一、信息系统审计及其国际发展 信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效实现、使组织的资源得到高效使用等方面做出判断的过程。通过信息系统审计的手段,能有效控制信息化项目潜在风险。 近年来,“信息化带动工业化、工业化促进信息化”的战略国策日益深入人心,信息化应用取得了世人瞩目的成就,同时信息化建设存在的问题和矛盾也日益凸显。例如,如何将信息化战略和业务战略相融合?如何从战略投资、企业管理变革的角度,降低信息化的风险?如何对信息化建设项目经济效益进行评价、鉴证和控制?如何保障信息化建设的巨额投资合理使用?对这些问题的探索与解决构成了我国信息化建设的瓶颈,也是摆在信息化建设的重要知识资本——信息系统审计面前需要迫切解决的问题。 目前在信息系统审计发展领先的国家有美国、日本、加拿大等,他们从制度、战略、规范和标准的高度,以“IT治理”为总框架,涵盖信息系统审计、信息安全管理、信息服务管理及IT项目管理,着重研究和解决信息化发展与企业发展在治理结构、企业战略、企业运营管理、风险与价值、成本与控制、审计与监管、服务标准和规范等方面的新问题。美国2002年通过的《萨班斯——奥克斯利法案》,要求增强业务流程和支持他们的信息系统内部控制水平。国际信息系统组织ISACA专门设立了信息系统审计准则和框架,为信息系统审计工作提供技术指导,每年全球信息系统审计人员正以40%~50%的速度激增。 二、我国信息系统审计发展现状 (一)我国信息系统审计工作开展情况 我国信息化建设起步于20世纪80年代,信息系统审计工作尚处于萌芽阶段,这是由我国的信息化建设起步晚、所占GDP比重小决定的。随着信息化建设投入的增加,信息系统规模日益增大,信息系统应用越来越广泛,政府机构、企业组织对信息技术和信息系统的依赖性在日益加强,信息系统的安全、管理、风险与控制日益突出。信息化已经逐渐成为一个高危领域,但我国目前还没有建立自己的信息化和信息系统审计的专业标准,这也在一定程度上限制了信息系统审计工作在我国的开展。 (二)发展我国信息系统审计工作的急迫性 第一,信息系统项目在政府/企业的投资比重越来越高,相关的监督标准不规范,信息系统审计工作已经到了迫在眉睫的地步。由于信息系统建设投入大、利润高的特点,这将是舞弊生存的温床,没有有力的审计监督,信息系统建设将无法得到保障。30年改革开放的机遇,成就了信息产业,国家信息产业从无到有,从低级到高性能,经历了日新月异的变化,这和国家对信息产业的投入是分不开的。目前信息产品的触角已经延伸到了千家万户,信息系统已经和我们每个人的生活密切联系在一起,信息系统在我们的身边扮演着不可或缺的角色,政府、企业对信息系统的投入比重也越来越高。同时,信息产业是一个相对比较新的产业,目前还处以高速发展期,但从整个行业来看,信息产业的审计监督工作还比较落后。各个厂家随意报价情况普遍,服务水平和内容也缺乏统一规定,信息系统的更新和维护不能得到有效保障。 信息系统建设的发展,要求相应的信息系统审计同步发展,从而评价、监督以保证信息系统的投入用到实处,将信息系统建设工程舞弊行为降到最低。 第二,信息系统已经成为了政府业务系统、办公系统主要支撑平台,没有审计监督,该支撑平台将会存在高危风险。从2000年国家准备实行政府办公无纸化开始,信息系统就已逐渐成为国电子政务支撑平台,信息系统建设的好坏将直接影响到政府有关部门的开展和实际工作成效,审计监督工作在电子政务系统建设过程中将扮演严格把关的角色。 工程审计监督是工程建设的有力保证,没有审计监督职能的存在,信息系统建设的风险将是无可估量的,一方面是信息系统工程建设失败的损失,另一方面是信息系统建设失败而导致业务无法正常开展的损失。 第三,信息系统项目的科技含量高、设备种类多、整体技术体系更新更快、建设风险大,信息系统审计是信息系统建设的必要补充。信息产业是当今社会发展最快的产业之一,信息产品从过去的单一发展到现在的多元化,从过去的单机技术发展到目前集群技术、云技术,而且技术的更新仍在快速的发展,过去新技术的更新需要几年的时间,目前一项新技术的出现,仅仅需要十八个月,甚至更短的时间。信息技术的科技含量高、更新快,对从业人员的技术水平要求也越来越高。因此,信息技术人员的职业生命相对其他行业来说,相对较短,很多曾经的专业人才在信息技术快速发展的今天,也会变得束手束脚,跟不上新技术发展的脚步,在信息系统建设过程中难免会有失误。从项目建设风险考虑,信息系统审计监督工作就更显得更加必要。 三、我国信息系统审计发展中的问题 我国信息系统审计工作经历了多年的挫折与探索,取得了一定的成就,但也发现了一些问题。 (一)信息系统审计工作重视程度不够 据资料显示,目前一些单位对信息系统审计工作理解不够,没有真正认识到信息系统审计工作的战略性和系统性,表现为:片面要求审计效率,审计时间短,审计质量不高;审计意见落实不利,缺乏有效的后续审计措施;审计工作集中于事后审计,不能从系统需求与应用战略的高度进行审计工作;审计工作滞后,“先上车,后补票”现象增加了审计难度和系统建设风险。例如,少数项目由于工期紧等原因,在项目预算或待签合同送审前,已委托外部公司开展部分或全部的实质性业务。这将无法保证项目经费支出的合理性、产品性能和工程质量的可靠性,且容易引起项目建设单位同外部公司之间的纠纷,大大增加了项目建设过程中的风险。