构建我国信息系统审计监督体系

王红瑞

摘要：随着整个社会信息化程度的不断提高，信息系统审计也日益得到审计界越来越多的重视，然而怎样开展信息系统审计仍然是困扰广大审计人员的一个问题。本文在描述信息系统审计发展与国内信息系统审计现状的基础上，通过对政府审计、社会审计与内部审计的对比，指出他们应该在信息系统审计方面分工协作，以构建我国合理的信息系统审计监督体系，并提出了关于分工协作的具体建议。

关键词：信息系统审计；政府审计；社会审计；内部审计

信息系统审计是信息化发展到一定程度的必然结果。它是一个通过收集和评价审计证据，对信息系统能否保护资产安全、维护数据完整、有效实现组织目标、高效使用组织资源等方面做出判断的过程。

一、信息系统审计的发展与国内信息系统审计现状

早在大型计算机时代的1954年，美国通用电气公司就实现了会计电算化。那时审计人员没有能力检查计算机系统的内部处理过程，只能根据原始数据对处理结果进行人工核对，被称为“黑盒审计”。随着计算机应用技术的发展，财务软件和业务软件迅猛增长，客观上要求审计人员关注EDP（电子数据处理）。1973年，Touche Ross审计事务所首次检查美国权益融资公司电算化系统的计算机处理过程，开启了“白盒审计”时代。

1968年，美国注册会计师协会出版了《审计和EDP》，介绍如何开展EDP审计、如何进行内部控制检查。1969年，信息系统审计组织——EDP审计师协会正式成立；1977年，它出版了COBIT（信息及相关技术环境下的控制目标）行业标准；1978年，它推出了CISA（国际注册信息系统审计师）资格认证；1994年，该协会更名为ISACA（信息系统审计与控制协会），这反映了人们对计算机审计的关注重点从电子数据审计转向系统控制审计；1999年，它开始研究IT治理，并提供了信息及其相关技术的管理体系模型和最佳实务；2002年，它又推出了CISM（国际注册信息安全经理）资格认证。2002年美国政府出台SOX法案，对上市公司的年度审计增加了信息系统控制审计方面的要求。

我国的信息系统审计起步较晚，20世纪90年代学术界才开始在国外信息系统审计发展成果的基础上开展国内信息系统审计发展的探索和研究。到目前为止，主流的应用分为两大类：一类是依据SOX法案，对在美国上市的国内公司进行信息系统内部控制测评；另一类是依据COBIT标准来评价信息系统的安全性、可靠性和有效性。

二、国家审计、社会审计和内部审计的区别和联系

我国的审计组织体系由国家审计、社会审计和内部审计组成。

国家审计是指政府审计机关依法独立监督国务院各部门和地方各级政府、国有财政金融机构和企事业单位组织的财政财务收支情况的真实性、合法性和效益性的行为。其目标有：1、审查被审计单位的会计帐表、凭证及相关资料，评价其是否真实、完整、公允地反映了该单位的财政财务收支状况；2、评价被审计单位财政财务收支的合法性，审查其是否违反国家规定和相关财经法规；3、评价被审计单位财政财务收支活动的效益性，审查其是否存在决策失误、管理不善等造成的损失浪费和国有资产流失行为，是否存在不讲效益、效率和效果的现象。

社会审计是注册会计师接受委托，对被审计单位的会计报表及相关资料进行独立审查，并对其是否真实、公允地反应该单位的财务状况和经营成果做出鉴证。其职能有：1、替股东们揭露管理人员在业务经管过程中有无舞弊行为；2、验证财务报表是否真实公允地反映了公司财务状况和经营成果，发表一个具有职业权威的鉴证意见。

内部审计是指在部门或单位负责人领导下的专职审计机构或人员，对本部门、本单位的财政财务收支及各项经济活动的真实性、合法性和效益性进行审查和评价，以提出审计报告、意见和建议的一种经济监督活动。其目标是发现企业管理中的漏洞及存在的问题，从而挖掘企业内部潜力，改善经营管理，提高经济效益，实现企业资源的最佳配置，增强企业的自我发展能力。

我们要处理好这三者的关系，让它们各尽所能地执行审计监督，同时还要让它们相互协作、共享有关审计资源，从而使整个社会的审计监督成本最小化、审计效率最大化。在信息系统审计方面，国家审计、社会审计和内部审计应该分工协作，各有侧重点地均衡发展，以构建我国合理的信息系统审计监督体系。

三、国家审计、社会审计和内部审计在信息系统审计方面分工协作的建议

（一）国家信息系统审计工作思路为：

1.对于在财政财务收支审计、效益审计项目中涉及的信息系统审计，建议审计人员在详细了解和初步评价信息系统内部控制的基础上，对内部控制的薄弱环节实施数据审计；必要的时候再根据情况适当关注信息系统的软硬件环境及其建设过程。

2. 对信息系统展开专项审计调查时，还应对信息系统项目的整体效益进行审查，了解其功能设置能否满足系统目标，评价其信息系统建设是否符合整个单位的信息化发展战略及其业务发展战略。

（二）社会信息系统审计工作的重点为：

1.注册审计师应当关注各种内部控制框架，结合国内实际开发上市公司信息系统内部控制评价标准，为杜绝其财务舞弊提供法律约束和自律制衡机制。

除了COBIT框架中的相关内容外，注册审计师还应当关注的其他标准有COSO框架（内部控制——整体框架）和ITIL（信息技术基础架构库）。尽管COSO框架并不是信息技术方面的内部控制框架，但是由于它在审计领域的重要性，几乎所有的信息系统审计的框架和指南都会考虑吸取它的主要思想作为内部控制的考虑出发点。SOX法案把COSO框架作为组织加强内部控制的唯一参考框架。ITIL为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范，它是目前普遍实行的“事实”上的标准。它包括了一系列适用于所有IT组织的最佳实践——无论这些组织的规模如何，以及使用的是什么技术。

2.注册审计师还应当关注信息系统安全相关技术，紧跟国际潮流，参照国外SysTrust、WebTrust认证，结合国内实际，加快国内信息系统安全认证标准的研究和应用。

20世纪90年代中期，互联网在全球范围内普及。1998年由于软件和程序的错误，AT&T公司的一台主要交换机产生故障，使许多信用卡用户在长达18个小时的时间里无法完成正常的交易。类似事件的发生使人们开始关注IT服务的可靠性问题，对信息系统的可靠性进行认证的服务应运而生，这种认证被称为SysTrust（信息系统安全认证），其标准被称为“SysTrust原则与标准”，该标准由美国注册会计师协会和加拿大特许会计师协会共同开发。

20世纪90年代末，电子商务迅速成为互联网上的热点应用。2000年2月，雅虎、亚马逊、易贝等许多大型电子商务公司遭到黑客攻击，这使消费者对电子商务的信心受到影响，网络公司开始关注如何进行自我保护，对电子商务网站的可靠性进行认证的服务应运而生，这种认证被称为WebTrust（网站认证），其标准被称为“WebTrust原则与标准”，该标准由美国注册会计师协会和加拿大特许会计师协会共同开发，目前欧洲的会计师协会也开始提供这项服务。

（三）内部信息系统审计工作方面：

建议内部审计师重点关注COBIT标准，协助本企业做好IT治理。

1999年，英国首先提出IT治理的概念，他们认为越来越多的企业风险是由内部控制疏忽、信息技术失败引起的。同年，ISACA成立了IT治理研究院，专门研究IT治理的概念，并提供了信息及其相关技术的管理体系模型和最佳实务。目前，该体系已在世界上100多个国家的重要组织中成功运用，指导这些组织有效利用信息资源、有效管理信息相关的风险。

内部审计师应当结合本单位实际来研究如何利用COBIT的IT治理最佳实践标准、方法和工具，针对组织的信息系统进行审计，以发现组织信息系统在IT治理、安全、运维、开发及业务连续性等方面存在的技术脆弱性和管理薄弱环节，以适宜的方式向管理当局报告所发现的风险，并对风险进行持续的追踪，不断提高组织的IT风险控制水平。（作者单位：河南省审计干部培训中心）

参考文献：

[1]康晓丽关于政府审计、民间审计和内部审计比较的案例分析， 康晓丽

[2]石爱中副审计长在信息系统审计研讨会上的讲话， 石爱中