企業管理中的信息系統審計研究

程繼冉　劉春萌

[摘要]隨著信息化的飛速發展，企業管理對信息系統的依賴度極大提高，對如何有效地管理和控制信息系統的安全性、可靠性、有效性和功能完善性的研究開始被人們關注。通過對高速公路運營管理企業信息系統審計的探索研究，充分認識企業管理中信息系統審計的意義與作用、范圍和內容，探索研究符合高速公路管理特點的信息系統審計體系和方法，對實現高速公路運營管理企業的效益最大化至關重要，對推動其他行業企業管理中信息系統審計研究有著重要意義。

[關鍵詞]信息系統審計 企業運營管理

中圖分類號：F239文獻標識碼：A文章編號：1671－7597（2009）0320024－01

一、企業管理中信息系統審計的意義與作用

信息系統審計（Information System Audit簡稱IS審計）屬于內部審計的一部分，是利用規范和先進的審計技術，對信息系統的安全性、穩定性和有效性進行審計、檢查、評價并提出改進意見的過程，以降低企業日益面臨的信息系統風險，使得企業IT目標與業務目標保持一致并有效地發揮資源優勢，從而確保信息系統為企業提供增值效益服務。

隨著信息技術的飛速發展，高速公路“省域聯網一卡通”、“不停車收費”、“POS刷卡交費”、“全程監控”等先進的信息技術已在高速公路管理中得以廣泛應用，高速公路信息系統已實現網絡大型化、信息自動化。為此，企業需要定期對自身的信息系統進行全面和有效的審計，從而有效的控制因此導致的各種信息風險，如信息一致性風險、信息相關性風險和信息安全風險等。開展信息系統審計，提高控制信息風險的能力，對日益信息化的高速公路管理有著積極的意義。

高速公路管理中信息系統審計的作用主要有兩方面：一是鑒證作用。信息系統審計的鑒證價值指通過審計，合理地保證信息系統及其處理、產生的信息的真實性、完整性與可靠性，政策遵循的一貫性。這主要體現在高速公路收費管理中，對于高速公路不同路段分屬不同管理組織而產生拆賬業務的收費系統、“POS刷卡交費”系統、ETC不停車收費系統等尤其重要。二是促進作用。指通過信息系統審計可以促進企業改進內部控制，加強管理，提高信息系統實現企業目標的效率、效果。在高速公路管理中體現在通過IS審計，檢查IT目標與業務目標是否一致，資源是否得以充分利用，以提高信息系統的運行效益，實現企業資產的保值增值。

二、企業管理中信息系統審計的范圍及內容

信息系統審計范圍囊括與信息系統有關的所有領域，例如對企業的信息系統審計（主要集中在對信息技術的管理控制）、技術方面的信息系統審計（包括架構、數據中心、數據通信等）、應用的信息系統審計（包括經營、財務）、開發實施信息系統審計（包括需求識別、設計、開發以及實施后階段）和信息系統是否符合國家或國際標準的審計以及電子簽名審計業務等電子商務審計。

高速公路管理中的信息系統審計目前還處于探索階段，應該加快這一研究。從高速公路管理中信息系統的業務功能以及IS審計的范圍分析，高速公路管理中的IS審計主要包含以下內容：

1．系統規劃設計階段審計。高速公路管理中所應用的信息系統是為滿足管理需求而量身定做的，在規劃設計階段進行審計，是為檢查規劃目標與需求目標是否相符，檢查系統架構與發展戰略、政策是否相符，評估技術、資源及相關標準等實施條件是否滿足設計方案而進行的事前審計，是保證系統可行性、有效性的重要審計。

2．系統建設運營階段審計。該階段的審計主要是審計檢查信息系統技術基礎平臺中軟硬件的性能、兼容性、功能測試與系統設計要求是否一致，確保企業的IT目標滿足業務需求，檢查評估系統運行所可能面臨的安全風險及系統災難恢復與保證業務連續性的能力，對企業在保護系統安全、加強控制、預防內部員工的疏忽和外部黑客的入侵等方面的制度管理提供改進意見，是保證系統安全性、可靠性、功能完善性的重要審計。

3．關鍵系統的重點審計。高速公路管理信息系統大致包括通信、監控、收費、OA辦公、財務結算等子系統。其中，收費系統與財務結算系統是高速公路管理中的關鍵系統，必須嚴格確保信息數據的真實可靠。

三、企業管理中信息系統審計的體系建設和方法

信息系統審計的目標是對被審計信息系統可靠性、安全性和有效性作出鑒證并得出結論，其對象是被審計的信息系統。信息系統審計的方法較多，也有傳統的審計方法可以借鑒，高速公路管理中信息系統審計應結合自身信息系統的特點及實現的業務功能選取方法。

1．全面審計，也稱系統檢查。是一種常規的例行審計，每年或半年一次對信息系統進行全面的審計，通過符合性測試對信息系統進行全方位的檢查和評價，評估系統的運行狀況，向管理層和專業部門提出改進建議。高速公路信息系統包括多個子系統，內容復雜，系統龐大，同時隨著高速公路通車里程的增加，信息系統也會隨之擴容。利用全面審計方法，通過符合性測試進行系統檢查評價，可以對優化信息系統結構，提高信息系統運行穩定性提供建議。

2．專項審計。專項審計是針對信息系統管理的某一方面或某一子系統進行的專門審計，可根據實際需要有選擇的進行。如對高速公路信息系統中的監控系統進行部分功能性專項審計，可以對該系統在交通疏導、異常事件處置、應急指揮等安全管理中的運行情況進行評價、鑒定，提出管理建議和改進措施，對系統是否需要升級、改造等提出建設性意見。

3．風險評估。信息系統在運行過程中會面臨各種各樣的安全威脅，有來自組織內部的管理疏忽也有外部的非法入侵，還可能是系統本身潛在的邏輯錯誤帶來的。風險評估管理就是對重要的威脅運用安全控制措施加以應對，并在威脅與影響之間達到成本效益平衡。風險評估是提高信息系統自身技術安全系數的重要IS審計方法。

4．數據檢測法。在符合性測試或實質性測試階段可以使用數據檢測法進行連續跟蹤審計。通常設計好一批檢測數據，并對檢測數據進行特殊的標記，在被審計系統中進行處理，與預期結果進行比較。運用數據檢測法，適宜采用連續跟蹤審計，抽樣審計不易發現潛在的邏輯錯誤和風險。

5．S內部控制審計。也稱IS治理，是在審計過程中對信息系統內部控制進行審計，通常運用實地觀察、座談、審核系統的文檔資料等方法，然后用流程圖法對內部控制進行描述，用測試法對內部控制進行評價。

四、結束語

信息系統在企業管理中的應用不僅提高了企業的管理與服務水平，而且獲得了巨大的經濟和社會效益，信息系統已成為企業非常重要的資產。研究企業管理中的信息系統審計，旨在加強對信息系統安全與風險的控制，最大限度地提高信息系統資源的利用率，確保信息系統這一重要資產的保值增值，提高企業的投資、管理及經營效率效益，幫助企業獲取持續性的更大效益，加快這一研究勢在必行。

參考文獻：

[1]劉寶嶺，信息系統審計實務手冊[M].北京，2006.

[2]王進波，信息系統審計：現狀及發展對策[J].財政監督，2008 第4期.