IT信息系統(tǒng)審計(jì)簡介

來源：塔塔 更新時(shí)間：2016-03-04

更多

信息系統(tǒng)審計(jì)是信息系統(tǒng)審計(jì)的全稱,是信息系統(tǒng)審計(jì)與控制 （Information System Audit and Control ），其協(xié)會(huì)會(huì)員稱之為注冊(cè)信息系統(tǒng)審計(jì)師（CISA ，Certified Information System Auditor），確實(shí)用了“Audit”、“ Auditor”兩個(gè)詞，但是它所從事的工作，與目前國人所理解、所熟悉知的、國家法律規(guī)定的審計(jì)，在內(nèi)容上有相當(dāng)大的差異。
IT審計(jì)師是做什么的？它做審計(jì)嗎？它與國家審計(jì)機(jī)關(guān)、注冊(cè)會(huì)計(jì)師從事的審計(jì)有什么關(guān)系？都是有爭議的事情。
　　審計(jì)署曾給審計(jì)下過一個(gè)簡明定義：“審計(jì)是獨(dú)立檢查會(huì)計(jì)賬目，監(jiān)督財(cái)政財(cái)務(wù)收支真實(shí)、合法、效益的行為?！薄蹲?cè)會(huì)計(jì)師法》關(guān)于會(huì)計(jì)事務(wù)所從事審計(jì)業(yè)務(wù)的內(nèi)容確定為兩條：審查企業(yè)會(huì)計(jì)報(bào)表、驗(yàn)證企業(yè)資本。按照這些說法，審計(jì)的工作對(duì)象都是與記載財(cái)政財(cái)務(wù)收支及其相關(guān)經(jīng) 濟(jì)活動(dòng)的載體——賬目有關(guān)系的。
　　可是信息系統(tǒng)審計(jì)的工作對(duì)象就要寬泛得多了。對(duì)于信息系統(tǒng)審計(jì)中使用的“Audit”一詞，國內(nèi)有關(guān)權(quán)威單位曾經(jīng)意譯為“審記”。例如：科學(xué)技術(shù)部、財(cái)政部、國家稅務(wù)總局2000年《中國高新技術(shù)新產(chǎn)品目錄》應(yīng)用軟件部分中，就列入了“審記軟件”，并給予了界定條件描述：“對(duì)計(jì)算機(jī)上的通信和操作的內(nèi)容進(jìn)行采集、分析、追蹤、審查，提出警告信息，并 給予日志性記載?！彪m然這個(gè)“審記”這個(gè)詞匯沒有被公眾所接受，但它對(duì)“審記”概念的描述是準(zhǔn)確的，“審記”的對(duì)象進(jìn)一步擴(kuò)大為整個(gè)信息系統(tǒng)時(shí)也是適用 的。
　　即使國家審計(jì)機(jī)關(guān)、會(huì)計(jì)事務(wù)所的工作對(duì)象仍然局限在查賬上，由于會(huì)計(jì)電算化的普及、ERP的應(yīng)用，信息系統(tǒng)審計(jì)也有了用武之地，因?yàn)橘~不再僅僅是紙質(zhì)的。信息化條 件下，審計(jì)人員如果僅僅對(duì)計(jì)算機(jī)、財(cái)務(wù)軟件中保存運(yùn)行的數(shù)據(jù)進(jìn)行計(jì)算、核對(duì)，而沒有能力對(duì)處理財(cái)政財(cái)務(wù)業(yè)務(wù)的信息系統(tǒng)進(jìn)行檢查，很可能形成信息化條件下的 “假賬真查”。于是審計(jì)和“審記”就有了一個(gè)交集：當(dāng)信息系統(tǒng)中處理的是財(cái)政財(cái)務(wù)信息時(shí)，“審記”的內(nèi)容和方法可以服務(wù)于審計(jì)。
　　近五年來，審計(jì)機(jī)關(guān)在對(duì)計(jì)算機(jī)管理的財(cái)政財(cái)務(wù)電子數(shù)據(jù)進(jìn)行審計(jì)的時(shí)候，已經(jīng)發(fā)現(xiàn)了利用會(huì)計(jì)軟件、管理軟件作弊的案 例，由此開展了對(duì)計(jì)算機(jī)信息系統(tǒng)的審計(jì)。這種審計(jì)屬于很初級(jí)階段的，最顯著的特征一是仍然圍繞財(cái)政財(cái)務(wù)收支審計(jì)，二是大多數(shù)情況下是由于在電子數(shù)據(jù)的審核 中發(fā)現(xiàn)了問題，株連到信息系統(tǒng)，“拔出羅卜想起了泥”，進(jìn)一步“帶出泥”。 國家對(duì)審計(jì)機(jī)關(guān)探索信息系統(tǒng)審計(jì)并取得顯著成效和給予了充分肯定。2001年國務(wù)院辦公廳下發(fā)的《關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)問題的通知》， 明確規(guī)定審計(jì)機(jī)關(guān)有權(quán)檢查被審計(jì)單位運(yùn)用計(jì)算機(jī)管理財(cái)政收支、財(cái)務(wù)收支的信息系統(tǒng)；被審計(jì)單位應(yīng)當(dāng)按照審計(jì)機(jī)關(guān)的要求，提供與財(cái)政收支、財(cái)務(wù)收支有關(guān)的電 子數(shù)據(jù)和必要的計(jì)算機(jī)技術(shù)文檔等資料；被審計(jì)單位的計(jì)算機(jī)信息系統(tǒng)應(yīng)當(dāng)具備符合國家標(biāo)準(zhǔn)或 者行業(yè)標(biāo)準(zhǔn)的數(shù)據(jù)接口；審計(jì)機(jī)關(guān)發(fā)現(xiàn)被審計(jì)單位的計(jì)算機(jī)信息系統(tǒng)不符合法律、法規(guī)和政府有關(guān)主管部門的規(guī)定、標(biāo)準(zhǔn)的，可以責(zé)令限期改正或者更換；審計(jì)機(jī)關(guān) 在審計(jì)過程中發(fā)現(xiàn)開發(fā)、故意使用有舞弊功能的計(jì)算機(jī)信息系統(tǒng)的，要依法追究有關(guān)單位和人員的責(zé)任；審計(jì)機(jī)關(guān)對(duì)被審計(jì)單位電子數(shù)據(jù)真實(shí)性產(chǎn)生疑問時(shí)，可以提 出對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行測試的方案，監(jiān)督被審計(jì)單位操作人員按照方案的要求進(jìn)行測試。
　　前不久，審計(jì)署制定了新的五年規(guī)劃，其中一個(gè)非常重大的變化就是提出五年內(nèi)逐步做到財(cái)務(wù)收支審計(jì)項(xiàng)目和效益審計(jì)項(xiàng)目各占一半。這是中國國家審計(jì)工作重點(diǎn)的一個(gè)里程碑式的轉(zhuǎn)變。中國審計(jì)機(jī)關(guān)從此也可能開始逐漸關(guān)注信息系統(tǒng)整體的安全、風(fēng)險(xiǎn)、管理、控制，
　　不管它與財(cái)政財(cái)務(wù)收支是否有直接的關(guān)系。審計(jì)工作不局限于財(cái)政財(cái)務(wù)收支在國外有充足的先例。911之前，美國審計(jì)署 檢查了全國30多個(gè)機(jī)場，對(duì)機(jī)場的安檢設(shè)施和制度提出了警告；還喬裝打份，試探美國國防部的保衛(wèi)工作，結(jié)果連過三道門崗如入無人之境，審計(jì)報(bào)告引起軒然大 波。英國審計(jì)署對(duì)情報(bào)部門的筆記本計(jì)算機(jī)保管使用情況進(jìn)行審計(jì)，查出幾十臺(tái)可能裝有國家機(jī)密信息的筆記本計(jì)算機(jī)下落不明。澳大利亞審計(jì)署就“為了有效保衛(wèi) 澳大利亞，應(yīng)當(dāng)發(fā)展空軍還是應(yīng)當(dāng)發(fā)展坦克”發(fā)表過審計(jì)報(bào)告。以色列審計(jì)署推行的政策審計(jì)，50%以上的項(xiàng)目與賬目無關(guān)。內(nèi)部審計(jì)師具有沖破財(cái)政財(cái)務(wù)收范圍 的內(nèi)在動(dòng)力，1999年，國際內(nèi)部審計(jì)師協(xié)會(huì)給內(nèi)部審計(jì)下了這樣的定義：內(nèi)部審計(jì)是旨在獲取附加價(jià)值，改善組織業(yè)務(wù)而設(shè)計(jì)的具有獨(dú)立性和客觀性的保證和咨 詢活動(dòng)。它通過提供系統(tǒng)的嚴(yán)格的方法來評(píng)價(jià)和提高風(fēng)險(xiǎn)管理、控制以及治理程序的有效性，借以協(xié)助組織實(shí)現(xiàn)其目的。受安然事件和安達(dá)信舞弊丑聞的影響，注冊(cè) 會(huì)計(jì)師從事管理咨詢活動(dòng)勢頭受挫，人們可以相信利益驅(qū)動(dòng)必然會(huì)使注冊(cè)會(huì)計(jì)師以種種合法外衣涉獵咨詢服務(wù)。而信息系統(tǒng)的審計(jì)，之所以成為國外國家審計(jì)、內(nèi)部 審計(jì)、社會(huì)審計(jì)各方積極研究、探索、參與的新領(lǐng)域，無論從哪個(gè)角度講都是道理充分的。
　　在審計(jì)和“審記”關(guān)系處理上，孫強(qiáng)在《信息系統(tǒng)審計(jì)》一書中采取了相互融合的辦法，使二者得到了較好的統(tǒng)一。首先他 對(duì)審計(jì)的定義把檢查的范圍確定為“可計(jì)量的信息證據(jù)”，既跳出了“會(huì)計(jì)賬目”，又輕輕地將“會(huì)計(jì)賬入”收入囊中。其次，審計(jì)判斷標(biāo)準(zhǔn)確定為“與既定標(biāo)準(zhǔn)的 符合程度”，同樣既包括“真實(shí)、合法、效益”，而又不限于此。基于融合的思路，書的前半部分講了審計(jì)，后半部分講了“審記”。在書的前言中，孫強(qiáng)講《信息 系統(tǒng)審計(jì)》的讀者群有四類人——管理人士、IT人士、審計(jì)人員、有志于成為信息系統(tǒng)審計(jì)師的人士。那么《信息系統(tǒng)審計(jì)》的前半部分主要是給除審計(jì)人員以外 的三類人看的，使他們學(xué)習(xí)用審計(jì)的思維看待信息系統(tǒng)。《信息系統(tǒng)審計(jì)》的后半部分是重點(diǎn)，也是此“審記”區(qū)別于彼審計(jì)的核心所在，所講所述，讀有所值，對(duì) 于各類讀者都應(yīng)當(dāng)說是開卷有益。