[IT治理与审计体系] 信息化时代的IS审计理论结构构建 [
信息化时代的IS审计理论结构构建来源:万方数据 作者:胡晓明 编辑:李伟
一、IS审计理论研究的意义
信息化建设的突飞猛进给现代审计带来了一种新的范式,有人预言,信息系统审计(Information System Audit,简称IS审计,下同)将成为未 来审计行业和审计技术最为强劲的驱动力最。如今,在很多大型公司内部,IS审计部门已成为一个独立的向组织提供多种服务的部门。尤其是 互联网和电子商务的兴起,更是为IS审计业务带来了无尽的商机,与信息安全相关的防火墙审计、安全诊断、灾难恢复、信息技术认证以及与 ERP相关的新型咨询业务将不断涌现。在实践活动中,IS审计给政府、组织挽回或减少了巨额的经济损失 例如美国各州曾对包括国防部信息系 统、电子政务信息系统等多个国家或非国有的系统进行了审计,提出了包括硬件、软件、安全、人员、组织等多方面的改进建议;我国审计署 驻广州特派员办事处近几年来,在对某国有商业银行省分行进行年度资产负债表及信贷资产质量审计工作中,利用计算机辅助审计,发现了14 家关联企业联合骗贷3亿多元;审计署驻南京特派员办事处在对某商业银行信用卡业务应用软件系统进行审计时,审计查出该软件系统在开发、 设计、运行、维护、管理、控制及核算等方面存在的缺陷与漏洞,并提出了改进对策和建议。IS审计的作用可以概括为,它是一种具有充分和 相关的内部控制的措施;从内部和外部都获得很好保护的安全网络;介于工程再造和控制之间的平衡;适时的起作用的IT安全政策;对IT安全 性的高度警觉和对更好的商业连续性的准备;能获得IT投资上更好回报的方式。
有人认为,IS审计只是一个现代社会新兴职业或专业技能的代名词,没有理论研究的必要。我们认为不妥。美国审计专家罗伯特.K.莫茨和侯 赛因.A.夏拉夫指出:“一种职业要牢牢地立足于社会,就必须建立一套成熟的理论体系。否则,它将仅仅是一门实践学,是一种手艺,而不 是一门科学。”大力开展IS审计研究,对于保证信息系统的安全、可靠,维护信息时代的市场经济秩序,为我国信息化建设与发展保驾护航, 具有重大的理论意义和广阔的应用前景。
二、国内外IS审计研究现状及分析
2O世纪8O~9O年代以来,由于经济全球化、网络化的影响,信息技术向传统产业的渗透不断提升,IS审计初现端倪。值得关注的是,lS审计理 论研究与实践工作的领导者和主要推动者,国际信息系统审计与控制协会(ISACA,Information System Audit and Control Association),自 成立3O多年来,推出了一系列IS审计准则、职业道德准则等规范性文件,开展了一定的理论研究,并把焦点集中于信息系统保障、控制、安全 和信息技术管理专业的技术与管理主题上;1996年ISACA 研制了《信息系统及相关技术的控制目标(C0BIT,Control Objectives for Information and Related Technology)》,建立了控制模型,COBIT在商业风险、控制需要和技术问题之间架起了一座桥梁,打通不同部门、 不同系统之间的障碍,建立通畅的信息贯通渠道L4 ;1998年ISACA 又创立信息系统管理协会(IT Governance Institute)。目前已有170多个分 会遍布在全球100多个国家,拥有会员超过28 000人。2O世纪9O年代后期IS审计思想传播到我国,2002年6月,ISACA举办了首次CISA(注册信息 系统审计师)资格考试,与IS审计相关的概念、技术、实践才慢慢引入,IS审计的理论研究也刚刚破题。
虽然国内外对IS审计理论和应用的研究已有相当规模和成果,但由于IS审计形成时间较短,IS审计研究(特别是在我国)还很不完整、不系统, 相关研究内容比较零星、分散。目前我国的审计实务还停留在绕过计算机审计阶段,由于不对计算机程序处理过程进行审计而只对有限的部分 数据进行审计,显然是片面的。IS审计工作目前还处于探索阶段,还没有形成一套成形的专业规范理论结构,会计审计界所进行的一些信息系 统审计的探索和尝试以及开发的一些信息系统审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。理论研究主要集中在IS审计执 业标准和规范、IS审计作用意义、IS审计业务内容、IS审计技术方法及应用模式和IS审计人员资格的规范等方面。理论界对IS审计的理解千差 万别,没有形成统一认识,甚至存在一些认识上的误区,如将IS审计与计算机辅助审计(CAA,Co mputer Assisted Audit)混为一谈,或认为IS 审计可由信息工程监理(IPS,information Projects Supervisal)代替,或认为IS审计仅是对财政财务收支处理的审计等。
三、构建IS审计理论结构
(一)IS审计理论基础
审计理论基础作为审计理论产生和发展的起点,是整个审计理论体系大厦的基石。审计理论基础并不等同于审计理论,它不具备审计理论所特 有的高度抽象性、适用性、严密逻辑性和普遍指导性。IS审计理论基础勾画了IS审计理论与其他相关边缘性学科理论相互交融的学科群轮廓, 相关学科理论正向IS审计领域侵蚀。传统审计理论为IS审计提供了丰富的内部控制理论与实践经验,使IS审计师能“用批判的眼光”向系统信 息使用者提供外部鉴证服务;行为科学理论将帮助IS审计师解释组织中产生的“人的问题”,研究人的行为,预防系统人为的故障,解决系统 的安全问题;信息管理理论将为IS审计提供如何提高系统运行的效率、控管系统资源等方面的理论和方法,提高实现企业内部管理目标的能力 ;信息技术学本身的发展也在关注如何保护资产安全、保证信息完整,并能有效地实现组织目标。各学科相互交叉、渗透、融合、互动,共同 打造一个多元化动态网络,它为审计理论与其他学科理论提供了一个公共区域。审计理论基础决定着审计理论发展的方向、趋势,审计理论基 础的每一次变革都会引起审计理论发生相应的变化。随着IS审计的进化,传统模式会发生变革,审计学科将逐渐脱离传统学科归属范式束缚而 独立存在、自成一体,我们认为,审计学科的重新定位必将推动审计理论的创新和进步。
(二)IS审计理论结构要素
理论界关于审计理论结构要素的研究由来已久、众说纷纭、各无定论,其中,莫茨、夏拉夫的观点提供了审计理论研究的指导性依据,两位学 者在其着作《审计理论结构》中主张审计理论结构应是在审计概念基础上制定程序和标准,其关系呈现锥形,概念处于锥顶,程序在锥底。按 此从抽象到其体的思路,我们可以将信息技术条件下IS审计理论结构要素规划为如下层级。
1.IS审计概念。
Ron A.Weber认为IS审计是一个获取并评价证据,以判断信息系统是否能保证资产的安全、数据的完整以及有效率地利用组织 的资源并有效果地实现组织目标的过程。日本通产省情报协会的表述是,为了信息系统的安全、可菲与有效,由独立于审计对象的IS审计师, 以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IS审计对象的最高领导提出问题与建议的一连串的活动。因而, IS审计并非传统审计业务的简单扩展,其以电子计算机为核心的信息系统为对象,从纵向(生命周期)看,IS审计覆盖了信息系统从计划、分析 、设计、编程、测试、运行、维护到报废的全过程的各种业务;从横向(各阶段截面)看,它包含对硬软件的获取审计、软件审计、应用程序审 计、数据完整性审计、安全审计和生命周期共同业务(如文档管理、人员管理、进度管理、外部委托、灾难恢复等)审计等内容。我们认为,IS 审计的概念可以定义为,专业审计人员根据审计准则及相关规制,对信息系统从计划、研发、实施到运行维护各个环节进行审查与评价,以保 证被审计信息系统安全、稳定和有效,并提出一系列改进建议的管理活动。
2.IS审计目标。
审计目标是审计理论研究的起点之一,目标定在何处是相当关键的。在信息时代,企业价值链上许多环节的信息都需与信息使用者(企业管理者、交易伙伴以及投资人)分享,社会的需要促使了现代审计目的的改变。IS审计师不仅要对系统信息的合法性、公允性进行审计,还要对信息系统的硬件和软件,以及整个信息系统的安全性、稳定性、内部控制的健全性与有效性等方面进行审计,指出被审计单位信息系统内部管理和控制上的薄弱环节,提高其信息系统的可靠性和真实性,有效地防止利用信息技术随意篡改系统信息或破坏磁性介质上的数据等舞弊行为的发生。因此,IS审计目标不仅仅在于应用计算机进行审计(即传统EDI审计或计算机辅助审计),更重要的是要对信息系统本身的安全性、稳定性及其实现组织目标的有效性进行实时的检查、评价和改造。
3.IS审计职能。
审计职能即审计在客观上所固有的功能。我们认为,为了实现审计目标,保证和咨询应成为对信息系统进行审计的两大基本职能。“保证”即“系统可靠性保证”,就是通过对信息系统运行过程、商业连续性能力、维护状况进行评价,合理保证信息系统安全、稳定、有效,它是IS审计最基本的职能。“咨询”就是指审计人员能够向信息系统的高层管理者以及使用者提供解决问题的方案,以达到改善经营和为组织增加价值的目的。
4.IS审计依据。
审计依据是提出审计意见,做出审计决定的标准,是审计人员在审计过程中用来衡量被审计事项是非优劣的准绳。在信息时代,审计人员执行IS审计时,主要以信息系统的管理制度、条例和法规、ISO9000、信息系统的实际运行情况等为主要依据。目前IS审计工作还处于探索阶段,没有形成一套成形的专业规范,IS审计人员可遵照CISA发布的《信息系统审计准则》执行IS审计业务。
5.IS审计风险。
从审计的理论基础看,审计经历了主观基础审计—— 制度基础审计—— 风险基础审计。审计人员应运用风险基础审计的基本理论,从社会和客户的需要(期望)出发,整合IS审计风险模式中的各要素(固有风险、控制风险和检查风险),构建IS审计风险模型,科学分析与评价信息系统的操作程序、审计环境等,对系统控制要素进行测试,以确定IS审计线索、范围和重点,研判信息系统内部控制的有效性以及IS审计程序设计和执行的恰当性。评估风险、信息安全政策、安全和灾难计划是掌控信息安全的途径,系统发展和维护、接近和使用信息、个人方法、保密原则和物理安全控制是衡量安全的中心政策和一般指南。根据审计风险的概念,我们可以将IS审计风险定义为,信息系统的安全性、稳定性和有效性存在重大隐患,而IS审计师验证后发表不恰当审计意见的可能性。
6.IS审计技术。
企业引用信息系统的目的就在于通过先进管理理念、先进作业技术,实现业务流程的重组,降低人力、物力、财力损耗,提高系统运行效率。为了保证信息系统安全、稳定与有效,审计人员应采用一定的方法对系统风险进行测试(符合性测试、实质性测试),并对来自内部和外部的安全隐患,进行系统诊断,提出相应对策,帮助企业调整现有的管理架构和流程,使信息系统更好地为管理服务。审计人员应在充分利用传统财务审计技术的基础上,逐步构建新的审计技术方法体系,诸如测试数据法、并行测试法、受控处理法、程序比较法、嵌入审计程序法和程序追踪法等,以促进完成系统检查、风险评估以及实质性测试。
7.IS审计流程。
证据理论是审计学科的一个重要组成部分,审计过程实质是一个收集、评价和鉴证审计证据的过程。IS审计是一个获取并评价证据,以研判信息系统是否能够保证资产的安全、有效以及提供真实、完整的系统信息的动态循环流程。由于信息风险对审计风险的影响,在实施审计程序时,审计人员应采用传统的被实践证明为有效的审计体系,重点研究风险理论下可供操作的IS审计流程框架,包括依据IS审计目标、识别各种限制条件、制定IS审计的计划、确定IS审计的指标体系、选择IS审计方法,实施IS审计、编写IS审计报告。恰当的审计流程有助于审计工作循序渐进、有条不紊地实现审计目标,并对审计风险的控制有着重要的意义。
四、结语
信息系统不断发挥其先进技术的力量,把进步带到世界的每一个角落。IS审计是一个完全崭新的领域,它随着信息系统的产生而产生,也必将随着信息系统的发展而越来越受到人们的重视。IS审计既要实现信息系统外部审计的鉴证目标,即对被审计单位信息资产的安全性及系统数据的合法性、完整性进行鉴证,叉要达到内部审计的管理目标,即信息系统能否有效地保证组织价值增值。无论是政府审计、民间审计还是内部审计,离开IS审计将寸步难行。面对信息化时代,内、外部审计均面临着需求环境变化、角色转变的压力与挑战,合理鉴定内、外部审计在IS审计市场的地位和作用及其市场份额是IS审计研究的重点和难点。 跟大家交流一个ITIL的概念吧:ITIL认证课程是取得ITIL认证证书需要掌握的基础内容,ITILXFITIL培训基地为广大ITIL爱好者提供了ITLT系列培训课程,包括了 ITIL F、Expert以及ITIL落地课程。在ITIL F 课程中包含了ITIL的基础概论、ITIL的关键原理与概念模型、服务战略、服务设计、服务转换、服务运营、服务的持续改进以及包括了现有ITIL工具的简要介绍。 好,很好,非常好!
页:
[1]