我国信息系统审计技术推广的限制因素探讨
2018-05-08成骏雄
成骏雄
摘要:大数据技术的蓬勃发展使得信息系统的使用大规模普及,而信息系统审计使得传统的审计计划的制定、审计流程的执行以及审计的对象都发生了极大的变革,传统的手工审计已然不能适应现代社会信息系统审计的需要,审计技术作为维护经济秩序与监督经济活动的一种关键手段,必然受到大数据(big data)的深刻影响,尤其是信息系统在大数据时代袭来的大趋势的推动下得到迅速发展,云计算、物联网、商务智能(BI,Business Intelli-gence)等一系列相关概念的产业也将大规模地加入信息系统的用户大军。因此,如何将信息系统审计更好的推广将是我国审计界近年来讨论的一个热点话题。文章将就此热点话题,对于限制我国信息系统审计推广的一些因素进行探讨。
关键词:大数据:信息系统:审计技术
一、概述
全球的经济结构随着大数据时代的到来发生了翻天覆地的变化。传统的社会生产方式和传统的消费支付都受到了极大的冲击。信息系统也开始被越来越多的行业接受,并发挥出他无可替代的作用。自2008年奥地利数据科学家维克托·迈尔一舍恩伯格在他的著作《大数据时代》一书中提出大数据(big data)这个概念,全球的信息数据处理方式似乎又进入了另一个阶段。云计算开始被越来越多的人所熟知,而云计算中最为重要的风险控制步骤正是信息系统审计在发挥着关键的作用。近十年来,信息系统技术已经深入到商业、工业乃至百姓生活的各个领域。审计作为一项具有监督职能的职业,不可避免的要接受大数据浪潮的巨大挑战。
企业信息化的水平越来越高,信息系统的迅速发展使得信息系统软件的使用大规模普及,而大数据技术的袭来使得审计的流程、审计的对象、审计的内容、审计的方法以及审计范围都将发生翻天覆地的变化。单一的传统手工审计已经不能适应现代信息化社会的需要。大数据技术影响加大后,企业信息系统运行的稳定、信息系统内数据的安全、怎样实时监控系统的运行都将成为信息系统使用者面临的重要课题。
二、信息系统审计概述
(一)信息系统审计的定义与职能及其重点环节
1.信息系统审计的定义
从信息系统审计的概念来看学术界存在着诸多不同的意见,但主流的意见是:信息系统审计,是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
2.信息系统审计的职能管理
信息系统审计的关键在于管理和引导审计职能的方式应能确保审计团队所执行和完成的各项任务将会实现审计职能目标,同时保持审计独立性和能力。此外,管理审计职能时还应确保为促成高级管理层执行高效IT管理和达成业务目标提供附加价值。
(二)进行信息系统审计的必要性
1.风险控制的关键手段
随着信息系统的普及使用,我们的生活质量和工作效率都得到了极大的提升,同时相對的也给我们的工作生活带来了更多的潜在风险。如今个人移动终端支付和互联网金融理财已成为工作生活不可或缺的一部分,高速的无线网络更是给我们带来了便捷高效的移动在线支付。随着我国信息技术以及网络教育的推广,掌握互联网技术的人也越来越多。任何掌握了足够的信息技术的个人,只需要一台普通的个人计算机甚至是手机就完全可以开展违法犯罪活动,隐蔽性好、危害性大是其主要特点,例如2013年8月光大证券爆发的“乌龙指”事件,由于系统故障仅仅几秒钟之内将A股市场搅得天翻地覆,这次事件震惊了全球的金融界,也再次将公众关注的目光聚焦在信息系统的风险控制问题上。随着信息技术的深入,大数据的整合利用方式变得更为灵活多样,其中的风险控制也变得越发重要。只有定期进行有效的信息系统审计,才能在一些程度上减少信息系统的风险,真正做到未雨绸缪。
2.保障信息质量的真实可靠
伴随着资源整合的时代主题,信息系统应运而生。自诞生之日起,其带来的高效与风险都给人们留下了深刻的印象。一个企业在进行信息化建设时,必然是费时费力、劳民伤财而且冒着各种高风险。当信息系统正式投入应用的时候,信息系统的整合、协作的概念将会极大影响管理层的管理思维模式,管理模式的转变反之又加大了企业的日常行政管理对于信息系统的依赖。信息系统运行的高速稳定也需要高精度的逻辑处理,但高速计算带来的冗余数据难免会导致信息系统的运作变慢,也难免不会因为冗余数据而导致运算出错。信息系统将数据高度整合,任何一个微小的错误将带来不可估量的安全隐患,对整个企业的战略规划以及生产规划都将带来极大的影响。企业的信息系统对于经营、生产能带来多大的经济利益,又会带来多少安全隐患,这是每个管理层人所共同关注的。
3.持续性实时审计的需要
目前,建立在虚拟网络基础上的电商,已经颠覆了传统组织的营业时间概念。加上网上银行的发展,快捷支付的普及,在这个虚拟的空间内时时刻刻都可能发生着连续不断的交易。企业及部门的管理人员需要掌握企业实时的现金流量、资产价值等等。在以往的财务模式下诞生的报表,在今天看来都成了交易的历史记录,高层从这些历史记录中并不能很好地把握全局,更不能根据其中的数据来制定长期的规划和决策,他们需要的是真正的实时信息,并在此基础上做出相对的实时决策。而保障信息系统持续稳定的运行,提供精准的实时数据,必然需要信息系统审计师的帮助。信息系统审计师可以根据每个企业不同的企业文化以及需求有针对性的进行审查,设置科学合理的控制点,并在危机来临时及时预警,规避其危害。
4.维护市场经济秩序的需要
信息化席卷全球,金融、商业作为传统行业的代表首当其冲接受了洗礼。同时,他们也成为了这次灾难后第一批站起来接受信息系统,第一批做出改变的幸运儿。电商的兴起,网络平台虚拟物品的交易加之在线支付的普及在为各个企业带来巨大商机的同时,也给其信息系统的安全带来了极大的威胁。
2013年8月16日11时05分左右,中国股市突发证券历史上罕见的异常事件——上证综指突然疯狂飚升,多只权重股在短短几分钟内均触及涨停。从根本上来说,这一事件是由于光大的投资部门自营业务在使用其部门独立的套利系统时出现问题导致的。这次事件不得不使得外界对光大证券内部的信息系统监管控制产生严重的质疑,同时也给我国的审计部门一个重要的警告。若要凭借信息系统来开展日常业务,那么信息系统本身的内部控制极有可能关乎到全局的安危。
5.大数据技术的袭来
在享受着大数据技术给我们带来的高效便利的同时,信息风险也随之悄悄降临,作为对大数据已经深有研究并且基本熟练运用并推广的美国,它在享受着信息系统普及带来的好处时,也无时无刻不在为大数据涉及到的隐私问题付出代价。2016年,FBI向美国苹果公司施压要求解锁iphone事件,或许恰好是当今时代信息安全这一主题的最好缩影。由于现代信息技术要求多源信息数据的整合利用,在整合关联的时候很有可能被有不良用心的人所窃取其中的部分关联,通过某些特定关联可能将原本匿名的信息也变得透明,这点对于人们的日常生活来说是非常危险的,因此,随着信息系统在我们日常生活中的应用不断普及,信息数据安全的问题也会逐渐暴露,而信息系统审计将是解决这个问题的不二法宝。
三、信息系统审计在我国的应用现状调研
(一)调查准备
本次问卷的调查对象是审计行业的从业人员。根据上文的理论分析,本问卷被分为三个部分:
第一部分:针对信息系统审计在我国使用情况以及使用具体信息系统审计技术的频率情况的基本调研;第二部分:针对信息系统审计多种具体技术的实际应用的调研;第三部分:针对参与问卷填写的审计从业者的基本情况的调研。
根据上文的理论分析,问卷题型统一设置为单选题,总计31道。问卷第一部分:旨在统计调研对象是否有接触或进行信息系统审计的经历。主要内容为调查对象在日常审计活动中是否经常熟练使用Mi-crosoft Excel电子表格技术、平行模拟测试、SQL语言、集成测试技术、嵌入式审计模块等等技术。在平时审计活动中使用这些技术的频率,所在单位是否自主研发信息系统审计系统软件以及是否及时与计算机专家沟通做出调查,一共13题。问卷的第二部分大体从四个主要方面统计影响信息系统审计技术推广的关键因素,分别是国家的支持、制度准则规范等方面、自身信息系统应用水平以及外部硬件、软件条件。问卷第三部分针对参加调研对象的基本情况设置问题,共计5道,包括了从事审计行业的时间、从事何种审计、自身职位、工作所在地的城市等级等。
本问卷通过国内问卷调查平台有针对性的邀请了审计行业的在岗人员完成,一共发放数量为100份,共回收92份,再除去其中4份无效答卷(本处的无效答卷包括漏答卷、多选卷以及滥答卷),最终有效答卷为88份。
(二)问卷数据统计
1.对信息系统审计的应用情况的数据统计分析
根据表1,我们可以非常直观的看到,信息系统审计在一线审计人员中的接触还是不在少数的,经常接触到的就在半数以上。这一点足以说明,在大数据袭来之时,信息系统已经被越来越多的政府机关或者企事业单位使用,并且这些组织的管理层已经意识到信息系统的管理对于整个企业的管理来说的重要性并付诸行动。就这点来看,我们国家的信息系统审计推广的效果还是不错的,但是由于问卷数量的限制,我们并不能一下子得出我国信息系统审计推广效果好这一定性的结论。
从表2我们可以看到,一线审计人员真正进行信息系统审计的人并不在多数,从这一方面又可以说明上表所提到的接触过信息系统审计,可能更多地只是停留在了解层面,并没有亲身经历或者进行过实质性的信息系统审计活动,而信息系统审计在被审计单位中并没有太多的受众,侧面反映了我们所抽样到的审计人员所面对的被审计单位的高管层对于其组织自身的信息系统还未引起足够多的重视,这点也可归纳在限制我国信息系统审计推广的因素之中。
从表3可以看出,一线的审计工作者在平目的审计活动中使用通用软件的概率还是不低的,当然,针对这点情况我们可以做两种分析:1.被审计单位的会计系统不够完善,使得通用软件难以发挥效用。2.审计人员所在部门或组织有独立开发的审计软件,一如四大等著名的会计师事务所,他们使用的都是组织本身独立开发的审计软件。这两种可能性都将导致数据的变化,故而具体结论还需要分析下面的更多统计表。
表4从某种角度解释了表3中出现的通用软件使用人数偏低的情况,由于自行研制的信息系统软件变得越来越普遍,审计人员如果使用通用软件可能并不能与被审计单位的自有系统软件顺利接合,审计人员自然就会放弃这些个通用软件,转去为了被审单位而独立开发审计软件。另一角度来看,企业的信息系统的开发越来越普遍,这一点来说,信息系统审计将来需要面对的挑战将更加严峻。
数据库技术作为信息系统架构的一个基本技术,在实际审计工作中的使用情况也并不乐观,从数据库的发展情况而言,VFP(Visual FoxPro)软件已经多年没有新版本现在基本淘汰,My SQL等软件对于机器语言的要求还是比较高的,如果沒有一定的输入量做基础根本无法适应这些专业软件,这对于审计专业毕业的学生还是一个较大的难题,毕竟专业课程所需时间将占据审计专业学生的绝大部分学习时间,SOL语言等计算机知识将会是未来审计人才培养所急需重视的部分。
(三)问卷调查总结
综上分析所述,我国的审计人员接触或者利用信息系统审计技术已经是较为普遍的现象。但绝大多数审计人员只是熟练使用其中某一种技术,如电子表格技术或者平行模拟技术等,对于其他常见的信息系统审计技术甚至存在不熟悉不知道的情况。而在影响我国信息系统审计推广应用的调研结果中显示,许多一线审计人员都认为完善准则较之自身的培训而言是最为关键的。由此,我们可以尝试提出一些由问卷数据得出的建议,以下建议仅以问卷结论作为出发点。
1.完善并落实政策性准则
完善的政策性准则规范的出台需要审计研究者以及一线审计人员、审计实物的前辈不断地交流并归纳记录,在理论上形成一套适合我国国情的相对完善的信息系统审计理论体系:在实务上概括、总结出一套适合中国审计国情的信息系统审计技术的使用流程,并借鉴ISACA的先进经验不断地改进、完善。相对成熟的理论体系和系统全面的实务流程能够为我国信息系统审计的政策性制度奠定基础提供更多的有价值的建议。在法律领域也要加强对信息系统审计的法律保护,将存在争议的或者分歧内容及时的通过立法的方式界定清晰。出台政策性文件做出明确规定,明确信息系统审计人员的责任范围以及拥有的权利。立法保障并承认信息数据审计证据的合法性,有助于一线信息系统审计人员开展审计工作。
将出台的准则政策广泛宣传,必要时可以进行强制的继续培训,熟悉新准则要求后再上岗。将准则积极贯彻到一线审计活动中,无论是审计主管部门亦或者财政部或者ISACA等机构颁布的文件都该在第一时间传达并且告知我们的审计人员,这样才能使有效的准则发挥最大的效用。
2.建立信息系统审计评价指标体系
信息系统审计师对组织的信息系统进行审计时需要严格依照审计准则来执行,而在对信息系统的完整性、合法性、可靠性、有效性等诸多关键方面做出评价的时候,则更需要有一套更为系统并且发自权威部门的评价标准体系作为支撑。早在1996年ISACA国际信息系统审计与控制协会就发布了被国际所公认的最有权威的信息系统审计的标准——COBIT(信息及相关控制目标)。20年来,它指导着国际信息系统审计的发展,也是国际上知名度最高、认可度最高的Is审计标准体系。COBIT的发布成功地把信息技术的问题与内部审计风险控制需要及企业风险管理相串联,将组织的信息化建设划分为四个领域:监控、获取与实现、交付与支持、计划与组织。并在组织内部各个层面建起沟通的桥梁,满足组织运营管理的多种特殊需求。我国可以借鉴并学习国外的经验,参照COBIT模型,制定出具有中国特色的信息系统审计评价体系。
3.开发时关注用户需求
信息系统的开发关系到诸多层面,研发者在系统使用领域的知识背景将直接影响到软件的用户体验。增加需求的问询书以及使用者的使用规划,对于制定信息系统的开发计划应该是事半功倍。对于不同的客户,研发负责人可以根据其不同需求设置控制点,便于后期审计工作的开展。根据不同客户的办公硬件条件为其筹划灾难恢复计划,让客户没有数据安全上的后顾之忧,这样才能在审计环节更好的为被审计单位服务。
四、信息系统审计推广的限制因素的对策及建议
当代信息技术飞速地发展,大数据技术不断地涌入,审计涉及的领域在不断的扩大,采用的方式也变得越来越灵活多样。这将为我国的信息系统审计技术的推广奠定一个积极的基础。目前,信息系统审计的应用领域也逐渐变得越来越广泛,全球的各个角落都被信息技术所渗透,网络通信技术的高速发展,各种信息系统开始入驻我们生活的方方面面。交通、教育、通讯乃至国防军事领域,无不存在着高度的信息化管理。
除了单纯地根据上文问卷的数据提出的建议,结合我国的现状以及研究现状,为了更好地将我国的信息系统审计推广开来我们迎合时代发展的主题,建议采取以下策略。
(一)端正对于信息系统审计的态度
面对大数据技术带来的新兴技术,不能一味的只承认其先进性而在实际执行中却因为其先进性而阿。精神的认为这不是我们普通审计人员应该掌握的技术,只承认困难却不愿意克服困难,这与我们的基本职业精神相违背。
端正审计人员对于信息系统审计的态度,从彻底认识信息系统审计的本质开始,从一线贯彻学习该审计方式开始。在承认其先进性的同时,我们更多的应该思考的是如何掌握这一技术去更好的执行审计活动,提高审计效率规避控制风险,而不是一味的逃避。积极使用,努力学习,从本质上了解了信息系统审计的特殊性,审计人员会更加愿意去掌握该技术,
(二)扩大信息系统的用户范围
推广信息系统审计的前提应该是大力发展信息系统技术并把它推广,我们可以尝试将其作为一个产业,在发展信息系统的同时,势必会带动信息系统审计的蓬勃发展。大数据时代的到来宣告了信息技术的井喷式发展,Ip(intellectual proper-ty)、VK(Virtual Reality,即虚拟现实)产业的飞速发展必将带起一批产业的进步,高科技产业的发展势必少不了信息系统的运用,怎样更好的推广用户范围或许是打开信息系统审计局面的一条必经之路。只有需求才会真正的促进本质的发展。
(三)培训专业型人才
国内可以尝试将信息系统审计加入审计专业的学生的主修课程。在掌握专业的审计知识同时又要求具备高度的计算机专业知识,这对于普遍只经历四年全日制本科培养的学生而言实在是过于苛刻了。但是由于审计行业对于信息系统审计的特殊需要,在培养人才的时候我们可以适当地、提前地对审计行业的学生进行分角度的培养,一如工程审计、政府审计等等。虽然这样将信息系统审计分离出来有些唐突,毕竟工程审计、政府审计等等是针对审计对象的再分化,而信息系统审计隶属于计算机辅助审计,更多的偏向于审计的方式。但是为了使这一独特方式对于审计事业有更多的专业知识的贡献,提前的学习或许是一个可行的解决办法。提前针对性的培训,有利于高校毕业生更好的与实际工作生活接轨,更有利于信息系统审计工作的开展。
(四)加强在岗审计人员的信息系统审计的继续教育
国家有强制规定,会计在岗人员每年都需要进行专业的继续教育,以熟悉并学习国家最新的会计制度及准则。就这点而言,审计行业也应该进行模仿。信息系统审计技术是在不断创新发展的,审计人员很有必要定期地进行相关的技术培训。及时学习审计技术以及计算机知识,来应对审计工作的新挑战。审计署可以牵头例如南京审计大学、西南财经大学这些在信息系统审计方面已经小有教育成效的高校,举办在岗审计人员的信息系统审计技术的继续教育培训班,并把培训中反映出来的问题反馈给审计主管部門。除此之外,积极鼓励会计师事务所和企业内审部门为本单位审计主管人员提供例如CISA、CISM等信息系统审计师的培训条件。但由于实际中培训需要花费的费用较高,让企业单方面承担培训费用可能有些困难。所以我们可以尝试将ISACA引入大陆(迄今为止中国只有香港分会,中国大陆并不设置分会),在政府协调下适当控制其费用,并积极培养我国的信息系统审计人才,力争早日出台我国自己的信息系统审计培训模式,为更好的培养适合我国国情的信息系统审计人才作出应有的贡献。
(五)跨行业的信息技术整合
现代的审计技术涉及诸多领域,信息系统审计的审计内容也不可能是单一的财务信息数据,它也会同时牵扯到其他行业的相关数据。但是,这些数据信息的获取都需要依靠该行业本身的数据信息系统。在联网审计日趋成熟的今天,各行业的信息资源整合度越来越高,相互间的数据关联度越来越高。而信息系统审计师正是需要同时具备审计、会计、信息技术等多方面的专业知识,恰好可以应对这样多领域资源整合要求审计人员对多领域知识都熟悉的难题。他们可以对高度整合的联网信息的安全性、完整性进行客观的审计评价,并为企业健全联网的信息系统内部控制制度提出最为专业的建议。
所以说,将互联网数据库技术与信息系统审计技术整合,培养新型Is审计人才,交叉利用多种信息技术手段能够极大的帮助审计人员克服审计活动中的技术难题,有助于更加专业地将非财务的数据信息转换为审计人员所需的财务信息,更好地降低审计的风险,提高审计的效率。将审计技术与其他高新技术结合使用将是我们可以尝试的新出路。
(六)与人工智能技术相结合
在大数据技术的近些年发展中,人工智能技术可能是与我们走的最近的一种新兴技术。如果能够将其与我们的信息系统审计技术结合起来,利用智能技术完成基本的数据采样工作,这会更有助于信息系统审计工作的开展。将融合了数据库技术、平行测试技术、数据挖掘等一系列技术,能够模拟我们人类的思维方式,根据信息数据的来源来大致判断审计证据的可靠性,并进行对系统内的数据信息内部控制进行评价的审计专家系统(AuditingExpert System)作为下阶段人工智能与审计结合的发展重点、我国信息系统审计发展的主要方向,将极大的缓解审计的效率与审计的风险之间的矛盾。
五、结语
在如今这个信息大爆炸且高新技术飞速发展的时代,面对我国国内信息系统审计的巨大需求,完善适合我国国情的信息系统审计准则,并将它积极推广,培养出我国的高级审计人才,或许是现今我国审计发展的最好的选择。
