首都經(jīng)濟(jì)貿(mào)易大學(xué)會(huì)計(jì)學(xué)院 崔春

天辰達(dá)（北京）科技有限公司 陳冬

信息系統(tǒng)審計(jì)分步實(shí)施的探討

首都經(jīng)濟(jì)貿(mào)易大學(xué)會(huì)計(jì)學(xué)院 崔春

天辰達(dá)（北京）科技有限公司 陳冬

審計(jì)這個(gè)以鑒證財(cái)務(wù)信息的真實(shí)、公允為目的的行業(yè)，在信息化的潮流中，社會(huì)相關(guān)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)、產(chǎn)業(yè)結(jié)構(gòu)相對(duì)落后的情況下，對(duì)信息系統(tǒng)的審計(jì)的效果和范圍正在受到制約和挑戰(zhàn)。這迫使我們?yōu)榱艘?guī)避這個(gè)行業(yè)的審計(jì)風(fēng)險(xiǎn)，確保審計(jì)質(zhì)量而必須在利用現(xiàn)有法律法規(guī)、行業(yè)基礎(chǔ)的前提下，分步實(shí)施審計(jì)，發(fā)揮職能，在滿足當(dāng)前審計(jì)部門(mén)職能要求的情況下，逐步促進(jìn)整體社會(huì)的對(duì)于信息系統(tǒng)審計(jì)的發(fā)展，達(dá)到信息系統(tǒng)得到全面審計(jì)的目的。下面我們從多個(gè)方面展開(kāi)探討。

一、目前企事業(yè)單位、政府機(jī)關(guān)、軍隊(duì)等部門(mén)信息系統(tǒng)審計(jì)的需求

1、需要對(duì)信息系統(tǒng)項(xiàng)目從立項(xiàng)、預(yù)算、招標(biāo)、實(shí)施、完成、售后多個(gè)方面進(jìn)行控制，達(dá)到投資的效益最大化。

2、對(duì)已建設(shè)的信息系統(tǒng)進(jìn)行系統(tǒng)審計(jì)，增加信息系統(tǒng)在安全、效益、風(fēng)險(xiǎn)等方面進(jìn)行評(píng)估，為有關(guān)部門(mén)提供評(píng)估報(bào)告，達(dá)到信息系統(tǒng)審計(jì)的目的。

從目前國(guó)內(nèi)體制及部門(mén)分工來(lái)看，第二項(xiàng)審計(jì)職能更多是分配在了信息部門(mén)，所以暫不做討論。

二、目前信息系統(tǒng)的問(wèn)題

1、信息系統(tǒng)項(xiàng)目在政府單位的建設(shè)投資中越來(lái)越高。信息系統(tǒng)審計(jì)的比重也應(yīng)在政府機(jī)關(guān)的工作中不斷加強(qiáng)。從而使得審計(jì)部門(mén)對(duì)信息系統(tǒng)項(xiàng)目的建設(shè)保駕護(hù)航。

2、信息系統(tǒng)項(xiàng)目在建設(shè)過(guò)程中的隱患非常多。因?yàn)樾畔⑾到y(tǒng)的專(zhuān)業(yè)性非常強(qiáng)，引用的新技術(shù)、新方式比較多，國(guó)外高新端技術(shù)、方案比較多，從而使得信息系統(tǒng)項(xiàng)目的建設(shè)沒(méi)有統(tǒng)一的規(guī)定和政府指導(dǎo)。這樣就造成了信息系統(tǒng)項(xiàng)目建設(shè)中在招投標(biāo)、合同、建設(shè)過(guò)程中存在比工程項(xiàng)目更多的隱患。

3、信息系統(tǒng)項(xiàng)目在政府部門(mén)的作用越來(lái)越重要。信息系統(tǒng)在政府機(jī)關(guān)的作用大到政府機(jī)關(guān)的安全、小到每個(gè)公務(wù)員正常的工作都會(huì)用到信息系統(tǒng)。如果信息系統(tǒng)存在系統(tǒng)或結(jié)構(gòu)性風(fēng)險(xiǎn)時(shí)，將會(huì)給國(guó)家造成無(wú)法挽回的損失。

三、根據(jù)現(xiàn)有的資源和條件實(shí)施階段性審計(jì)

在國(guó)際上信息系統(tǒng)審計(jì)是一個(gè)完善的體系，從正規(guī)的信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA），到信息系統(tǒng)審計(jì)規(guī)范（ITIL，COBIT，ISO20007等），到信息系統(tǒng)審計(jì)與控制的專(zhuān)業(yè)機(jī)構(gòu)認(rèn)證的專(zhuān)業(yè)人才，比如信息系統(tǒng)審計(jì)師、信息系統(tǒng)安全師等（CISA，CISSP，CISP），到會(huì)計(jì)事務(wù)所，商業(yè)流程化的運(yùn)作都比較成熟和正規(guī)。但是要全部照搬國(guó)外的經(jīng)驗(yàn)到國(guó)內(nèi)，綜上問(wèn)題所在明顯是不可行的。但是目前信息技術(shù)在國(guó)民生產(chǎn)的比重越來(lái)越大，為了使得國(guó)民經(jīng)濟(jì)很好的發(fā)展，信息系統(tǒng)審計(jì)又是勢(shì)在必行的。中國(guó)應(yīng)該發(fā)展有中國(guó)特色的信息系統(tǒng)審計(jì)。不能一步到位，要分步實(shí)施。將信息系統(tǒng)審計(jì)的內(nèi)容分類(lèi)，分層，分級(jí)，根據(jù)現(xiàn)有的資源和條件實(shí)施階段性審計(jì)，并推動(dòng)信息系統(tǒng)審計(jì)在中國(guó)的發(fā)展。

具體階段如下：1、第一步將信息系統(tǒng)項(xiàng)目的規(guī)范性、效率性、風(fēng)險(xiǎn)性、標(biāo)準(zhǔn)性放在第一階段來(lái)完成。2、當(dāng)國(guó)內(nèi)信息部門(mén)與審計(jì)部門(mén)的分工進(jìn)一步明確及相關(guān)條件成熟后，實(shí)施信息系統(tǒng)系統(tǒng)安全審計(jì)、風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)連續(xù)性審計(jì)。對(duì)于第二階段下面不做過(guò)多的研究和探討。這其中還涉及到現(xiàn)有政府部門(mén)、企業(yè)部門(mén)中審計(jì)部門(mén)和信息部門(mén)分工的問(wèn)題，因此還有很多工作和流程需要完成。

如何實(shí)現(xiàn)現(xiàn)階段的信息系統(tǒng)審計(jì)呢？經(jīng)過(guò)某政府機(jī)關(guān)三年多信息系統(tǒng)審計(jì)的具體操作情況，經(jīng)過(guò)多次總結(jié)，溝通，改正，終于找出了在現(xiàn)階段及可以達(dá)到審計(jì)需要的效果，又不會(huì)影響到規(guī)定的，具有可操作的信息系統(tǒng)審計(jì)方法、流程及如何結(jié)合現(xiàn)有社會(huì)資源，不用做大的機(jī)構(gòu)變化和不用花費(fèi)較高的成本就可以實(shí)現(xiàn)信息系統(tǒng)審計(jì)。

充分利用工程管理和咨詢(xún)公司 （有國(guó)家建委核發(fā)的工程造價(jià)、咨詢(xún)、預(yù)算、結(jié)算的資質(zhì)）、會(huì)計(jì)事務(wù)所（財(cái)政部核發(fā)的財(cái)務(wù)、企業(yè)管理、財(cái)務(wù)決算等資質(zhì)）的審核職能，吸收專(zhuān)業(yè)的信息系統(tǒng)專(zhuān)家（如CISA、財(cái)政部信息類(lèi)專(zhuān)家?guī)鞂?zhuān)家等）和人才（弱電項(xiàng)目經(jīng)理、軟件工程師、系統(tǒng)集工程師等）做專(zhuān)業(yè)的后盾，審計(jì)部門(mén)在總體協(xié)調(diào)和控制，展開(kāi)對(duì)現(xiàn)在的信息系統(tǒng)項(xiàng)目的審計(jì)。尋找信息系統(tǒng)項(xiàng)目整個(gè)生命周期中的關(guān)鍵點(diǎn)，加入控制點(diǎn)，加入控制策略，并形成各個(gè)控制點(diǎn)成熟的控制方法和審核策略，最后達(dá)預(yù)期的審核目的。

這樣一來(lái)就可解決審計(jì)部門(mén)信息系統(tǒng)專(zhuān)業(yè)知識(shí)不足的問(wèn)題，二來(lái)可以使用國(guó)家規(guī)定合理化問(wèn)題，三來(lái)解決了信息系統(tǒng)項(xiàng)目在投資比重中占比越來(lái)越高而感到被動(dòng)的問(wèn)題，四來(lái)解決了商業(yè)流程問(wèn)題及費(fèi)用參考標(biāo)準(zhǔn)瓿。當(dāng)然還增加了審計(jì)部門(mén)信息系統(tǒng)審計(jì)力量和提高了信息系統(tǒng)審計(jì)效率和審計(jì)質(zhì)量。

在具體的信息系統(tǒng)項(xiàng)目審計(jì)當(dāng)中，我們主要通過(guò)如下控制點(diǎn)達(dá)到以上目的。

通常的項(xiàng)目采購(gòu)主要分成如下幾種類(lèi)型：1、分開(kāi)招標(biāo)；2、競(jìng)爭(zhēng)性談判；3、單一來(lái)源采購(gòu)；4、協(xié)議供貨。對(duì)于以上形式的信息系統(tǒng)項(xiàng)目，我們從待招文件——控制總體的項(xiàng)目預(yù)算、招標(biāo)的公平公正性、項(xiàng)目造價(jià)的合理性，待簽文件——控制招標(biāo)后變更、項(xiàng)目預(yù)算和合同的一致性、合同內(nèi)容是否全面、是否有成本風(fēng)險(xiǎn)等，項(xiàng)目結(jié)算——變更控制、合同內(nèi)容執(zhí)行情況等。

通過(guò)上述控制點(diǎn)，我們圍繞提高信息系統(tǒng)整體效率減低風(fēng)險(xiǎn)為核心，以控制造價(jià)為基本原則從而有效的達(dá)到了信息系統(tǒng)審計(jì)的部份目的。也還好的完成了審計(jì)部門(mén)的對(duì)信息系統(tǒng)項(xiàng)目保駕護(hù)航的責(zé)任。

當(dāng)然具體的操作過(guò)程中，還有很多與傳統(tǒng)審計(jì)有矛盾的地方，需要根據(jù)具體的情況進(jìn)行討論解決。比如收費(fèi)問(wèn)題，出具什么報(bào)告的問(wèn)題。

信息系統(tǒng)審計(jì)在我國(guó)盡管起步較晚，但其重要性日漸明顯。劉家義審計(jì)長(zhǎng)明確指出，信息系統(tǒng)審計(jì)要抓住三個(gè)關(guān)鍵點(diǎn)，即安全性、有效性(可靠性）和經(jīng)濟(jì)性。通過(guò)以上述完全可以完成信息系統(tǒng)審計(jì)的三個(gè)關(guān)鍵點(diǎn)要求。審計(jì)的角度保障信息系統(tǒng)項(xiàng)目建設(shè)更有效率，減少政策性風(fēng)險(xiǎn)、條款性風(fēng)險(xiǎn)。從而使信息系統(tǒng)項(xiàng)目更好的發(fā)控作用。

（責(zé)任編輯：董曉磊）

book=232,ebook=187