摘要:随着管理信息化和审计理论的发展, IT审计不断引起人们的关注。IT风险已逐渐成为组织的重要风险, 面临不断增多的系统薄弱性和威胁, 在全球加强行业监管和内部控制的趋势中, IT审计的地位尤为凸显。IT审计是当代科技发展与审计发展相互融合的产物。我国的IT审计系统尚未完善, 审计功能仍不健全, 而传统审计已较为成熟。对二者进行系统的比较研究是考察IT审计发展程度及特点的直接方法, 也是借鉴传统审计严密之处的有效途径。
关键词:IT审计,传统审计,比较
科技的迅猛发展已经给整个社会的经济管理活动造成了巨大影响。IT审计是在原来传统审计的财务审计和管理审计基础上, 由于科学技术向经济管理领域的渗透而产生的。然而, 到目前为止, IT审计在本质上并不是独立于财务审计和管理审计的第三大审计分支, 而是其中的一类审计形态, 其原因在于网络环境的复杂性、实际操作的复杂性、与传统审计的融合程度等因素都制约着IT审计的发展, 本文旨通过比较, 将两者有机结合, 从而提高IT审计质量, 拓展IT审计技术方法在企业审计中应用的深度和广度, 促进企业在审计上的变革。
一、IT审计与传统审计在重大方面上是一致的
( 一) IT审计与传统审计在基本概念及程序上大体一致
“独立性与客观性”、“权威性与公正性”等传统审计的基本概念在IT审计中得到了很好的体现。另外, IT审计独立于信息系统本身、信息系统相关开发、使用人员, 由IT审计师依据法律规定, 采用客观标准独立行使审计监督权, 这与审计的 “独立性与客观性” 完全相同。同时, 国际信息系统审计和控制协会 ( ISACA) 对实行审计制度、建立审计机关以及审计机构的地位和权力都做了明确规定, 这样使审计组织具有法律的权威性, 其与公正性相辅相成。
( 二) IT审计体系与传统审计体系结构基本一致
传统审计体系在逻辑结构上具有较强的严密性, “基本准则—具体准则—实务指南”是由抽象到具体的逻辑规则, 这是会计准则、注册会计师鉴证业务准则等专业标准规范的常用结构, 这使审计后续的具体工作便于寻找相应的准则条款, 为审计工作提供便捷之处。IT审计所表述的 “标准—指南—程序”准则框架在字面上与传统审计体系没有太大差别。其标准反应了信息系统领域的纲领性问题, 指南是标准的具体化, 程序则是一些工作规范, 这与传统审计体系的三个层次是一一对应的。
从审计体系涵盖的内容上来看, 传统审计内容的绝大多部分都包含在了IT审计体系的范畴之内。但是, 相对于ISACA系会下的准则部制定的IT系统审计准则而言, 我国的IT系统审计准则体系还不够完整, 尚有若干项准则没有涉及, 这应该在我国IT审计未来项目计划中予以考虑。
二、IT审计具体内容方面存在两点点创新
( 一) 安全性审计
在传统审计中, 对于被审计对象的安全问题鲜有涉及, 而信息的安全性问题关系到企业的生存与发展, 是保持企业健康可持续发展的重要保障。IT审计中对于安全性审计做了详细的规范。安全性审计的主要目的就是审查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实可靠的信息, 因此安全性审计也是真实性审计的前提。
( 二) IT审计的软件测试方法与电子取证方法
审计方法贯穿于整个审计过程当中, 而不只是存在于某一审计阶段或某个环节。随着IT审计系统实践的丰富与IT审计理论的发展, IT审计处理运用传统审计的方法外, 还大量借鉴了计算机学科的一些方法为我所用。其中 “软件测试方法” 是IT系统审计的重要方法之一, 较为经典的测试方法是黑盒测试与白盒测试。另外, 某些会计数据和其他信息只能以电子形式存在, 或只能在某一时点或期间得到 (1) , 在IT审计时对于这些电子数据的获取极为重要, 需要确保IT审计人员发掘和收集充足可靠的电子证据, 最终生成审计报告。
三、完善IT审计体系还应借鉴传统审计
( 一) 借鉴传统审计中的绩效审计, 加强其实践可行性
传统审计将审计的真实性、合法性和效益性作为审计的目标。为适应建立市场经济的需要, 审计机关从2001 年以前主要从事的真实、合法性审计到90 年代初期, 审计机关对国有企业的审计开始向检查内部控制和经济效益两方面的延伸, 绩效审计的重要性逐步凸显。 (2) 由于IT项目的功能复杂性、结构庞大性、周期延长性, 使得IT绩效审计很难准确地评价如此综合性的IT项目效果, 如何完善IT绩效审计在实践上的可行性是摆在我们面前的一项重要任务。
IT绩效审计应充分借鉴传统绩效审计中的经济性、效果性、效率性特征, 围绕这 “三性”进行展开。在 “经济性” 上, 为了以最低的资源耗费获得一定数量和质量的产出, 可以通过多方面的改良提高其节约程度。如美国Gartner Group Inc公司研发的ERP系统, 其自动化程度很好, 从而提高了IT绩效审计的科学性与可行性, 避免不必要的开支。在 “效果性”上, 力图在IT项目上实现绩效监控动态化, 为企业提供丰富的管理信息, 并在企业管理和决策过程中发挥作用, 动态监控管理绩效变化, 及时反馈和纠正出现的问题。在 “效率性” 上, 提高企业物流、资金流、信息流一体化管理的效率并且要善于管理信息系统, 对信息系统应用价值的实现是IT绩效审计的最重要方面。
( 二) 借鉴传统审计的风险管理, 发挥其制约性作用
《企业内部控制基本规范》把 “应当关注研究开发、技术投入、信息技术运用等自主创新因素”列为企业识别内部风险时应当关注的六个因素之一。 (3) 伴随IT而来的风险、利益和机会使得IT风险管理成为企业管理的重要内容, 也是IT审计中应该完善的部分。
借鉴传统审计对于企业风险管理中风险评估、控制与防范的流程, 结合IT风险管理的环境特殊性, 程序复杂性和数据多样性等特点, 对IT审计中的风险管理应按照 “识别信息资产—威胁的量化和定性—评估漏洞—改进控制差距—管理剩余风险”的流程进行。首先, 识别组织业务职能并确定每个流程的信息敏感度。然后识别流程的每一个组成部分的现有控制措施, 按严重程度将控制差距分类。最后, 通过风险等级、成本和有效性的选择, 创建风险基准线, 以便日后定期重新评估风险所用。
总结
通过对IT审计与传统审计的比较研究, 我们发现: 在基本内容、程序和体系结构等方面, 传统审计与IT审计是协调的。在IT审计的软件测试方法与电子取证方法上, 较传统审计来说有其先进性。但是IT审计的不完善性也是显而易见的, 可以在绩效审计、风险管理等方面借鉴传统审计的优点, 逐渐使IT审计广泛应用于我国的审计行业之中。通过传统审计带动IT审计的方式, 使IT审计取其精华, 去其糟粕, 逐渐发展成为审计行业的新锐力量, 是我国亟待努力的方向。
参考文献
[1] 肖杰浩着.Oracle 10g数据库安全策略研究[M], 计算机科学技术, 2004.
[2]陈耿, 韩志耕, 卢孙中着.信息系统审计、控制与管理[M], 清华大学出版社, 2014.
[3]于海霞, 我国IT审计面对的挑战[J], 中国管理信息化, 2011.
[4]陈耿, 网络环境下的信息系统审计职能与类型[J], 南京审计学院学报, 2012 (1) .
[5]蔡春, 刘学华, 绩效审计论[M], 北京:中国时代经济出版社, 2006.
[6] 陶芸辉, IT审计风险评价与控制研究[D], 安徽:安徽财经大学硕士学位论文, 2012.10.
