王紅瑞

摘要：隨著整個(gè)社會(huì)信息化程度的不斷提高，信息系統(tǒng)審計(jì)也日益得到審計(jì)界越來(lái)越多的重視，然而怎樣開展信息系統(tǒng)審計(jì)仍然是困擾廣大審計(jì)人員的一個(gè)問(wèn)題。本文在描述信息系統(tǒng)審計(jì)發(fā)展與國(guó)內(nèi)信息系統(tǒng)審計(jì)現(xiàn)狀的基礎(chǔ)上，通過(guò)對(duì)政府審計(jì)、社會(huì)審計(jì)與內(nèi)部審計(jì)的對(duì)比，指出他們應(yīng)該在信息系統(tǒng)審計(jì)方面分工協(xié)作，以構(gòu)建我國(guó)合理的信息系統(tǒng)審計(jì)監(jiān)督體系，并提出了關(guān)于分工協(xié)作的具體建議。

關(guān)鍵詞：信息系統(tǒng)審計(jì)；政府審計(jì)；社會(huì)審計(jì)；內(nèi)部審計(jì)

信息系統(tǒng)審計(jì)是信息化發(fā)展到一定程度的必然結(jié)果。它是一個(gè)通過(guò)收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)能否保護(hù)資產(chǎn)安全、維護(hù)數(shù)據(jù)完整、有效實(shí)現(xiàn)組織目標(biāo)、高效使用組織資源等方面做出判斷的過(guò)程。

一、信息系統(tǒng)審計(jì)的發(fā)展與國(guó)內(nèi)信息系統(tǒng)審計(jì)現(xiàn)狀

早在大型計(jì)算機(jī)時(shí)代的1954年，美國(guó)通用電氣公司就實(shí)現(xiàn)了會(huì)計(jì)電算化。那時(shí)審計(jì)人員沒(méi)有能力檢查計(jì)算機(jī)系統(tǒng)的內(nèi)部處理過(guò)程，只能根據(jù)原始數(shù)據(jù)對(duì)處理結(jié)果進(jìn)行人工核對(duì)，被稱為“黑盒審計(jì)”。隨著計(jì)算機(jī)應(yīng)用技術(shù)的發(fā)展，財(cái)務(wù)軟件和業(yè)務(wù)軟件迅猛增長(zhǎng)，客觀上要求審計(jì)人員關(guān)注EDP（電子數(shù)據(jù)處理）。1973年，Touche Ross審計(jì)事務(wù)所首次檢查美國(guó)權(quán)益融資公司電算化系統(tǒng)的計(jì)算機(jī)處理過(guò)程，開啟了“白盒審計(jì)”時(shí)代。

1968年，美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)出版了《審計(jì)和EDP》，介紹如何開展EDP審計(jì)、如何進(jìn)行內(nèi)部控制檢查。1969年，信息系統(tǒng)審計(jì)組織——EDP審計(jì)師協(xié)會(huì)正式成立；1977年，它出版了COBIT（信息及相關(guān)技術(shù)環(huán)境下的控制目標(biāo)）行業(yè)標(biāo)準(zhǔn)；1978年，它推出了CISA（國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師）資格認(rèn)證；1994年，該協(xié)會(huì)更名為ISACA（信息系統(tǒng)審計(jì)與控制協(xié)會(huì)），這反映了人們對(duì)計(jì)算機(jī)審計(jì)的關(guān)注重點(diǎn)從電子數(shù)據(jù)審計(jì)轉(zhuǎn)向系統(tǒng)控制審計(jì)；1999年，它開始研究IT治理，并提供了信息及其相關(guān)技術(shù)的管理體系模型和最佳實(shí)務(wù)；2002年，它又推出了CISM（國(guó)際注冊(cè)信息安全經(jīng)理）資格認(rèn)證。2002年美國(guó)政府出臺(tái)SOX法案，對(duì)上市公司的年度審計(jì)增加了信息系統(tǒng)控制審計(jì)方面的要求。

我國(guó)的信息系統(tǒng)審計(jì)起步較晚，20世紀(jì)90年代學(xué)術(shù)界才開始在國(guó)外信息系統(tǒng)審計(jì)發(fā)展成果的基礎(chǔ)上開展國(guó)內(nèi)信息系統(tǒng)審計(jì)發(fā)展的探索和研究。到目前為止，主流的應(yīng)用分為兩大類：一類是依據(jù)SOX法案，對(duì)在美國(guó)上市的國(guó)內(nèi)公司進(jìn)行信息系統(tǒng)內(nèi)部控制測(cè)評(píng)；另一類是依據(jù)COBIT標(biāo)準(zhǔn)來(lái)評(píng)價(jià)信息系統(tǒng)的安全性、可靠性和有效性。

二、國(guó)家審計(jì)、社會(huì)審計(jì)和內(nèi)部審計(jì)的區(qū)別和聯(lián)系

我國(guó)的審計(jì)組織體系由國(guó)家審計(jì)、社會(huì)審計(jì)和內(nèi)部審計(jì)組成。

國(guó)家審計(jì)是指政府審計(jì)機(jī)關(guān)依法獨(dú)立監(jiān)督國(guó)務(wù)院各部門和地方各級(jí)政府、國(guó)有財(cái)政金融機(jī)構(gòu)和企事業(yè)單位組織的財(cái)政財(cái)務(wù)收支情況的真實(shí)性、合法性和效益性的行為。其目標(biāo)有：1、審查被審計(jì)單位的會(huì)計(jì)帳表、憑證及相關(guān)資料，評(píng)價(jià)其是否真實(shí)、完整、公允地反映了該單位的財(cái)政財(cái)務(wù)收支狀況；2、評(píng)價(jià)被審計(jì)單位財(cái)政財(cái)務(wù)收支的合法性，審查其是否違反國(guó)家規(guī)定和相關(guān)財(cái)經(jīng)法規(guī)；3、評(píng)價(jià)被審計(jì)單位財(cái)政財(cái)務(wù)收支活動(dòng)的效益性，審查其是否存在決策失誤、管理不善等造成的損失浪費(fèi)和國(guó)有資產(chǎn)流失行為，是否存在不講效益、效率和效果的現(xiàn)象。

社會(huì)審計(jì)是注冊(cè)會(huì)計(jì)師接受委托，對(duì)被審計(jì)單位的會(huì)計(jì)報(bào)表及相關(guān)資料進(jìn)行獨(dú)立審查，并對(duì)其是否真實(shí)、公允地反應(yīng)該單位的財(cái)務(wù)狀況和經(jīng)營(yíng)成果做出鑒證。其職能有：1、替股東們揭露管理人員在業(yè)務(wù)經(jīng)管過(guò)程中有無(wú)舞弊行為；2、驗(yàn)證財(cái)務(wù)報(bào)表是否真實(shí)公允地反映了公司財(cái)務(wù)狀況和經(jīng)營(yíng)成果，發(fā)表一個(gè)具有職業(yè)權(quán)威的鑒證意見(jiàn)。

內(nèi)部審計(jì)是指在部門或單位負(fù)責(zé)人領(lǐng)導(dǎo)下的專職審計(jì)機(jī)構(gòu)或人員，對(duì)本部門、本單位的財(cái)政財(cái)務(wù)收支及各項(xiàng)經(jīng)濟(jì)活動(dòng)的真實(shí)性、合法性和效益性進(jìn)行審查和評(píng)價(jià)，以提出審計(jì)報(bào)告、意見(jiàn)和建議的一種經(jīng)濟(jì)監(jiān)督活動(dòng)。其目標(biāo)是發(fā)現(xiàn)企業(yè)管理中的漏洞及存在的問(wèn)題，從而挖掘企業(yè)內(nèi)部潛力，改善經(jīng)營(yíng)管理，提高經(jīng)濟(jì)效益，實(shí)現(xiàn)企業(yè)資源的最佳配置，增強(qiáng)企業(yè)的自我發(fā)展能力。

我們要處理好這三者的關(guān)系，讓它們各盡所能地執(zhí)行審計(jì)監(jiān)督，同時(shí)還要讓它們相互協(xié)作、共享有關(guān)審計(jì)資源，從而使整個(gè)社會(huì)的審計(jì)監(jiān)督成本最小化、審計(jì)效率最大化。在信息系統(tǒng)審計(jì)方面，國(guó)家審計(jì)、社會(huì)審計(jì)和內(nèi)部審計(jì)應(yīng)該分工協(xié)作，各有側(cè)重點(diǎn)地均衡發(fā)展，以構(gòu)建我國(guó)合理的信息系統(tǒng)審計(jì)監(jiān)督體系。

三、國(guó)家審計(jì)、社會(huì)審計(jì)和內(nèi)部審計(jì)在信息系統(tǒng)審計(jì)方面分工協(xié)作的建議

（一）國(guó)家信息系統(tǒng)審計(jì)工作思路為：

1.對(duì)于在財(cái)政財(cái)務(wù)收支審計(jì)、效益審計(jì)項(xiàng)目中涉及的信息系統(tǒng)審計(jì)，建議審計(jì)人員在詳細(xì)了解和初步評(píng)價(jià)信息系統(tǒng)內(nèi)部控制的基礎(chǔ)上，對(duì)內(nèi)部控制的薄弱環(huán)節(jié)實(shí)施數(shù)據(jù)審計(jì)；必要的時(shí)候再根據(jù)情況適當(dāng)關(guān)注信息系統(tǒng)的軟硬件環(huán)境及其建設(shè)過(guò)程。

2. 對(duì)信息系統(tǒng)展開專項(xiàng)審計(jì)調(diào)查時(shí)，還應(yīng)對(duì)信息系統(tǒng)項(xiàng)目的整體效益進(jìn)行審查，了解其功能設(shè)置能否滿足系統(tǒng)目標(biāo)，評(píng)價(jià)其信息系統(tǒng)建設(shè)是否符合整個(gè)單位的信息化發(fā)展戰(zhàn)略及其業(yè)務(wù)發(fā)展戰(zhàn)略。

（二）社會(huì)信息系統(tǒng)審計(jì)工作的重點(diǎn)為：

1.注冊(cè)審計(jì)師應(yīng)當(dāng)關(guān)注各種內(nèi)部控制框架，結(jié)合國(guó)內(nèi)實(shí)際開發(fā)上市公司信息系統(tǒng)內(nèi)部控制評(píng)價(jià)標(biāo)準(zhǔn)，為杜絕其財(cái)務(wù)舞弊提供法律約束和自律制衡機(jī)制。

除了COBIT框架中的相關(guān)內(nèi)容外，注冊(cè)審計(jì)師還應(yīng)當(dāng)關(guān)注的其他標(biāo)準(zhǔn)有COSO框架（內(nèi)部控制——整體框架）和ITIL（信息技術(shù)基礎(chǔ)架構(gòu)庫(kù)）。盡管COSO框架并不是信息技術(shù)方面的內(nèi)部控制框架，但是由于它在審計(jì)領(lǐng)域的重要性，幾乎所有的信息系統(tǒng)審計(jì)的框架和指南都會(huì)考慮吸取它的主要思想作為內(nèi)部控制的考慮出發(fā)點(diǎn)。SOX法案把COSO框架作為組織加強(qiáng)內(nèi)部控制的唯一參考框架。ITIL為企業(yè)的IT服務(wù)管理實(shí)踐提供了一個(gè)客觀、嚴(yán)謹(jǐn)、可量化的標(biāo)準(zhǔn)和規(guī)范，它是目前普遍實(shí)行的“事實(shí)”上的標(biāo)準(zhǔn)。它包括了一系列適用于所有IT組織的最佳實(shí)踐——無(wú)論這些組織的規(guī)模如何，以及使用的是什么技術(shù)。

2.注冊(cè)審計(jì)師還應(yīng)當(dāng)關(guān)注信息系統(tǒng)安全相關(guān)技術(shù)，緊跟國(guó)際潮流，參照國(guó)外SysTrust、WebTrust認(rèn)證，結(jié)合國(guó)內(nèi)實(shí)際，加快國(guó)內(nèi)信息系統(tǒng)安全認(rèn)證標(biāo)準(zhǔn)的研究和應(yīng)用。

20世紀(jì)90年代中期，互聯(lián)網(wǎng)在全球范圍內(nèi)普及。1998年由于軟件和程序的錯(cuò)誤，AT&T公司的一臺(tái)主要交換機(jī)產(chǎn)生故障，使許多信用卡用戶在長(zhǎng)達(dá)18個(gè)小時(shí)的時(shí)間里無(wú)法完成正常的交易。類似事件的發(fā)生使人們開始關(guān)注IT服務(wù)的可靠性問(wèn)題，對(duì)信息系統(tǒng)的可靠性進(jìn)行認(rèn)證的服務(wù)應(yīng)運(yùn)而生，這種認(rèn)證被稱為SysTrust（信息系統(tǒng)安全認(rèn)證），其標(biāo)準(zhǔn)被稱為“SysTrust原則與標(biāo)準(zhǔn)”，該標(biāo)準(zhǔn)由美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)和加拿大特許會(huì)計(jì)師協(xié)會(huì)共同開發(fā)。

20世紀(jì)90年代末，電子商務(wù)迅速成為互聯(lián)網(wǎng)上的熱點(diǎn)應(yīng)用。2000年2月，雅虎、亞馬遜、易貝等許多大型電子商務(wù)公司遭到黑客攻擊，這使消費(fèi)者對(duì)電子商務(wù)的信心受到影響，網(wǎng)絡(luò)公司開始關(guān)注如何進(jìn)行自我保護(hù)，對(duì)電子商務(wù)網(wǎng)站的可靠性進(jìn)行認(rèn)證的服務(wù)應(yīng)運(yùn)而生，這種認(rèn)證被稱為WebTrust（網(wǎng)站認(rèn)證），其標(biāo)準(zhǔn)被稱為“WebTrust原則與標(biāo)準(zhǔn)”，該標(biāo)準(zhǔn)由美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)和加拿大特許會(huì)計(jì)師協(xié)會(huì)共同開發(fā)，目前歐洲的會(huì)計(jì)師協(xié)會(huì)也開始提供這項(xiàng)服務(wù)。

（三）內(nèi)部信息系統(tǒng)審計(jì)工作方面：

建議內(nèi)部審計(jì)師重點(diǎn)關(guān)注COBIT標(biāo)準(zhǔn)，協(xié)助本企業(yè)做好IT治理。

1999年，英國(guó)首先提出IT治理的概念，他們認(rèn)為越來(lái)越多的企業(yè)風(fēng)險(xiǎn)是由內(nèi)部控制疏忽、信息技術(shù)失敗引起的。同年，ISACA成立了IT治理研究院，專門研究IT治理的概念，并提供了信息及其相關(guān)技術(shù)的管理體系模型和最佳實(shí)務(wù)。目前，該體系已在世界上100多個(gè)國(guó)家的重要組織中成功運(yùn)用，指導(dǎo)這些組織有效利用信息資源、有效管理信息相關(guān)的風(fēng)險(xiǎn)。

內(nèi)部審計(jì)師應(yīng)當(dāng)結(jié)合本單位實(shí)際來(lái)研究如何利用COBIT的IT治理最佳實(shí)踐標(biāo)準(zhǔn)、方法和工具，針對(duì)組織的信息系統(tǒng)進(jìn)行審計(jì)，以發(fā)現(xiàn)組織信息系統(tǒng)在IT治理、安全、運(yùn)維、開發(fā)及業(yè)務(wù)連續(xù)性等方面存在的技術(shù)脆弱性和管理薄弱環(huán)節(jié)，以適宜的方式向管理當(dāng)局報(bào)告所發(fā)現(xiàn)的風(fēng)險(xiǎn)，并對(duì)風(fēng)險(xiǎn)進(jìn)行持續(xù)的追蹤，不斷提高組織的IT風(fēng)險(xiǎn)控制水平。（作者單位：河南省審計(jì)干部培訓(xùn)中心）

參考文獻(xiàn)：

[1]康曉麗關(guān)于政府審計(jì)、民間審計(jì)和內(nèi)部審計(jì)比較的案例分析， 康曉麗

[2]石愛(ài)中副審計(jì)長(zhǎng)在信息系統(tǒng)審計(jì)研討會(huì)上的講話， 石愛(ài)中