者即使勉强配合,但由于提供的相关资料不完整或不及时而严重影响信息系统审计工作的开展。

(二)信息系统审计相关审计准则和操作指南不完善。

由于我国开展信息系统审计正处于起步阶段,对审计机关如何开展信息系统审计尚在积极探索中。因此,目前尚没有一个完整的、成熟的具有示范作用的审计案例,也缺少具备实际指导意义的相关信息系统审计准则和操作指南。

信息系统审计,必然涉及会计信息处理自动化、表示代码化、信息处理与存储集中化、内部控制程序化等诸多复杂的计算机专业技术环节。另外,国家相关部门对信息系统安全还有特殊的要求。因此,对于面向信息系统的计算机审计,审计机关应当尽快建立一套完整有效的符合中国经济发展现状的审计准则和操作指南。审计署近期的《审计机关内部控制测评准则》相关条款,由于对信息系统内部控制测评的规定过于笼统,对开展信息系统审计而言,则不具有实质的操作性。

信息系统审计准则和审计指南的缺失,不利于规范和指导信息系统审计实践,不利于衡量和评价信息系统审计工作质量,也不利于防范和规避信息系统审计风险。

(三)被审单位信息系统的复杂性、多样性因素影响。

自上世纪九十年代以来,企业会计电算化已逐步走向成熟,信息化建设步伐逐渐加快,以ERP、MRP—Ⅱ为代表的企业信息系统的高度集成日趋成熟。此时,企业的信息系统不再是孤立的系统,而是集财务、人事、供销、生产为一体的综合性的信息系统,财务信息只是这个信息系统的一部分。在这种情况下,仅对财务信息进行审计,而忽略对整个系统进行全面了解,就不能把握审计对象的总体情况,提高审计效率和审计质量,同时,还难以避免固有审计风险。

审计调查发现,我国企业目前信息系统中应用的计算机硬件、系统软件和应用软件等大多来源于国外公司;我国上市金融企业的会计报表年度鉴证审计也大多选择外国的著名中介机构来完成。由于上述原因,从某种角度来说,我国某些领域的经济数据已经没有秘密可言,甚至在某种程度上已威胁到国家的经济运行和安全。由于信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地利用等方面作出判断的过程。因此,如果审计机关不对信息系统的安全加以关注,并尽快具备全面的信息系统审计的能力,上述被动局面就很难彻底改变,审计做为国家“免疫系统”的作用就会受到极大地限制。

二、主观因素

(一)对信息系统审计的认识普遍存在偏差且重视程度不够。

客观来看,各级审计机关目前已经基本能够熟练掌握和运用电子数据审计方式进行实质性测试,也因此取得了很大的审计成果。一些审计人员甚至认为,数据审计已经能够发现大案要案线索,何必再开展麻烦的信息系统审计呢?从长远来看,这种认识是相当片面的。因为,在信息系统环境下,电子数据按程序自动进行处理,如果信息系统的应用程序出错或被非法篡改,则信息系统只会按照错误程序进行输入输出处理。同时,信息系统也有可能被人为嵌入非法的舞弊程序而导致错误的结果。而现行的数据审计只是通过一定方式取得被审计单位的备份数据,在此基础上进行审计分析,不能从根本上解决“假账真审”或者“假电子数据真审”的问题。因此,审计机关应当改变片面重视数据审计的模式,充分认识到信息系统的特点及其固有风险。

(二)现行考核制度对信息系统审计缺乏积极的推动作用。

从审计机关已经开展的信息系统审计案例结果来看,由于既缺乏合适的理论支持,又缺少国内实践经验,目前开展信息系统审计往往需要实施全面审计,涉及人员多,尤其对计算机专业人才要求高,审计项目总体时间长,审计效果不甚理想。另外,目前开展的信息系统审计试点工作主要目标是探索符合中国特色的信息系统审计新技术和新方法,与目前着重抓大案要案和要情要目的考核目标不完全相吻合。因此,在现有考核目标和内容不变的情况下,各级审计机关和审计人员很难将现行审计工作重点转移过来,开展信息系统审计显然难以得到高度重视。

(三)审计机关现有信息系统审计人才匮乏。

开展信息系统审计,需要熟悉、精通审计专业和计算机专业的高端复合性人才。包含两个方面的人才,一种是精通审计、担任过大型项目主审且熟悉计算机应用(例如计算机中级水平以上)的高级审计师;另一种是精通计算机(例如注册信息系统审计师CISA)或者熟练掌握数据库原理、数据库访问技术、信息系统的一般控制和应用控制、以及软件工程等知识,同时又熟悉审计原理和审计实务的计算机专业人才。从审计机关目前的现状来看,显然这两方面的人才都相当匮乏。

自*年至今,已通过审计署计算机中级培训考试的2000多名审计干部,对常见的数据库系统,例如ACCESS、FOXPRO、MICROSOFTSQLSERVER等比较熟悉,也能熟练地运用AO软件、数据库软件等开展审计。但是,对于目前企业信息系统普遍使用的大型数据库系统,例如ORACLE、DB2、INFORMIX和SYBASE等则了解不多。由于大多数审计人员对信息系统开发、组成和内部控制等计算机技术了解有限,导致目前普遍开展信息系统审计存在很大的技术障碍。

三、解决办法与对策

(一)审计机关必须加快发展我国信息系统审计理论与实践的探索,尽快促使相关部门以法律、法规的形式将开展信息系统审计应当包括的内容和范围确定下来,使审计机关能够依法开展信息系统审计,更好地履行宪法和法律赋予的职责。

(二)审计机关应当尽快组织制定出台相关信息系统审计准则和审计指南,以规范和指导信息系统审计实践,提高审计工作质量,防范和规避审计风险。

(三)为进一步发展我国的审计事业,融入世界审计主流,审计机关和审计人员应当提高认识,高度重视信息系统审计。同时,应加大力度开展各种形式的培训,培养一批熟悉和精通审计专业、计算机专业,并能够迅速开展信息系统审计的高端复合性人才。