20世纪80年代以来,随着计算机技术和网络技术的迅猛发展,计算机特别是计算机信息系统逐渐的应用在金融、证券、保险、医院、学校等各个领域,政府部门高度依赖于它们来提高效率,改进服务,加强管理和提高生产力,建立了很多的信息系统来辅助计算机应用,审计署“金审工程”开发的AO(现场审计实施系统)就是利用信息系统进行审计的一个例子,但是信息系统在给人类带来巨大好处的同时,由于它自身的安全性、可靠性等问题也给企业带来了损失,所以信息系统的安全、可靠、效率和功能完善比以往任何时候都更加重要,在此背景下产生了对信息系统进行审计的需求,这就是ISA(Information System Audit,信息系统审计)。 AO(现场审计实施系统)作为一种CAA(Computer-Assisted Audit,计算机辅助审计)正被广泛应用,而ISA作为新兴的审计类型,与其具有不同的性质,不能混为一谈,但都有大力发展的必要。本文就想寻求在现有的AO中实施ISA。 一、利用AO的审计程序与ISA审计程序 (一)利用AO的审计程序 利用AO进行审计的程序主要分为审前准备、审计实施和审计终结三个阶段,这与传统的审计在内容上是基本一致的,只是手段发生了变化,一般称为计算机辅助审计(CAA)。 (二)ISA审计程序 根据国际信息系统审计协会(ISACA,International information system audit and control attitude)的定义:信息系统审计(ISA)是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效果地实现组织目标的过程。信息系统审计步骤和内容如图1所示:
图1 信息系统审计步骤和内容 (三)利用AO审计与ISA的区别与联系 从上面利用AO审计的审计程序与ISA审计程序我们可以发现,第一,两种类型审计的步骤和程序基本相同,我们可以归纳为三个阶段:审计准备阶段、审计实施阶段、审计终结报告阶段。第二,两者在各个阶段的工作步骤和工作重点基本相同,审计报告阶段的审计证据和审计工作底稿的收集工作也非常类似,但是在各个阶段他们的审计内容又有所不同,下面从审计过程的各个阶段来识别两者的区别和联系: 1、审计准备阶段确定的审计目标不同 ISA是保证资产的安全、数据的完整以及有效利用组织资源;而利用AO审计是实现传统审计所要达到的目标:提高审计效率、改善审计效果、降低审计成本、规范审计工作;对被审计单位同财政、财务收支有关的信息系统做出评价并提出改进措施。显然,我们可以看到ISA是为了保证信息系统中存储、处理、输出的财政、财务收支等信息的真实、有效。从而保证传统审计在电子化环境中更可靠、更有效! 2、审计准备阶段确定的审计对象不同 利用AO审计的审计对象仍是传统的同财政财务收支有关的财务电子数据、生产业务数据等;同时,需要考虑财务软件的可靠性,即审计对象中增加了对财务软件这部分信息系统的审计——这是CAA中的ISA。 ISA的审计对象是以电子计算机为核心的信息系统,即被审计单位与财政、财务收支有关的计算机应用系统。ISA审计对象从纵向(生命周期)看,覆盖了信息系统从计划、分析、设计、编程、测试、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对硬软件的获取审计、软件审计、应用程序审计、数据完整性审计、安全审计和生命周期共同业务(如文档管理、人员管理、进度管理、外部委托、灾难恢复等)审计等。 从这个意义看,ISA扩大了传统审计的内涵,将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统,同时CAA又需要适当运用ISA的技术为其服务。 二、在AO系统中实施ISA 在利用AO系统进行包含ISA的审计过程中,我们首先要进行传统的内部控制测试,然后进行ISA,将形成的审计报告和给出的审计意见报相关人员共同讨论,商量对策,从而修改信息系统缺陷。确定信息系统的安全性、有效性和可靠性在可接受的范围时,我们就按照传统的审计方式进行下一步的审计工作,如图2包含ISA的AO系统审计程序。这样做就能够使审计人员在确定信息系统的安全性、可靠性及有效性,从而保证信息系统存储、处理、传输、操作等的财务信息、财务数据的正确性、准确性,进而保证审计结果的真实、有效。
图2 包含ISA的AO系统审计程序