随着计算机技术、网络技术和通讯技术的广泛应用与普及,企业的经营、管理和核算模式正在发生较大的变化,愈来愈依赖于高效、复杂而又庞大的信息系统,也改变了传统的企业会计信息系统和经营管理系统的构成要素。审计人员面临的原始资料不再仅仅是手工的凭证、账簿和报表,而是计算机信息系统本身及其高度集中的大量电子数据。在这种情况下,以审查真实性、合法性和效益性为目的的国家审计,将不可避免地受到审计对象信息化高速发展所带来的冲击与挑战。
信息系统审计作为信息系统环境下一种全新的审计方式,是以系统内部控制测评和审查信息系统本身为基础,通过收集、转换、整理、分析和验证信息系统所产生的电子数据,来实现审计目标的审计方式。未来一段时期内,审计机关要想完成“全面审计,突出重点”的审计目标,担负起社会经济运行的“免疫系统”作用,就必须要使信息系统审计有所作为。近年来,审计署已经高度重视,并在《2004至2007年审计信息化发展规划》中明确提出,要积极探索信息系统审计。然而,目前已开展的信息系统审计试点工作虽然积累了一些经验,取得了一些成果,但总体而言,与石爱中副审计长提出的“争取早日把信息系统审计作为一种审计常态”的要求相比,尚距离甚远。
那么,现阶段制约各级审计机关普遍开展信息系统审计的问题主要原因是什么?笔者经过深入研究和细致分析认为,成因如下:
一、客观因素
(一)开展信息系统审计的法律、法规依据不充分。
信息系统是由硬件、软件、数据、人和内部控制制度等部分组成。信息系统的构成要素应当包括会计信息系统、业务信息系统、管理信息系统和决策信息系统等企业所有的信息系统。目前,审计机关开展信息系统审计所依赖的法律法规主要有《中华人民共和国审计法》和《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》(国办发〔2001〕88号)等。笔者发现,上述法律法规仅授权审计机关对被审单位运用电子计算机管理财政和财务收支电子数据系统(即会计信息系统)进行审计,而对与被审单位管理和决策等有关其它信息系统的审计,则未予以明确授权。因此,审计机关在对被审单位会计信息系统以外的其它信息系统进行审计或审计调查时,常遭到对方以涉及国家、企业和技术秘密等种种理由而拒绝;或者即使勉强配合,但由于提供的相关资料不完整或不及时而严重影响信息系统审计工作的开展。
(二)信息系统审计相关审计准则和操作指南不完善。
由于我国开展信息系统审计正处于起步阶段,对审计机关如何开展信息系统审计尚在积极探索中。因此,目前尚没有一个完整的、成熟的具有示范作用的审计案例,也缺少具备实际指导意义的相关信息系统审计准则和操作指南。
信息系统审计,必然涉及会计信息处理自动化、表示代码化、信息处理与存储集中化、内部控制程序化等诸多复杂的计算机专业技术环节。另外,国家相关部门对信息系统安全还有特殊的要求。因此,对于面向信息系统的计算机审计,审计机关应当尽快建立一套完整有效的符合中国经济发展现状的审计准则和操作指南。审计署近期发布的《审计机关内部控制测评准则》相关条款,由于对信息系统内部控制测评的规定过于笼统,对开展信息系统审计而言,则不具有实质的操作性。
信息系统审计准则和审计指南的缺失,不利于规范和指导信息系统审计实践,不利于衡量和评价信息系统审计工作质量,也不利于防范和规避信息系统审计风险。
(三)被审单位信息系统的复杂性、多样性因素影响。
自上世纪九十年代以来,企业会计电算化已逐步走向成熟,信息化建设步伐逐渐加快,以ERP、MRP—Ⅱ为代表的企业信息系统的高度集成日趋成熟。此时,企业的信息系统不再是孤立的系统,而是集财务、人事、供销、生产为一体的综合性的信息系统,财务信息只是这个信息系统的一部分。在这种情况下,仅对财务信息进行审计,而忽略对整个系统进行全面了解,就不能把握审计对象的总体情况,提高审计效率和审计质量,同时,还难以避免固有审计风险。