信息系统审计策略
2022-02-22邹先娥
邹先娥
关键词:信息系统;审计;策略
随着信息技术的迅速发展,计算机技术在企业管理方面的迅速普及,电子商务和电子政务的广泛运用,信息系统审计的地位和作用日益凸显。由于法规依据、专业规范、审计资源等诸多因素的制约,我国信息系统审计仍处于起步阶段。加强信息系统审计理论的研讨,对促进信息系统审计的发展具有十分重要的意义。
国际上对信息系统审计还没有固定、统一的定义。国际信息系统审计委员会(ISACA)认为“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标的过程”。据此,对于影响信息系统的安全性、稳定性和有效性的所有元素,都应纳入信息系统审计的内容,包括信息系统管理与控制、信息系统基础设施、信息防护、应急计划和灾难恢复等,可以采取全面审计或专项审计、定期审计或非定期审计方式开展,在开展过程中应贯彻以下策略:
一、审计依据策略—加强法规、标准和制度建设
与一般审计一样,信息系统审计应有相应的法律制度依据。目前,指导信息系统审计的法律依據主要有《中华人民共和国审计法)、《独立审计具体准则第20号一计算机信息系统环境下的审计》等,在审计实践中,这些依据暴露出缺乏具体、可操作性的缺点;同时,大多数组织内部也没有完善的制度规定,造成信息系统审计缺乏有力的制度支撑。因此需要加快法规制度建设,为开展信息系统审计提供依据。一是加快相关的实施细则的制订。在信息时代,系统中的控制及相互依赖已经没有了组织与地理位置的限制,不管是什么规模的组织,都需要有一套控制指南来有效地管理信息系统和技术,并随着业务环境的变化和新技术的发展及时更新系统;二是各行业可将国际公认的信息安全标准与我国法律、法规、标准相结合,制定比较具体的信息化建设的规划和技术标准;三是将信息系统审计纳人企业内部控制框架之中,推动信息化管理内控制度建设,为实施信息化管理提供制度保障,使信息、系统审计逐步作为制度化的、日常的审计业务来开展。
二、审计目标策略一系统价值最大化
信息系统审计有四大目标,即:安全性、可靠性、效率性和效用性。这四个目标具有递进性关系,安全性是基础,绩效性是归宿。由于这四个目标之间并不总是正相关的关系,存在内在的矛盾性,所以需要在各目标之间进行权衡,以实现信息系统价值的最大化。如何评定系统价值最大化呢?笔者认为,可以根据组织的实际情况,为各目标设定一个权重,然后对各目标进行独立评分,取加权平均值最大的作为系统价值最大化的评判标准;信息系统价值最大化,可以引导资金的合理流动、促进资源的有效配置、保护产权,降低内耗,进而实现企业价值最大化,与组织目标保持高度弥合。
三、审计范围策略一以点带面逐步推开
由于信息、系统审计处干起步阶段,信息系统审计方面的法规、技术等尚不成熟,审计人员对所有业务系统缺乏全面的了解,各组织信息化程度层次不齐,所以在我国全面开展信息系统审计还不大现实。只能选择条件成熟的行业和业务系统开展审计实践,以点带面逐步推开。笔者认为,可以选择下述内容进行开展:一是对信息程度较高的企事业单位率先开展。如金融、电信、政府等信息化程度较高,具备了开展信息系统审计的条件,其自身也有内在需求;二是对关键的业务应用系统率先开展,如会计电算化系统、企业办公自动化系统(OA)、企业资源规划系统(ERP)、电子商务系统(EC)等,依靠对这些系统审计方面的突破,引导建立成熟的信息系统审计体系。
四、审计重点策略一风险导向审计
风险导向审计是一种有效审计策略。信息系统审计作为审计不可或缺的一部分,理应建立风险导向审计策略。国内外的实践表明:信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大,如果不加选择地开展,在资源利用上是不经济的,也违背了成本效益原则。以风险为导向来确定审计重点,可以起到事半功倍的效果。通过对系统所固定的风险和系统内部控制机制进行评估和分析的基础上,对系统高风险和控制环节进行重点检查和检测。按风险大小对各项业务进行排序,对风险高的业务优先审计,增加审计频率。
五、审计方法策略一坚持继承与创新
继承传统的审计方法,并根据信息系统审计的需要进行创新,可以大大提高审计的质效。如对基础设施审计可采用现场观察或测试,对系统控制与运行审计可采用查看运行日志与记录等传统的审计方法,同时又可根据信息系统的特征进行必要的创新,如对系统运行状况采用平行模拟测试、试探性操作,对关键系统采用嵌入式审计模块等。坚持继承和创新,通过审计实践,逐步建立起一套系统的、成熟的、适合该系统的审计方法体系。
六、审计沟通策略一参与式审计
以解决问题为导向的参与式审计是西方现代内部审计的精髓。参与式审计可以营造和谐的审计环境,提高审计的质效。参与式审计就是审计人员抱着信任的态度,本着服务的宗旨出发,与被审计单位充分讨论审计实施方案,听取其想法,共同探讨审计中发现的问题和改进的措施,更容易赢得理解与信任,推动审计成果运用。
[1]卢红柱.计算机信息系统审计的探索之路[J].审计研究;2006年S1期.
[2]管亚梅,数据式审计及其在我国的运用[J]财会通讯(综合),2007,(10)
[3]李希福,知识经济条件下的审计创新对策[J]财会通讯,2000,(1)
[4]张永雄.信息系统审计产生及发展研究[J].审计与理财.2005年S2期
[5]黎克双.电算化会计信息系统的内部控制[J].吉首大学学报(自然科学版).2001年02期
