開展信息系統審計初探

近年來，隨著計算機技術的廣泛應用，企業對信息技術的投入逐年加大，信息化程度也越來越高，各行各業先后開發適合本單位的信息處理系統處理日常經濟業務。隨著信息化程度的加大，審計環境、審計客體發生了深刻的變化，信息系統審計應運而生。本文結合筆者主審的某單位信息系統審計情況，對信息系統審計加以闡述：

一、信息系統審計概念

信息系統審計是一個通過獲取并評價證據，以判斷信息系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。從這一定義看，信息系統審計是保證信息系統的合規性、安全性、可靠性和有效性來實現組織目標的。這不僅需要關注信息系統本身產生的業務數據、財務數據、管理數據，還應該把保障信息系統運行的各種管理制度納入審計范圍。

二、信息系統審計目標及意義

信息系統審計目標是通過對信息系統合規性、安全性、可靠性和有效性的審計，來評價被審單位信息系統中輸入、處理、存儲、輸出的電子數據的真實、完整性；查找被審單位信息系統管理制度不規范的環節，各系統間關聯對比關系不完善，缺少系統的自身校驗功能等薄弱環節；通過信息系統審計發現傳統審計難以發現的問題，也可以通過傳統審計發現的問題，反推信息系統中存在的非法功能和漏洞。

三、信息系統審計的范圍及內容

1.信息系統審計的范圍，包括被審單位的生產、經營、財務等與信息系統相關的各個部門，最重要的就是信息系統的使用管理部門，包括信息系統的開發、運行維護的管理部門，以及下面具體的操作部門。如我們在對某公司的信息系統審計時，即將負責該公司的信息系統的開發、運行維護的技術中心、運行中心，以及具體的操作部門為審計范圍。

2.信息系統審計的內容應根據不同的信息系統審計計劃或目標制定相應的內容，例如我們實踐中嘗試對系統開發管理、系統性能管理、系統連續性管理、系統安全管理、系統數據管理及系統物理環境管理六大方面進行審計。

四、開展信息系統審計過程

（一）審計準備階段

1.收集資料及人員培訓。

為了明確信息系統審計重點，制定詳細的審計流程，并最終為審計實施做好鋪墊，實踐中我們作了充分的前期準備工作：

一是搜集大量資料，了解系統運營業務概況、管理體制以及系統歷史發展過程等內容；二是現場操作并測試系統，掌握系統的總體架構、功能概況以及應用控制情況；三是審閱系統設計方案、數據庫字典和信息數據等資料，在此基礎上編制系統控制矩陣；四是由計算機審計專業人員對審計組成員進行強化培訓，主要包括IS審計概念和內容、Cobit（信息及相關技術控制目標）框架、Oracle及基本SQL（標準查詢語言）語句，并按審計人員專長，對系統及數據控制等內容進行分工。

2.構建虛擬信息系統。

為保證被審計單位信息系統的運行安全，在審計過程中構建了虛擬信息系統，在虛擬環境下對信息系統做各種詳盡、全面的測試是較好的解決辦法。

審計人員通過組建局域網（LAN）把審計組成員的工作電腦用通信線路互連起來，從而使審計人員可以方便地互相傳遞信息，共享硬件、軟件、數據信息等資源。這種網絡是一種臨時小型網絡，節點數量少，工作速度快，在審計期間使用可以提高審計效率。下圖是現場局域網絡結構拓撲圖。

3.采集數據及轉換。

由審計組向被審單位提出構建信息系統需求，被審單位技術人員在審計組人員的計算機上安裝信息系統，然后將被審單位的信息系統數據庫采集過來，經清理、檢查、驗證轉換到審計組設置的服務器上SQL Server數據庫中，供審計人員使用。數據采集要全面，包括信息系統的數據字典、信息系統操作指南、數據庫設計文檔、信息系統開發可研性報告、系統開發、運行維護、采購合同等等。

（二）審計實施階段

為了全面反映某單位信息系統的現狀，審計組在實施過程中，采取了多種審計方法，具體操作如下：

1.編制控制矩陣，確定審計內容。

控制矩陣是一個控制目標及相關控制措施的列表，是分析某一控制系統有效性、效率、完整性和可靠性等指標的一種有效的系統控制分析工具。控制矩陣的編制可以采用如下原則和步驟進行。

①深入了解信息系統，確定控制目標和控制風險。

②結合實際情況和Cobit四個域列出系統的高級控制目標。即從34個高級控制目標中選擇適合的高級控制目標。

③描述如果未實現②中的控制目標會導致出現什么樣的控制風險。

④從控制目標中選擇適合用于本次審計的具體控制目標。

⑤列舉需要進行的審計程序，即具體操作指南。

⑥分析控制矩陣所反映的內容，判斷控制目標是否恰當、夠用、冗余，并進行調整。

⑦重復步驟②～⑥，對控制矩陣反復分析和修改，最終形成一個完整的控制矩陣。

2.審計測試及訪談。

在熟悉了信息系統所處理的業務流程、數據處理過程、系統架構、系統功能及與其他系統之間的關系后，又明確了具體的審計內容，審計人員就可以采用各種審計方法開展審計。實踐中我們首先采取測試訪談法，具體操作如下：

①根據控制矩陣的具體目標編制相應的測試訪談表。

②根據目標所涉及的部門或人員，確定測試訪談對象。

③根據審計人員分工進行訪談，并將訪談內容記錄到訪談表中，并由被訪談對象對訪談記錄進行確認。

④根據訪談結果以及對現場測試的結果，針對具體審計目標確定審計結論，并提出相應的審計建議。

3.利用審計中間表整理系統數據。

審計中間表是對采集到的數據進行清理、轉換、驗證后，將分布于不同表格中、雜亂的信息經整理、組合、漢化，創建出符合審計人員需要的新表格，這一過程就是創建審計中間表。

①備份采集到的源數據。

由于在創建審計中間表的過程中，容易出現誤操作，使采集到的數據被刪除破壞，因此需要備份采集到的源數據。

②設計審計中間表。

審計人員需要結合審計目的、被審計單位的經濟業務等情況，設計多張審計中間表。

③生成審計中間表。

審計人員需求的數據通常分散在不同的數據庫或數據表中，審計人員需要對數據進行整合，并將與審計相關的數據進行有機的關聯。具體可以根據表間關系進行數據的聯接，并將滿足分析需要的數據形成中間表。

4.系統分析測試。

實踐中，我們除了從宏觀上對系統進行了測試，還從微觀上對系統的功能、數據等進行了分析測試，具體如下：

①功能分析：將被審單位業務的特點和對信息系統的需求情況與信息系統具有的功能進行對比，分析信息系統功能存在的不足。

②邏輯分析：通過對信息系統處理數據是否存在違反規定的分析，來檢查信息系統本身存在的問題和被審單位存在的違紀問題。

③數據對比分析：將信息系統中數據與財務、生產、經營部門的數據進行對比，從中發現問題。

④數據跟蹤分析：針對審計中間表中不合理數據進行分析，并跟蹤審計發現問題。

（三）信息系統綜合評價

信息系統綜合評價是審計人員經過對信息系統的審計，將審計中發現的問題進行歸納、總結，對被審單位的信息系統作出正確的評價，并針對發現的問題提出積極可操作有利于被審單位整改的建議。

筆者實踐中，針對被審計單位某信息系統開發管理、性能管理、連續性管理以及物理環境管理等七個控制過程，進行了問題闡述，并通過深入分析系統控制缺陷的成因，從系統建設規劃、內控管理、風險管理、信息管理以及優化人力資源配置五個方面提出審計建議，一方面促進了被審單位內部管理水平的提升；另一方面提高了被審計單位有效參與市場競爭的能力。

五、開展信息系統審計的體會

通過對信息系統審計的嘗試，本人也有一些感觸，信息系統審計在中國作為新生事物，相關的審計理論、審計方法、審計內容和審計人力資源，都相對滯后且缺乏系統性。盡管目前有不少關于信息系統審計方面的文章，但普遍是理論探討，在實踐上少有明確指導意義的操作，同時也缺乏有效審計實踐。因此，在今后的很長一段時間，中國審計還需要經歷無數次的信息系統審計嘗試，逐漸適應信息化時代的審計環境變化，開創審計的新篇章。

（作者單位：大慶石油管理局審計中心）