一、什么是信息系统审计
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程(国际信息系统审计与控制协会ISACA的定义)。目前审计机关信息系统审计主要有两种方式,一种是将信息系统审计作为常规审计的一部分,为实现审计项目的总体目标服务,即数据审计、信息系统审计和系统内部控制审计“三位一体”的结合方式。信息系统审计和系统内部控制审计为数据审计服务,通过审计数据得出结论。另一种是独立立项的,直接审计信息系统本身的安全性、可靠性和有效性。
二、开展信息系统审计的紧迫性
信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然产物。
(一)开展信息系统审计是控制审计风险的要求。近几年,审计纸质账目时,内部控制也要审计,不能假账真审。同样的道理也不能假电子数据真审,如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。
(二)开展信息系统审计是全面履行审计职责的要求。信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须“三位一体”,在审计过程中,这三项内容不能少。只有这样,我们才能完成“全面审计,突出重点”的要求,全面履行审计职责。
三、现阶段如何开展信息系统审计
(一)提高全体审计人员信息系统审计的意识。
“审计人员不掌握计算机技术,将失去审计资格”这一观点基本得到了八万审计人员的认同,这些年计算机在审计领域得到了普遍的应用,数据审计得到了有力的推进,但大多数人对于信息系统审计的认识还不到位,对开展信息系统审计的必要性、紧迫性认识不足,甚至对开展信息系统审计的可行性持怀疑态度。为保证信息系统产生的数据真实完整,信息系统的安全、可靠和有效,重大的审计项目,只要被审计单位应用的是信息系统,我们就必须审计信息系统,检查系统内部控制,只有这样才能防止假账真审。
(二)重视计算机信息系统审计人才的培养,不断提高其审计技能。
计算机信息系统审计对审计人员的专业技能要求较高,除了需要审计人员具备相应的审计技能外,还要具备较高的计算机水平。计算机信息系统审计人员的获得有两个渠道,一是在配备人员时就将计算机技能作为一个必要条件,在实际工作中不断培养其审计技能;二是对现有审计人员进行计算机知识的培训,增强其信息技术审计能力。由于计算机技术涉及的范围广、技术复杂性强、计算机信息技术快速发展的特点,决定了不论以何种方式获得的信息技术审计人员,都要对其进行持续不断的后续教育。
