近日,审计署刘家义审计长提出了“信息系统应用责任审计是经济责任审计7个组成方面之一”的观点,为企业信息系统审计指明了方向和目标。我有幸参加了审计署组织的第一次与经济责任审计相结合的企业信息系统审计项目,下面结合工作实际谈一下我对企业信息系统审计的几点认识:
一、企业信息系统审计是实现评价领导人信息系统应用责任的重要方法
目前,大型企业在组织形态走向分散化的同时其管理的集约化程度不断提高,依靠集中的信息管理,很多大企业建立了比较发达的“神经系统”,不仅基本实现了财务统一管理,在业务领域也实现了分布式应用、集中化管理,信息系统的复杂度和数据量随之迅速增长。因此,现在依靠传统的计算机审计思路和方法,很难对信息化程度较高的大型企业的领导人的信息系统应用责任做出评价,但我们通过信息系统审计可以从一定程度上回答企业全面的内控和管理情况,从而达到评价企业领导人的信息系统应用责任的目的。虽然目前通过信息系统审计方法较难查出大案要案,与当前审计环境和要求有一定矛盾,但从长远看,企业信息系统审计一定有生命力和发展前途。
在国内信息系统审计指南还未发布的情况下,我们本次企业信息系统审计主要参照2009年美国联邦政府责任办公室发布的《联邦信息系统控制审计手册》(以下简称FISCAM)提供的方法步骤和主要内容,结合中国企业审计的实际情况开展。具体情况是:
FISCAM提供了一种依据在政府审计标准中提及的“一般公认的政府审计标准(GAGAS)”来执行信息系统控制审计的方法,结合本次审计,我认为企业信息系统的基本方法步骤为:一是了解审计的总体目标和信息系统控制审计的范围,二是了解被审计单位的运营情况和关键业务流程,三是全面了解被审计单位的网络架构,四是识别审计关注的关键审计域,五是初步评价信息系统风险,六是识别关键控制点,七是进行符合性测试,八是根据符合性测试结果进行实质性测试,最后是形成审计报告。
我认为企业信息系统审计主要基于内部控制开展,信息系统内部控制是为了保证信息系统的有效性、可靠性和安全性,提高信息系统运营效率,确保信息准确、完整、可靠,有效保护信息资产,利用各种手段和技术,对信息系统实施的管理和控制过程。信息系统内部控制可以划分为一般控制和应用控制。
一般控制是对信息系统的开发、实施、维护和运行所进行的控制,主要目标为数据安全,保护应用程序,并确保计算机在异常中断情况下能持续运行。一般控制所采用的控制措施普遍适用于所有的应用系统,为应用系统提供了环境上的保证。
应用控制即业务流程应用程序级的控制,是指与被审计单位具体业务活动相关的控制,与一般控制相对应。应用控制既可以在信息系统内实现,也可以以手工方式实现。FISCAM定义应用控制为:对交易的完整性,准确性,有效性,机密性和可用性以及在应用处理中的数据的控制,通常分为应用程序级一般控制、业务流程控制、接口控制、数据管理系统控制等四类控制。
企业信息系统审计涉及多学科,需要高素质的综合型审计人员,审计人员必须具备开展信息系统审计所需要的审计、内部控制与信息技术专业能力,应当取得审计署计算机审计资格和信息系统审计资格,掌握信息系统基本知识,如具备财务会计、大型数据库、网络安全、内部控制等方面的知识,同时具备一定的计算机辅助审计能力,能熟练运用外部资源进行信息系统审计测试。必要时,我们还需从外部聘请专家解决专业能力不足的问题。
FISCAM中对信息系统审计人员的专业能力也提出了具体要求,如业务流程控制审计就需具备以下专业知识和能力:一是有关应用数据完整性、准确性、有效性和机密性的实务、策略和技术的知识;二是每个业务流程处理周期中的典型应用的知识;三是使用通用审计软件包对应用程序数据进行数据分析和测试,以及计划、提取与评价数据样本分析和评价组织的应用控制,并界定其优缺点的能力。