信息系统审计,是指通过对被审计单位信息系统的组成部分及其规划、研发、实施、运行、维护等过程进行审查,就被审计单位的信息系统的安全、可靠、有效和效率性以及信息系统能否有效地使用组织资源并帮助实现组织目标发表意见的审计。近年来,随着被审计单位特别是一些国家机关、大型国企、商业银行信息化水平的不断提高,审计机关也越来越多地采用信息系统审计的方式来进行审计。要做好信息系统审计,必须合理有效地组织信息系统审计活动。在我国国家审计中,专门进行的信息系统审计的单位和项目还不多。根据与财务审计的关系,可以把信息系统审计的组织方式分为与财务审计相结合的组织方式和专门进行的组织方式。 与财务审计相结合的组织方式 所谓与财务审计相结合的组织方式,是指在财务审计的过程中运用信息系统审计的有关手段所进行审计的组织方式。 1.与财务审计相结合的信息系统审计的审计目标。 与财务审计相结合的信息系统审计一般是根据财务审计的需要提出的,因此这种信息系统审计应该为减少财务审计的风险服务,为财务审计提供最低限度的保证。 (1)保证信息系统软件和相关模块没有经过非法篡改。在信息化条件下,被审计单位的财政财务收支数据是通过信息系统处理和输出的。如果信息系统及具相关模块被非法篡改,就难以保证被审计单位财政财务收支数据的真实性和合法性。在审计中,也发现了通过在信息系统研发中预留“后门”,或是篡改相关信息系统模块作弊的例子。审计实践中发现的这些情况,要求财务审计人员关注信息系统是否经过非法篡改,合理保证其真实、合法和有效性,尽量减少财务审计风险。 (2)保证与信息系统相关的内部控制存在并且有效。信息系统的真实、合法和有效、效率等目标是通过内部控制措施加以实现的。信息系统的内部控制是否存在并且有效,直接影响了信息系统的真实、合法和有效性,进而影响了财务审计中财政、财务收支数据的真实、合法性和准确性。内部控制测评是信息系统审计的重要内容,通过对信息系统有关的内部控制进行测评,并提出相关的意见和建议,有利于审计人员从风险控制的角度去控制财务审计的风险。 (3)在财务审计重点关注的领域,应重点进行信息系统审计,以保证信息系统为实现被审计单位的目标服务。财务审计重点关注的领域一般也是被审计单位所应实现的目标。例如在国有企业审计中应重点关注国有资产的保值增值;在上市公司审计中应重点关注收入、成本、利润的真实完整性;在社保资金的审计中应重点关注资金的安全性;在财政专项资金的审计中应关注专项资金使用的合法性等。信息系统审计作为被审计单位管理环节中的重要一环,对实现这些目标具有不可替代的作用。审计人员在信息系统审计中,在财务审计重点关注的领域,应重点关注信息系统及相应的模块是否处理得正确、合法、功能完备,内部控制是否健全有效等,是否为实现被审计单位的目标服务。 2.与财务审计相结合的组织方式的特点。 与财务审计相结合的信息系统审计并不是一开始就确定的,而是在财务审计过程中发现信息系统出现问题或者需要的时候才进行。因此,这种信息系统审计开始时并没有专门的审计计划,也没有专门的信息系统审计报告。对信息系统的审计也仅限于在财务审计过程中发现出现问题的业务模块,而不是全面的信息系统审计。这是与这一组织方式的定位相适应的。 专门进行信息系统审计的组织方式 根据信息系统审计与财务审计的关系,除了与财务审计相结合的组织方式外,还有专门进行信息系统审计的组织方式。 1.专门进行信息系统审计的组织方式的含义。 经过单独立项、单独实施并且单独出具审计报告进行信息系统审计的方式,就是专门进行信息系统审计的组织方式。是否单独立项决定了审计项目的地位,是独立进行还是从属于其他审计项目。作为专门进行的信息、系统审计,必须是经过单独立项批准的,不从属于其他财务审计项目。单独实施意味着信息系统审计要在人员、时间、经费等审计资源方面与其他审计分开。由于信息系统审计在审计的内容、过程、方法以及审计人员的知识结构等方面,都与其他审计有很大区别,因此单独实施是信息系统审计自身的内在要求。最后,专门进行的信息系统审计还必须单独出具审计报告。审计报告作为审计工作的最终成果,在审计项目中具有标志性意义。专门进行的信息系统审计,既然是单独立项又是单独实施的,就应单独出具审计报告。 2.专门进行信息系统审计的目标和特点。 相比与财务审计相结合的信息系统审计,专门进行的信息系统审计的目标不在于减少财务审计风险,而是放在信息系统本身。首先,要审查的是信息、系统的性能,看信息系统的性能是否满足系统设置的目标,即满足信息系统本身的安全、可靠、效率和效果等目标;其次,要审查信息系统的大环境,看信息系统是否符合信息化发展战略和业务发展战略的要求,即信息系统本身的目标如何与整个组织的目标相适应。 为了对信息、系统本身安全性、可靠性、效率性和效果性进行评价,审计人员将制定专门的信息系统审计计划,并采用信息系统的审计方法进行审计,最后还将出具专门的信息系统审计报告。对信息系统的审计也是全面的,不仅包括被审计单位的信息系统、内部控制等,而且覆盖系统生命周期的全过程。审计中需要掌握一些专门方法和技巧,包括一些复杂的计算机辅助审计手段,这些都对审计人员提出了更高的要求。 两种组织方式的适用性