摘要:信息系统审计是伴随着信息化的发展而产生的新的审计理论和方法,在我国经济与社会发展中日益显现出其独特的地位与作用。充分认识桥梁建筑企业中信息系统审计的影响和意义,进而研究其目标、范围、内容和程序,建立符合桥梁建筑企业特点的信息系统审计体系和方法,对实现企业的战略目标至关重要。
关键词:信息系统审计 审计内容与方法 信息系统审计体系
信息系统审计是上世纪八十年代由内部审计领域提出的审计理论,随着信息技术和信息化的发展,在内部审计领域开展对于信息系统本身的审计已成为不可回避的问题,于是产生了这一全新的审计领域。
随着信息系统与各个行业的融合,保证信息系统的安全性、可用性、可靠性,并对其效率、效果、持续性等特征进行评价,以确保其对于业务的支撑作用,成为信息系统审计关注的热点问题。在我国,信息系统审计虽然刚刚起步,但已经有越来越多的企业和有识之士开始重视这一问题。而随着我国市场经济的不断发展及信息化建设的不断深化提高,信息系统审计将显现出独特的地位和作用。
近年来,桥梁建筑企业的内部审计工作已经取得了显著的成绩,为企业的发展作出了应有的贡献。随着新管理时代的到来,桥梁建筑企业中信息系统扮演着重要的角色,着眼未来,我们需要在现有的工作基础上,尽快学习、掌握并应用信息系统审计理论与方法,在实践中不断探索与创新,建立起符合桥梁建筑企业特色的信息系统审计体系,为企业的战略发展提供优质的服务和保障,显现内部审计的独特作用。
一、信息系统审计的意义
信息系统审计是近几十年发展起来的审计业务,到目前为止国际上对信息系统审计尚无统一的权威定义。国际上比较权威的定义是美国ron weber 教授的定义,其定义为“信息系统审计是一个获取并评价证据,以判断计算机系统是否能保证资产的安全,数据的完整以及有效利用组织的资源并有效果地实现组织目标的过程”。1986年,日本通产省情报处理开发协会信息系统审计委员会将之定义为“所谓信息系统审计是指独立于审计对象的信息系统审计师站在客观的立场,对以计算机为核心的信息系统进行综合的检查、评价,向审计对象的最高层领导提出问题与建议的一连串活动。”上述定义,均着眼于信息系统的安全性、可靠性和效率性,道出了信息系统审计的实质。
桥梁建筑企业信息系统审计应该是在内部审计的范畴,针对信息系统进行全面的检查、分析,作出有关安全性、可靠性和效率性的评价,并提出改进意见的过程,从而就确保信息系统为管理服务和为组织增值提供鉴证。充分认识桥梁建筑企业信息系统审计的意义,明确桥梁建筑企业信息系统审计的地位和作用,对于开展好信息系统审计有着深远的意义。
1、开展信息系统审计有利于实施企业长远发展战略。
桥梁建筑企业是我国建筑业界的一支铁军,曾建设了武汉长江大桥、南京长江大桥等国内外著名的桥梁,在我国桥梁建筑史上抒写了辉煌的篇章。但是,它一直具有浓厚的计划经济色彩,在飞速发展的市场化进程中略显滞后,尚未建立起独具特色的核心竞争力。近年来,随着国家信息化带动工业化的号召,企业高层基于对现状的充分认识,制定了高瞻远瞩并切实可行的发展战略,加速推进市场化改革。2002年5月,铁道部大桥局改制为中铁大桥局集团总公司,在市场化进程中向前迈出了一大步。高度的市场化必须有高度的信息化与之相匹配,这样才能保证企业的竞争优势,并有助于接受公众尤其是股东的监督,因此,企业在信息化建设中投入了大量的财力和物力。到目前为止,以二公司为例,已累计在信息系统建设方面投资523万元。其中,软件180万元,硬件343万元。从高级管理层、中级管理层、业务部门,到各个工程项目部,都实现了计算机化管理,信息技术手段和工具在公司各个层次发挥着不可忽视的重要作用,信息系统与业务的不断融合,支撑连接着企业的各项管理,系统的可靠、稳定、有效、可行非常重要。企业的信息系统网络己成为重要的战略资源,它的安全、持续可用,是业务持续发展的基础,与企业的生存与发展休戚相关,也是提高企业核心竞争力,实施企业长远发展战略的基础和保证。
2、开展信息系统审计有利于提高经营管理水准。
桥梁建筑企业的突出特点是业务面广、量大、施工点分散,例如中铁大桥局集团公司有八家子公司,九家分公司,32个项目部,上百个施工点,这些子公司、分公司、施工点分布在全国各省市。如此多的下属企业,集团公司如何进行资本控制和资源共享,只有大力加强信息化建设,发挥信息系统的作用,才能真正提高效率,提高经营管理水平。现在计算机的应用也不仅仅是过去简单的模拟手工阶段,覆盖范围也不再局限于财务管理操作的层次,而是覆盖到企业业务流程的各个方面,如材料管理、库存管理、作业安排、施工进度安排、人力资源管理、甚至包括施工设计、市场营销,质量管理等领域,各个子系统错综复杂的交织在一起,生成的数据已经形成量大、多维、结构复杂的数据库。企业的发展要求建立一个支持企业整个流程的全面的集成信息系统,为管理层提供更大时间跨度、更广系统联系、更多企业外部环境的市场数据,实现管理控制上的统一和协调,以利于正确的市场选择和科学的决策。信息系统在发挥着重要作用的同时,也日益成为企业经营的重要资产,需要对其进行评价和鉴证,需要对其进行保护和管理。同时,与信息系统运营和维护有关的方方面面,都需要进行慎重的管理和协调,真正保证信息系统发挥效益。
通过信息系统审计能够有效地对信息系统进行评价和鉴证,考察信息系统规划制定是否科学,项目管理是否严格,监理机制是否健全,系统安全是否有保障,系统运行效益是否明显,从而为消弥系统风险,提高企业经营管理水平提供有效保障。
3、开展信息系统审计有利于提高财务审计质量。
财务审计始终是企业内部审计的第一要务,这是因为企业的中心工作就是通过市场开发和经营管理获得利润的最大化,因而财务管理的制度科学、方法得当、效率提高、防风险能力的增强对于企业提高经营管理效益至关重要。然而随着时代的发展,企业经营管理最显著的变化就是会计信息处理实现了计算机化,带来了财务管理的一场革命,无论财务数据的取得、计算还是各个层次、各个类别的财务分析,均离不开电子数据处理,更进一步,企业的各种业务系统数据能够向财务会计信息系统自动转移和传达,企业可以随时控制和指导生产和经营活动使之与企业的经营目标吻合。此时,由于财务数据的采集、计算、分析是由整个信息系统实时完成的,我们在进行财务审计时必须考虑信息系统的安全性,可靠性和运行效率,以确保财务信息的真实与可靠。在这一背景下,开展信息系统审计,确认整个信息系统的真实可靠、安全有效,是提高财务数据质量的基础,也是是提高财务审计质量的前提。
二、桥梁建筑企业信息系统审计的内容、程序和方法
信息化的蓬勃发展,促进了桥梁建筑企业经营管理水平的提高,但是我们信息化建设的成熟度还有待提高,信息系统审计工作刚起步,任重而道远,目前尚处于探索阶段。基于我们目前的现实情况,当前开展信息系统审计主要应包含以下内容:
1、系统的基础建设管理审计。信息系统建设规划、开发、采购、测试、运行、维护等环节是否与设计目标和要求相符,确保实现组织目标的吻合度等均需进行审计。在可能的条件下,信息系统建设初期就先行介入审计,在每个环节上均进行把关,并建立易于操作的审计接口,为以后的信息系统设计奠定基础。
2、信息系统运营审计。信息系统运营审计需要评估信息技术基础平台的运行与安全管理,例如路由器、网络设备、防火墙、通讯线路、服务器、打印机、扫描仪、存储设备、PC、终端、操作系统及数据库等运行平台的“健康度”如何,此外要建立严密的安全保护政策、标准和控制措施,预防内部员工的疏忽和外部黒客的入侵,制定灾难恢复预案,一旦连续的业务因意外和遭人为破坏,应紧急启动应急预案,及时恢复信息系统的服务,将损失降低到最小限度。
3、生产系统审计。企业一般都建立了原材料采购存储使用系统、机械设备、周转材料租赁存储系统,技术与安全系统、财务会计系统、市场开发系统、人力资源管理系统、质量保障系统等经营与管理系统,公司的生产经营活动大多要依赖这些系统进行运营,因而对生产系统的审计尤为重要。评估的主要内容是实际操作流程与信息系统对需求的满足度及信息系统相关的风险,例如基础设施生产系统或业务系统的规划、制度、需求分析、设计、验收等工作;又如数据访问授权,系统功能授权,业务操作授权,业务审批授权以及防止非法进行数据修改的措施等等。
4、网络财务系统审计。为了便于桥梁建筑企业的财务管理,企业基本上实现了集团型、跨地域型的各种远程信息反应和控制,如远程记帐、远程报表、远程查帐、远程审计、远程监控等,建立了完善的网络财务系统。网络财务系统是否能保证核算与数据的安全完整;它的功能模块、数据分析、信息传递是否高效有序;结算收入的准确性,实际成本的完整性,资金到位的可靠性等等,均需通过审计来识别、研究、审查和评价网络化财务管理系统的真实可靠,给予完整界定,从而整合好企业信息资源,提高管理工作的效率。
信息系统审计的方法较多,桥梁施工企业信息系统审计主要采取以下几种方法:
1、全面审计。信息系统审计可分为全面审计和专项审计。全面审计是一种常规的例行审计,可以每年或半年一次对信息系统进行全面的审计,既要对公司的信息系统、各分公司的信息系统进行全方位的审计,也要对管理流程、技术平台、生产系统、财务系统等进行审计,从而对信息系统做出全面的评价、鉴定,向管理层和专业部门提出改进建议。
2、专项审计。专项审计是对分公司或针对信息系统管理的某一方面甚至是某一重点环节进行的专门审计,可根据实际需要有选择的进行。如信息系统运行安全的专项审计,可以对审计对象在安全管理制度、技术措施、应急预案的实际情况进行评价、鉴定,提出管理建议和改进措施。
3、信息系统内部控制审计。在审计过程中对信息系统内部控制进行审计,通常运用实地观察、座谈、查阅系统的文档资料等方法,然后用流程图法对内部控制进行描述,用测试法对内部控制进行评价。
4、数据检测法。在符合性测试或实质性测试阶段可以使用数据检查法。通常设计好一批检测数据,并对检测数据进行特殊的标记,在被审计系统中进行处理,与预期结果进行比较。但运用数据检测法存在一定风险,如在帐务系统中运用数据检测,如果运用不当会对被审计单位财务数据产生影响,在实际应用中对测试数据进行标记较为重要。
5、计算机辅助审计。针对财务数据的审计一直是审计的一项基本工作。我公司目前已经投入使用的财务系统,累计投资120万元,在公司运营中发挥了巨大的效益。财务数据有数量大的特点,面对海量数据,传统的审计方法越来越显得力不从心。我们在积极探索信息系统审计的同时,也积极探索有效的计算机辅助审计方法和技术。派业务骨干学习审计软件,利用审计软件处理电子数据的优势,从数据产生的过程保证数据质量,提高了工作效率,并取得了良好的效果。
三、桥梁建筑企业信息系统审计的基本特性
建立桥梁建筑企业切实可行的信息系统审计体系,构建基本框架,探索应用策略,应考虑以下几个方面的特性:
1、内容复杂。从地域上看,随着网络和通讯技术的发展,桥梁建筑企业的业务遍布全国各地,有的业务单位已将触角伸向国外,这就要求企业必须把总部的本地信息系统和外地分支机构的信息系统相衔接,构成互联互通的网络以共享信息资源,为企业实现总体目标服务;从个体上看,桥梁施工往往每个桥型桥式不同、结构类型不同、施工工艺不同、施工组织设计不同、施工外部环境不同、工程取费标准不同、工程结算方式不同等,每个桥梁工程项目既有共性又有其特殊性;从结构上看,桥梁建筑企业的信息有大量的原材料管理,库存管理、机械设备管理、作业安排、施工进度安排、人力资源管理、施工组织设计、安全质量管理、营销管理、财务管理等领域。这些子系统的信息须建立与财务信息系统的方便接口,以便利大量变化的信息数据向财务会计信息系统及时的传导和转换,提供管理层随时掌握的综合信息,随时应对市场和内部管理出现的变化,确保管理目标的实现。因此,无论从地域从个体还是从结构,桥梁建设信息系统是一个复杂多面的体系,我们对信息系统审计必须有全面、系统的意识,对个体和整体进行全面的考察,综合评价,设计好审计接口,才能真正有效发挥审计的作用。
2、安全保障。随着信息化的不断发展,企业对信息化的依赖性日益增强,因而企业信息系统的安全性成为无法回避的价值判断,这就使我们必须对信息系统的安全性审计予以充分的重视。企业信息系统面临的安全性挑战来自两个方面,一方面是系统自身的技术安全系数,如突然灾害的应急设备与系统,容错技术能力,通讯安全技术,预防外部入侵技术等。特别是信息系统高度社会化以来,利用计算机犯罪和黒客入侵破坏的案件日益增多,例如,美国在1981年就因公司之间间谍利用信息技术窃取公司信息系统中的信息所造成的损失高达500多亿美元。这说明建设严密的信息系统防范体系尤为重要。另一方面是内部安全管理体系的建立,内部员工是信息系统最活跃的因素,既可以是潜在的威胁,又可以是可靠的安全防线,据国外统计资料表明,在所有信息安全事故中,只有二至三成是由于黒客和间谍入侵造成的,七至八成是由于内部员工疏忽或有意泄密造成的。信息安全问题的实质是人的问题特别是内部员工的问题,这就需要建立桥梁建筑企业信息系统安全管理制度、职责范围、防范措施等,同时要加强对员工的教育与培训,增强他们对企业的责任感,安全意识,提高防错能力。在对信息系统的安全性进行审计时,必须利用先进的技术和工具,对信息系统的开发、程序设计、职责划分、数据导入、存储、处理过程等进行考察,针对存在的问题提出建设性的改进意见。
3、注重效益。20世纪80年代以来,互联网技术和信息技术高速持续发展,企业信息系统也变得日益复杂化、大型化、多样化和网络化,需要大量的财力、人力、技术的投入,这就使我们不得不关注信息系统的运行效益和处理效率。信息系统的运行效益就是性价比问题,即系统的性能与开发、维护、使用的代价之比。桥梁建筑企业信息系统也部分出现投资较大、维护成本偏高、功能达不到预期目的、淘汰率提高的现象,给企业造成人、财、物的浪费。此外还存在设计功能高而开发利用率低,不能为提高企业经营管理效益提供更好服务,使企业因不能及时、有效的掌握外部信息和内部管理信息,从而在市场竞争处于不利地位等现象。从这个意义上来看,借鉴国外先进经验,参考同行业发展现状,设定系统的运行效益和处理效率方面的指标,对企业生存和保持可持续发展能力的影响越来越大。信息和信息系统已经成为企业非常重要的资产,要确保信息系统这一重要资产的保值增值,对信息系统的审计并在此基础上进行全面的控制,使之发挥持续性的高效益则是企业的必然要求。
四、关于桥梁建筑企业开展信息系统审计的几点建议
1、加大宣传力度,提高开展信息系统审计重要性的认识。桥梁建筑企业的信息系统审计尚处于起步阶段,需要一个渐进的过程。目前很多人对信息系统审计尚处于未知阶段,更谈不上主动关注、积极推进这项工作,因而我们要利用各种宣传手段和场合大力宣传信息系统审计理念和知识,使大家提高信息系统审计重要性的认识,为我们开展信息系统审计的营造理想的氛围。重点要提高管理层和业务部门员工的认识。管理层负有企业经营决策、促进实现企业战略目标之责,只有充分认识信息系统审计的重要性,才能积极支持这项工作,从人、财、物等方面提供有力保障。信息系统管理部门是专业部门,审计部门是实施审计的业务部门,这两个部门的领导和员工充分认识信息系统审计的重要性,掌握更多的有关知识和工作方法,才能积极参与这项工作,发挥出更大的主动性和创造性。
2、探索建立桥梁建筑企业信息系统审计流程。桥梁建筑企业信息系统既有与一般信息系统相同的共性,又有自己独特的个性,其业务主要是大型桥梁,特点是体量大,工期长,技术复杂,项目分散,施工点经常转移,使其信息系统的建设、运行、维护、防范等环节比一般单位更加复杂,管理难度更大,这就要求有特殊的审计标准、审计方法和审计体系。虽然我们的工作起步较晚,但我们的目标要高,每一步都要着眼于探索、创新自己独特的审计体系,为企业信息系统审计在高起点上快速发展奠定牢固的基础。
3、加强信息系统审计队伍建设。虽然我们可以聘请专业审计单位进行审计,但必须把这项工作放在自己力量的基点上,当务之急就是要迅速建立一支思想素质高、专业技术好、能打硬仗的审计队伍。目前,由于企业人力资源有限,队伍建设应该以现有的审计队伍为基础。首先要对审计队伍进行培训,提高思想认识,学习专业知识,掌握工作方法和技巧,并大胆地使用,让他们在实际工作中不断增进才干、积累经验;其次要在条件允许的情况下引进高级人才,使他们能发挥骨干作用。
4、管理层的重视和支持。如同过去信息化在企业的发展进程一样,信息系统审计的有效推进离不开领导的支持和推动。从高层领导到审计部门主管对信息系统审计的一贯重视和支持,是使审计人员能够不断学习新知识、新理念,探索新的审计方法、技术,积极开展信息系统审计业务并取得成绩的一个有力保障,也是推动信息系统审计在理论和实务方面发展,开拓桥梁建筑企业信息系统审计领域的基本动力。
桥梁建筑企业初步开展信息系统审计已经取得了一些经验和成绩,开展信息系统审计的观念正在深入人心,但是由于企业规模大,涉及的项目多,复杂程度高,人员水平参差不齐,这方面还需要不断地进行理论和实务方面的探索和研究,总结经验并不断交流,才能构建符合桥梁建筑企业自身特点的信息系统审计标准和体系,为实现企业目标保驾护航。
参考文献:
【1】《保险公司的信息系统审计》
【2】《信息系统监理与信息系统审计》
【3】《全球信息化下的信息系统审计》
作者联系电话:025-58722144 |
