信息系統審計分步實施的探討

首都經濟貿易大學會計學院 崔春

天辰達（北京）科技有限公司 陳冬

信息系統審計分步實施的探討

首都經濟貿易大學會計學院 崔春

天辰達（北京）科技有限公司 陳冬

審計這個以鑒證財務信息的真實、公允為目的的行業，在信息化的潮流中，社會相關法律法規、行業標準、產業結構相對落后的情況下，對信息系統的審計的效果和范圍正在受到制約和挑戰。這迫使我們為了規避這個行業的審計風險，確保審計質量而必須在利用現有法律法規、行業基礎的前提下，分步實施審計，發揮職能，在滿足當前審計部門職能要求的情況下，逐步促進整體社會的對于信息系統審計的發展，達到信息系統得到全面審計的目的。下面我們從多個方面展開探討。

一、目前企事業單位、政府機關、軍隊等部門信息系統審計的需求

1、需要對信息系統項目從立項、預算、招標、實施、完成、售后多個方面進行控制，達到投資的效益最大化。

2、對已建設的信息系統進行系統審計，增加信息系統在安全、效益、風險等方面進行評估，為有關部門提供評估報告，達到信息系統審計的目的。

從目前國內體制及部門分工來看，第二項審計職能更多是分配在了信息部門，所以暫不做討論。

二、目前信息系統的問題

1、信息系統項目在政府單位的建設投資中越來越高。信息系統審計的比重也應在政府機關的工作中不斷加強。從而使得審計部門對信息系統項目的建設保駕護航。

2、信息系統項目在建設過程中的隱患非常多。因為信息系統的專業性非常強，引用的新技術、新方式比較多，國外高新端技術、方案比較多，從而使得信息系統項目的建設沒有統一的規定和政府指導。這樣就造成了信息系統項目建設中在招投標、合同、建設過程中存在比工程項目更多的隱患。

3、信息系統項目在政府部門的作用越來越重要。信息系統在政府機關的作用大到政府機關的安全、小到每個公務員正常的工作都會用到信息系統。如果信息系統存在系統或結構性風險時，將會給國家造成無法挽回的損失。

三、根據現有的資源和條件實施階段性審計

在國際上信息系統審計是一個完善的體系，從正規的信息系統審計與控制協會（ISACA），到信息系統審計規范（ITIL，COBIT，ISO20007等），到信息系統審計與控制的專業機構認證的專業人才，比如信息系統審計師、信息系統安全師等（CISA，CISSP，CISP），到會計事務所，商業流程化的運作都比較成熟和正規。但是要全部照搬國外的經驗到國內，綜上問題所在明顯是不可行的。但是目前信息技術在國民生產的比重越來越大，為了使得國民經濟很好的發展，信息系統審計又是勢在必行的。中國應該發展有中國特色的信息系統審計。不能一步到位，要分步實施。將信息系統審計的內容分類，分層，分級，根據現有的資源和條件實施階段性審計，并推動信息系統審計在中國的發展。

具體階段如下：1、第一步將信息系統項目的規范性、效率性、風險性、標準性放在第一階段來完成。2、當國內信息部門與審計部門的分工進一步明確及相關條件成熟后，實施信息系統系統安全審計、風險評估、業務連續性審計。對于第二階段下面不做過多的研究和探討。這其中還涉及到現有政府部門、企業部門中審計部門和信息部門分工的問題，因此還有很多工作和流程需要完成。

如何實現現階段的信息系統審計呢？經過某政府機關三年多信息系統審計的具體操作情況，經過多次總結，溝通，改正，終于找出了在現階段及可以達到審計需要的效果，又不會影響到規定的，具有可操作的信息系統審計方法、流程及如何結合現有社會資源，不用做大的機構變化和不用花費較高的成本就可以實現信息系統審計。

充分利用工程管理和咨詢公司 （有國家建委核發的工程造價、咨詢、預算、結算的資質）、會計事務所（財政部核發的財務、企業管理、財務決算等資質）的審核職能，吸收專業的信息系統專家（如CISA、財政部信息類專家庫專家等）和人才（弱電項目經理、軟件工程師、系統集工程師等）做專業的后盾，審計部門在總體協調和控制，展開對現在的信息系統項目的審計。尋找信息系統項目整個生命周期中的關鍵點，加入控制點，加入控制策略，并形成各個控制點成熟的控制方法和審核策略，最后達預期的審核目的。

這樣一來就可解決審計部門信息系統專業知識不足的問題，二來可以使用國家規定合理化問題，三來解決了信息系統項目在投資比重中占比越來越高而感到被動的問題，四來解決了商業流程問題及費用參考標準瓿。當然還增加了審計部門信息系統審計力量和提高了信息系統審計效率和審計質量。

在具體的信息系統項目審計當中，我們主要通過如下控制點達到以上目的。

通常的項目采購主要分成如下幾種類型：1、分開招標；2、競爭性談判；3、單一來源采購；4、協議供貨。對于以上形式的信息系統項目，我們從待招文件——控制總體的項目預算、招標的公平公正性、項目造價的合理性，待簽文件——控制招標后變更、項目預算和合同的一致性、合同內容是否全面、是否有成本風險等，項目結算——變更控制、合同內容執行情況等。

通過上述控制點，我們圍繞提高信息系統整體效率減低風險為核心，以控制造價為基本原則從而有效的達到了信息系統審計的部份目的。也還好的完成了審計部門的對信息系統項目保駕護航的責任。

當然具體的操作過程中，還有很多與傳統審計有矛盾的地方，需要根據具體的情況進行討論解決。比如收費問題，出具什么報告的問題。

信息系統審計在我國盡管起步較晚，但其重要性日漸明顯。劉家義審計長明確指出，信息系統審計要抓住三個關鍵點，即安全性、有效性(可靠性）和經濟性。通過以上述完全可以完成信息系統審計的三個關鍵點要求。審計的角度保障信息系統項目建設更有效率，減少政策性風險、條款性風險。從而使信息系統項目更好的發控作用。

（責任編輯：董曉磊）

book=232,ebook=187