IT信息系統(tǒng)審計簡介

來源：塔塔 更新時間：2016-03-04

更多

信息系統(tǒng)審計是信息系統(tǒng)審計的全稱,是信息系統(tǒng)審計與控制 （Information System Audit and Control ），其協會會員稱之為注冊信息系統(tǒng)審計師（CISA ，Certified Information System Auditor），確實用了“Audit”、“ Auditor”兩個詞，但是它所從事的工作，與目前國人所理解、所熟悉知的、國家法律規(guī)定的審計，在內容上有相當大的差異。
IT審計師是做什么的？它做審計嗎？它與國家審計機關、注冊會計師從事的審計有什么關系？都是有爭議的事情。
　　審計署曾給審計下過一個簡明定義：“審計是獨立檢查會計賬目，監(jiān)督財政財務收支真實、合法、效益的行為?！薄蹲詴嫀煼ā逢P于會計事務所從事審計業(yè)務的內容確定為兩條：審查企業(yè)會計報表、驗證企業(yè)資本。按照這些說法，審計的工作對象都是與記載財政財務收支及其相關經 濟活動的載體——賬目有關系的。
　　可是信息系統(tǒng)審計的工作對象就要寬泛得多了。對于信息系統(tǒng)審計中使用的“Audit”一詞，國內有關權威單位曾經意譯為“審記”。例如：科學技術部、財政部、國家稅務總局2000年《中國高新技術新產品目錄》應用軟件部分中，就列入了“審記軟件”，并給予了界定條件描述：“對計算機上的通信和操作的內容進行采集、分析、追蹤、審查，提出警告信息，并 給予日志性記載?！彪m然這個“審記”這個詞匯沒有被公眾所接受，但它對“審記”概念的描述是準確的，“審記”的對象進一步擴大為整個信息系統(tǒng)時也是適用 的。
　　即使國家審計機關、會計事務所的工作對象仍然局限在查賬上，由于會計電算化的普及、ERP的應用，信息系統(tǒng)審計也有了用武之地，因為賬不再僅僅是紙質的。信息化條 件下，審計人員如果僅僅對計算機、財務軟件中保存運行的數據進行計算、核對，而沒有能力對處理財政財務業(yè)務的信息系統(tǒng)進行檢查，很可能形成信息化條件下的 “假賬真查”。于是審計和“審記”就有了一個交集：當信息系統(tǒng)中處理的是財政財務信息時，“審記”的內容和方法可以服務于審計。
　　近五年來，審計機關在對計算機管理的財政財務電子數據進行審計的時候，已經發(fā)現了利用會計軟件、管理軟件作弊的案 例，由此開展了對計算機信息系統(tǒng)的審計。這種審計屬于很初級階段的，最顯著的特征一是仍然圍繞財政財務收支審計，二是大多數情況下是由于在電子數據的審核 中發(fā)現了問題，株連到信息系統(tǒng)，“拔出羅卜想起了泥”，進一步“帶出泥”。 國家對審計機關探索信息系統(tǒng)審計并取得顯著成效和給予了充分肯定。2001年國務院辦公廳下發(fā)的《關于利用計算機信息系統(tǒng)開展審計工作有關問題的通知》， 明確規(guī)定審計機關有權檢查被審計單位運用計算機管理財政收支、財務收支的信息系統(tǒng)；被審計單位應當按照審計機關的要求，提供與財政收支、財務收支有關的電 子數據和必要的計算機技術文檔等資料；被審計單位的計算機信息系統(tǒng)應當具備符合國家標準或 者行業(yè)標準的數據接口；審計機關發(fā)現被審計單位的計算機信息系統(tǒng)不符合法律、法規(guī)和政府有關主管部門的規(guī)定、標準的，可以責令限期改正或者更換；審計機關 在審計過程中發(fā)現開發(fā)、故意使用有舞弊功能的計算機信息系統(tǒng)的，要依法追究有關單位和人員的責任；審計機關對被審計單位電子數據真實性產生疑問時，可以提 出對計算機信息系統(tǒng)進行測試的方案，監(jiān)督被審計單位操作人員按照方案的要求進行測試。
　　前不久，審計署制定了新的五年規(guī)劃，其中一個非常重大的變化就是提出五年內逐步做到財務收支審計項目和效益審計項目各占一半。這是中國國家審計工作重點的一個里程碑式的轉變。中國審計機關從此也可能開始逐漸關注信息系統(tǒng)整體的安全、風險、管理、控制，
　　不管它與財政財務收支是否有直接的關系。審計工作不局限于財政財務收支在國外有充足的先例。911之前，美國審計署 檢查了全國30多個機場，對機場的安檢設施和制度提出了警告；還喬裝打份，試探美國國防部的保衛(wèi)工作，結果連過三道門崗如入無人之境，審計報告引起軒然大 波。英國審計署對情報部門的筆記本計算機保管使用情況進行審計，查出幾十臺可能裝有國家機密信息的筆記本計算機下落不明。澳大利亞審計署就“為了有效保衛(wèi) 澳大利亞，應當發(fā)展空軍還是應當發(fā)展坦克”發(fā)表過審計報告。以色列審計署推行的政策審計，50%以上的項目與賬目無關。內部審計師具有沖破財政財務收范圍 的內在動力，1999年，國際內部審計師協會給內部審計下了這樣的定義：內部審計是旨在獲取附加價值，改善組織業(yè)務而設計的具有獨立性和客觀性的保證和咨 詢活動。它通過提供系統(tǒng)的嚴格的方法來評價和提高風險管理、控制以及治理程序的有效性，借以協助組織實現其目的。受安然事件和安達信舞弊丑聞的影響，注冊 會計師從事管理咨詢活動勢頭受挫，人們可以相信利益驅動必然會使注冊會計師以種種合法外衣涉獵咨詢服務。而信息系統(tǒng)的審計，之所以成為國外國家審計、內部 審計、社會審計各方積極研究、探索、參與的新領域，無論從哪個角度講都是道理充分的。
　　在審計和“審記”關系處理上，孫強在《信息系統(tǒng)審計》一書中采取了相互融合的辦法，使二者得到了較好的統(tǒng)一。首先他 對審計的定義把檢查的范圍確定為“可計量的信息證據”，既跳出了“會計賬目”，又輕輕地將“會計賬入”收入囊中。其次，審計判斷標準確定為“與既定標準的 符合程度”，同樣既包括“真實、合法、效益”，而又不限于此?；谌诤系乃悸?，書的前半部分講了審計，后半部分講了“審記”。在書的前言中，孫強講《信息 系統(tǒng)審計》的讀者群有四類人——管理人士、IT人士、審計人員、有志于成為信息系統(tǒng)審計師的人士。那么《信息系統(tǒng)審計》的前半部分主要是給除審計人員以外 的三類人看的，使他們學習用審計的思維看待信息系統(tǒng)。《信息系統(tǒng)審計》的后半部分是重點，也是此“審記”區(qū)別于彼審計的核心所在，所講所述，讀有所值，對 于各類讀者都應當說是開卷有益。