石爱中副审计长在信息系统审计研讨会上的讲话.docVIP

石爱中副审计长在信息系统审计研讨会上的讲话 ? 信息系统审计这事确实挺难。也不单单是这个事难，信息化工作从一开始到现在，每一件事都难。但是我们还是一件一件做，一点一点推进。数据规划准备了一年多，前不久开了一个研讨会，开始走上了一个正常的规范的道路。困难总是存在的，工作总是在克服困难中前进。 这个信息系统研讨会也是一年多以前开始筹划，发征集案例通知的时候，就打算开个研讨会，以这种方式，正式启动起来。对于信息系统审计，各位心里都没有底，虽然知道这一件事应该做，国外若干年以前就开始做了，咱们该怎么做，不知道。各地案例报上来之后，客观地讲，水平不是太高，不是太理想。今天署计算机技术中心的同志把美国的情况简单介绍了一下，八个单位的同志介绍了案例，一结合、一讨论，对于信息系统审计的目标、内容之类的问题朦朦胧胧就有点儿概念了，应当肯定这是一个进步。一年多，没白工作。 ??? 听了两天的会，最后谈些个人的意见。为了要进步，调子上略微有一点儿低沉，请大家多理解。? ??? 一、开展信息系统审计，是审计发展的必由之路 ??? 信息系统审计作为国家审计机关的工作内容，是信息化发展到一定程度的必然结果。它既有一些传统审计条件下某些审计内容新的表现形式，又有与信息技术紧密联系的新的审计内容。从美国的发展看，一开始是电子数据处理——EDP审计，逐步发展到信息系统——IS审计，现在他们又多用IT审计（实际上准确地讲是信息技术审计）来表示信息系统审计。名称的改变直接反映出审计内容的扩大。到了IT治理这样一种形式出现的时候，它考虑的不是单纯审计问题了，而是一个单位的发展问题了。就像内部控制一样，内部控制现在不是审计界和财务会计界提出的问题，它是作为企业风险管理的一个重要手段，它跟企业风险管理“绑定”了。 ??? 由此看来，信息系统审计的概念发展得非常快，而且发展得非常大。这个趋势我们认为是必然的，是规律，我们肯定也得如此，所以说是必由之路。这个大家也有共识，很多同志在发言中都提到了。去年我们还大张旗鼓地宣传和讨论数据式审计，今年我们转向了对信息系统审计的讨论、探索和实践，应该说这在认识上是跨越式发展的，人家经历这个过程用了二三十年的功夫，我们这些过程要短得多。 ??中国审计机关要搞信息系统审计，这是肯定的，不搞不行。如果不搞信息系统审计，审计的内容就不全面，就无法实现李审计长要求的“融入世界审计主流”目标。不搞信息系统审计，我们将来的审计风险就无法控制。纸质账目的时候，我们懂得说内部控制要审计一下，不能假账真审；现在同样道理，不能假电子数据真审。对于审计风险，近几年大家有了一定的认识，查过的单位，怎么出这么大事你不知道？目前还没有因审查电子数据，产生重大疏漏的例子，但随着信息化程度越来越高，不对信息系统给予足够的关注，计算机数据审计也会有潜在的风险。 未来正常情况下的、信息化情况下的审计，电子数据、信息系统、系统内控必须三位一体，在审计过程中，这三项内容不能少，一定是正常的审计内容，必须审计的审计内容。也只有这样，我们才能全面履行审计职责。署党组向来强调“全面审计、突出重点”，两句话，少了哪一句，都不能叫全面履行审计职责，不能审了一半，那一半不审。 ??? 在我们这个范围内，对信息系统审计的必要性形成了共识。现在接触信息系统审计的同志，八万审计人员里，可能到不了一千人。我们自己应该明白，我们做的这件事情是代表未来。有的同志说，搞一个信息系统审计项目很亏，花时间挺多，最后还没有大案要案，考核也没有加分。当然他们也是开玩笑。我说至少你自己不亏，你是在做高技术含量的工作，率先得到了锻炼，可能率先会成为你单位里的人才。 ??? 在大家都提高认识之前，我们要宣传，要鼓动，讲它的重要性、必要性和意义。我讲过审计数据规划这件事开弓没有回头箭，信息系统审计也是一样，在中国，如果不整出一个具有中国特色的信息系统审计，我们死不瞑目。得有这种决心。 二、目前信息系统审计的方式 ??? 从收集来的信息系统审计案例看，大家都在积极探索，精神可嘉。由于是自由发展，信息系统审计方式是五花八门。我从目前所做的项目里，给它总结归纳了一下，有这么几种。 ??? 一是倒推式。就是王主任常说的“拔出萝卜连起了泥儿”，通过数据审计发现异常，倒推系统内控或信息系统的毛病。这也是一种现实的选择。我们也不用去否定它，更不要去批判人家，因为大家都这样干，还确实发现一些问题，发挥了一定作用。比如：深圳办在审计一个大学时，发现这个大学使用的财务软件非常不安全，在实际操作应用过程中，会计科科长、网络管理员、数据库管理员、系统管理员、记账员等岗位由同一人担任。同时，系统管理员在实施数据库数据修改、会计人员岗位分工、权限设置等具体操作时，缺乏必要的审批和监督程序。这样，权限高度集中，监控制约不力，