论开展信息系统审计的必要性和紧迫性.doc

论开展信息系统审计的必要性和紧迫性XXXX公司在信息技术向人们工作、生活的每一个角落发起全面冲击的大潮中，信息技术不仅改变着人们的行为方式，同时也改变着人们的思维方式。而内部审计这个致力于改善企业内部管理、增加企业价值的行业也不可避免地受到了冲击与挑战。随着信息技术的广泛应用，人们在享受现代生活的便利同时也意识到信息系统的脆弱性，如何管理由使用信息技术带来的风险已显得日益重要。为了有效防范信息系统风险，实现充分保护资产、维护数据和系统完整性、有效实现目标、有效使用资源、有效内部控制等目标，也同时实现提高审计效率、确保审计质量等效果，推进信息系统审计的开展就变得重要起来。一、开展信息系统审计的必要性（一）企业的治理及信息处理经历了以下几个阶段：1、手工处理企业内部的信息最初是以手工处理的方式进行，通过不同岗位之间的分工协作，对日常经营活动中产生的资料进行加工处理，形成企业内部和外部需要的各种信息。这种手工系统的特点是以人为处理工具和以纸张为信息的载体。在这种情况下的内部审计方式毫无疑问是手工的形式，内部审计的对象也是人和纸质文档。其主要弊端是手工查证资料耗时耗力，处理速度和更新速度慢。2、部分计算机处理随着计算机的普及，一些企业开始用计算机来处理部分资料。如：企业内部自行开发的人事工资软件、会计软件、资产管理软件等，逐步用机器来代替了部分的人工劳动。由于有电子数据的存在，已经为内部审计电子数据提供了可能。但由于计算机处理的范围还比较小，内部审计人员完全可以忽略计算机的存在，直接对打印出来的纸质文档进行审计。尽管是这样在信息管理上已经是进入微机化管理，提高了信息的更新速度，对于审计工作有了一个良好的开始。3、会计系统全面计算机化20世纪90年代中期以后，会计电算化工作在我国得到大规模的普及，企业的会计信息系统已经全面实现了计算机治理。这时的内部审计人员已经开始意识到计算机审计的重要性，但对计算机审计的熟悉还停留在对电子数据的采集和分析阶段，实际上是运用计算机进行辅助审计，充分发挥了计算机的运算功能，在提高审计效率、发现审计线索起到了很大的作用。随着计算机普及率的增加和在审计工作中的运用，使得审计工作有了一个质的飞跃。4、企业信息系统集成化20世纪90年代后期至今，会计电算化已逐步走向成熟，而企业的信息化建设并没有就此止步，以ERP、MRP-为代表的企业信息系统的高度集成逐渐开始兴起。这时的企业信息系统不仅仅是一个个孤立的系统，而是集财务、人事、供销、生产为一体的综合性的信息系统，财务信息只是这个系统所处理信息的一部分。在这种情况下，内部审计人员只有对企业整个系统进行全面了解，才能把握内部审计对象的总体情况，避免内部审计风险，将内部审计成果最大化。（二）开展信息系统审计，是企业信息化发展的必然结果1、信息系统的可靠性需要审计随着信息技术的发展，信息系统正向大型化、复杂化、网络化的方向发展。目前中石油正在积极推进ERP在企业信息化中的应用，其处理过程极为复杂，涉及企业经营管理的各个环节。任何一个环节处理的信息出现问题，都会影响其他环节处理的信息的可靠性，而这些信息对企业的经营可能是至关重要的。因为企业ERP系统融入了企业的经营管理思想，控制了企业整个经营活动，从而造成企业对信息系统的严重依赖性。因此，已实施信息系统的企业对系统的可靠性是极之重视的。企业的管理者需要审计人员对信息系统实施审计，对信息系统的可靠性作出评价，以确保信息系统的可靠。另外，信息系统在技术上客观存在着一些不稳定因素。一方面，信息技术不断推陈出新，导致一些技术的应用尚未到成熟阶段便遭淘汰，新技术往往被广泛使用。这无疑有利于提高信息系统的性能，但同时未到成熟阶段的新技术会给信息系统带来不稳定的因素。另一方面，信息系统要进入运行阶段，要经过规划、设计、编程和测试阶段，任一阶段出现错误，都会导致下一阶段错误的出现，甚至会出现“ 积累放大”效应。尤其是信息系统中的软件系统，其开发需要大量的人力、物力和财力。由于人的认识与客观实际始终存在着差距，无论采用何种开发方法和技术，都难免会出现错误。企业对信息系统的依赖性和信息系统在技术上客观存在的不稳定因素，推动了信息系统的使用者和开发者对信息系统实施审计，以提高信息系统的可靠性和减少信息系统的不稳定因素。2、信息系统的安全性需要审计信息系统的安全问题在信息系统诞生初期便出现。随着网络技术的发展，大多数信息系统都运行在网络平台之上。电子商务的出现，使信息系统与因特网紧密地连在一起。信息系统遭受到诸如计算机病毒、黑客的威胁大大增加。信息系统遭受破坏会带来极之严重的后果。信息系统的安全问题使得企业不但要面对传统经营风险和财务风险，还要面对信息系统带来的风险。在电子商务环境下，一个企业的信息系统的安全性直接影响到与企业进行交易的客户。当信息系统遭受破坏时，不但企业自身遭受损失，而且会连累与之交易的客户。因此，企业为了信息系统免受侵犯，需要对信息系统安全性进审计，以确保系统的安全系数。而企业的客户为了能评估交易的风险，需要审计师对该企业信息系统安全性发表的审计意见。另外，提高信息系统的安全性，是一项系统的工程。它涉及信息系统规划、设计、编程、测试和运行维护阶段，涉及信息系统中硬件、软件、规章制度和人员行为的因素。因此，客观上也只能运用审计的手段对信息系统生命周期中的各个阶段和系统各个组成要素进行监督与控制，才能提高信息系统的安全性。从企业信息化的发展历史可以看出，由于内部审计人员所面临的审计对象的不断变化，促使审计方式也随之改变，信息系统审计也就在这种历史背景下应运而生。二、开展信息系统审计的紧迫性由于我国的信息系统审计工作尚未完全开展，没有其他的经验可以借鉴，一些计算机审计的探索与尝试还局限在电子数据的采集与处理领域，对信息系统的安全与控制的问题还没有充分的熟悉。从基本上讲，对系统的依靠是现代审计的基本策略，假如被审计对象全面采用计算机化的信息系统，而内部审计人员又没有对信息系统进行了解和审计，那么这种审计得出结论的可靠性就要受到质疑。不仅内部审计，整个审计行业，包括政府审计、注册会计师审计在这方面所面临的问题也是日益严重，已经危及到了审计行业的生存。如何防范迅猛发展的信息技术给企业带来的不安全性已是摆在内审人员面前最迫切的任务。李金华审计长指出：审计信息化是一场革命，审计人员不掌握计算机技术,将失去审计资格。作为一名企业内部审计人员，在日常审计工作中逐渐意识到这一点。三、开展信息系统审计面临的问题1、内部审计观念的转变观念问题也就是熟悉问题。假如不转换审计观念，将内审目标仅仅局限为查错纠弊，势必将信息系统审计与当前中心工作对立起来。把内审仅仅理解为“查账”，则对信息系统审计的理解也只能停留在计算机辅助审计或辅助审计软件开发及应用的层次上。只有全面树立系统基础审计或风险基础审计的观念，才能理解信息系统审计的重要意义。审计中发现的很多错弊，都是由于治理上出了漏洞，也就是系统出了问题。如在日常处理业务过程中，系统管理员在实施数据库数据修改、会计人员岗位分工、权限设置等具体操作时，缺乏必要的审批和监督程序。这样，权限高度集中，监控制约不力，财务核算系统存在隐患导致管理存在很大漏洞。一个治理完善的、控制良好的系统，应该能够防止、发现或纠正自身存在的问题。内审的任务就是帮助和促进企业建立、健全这种机制，而不应该是代替企业去履行他们的“治理责任”或“会计责任”。2、提高审计人员的信息系统和计算机知识水平ERP系统是基于先进的企业管理理念上高度集成化的信息系统，通过软件把企业的人、财、物、产、供、销及相应的物流、信息流、资金流、管理流、增值流等紧密地集成起来,实现资源优化和共享,是帮助企业提高管理水平的新型企业管理模式。它不仅仅是一个软件,更重要的是一个管理思想,它实现了企业内部资源和企业相关的外部资源的整合。而提高审计人员的信息系统和计算机知识是迫在眉睫的问题，组织集中的学习和培训是快速提高业务水平的唯一途径。定期组织经验交流和信息反馈可以加速提高审计人员的业务水平。3、信息系统审计的专业人才引进开展信息系统审计不仅仅需要内审人员在业务方面有很强的能力，并且在计算机数据库理论、实物操作、设计等方面有很高的要求，即需要一批既具备信息技术知识，审计知识与管理学知识，同时对网络和系统安全有独特的敏感性，通晓财务会计和被审计单位业务的复合型专业人才。但从目前的人员数量和知识结构上看，还远远达不到要求。内部审计信息化建设的发展，人才培养是最大瓶颈。当务之急是要用计算机知识武装审计人员的头脑。首先，要拓宽育人、用人视野，要有目的的选择品学兼优的业务骨干充实到内审岗位，运用他们的专业知识快速建立工作平台，以点带面提高整个群体的工作水平。其次，要抓好计算机审计深层次应用培训，如审计业务与通用审计软件相关的针对性培训、计算机辅助审计技术培训、常用的Excel、Access数据库中如何进行数据处理、加工统计及图形分析培训等。4、行业标准与实务指南信息系统审计发展到一定阶段，必须由行业组织出面将实践经验加以总结，并把有关概念、工作流程和技术方法固定、统一起来，形成行业的标准和规范。这将是信息系统审计进一步发展的基础。这也是所有行业发展的共同规律。目前信息系统审计在整个审计界都还是一个比较崭新的课题，在中国还没有系统的理论指导和可以借鉴的经验，没有标准和规范，所有的实践活动只能局限在低水平。四、信息系统审计的未来发展前景企业为了提高竞争力，需要信息化，需要建立信息系统。随着信息化对企业的经营产生重要影响，则企业对信息系统产生严重的依赖性，信息系统审计无疑将是众多企业所需要的，而未来审计技术发展的动力就来自于信息系统审计的发