汤晓超
目前,审计机关开展信息系统审计所依赖的法律法规主要有《中华人民共和国审计法》和《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》等。然而,上述法律法规仅授权审计机关对被审单位运用电子计算机管理财政和财务收支电子数据系统(即会计信息系统)进行审计,而对与被审单位管理和决策等有关其它信息系统的审计,则未予以明确授权。因此,审计机关在对被审计单位会计信息系统以外的其它信息系统进行审计或审计调查时,常遭到对方以涉及国家、企业和技术秘密等种种理由而拒绝;或者即使勉强配合,但由于提供的相关资料不完整或不及时而严重影响信息系统审计工作的开展。
近年来县级审计机关目前已经基本能够熟练掌握和运用电子数据审计方式进行实质性测试,也因此取得了很大的审计成果。但大多数人对于信息系统审计的认识还不到位,对开展信息系统审计的必要性、紧迫性认识不足,甚至对开展信息系统审计的可行性持怀疑态度。然而,发生在武汉的“经济适用房六连号事件”(据调查,是相关人员在摇号软件中嵌入非法的舞弊程序)给持这种片面观点的同志敲响了警钟。
开展信息系统审计,审计人员必须具备相应的技术技能:编程知识、系统运营、网络技术、认证技术、防火墙技术及其他安全技术等,这对于发现被审计信息系统及其控制的缺陷等相对较容易;同时他们又要熟悉审计原理和审计实务,最好是担任过大型项目主审。从县级审计机关目前的现状来看,显然这方面的复合人才都相当匮乏。
大多数县级审计机关试点开展信息系统审计,实际上传统的财务收支审计加入了信息系统审计的内容,其缺点是人员和时间都保证不了,这边信息系统刚刚检查、测试完,可能其他审计内容也快结束了。信息系统审计要在较大的范围内开展起来,改革审计的组织方式就应当提上议事日程。
加快有关信息系统审计的法律法规的制定工作,将信息系统审计应当包括的内容和范围以法律或法规的形式确定下来,使包括县级审计机关在内的各级审计机关能够依法开展信息系统审计,更好地履行宪法和法律赋予的职责。
要加大信息系统审计的宣传。信息系统审计是信息化环境下一种新的审计模式,是审计方式的重大变革,局领导的科学指导是这项工作得以开展的重要前提,可以通过短期培训提高他们信息系统审计的意识,知晓通常的审计项目中,如何安排信息系统审计的内容。
信息系统审计人才的培养应从两个方面入手:一是信息技术尖端人才。信息系统审计技术含量很高,不具有计算机专业背景、不经过深入的专业学习和钻研的人难以担当此任,可通过选送具有计算机专业背景的审计人员和通过审计署计算机中级考试的业务骨干参加审计署信息系统审计培训班的方式,培养信息系统审计专业人才。二是普及型的信息系统审计人员,可从现有审计人员中培养,要使他们具有信息系统知识,了解信息系统审计的方法、步骤,掌握基本的操作程序。
县级审计机关每年要从项目中挑选一至两个项目开展信息系统审计。省、市审计机关在开展信息系统审计时,也可从县级审计机关抽调业务骨干参加进来,借以增强他们开展信息系统审计的兴趣和自信心,为日后他们独立开展信息系统审计作准备。信息系统审计的组织可采用以下两种方式。一种就是数据审计、信息系统审计和系统内部控制审计“三位一体”的结合方式。另一种是独立立项的,直接针对信息系统,审计信息系统本身。