论文部分内容阅读
【摘要】随着网络经济时代的到来,人们的经济生活愈发与信息技术紧密相连。一方面,信息和信息技术在各领域的渗透,促进计算机审计进一步向网络审计发展;另一方面,信息技术应用范围的不断扩展,使得信息系统审计业务(ITaudit)日益受到职业会计师行业的重视, IT审计师应运而生。从长期发展趋势来看,本文认为IT审计师的出现迎合了计算机审计向网络审计发展的趋势,并将成为未来计算机审计的一大主要力量。
一、引言
21世纪,以计算机网络为代表的信息技术进一步迅猛发展,并不断更深入地渗透到生产、生活的各个层面。随着技术要素的渗透,计算机会计信息系统日益普及,计算机审计工作近年来蓬勃发展起来。目前的计算机审计虽然仍是桌面审计,但已逐步摆脱绕过计算机审计阶段,进入到穿过计算机审计、利用计算机审计阶段,并将随着网络经济的迅猛发展,向网络审计阶段进军。目前许多跨国公司已经开始普遍使用大型管理信息系统,但随之产生的问题是,信息系统对生产经营和管理的影响越重大,管理人员面对的经营风险和财务风险也越大。信息风险对企业生存和发展的挑战,使企业对信息系统的依赖程度越大,信息系统安全和运营隐患可能带来的伤害也就越严重。因此,信息系统必须随时置于专家的监控之下。
信息系统审计师,也称IT审计师或IS审计师,是指一批专家级人士,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉经济管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。IT审计师是由“国际信息系统审计与控制协会(ISACA)”认证的。ISACA是国际上惟一的信息系统审计师专业组织。会员被称为信息系统审计师,也就是我们通常所说的IT审计师,其主要从事的工作包括:向客户提供与信息系统相关的服务,在财务审计中对被审计单位的信息系统的了解、测试和评价以及计算机辅助审计技术的运用等方面。一般的IT审计师都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财会和单位内部控制有深刻的理解。因此,目前IT审计师已经成为全球范围最抢手的高级人才之一。
二、IT审计师的出现迎合了计算机审计的发展
计算机审计的发展一般要经过绕过计算机审计,穿过、利用计算机审计和网络审计三个阶段。其中前两个阶段属于计算机桌面审计系统。绕过计算机审计是指将计算机处理系统看作是一个“黑箱”。根据被审对象对计算机数据处理系统输入的原始数据,通过手工操作,将处理结果与计算机处理系统的输出进行对比,检查其是否一致,属于计算机审计的初级阶段。穿过计算机审计是对计算机数据处理系统进行审计,包括系统目的与功能需求是否达到,系统分析与系统设计是否先进、科学和实用,程序设计是否正确可靠,内部控制是否健全、可靠,管理制度是否严密、有效,文件资料是否齐全、完整等。利用计算机审计是为实施审计专门开发电子计算机程序,检验被审单位电子计算机程序的可靠性。网络审计是指综合运用计算机网络及其相关技术手段对网络经济及网络系统进行审查的新型审计,是计算机桌面审计系统发展的高级阶段。
随着目前电子商务等网络经济的发展和完善,网络审计势在必行。从审计的客体角度方面,网络审计的模式是建立在网络基础上,对被审单位一定时期内全部或部分经济活动,特别是正在发展中的电子商务、电子金融、网络财务和网络会计等进行审计的计算机系统。它包括两个方面:其一是对被审系统开发过程进行审计;其二是对被审系统运行过程及其结果进行审计。目前计算机审计的发展大多还处在只是对被审系统运行结果进行审计,或进一步对被审系统运行过程进行审计,这样的审计是建立在假定被审系统安全、可靠基础上的。而实际上这种假定是否合理,是应当予以验证的,这种验证也就是要对被审系统的安全性、稳定性和有效性进行审计、检查、评价和提出改造建议。而这也正是IT审计师的主要工作,并且这部分工作也是一直上溯到被审系统开发过程的。因此,IT审计师的出现正好迎合了网络审计模式的需要。IT审计师虽然主要源于信息系统安全问题而产生,其主要工作也含有较高的计算机技术因素,但就发展来看,IT审计师的出现迎合了计算机审机的发展趋势,昭示着计算机审计不久将随着电子商务和网络财务等的全面展开而逐步发展到网络审计阶段,未来的IT审计师们也将成为网络审计的“主力军”。从这个角度上讲,IT审计师也是计算机审计发展的必然产物。
三、IT审计师在网络审计的重要作用
计算机审计发展到网络审计后,计算机审计的主要内容将包括网络安全技术与内部控制系统的审计、系统开发审计、应用程序审计和数据文件审计等四个部分。通过分析可以发现,这四个部分的内容,不同程度地与IT审计师相关联,IT审计师在其中将起重要的作用。
(一)网络安全技术与内部控制系统的审计
从Internet诞生起,信息和网络的安全性就成为关注的一个焦点。在Internet发展的每一个阶段,安全问题也都是基础性的、关键性的因素。对于网络审计,其首先遇到的也是网络的安全性测试问题。与安全性相应的还有网络系统内部控制的测试问题,网络系统内部控制包括一般控制和应用控制两个方面。一般控制包括组织控制、软件开发、硬件和系统软件控制、系统安全控制、维护控制和文档控制等方面的审查与测试。应用控制包括输入控制、处理控制和输出控制。IT审计师的主要工作就是利用标准、规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行测试、检查、评价和改造。IT审计师首先关注信息系统的安全性,没有安全就没有一切,IT审计师会采用各种方法来测试系统的安全性,并对来自内部和外部的安全隐患提出相应对策;IT审计师还要审查信息系统的稳定性,没有长期稳定性,信息系统就无法承担起激烈竞争的压力,IT审计师会提出一系列对策保证客户信息系统的万无一失;IT审计师还要鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗企业大量的资源,一般情况下,一说到信息系统建设,大家都觉得是工程师或程序员的事,事实上,这是非常错误的观点。一个好的系统,在安全和稳定的前提下,必须最大程度地符合企业经营流程的特点,经济、有效地解决问题和提供信息。要做到这一点,信息系统开发和维护过程中,就必须有大量的经营管理人员参与,设计出最优的信息流转路径。如果不重视信息系统的有效性,其危害同样是巨大的。一方面由于其繁琐和复杂,导致内部业务人员不会用、不想用或使用不当;另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。显然,要对信息系统的安全、稳定和有效进行监控,就不单纯是某类技术人员能够完成的任务,经过专业训练,经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理,能够利用規范的审计手段,比较客观和冷静地分析、评价企业现有信息系统的运行,并从专业的角度提出建议。
通过以上分析可以看到,IT审计师的工作中实际上已经包含了网络安全技术与内部控制审计的内容。进一步从IT审计师的服务对象分析,IT审计师主要是为以下几类对象服务的:
软件供应商。特别是经济管理类的集成软件供应商,需要信息系统审计师参与产品设计、规划和检测,并对客户现有信息系统进行评价,提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师,管理咨询机构。20世纪90年代以后,管理咨询的重点已经逐步发展为提供一揽子解决方案,其中信息系统的配置,就是解决方案成功的基础。国际知名的管理咨询机构中,有50%以上的员工熟悉信息技术,其中20%拥有信息系统审计师资格。
会计师审计师事务所是信息系统审计师最早的落脚点,“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险,同时为客户提供ERP或CRM的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献。没有他们的工作,评估内部控制风险和企业固有风险将成为一句空话。人们常常看到,“五大”会计公司里,最年轻的合伙人或经理,往往都是信息系统审计师,因为这是一项年轻人的工作。
跨国公司。作为信息系统最集中的用户,跨国公司急需大量信息系统审计师,一方面参与信息化建设的过程;另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明,跨国公司内部审计部门也在大量招聘信息系统审计师,以加强内部的监督和牵制。
大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性,他们对信息系统审计师的要求和跨国公司类似。
(二)系统开发审计
系统开发过程一般分为:系统初步调查和可行性研究、系统详细调查和系统分析、系统总体设计、系统详细设计、程序编制、程序调试、系统调试、系统转换、平行操作试验、系统评审、系统维护和评价等过程。系统开发审计是事前审计,实际上是审计人员参与系统的全过程。主要监督审查下列问题:1.系统的功能是否恰当、完备,能否满足用户商务活动的需要;2.系统的数据流程、处理方法是否符合有关商贸法规;3.系统是否建立了恰当的程序控制,以防止或发现无意的差错或有意的舞弊;4.系统是否保留充分的审计线索,保证了电子商务系统的可审性;5.系统的安全保密措施和管理制度是否健全,能否保证系统安全、可靠地运行;6.系统的文档资料是否全面、完整。这部分内容和IT审计师的工作内容实际也是相适应的。因为IT审计师正是参与一个系统分析、设计和调试运行全过程的“保健医生”,并且IT审计师最关注系统的安全、稳定、有效。
(三)应用程序审计和数据文件审计
应用程序是信息系统的核心,其是否遵守国家财经法规和政策,对经济业务的处理是否合规、合法、正确等,均体现于应用程序。可以手工对应用程序直接进行审查,也可以使用计算机辅助方法,还可以通过数据在程序上的运行间接测试。电算化会计信息系统中,实质性测试的对象是数据文件。对数据库或数据文件的审计主要目的是为确保数据的完整性与正确性等。对数据文件的实质性测试包括:对各账户余额和发生额直接进行检查;对会计数据进行分析性复核,旨在对数据文件进行实质性测试;测试一般控制措施或应用控制的符合性。可以使用不处理数据文件的实质性测试方法、处理实际数据文件的实质性测试方法及处理虚拟数据文件的实质性测试方法。这两部分内容没有IT审计师的技术支持,一般审计人员也难胜其任。
四、结论
审计业务发展至今,传统就账审账的工作只是现代审计中一个特别小的组成部分。现代的风险基础审计理论认为,审计师最重要的工作之一是发现被审计单位最重大的风险隐患,在认定其持续经营的基础上,再对财务报表的真实性和公允性发表审计意见。如果审计师认为被审计单位的信息系统是业务运转的平台,是风险高发区,那么对信息系统的安全、稳定和有效的评价就成为审计的基础和重点。实际上,对信息系统的审计和对财务事项的审计,手段有所不同,但基本的程序和原理都是一样的,对于IT审计师的培养也完全可以扎根于现有的审计人员,尤其是计算机审计人员中。虽然目前来看,IT审计师很大比例上是来自计算机相关业界的人士,但是,随着信息技术的普及,现有审计人员尤其是计算机审计人员将会体现出自身优势,广泛地成为合格的IT审计师,从而推动现阶段计算机审计向网络审计发展。在为客户提供技术性支持和认证服务的过程中,现有审计人员有如下优势:一是经常与客户进行接触和业务往来,与客户之间已建立了良好的合作关系。在长期的业务实践中,已经建立起了一整套与客户沟通的技能,在了解客户需求方面有独特的优势。与客户之间通过长期沟通与合作建立起来的相互信任关系是进一步开展业务的重要业务优势。这点对IT审计师来说是至关重要的,因为良好的沟通、深入了解客户需求是做好系统分析的必要前提。二是獨立和客观的声誉。客观性和独立性是从事审计工作的根本点,对于IT审计师也是如此。三是对于融合在财务报告系统中的控制手段十分熟悉。审计人员多年来就熟知内部控制的评估并实施风险管理的技能,且这些都是经过时间考验并证明行之有效的经验和专业技能。在对于信息系统的内部控制实施评估和风险管理方面,现有审计人员有极强的业务能力。四是现有审计人员中熟知现有计算机审计方法的已越来越多,为进一步加强技术技能及成为IT审计师打下了坚实的基础。
一、引言
21世纪,以计算机网络为代表的信息技术进一步迅猛发展,并不断更深入地渗透到生产、生活的各个层面。随着技术要素的渗透,计算机会计信息系统日益普及,计算机审计工作近年来蓬勃发展起来。目前的计算机审计虽然仍是桌面审计,但已逐步摆脱绕过计算机审计阶段,进入到穿过计算机审计、利用计算机审计阶段,并将随着网络经济的迅猛发展,向网络审计阶段进军。目前许多跨国公司已经开始普遍使用大型管理信息系统,但随之产生的问题是,信息系统对生产经营和管理的影响越重大,管理人员面对的经营风险和财务风险也越大。信息风险对企业生存和发展的挑战,使企业对信息系统的依赖程度越大,信息系统安全和运营隐患可能带来的伤害也就越严重。因此,信息系统必须随时置于专家的监控之下。
信息系统审计师,也称IT审计师或IS审计师,是指一批专家级人士,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉经济管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。IT审计师是由“国际信息系统审计与控制协会(ISACA)”认证的。ISACA是国际上惟一的信息系统审计师专业组织。会员被称为信息系统审计师,也就是我们通常所说的IT审计师,其主要从事的工作包括:向客户提供与信息系统相关的服务,在财务审计中对被审计单位的信息系统的了解、测试和评价以及计算机辅助审计技术的运用等方面。一般的IT审计师都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财会和单位内部控制有深刻的理解。因此,目前IT审计师已经成为全球范围最抢手的高级人才之一。
二、IT审计师的出现迎合了计算机审计的发展
计算机审计的发展一般要经过绕过计算机审计,穿过、利用计算机审计和网络审计三个阶段。其中前两个阶段属于计算机桌面审计系统。绕过计算机审计是指将计算机处理系统看作是一个“黑箱”。根据被审对象对计算机数据处理系统输入的原始数据,通过手工操作,将处理结果与计算机处理系统的输出进行对比,检查其是否一致,属于计算机审计的初级阶段。穿过计算机审计是对计算机数据处理系统进行审计,包括系统目的与功能需求是否达到,系统分析与系统设计是否先进、科学和实用,程序设计是否正确可靠,内部控制是否健全、可靠,管理制度是否严密、有效,文件资料是否齐全、完整等。利用计算机审计是为实施审计专门开发电子计算机程序,检验被审单位电子计算机程序的可靠性。网络审计是指综合运用计算机网络及其相关技术手段对网络经济及网络系统进行审查的新型审计,是计算机桌面审计系统发展的高级阶段。
随着目前电子商务等网络经济的发展和完善,网络审计势在必行。从审计的客体角度方面,网络审计的模式是建立在网络基础上,对被审单位一定时期内全部或部分经济活动,特别是正在发展中的电子商务、电子金融、网络财务和网络会计等进行审计的计算机系统。它包括两个方面:其一是对被审系统开发过程进行审计;其二是对被审系统运行过程及其结果进行审计。目前计算机审计的发展大多还处在只是对被审系统运行结果进行审计,或进一步对被审系统运行过程进行审计,这样的审计是建立在假定被审系统安全、可靠基础上的。而实际上这种假定是否合理,是应当予以验证的,这种验证也就是要对被审系统的安全性、稳定性和有效性进行审计、检查、评价和提出改造建议。而这也正是IT审计师的主要工作,并且这部分工作也是一直上溯到被审系统开发过程的。因此,IT审计师的出现正好迎合了网络审计模式的需要。IT审计师虽然主要源于信息系统安全问题而产生,其主要工作也含有较高的计算机技术因素,但就发展来看,IT审计师的出现迎合了计算机审机的发展趋势,昭示着计算机审计不久将随着电子商务和网络财务等的全面展开而逐步发展到网络审计阶段,未来的IT审计师们也将成为网络审计的“主力军”。从这个角度上讲,IT审计师也是计算机审计发展的必然产物。
三、IT审计师在网络审计的重要作用
计算机审计发展到网络审计后,计算机审计的主要内容将包括网络安全技术与内部控制系统的审计、系统开发审计、应用程序审计和数据文件审计等四个部分。通过分析可以发现,这四个部分的内容,不同程度地与IT审计师相关联,IT审计师在其中将起重要的作用。
(一)网络安全技术与内部控制系统的审计
从Internet诞生起,信息和网络的安全性就成为关注的一个焦点。在Internet发展的每一个阶段,安全问题也都是基础性的、关键性的因素。对于网络审计,其首先遇到的也是网络的安全性测试问题。与安全性相应的还有网络系统内部控制的测试问题,网络系统内部控制包括一般控制和应用控制两个方面。一般控制包括组织控制、软件开发、硬件和系统软件控制、系统安全控制、维护控制和文档控制等方面的审查与测试。应用控制包括输入控制、处理控制和输出控制。IT审计师的主要工作就是利用标准、规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行测试、检查、评价和改造。IT审计师首先关注信息系统的安全性,没有安全就没有一切,IT审计师会采用各种方法来测试系统的安全性,并对来自内部和外部的安全隐患提出相应对策;IT审计师还要审查信息系统的稳定性,没有长期稳定性,信息系统就无法承担起激烈竞争的压力,IT审计师会提出一系列对策保证客户信息系统的万无一失;IT审计师还要鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗企业大量的资源,一般情况下,一说到信息系统建设,大家都觉得是工程师或程序员的事,事实上,这是非常错误的观点。一个好的系统,在安全和稳定的前提下,必须最大程度地符合企业经营流程的特点,经济、有效地解决问题和提供信息。要做到这一点,信息系统开发和维护过程中,就必须有大量的经营管理人员参与,设计出最优的信息流转路径。如果不重视信息系统的有效性,其危害同样是巨大的。一方面由于其繁琐和复杂,导致内部业务人员不会用、不想用或使用不当;另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。显然,要对信息系统的安全、稳定和有效进行监控,就不单纯是某类技术人员能够完成的任务,经过专业训练,经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理,能够利用規范的审计手段,比较客观和冷静地分析、评价企业现有信息系统的运行,并从专业的角度提出建议。
通过以上分析可以看到,IT审计师的工作中实际上已经包含了网络安全技术与内部控制审计的内容。进一步从IT审计师的服务对象分析,IT审计师主要是为以下几类对象服务的:
软件供应商。特别是经济管理类的集成软件供应商,需要信息系统审计师参与产品设计、规划和检测,并对客户现有信息系统进行评价,提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师,管理咨询机构。20世纪90年代以后,管理咨询的重点已经逐步发展为提供一揽子解决方案,其中信息系统的配置,就是解决方案成功的基础。国际知名的管理咨询机构中,有50%以上的员工熟悉信息技术,其中20%拥有信息系统审计师资格。
会计师审计师事务所是信息系统审计师最早的落脚点,“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险,同时为客户提供ERP或CRM的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献。没有他们的工作,评估内部控制风险和企业固有风险将成为一句空话。人们常常看到,“五大”会计公司里,最年轻的合伙人或经理,往往都是信息系统审计师,因为这是一项年轻人的工作。
跨国公司。作为信息系统最集中的用户,跨国公司急需大量信息系统审计师,一方面参与信息化建设的过程;另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明,跨国公司内部审计部门也在大量招聘信息系统审计师,以加强内部的监督和牵制。
大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性,他们对信息系统审计师的要求和跨国公司类似。
(二)系统开发审计
系统开发过程一般分为:系统初步调查和可行性研究、系统详细调查和系统分析、系统总体设计、系统详细设计、程序编制、程序调试、系统调试、系统转换、平行操作试验、系统评审、系统维护和评价等过程。系统开发审计是事前审计,实际上是审计人员参与系统的全过程。主要监督审查下列问题:1.系统的功能是否恰当、完备,能否满足用户商务活动的需要;2.系统的数据流程、处理方法是否符合有关商贸法规;3.系统是否建立了恰当的程序控制,以防止或发现无意的差错或有意的舞弊;4.系统是否保留充分的审计线索,保证了电子商务系统的可审性;5.系统的安全保密措施和管理制度是否健全,能否保证系统安全、可靠地运行;6.系统的文档资料是否全面、完整。这部分内容和IT审计师的工作内容实际也是相适应的。因为IT审计师正是参与一个系统分析、设计和调试运行全过程的“保健医生”,并且IT审计师最关注系统的安全、稳定、有效。
(三)应用程序审计和数据文件审计
应用程序是信息系统的核心,其是否遵守国家财经法规和政策,对经济业务的处理是否合规、合法、正确等,均体现于应用程序。可以手工对应用程序直接进行审查,也可以使用计算机辅助方法,还可以通过数据在程序上的运行间接测试。电算化会计信息系统中,实质性测试的对象是数据文件。对数据库或数据文件的审计主要目的是为确保数据的完整性与正确性等。对数据文件的实质性测试包括:对各账户余额和发生额直接进行检查;对会计数据进行分析性复核,旨在对数据文件进行实质性测试;测试一般控制措施或应用控制的符合性。可以使用不处理数据文件的实质性测试方法、处理实际数据文件的实质性测试方法及处理虚拟数据文件的实质性测试方法。这两部分内容没有IT审计师的技术支持,一般审计人员也难胜其任。
四、结论
审计业务发展至今,传统就账审账的工作只是现代审计中一个特别小的组成部分。现代的风险基础审计理论认为,审计师最重要的工作之一是发现被审计单位最重大的风险隐患,在认定其持续经营的基础上,再对财务报表的真实性和公允性发表审计意见。如果审计师认为被审计单位的信息系统是业务运转的平台,是风险高发区,那么对信息系统的安全、稳定和有效的评价就成为审计的基础和重点。实际上,对信息系统的审计和对财务事项的审计,手段有所不同,但基本的程序和原理都是一样的,对于IT审计师的培养也完全可以扎根于现有的审计人员,尤其是计算机审计人员中。虽然目前来看,IT审计师很大比例上是来自计算机相关业界的人士,但是,随着信息技术的普及,现有审计人员尤其是计算机审计人员将会体现出自身优势,广泛地成为合格的IT审计师,从而推动现阶段计算机审计向网络审计发展。在为客户提供技术性支持和认证服务的过程中,现有审计人员有如下优势:一是经常与客户进行接触和业务往来,与客户之间已建立了良好的合作关系。在长期的业务实践中,已经建立起了一整套与客户沟通的技能,在了解客户需求方面有独特的优势。与客户之间通过长期沟通与合作建立起来的相互信任关系是进一步开展业务的重要业务优势。这点对IT审计师来说是至关重要的,因为良好的沟通、深入了解客户需求是做好系统分析的必要前提。二是獨立和客观的声誉。客观性和独立性是从事审计工作的根本点,对于IT审计师也是如此。三是对于融合在财务报告系统中的控制手段十分熟悉。审计人员多年来就熟知内部控制的评估并实施风险管理的技能,且这些都是经过时间考验并证明行之有效的经验和专业技能。在对于信息系统的内部控制实施评估和风险管理方面,现有审计人员有极强的业务能力。四是现有审计人员中熟知现有计算机审计方法的已越来越多,为进一步加强技术技能及成为IT审计师打下了坚实的基础。