信息技术正在扩展审计的内涵与外延。与早期的审计相比,现代审计的“对象”、“目标”以及“目的”已经发生了很大的变化,以行为、过程和系统等为审计主体的“非信息审计”变得越来越重要。我国在相关审计法规的指引下,信息系统审计实践也正在如火如荼的开展,但通过对相关案例的分析可以发现,信息系统审计实践存在不少的问题。本文就某航空公司的收入结算系统审计项目进行案例分析,透视信息系统审计实践存在的问题,并对政策制定提供相关的建议。
一、某航空公司的信息系统审计项目
某航空公司的审计项目是2005年的重点审计项目之一,其目的是要为实现“真实、合法、效益”的审计目标奠定基础。开展信息系统审计是抓住该集团特点,培育项目亮点,把这个项目做成精品的重要举措之一。信息系统到底怎么审,怎么评价,审计人员想到找一条别人走过的路子,照猫画虎。但查阅信息系统审计的相关资料,看到的基本上是国外对信息系统审计的理解与做法,与我们的审计有较大的差别,如果直接硬套过来,只能是东施效颦;询问相关的专业人员,大家都没有类似的经验。经过几次讨论,审计组决定首先找对某航空公司信息系统实施管理的规则发展部、信息技术中心两个部门的领导进行一次深谈,听听他们对A航空公司信息系统的评价,希望从中理出一些思路,再进一步确定具体工作方案。与被审计单位部门领导谈话进行得比较顺利,审计人员也渐渐理出了自己的工作思路:企业的信息系统体现的是企业的管理理念。这次信息系统审计应该主要抓住以下方面:首先是该航空集团信息系统的规划、建设、管理与整个公司的发展是否相适应,信息系统资源的整合是否能够跟上公司其他资源高速整合的步伐;其次是公司信息系统的功能是否能够满足业务特点的要求;再次是结合在数据审计中发现的大量数据问题,特别是数据整理中再现的问题,来考察信息系统中存在的问题。但在实际问题的处理过程中也存在着诸多困难,无现成的案例和信息系统审计规范可借鉴。为了确保审计目标的实现,审计组开展了信息系统审计。在系统审计的探索中,审计人员根据调查了解的情况,在数据分析的基础上,通过跟踪被审计单位的业务过程和数据处理流程,发现了被审计单位收入结算系统中存在的非法销售暗扣处理模块,具体信息系统审计过程包括:一是数据分析,发现问题线索;二是通过数据对比,求证问题线索;三是跟踪业务过程,发现暗扣代码文件;四是跟踪数据处理流程,发现暗扣模块。最终通过对某航空公司收入结算系统的审计发现,进入系统的原始数据由面额逐步转变为毛额和净额,系统以最后的净额与代理人结算,并生成运输报告传递到财务系统确认收入,从而实现了航空公司暗扣销售和净额结算。至此,该信息系统审计项目也宣告结束。
二、案例分析
由上述案例过程可知,我国对企业信息系统审计还处于探索阶段,在审计实务中到底如何开展信息系统审计还缺乏有说服力的案例和行之有效的办法,更不要说具有可操作性的完整的信息系统审计规范体系。总体来讲,笔者认为从上述案例可以反映出当前我国信息系统审计规范体系还存在着如下几个方面的缺陷。
(一)没有完整可借鉴的由权威机构制定的信息系统审计规范
信息系统审计规范是信息系统审计经验的总结,是对审计活动内在规范的反映,审计人员按照信息系统审计规范所确定的程序、步骤、技术和方法开展工作,能够少走弯路,提高信息系统审计效率,保障信息系统审计工作科学、有序、高效地运行,全面实现信息系统审计目标,降低信息系统风险,同时也可降低财务审计、绩效审计以及环境审计等风险。而上述案例也说明我国信息系统审计尚处于探索阶段,在信息系统审计实践中缺乏有说服力的案例,根本谈不上完善的信息系统审计规范体系,而在国外却存在如ISACA这样的机构去提供完整的信息系统审计准则、指南和审计程序,至2010年4月其已经发布了16项基本准则,41项审计指南和11项作业程序。因此,国家相关部门应整合信息系统审计规范制定的实践与理论资源,在借鉴国外信息系统审计规范的基础上,推进我国信息系统审计规范体系制定的进程。
(二)信息系统审计的开展缺乏计划,不存在后续审计阶段
对信息系统的审计是一个过程,包括信息系统审计计划、实施、审计报告以及后续审计阶段,而在上述案例中,对信息系统的审计是一个摸索的过程,根本谈不上信息系统审计计划。凡事预则立,不预则废。无论是国家审计,还是注册会计师审计,同样需要制定信息系统审计计划。《内部审计具体准则第28号---信息系统审计》中指出,内部审计人员在执行信息系统审计之前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,并以此制定信息系统审计计划,除此之外第28号具体准则没有作详细深入的阐述。在ISACA的审计准则体系中,关于审计计划的基本准则有审计计划(S5)、审计计划中风险评估的运用(S11)和审计重要性(S12);审计指南有信息系统审计中的重要性概念(G6)、审计计划中风险评估的运用(G13) 以及信息系统审计的计划(G15);审计程序中有信息系统风险评估(P1)等可供借鉴与参考,并且ISACA对审计计划的相关准则、指南和程序进行了详细深入的阐述,以利于引导和约束审计人员的审计行为。
审计报告的签署并不意味着信息系统审计的终结。上述案例不存在后续审计阶段,这与缺乏信息系统审计规范的指导是分不开的。在ISACA的审计准则体系中,后续审计方面的准则包括基本准则后续工作(S8)以及审计指南后续工作(G35)等。根据ISACA审计标准,审计人员对于在信息系统审计中发现信息系统的重大问题和漏洞,并提出改进意见后,可对被审单位所采取的纠正措施及效果进行后续审计。如果审计建议如期落实,则实现了信息系统审计的目标,也意味着信息系统审计意见得到了被审计单位的认可;如果审计建议没有落实,应耐心听取被审计人员的反馈意见,对于落实的难点问题,审计部门应反映给高级管理层,请其协助落实。此外,对于不切实际的审计建议,审计组成员应该分析原因,以利于下一次审计项目的改进。因此,后续审计阶段对于信息系统审计同样重要,而在上述审计案例中,对A航空公司收入结算系统的审计根据不存在后续审计阶段。
(三)信息系统审计出于“真实、合法、效益”的审计目标
我国开展的信息系统审计与西方的信息系统审计在目标上存在着差异,我国审计部门开展信息系统审计主要是为“真实、合法、效益”的审计目标服务的,主要关注信息系统影响被审计单位的合法经营、财务核算、经营效益等方面的问题,还没有达到审查信息系统安全、可靠、有效和效率以及能否有效地使用组织资源、实现组织目标的层次。因此,对于信息系统审计,在很大程度上主要是根据数据审计的需要开展。随着企业信息化、政务信息化等的发展,信息系统的安全审计、生命周期审计以及软硬件审计等变得越来越重要,其重要程度在很多时候已经超过了出于“真实、合法、效益”审计目标的信息系统审计。我国信息系统审计及规范的发展不能只是停留在“真实、合法、效益”审计目标的基础上,这样只能限制信息系统审计的范围,我国的信息系统审计实践也没有办法拓展到对信息安全保护、软件系统开发以及商业流程评估及风险管理等的审计实践上来。
(四)缺乏信息系统审计项目的质量控制准则
我国在信息系统审计项目方面的质量控制准则尚处于空白状态。虽然国家审计署、中注协和内部审计协会都颁布了一些关于审计质量控制的准则或规范,但这些规范不是针对财务审计的,就是针对会计师事务所质量控制的,而专门针对信息系统审计项目的质量控制基本上还处于空白状态。因此,上述案例在信息系统审计过程中,基本上不存在任何质量控制措施,这也对我国提出了尽早制定与颁布信息系统审计质量控制方面相关的规范。否则,在信息系统审计市场上将出现一个一般化的“格雷欣法则”,即劣等品驱逐优等品,其结果是出现卖方与买方勾结,按照买方的要求设计信息系统内部控制规范(刘杰,2010)。一般化的“格雷欣法则”也不利于我国信息系统产品市场和信息系统审计市场的规范。
三、启示及政策建议
通过上述对某航空公司收入结算系统审计案例的分析可知,我国信息系统审计实践尚处于起步阶段,还存在着诸多问题。为规范信息系统审计行为,加强对信息系统审计实践的指导,信息系统审计规范的制定与发布是关键。信息系统审计规范是一种公共品,政府机构或相关职业团体在信息系统审计规范制定过程中扮演着重要的角色。因此,笔者认为我国政府应从如下几个方面作出努力。
一是以《2004至2007年审计信息化发展规划》与《审计署2008至2012年信息化发展规划》中提出的整合审计资源思想为契机,抽调中国注册会计师协会、国家审计署以及中国内部审计协会相关信息系统审计制定的人力、物力和财力,成立专门的信息系统审计规范制定机构。
二是在借鉴国外诸如ISACA以及IIA等信息系统审计资源的基础上,吸引我国信息系统审计实践中已经发布并实践的信息系统审计操作规则,结合我国信息系统审计实践,出台完整、系统的信息系统审计规范体系。完善、系统的信息系统审计规范有利于指导信息系统审计人员在审计计划、审计实施、审计报告以及后续审计阶段的审计行为。同时,信息系统审计目前属于非强制性审计的范畴,审计质量控制准则往往容易被忽视,而忽视审计质量控制准则的制定与发布在某种程度上会导致信息系统审计市场上“格雷欣法则”的出现。因此,在信息系统审计规范体系中,不应忽视信息系统审计质量控制准则的制定与发布。
三是在信息系统审计规范体系制定的过程中,应将信息系统审计规范应用的范围扩展,不能仅仅服务于财务审计。如果仅仅服务于财务审计,则制定与发布的信息系统审计规范不能很好地服务于信息系统生命周期审计、软硬件审计、信息系统安全审计等其他信息系统审计活动。
四是加强信息系统审计实践案例的调查研究,从信息系统审计实践中总结出一些典型信息系统审计案例,用以指导和规范信息系统审计人员的审计行为,防止信息系统审计实践人员在从事信息系统审计活动时,陷入不知所措的境地。
参考文献:
[1] 刘汝焯,任有泉。计算机审计情景案例选[M].清华大学出版社,2006.
[2] 刘杰。我国信息系统审计规范体系研究[D].厦门大学博士论文,2010.
[3]ISACA,IS Standards,Guidelines and Procedures for Auditingand Control Professionals[R].ISACA,2009.
