这个信息系统研讨会也是一年多以前开始筹划,发征集案例通知的时候,就打算开个研讨会,以这种方式,正式启动起来。对于信息系统审计,各位心里都没有底,虽然知道这一件事应该做,国外若干年以前就开始做了,咱们该怎么做,不知道。各地案例报上来之后,客观地讲,水平不是太高,不是太理想。今天署计算机技术中心的同志把美国的情况简单介绍了一下,八个单位的同志介绍了案例,一结合、一讨论,对于信息系统审计的目标、内容之类的问题朦朦胧胧就有点儿概念了,应当肯定这是一个进步。一年多,没白工作。
听了两天的会,最后谈些个人的意见。为了要进步,调子上略微有一点儿低沉,请大家多理解。
一、开展信息系统审计,是审计发展的必由之路
信息系统审计作为国家审计机关的工作内容,是信息化发展到一定程度的必然结果。它既有一些传统审计条件下某些审计内容新的表现形式,又有与信息技术紧密联系的新的审计内容。从美国的发展看,一开始是电子数据处理——EDP审计,逐步发展到信息系统——IS审计,现在他们又多用IT审计(实际上准确地讲是信息技术审计)来表示信息系统审计。名称的改变直接反映出审计内容的扩大。到了IT治理这样一种形式出现的时候,它考虑的不是单纯审计问题了,而是一个单位的发展问题了。就像内部控制一样,内部控制现在不是审计界和财务会计界提出的问题,它是作为企业风险管理的一个重要手段,它跟企业风险管理“绑定”了。
由此看来,信息系统审计的概念发展得非常快,而且发展得非常大。这个趋势我们认为是必然的,是规律,我们肯定也得如此,所以说是必由之路。这个大家也有共识,很多同志在发言中都提到了。去年我们还大张旗鼓地宣传和讨论数据式审计,今年我们转向了对信息系统审计的讨论、探索和实践,应该说这在认识上是跨越式发展的,人家经历这个过程用了二三十年的功夫,我们这些过程要短得多。
中国审计机关要搞信息系统审计,这是肯定的,不搞不行。如果不搞信息系统审计,审计的内容就不全面,就无法实现李审计长要求的“融入世界审计主流”目标。不搞信息系统审计,我们将来的审计风险就无法控制。纸质账目的时候,我们懂得说内部控制要审计一下,不能假账真审;现在同样道理,不能假电子数据真审。对于审计风险,近几年大家有了一定的认识,查过的单位,怎么出这么大事你不知道?目前还没有因审查电子数据,产生重大疏漏的例子,但随着信息化程度越来越高,不对信息系统给予足够的关注,计算机数据审计也会有潜在的风险。
未来正常情况下的、信息化情况下的审计,电子数据、信息系统、系统内控必须三位一体,在审计过程中,这三项内容不能少,一定是正常的审计内容,必须审计的审计内容。也只有这样,我们才能全面履行审计职责。署党组向来强调“全面审计、突出重点”,两句话,少了哪一句,都不能叫全面履行审计职责,不能审了一半,那一半不审。
在我们这个范围内,对信息系统审计的必要性形成了共识。现在接触信息系统审计的同志,八万审计人员里,可能到不了一千人。我们自己应该明白,我们做的这件事情是代表未来。有的同志说,搞一个信息系统审计项目很亏,花时间挺多,最后还没有大案要案,考核也没有加分。当然他们也是开玩笑。我说至少你自己不亏,你是在做高技术含量的工作,率先得到了锻炼,可能率先会成为你单位里的人才。
在大家都提高认识之前,我们要宣传,要鼓动,讲它的重要性、必要性和意义。我讲过审计数据规划这件事开弓没有回头箭,信息系统审计也是一样,在中国,如果不整出一个具有中国特色的信息系统审计,我们死不瞑目。得有这种决心。
二、目前信息系统审计的方式
从收集来的信息系统审计案例看,大家都在积极探索,精神可嘉。由于是自由发展,信息系统审计方式是五花八门。我从目前所做的项目里,给它总结归纳了一下,有这么几种。
一是倒推式。就是王主任常说的“拔出萝卜连起了泥儿”,通过数据审计发现异常,倒推系统内控或信息系统的毛病。这也是一种现实的选择。我们也不用去否定它,更不要去批判人家,因为大家都这样干,还确实发现一些问题,发挥了一定作用。比如:深圳办在审计一个大学时,发现这个大学使用的财务软件非常不安全,在实际操作应用过程中,会计科科长、网络管理员、数据库管理员、系统管理员、记账员等岗位由同一人担任。同时,系统管理员在实施数据库数据修改、会计人员岗位分工、权限设置等具体操作时,缺乏必要的审批和监督程序。这样,权限高度集中,监控制约不力,财务核算系统存在隐患。据说这个软件是教育部推广的。后来教育部根据审计报告采取了措施。倒推也有作用,也能发现系统内控的重要缺陷。
但是从更深的层次理解,审计实践过程中已经给我们提出了必须审计信息系统的客观需求。大家为什么都不约而同地倒推出它的信息系统有问题,或者它的系统设置、它的软件有问题?这是客观需求提出来了,如果你置若罔闻,不去正视它、解决它,还仅仅局限于倒退,那就是我们这一代人的失职。我们已经发现了这个现象,那我们就要解决它,我们必须得进步。
二是结合式。所谓结合,是将信息系统审计与财政财务收支、效益审计的内容结合起来。结合是以正推为前提的。有的是把数据审计与系统内控审计结合起来,也就是说,他只把信息系统的一部分,即系统内控纳入关注范围,作为审计内容,不涉及到整个软件开发、硬件环境等,单独就把它的内部控制作为一个切入点。有的是把数据审计和完整概念的信息系统审计结合起来,不仅关注信息系统内控,还关注整个信息系统的软硬件环境,甚至包括它的建设过程,当然这样做的比较少。
三是独立式。对信息系统开展独立的审计调查,就把它作为一个项目,从它的立项,一直到后期维护。这就是独立的、专门针对信息系统的审计。比如我们现在正在探讨电子政务审计就是独立式的。这种独立式的信息系统审计,数据审计、数据测试就当手段了,目标是看系统的情况。从做法上看,审计目标可能有两种情况。一种是放在信息系统现有的功能上,看看现在的信息系统设置功能能否满足系统设置的目标。另一种是放在IT治理的大环境里,看看现在的信息系统符不符合整个单位的信息化发展战略和它的业务发展战略。目前大家的审计目标多是前一种,重点放在评价现有的功能上。
四是特殊式。叫它特殊式应当说是目前我们探索阶段出现的、独一无二的形式:以信息系统审计取代审计。本来它立了一个普通的财务收支项目,正常情况下它应该对财务收支数据进行审计。后来说现在时兴信息系统审计,那咱就做信息系统审计吧。审计的时候,他对信息系统关注,集中在系统缺陷所产生的记录错误,最好是大案要案。这个倾向可得注意。因为在我们通常审计活动中,对信息系统进行检查是手段,是为数据审计打下一个基础,不能取代数据审计,不能说审计过程中因为审查了信息系统,从而找到了一些它的账务错误,或者发现了他的舞弊行为、违法违纪行为,这审计就算完了。这个不好。
这么多方式都是我们现在做的,今后我们争取多做两种方式。一种就是全结合的,数据审计、信息系统审计和系统内控审计三位一体全结合。信息系统审计和系统内控审计是为数据审计服务的,最终要通过审计数据来得出审计结论。我们主张走这条道路,审计署在国家开发银行信息系统审计试点时就要这么做。另一种是独立立项的,直接针对信息系统的,审查信息系统本身。
三、我们的信息系统审计还处于探索阶段
通过信息系统审计案例征集,凸显出很多问题,这是由于总体上说我们的信息系统还处于探索阶段,或者说尝试阶段,还有相当多的问题。需要大家进一步去研究,去思考,从而去努力解决。归纳起来有以下十一个方面。
第一,审计内容凌乱,后期制作的痕迹比较明显。主要表现是不完整,各有各的角度。没有一个项目是从头做到尾,履行了各个阶段的必要程序。为了使一个案例独立成篇,后期制作的痕迹比较明显。我们不反对后期制作。尤其是编写案例,后期制作是很必要的。但我们千万别在审计的过程中就来“后期制作”,那是自己忽悠自己。我们在信息系统审计的探索中,还是要有一种科学的态度。现阶段做的事没有对与不对之分,就是一种探索。也许某人在审计中用了一个“歪招”,其实跟大家一交流说不定是正招。但他心虚,后期制作时他给“改正”了,这一改正改坏了,一条闪光的经验没有了。
第二,审计目标不清晰。几乎所有的案例都存在这个问题。总体目标和具体目标都混起来了。审计的总体目标我们不再讨论了,如果是通常的审计,真实、合法、效益,你不能动,法律规定的。审系统内控也好,审信息系统也好,最后无非是要对被审计单位的财务收支及其经济活动的真实、合法、效益做结论。在具体目标这一层次,那就复杂了,金融有金融的,企业有企业的,行政事业有行政事业的,而且可能每一次审计的重点不一样,领导要求不一样,具体目标就会有所不同。我们有些同志老冥思苦想,这个审计项目的具体目标是什么呀。别自己想,看看这个项目要干什么?领导什么意思?政府的目的是什么?然后根据审计理论上的表述方式来确定怎么表述这个具体的审计目标。
第三,信息系统审计有向合法性为唯一目标发展的倾向。从大家介绍都看出来了,对自己查出这些问题,如数家珍,本来是想让大家介绍信息系统审计方法,结果都忙着介绍审计结果,占掉了五分之四的时间。信息系统审计如果是放在一次通常的审计过程中去做,不能仅仅扣住合法性,当成唯一的一个目标。这实际上已经影响了我们的计算机审计工作,这两三年开发的、宣传的审计方法,基本上是寻找大案要案。而且好像只有查找出大案要案,才能证明我们信息化的成果,才发挥了计算机审计的作用。这绝对是误导。我们不能说合法性审计目标不重要,它绝对重要,至关重要。但是真实性和效益性与它同等重要。
第四,审前调查和审计测试界限不清。调查和测试应当分清。因为调查的方法和测试的方法是不一样的。调查时候要大量地运用座谈、查阅文档等方法,测试的时候就需要大量地操作数据了。当然也有到该测试的时候,发现调查不完整,回头再做,那是补充调查。审前调查和审计测试界限不清,反映出我们在流程上还有很多模糊的认识。比如有人介绍说,搞完了审前调查,中间有个系统分析,然后有数据分析,那么这个系统分析属于什么范畴?涉及数据么?似是而非的东西不要有,是调查就是调查,是测试就是测试,是评价就是评价,是报告就是报告。界限划清了,将来我们才有可能搞规范。
第五,符合性测试和实质性测试没有区别。所汇报的八个项目都是如此。不知道真是只做了其中一个,还是把两个当一个来做了,还是没做完。可能什么情况都有。这两种测试,从正规审计程序的设计上必须都有。除非被审计单位根本就没有控制,那样才没必要做符合性测试,直接就分析数据。我想这可能不怪大家,我翻了翻书,符合性测试和实质性测试的区别是什么?手工条件下基本说清了,信息化条件下还没说清。你们谁能尝试着把它说清了,就立了一大功。
第六,审前调查的内容差异比较大。署里正在组织编写计算机审计审前调查指南,它涵盖的内容包括信息系统审计的审前调查,应该满足信息系统审计的要求,可以不再专门做了。从案例看,调查的内容不统一、不规范,调查表设计不规范,有的不好使。
第七,对控制的审计有所偏重。我理解控制有两类,一个是对系统的控制,一个是系统对业务的控制。系统不控制好出问题也不行,系统设置目的是为控制业务,两个都很重要,缺一不可。但大部分案例做的是第二种,更加偏重系统对业务的控制。这是因为倒推法只能倒推出这种控制的毛病。这个事情要好好再琢磨一下,内容应该完整,不能有所偏废。
第八,文档不全,也不规范。这是个比较致命的问题,也许是大家没有时间介绍,做幻灯片详细的东西不能表现出来。现在从案例介绍看就是文档不全、不规范。整个信息系统审计的全过程必须要有文档反映。从审前调查开始,各种调查表就必须是齐的,缺一个都不行。你取得数据要有数据表,测试要有记录,评价必须有底稿支持。这不仅仅是信息系统审计的要求,也是搞审计的基本要求。
第九,信息系统审计要不要有独立的审计方案。如果把信息系统审计作为通常审计过程中的一部分,它可不可以有独立的审计方案?目前的情况是有的人做了,有的人没做。现在说不上谁对谁错,要研究。当然如果把信息系统审计作为一个重要的审计内容,至少在整个审计方案里要体现。比如国家开发银行信息系统审计试点,我们准备把审计方案放在总的审计方案里。
第十,流程不明晰。各个案例业务流程不太清楚,也不一样。我们有责任规划出一个概括性的所有审计项目基本都能适应的总流程。但它是概括性的,因为每次审计都各有各的特点,在流程的细节上会有所不同。它至少像我们审计三段论一样,计划、实施、报告这三个阶段永远不动。
第十一,评价问题没有很好地解决。当然,在探索的阶段也不可能得到较好地解决。评价难实际客观存在,如同我们现在做绩效审计,都喊指标体系设计难、评价难。评价难的问题最终应该怎么解决?规范层次上只能给出大框架,不会给出很具体的,也给不出来。即使是大致的评价,我们也需要很长的时间才能妥善地提出来。
以上是看了这一天半的演示,发现的差距,也是我感到不满足的地方,把它讲出来,是想和大家一起去研究它、解决它。
四、推动信息系统审计发展的非技术因素
刚才讲的十一个问题,主要是从审计技术层面分析的,要推动信息系统审计的进一步发展,还必须解决一些非技术性的问题。
一是要进一步提高认识。现在大家基本上认同“审计人员不掌握计算机技术,将失去审计资格”,事实上在很多地方,你不用计算机干就无法工作。而大多数人对于信息系统审计的认识还不到位,有的是对必要性、紧迫性有怀疑,有的是对可行性有怀疑,有的走向另一个极端,无限夸大其作用,寄希望于每每通过信息系统审计就能抓住大案要案。
这些认识对于我们推动信息系统审计的发展,会产生障碍,这没关系,我们是逐步地推行,逐步地提高认识,不想一蹴而就,要一点点来。比如去年发个通知,征集案例,一些审计机关就动起来了。虽然案例上来不太理想,但进入角色的人多了,基本有点儿上路的感觉。一上路就去深入思考了,问题就提出来了,提出问题就有了解决问题的前提。明年再采取一些措施,再上一个台阶。审计署的责任是采取一定的方式,在一定的场合,继续来做推广普及的工作。我希望在座的各位,认识上不应该有问题了,尽管有很多难处,但是我们不能往后退了。
二是尽快弥合信息系统审计人才缺口。人才问题我们大家都意识到了,为什么请培训中心张进主任和人事教育司的同志到会,听我们研究技术问题,是为了让他们思考如何给我们设计培训方案,怎么引进人才。信息系统审计人才培训这个事情我们已经作出了谋划,我们觉得专业性人才培养的步子一下还迈不了太大,因为它的技术含量确实高,不具有计算机专业背景、不通过深入地专业学习钻研,难以担当此任。想一下子培训多少人,那是不可能的,还真是得从少数人开始,培训尖端人才。正像有同志讲的,先选出一些精英出来,重点培养,重点部位重点攻关。普及型的人才培训也是需要的,要使一部分审计人员具有信息系统知识,了解信息系统审计的方法、步骤,掌握基本操作。审计机关的领导也要有信息系统审计的意识,知道在通常的审计项目中,如何安排信息系统审计的内容。做这件事情要有一个长远的打算,想一些办法,通过多种活动,鼓励人才冒出来,这样的人有这个强烈的需求,他能读得进去,他想学。培养人才很多基础性的工作已经在做,比如人事教育司已经采取行动,新进大学生中计算机专业的比重在加大。培训中心、计算机技术中心也在考虑,正在讨论培训方案。令狐副审计长非常支持,说不等了,马上就干,边干边总结,不能再等了。
三是进一步采取推进发展的组织措施。采取组织措施推进信息系统审计的发展是个大问题,不完全是我们搞技术的人能解决的。我们希望要像推进计算机审计那样,为了让人才凸显出来,采取强有力的组织措施。我到天津市审计局调研时发现,天津市局的组织措施非常到位,处长不组织计算机审计,拿不出计算机审计案例,就会失去领导资格。他们破格提了几个年轻的处长助理,那当然是懂计算机的了。断然地采取了组织措施后,天津市审计局的审计信息化进展非常快。采取组织措施要因时因地制宜,审计署应该采取什么措施,请人事教育司定。
四是改革审计的组织方式。我们现在还是按照传统审计方式去做审计项目,突然加进去了信息系统审计的内容,人员和时间都保证不了。勉强搞起来,信息系统刚刚检查、测试完,可能人家其他审计内容也快结束了,这就使我们不得不考虑审计的组织方式。目前这个事情还不能等,要研究,对信息系统进行调查、测试工作应该提前多长时间进行才能与整个审计衔接好。传统的组织方式没给我们留下搞信息系统审计的空间,信息系统审计要在大范围内开展起来,改革审计的组织方式应当提上议事日程。
这些非技术性的问题,我们一定要认识到位,逐步地解决,为信息系统审计的进一步发展创造先决条件。
五、对近期工作的几点想法
这次研讨会,只是我们在发展信息系统审计过程中一次短暂的回眸,今后的路还很长。对于研讨会结束后近期的工作,我谈几点想法。
(一)请已经介入到信息系统审计的审计人员努力学习理论,提高自己。理论上的提高至关重要,千千万万别自己在那儿凭空想或者走一步算一步,这进展太慢了。如果我们只会归纳,不会演绎,那麻烦了。因为有很多有经验早有人归纳了,我们可以拿来推理,举一反三了。学计算机的就得进一步钻研信息系统审计,学审计的也得琢磨一下计算机的理论。这次会议的遗憾点就是没给大家概括介绍国外信息系统审计理论。我希望搞这项工作的每一个人,一定要先学理论,看看前人做了没做,前人总结没总结,拿过来,不要自己从头做,事倍功半。
(二)请审计科研所把信息系统审计理论与方法整理一下。我想给大家的学习提供一个方便,请审计科研所把国内国外信息系统审计成形的理论与方法,归纳出来。请科研所补一个项目,这种总结概括不能是直接翻译过来的,也不能纯粹是中国的经验。要列明所有所涉及的概念,概念定义必须清楚,如果某个概念不清楚,要讲明白还有哪些说法?比如什么是信息系统审计?有系统内部控制这个概念吗?有数据跟踪法这个方法吗?我估计有一个小册子就行了,不必要是很厚的书,只要能使我们搞实际工作的人明白就行。没有统一的概念,同一个审计方法十个审计组能起十个名字,最后交流起来不知道谁对谁错。就像平行模拟法,不同的案例演示出来,保证不一样。那么根据现在通行的理论平行模拟法是指什么,你把它定义住了,用逻辑学上的定义方法定义住了。把理论的框架定清楚,把现成的方法体系定清楚,不要案例。回去告诉刘英来所长,先做出这个来,下一步再做别的。
(三)同意培训中心领导的建议,把这次征集的案例编成一个集子。培训中心和计算机技术中心一起,共同研究一下我们现在征集到的这些案例,有没有供其他审计人员学习的价值,如果有就把它编一个集子。培训中心的领导说,他们培训信息系统审计人才的时候,什么东西没有也不行。现在这些案例,尽管不太成熟,但可能有一些内容是科学的,我们就可以整成案例片断,和其他完整的案例一起汇集成册。现在大家都在摸索,肯定会有一些闪光点给人启发。
(四)请明年每个省级审计机关搞一个信息系统审计项目。我想今年适当的时候,由署里下一个通知,请每一个省级审计厅局做一个完整的信息系统审计项目,可以结合通常的审计项目做,也可以单独立项。我们今年拿国家开发银行审计试点,请各个省厅也找一个项目试点,然后报案例。估计那时候报的案例会比今年报的质量好很多。如果理想,我们再汇编一个集子。特派办安排不安排,再考虑一下,与署内有关部门协调,看能否列入明年审计工作计划。明年的案例跟AO实例评选一样,最后要有一个评价,通过这个方式来进一步提高水平。
(五)署省两级办好信息系统审计培训。署里的信息系统审计培训初步打算明年开始办,请有条件的省厅也开始自己的培训。和计算机审计中级培训一样,地方同样需要人才,也要开展培训,都压在署里不行。现在很多地方已经开始搞自己的计算机审计中级课程培训了,因地制宜,反映不错。争取明年一年信息系统审计培训能出100个人,中央50个人,力争有几个省能够动起来,这与省会所在城市的教育水平有关系。
(六)制定信息系统审计实务公告的框架。国家开发银行审计项目的信息系统审计组完成审计任务后,要设计制定一个实务公告的框架,信息系统审计究竟要出多少份指南,在哪些环节上需要做指南,没有审计实践心里肯定也没谱,做完了以后我觉得你们会柳暗花明。等拿出来框架以后,再考虑分工去写指南。这事一定要做,大家刚才讨论的时候,各位提建议说,需要一套标准,需要有一套操作指南,需要有一套标准的文档……你们是给自己提建议的!谁做?大家一块做。
最后,我说一个大一点儿的事情:我们将要用三年的时间,形成符合中国国情的信息系统审计理论和方法。三年是指金审工程二期从初步设计到批下来。这三年我们必须形成符合中国国情的信息系统审计理论和方法。所谓形成是什么概念?第一,要有总结,要写出书来;第二,准则和指南体系要基本完善。这是两个标志。那要写出这两个东西来,在实践中肯定要有一套成熟的东西。我们按照这个目标去做。我代表大家给我们自己描绘一个美好的前景,需要我们共同做出艰苦努力,让我们预祝信息系统审计工作取得成功。
谢谢大家。
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]