企业信息系统审计的研究
“实现化仍然是我国化进程中艰巨的性任务。信息化是我国加快实现产业化和现代化的必然选择。”近年来,对信息技术的投进逐年加大,信息化程度也越来越高。信息化的蓬勃,促进了其经营治理水平的进步,特别是在进步治理创新、集中管控能力、执行力和市场反应能力等方面,信息技术的确实带来意想不到的效率和成果。但是,信息系统给带来的危害主要体现在以下几方面:突发事件的,由于1993年纽约世界贸易大厦爆炸事件,使得当时进住的多数企业的贸易数据如数丧失,导致在企业这一年内的很多贸易活动无法进行;错误操纵、不正当使用和滥用信息技术,1998年发生的CIH病毒,导致全球数百万台机硬件损坏,导致近百亿美元的损失。信息系统开发失败。1994年,Standish Group对IT行业8400个项目(投资250亿美元)的结果表明有34%的项目彻底失败,50%的项目在补救后完成,预算均匀超出90%,进度均匀超出120%。这些失败和补救的项目中、不少未经过投资风险评估便匆匆上马,超成了极大的社会资源浪费,对信息系统投资方面起到了极其恶劣的影响。因此,迫切需要对正在使用或即将投产的信息系统的安全性、真实性、完整性、有效性进行鉴证。通过对信息系统的审计,保证信息系统的可信度,促进内控体系的规范建设,信息系统审计已成为摆在企业治理职员案头迫切需要开展的重要工作。在我国信息化推进过程中,存在不同程度上的一些,主要表现在规划制订不够,项目治理不够严格,监理机制不够健全,系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标,浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。一、审计信息系统
信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。
审计信息系统最早称为计算机审计,计算机审计业务主要关注对被审计单位数据的取得、、计算等数据处理业务,还称不上信息系统审计。随着计算机技术应用范围的不断扩展,计算机审计所关注的也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,对被审计单位风险的评估必须将计算机信息系统纳进考虑范围。计算机审计的业务范围已经覆盖了一项审计业务的全过程,信息系统审计的概念随之出现。
在建立信息系统审计制度,开展信息系审计研究方面,美国走在了前面。早在计算机进进实用阶段时,美国就开始提出系统审计(SYSTEM AUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)即ISACA,总部设在美国芝加哥。该组织在世界上100多个国家设有160多个分会,现有会员两万多人,它是从事信息系统审计的专业职员唯一的国际性组织,CISA(Certified Information System Auditor)也是这一领域的唯一职业资格。
在很多大型公司内部,信息系统审计部分已经成为一个独立的对外提供多种服务的部分。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部分业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外、审计界的一个共叫。信息系统审计师的地位也在不断进步。在国外的一些大型会计公司中已经出现了没有CPA资格的合伙人,他们持有的专业资格就是CISA.据专家先容,国际信息系统审计师(简称IT审计师)目前已经成为全球范围最抢手的高级人才。