浅谈开展信息系统审计存在主要的问题及对策

摘要：本文通过阐述现阶段信息系统审计存在审计理念相对滞后、缺乏信息系统审计的复合型人才、开展信息系统审计的法律法规依据不充分、缺少信息系统审计的行业标准与实务指南等问题，并针对上述问题提出转变理念、审计立项以及完善制度和内容等建议。

关键词：审计 信息系统 信息系统审计

随着科技的进步和信息技术的广泛应用，以计算机和网络为特征的信息系统日益普及，被审计单位会计信息系统高速发展，会计电算化及信息化程度越来越高，大量的业务数据和财务数据都存储在计算机中，审计人员开展数据式审计的基础数据均来源于被审计单位提供的数据库备份数据。因此上述数据的真实性和准确性直接影响着审计结果的真实性，也间接影响着审计质量。信息系统审计作为审计信息化环境下的一种全新审计模式，成为审计业务工作的重要组成部分，越来越受到各级审计部门的重视。

一、信息系统审计

信息系统审计主要是指审计机关接受本级人民政府或上一级人民政府的委托或授权，收集并分析被审计单位信息系统安全性、稳定性及合规性等因素，对系统进行全面的评价和分析，从而帮助被审计单位对系统进行完善和改进。目前审计机关信息系统审计的方式主要有两种：一种是审计机关独立立项，对被审计单位的信息系统进行全面的分析和评价，并出具独立的、专业的信息系统审计报告；另一种是融合在其他审计项目中，如在经济责任审计项目中，由于信息化建设的投入金额大、重要性高，因此在进行经济责任审计评价时加入对信息系统投入的绩效评价，作为其他审计项目的补充。

二、开展信息系统审计存在的主要问题

在目前的审计实践中，信息系统审计成果似乎并不明显，原因主要有以下几个方面：

一是审计理念相对滞后。目前我国的信息系统审计工作刚刚起步，审计人员已经不仅仅局限于传统的审计方式，而是逐渐通过对被审计单位的原始业务数据和财务数据进行分析，并对相应的业务流程进行符合性测试，从而逐步发现被审计单位业务和财务上的问题。部分审计人员认为，数据式审计已经能够发现大案要案所需的线索，没有必要再投入大量的人力物力进行复杂的信息系统审计。

二是缺乏信息系统审计的复合型人才。从目前审计人员综合素质来看，既精通审计业务又精通计算机知识的复合型审计人员较少。首先，审计人员在审计时难以在短时间内完全透彻地了解被审计单位的信息系统，在有限的审计时间内也难以对系统进行评估。其次，难以发现系统内的漏洞。在现场审计过程中，审计人员一般不被允许对正在运行的系统进行测试，因此较难发现系统存在的问题。第三，难以评估系统漏洞所导致的后果。在审计实践中，即使审计人员发现了信息系统的漏洞，但是未发现该漏洞所导致的已经存在的后果，常常使得审计结论缺乏直接证据支撑。

三是信息系统审计缺乏相应的法律、法规支撑。根据目前我省信息系统审计的开展情况来看，审计机关对信息系统审计所依据的法律法规主要有《中华人民共和国审计法》第三十二条、《江苏省审计条例》第三十三条的规定以及、《国务院办公厅关于利用计算机信息系统开展审计工作的有关问题的通知》（〔2001〕88号）。笔者发现，上述法律法规仅授权审计机关对被审计单位的财务和业务信息系统进行审计，但是对审计对象的范围和具体内容没有进行明确指导，对审计过程中发现系统存在的各种问题缺乏相应的法规进行问题的定性，这成为信息系统审计开展过程中急需解决的问题。

四是信息系统审计的行业标准与操作指南缺失。由于我国开展信息系统审计正处于起步阶段，审计署对信息系统审计的行业标准尚未制定，审计部门也没有出台明确的信息系统审计操作指南。因此，审计人员在实际审计中感觉无从下手，审计过程中发现的问题不能准确进行定性，审计结束后无法对被审计单位提出可操作性的审计建议，审计风险也时刻束缚着审计人员能否对审计发现的疑点查深查透。

三、开展信息系统审计的对策

（一）提升审计人员信息系统审计的重要意识

虽然近年来审计手段信息化的脚步不断加大，审计机关也逐渐体会到了数据式审计所带来的优越性，各级审计机关也在大力的推进数据式审计，但是大多数人对于信息系统审计的认识还不到位，甚至对实施信息系统审计的必要性持怀疑态度。如果不转换审计观念，将审计目标仅仅局限为查错纠弊，势必会将审计信息化带入误区。只有保证数据式审计中数据的原始性和真实性，才能真正的实现审计信息化的优势，不然将数据式审计建立在被审计单位提供的不真实数据上，数据式审计的优越性将大打折扣。因此为如何保证审计数据的真实性、完整性及合规性成为审计初期急需解决的问题。因此只要审计项目依托于被审计单位信息系统中所运行的数据，就必须要对该信息系统进行审计，检查系统的内部控制体系是否完善，核查系统数据与业务报表是否一致，从而杜绝假账真审的情况发生。只有全面树立系统基础审计或风险基础审计的观念，才能理解信息系统审计的重要意义。

（二）信息系统审计项目的立项要科学

一是选择信息系统审计项目的主要原则是被审计单位的核心业务要高度依赖于信息系统，并考虑审计自身人力资源及审计力量等。二是要整合审计机关资源，抽调计算机专业人员和通过计算机中级考试的业务骨干参加审计项目。三是做好审前调查。开展信息系统审计，应于审计进点之前提前对信息系统进行深入分析，主要分析被审计单位的业务流程、作业模式，坚持用“边学习、边实践、边总结”的工作方法对被审计单位信息系统进行数据获取、数据检查、统计抽样、分析比较、测试数据处理等一系列操作来控制在计算机信息系统环境下影响审计质量的各种不利因素，保证信息系统审计的结果能够应用于整个审计工作中，做好信息系统审计与整个审计工作的衔接，确保审计质量，降低审计风险。

（三）完善法律制度，确定审计内容

笔者认为审计机关应一方面尽快促使相关部门以法律、法规的形式将开展信息系统审计应当包括的内容和范围确定下来，使审计人员在审计过程中，能够对各种问题找到相应的定性依据；另一方面，信息系统审计的内容应该明确五个审计方面：一是总体IT控制环境审计。主要审查被审计单位是否将信息化目标纳入单位整体发展目标体系，制定中长期信息化工作规划，明确具体部门职责；二是基础设施控制审计。主要检查被审计单位机房物理环境是否符合《信息系统基本功能规范》，被审计单位软硬件采购管理相关文档和流程的合规性，检查被审计单位软硬件管理制度的落实情况并作出审计评价；三是信息系统生命周期控制审计。主要审查系统开发是否符合程序和响应业务需求，系统的采购是否经充分论证和法定程序、长期系统和应用程序修改和变更是否符合需求变更和安全策略及上述三项控制目标是否可以保证适当的开发和实施系统应用程序。系统程序化控制是否恰当性，系统文档资料的完整性，目标系统的逻辑模型是否正确体现了系统的业务与信息处理流程；四是信息安全控制审计。主要审查控制策略是否可靠、持续有效，应用系统对敏感业务数据的访问权限是否进行分类管理，敏感参数是否激活等；五是信息系统运营维护控制审计。主要审查系统操作管理环境，操作管理流程，软硬件变更记录及测试记录。审查系统能否在在发生意外事件的情况下，通过灾备恢复计划保证核心数据的安全及保证医院业务的持续性。

参考文献：

[1]乔鹏，杨宝刚.会计信息系统审计[M].北京： 清华大学出版社，2003

[2]董化礼，刘汝焯.计算机审计数据采集与分析技术[M].北京：清华大学出版社，2002

[3]刘汝焯.计算机审计技术和方法[M].北京：清华大学出版社，2004

[4]董明灿.信息系统审计实例[M].徐州：华厦文化艺术出版社，2008

[5]中注协.独立审计具体准则20号――计算机信息系统环境下的审计[S].1999