标题 | 关于开展信息系统审计的研究 |
范文 | 刘立彦 [摘 要]随着信息技术在各领域的广泛运用,信息系统审计也日益为人们所关注。未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展,但与国外相比,我国信息系统审计的开展还处于探索阶段。在这种背景下,笔者认为有必要探讨信息系统审计的演进过程,结合审计实践,对信息系统审计的有关理论进行思考和研究。本文在回顾信息系统审计演进的基础上,从定义入手,讨论相关内容(如特征、范围、策略等),并进一步归纳分析信息系统审计的一般流程,以提高对信息系统审计及其价值的认识,强化对信息系统审计活动实践的指导。 [关键词]信息系统;审计; doi:10.3969/j.issn.1673 - 0194.2017.12.017 [中图分类号]F239.1 [文献标识码]A [文章编号]1673-0194(2017)12-00-02 1 信息系统审计的演进 “信息系统审计”(IS审计)是近些年我国出现的新概念。在国外,尤其是美国、日本等发达国家,信息系统审计已经发展到相当程度,但在我国信息系统审计才刚刚起步。它是与企业信息化过程紧密联系的,是审计技术与信息技术共同发展的必然产物。 20世纪中叶,计算机及其技术开始应用于企业的经营、管理。20世纪50年代,计算机第一次应用于工商企业——使用打孔卡作为数据存储和批处理。20世纪60年代,工业500强中超过50%的公司广泛使用电子数据处理操作。1975年,至少有20万台主机应用于企业,而物料需求计划(MRP)进入第二代物料资源计划(MRPⅡ)。但由于当时审计人员可用的审计软件(GAS)过多,导致组织在投资这些审计软件时不得不考虑成本效益,因此,从20世纪60年代到80年代,电子数据处理(EDP)相关(内部)审计技术应用缓慢。20世纪90年代,世界经济处在即将步入21世纪信息(技术)时代的顶点。 2 信息系统审计的业务范围及一般流程 2.1 信息系统审计的业务范围 信息系统审计的业务范围应包括与信息系统相关的所有领域,主要为:①对组织的信息系统审计,集中在对信息技術的管理控制;②技术方面的信息系统审计,包括构架、数据中心、数据通信等;③应用的信息系统审计,包括经营、财务;④开发实施信息系统审计,包括需求识别、设计、开发以及实施后阶段;⑤信息系统的合规性审计,主要指信息系统是否符合国家或国际标准的审计;⑥电子商务审计,包括网誉审计、电子签名审计业务等。 具体而言,信息系统审计的业务范围有:①信息系统开发计划、管理及组织架构的战略、政策、标准及相应实践过程的评估;②信息资源在运行环境、逻辑访问、IT基础设施等方面安全性的评估;③业务流程风险管理水平的评估;④灾难恢复及业务持续能力的评估;⑤技术基础设施及运行实践的效能以及效率的评估;⑥对于系统开发、实施与维护方法和过程的评估;⑦财务系统的评估。 2.2 信息系统审计的一般流程 信息系统审计的一般流程,与普通审计基本相同。审计过程一般可划分为准备阶段、实施阶段和终结阶段。 2.2.1 准备阶段 信息系统审计的准备阶段是整个审计程序的重要环节,这个阶段是整个审计过程的基础阶段,这个阶段的工作难点在于面对海量的数据。相关人员如果不使用风险分析方法,不关注内部控制,直接对信息系统的数据开展详查,容易导致对审计认识不足、准备工作不全面的不利局面。因此,有必要系统分析解决问题可以采取的方法、步骤,以及应注意的问题,并加以综合探讨。 2.2.2 实施阶段 审计实施阶段是根据审计准备阶段对企业的调查、审计风险的分析,确定审计内部控制测试和实质性测试的程序和范围,以此判定需要哪些数据信息,并对被审计单位及其信息系统展开审计活动的具体工作阶段。其主要任务是:按照信息系统审计方案所确定的审计内容、范围、重点和方式等要求,采用相应方法查明情况,对取得的各种证据进行鉴别、分析,判明是非和找到问题的本质,做出客观公正的评价,并酝酿处理意见和改进建议。 2.2.3 终结阶段 具体的实施工作完成后,将进入终结阶段。终结阶段的主要工作包括:①整理归纳审计资料,反映内控制度的结果,并揭示问题、明确责任、发现违法线索;②撰写审计报告,在审计报告中,应着重说明发现了哪些问题,并建议被审计单位进行改进;③与被审计信息系统管理者进行沟通;④发出审计结论和决定;⑤审计资料的归档和管理。 3 积极开展信息系统审计的重要意义 当今,信息化的发展已经达到了新的高度。许多企业开展了电子商务业务,并着手整合、升级自身的管理信息系统。信息系统作为企业现代化发展的重要标志,日益被众多企业重视,越来越多的信息系统陆续被应用于企业日常的经营、管理活动中,但也要看到信息系统规模的扩大、功能的增加也会给企业带来更大的风险。且社会对审计的要求也越来越高,需求越来越多,许多传统审计不能解决的问题,需要由信息系统审计来处理。因此,积极开展信息系统审计具有重要意义。 3.1 信息系统审计可以为利益各方提供有效的鉴证业务 被审计单位信息系统产生资料的真实性、可靠性、完整性,关乎企业本身的决策,影响着企业的生存与发展,同时这些信息对利益相关者也十分重要。但由于现实原因,信息使用者无法亲自对这些信息一一鉴别,且信息系统具有容易删除数据或篡改数据而不会留下痕迹的存储特征,导致信息系统在缺乏管理控制条件下产生的数据信息同样缺乏可信度。 由此可见,信息系统审计对信息系统内部环境安全控制,以及所产生数据的鉴证、评价作用是十分重要的,针对这些信息的真实性、完整性进行独立、客观的审计,且由此产生的公允、客观的审计报告,对合理保证资产的安全、数据的完整、系统有效实现组织目标并有效利用组织资源,乃至支撑整个信息化事业的发展,以及社会对信息化事业的信心具有举足轻重的作用。 3.2 信息系统审计可以为企业管理者以及业务人员提供及时的咨询活动 在信息系统审计过程中,信息系统审计师能够凭借自身,在构建、完善企业内部控制、信息系统管理等方面的专业知识、工作经验,根据企业的实际需要,为企业的管理者以及业务人员对现有的组织结构、业务流程、软件功能进行调整,以使之更好地适应企业的发展,并帮助降低信息化带来的风险。 为了进一步与国际接轨,建立起高效、迅速的现代物流系统,海尔集团请专业的IS审计人员对现有的物流系统进行评估。在审计评估的基础上,海尔集团结合企业自身的实际情况,改进了现有的物流系统,采用了SAP公司的ERP系统和BBP系统(原材料网上采购系统)。ERP系统和BBP系统采用以后,打破了原有的“信息孤岛”,使信息同步集成,提高了信息的实时性与准确性。 3.3 信息系统审计可以帮助企业更快、更好的发展 实施信息系统审计后,企业可出具具有一定法律效力的审计报告。同时,信息系统审计师也可以通过在线的方式,实时鉴证企业的信息。审计报告、实时鉴证对于企业的利益相关者来说具有重大的价值。如果通过审计报告、实时鉴证证明该企业信息系统产生的信息是可信赖的、完整的,将有利于利益相关者对企业经营活动的监督,同时也有利于企业的融资活动,促进企业快速发展。 4 结 语 信息系统审计对于审计信息化和审计现代化建设,以至整个信息化事业的发展具有重大意义。但目前我国的信息系统审计工作尚处于起步和探索阶段,与国际上信息系统审计已经体系化、标准化、程序化相比,存在明显的差距,尤其是缺少专业准则作为指引;缺少大量能够全面开展信息系统审计业务的队伍作为支撑;缺少“通用”“专业”的审计软件作为保障。面对目前日益发展的信息技术、扩大的信息系统审计领域,以及风险导向型审计的新要求,相关人员必须借鉴外国的先进经验,结合我国信息化的实际特点加强自身学习,了解并掌握信息系统审计所需的知識,不断提高信息系统审计的质量,不断推进审计向现代化发展,从而做好真正意义上的风险基础模式的审计业务。 主要参考文献 [1][美]贝利,格拉姆林,拉姆蒂.内部审计思想[M].王光远,译.北京:中国时代经济出版社,2006. [2][美]Lawrence B Sawyer,Mortimer A Dittenhofer,James H Scheiner.索耶内部审计——现代内部审计实务[M].邰先宇,周瑞平,译.北京:中国财政经济出版社,2005. [3][美]Jack J Champlain.审计信息系统[M].第2版.张金城,译.北京:清华大学出版社,2004. |
随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。