[关键词] 信息系统;审计;监理;鉴证
[中图分类号] [文章标识码] A [文章编号]
所谓信息系统审计是指,审计人员接受委托或授权,收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴证目标——即对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审计的管理目标——即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。信息系统工程监理,依据信息产业部《信息系统工程监理暂行规定》,是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。两者都可以服务于信息化建设,可以降低信息化投资风险。但目前在信息化建设领域,信息系统审计尚未被人们接受,在国内的推动中一提到审计,大家就认为是只有对会计报表的审计,似乎与IT和信息系统无关,相比较而言,人们更接受信息系统监理的概念,有些人甚至认为信息系统监理就是信息系统审计。对这两者认识的模糊,不仅影响到我国信息系统审计业的发展,而且影响到信息时代的市场经济秩序与国家安全等问题。国外没有信息系统监理的概念,在我国这一概念的提出是借鉴工程建设监理,而信息系统审计是21世纪初从国外介绍到国内的,尽管人们对两者存在模糊认识,但目前尚未见到系统比较两者的文章,笔者想通过比较,使人们认识到在信息化建设中,信息系统审计是不可替代与必不可少的,推动我国信息系统审计的发展是信息时代的要求。
1信息系统审计与信息系统监理的发展与实践
1.1信息系统审计。信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生的,作为传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理,延伸到对计算机系统的可靠性、安全性进行了解和评价。信息技术的爆炸性发展改变了经济、社会、文化的结构和运行方式,网上商务、网上银行、网上证券、网上政府等相继出现,信息资源的作用得到充分发挥。人们的生活、工作越来越依赖信息技术。利用信息技术攻击对手信息系统,窃取机密,借助网络非法占有财富,特别是数字化财富等现象也日益增多,扰乱了国家正常的经济秩序。这让人们更加关注网络所传递信息的安全、完整、真实,关注产生、处理、传递信息的系统本身的安全、可靠、有效,关注企业如何评估其面临的风险,并如何采取措施预防和监控。
由于技术的限制等原因,信息的使用者不能自己验证信息的质量,因此急需有独立的第三方出面对信息的保密性(Data Confidentiality)、完整性(Data Integrity ) 、交易行为的不可
[收稿日期] 2003-07-28
[作者简介] 孟秀转,女,北京联合大学应用文理学院讲师,数量经济学硕士,注册会计师,主要从事审计、信息系统审计、投资的教学与研究。
孙强,男,中国信息化推进联盟IT治理专业委员会副主任,美国特许信息系统审计师、认证信息安全管理顾问,主要研究方向:电子政务、IT治理、信息系统审计与控制。
否认性(Non –Repudiation)、交易对手的身份明示(User Authentication)、系统的安全有效等做出鉴证,以合理保护信息使用者的利益。同时,企业在信息化过程中也急需专业人士提供有效控制信息系统风险,提高信息化效益的服务。真正意义上的信息系统审计应运而生。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围,在很多大型会计公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外会计、审计界的一个共识。
1.2信息系统监理。20世纪90年以来,从中央到地方,从政府到企业,纷纷投入了大量的资金从事信息工程建设和信息系统的建设,但这其中真正按进度、质量要求、投资预算完成且用户(业主)满意的,只占极少数,不足20%,即便是一些搞得比较好的工程项目,也或多或少地存在一些问题,如项目可行性论证不充分;用户需求不全面、不准确;用户要求一变再变、工程进度一拖再拖;甲乙双方的合同书条文不规范,缺乏可执行性,或存在二义性,出现争执时,双方各执一词、争执不下;缺少设备、系统监理评测验收;工程结束后,承包方没有提交与工程有关的文档资料,严重影响了工程的连续性、继承性、可扩展性;工程长时间不能投入正常运行、工程款一再拖欠,承建单位也迟迟拿不到工程款,等等。严重地影响了信息系统工程项目的质量和进度,不仅损害了合同签约双方(建设方和承建方)的利益,还给国家和社会造成了许多不应有的损失。
为保障信息系统工程签约双方的利益,确保国家信息产业更加健康、有序地发展,“信息系统工程监理”就应运而生了。
信息产业部于2000年元月发布了信规(2000第206号文),即“关于认真开展信息工程监理的通知”。在通知中指出:凡属于信息工程建设项目,包括新建、扩建、技术改造,一律按国家规定实行监理;承担工程监理的单位,必须具备与工程性质、规模等级相应的监理资质,没有信息工程监理资质的单位不得承担信息工程监理业务。要求监理公司要对建设项目的质量、成本、进度实施监理控制,保护建设项目建设方与承建方的利益。
2信息系统审计与信息系统监理的区别
从信息系统审计与信息系统监理的概念以及国内外的实践总结,笔者认为两者之间的主要区别包括:
2.1作用不同
与财务报表审计相同,信息系统审计的作用也包括:
第一,鉴证作用。信息系统审计的鉴证价值是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。在市场经济条件下,被审计单位输出的信息资料对该单位的存在与发展及其业务经营活动非常重要,对一些利益相关者而言也非常重要。例如,在电子商务中,交易双方在虚拟的空间进行交易活动,信息的真实性、可靠性、完整性,双方声明的商业政策能否一贯的遵循直接影响到交易是否顺利实现或公平实现。这种情况下,不仅被审计单位自己关注其信息系统对信息资产的安全、完整、真实的作用,同时交易的另一方也非常关心。由于技术、商业机密以及距离上的限制,信息的使用者不可能亲自对信息的质量做出审查,因此需要一个可信赖的一方为此提供鉴证。信息系统审计师以其独立的身份,对被审计单位的信息系统及其输出的信息进行审计,查出各种错误与舞弊,是合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性的重要环节,是维护电子商务时代正常经济秩序必不可少的重要手段。
第二促进作用。促进价值体现在两个方面,一是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中;二是指审计可以促进被审计单位改进内部控制,加强管理,提高信息系统实现组织目标的效率、效果。
从第一个方面来看,信息系统审计师在完成审计后,出具审计证明,即审计报告,以证明被审计单位信息的真实、完整、可靠。审计师的证明可以增强人们对其信息的信任程度。随着网络技术的普及,商业信息的在线和实时披露都是不可扭转的必然趋势。信息系统审计师能够以在线、实时的信息为基础提供鉴证,对使用信息的所有相关体而言是具有巨大价值的。当然,对投资大众而言将更有意义。这样会给被审计单位带来更多的资金、更多的业务及合作伙伴。同时,信息的使用者也可以借助这些信息,加强被审计单位的管理决策,提高其经济效益。
从第二个方面来看,信息系统审计在审计过程中发现的控制缺陷或漏洞,可以审计报告、管理建议书等形式报告给委托人或被审计单位管理当局,并提出解决问题的建议,从而促进被审计单位提高管理水平,提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位信息系统进行全面的审视,可以发现从内部看不到的问题。俗话说“不识庐山真面目,只缘身在此山中”。信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察企业,分析其存在的问题及原因,也表现在以科学的态度和创新精神,去设计解决问题的方案。
第三咨询作用。信息技术的发展为组织的管理变革提供了技术手段,组织扁平化、工作丰富化等管理变革都要信息技术来实现。信息化已是大势所趋。但是,信息化建设是有风险的,据报道,一家咨询集团曾对美国24家大型企业开发的客户/服务器系统进行了调查,结果表明,其中68%的项目超过了预定的开发周期,55%的项目其费用超过预算,88%的项目必须进行系统再设计。另有一家美国著名的调查公司SPR对美英两国的企业信息系统工程进行了类似的调查,报告显示,有30%~50%的客户/服务器项目中途放弃开发。为减少信息化风险,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需要,确定信息化的目标和内容,选择合适的软件产品,帮助企业调整现有的管理架构和流程或修改软件产品使其更好地服务于管理的需要。
与信息系统审计不同,信息系统监理的作用主要包括:
第一监督控制作用。信息系统工程监理可以帮助业主单位更合理的保证工程的质量、进度、投资,并合理、客观的处理好它们之间的关系。在项目建设全过程中,监理单位依据国家有关法律和相关技术标准,遵循守法、公平、公正、独立的原则,对信息系统建设的过程进行监督和控制,确保质量、安全和有效性的前提下,合理的安排进度和投资。监理单位是帮助业主单位对工程有关方面控制的再控制,就是对承建单位项目控制过程的监督管理。
第二合理地协调业主单位和建设单位之间的关系,这是监理的一项主要工作。在信息系统工程建设中,很多时候业主单位和承建单位有许多问题存争议,业主单位和承建单位都希望由第三方在工程的立项、设计、实施、验收、维护等的各个阶段的效果都给予公正、恰当、权威的评价,这就需要监理单位来协调和保障这些工作的顺利进行。另外还需要协调系统内部关系以及系统外部关系中的非合同因素等,保证项目顺利实施。
2.2两者业务范围和目的不同。
信息系统工程监理和信息系统审计虽然都有一定的监督作用,但两者业务范围和目的均有所差别。
首先信息系统工程监理是具有信息系统工程监理资质的单位,接受建设单位的委托,依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同,对信息系统工程的质量、进度和投资方面实施监督。主要应用在信息化工程建设阶段。而信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计业务等电子商务审计。
其次,信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。监理关注的是项目建设的质量、成本和进度。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其关注的核心是资产保护与信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行,审计活动一直存在。另外,信息系统工程监理的过程是可见的,即对项目成本、进度和质量与目标出现的偏差是可见的,及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性,这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕,这仅仅是信息化的开始,大量的问题将出现在信息系统运营维护阶段,因此,从这个角度而言,信息系统审计是保证信息系统质量的行之有效的方法。
2.3服务对象不同
从审计定义我们可以知道审计鉴证服务是鉴证人、信息使用者和信息提供者的三方合约,即由鉴证人接受委托或授权,对信息提供者进行审计,并就其提供的信息质量向信息使用人提供鉴证报告。因此审计服务的对象是所有的信息使用者,包括被审计单位的股东、债权人、管理当局、政府机构和一般社会公众。其关系图如1所示。
监理服务于建设合同的双方。建设方与承建方签署建设合同后,两者之间的关系是等价交换关系,即承建方要按时交付既定质量等级的工程、开发实物,建设方要按时支付等价的工程款。监理单位接受建设方委托后,作为工程承包合同的洽商者,它所执行的原则是使工程承包合同成为“平等条约”,作为工程承包合同管理和工程款支付的签认者,它所执行的原则是等价交换。因此,监理单位是为双方的利益服务的,而不仅仅为委托方——建设单位服务。其关系图如2所示。
图1:信息系统审计服务关系图
图2:信息系统监理服务关系图
2.4工作主体不同
信息系统审计主体包括内部审计主体与外部审计主体。当审计人员是被审计单位的组成部分时,称为内部审计,其职责主要是搜集证据,判断系统的有效性以及利用资源的效率。当审计人员独立于被审计单位时,称为外部审计,其职责重要是关注被审计单位资产的安全、真实、完整。而监理主体只能独立于建设方和承建方,作为外部独立的第三方参与项目建设。
2.5方法不同
审计的方法主要是搜集证据的方法,包括检查、观察、分析性复合、查询及函证等方法,并利用统计技术、计算机技术完成证据的搜集。监理主要是利用项目管理技术,包括成本核算控制、网络图及质量控制方法等实施对工程项目的三控制。
3 结论与建议
从以上的比较,笔者认为:
第一,信息系统审计的作用是无可替代的,信息化过程只有监理是不够的,必须开展审计,这是信息时代的需求。
电子商务以及传统价值链向以客户为中心的价值链的转变改变了审计师所从事的传统鉴证业务。供应链管理中的各种过程和步骤——如库存需求计划、购货定单、销售定单、运货通知和现金支出等,通过信息系统被电子化处理时,审查交易数据和评估其完整性及可靠性,对交易数据进行实时控制成为必要。当企业开始与新的贸易伙伴(而不是以前的贸易伙伴)交换数据并进行交易时,贸易伙伴及其交易处理系统的可靠性必须得到评估。审计师可能还需要评价客户的交易伙伴的可靠性和诚信度。此外,从事电子商务的公司必须将其内部控制扩展到交易处理系统的各个方面,因为该系统与包括贸易伙伴在内的其他系统有着密切的联系。电子商务系统的内部控制评估和风险管理也离不开信息系统审计。所有这些都不是信息系统监理所能完成的。
第二,积极开展我国信息系统审计。
首先,我们要加大信息系统审计的宣传,让人们了解什么是信息系统审计,为什么要进行信息系统审计。
其次要大力培养信息系统审计师。开展信息系统审计业务,有两支力量可以挖掘:一是传统的审计师。注册会计师在执行传统的财务报表鉴证业务方面具有长久不衰的声誉和经验,在经营惯例、交易处理的完整性、信息保护、内部控制的评价与建议方面一直都是注册会计师的专长。在提供信息系统及电子数据质量的鉴证与咨询服务方面,会计师事务所面临竞争,为使市场信服它是执行这种业务的最佳候选人,会计师需要:
(1)学习提高技术能力。
(2)继续维护他们现有的作为独立的、被信任的第三方的角色。
(3)必须将信息技术、网络技术技能融入传统的鉴证业务。
(4)必须拓展在系统可靠性、风险确认和影响分析,以及网站认证方面的业务。二是从事信息化咨询的IT技术人员。在电子商务时代,交易大部分是由系统自动完成的,人的参与较少,审计轨迹存在较少,在这种条件下,审计必须穿过计算机进行。IT技术人员具备了相应的技术技能:编程知识、系统运营、网络技术、认证技术、防火墙技术及其他安全技术等,这对于发现被审计信息系统及其控制的缺陷等相对较容易。但他们在鉴证市场还缺乏会计师事务所的独立、客观、公正的信誉,缺乏对管理与内部控制认识、评价的经验,缺少审计的理论与技能。因此,IT技术人员从事信息系统审计业务,要补充审计理论知识,学会用审视的目光,从管理控制角度,而非纯技术角度思考问题。
此外,要尽快形成制度规范,如从事电子商务的企业必须经过审计,上市公司的信息系统必须经过审计等,借鉴注册会计师的经验,对信息系统审计职业的自律规范开展研究,包括资格考试制度、职业道德、执业规范与惩戒等,使我国信息系统审计规范化发展。
[参考文献]
1、玛丽莲.格林斯坦 电子商务的安全与风险管理[M]. 谢淳 译 北京:华夏出版社,2001.
2、孟秀转 “IS审计:信息时代审计业务的发展”,《北京联合大学学报》2002年4期.
3、孙强 孟秀转 “什么是信息系统审计师”,《中国注册会计师》2003年1期.
4、孟秀转 孙强 “信息系统监理向何处去”《计算机世界》2003年2月17日.
The comparison IS Auditing with IS Surveillance
Meng Xiuzhuan
Sun Qiang
(College of Applied Sciences and Humanities of Beijing Union University, Beijing 100083,China)
(China Federation of IT Promotion IT Governance Committee, Beijing 100044,China)
Abstract: With the expansion of informatization and electronic commerce, people pay more and more attention to risk of the investment and the reliability of electronics data. So IS (information system) surveillance appears in China and IS audit in overseas. But they are different in effect, scope of business, service object and method. IS audit can’t be replaced. It is necessary for information age. Accordingly we should publicize the IS audit, increase people to concern IS audit, give the CPA information technique training or IT personnel audit training; research our country's IS auditing standard to push IS auditing to develop in our country.
Key words: information system ;audit;surveillance;assurance
-
没有关键字相关信息!
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第六期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
