在信息技术向人们工作、生活的每一个角落发起全面冲击的大潮中,信息技术不仅改变着人们的行为方式,同时也改变人们的思维方式。审计这个以鉴证财务信息的真实、公允为核心的行业不可避免地受到信息技术飞速发展所带来的冲击与挑战,这种冲击不仅是技术上的,而且也迫使我们对传统审计的理解和认识重新审视。随着信息化技术的发展,以计算机和网络为特征的信息系统日益普及,一些企事业单位不仅仅在财务上实现了电算化,购销、人事等环节也都实现了计算机管理,以ERP、MRP-Ⅱ为代表的企业信息系统的高度集成逐渐开始普及,使我们审计工作面临全新领域的拓展,也给我们的审计工作带来了巨大的挑战。本文试就基层审计机关如何开展信息系统审计的问题作些粗浅的探讨。 一、什么是信息系统审计 根据国际信息系统审计委员会(ISACA)的定义“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现目标的过程。”所以信息系统审计所关注的内容不单纯是对电子数据的处理,更不仅仅是财务信息,而是对企业整个信息系统的可靠性、安全性进行了解和评价,是一项通过审查与评价信息系统的规划、开发、实施、运行和维护等一系列活动,以确定信息系统运行是否安全、可靠、有效,信息系统得出的数据是否可靠准确以及数据是否能有效的存储的过程。从纵向(生命周期)看,信息系统审计覆盖了以电子计算机为核心的信息系统从计划、分析、设计、编程、测试、运行、维护到报废的全过程的各种业务;从横向(各阶段截面)看,它包含对硬软件的获取审计、软件审计、应用程序审计、数据完整性审计、安全审计和生命周期共同业务(如文档管理、人员管理、进度管理、外部委托、灾难恢复)审计等内容。 二、为什么要开展信息系统审计 (一)信息系统集成是企业信息化发展的必然要求? 从19世纪80年代至今,被审计对象内部的信息处理发展经历了:手工处理、部分计算机处理、会计系统全面计算机化、企业信息系统的集成化四个过程,相对应的我们审计的对象也在变化,从人和纸质文档——打印出来的纸质文档——电子数据——ERP、MRP-Ⅱ集成系统。 从企业信息化的发展历程可以看出,由于审计人员所面临的审计对象的不断变化,促使审计的方式随之改变,信息系统审计也就在这种历史背景下应运而生。 (二)信息系统审计是审计理论与技术发展的必然结果? 随着审计理论与技术的发展,审计模式经历了详细审计、系统基础审计和风险基础审计三个阶段。现代审计十分强调对系统控制的依赖。它的基本观点是:设计上合理并且得到执行的控制制度是我们相信财务信息的重要依据。对于控制得好的领域,我们分配较少的审计资源;控制较弱的领域,分配较多的审计资源;如果控制不可依赖,我们则跳过控制测试环节,直接对账户余额和交易发生额进行测试。 在会计信息手工处理的环境下,系统的控制也是由人工完成的,对系统控制的了解和测试也可以由普通审计人员运用一般的财务审计知识来完成。由于计算机化的信息系统的介入,信息系统的控制越来越多地由计算机来完成,ERP的实现甚至改变了手工环境下的管理方式及业务流程,一般的财务审计知识已无法满足对系统和系统控制进行了解及测试的需要。而由于计算机信息系统的运用,使得审计人员对系统控制更加依赖,直接对如此庞大的数据量进行审计已经是不可想象的。信息系统审计因此也从财务审计的一个可以省略的环节成为不可缺少的工作内容,甚至可以独立作为一项审计的任务。 (三)开展信息系统审计是控制审计风险的要求 ERP的实现使被审计单位的信息系统不仅仅是一个个孤立的系统,而是集财务、人事、供销、生产为一体的综合性的信息系统,财务信息只是这个系统所处理信息的一部分,单独的财务系统已不存在。在这种情况下,审计人员只有对整个系统进行全面了解,才能把握审计对象的总体情况,避免审计风险。如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,那么这样审计得出的结论就要受到置疑,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。 (四)开展信息系统审计是全面履行审计职责的要求 信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须“三位一体”,在审计过程中,这三项内容不能少。只有这样,我们才能完成“全面审计、突出重点”的要求,全面履行审计职责。 三、开展信息系统审计面临的问题 (一)审计观念亟待转变 观念问题也就是认识问题。如果不转换审计观念,将审计的目标局限为查错纠弊,势必将信息系统审计与当前中心工作对立起来。目前、很多审计人员特别是基层审计人员,把审计仅仅理解为“查账”,而对信息系统审计的理解也只能停留在计算机辅助审计或辅助审计软件开发及应用的层次上。审计纸质账目时,内部控制也要审计,不能假账真查。在信息化环境下,审查处理电子数据和评估其完整性及可靠性,对所处理数据进行事事控制和稽核,已成为新形势下对审计人员极具挑战性的工作。 (二)信息系统审计的专业人才缺乏 开展信息系统审计需要一批既掌握现代审计理论与实务又了解计算机技术的复合型知识结构的专业人才,目前审计署干部培训中心开展的注册信息系统审计师培养及与之相关的在审计人员中进行计算机知识的培训工作,正是为了适应这一现实需要。但从目前的人员数量和知识结构上看,还远远达不到要求。