企业信息系统审计的研究
“实现化仍然是我国化进程中艰巨的性任务。信息化是我国加快实现工业化和现代化的必然选择。”近年来,对信息技术的投入逐年加大,信息化程度也越来越高。信息化的蓬勃,促进了其经营管理水平的提高,特别是在提高管理创新、集中管控能力、执行力和市场反应能力等方面,信息技术的确实带来意想不到的效率和成果。但是,信息系统给带来的危害主要体现在以下几方面:突发事件的,由于1993年纽约世界贸易大厦爆炸事件,使得当时入住的多数企业的商业数据如数丧失,导致在企业这一年内的很多商业活动无法进行;错误操作、不正当运用和滥用信息技术,1998年发生的CIH病毒,导致全球数百万台机硬件损坏,导致近百亿美元的损失。信息系统开发失败。1994年,Standish Group对IT行业8400个项目(投资250亿美元)的结果表明有34%的项目彻底失败,50%的项目在补救后完成,预算平均超出90%,进度平均超出120%。这些失败和补救的项目中、不少未经过投资风险评估便匆匆上马,超成了极大的资源浪费,对信息系统投资方面起到了极其恶劣的影响。因此,迫切需要对正在运用或即将投产的信息系统的安全性、真实性、完整性、有效性进行鉴证。通过对信息系统的审计,保证信息系统的可信度,促进内控体系的规范建设,信息系统审计已成为摆在企业管理人员案头迫切需要开展的重要工作。在我国信息化推进过程中,存在不同程度上的一些,主要表现在规划制订不够,项目管理不够严格,监理机制不够健全,系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标,浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。
一、审计信息系统
信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。
审计信息系统最早称为计算机审计,计算机审计业务主要关注对被审计单位数据的取得、、计算等数据处理业务,还称不上信息系统审计。随着计算机技术应用范围的不断扩展,计算机审计所关注的也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的越来越紧密,对被审计单位风险的评估将计算机信息系统纳入考虑范围。计算机审计的业务范围已经覆盖了一项审计业务的全过程,信息系统审计的概念随之出现。
在建立信息系统审计制度,开展信息系审计研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEM AUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)即ISACA,总部设在美国芝加哥。该组织在世界上100多个国家设有160多个分会,现有会员两万多人,它是从事信息系统审计的专业人员唯一的国际性组织,CISA(Certified Information System Auditor)也是这一领域的唯一职业资格。
在很多大型公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外、审计界的一个共识。信息系统审计师的地位也在不断提高。在国外的一些大型会计公司中已经出现了没有CPA资格的合伙人,他们持有的专业资格就是CISA.据专家介绍,国际信息系统审计师(简称IT审计师)现在已经成为全球范围最抢手的高级人才。
在初期,信息系统审计是作为传统审计业务的一部分,在审计师对由计算机系统处理的数据的质量进行判断时提供技术支持。有信息系统审计技能的审计师被看作是会计师事务所的技术资源,在必要时为同事提供技术支持。对于信息系统审计,需求领域很广。如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等等。
二、构建信息系统审计
信息系统审计的建立是一项复杂的系统工程,所以应制订长远的开发规划,由简到繁分阶段逐步实现。它的功能应该是:实现审计信息的收集、处理和共享;实现审计日常管理的自动化;通过计算机建立程序化的标准审计和统一的审计标准,从而提高审计工作的效率和质量。实现审计管理规范化;保证审计作业规范化;促进审计文档规范化;审计质量监督规范化;提高审计结论的层次。基于上述的系统目标,信息系统审计当前应由审计证据管理子系统、信息系统安全标准子系统、信息系统安全评估子系统、项目管理审计子系统和信息系统审计标准子系统等五个子系统组成。
(一)审计证据管理子系统
1.审计证据收集
(1)传统办法收集审计证据
(2)通过数据接口直接向计算机会计信息系统获取审计证据
(3)在线系统审计证据收集
(4)计算机系统审计证据收集
2.审计证据评价
(1)真实性。查明审计证据的来源、形成的时间、地点、制作过程及设备情况,有无伪造和删改的可能性。一般说来,由第三方(如中间商或网络服务商)来储存记录或转存的证据具有较高的证据效力;被审计事项的事实和行为发生时留下的证据的效力较以后专为诉讼的目的而形成的证据更为真实;对于自相矛盾、内容前后不一致或不符合情理的审计证据,应小心对待,不可轻信,对不能排除合理怀疑的审计证据不得采纳。
(2)合法性。包括收集手段是否合法和形式条件是否合理两部分。有些审计证据其本身也有证据力,但在收集过程中,违背了规定的手续和程序,因而也就不具有法律效力,也不能用来证实问题,为此,鉴定分析审计证据时,要了解证据是以什么办法、在什么情况下取得的,是否违背了法定的程序和要求,是否符合法律规定的形式要件,这样有利于判明审计证据的真伪程度和效力。
(3)相关性。查明审计证据反映的事实与被审计事项有无关系,只有与被审计事项的事实或逻辑上是相关的事实才能被认为是证据。
(4)结合其他证据进行鉴定分析。将审计过程中收集的全部证据综合起来加以分析、判断。如审查计算机审计证据中有无数据、图表等反映的事实,同有关书证、物证、证人证言进行分析,明确是否互相一致,是否有矛盾。如果与其他证据相一致,共同指向同一事实,就可以认定其效力,可以作为审计证据。反之则不能作为审计证据。
(二)信息系统安全标准
子系统构建通用的信息系统安全标准,作为信息系统审计工作中的标准。信息系统安全标准是由高级管理人员制定的最小标准、规则构成的集合,所以加以实现,以确保信息系统安全政策的实现。信息系统安全标准需要指明每个信息系统控制的详细要求。它为管理人员提供一个基准或底线,可以照此对单个信息系统控制的适当性进行评估。信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。
(三)信息系统安全评估
子系统信息系统审计集中反映了的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;信息系统审计资源维主要包括以信息、系统、设施及人在内的信息相关的资源,这是信息系统审计治理过程的主要对象;信息系统审计过程则是在信息系统审计准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、获取与实施、交付与支持、监督与评估等方面确定了信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针以对信息系统审计处理过程进行评估。
(四)项目管理审计
子系统项目管理系统是对审计过程进行全面指导、帮助和控制的软件,它通过对标准审计的各个工作流程的合理细分,使每个子流程都对应相应的机处理模块。从而使一个完整的审计项目可通过计算机辅助而完成,并产生各个工作环节应该生成的底稿和报告。有利于提高工作效率,为进行审计质量考核提供了极大的方便。
(五)信息系统审计标准
子系统此系统主要是实现信息资料的收集和共享。定期进行更新,包括:审计工作所需要的各类法律、法规、规章制度等。一般来讲,按不同层次设立,信息的共享通过系统内互联的企业网实现,还可根据信息的保密要求,设定不同的信息访问权限。
三、规范信息系统审计范围
其业务范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计以及网誉审计、签名审计业务等电子商务审计。
1.信息系统开发计划、管理及组织架构的战略、政策、标准及相应实践过程的评估;
2.技术基础设施及运行实践的效能和效率的评估;
3.信息资源在逻辑访问、运行环境以及IT基础设施各方面的安全性的评估;
4.系统灾难恢复及保证业务连续性的能力的评估;
5.业务应用系统开发、实施与维护的办法和过程的评估;
6.业务流程的风险管理水平的评估;
7.财务系统的评估。
第一,鉴证作用。信息系统审计的鉴证价值是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。
第二促进作用。促进价值体现在两个方面,一是指信息系统审计可以促进被审计单位更有效地融入到生活中;二是指审计可以促进被审计单位改进内部控制,加强管理,提高信息系统实现组织目标的效率、效果。
第三咨询作用。信息技术的为组织的管理变革提供了技术手段,组织扁平化、工作丰富化等管理变革都要信息技术来实现。信息化已是大势所趋。
四、创建行业标准与实务指南
如同开展业务审计要具有相关法律法规作为审计依据一样,开展信息系统审计同样需要审计依据。国内信息系统审计方面的工作近几年才刚刚开始,基本仍处于摸索阶段,而在国家审计中更是如此。,由于国内about信息系统审计方面的标准尚处于空白状态。
国际上about信息系统审计方面可以的标准主要有信息及相关技术控制目标COBIT(Control Objectives for Information and related Technology)、ISO17799、能力成熟度集成模型CMMI(Capability Maturity Model Integration)和IT基础架构库ITIL(Information Technology Infrastructure Library)等。
信息系统审计与控制协会ISACA(Information System Audit and Control Association)于1996年公布的现在国际上通用的信息系统审计的标准。它将IT过程,IT资源及信息与企业的策略与目标起来,形成一个三维的体系结构。它是一个在国际上公认为最先进、最权威的安全与信息技术管理和控制的标准。
英国国家标准局制定的BS7799-1《信息安全管理实践规范》,该规范于2000年12月被国际标准化组织采纳,成为ISO17799.ISO/IEC17799标准最初于1993年由英国贸易部立项,由标准化协会筹备起草并作为英国的标准。1995年,首次发布BS 7799-1:1995《信息安全管理业务规范》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小组织以及政府部门;1998年,标准化协会发表标准的第二部分BS 7799-2《信息安全管理体系规范》,它规定信息安全管理体系与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,它还可以作为一个正式认证方案的根据;BS 7799-1与BS 7799-2经过修订于1999年重新予以发布,此次考虑了信息处理技术,尤其是考虑了在和通信领域应用的最新发展情况;2000年12月,BS 7799-1:1999《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准,即ISO/IEC17799-1:2000《信息技术——信息安全管理业务规范》标准。
2005年,ISO发布了新版的信息安全管理实施细则,即ISO/IEC17799-2005,对2000年版的标准进行了修订,更加注重标准的通用性和实用性。
日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。近几年东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。
国内现在about信息系统审计的依据主要有修订后的《中华人民共和国审计法》、国办发【2001】88号文件《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》、1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计等,同时可以主要参考COBIT和ISO17799标准。
但是我国信息系统审计才刚起步,审计技术、审计规范、制度等都有待。随着我国信息化水平的提高,对信息系统的有效控制与审计将逐渐成为研究热点。
五、开展信息系统审计的意义
1.信息系统审计是未来审计发展的必然
未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。
2.维护信息的市场经济秩序
市场经济是建立在信用基础上的,信息系统审计应当充当信息时代经济生活中公正的鉴证人起着维护市场经济稳定的作用。信息时代竞争的加剧,信息流的电子传播方式等,使市场对及时和相关信息的需求越来越多,现有财务报告模式的局限性性日渐突出。现有财务报告是以成本为计量基础的、周期性的向利益相关者报告。在新经济环境中,信息系统审计师应能够以在线、实时的信息为基础提供鉴证,通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。提供实时报告鉴证对保护公众利益和保护资本市场的有序发展是非常有意义的。
3.为信息化建设保驾护航
“以信息化带动工业化”,推进“电子政务”及“电子商务”,许多企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。信息系统审计师的出现,可以从项目计划开始介入信息系统建设的每个环节,以他们的专业素养,从项目的初始阶段一直到运营的全过程,给予项目投资者风险控制的评估与建议,提高信息系统的投资效益。
参考书目
1.江泽民同志在十六大的报告
2.(美)Jack J.Champlain著审计信息系统(第二版)张金城等译清华大学出版社2004年11月第一版
3.计算机审计中数据处理新办法探讨陈伟刘思峰邱广华《审计与经济研究》2006年第1期(37)
4.信息环境下审计技术的探索:实时在线审计陈丹萍《审计与经济研究》2005年第4期
5.about电子证据可采性与证明力的若干问题探讨姚太明审计研究2005年第1期
6.电算化条件下的计算机审计秦宇会计之友2005年第三期(42)