信息系统审计分步实施的探讨
2010-10-09首都经济贸易大学会计学院崔春
首都经济贸易大学会计学院 崔春
天辰达(北京)科技有限公司 陈冬
信息系统审计分步实施的探讨
首都经济贸易大学会计学院 崔春
天辰达(北京)科技有限公司 陈冬
审计这个以鉴证财务信息的真实、公允为目的的行业,在信息化的潮流中,社会相关法律法规、行业标准、产业结构相对落后的情况下,对信息系统的审计的效果和范围正在受到制约和挑战。这迫使我们为了规避这个行业的审计风险,确保审计质量而必须在利用现有法律法规、行业基础的前提下,分步实施审计,发挥职能,在满足当前审计部门职能要求的情况下,逐步促进整体社会的对于信息系统审计的发展,达到信息系统得到全面审计的目的。下面我们从多个方面展开探讨。
一、目前企事业单位、政府机关、军队等部门信息系统审计的需求
1、需要对信息系统项目从立项、预算、招标、实施、完成、售后多个方面进行控制,达到投资的效益最大化。
2、对已建设的信息系统进行系统审计,增加信息系统在安全、效益、风险等方面进行评估,为有关部门提供评估报告,达到信息系统审计的目的。
从目前国内体制及部门分工来看,第二项审计职能更多是分配在了信息部门,所以暂不做讨论。
二、目前信息系统的问题
1、信息系统项目在政府单位的建设投资中越来越高。信息系统审计的比重也应在政府机关的工作中不断加强。从而使得审计部门对信息系统项目的建设保驾护航。
2、信息系统项目在建设过程中的隐患非常多。因为信息系统的专业性非常强,引用的新技术、新方式比较多,国外高新端技术、方案比较多,从而使得信息系统项目的建设没有统一的规定和政府指导。这样就造成了信息系统项目建设中在招投标、合同、建设过程中存在比工程项目更多的隐患。
3、信息系统项目在政府部门的作用越来越重要。信息系统在政府机关的作用大到政府机关的安全、小到每个公务员正常的工作都会用到信息系统。如果信息系统存在系统或结构性风险时,将会给国家造成无法挽回的损失。
三、根据现有的资源和条件实施阶段性审计
在国际上信息系统审计是一个完善的体系,从正规的信息系统审计与控制协会(ISACA),到信息系统审计规范(ITIL,COBIT,ISO20007等),到信息系统审计与控制的专业机构认证的专业人才,比如信息系统审计师、信息系统安全师等(CISA,CISSP,CISP),到会计事务所,商业流程化的运作都比较成熟和正规。但是要全部照搬国外的经验到国内,综上问题所在明显是不可行的。但是目前信息技术在国民生产的比重越来越大,为了使得国民经济很好的发展,信息系统审计又是势在必行的。中国应该发展有中国特色的信息系统审计。不能一步到位,要分步实施。将信息系统审计的内容分类,分层,分级,根据现有的资源和条件实施阶段性审计,并推动信息系统审计在中国的发展。
具体阶段如下:1、第一步将信息系统项目的规范性、效率性、风险性、标准性放在第一阶段来完成。2、当国内信息部门与审计部门的分工进一步明确及相关条件成熟后,实施信息系统系统安全审计、风险评估、业务连续性审计。对于第二阶段下面不做过多的研究和探讨。这其中还涉及到现有政府部门、企业部门中审计部门和信息部门分工的问题,因此还有很多工作和流程需要完成。
如何实现现阶段的信息系统审计呢?经过某政府机关三年多信息系统审计的具体操作情况,经过多次总结,沟通,改正,终于找出了在现阶段及可以达到审计需要的效果,又不会影响到规定的,具有可操作的信息系统审计方法、流程及如何结合现有社会资源,不用做大的机构变化和不用花费较高的成本就可以实现信息系统审计。
充分利用工程管理和咨询公司 (有国家建委核发的工程造价、咨询、预算、结算的资质)、会计事务所(财政部核发的财务、企业管理、财务决算等资质)的审核职能,吸收专业的信息系统专家(如CISA、财政部信息类专家库专家等)和人才(弱电项目经理、软件工程师、系统集工程师等)做专业的后盾,审计部门在总体协调和控制,展开对现在的信息系统项目的审计。寻找信息系统项目整个生命周期中的关键点,加入控制点,加入控制策略,并形成各个控制点成熟的控制方法和审核策略,最后达预期的审核目的。
这样一来就可解决审计部门信息系统专业知识不足的问题,二来可以使用国家规定合理化问题,三来解决了信息系统项目在投资比重中占比越来越高而感到被动的问题,四来解决了商业流程问题及费用参考标准瓿。当然还增加了审计部门信息系统审计力量和提高了信息系统审计效率和审计质量。
在具体的信息系统项目审计当中,我们主要通过如下控制点达到以上目的。
通常的项目采购主要分成如下几种类型:1、分开招标;2、竞争性谈判;3、单一来源采购;4、协议供货。对于以上形式的信息系统项目,我们从待招文件——控制总体的项目预算、招标的公平公正性、项目造价的合理性,待签文件——控制招标后变更、项目预算和合同的一致性、合同内容是否全面、是否有成本风险等,项目结算——变更控制、合同内容执行情况等。
通过上述控制点,我们围绕提高信息系统整体效率减低风险为核心,以控制造价为基本原则从而有效的达到了信息系统审计的部份目的。也还好的完成了审计部门的对信息系统项目保驾护航的责任。
当然具体的操作过程中,还有很多与传统审计有矛盾的地方,需要根据具体的情况进行讨论解决。比如收费问题,出具什么报告的问题。
信息系统审计在我国尽管起步较晚,但其重要性日渐明显。刘家义审计长明确指出,信息系统审计要抓住三个关键点,即安全性、有效性(可靠性)和经济性。通过以上述完全可以完成信息系统审计的三个关键点要求。审计的角度保障信息系统项目建设更有效率,减少政策性风险、条款性风险。从而使信息系统项目更好的发控作用。
(责任编辑:董晓磊)
book=232,ebook=187
