制约审计机关开展信息系统审计问题成因及对策

下面是小编为大家整理的制约审计机关开展信息系统审计问题成因及对策,供大家参考。

　制约审计机关开展信息系统审计的问题成因及对策

　 随着计算机技术、网络技术与通讯技术的广泛应用与普及，企业的经营、管理与核算模式正在发生较大的变化，愈来愈依靠于高效、复杂而又庞大的信息系统，也改变了传统的企业会计信息系统与经营管理系统的构成要素。审计人员面临的原始资料不再仅仅是手工的凭证、账簿与报表，而是计算机信息系统本身及其高度集中的大量电子数据。在这种情况下，以审查真实性、合法性与效益性为目的的国家审计，将不可避免地受到审计对象信息化高速进展所带来的冲击与挑战。

　信息系统审计作为信息系统环境下一种全新的审计方式，是以系统内部操纵测评与审查信息系统本身为基础，通过收集、转换、整理、分析与验证信息系统所产生的电子数据，来实现审计目标的审计方式。未来一段时期内，审计机关要想完成“全面审计，突出重点”的审计目标，担负起社会经济运行的“免疫系统”作用，就务必要使信息系统审计有所作为。近年来，审计署已经高度重视，并在《*至 2007 年审计信息化进展规划》中明确提出，要积极探索信息系统审计。然而，目前已开展的信息系统审计试点工作尽管积存了一些经验，取得了一些成果，但总体而言，与石爱中副审计长提出的“争取早日把信息系统审计作为一种审计常态”的要求相比，尚距离甚远。

　那么，现阶段制约各级审计机关普遍开展信息系统审计的问

　题要紧原因是什么。笔者通过深入研究与细致分析认为，成因如下：

　一、客观因素

　（一）开展信息系统审计的法律、法规根据不充分。

　信息系统是由硬件、软件、数据、人与内部操纵制度等部分构成。信息系统的构成要素应当包含会计信息系统、业务信息系统、管理信息系统与决策信息系统等企业所有的信息系统。目前，审计机关开展信息系统审计所依靠的法律法规要紧有《中华人民共与国审计法》与《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》（国办发〔*〕88 号）等。笔者发现，上述法律法规仅授权审计机关对被审单位运用电子计算机管理财政与财务收支电子数据系统（即会计信息系统）进行审计，而对与被审单位管理与决策等有关其它信息系统的审计，则未予以明确授权。因此，审计机关在对被审单位会计信息系统以外的其它信息系统进行审计或者审计调查时，常遭到对方以涉及国家、企业与技术秘密等种种理由而拒绝；或者者即使勉强配合，但由于提供的有关资料不完整或者不及时而严重影响信息系统审计工作的开展。

　（二）信息系统审计有关审计准则与操作指南不完善。

　由于我国开展信息系统审计正处于起步阶段，对审计机关如何开展信息系统审计尚在积极探索中。因此，目前尚没有一个完

　整的、成熟的具有示范作用的审计案例，也缺少具备实际指导意义的有关信息系统审计准则与操作指南。

　信息系统审计，必定涉及会计信息处理自动化、表示代码化、信息处理与存储集中化、内部操纵程序化等诸多复杂的计算机专业技术环节。另外，国家有关部门对信息系统安全还有特殊的要求。因此，关于面向信息系统的计算机审计，审计机关应当尽快建立一套完整有效的符合中国经济进展现状的审计准则与操作指南。审计署近期公布的《审计机关内部操纵测评准则》有关条款，由于对信息系统内部操纵测评的规定过于笼统，对开展信息系统审计而言，则不具有实质的操作性。

　信息系统审计准则与审计指南的缺失，不利于规范与指导信息系统审计实践，不利于衡量与评价信息系统审计工作质量，也不利于防范与规避信息系统审计风险。

　（三）被审单位信息系统的复杂性、多样性因素影响。

　自上世纪九十年代以来，企业会计电算化已逐步走向成熟，信息化建设步伐逐步加快，以 erp、mrp—Ⅱ为代表的企业信息系统的高度集成日趋成熟。如今，企业的信息系统不再是孤立的系统，而是集财务、人事、供销、生产为一体的综合性的信息系统，财务信息只是这个信息系统的一部分。在这种情况下，仅对财务信息进行审计，而忽略对整个系统进行全面熟悉，就不能把握审计对象的总体情况，提高审计效率与审计质量，同时，还难以避

　免固有审计风险。

　审计调查发现，我国企业目前信息系统中应用的计算机硬件、系统软件与应用软件等大多来源于国外公司；我国上市金融企业的会计报表年度鉴证审计也大多选择外国的著名中介机构来完成。由于上述原因，从某种角度来说，我国某些领域的经济数据已经没有秘密可言，甚至在某种程度上已威胁到国家的经济运行与安全。由于信息系统审计是一个通过收集与评价审计证据，对信息系统是否能够保护资产的安全、保护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地利用等方面作出推断的过程。因此，假如审计机关不对信息系统的安全加以关注，并尽快具备全面的信息系统审计的能力，上述被动局面就很难完全改变，审计做为国家“免疫系统”的作用就会受到极大地限制。

　二、主观因素

　（一）对信息系统审计的认识普遍存在偏差且重视程度不够。

　客观来看，各级审计机关目前已经基本能够熟练掌握与运用电子数据审计方式进行实质性测试，也因此取得了很大的审计成果。一些审计人员甚至认为，数据审计已经能够发现大案要案线索，何必再开展烦恼的信息系统审计呢。从长远来看，这种认识是相当片面的。由于，在信息系统环境下，电子数据按程序自动进行处理，假如信息系统的应用程序出错或者被非法篡改，则信

　息系统只会按照错误程序进行输入输出处理。同时，信息系统也有可能被人为嵌入非法的舞弊程序而导致错误的结果。而现行的数据审计只是通过一定方式取得被审计单位的备份数据，在此基础上进行审计分析，不能从根本上解决“假账真审”或者者“假电子数据真审”的问题。因此，审计机关应当改变片面重视数据审计的模式，充分认识到信息系统的特点及其固有风险。

　（二）现行考核制度对信息系统审计缺乏积极的推动作用。

　从审计机关已经开展的信息系统审计案例结果来看，由于既缺乏合适的理论支持，又缺少国内实践经验，目前开展信息系统审计往往需要实施全面审计，涉及人员多，特别对计算机专业人才要求高，审计项目总体时间长，审计效果不甚理想。另外，目前开展的信息系统审计试点工作要紧目标是探索符合中国特色的信息系统审计新技术与新方法，与目前着重抓大案要案与要情要目的考核目标不完全相吻合。因此，在现有考核目标与内容不变的情况下，各级审计机关与审计人员很难将现行审计工作重点转移过来，开展信息系统审计显然难以得到高度重视。

　（三）审计机关现有信息系统审计人才匮乏。

　开展信息系统审计，需要熟悉、熟知审计专业与计算机专业的高端复合性人才。包含两个方面的人才，一种是熟知审计、担任过大型项目主审且熟悉计算机应用（比如计算机中级水平以上）的高级审计师；另一种是熟知计算机（比如注册信息系统审计师

　cisa）或者者熟练掌握数据库原理、数据库访问技术、信息系统的通常操纵与应用操纵、与软件工程等知识，同时又熟悉审计原理与审计实务的计算机专业人才。从审计机关目前的现状来看，显然这两方面的人才都相当匮乏。

　自*年至今，已通过审计署计算机中级培训考试的 2000 多名审计干部，对常见的数据库系统，比如 access、foxpro、microsoftsqlserver 等比较熟悉，也能熟练地运用 ao 软件、数据库软件等开展审计。但是，关于目前企业信息系统普遍使用的大型数据库系统，比如 oracle、db2、informix 与 sybase 等则熟悉不多。由于大多数审计人员对信息系统开发、构成与内部操纵等计算机技术熟悉有限，导致目前普遍开展信息系统审计存在很大的技术障碍。

　三、解决办法与计策

　（一）审计机关务必加快进展我国信息系统审计理论与实践的探索，尽快促使有关部门以法律、法规的形式将开展信息系统审计应当包含的内容与范围确定下来，使审计机关能够依法开展信息系统审计，更好地履行宪法与法律给予的职责。

　（二）审计机关应当尽快组织制定出台有关信息系统审计准则与审计指南，以规范与指导信息系统审计实践，提高审计工作质量，防范与规避审计风险。

　（三）为进一步进展我国的审计事业，融入世界审计主流，

　审计机关与审计人员应当提高认识，高度重视信息系统审计。同时，应加大力度开展各类形式的培训，培养一批熟悉与熟知审计专业、计算机专业，并能够迅速开展信息系统审计的高端复合性人才。