随着信息系统在行政事业单位和国有企业的广泛应用,迫切需要政府审计机关审计人员在政府审计项目中考虑被审计单位信息系统环境给审计工作带来的风险,开展信息系统审计。政府信息系统审计的方式主要有两种:一种是由审计机关独立立项或接受被审计单位专门委托而开展的专项信息系统审计;另一种是融合于特定政府审计项目中,如财政财务收支审计、住房公积金专项审计等项目中,与各审计项目相结合而实施的“结合型”信息系统审计(简称:结合型政府信息系统审计)。本文主要探讨后一种情况。 面对被审计单位信息系统环境,审计机关审计人员对结合型政府信息系统审计的必要性(Why)、审计目标是什么(What)、重点在哪里(Where)以及如何审计(How),仍然存在模糊不清的认识问题。这也直接导致审计人员在结合型政府信息系统审计实践中存在一定的随意性、无序性。为此,本文针对上述四个基本问题进行探讨,提出结合型政府信息系统审计的“3W1H”模型。 一、结合型政府信息系统审计概念 目前公认的有关信息系统审计的定义,如威伯(Ron Weber)、信息系统审计与控制协会(ISACA)和日本通产省情报协会等的定义,主要基于信息管理咨询、内部控制视角,并不能完全、准确地描述结合型政府信息系统审计(李春青,2008)。结合型政府信息系统审计概念的缺失,使得我国审计机关审计人员在政府审计项目的信息系统审计实践中缺乏所依据的概念框架和理论基础,主要靠自己的理解和需要开展信息系统审计,从而造成各自在信息系统审计定位、目标、内容和方式上的千差万别。因此,有必要对结合型政府信息系统审计概念进行清晰界定。 何谓结合型政府信息系统审计?一方面,结合型政府信息系统审计应以IT和政府审计相关学科理论为基础,主要目的是为了更好地履行政府审计经济监督职责(周德铭,2013),是将信息系统审计作为整个政府审计项目的一部分,服务于政府审计项目目标而进行的一个审计概念;另一方面,结合型政府信息系统审计的对象依然是信息系统,应该被当做信息系统审计的一个特例。因此,借鉴国内外主流信息系统审计的定义,结合政府审计项目的特点,可以作出如下定义:所谓结合型政府信息系统审计,是指政府审计机关基于经济监督目的,对影响被审计单位经济业务活动的有关信息系统进行检查、分析和评估,以判断信息系统的可靠程度、存在的问题以及对经济业务活动的影响程度,并提出针对性审计建议的过程。 二、结合型政府信息系统审计的必要性(Why) 随着被审计单位经济业务活动对信息系统依赖程度越来越高,信息系统已经逐渐融入各项经济活动当中。但是,信息系统存在的漏洞和缺陷、非法舞弊程序、人为操作错误、病毒感染、黑客攻击、系统故障等导致被审计单位经济业务数据失真的各种风险也在进一步加大,也就是说信息系统本身的安全性、可靠性直接威胁和影响到信息系统所产生经济业务电子数据的真实、准确和完整。因此,基于现代风险基础审计理论的政府审计,必须考虑与经济业务活动相关的信息系统产生的风险因素,突破传统政府审计业务范围,涵盖信息系统审计内容。如果忽视对信息系统本身的审计,审计机关审计人员审计依赖的被审计电子数据的真实性就会成为“空中楼阁”,就有可能出现“假账真审”的问题。 目前,各级政府部门、企事业单位为了提高信息化水平,纷纷加大资金投入,推进信息系统建设,建立统一数据集中平台,信息系统已经成为国家的一项投资巨大的重要资产。这就要求审计机关审计人员在对这些机构实施经济效益审计、绩效审计、经济责任审计等审计项目时,必须考虑信息系统资产因素,对信息系统实施相关审计,以有效揭示信息系统在安全、可靠、合法、效率、效果和效益等方面存在的问题,防范信息系统风险,保障信息系统安全、可靠运行,促进信息系统资源的有效利用,提高信息系统资源运用的收益水平。 由此,在政府审计项目中,考虑到信息系统的影响因素,迫切需要大力开展结合型政府信息系统审计,而不是可审可不审的问题。 三、结合型政府信息系统审计的目标是什么(What) 信息系统审计目标是信息系统审计行为的出发点,它指明了审计工作方向,并指导着信息系统审计实践活动(王振武等,2011)。我国政府审计以维护国家财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康发展为职能,以国家经济活动的真实性、合规性和效益性为总体目标。因此,我国政府审计机关实施的结合型政府信息系统审计,也应遵守真实、合规和效益的根本目标。 审计机关审计人员在各项具体政府审计项目中,不能笼统地将一般意义上信息系统审计的安全性、可靠性、合法性和有效性目标作为结合型政府信息系统审计具体目标,这既不符合结合型政府信息系统审计的特点和需求,也不具备实际可操作性、指导性。如果信息系统审计目标因素与具体政府审计项目目标不相关,将起不到应有的作用,是多余的、不必要的,从成本效益角度来说,是对审计资源的浪费。审计人员应避免根据自己的理解来确定目标,造成混淆不清。结合型政府信息系统审计贯穿于各政府审计项目之中,成为审计全过程的一部分,其具体审计目标应根据国家审计机关实施审计项目预期要完成的任务和结果,即具体政府审计目标,以及所涉及的信息系统情况等综合确定。例如,政府财政财务收支审计的目标是财政财务收支情况的真实性、合规性和效益性,其审计的数据来源于相关信息系统产生的财务电子数据,而数据是否真实、完整,直接依赖于相关信息系统是否安全、可靠,由此可以确定政府财政财务收支审计中信息系统审计的目标是安全性、可靠性。又如,在国有企业绩效审计中,绩效审计的目标是效率性、效果性和效益性,虽然信息系统与绩效审计不直接相关,但是信息系统作为企业的一项重要资产,且信息系统建设的投入金额巨大,因此,在国有企业绩效审计中也应包括信息系统资产的绩效审计,这就决定了国有企业绩效审计中信息系统审计的目标应该是效率性、效果性和效益性。上述示例也表明,结合型政府信息系统审计具体目标随政府审计项目的不同而存在一定的差异性,也就是说政府审计具体目标的多元性决定了结合型政府信息系统审计具体目标的多元性,必须根据具体政府审计项目综合确定。