(一)审计机关开展信息系统审计的必要性。 信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然结果。它既有传统审计条件下的审计内容,又有与信息技术紧密联系的审计内容。从国际审计发展来看,开始是电子数据处理,逐步发展到信息系统审计,现在又发展到IT审计(即信息技术审计)。名称的改变直接反映出审计内容的扩大。 以前,我们曾大张旗鼓地宣传和讨论数据式审计,现在我们转向对信息系统审计的讨论、探索和实践,这在认识上是一次跨越。信息系统审计发展很快,美国经历这个过程用了二三十年的时间,我们经历的时间比美国短得多。这是必然的,是规律。 不搞信息系统审计,我们就无法控制审计风险。近几年,大家对审计风险有了一定的认识。审计纸质账目时,我们说内部控制要审计,不能假账真审。现在同样的道理,不能假电子数据真审。目前还没有因审查电子数据产生重大疏漏的例子,但随着信息化发展步伐的加快,如果不对信息系统给予足够的关注,计算机数据审计也会有潜在的风险。 信息化环境下的审计,电子数据、信息系统、系统内部控制必须“三位一体”。在审计过程中,这三项内容不能少。只有这样,我们才能全面履行审计职责。审计署党组强调“全面审计,突出重点”,这两方面缺一不可,否则就不能叫全面履行审计职责。 我们对信息系统审计必要性的认识是逐步加深的。现在真正搞信息系统审计的同志,在八万审计队伍中,可能不到千人。我们应该清醒地认识到,信息系统审计是审计发展的新路径。有同志认为,搞一个信息系统审计项目要花费很长时间,最终未必审出大案要案,考核也不加分。我说,至少你自己不亏,你是在做高技术含量的工作,率先得到了锻炼,可能率先成为这方面的人才。 对于信息系统审计,我们要宣传,要鼓动,要强调其重要性和必要性。我讲过,审计数据规划“开弓没有回头箭”,信息系统审计也是一样。我们应有不推出一个具有中国特色的信息系统审计誓不罢休的决心。 (二)目前审计机关信息系统审计开展情况。 我从审计署收集的信息系统审计案例看到,大家都在积极探索。根据目前所做的项目,归纳起来有以下四种方式。 一是倒推式。通过数据审计发现异常,倒推系统内部控制或信息系统的毛病。比如,某特派办在实施审计时,发现被审计单位使用的财务软件非常不安全,在实际操作过程中,会计科长、网络管理员、数据库管理员、系统管理员、记账员等岗位由同一人担任。同时,系统管理员在实施数据库数据修改、会计人员岗位分工、权限设置等具体操作时,缺乏必要的审批和监督程序。权限高度集中,监控制约不力,财务核算系统存在隐患。后来被审计单位根据审计报告采取了措施。由此看来,虽然倒推式也有作用,也能发现系统内部控制的重要缺陷,但从更深的层次理解,审计实践过程已经给我们提出了必须审计信息系统的客观需求。大家为什么都不约而同地倒推出信息系统有问题,或者系统设置及软件有问题?这是客观存在的,如果置若罔闻,不去正视它、解决它,还仅仅局限于倒推,那就是失职。 二是结合式。就是将信息系统审计与财政财务收支、效益审计的内容结合起来。结合是以正推为前提的,有的是把数据审计与系统内部控制审计结合起来。也就是说,只把信息系统的一部分,即系统内部控制纳入关注范围,作为审计内容,不涉及整个软件开发、硬件环境等,单独把内部控制作为一个切入点。有的是把数据审计和信息系统审计结合起来,不仅关注信息系统内部控制,还关注整个信息系统的软硬件环境,甚至包括其建设过程。 三是独立式。对信息系统开展独立的审计,把它作为一个项目,从立项到后期维护,这就是独立的、专门针对信息系统的审计。比如,我们现在正在探讨的电子政务审计就是独立式的。在独立式信息系统审计中,数据审计、数据测试就是手段,目标是看系统的情况。从做法上看,审计目标可能有两种:一种是放在信息系统现有的功能上,看信息系统设置功能能否满足系统设置的目标;另一种是放在IT审计的大环境中,看信息系统是否符合信息化发展战略和业务发展战略要求。目前,我们的审计目标属于前一种。 四是特殊式。这是我们在探索阶段出现的一种以信息系统审计取代审计的做法,这种倾向值得注意。通常在审计中,对信息系统进行检查是手段,是为数据审计打基础,不能取代数据审计,不能说审计过程中因为审查了信息系统,找到了一些错误,或者发现了舞弊行为、违法违纪行为,就算审计完了。 以上四种方式是我们现在的做法,今后我们应提倡两种方式。一种就是数据审计、信息系统审计和系统内部控制审计“三位一体”的结合方式。信息系统审计和系统内部控制审计是为数据审计服务的,最终要通过审计数据得出审计结论。审计署在对某银行信息系统审计试点时就是这么做的。另一种是独立立项的,直接针对信息系统,审查信息系统本身。 (三)特派办如何进一步探索和开展信息系统审计。 信息系统审计现已列入“金审工程”二期试点的范围,要积极探索,争取迈开步子,创出路子。试点就是要有人先行动起来。在这方面令我们非常感动的是令狐安副审计长。他不是搞审计专业的,从来没接触过财务,大部分时间是部门领导、地方领导。这两年他在各地搞调研,感觉信息系统审计十分重要,发展势头很快,超过了我们预想的速度,指示我们要强化这方面的培训。这样一位不具有审计专业背景的领导都有这种感觉,可想而知信息系统审计的重要性和紧迫性。 有的特派员向我反映,他们在审计中发现被审计单位造价软件设置的参数不对,这几年的计算都是错误的。这就需要审计软件说话了。我们鼓励大家积极探索并开展信息系统审计,因为系统的可信与可靠是数据审计得以进行的前提和最终实现的基本条件,系统产生的数据必须是真实完整的,否则与假账真审没什么两样。有条件的特派办可以把信息系统审计作为一种审计常态,换句话说,作为正常审计程序的一环。每个重大项目的审计,只要背景是信息化的,我们都可以先看信息系统,看系统内部控制。每个特派员都要有意识地培养一两个专家型的人才,相对固定,不要每次审计都派不同的人去摸索,你这儿还没摸索完呢,人家审计就出点了。