構建我國信息係統審計監督體係

會計審計

作者：王紅瑞

摘要：隨著整個社會信息化程度的不斷提高，信息係統審計也日益得到審計界越來越多的重視，然而怎樣開展信息係統審計仍然是困擾廣大審計人員的一個問題。本文在描述信息係統審計發展與國內信息係統審計現狀的基礎上，通過對政府審計、社會審計與內部審計的對比，指出他們應該在信息係統審計方麵分工協作，以構建我國合理的信息係統審計監督體係，並提出了關於分工協作的具體建議。

關鍵詞：信息係統審計；政府審計；社會審計；內部審計

信息係統審計是信息化發展到一定程度的必然結果。它是一個通過收集和評價審計證據，對信息係統能否保護資產安全、維護數據完整、有效實現組織目標、高效使用組織資源等方麵做出判斷的過程。

一、信息係統審計的發展與國內信息係統審計現狀

早在大型計算機時代的1954年，美國通用電氣公司就實現了會計電算化。那時審計人員沒有能力檢查計算機係統的內部處理過程，隻能根據原始數據對處理結果進行人工核對，被稱為“黑盒審計”。隨著計算機應用技術的發展，財務軟件和業務軟件迅猛增長，客觀上要求審計人員關注EDP（電子數據處理）。1973年，Touche Ross審計事務所首次檢查美國權益融資公司電算化係統的計算機處理過程，開啟了“白盒審計”時代。

1968年，美國注冊會計師協會出版了《審計和EDP》，介紹如何開展EDP審計、如何進行內部控製檢查。1969年，信息係統審計組織——EDP審計師協會正式成立；1977年，它出版了COBIT（信息及相關技術環境下的控製目標）行業標準；1978年，它推出了CISA（國際注冊信息係統審計師）資格認證；1994年，該協會更名為ISACA（信息係統審計與控製協會），這反映了人們對計算機審計的關注重點從電子數據審計轉向係統控製審計；1999年，它開始研究IT治理，並提供了信息及其相關技術的管理體係模型和最佳實務；2002年，它又推出了CISM（國際注冊信息安全經理）資格認證。2002年美國政府出台SOX法案，對上市公司的年度審計增加了信息係統控製審計方麵的要求。

我國的信息係統審計起步較晚，20世紀90年代學術界才開始在國外信息係統審計發展成果的基礎上開展國內信息係統審計發展的探索和研究。到目前為止，主流的應用分為兩大類：一類是依據SOX法案，對在美國上市的國內公司進行信息係統內部控製測評；另一類是依據COBIT標準來評價信息係統的安全性、可靠性和有效性。

二、國家審計、社會審計和內部審計的區別和聯係

我國的審計組織體係由國家審計、社會審計和內部審計組成。

國家審計是指政府審計機關依法獨立監督國務院各部門和地方各級政府、國有財政金融機構和企事業單位組織的財政財務收支情況的真實性、合法性和效益性的行為。其目標有：1、審查被審計單位的會計帳表、憑證及相關資料，評價其是否真實、完整、公允地反映了該單位的財政財務收支狀況；2、評價被審計單位財政財務收支的合法性，審查其是否違反國家規定和相關財經法規；3、評價被審計單位財政財務收支活動的效益性，審查其是否存在決策失誤、管理不善等造成的損失浪費和國有資產流失行為，是否存在不講效益、效率和效果的現象。

社會審計是注冊會計師接受委托，對被審計單位的會計報表及相關資料進行獨立審查，並對其是否真實、公允地反應該單位的財務狀況和經營成果做出鑒證。其職能有：1、替股東們揭露管理人員在業務經管過程中有無舞弊行為；2、驗證財務報表是否真實公允地反映了公司財務狀況和經營成果，發表一個具有職業權威的鑒證意見。

內部審計是指在部門或單位負責人領導下的專職審計機構或人員，對本部門、本單位的財政財務收支及各項經濟活動的真實性、合法性和效益性進行審查和評價，以提出審計報告、意見和建議的一種經濟監督活動。其目標是發現企業管理中的漏洞及存在的問題，從而挖掘企業內部潛力，改善經營管理，提高經濟效益，實現企業資源的最佳配置，增強企業的自我發展能力。

我們要處理好這三者的關係，讓它們各盡所能地執行審計監督，同時還要讓它們相互協作、共享有關審計資源，從而使整個社會的審計監督成本最小化、審計效率最大化。在信息係統審計方麵，國家審計、社會審計和內部審計應該分工協作，各有側重點地均衡發展，以構建我國合理的信息係統審計監督體係。