关于制约审计机关开展信息系统审计的问题成因(2)
2017-09-01 01:15
导读:审计调查发现,我国企业目前信息系统中应用的计算机硬件、系统软件和应用软件等大多来源于国外公司;我国上市金融企业的会计报表年度鉴证审计也大
审计调查发现,我国企业目前信息系统中应用的计算机硬件、系统软件和应用软件等大多来源于国外公司;我国上市金融企业的会计报表年度鉴证审计也大多选择外国的著名中介机构来完成。由于上述原因,从某种角度来说,我国某些领域的经济数据已经没有秘密可言,甚至在某种程度上已威胁到国家的经济运行和安全。由于信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地利用等方面作出判断的过程。因此,如果审计机关不对信息系统的安全加以关注,并尽快具备全面的信息系统审计的能力,上述被动局面就很难彻底改变,审计做为国家“免疫系统”的作用就会受到极大地限制。
二、主观因素
(一)对信息系统审计的认识普遍存在偏差且重视程度不够。
客观来看,各级审计机关目前已经基本能够熟练掌握和运用电子数据审计方式进行实质性测试,也因此取得了很大的审计成果。一些审计人员甚至认为,数据审计已经能够发现大案要案线索,何必再开展麻烦的信息系统审计呢?从长远来看,这种认识是相当片面的。因为,在信息系统环境下,电子数据按程序自动进行处理,如果信息系统的应用程序出错或被非法篡改,则信息系统只会按照错误程序进行输入输出处理。同时,信息系统也有可能被人为嵌入非法的舞弊程序而导致错误的结果。而现行的数据审计只是通过一定方式取得被审计单位的备份数据,在此基础上进行审计分析,不能从根本上解决“假账真审”或者“假电子数据真审”的问题。因此,审计机关应当改变片面重视数据审计的模式,充分认识到信息系统的特点及其固有风险。
(科教范文网http://fw.ΝsΕΑc.com编辑) (二)现行考核制度对信息系统审计缺乏积极的推动作用。
从审计机关已经开展的信息系统审计案例结果来看,由于既缺乏合适的理论支持,又缺少国内实践经验,目前开展信息系统审计往往需要实施全面审计,涉及人员多,尤其对计算机专业人才要求高,审计项目总体时间长,审计效果不甚理想。另外,目前开展的信息系统审计试点工作主要目标是探索符合中国特色的信息系统审计新技术和新方法,与目前着重抓大案要案和要情要目的考核目标不完全相吻合。因此,在现有考核目标和内容不变的情况下,各级审计机关和审计人员很难将现行审计工作重点转移过来,开展信息系统审计显然难以得到高度重视。
(三)审计机关现有信息系统审计人才匮乏。
开展信息系统审计,需要熟悉、精通审计专业和计算机专业的高端复合性人才。包含两个方面的人才,一种是精通审计、担任过大型项目主审且熟悉计算机应用(例如计算机中级水平以上)的高级审计师;另一种是精通计算机(例如注册信息系统审计师CISA)或者熟练掌握数据库原理、数据库访问技术、信息系统的一般控制和应用控制、以及
软件工程等知识,同时又熟悉审计原理和审计实务的计算机专业人才。从审计机关目前的现状来看,显然这两方面的人才都相当匮乏。
自2001年至今,已通过审计署计算机中级
培训考试的2000多名审计干部,对常见的数据库系统,例如ACCESS、FOXPRO、MICROSOFT SQLSERVER等比较熟悉,也能熟练地运用AO软件、数据库软件等开展审计。但是,对于目前企业信息系统普遍使用的大型数据库系统,例如ORACLE、DB2、INFORMIX和SYBASE等则了解不多。由于大多数审计人员对信息系统开发、组成和内部控制等计算机技术了解有限,导致目前普遍开展信息系统审计存在很大的技术障碍。
(转载自中国科教评价网www.nseac.com )
三、解决办法与对策
(一)审计机关必须加快发展我国信息系统审计理论与实践的探索,尽快促使相关部门以法律、法规的形式将开展信息系统审计应当包括的内容和范围确定下来,使审计机关能够依法开展信息系统审计,更好地履行宪法和法律赋予的职责。
