[摘 要]cobit标准是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。cobit标准不仅为人们提供了信息系统控制目标和信息技术标准,而且提供了信息系统的审计指南。cobit 标准对我国开展信息系统审计有很好的启示和指导作用。
在信息化时代,我们拥有极大的信息系统审计需求市场,信息系统审计已成为审计发展的新动力和新方向。然而我国信息系统审计的发展现状还不能适应时势的需要,尤其是在推行基于国际性的标准cobit 上的研究和实践缺乏。为此,我们应在全面把握我国信息系统存在问题的前提下,采取有效的对策,以适应大规模的信息化建设的需要。
一、问题的提出信息及相关技术控制目标标准(control ob2jectives for information and related technology , co2bit) 是美国信息系统审计与控制协会( informationsystem audit and control association , isaca) 的信息技术治理学会( information technology governanceinstitute ,itgi) 基于其原有的控制目标体系,结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,为it 的治理、安全与控制提供了一个一般适用的公认标准。自1996 年问世以来,目前已经更新至第四版,是国际上最先进、最权威的安全与信息技术管理和控制的标准,已在全世界100 多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效管理与信息相关的风险。www.lw881.com最新版本cobit 4. 0 更注重帮助董事会和员工应对不断增加的职责,包括面向公司董事会和各级管理层适用的指引,由四部分组成,即管理人员概述、框架、核心内容(控制目标、管理方针和成熟模式) 和附录(图表、前后参照和术语表) 。核心内容依据34 项it 流程来划分,全面介绍了如何控制、管理和测量每个流程。另外,cobit 4. 0 分析如何将具体的控制目标划入五项it 管理领域,以识别潜在缺口; 令cobit 标准与其他标准( itil 、cmm、coso、pmbok、isf 和iso17799) 协调一致;阐述关键目标指标(key goal indicator ,kgi)和关键绩效指标(key performance indicator ,kpi) 之间的关系,说明kpi 如何推动实现kgi ;结合业务目标、it 目标和it 流程。cobit 标准不仅为人们提供了信息系统控制目标和it 标准,而且提供了信息系统的审计指南。它为信息系统审计师提供了较为系统的评估指标,从而规范信息系统审计师的审计思路,而且它提供的控制矩阵、管理明确诊断表和风险评估表等科学的手段,让信息系统审计师合理评估审计风险,从而大大降低审计风险,提高审计质量。cobit 标准对我国开展信息系统审计有很好的启示和指导作用,我国应大力推行基于cobit 标准的信息系统审计。
二、我国信息系统审计存在的问题
1. 审计人才缺乏信息系统审计是会计、审计、信息系统、网络技术与计算机应用的交叉学科。开展信息系统审计,要求审计人员具有复合型的知识结构,既要掌握财会、审计知识,又要掌握信息系统、计算机与网络技术。但我国现在大部分审计人员并不熟悉计算机是如何进行经济与会计业务处理的,不知道计算机处理与网络技术的运用有什么风险、怎么样的控制才能有效降低这些风险,也不掌握如何对计算机信息系统进行审计或利用计算机和网络技术进行审计。计算机技术人员虽然对计算机和网络技术比较熟悉,但他们又不熟悉会计、审计知识,不知道要审什么、该怎样审。而开发实用性和通用性较强的审计软件所需要的高层次、高水平的人员也很缺乏。
2. 法律法规不完备在信息化条件下,审计方法、对象、技术都发生了很大的变化,传统的审计准则体系、法律法规体系已不能完全适应、指导和规范信息系统审计的实践,而新的关于信息系统审计的程序标准、准则和法律还没有出台或并不完备,有些甚至还是完全空白。例如,电子凭证、电子合同、数字签名等的法律效力和保存要求;数字认证机构的认定及其法律责任;计算机犯罪适用的法律;在信息系统审计中审计机构的权力、责任和被审计单位的义务等。从近年情况看,我国的信息系统审计制度建设工作才刚起步,尽管国务院办公厅、审计署、注册会计师协会等机关和组织颁布或制定了一些准则和规范,但是,这些准则和规范还不完善,没有形成系统性和结构性。不仅缺乏对信息系统开发和系统功能审计方面的规范,还比较概括、笼统,没有相应的实施细则。对信息系统审计尚处于摸索阶段的我国审计人员来说,显然还缺乏具体的指南。
3. 技术水平落后信息技术的高速发展与广泛应用使企业交易事项的大部分内容由系统自动运作完成,人工轨迹遗留较少,传统审计线索荡然无存。这就要求信息系统审计必须参与和融入信息系统的设计过程,在执行测试时必须穿越信息系统,以确保对连续监督程序和输出结果的控制。在我国信息系统的设计与开发中,尚不具备充分的保留和提供审计线索的功能。审计人员完全处于被动地位,难以获取充足的审计证据支持其审计结论,难以保证信息系统环境下的审计质量。
三、发展我国信息系统审计的对策从上述对我国信息系统审计存在的问题的概要分析中,作者认为,响应国际发展趋势,在信息系统控制和审计领域推行cobit 标准无疑具有美好的发展前景。具体实施时可针对以下几个方面进行改进。
1. 注重专业人才的培养cobit 标准具有系统的和完备的框架体系,它的运用首先定位于信息及其相关技术的控制和管理,因此,它在整体上表现出it 业的大量相关技术。这就意味着运用cobit 标准实施信息系统审计的审计人员应具有复合型的知识结构,既要掌握现代审计理论与实务,又要掌握信息系统、计算机与网络技术。目前,审计署干部培训中心开展的注册信息系统审计师培养及与之相关的在审计人员中进行计算机知识的培训工作,正是为了适应这一现实需要。在人员培训上,要求对低层次人员培训与高层次人才的培养、在职人员的培训与未来人才的培养进行统筹规划。对较高层次的人才培养,重点可放在信息系统的开发审计、系统的功能或应用程序审计、网络安全审计和审计软件的开发等方面;对未来审计人才的培养,应在高校会计专业教学计划中增加it 和电子商务等内容,不仅要把信息系统审计列为必修课,而且应对这门课的要求或大纲达成共识。审计机构的管理人员也应意识到,信息系统审计人才的培养不仅仅是对审计人员的培养。我们可以培训审计师成为掌握必要it 技能的人员,但很难要求他们成为计算机、信息系统和网络技术方面的专家。因此,审计机构要改变以往由会计师独唱主角的情况,计算机与网络专家、信息系统与电子商务专家将在审计组织中担任越来越重要的角色。审计机构应注意吸收这方面的人才,并进行审计知识和技能培训,使他们能与会计师良好合作,更好地执行信息系统审计任务。
2. 完善审计准则从国际同业的实践看,cobit 标准已经逐步成为通行准则。我国应遵循国际标准或规范,把cobit 标准作为核心标准, 同时, 借鉴isopiec17799、itil 、prince2、coso、sox 法案等其他国际标准和原则,进而确立适合自己的信息系统审计目标、对象、范围、方法、流程等。进一步完善与信息系统审计有关的法规和准则,要在法律法规上,确定审计机构和审计人员有权审查被审计算机的信息系统的功能与安全措施,有权利用网络和审计软件进行审计,被审单位应对审计人员的信息系统审计给予积极的协助。在建设信息系统审计准则体系时,可以借鉴isaca 的做法,也采用三个层次体系结构,以基本准则为核心,统领具体准则和执业指南,从而使整个准则体系不断扩展、完善。内容划分方式可分为审计的权利、义务与责任,审计人员和审计工作三大类,并按这些类别来制定准则。信息系统审计准则作为一个完整的准则体系,各项具体准则要相互依存、相互配合。在准则的制定、发布上,应当遵循务实原则、接轨原则、配套原则和科学原则。isaca 的做法是,先规划出基本准则的内容,在此基础上,有计划、有步骤、按照现实需要出台各项具体准则、指南和程序。准则采用分项制定发布,完成一项,发布一项,实施一项。这有利于信息系统审计准则的全面顺利的实施,也有利于信息系统审计人员循序渐进地正确掌握这一系列准则,从而促进信息系统审计准则在实务中迅速发挥作用。我们在信息系统审计准则的制定、发布上,可参照isaca 做法。同时,对国际上已有的成文准则、习惯做法、专业术语,应当尽可能与国际惯例保持一致,尽量做到与国际惯例接轨。
3. 加强审计方面的it 技术对于审计领域来说,cobit 只是一套成文的信息技术控制标准,它只是向信息系统审计人员指明了前进的道路,但究竟如何才能成功通向胜利的彼岸,却有待审计人员自身去开发高效快捷的通向目标的方式,尤其是在信息系统审计这样一个高专业化、高技术性的审计业务领域。首先,应注重软件的开发,如开发数据采集软件,建立一种能够容易访问被审计单位不同介质、不同编码、不同类型的数据库,以便打通采集信息系统所需原始数据的瓶颈;在软件的研制方面,还要考虑审计作业发展趋势,如在现有审计软件基础上开发、研制新的适用信息系统审计的分析工具。其次,联网审计的加强,它是方便快捷地运用cobit 标准的有力举措。这种审计方式成功实现的关键是被审计单位的信息系统提供标准化的审计接口,因此,信息化的管理部门和审计部门应加强宣传,提倡甚至是严令监督企业提供数据接口,以便联网审计的展开。最后,就是专家系统的构建,它能将基于cobit 标准的成功案例进行积累和专业化,更好地为我们的信息系统审计工作服务。放眼未来之路,如何借鉴cobit 标准开展适应国际趋势的而又探索有中国特色的信息系统审计道路,需要新时代的审计人员的不懈努力。我们只有充分认识存在的问题的基础上,才能有针对性地改进。中国审计人员将以倍增的热情,迎接新技术革命的挑战,充满豪情地投入到审计技术创新的洪流中。
[参考文献]
[1 ]李 丹. 信息系统审计———传统审计的一场革命[j ] .中国审计,2002 (1) :57 - 58.
[2 ] 钱 艳. 信息系统审计———网络架构、测试与评价[d] . 重庆大学硕士学位论文,2003.
[3 ]管亚梅. 信息系统审计———一种全新的审计模式的构建思路[j ] . 科技进步与对策,2005 (12) :78 - 80.
[4 ]陈婉玲,杨文杰. isaca 信息系统管理准则及其启示[j ] . 审计研究,2006 (增刊) .
[5 ]董 霞. 会计信息系统审计研究[d] . 天津财经大学硕士学位论文,2006.
[6 ]陈 朝. 我国信息化建设中信息系统审计问题研究[d] . 东北师范大学硕士学位论文,2006.
[7 ] it governance institute〔p〕. cobit 4. 0 edition.[8 ] isaca〔s〕. is auditing standards.
本文链接:http://www.qk112.com/lwfw/jingjilunwen/kjsj/254149.html