当前位置:首页 期刊杂志

信息系统审计漫谈

时间:2024-04-24

陈 骥

一、前言

随着近十年来信息化浪潮的推进,企业的信息系统经过不断的迭代和完善,变得更加复杂,企业每天运营产生了远超财务记账凭证的大量数据,且得益于存储技术发展及存储成本的降低,这些数据大多被记录了下来,不仅新经济下的轻资产公司存在这种趋势,传统企业随着“互联网+”浪潮的推广,也呈现此发展态势。

2017年5月27日,在中国乌镇,Alpha GO以3比0战胜了人类排名第一的世界围棋冠军柯洁,表明AI技术在有明确规则的棋类活动领域已经达到了实用状态,以“大智移云”为标志的信息技术又一次震撼了社会公众,也成了企业深度信息化的推手。2017年7月8日国务院发布了《新一代人工智能发展规划》,全方位地对“发展智能经济,建设智能社会”提出了多层次规划,智能经济的远景已经逐渐清晰起来。

在此背景之下,无论是 “两化融合”、“业财融合”还是“智能经济”,企业的信息系统还会继续演进,注册会计师所面对的客户的信息系统、业务模式、数据环境都会变得越来越复杂,仅依靠传统的审计抽凭、函证等审计手段,已不足以支撑签字注册会计师合理保证的信心,在面临诸如互联网教育、互联网广告及游戏等新经济客户时尤甚。这时,注册会计师需要利用专家工作,而产生信息系统审计的需求,虽然这个需求有时是如此模糊,以至于注册会计师在面对有些项目时无法提出明确的要求,而有时又提出不具有可行性的要求,导致产生各种困惑。本文试图从信息学本身出发,来探讨信息系统审计。

二、信息

漫谈信息系统审计,自然离不开信息系统,而追溯困惑的源头则是信息,那么究竟什么是信息?克劳德·艾尔伍德·香农1948年在《通讯的数学理论》(A Mathematical Theory of Communication)这一奠基性的论文中对信息(information)的描述是“信息是确定性的增加”,或者反过来通俗地说,信息能够减少不确定性。

香农在这篇论文中为便于讨论,首次提出了bit概念,并详细讨论了在有噪声且带宽有限的情况下的信道容量与信噪比的关系,也即著名的香农定理,列示如下:

其中,C:信道容量,通俗地说即信道支持的最大传输速度;B:信道带宽; S:信号强度;N:噪声强度。

从信息学角度来看,信息本身并不是确定的,且最初开创这一现代学科的奠基人最早研究的就是信息交互过程中信噪比与有效信道可支持的最大传输速度的关系。从定理公式来看,不论信道带宽B有多大,如果噪声强度足够大,亦即N趋向于无穷大,则信噪比(S/N)趋向于0,如此则导致信道容量C也趋向于0,即意味着噪声足够大时无法建立有效的通信信道。以传信游戏类比说明,一个N人的小队,把一个消息向后传输时,最终收信人收到消息的正确率与人数N成反比,N越大,每个人带来的噪声干扰也越多,N趋向无穷时正确率趋向于0。实际玩游戏的时候可以发现,压根不需要N趋向于无穷,当大于7人时,几乎就无法正确传递一个长句了。对于节点上的每个人其实总是认为他进行的传递是正确,因为在这个链式传递结构上他仅能从前一人获取信息,无从比较,而同时对于其自身带来的噪声扰动,则由于自我复核通常是无法发现的。

所以,单一信息本身无法判断正误(或者真假),但其能带来确定性的增加,当若干信息能相互印证或证伪时,才能相对地判断正误(真假)。而注册会计师所做的工作其实就是搜集信息比对信息,然后判断信息的正误(真假),以便取得合理保证的信心来发表审计意见。

三、信息系统

香农定理讨论的是信道容量问题,而一个有效的通信信道意味着存在信源、编码、信道、解码和信宿,这就是一个最基本的信息系统。而之前讨论的传信游戏,实际上就是一个人力驱动的信息系统:信源即最初发言人,编码即口语转述,信道即人,解码即听前人转述,信宿即最终收件人。如果这个传信游戏的编码、信道、解码是由系统来完成,那就是最初的信息系统——电话系统。

由于技术的发展,电话系统物理上的传输误码率已经降低到人类基本可以忽略的程度,那么注册会计师会对这样的信息系统困惑么?通常不会,因为直觉上这个电话系统很好把握。但如果信源采用了变声器呢?一个原本简单的系统,一旦在外围接上一个小小的处理系统也会使得事情变得复杂得多。

注册会计师所面对的是客户各种复杂的综合信息系统,再加之“大智移云”技术扩散态势,未来可以预见的是更复杂的系统。这些系统每天按照程序设定产生大量的数据、报表和财务凭证,现在不仅处理较为有序的结构化数据,也处理和存储诸如声音、视频、图像、文档等非结构化数据,通过先进的交互系统以人类更易理解的方式展示出来。这些系统过程实际上也是一个把不易理解的高熵体变成有趣的低熵体的过程,只是这个过程本身却不易理解。

此外,虽然随着技术进步,云服务商宣称提供高可靠性服务,如阿里云、腾讯云等服务商存储服务高可靠性宣称达99.999999999%,但现实情况下也仍然会出现宕机事件、数据丢失事件等各种情况,原因在于现在的系统正常运行涉及到很多软硬件资源,而不仅仅是一个存储资源,再加之不当的人为操作等因素(故意或过失),这样一个整体运营系统可靠性就会大大下降。

所以,面对当今如此复杂的信息系统,很难让签字注册会计师能直接从直觉上把握。

四、信息系统审计

注册会计师秉承职业的审慎怀疑,面对如此复杂的信息系统,自然希望获取更多的信息,以降低此间的不确定性。那么怎么样的信息能用来有效降低不确定性呢?是利用专家工作,直接让IT专家提出结论?实际上,IT专家很难对一个系统直接下一个确定结论,如前所述,由于系统的复杂性,即使云服务商的高可靠性承诺也不敢宣布100%,所以理性的IT专家不会对一个系统下非黑即白的确定性结论,很可能只是提供一个概率结论。而笼统的概率结论并不能帮助注册会计师很好地理解系统,其不确定性的减少是有限的。

因此,为便于注册会计师理解和把握系统,信息系统审计团队通常会从三个方面来提供有关系统的信息,即一般控制(GC)、应用控制(AC)和业务数据分析(DA)。通过对系统运行的一般控制环境的了解和测试来披露系统运行所依赖的整体控制环境,通过对主要应用的控制测试来揭示系统运行的具体逻辑和控制,通过对留存的原始业务数据的多维度分析来发现和披露公司实际业务活动的特点和行业信息,通过这三个层面为注册会计师提供有用的信息以帮助注册会计师理解系统,达到降低此间的不确定的目的。

所以,从信息学的角度来说,信息系统审计是为注册会计师提供更多有关其所面临系统的信息的专业服务。而这些信息,应该是从各方面有助于注册会计师理解和降低不确定性,以支撑其获取合理保证信心。

免责声明

我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!