浅析信息系统审计在我国的发展现状
———————————————————————————————— 作者: ———————————————————————————————— 日期:
2
浅析信息系统审计在我国的发展现状
摘要:随着计算机技术的不断发展,企业的经营发展对于计算机信息系统的依赖程度越来越强,在信息技术突飞猛进的网络时代,由于大型管理信息系统的普遍使用,对信息系统安全和稳定性的控制受到越来越多的重视,信息系统审计也就应运而生。本文分析了我国信息系统审计的发展现状和问题,并提出了加快信息系统审计发展步伐的建议。
关键词:信息系统审计 现状 问题 建议 一.信息系统审计概述 1.信息系统审计的定义
信息系统(Information system)是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。信息系统审计就是对信息系统进行审计,是信息系统审计人员对被审计单位的信息系统从规划、开发、实施到维护的整个生命周期进行全面审查与评价,在此过程中,信息系统审计人员应对信息系统的安全性,可靠性以及实现组织目标的有效性做出判断,并向企业的管理者报告。
2.信息系统审计与传统审计的区别 (1)审计主体的不同
传统审计的主体主要是注册会计师,而信息系统审计的主体是IT审计师,也就是说不仅要具备传统注册会计师的审计知识,还要懂得信息系统得到专业知识。 (2)审计对象不同
传统审计主要是对被审计单位的财务状况、经营结果以及现金流量进行审计,而信息系统审计是对被审计单位的信息系统从规划、开发、实施到维护的整个生命周期进行审计。
(3)审计报告使用者不同
传统的财务报告使用者包括股东,公司债权人,证劵监管机构等预期使用者,以便他们做出正确的投资决策,而信息系统审计报告的使用者是企业管理者,是便于企业管理者了解公司信息系统中的安全漏洞,保障企业信息安全。 3.信息系统审计的目标
审计本质上是根据审计目标对收集的审计证据进行分析评价并得出结论的过程。
信息系统审计也是如此,信息系统审计的目标包括以下内容: (1)提高信息系统资产的安全性
一个完整的信息系统包括软件硬件人力资源数据文件系统文件等,那么相应的信息系统审计目标就是要保证这些资源的安全性。信息系统审计可以审查和评价信息系统的内部控制体系,找出其制度缺陷,完善内部控制,保护资产安全。 (2)保证数据的完整性
数据完整就是指数据是精确的完整的。如果数据的完整得不到保证的话,那么组织将无法正确描述其自身真实情况,将陷入混乱,无法持续经营。信息系统审计就是要通过审计程序审查被审计单位的信息系统能否正确、恰当地记录被审计单位的数据。
(3)提高信息系统的效率
充分利用信息系统的各项资源,提高系统的效率,从而保证信息处理快速、及时。 (4)提高系统的合法性、合规性
随着信息技术的不断发展,计算机犯罪问题也越来越突出,其手段和方法越来越高级和隐秘,给国家、社会和企业带来了很大的损失,因此,信息系统审计人员进行信息系统审计时要提高信息系统的合法性、合规性。 4.信息系统审计的基本流程
与传统审计并没有明显差异,基本上可以分为三个阶段:审计准备阶段、审计实施阶段和审计报告阶段。 (1)信息系统审计准备阶段
信息系统审计准备阶段是整个信息系统审计过程的基础,是关键的环节,此阶段主要的工作是调查了解被审计单位的内部环境,对信息系统风险进行初步评价,接受信息系统审计委托,并制定出科学合理的审计计划,组成审计小组。 (2)信息系统审计实施阶段
实施阶段是信息系统审计的关键阶段,主要任务是根据准备阶段确定的范围、内容、重点、方法、步骤,进行取证、评价,编制审计报告,发表审计意见。主要包括符合性测试阶段和实质性测试阶段。 (3)信息系统审计报告阶段
审计报告阶段是信息系统审计工作的最后阶段,审计报告是信息系统审计工作的
最后产品,也是审计人员向被审单位报告问题、提出建议的工作。主要工作有: 第一,整理评价搜集到的审计证据。
第二,复核审计证据,评价审计结果,形成审计意见,编制信息系统审计报告。 二.我国信息系统审计发展的现状
我国信息系统审计起步于20世纪90年代,现今已有十几年的发展,人们也逐渐认识到信息系统审计的必要性和重要性,在理论和实践方面进行了一些有益的探索,如今已有了一定的成效。但总的来说,我国的信息系统审计工作还处于探索阶段,还没有形成一套成型的专业规范,也没有形成能够全面开展信息系统审计业务的人才队伍,更没有建立和健全一套适应信息系统审计事业发展的管理运作机制。 三.我国信息系统审计发展存在的问题
虽然信息系统审计得到人们越来越多的关注,但是还处于探索阶段,在发展的过程中存在着许多令人担忧的问题。
1.尚未建立健全适应信息系统审计事业发展的人才培养和管理运作机制
虽然我国审计署、国务院办公厅、中国注册会计师协会均对计算机环境下的审计工作做过有关的规定,但是所做的规定大多属于电算化、计算机审计之类的。《内部审计具体准则第 28 号——信息系统审计》是与信息系统审计有关的,是我国第一个有关信息系统审计方面的准则。为信息系统审计提供了法律上的规范,缺乏具体操作指南与作业程序,不能满足我国信息系统审计事业发展的要求。信息系统审计是建立在传统审计、信息系统管理和计算机等学科基础之上的交叉学科。因此信息系统审计工作是十分复杂的,要求信息系统审计人员具有复合型的知识结构,不仅要掌握会计、审计知识,具有一定的职业判断能力、分析能力和表达能力,还应掌握计算机、信息系统管理和网络技术等综合知识。目前在信息系统审计行业,拥有国际注册信息系统审计师资格是相当权威的,直到2002年6月我国才开始举办有国际信息系统审计与控制协会(ISACA)授权的注册信息系统审计师的资格考试,到2005年我国大陆仅有10人通过,目前我国通过这项资格认证的认识并不是很多。 2.与信息系统审计有关的法规和准则尚不完备
审计工作必须要依据一定的法律进行,虽然我国审计署和中国注册会计师协会已经颁布了一些信息系统审计相关方面的法律法规,但是这些法律法规只是对信息系统审计的某个方面的规定,比较笼统,没有相应的实施细则,缺乏一套权威的体系完整、
信息系统审计在我国的发展现状
