摘要:
信息系统已被广泛应用于经济社会的各个层面。从审计角度来看,随着信息处理的自动化和被审单位内部控制的网络化,隐含在信息系统中的审计风险越来越大,直接影响着审计工作质量。笔者认为,应加强网络环境下信息系统审计建设。
(一)建立健全信息系统审计规范体系
建立健全信息系统审计规范体系,是促进信息系统审计发展的基础。规范体系具体包括信息系统审计法律体系、信息系统审计实施标准体系、信息系统安全标准体系、信息系统审计人员从业资格体系等。其中,信息系统审计法律体系是保障信息系统审计正常发展的根本前提,也是其他规范体系构建的基础。加强网络环境下信息系统审计的相关立法,可以使审计执业人员在开展信息系统审计工作尤其是进行电子证据、电子签名、电子合同、电子货币等合法性审计时有法可依、有章可循。
需要注意的是,网络环境下的信息系统不是一个单一的业务处理系统,而是一个全局系统,如电子政务、电子商务、ERP等系统已经完全将业务启动、授权与处理同财务数据捆绑整合在一起;信息系统审计也已经不仅仅是系统本身的审计,而是涉及到审计工作的全部内容,其规范体系也不应局限于信息系统审计这一单一领域。对此,笔者认为...
信息系统已被广泛应用于经济社会的各个层面。从审计角度来看,随着信息处理的自动化和被审单位内部控制的网络化,隐含在信息系统中的审计风险越来越大,直接影响着审计工作质量。笔者认为,应加强网络环境下信息系统审计建设。
(一)建立健全信息系统审计规范体系
建立健全信息系统审计规范体系,是促进信息系统审计发展的基础。规范体系具体包括信息系统审计法律体系、信息系统审计实施标准体系、信息系统安全标准体系、信息系统审计人员从业资格体系等。其中,信息系统审计法律体系是保障信息系统审计正常发展的根本前提,也是其他规范体系构建的基础。加强网络环境下信息系统审计的相关立法,可以使审计执业人员在开展信息系统审计工作尤其是进行电子证据、电子签名、电子合同、电子货币等合法性审计时有法可依、有章可循。
需要注意的是,网络环境下的信息系统不是一个单一的业务处理系统,而是一个全局系统,如电子政务、电子商务、ERP等系统已经完全将业务启动、授权与处理同财务数据捆绑整合在一起;信息系统审计也已经不仅仅是系统本身的审计,而是涉及到审计工作的全部内容,其规范体系也不应局限于信息系统审计这一单一领域。对此,笔者认为,可以针对信息系统审计建立专门的规范;或者在相关的法律标准体系中融入相应的规范条款,例如,安然丑闻事件后,美国国会和政府于2002年通过的《萨班斯法案》中即要求对ERP一类的系统必须进行相应的评估。从这个层面上讲,信息系统规范体系的建立健全,不仅要与信息系统技术环境相适应,还应与外部行业发展及制度环境相适应。
(二)加强信息系统内部控制审计建设
信息系统内部控制审计是对信息系统各项内部控制措施的健全性和有效性进行审查与评价,以确保信息系统的安全、可靠及有效运行,这对于处理海量数据、分布式复杂信息系统尤为重要。在网络环境下,信息系统项目相关者不仅有系统开发人员,还包括未来系统的销售人员、系统的应用人员等,为建立全员参与的信息系统内部控制审计体系,一是要完善内部控制环境,使内控制度得到具体落实,并且能对执行效果进行评估、评价和信息反馈。二是加强技术应用,包括日志、监控系统和综合分析平台应用、防火墙的建立以及防病毒、入侵检测、身份管理、权限管理等。三是加强风险评估和流程管理。
(三)开发先进的信息系统审计技术
先进的审计技术是提高审计效率和审计质量的重要手段。审计人员只有熟练掌握审计技术,才能取得充分可靠的审计证据,从而有效执行审计,实现审计目标。目前,我国信息系统审计技术发展迅猛,但与欧美国家相比,还存在一定的差距。开发先进的信息系统审计技术已成为我国信息系统审计发展的必经之路。一是构建网络审计平台。通过建立信息系统审计网络接口,开发基于网络的通用信息系统审计平台,以实现信息系统审计的开放化、网络化和并行化。二是开发审计专家系统。审计专家系统是信息系统审计智能化的体现,利用审计专家系统中的知识、经验和规则,通过一定的判断、解释和推理,模拟审计专家进行信息系统审计,并做出相应的审计分析、建议和结论。有效的审计专家系统关键在于建立丰富的结构化的知识库,以进行智能分析与推理。这需要根据实际的业务领域进行专门的技术攻关。三是加大信息系统审计技术基础研究。我国信息系统审计技术基础研究十分薄弱,在信息系统安全审计技术、信息系统审计数据挖掘功能、信息系统审计评价技术、信息系统审计证据生成技术等领域应开展系统而深入的研究,并及时进行成果转化应用。
(四)建立完整的信息系统审计人才培养体系
高素质的信息系统审计人才是促进信息系统审计发展、提升信息系统审计质量的关键。由于信息系统审计涉及审计、网络技术、会计、财务管理、信息系统管理、数据库、程序设计、网络技术等诸多方面,因此其人才培养十分艰难。目前国内尚无高校开设信息系统审计专业。笔者建议,将学历教育、社会培训、应用实践以及执业资格认证相结合,从高校审计与计算机相关专业改革入手,结合信息系统审计与控制协会(ISACA)发起的注册信息系统审计师(CISA)认证体系,构建从审计理论研究到应用实践的完整的信息系统审计知识结构与人才培养体系。需要说明的是,信息系统审计人才培养必须以政府为主导,从国家、行业层面进行顶层设计和政策推动,方能见实效。■
责任编辑 李卓