信息系統(tǒng)審計(jì)簡(jiǎn)述

田佳林

一、信息系統(tǒng)審計(jì)的涵義

信息系統(tǒng)審計(jì)在發(fā)展初期也稱(chēng)為電子數(shù)據(jù)處理審計(jì)。關(guān)于信息系統(tǒng)的定義還未形成統(tǒng)一的認(rèn)識(shí)。筆者列舉了以下兩種主流的說(shuō)法：

一是美國(guó)信息系統(tǒng)審計(jì)權(quán)威專(zhuān)家威伯（RonWeber）教授對(duì)信息系統(tǒng)審計(jì)的定義：“收集證據(jù)并對(duì)所收集的證據(jù)進(jìn)行評(píng)價(jià)的一項(xiàng)活動(dòng)，以決定會(huì)計(jì)信息系統(tǒng)是否在最經(jīng)濟(jì)地使用資源的同時(shí)，實(shí)現(xiàn)了有效保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)等預(yù)期功能。”

二是國(guó)際信息系統(tǒng)審計(jì)和控制協(xié)會(huì)（ISACA）的定義：“信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程。”

信息系統(tǒng)審計(jì)雖然尚無(wú)一個(gè)統(tǒng)一明確的定義，但都體現(xiàn)了信息系統(tǒng)審計(jì)是“由審計(jì)機(jī)構(gòu)、審計(jì)人員對(duì)與被審單位經(jīng)營(yíng)活動(dòng)密切相關(guān)的信息系統(tǒng)的安全性、可靠性和有效性進(jìn)行檢查評(píng)估，并提出改進(jìn)意見(jiàn)的系列活動(dòng)”。

二、信息系統(tǒng)審計(jì)的目標(biāo)

信息系統(tǒng)審計(jì)的目標(biāo)主要是對(duì)信息系統(tǒng)真實(shí)性、完整性等六方面要素的評(píng)估、反饋保證及建議。

1.真實(shí)性。信息系統(tǒng)中的數(shù)據(jù)要真實(shí)地反映企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)。要通過(guò)數(shù)字簽名等一系列技術(shù)手段和保留不可更改記錄、定期審計(jì)等管理手段確保數(shù)據(jù)的真實(shí)性。

2.完整性。完整性信息具有不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成、存儲(chǔ)和傳輸。

3.合法性。系統(tǒng)在購(gòu)買(mǎi)、使用、開(kāi)發(fā)、更新、維護(hù)、轉(zhuǎn)移等過(guò)程中必須符合相關(guān)法律、法規(guī)、準(zhǔn)則、行規(guī)以及企業(yè)內(nèi)部的規(guī)定等。

4.安全性。安全性是指信息系統(tǒng)在遭受各種因素破壞的情況下，仍然能夠正常運(yùn)行的概率。威脅信息系統(tǒng)安全的因素有外部和內(nèi)部?jī)煞N。外部主要是黑客的入侵、病毒的攻擊、線(xiàn)路的偵聽(tīng)等，內(nèi)部主要是被授權(quán)的用戶(hù)訪(fǎng)問(wèn)和修改、刪除等操作。安全性是真實(shí)性的基礎(chǔ)之一。

5.可靠性。可靠性也是真實(shí)性的基礎(chǔ)之一，是指信息系統(tǒng)在遭受非人為因素破壞或人為差錯(cuò)影響的情況下仍然能夠正常運(yùn)行的概率。威脅信息系統(tǒng)可靠性的因素包括自然災(zāi)害對(duì)硬件和環(huán)境的破壞以及誤操作對(duì)軟件和硬件的破壞等。

6.效果和效率。效果是指應(yīng)用信息系統(tǒng)以后，企業(yè)在生產(chǎn)控制、管理質(zhì)量、提供產(chǎn)品和服務(wù)等方面發(fā)生的變化。效率是指信息系統(tǒng)的應(yīng)用在企業(yè)勞動(dòng)生產(chǎn)率的提高方面所起的作用。

三、信息系統(tǒng)審計(jì)的業(yè)務(wù)范圍

為了支持企業(yè)更有效運(yùn)營(yíng)和加強(qiáng)企業(yè)抵御風(fēng)險(xiǎn)的能力，信息系統(tǒng)需要完全地集成企業(yè)所有重要的過(guò)程和程序。所以，信息系統(tǒng)審計(jì)的業(yè)務(wù)范圍應(yīng)該包括以下幾個(gè)方面：

（1）信息系統(tǒng)的管理、規(guī)劃與組織——評(píng)價(jià)信息系統(tǒng)的管理、計(jì)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。

（2）信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)——評(píng)價(jià)組織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實(shí)施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標(biāo)。

（3）資產(chǎn)的保護(hù)——對(duì)邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià)，確保其能支持組織保護(hù)信息資產(chǎn)的需要，防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。

（4）災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃——這些計(jì)劃是在發(fā)生災(zāi)難時(shí)，能夠使組織的業(yè)務(wù)持續(xù)進(jìn)行，對(duì)這種計(jì)劃的建立和維護(hù)流程需要進(jìn)行評(píng)價(jià)。

（5）應(yīng)用系統(tǒng)開(kāi)發(fā)、獲得、實(shí)施與維護(hù)——對(duì)應(yīng)用系統(tǒng)的開(kāi)發(fā)、獲得、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評(píng)價(jià)，以確保其滿(mǎn)足組織的業(yè)務(wù)目標(biāo)。

（6）業(yè)務(wù)流程評(píng)價(jià)與風(fēng)險(xiǎn)管理——評(píng)估業(yè)務(wù)系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務(wù)目標(biāo)對(duì)相應(yīng)風(fēng)險(xiǎn)實(shí)施管理。

四、信息系統(tǒng)審計(jì)的業(yè)務(wù)活動(dòng)

一般來(lái)說(shuō)，信息系統(tǒng)審計(jì)的業(yè)務(wù)活動(dòng)可以按照信息系統(tǒng)的生命周期或內(nèi)部控制要求進(jìn)行安排。

（一）按照信息系統(tǒng)生命周期安排審計(jì)業(yè)務(wù)活動(dòng)

按照信息系統(tǒng)的生命周期，信息系統(tǒng)審計(jì)要求對(duì)信息系統(tǒng)從計(jì)劃、研發(fā)、實(shí)施到運(yùn)行維護(hù)各個(gè)過(guò)程進(jìn)行審查與評(píng)價(jià)，以審查企業(yè)信息系統(tǒng)是否安全、可靠、有效，保證信息系統(tǒng)得出準(zhǔn)確可靠的數(shù)據(jù)。信息系統(tǒng)生命周期審計(jì)的基本業(yè)務(wù)主要包括信息系統(tǒng)開(kāi)發(fā)審計(jì)和信息系統(tǒng)維護(hù)審計(jì)。

1.信息系統(tǒng)開(kāi)發(fā)審計(jì)。信息系統(tǒng)開(kāi)發(fā)審計(jì)包括對(duì)開(kāi)發(fā)過(guò)程、開(kāi)發(fā)方法、應(yīng)用開(kāi)發(fā)測(cè)試、系統(tǒng)功能實(shí)現(xiàn)等方面的審計(jì)。執(zhí)行信息系統(tǒng)開(kāi)發(fā)審計(jì)的人員需要明確信息系統(tǒng)開(kāi)發(fā)流程是否包括計(jì)劃、組織、監(jiān)控等內(nèi)容，系統(tǒng)開(kāi)發(fā)過(guò)程是否被劃分為子流程／階段，子流程／階段是否有明確的定義；評(píng)價(jià)所用的開(kāi)發(fā)方法是否恰當(dāng)，開(kāi)發(fā)過(guò)程中所用的測(cè)試是否充分，系統(tǒng)實(shí)現(xiàn)的功能是否與預(yù)定功能相符。信息系統(tǒng)開(kāi)發(fā)審計(jì)報(bào)告可以為信息系統(tǒng)開(kāi)發(fā)指導(dǎo)委員會(huì)及變化控制委員會(huì)提供咨詢(xún)服務(wù)。

2.信息系統(tǒng)維護(hù)審計(jì)。信息系統(tǒng)審計(jì)不應(yīng)該僅僅包括對(duì)開(kāi)發(fā)過(guò)程的審計(jì)，更重要的是對(duì)信息系統(tǒng)實(shí)施后運(yùn)行和維護(hù)過(guò)程的審計(jì)。其主要審計(jì)要求是：

（1）確定是否有維護(hù)計(jì)劃，維護(hù)工作是否得到負(fù)責(zé)人的批準(zhǔn)，系統(tǒng)是否按照維護(hù)計(jì)劃進(jìn)行了維護(hù)；

（2）確認(rèn)是否存在未經(jīng)授權(quán)擅自修改或更改系統(tǒng)的問(wèn)題；

（3）確定維護(hù)工作是否保護(hù)了應(yīng)用程序，并使程序庫(kù)不受非法訪(fǎng)問(wèn)；

（4）確定系統(tǒng)維護(hù)后是否經(jīng)過(guò)充分測(cè)試，用戶(hù)是否參與了系統(tǒng)維護(hù)后的測(cè)試工作；

（5）確定是否對(duì)每一次維護(hù)工作都有詳細(xì)的記錄；

（6）確定系統(tǒng)維護(hù)后文檔資料是否及時(shí)更新。

（二）按照信息系統(tǒng)內(nèi)部控制要求安排審計(jì)業(yè)務(wù)活動(dòng)

建立、健全內(nèi)部控制是被審計(jì)單位規(guī)范、強(qiáng)化內(nèi)部管理的重要手段，信息系統(tǒng)控制是企業(yè)內(nèi)部控制的重要組成部分。信息系統(tǒng)控制是一個(gè)單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務(wù)活動(dòng)的有效進(jìn)行，保護(hù)資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯(cuò)誤與舞弊，合理確保信息系統(tǒng)提供信息的真實(shí)、合法、完整而制定和實(shí)施的一系列政策與程序措施。信息系統(tǒng)內(nèi)部控制審計(jì)可以分為信息系統(tǒng)一般控制審計(jì)和信息系統(tǒng)應(yīng)用控制審計(jì)。

1.信息系統(tǒng)一般控制審計(jì)。信息系統(tǒng)一般控制是應(yīng)用于一個(gè)單位信息系統(tǒng)全部或較大范圍，其基本目標(biāo)是保證數(shù)據(jù)安全、保護(hù)計(jì)算機(jī)應(yīng)用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的持續(xù)運(yùn)行。

2.信息系統(tǒng)應(yīng)用控制審計(jì)。信息系統(tǒng)應(yīng)用控制是對(duì)具體應(yīng)用系統(tǒng)的控制，每一個(gè)具體的應(yīng)用程序所要解決的問(wèn)題是不同的，所涉及的數(shù)據(jù)和處理方法等均各具特點(diǎn)。針對(duì)這些具體的應(yīng)用程序所進(jìn)行的有針對(duì)性的控制，就是應(yīng)用控制。應(yīng)用控制又分為輸入控制、計(jì)算機(jī)處理與數(shù)據(jù)文件控制和輸出控制。

五、信息系統(tǒng)審計(jì)過(guò)程及具體任務(wù)

審計(jì)過(guò)程是審計(jì)工作從開(kāi)始到結(jié)束的整個(gè)過(guò)程，可以分為計(jì)劃階段、實(shí)施階段和報(bào)告階段。

（一）計(jì)劃階段

計(jì)劃階段的主要任務(wù)包括：

1.調(diào)查被審單位的基本情況，初步評(píng)價(jià)固有風(fēng)險(xiǎn)。審計(jì)人員首先應(yīng)了解被審單位的基本情況。需要了解的基本情況包括：第一，被審單位的業(yè)務(wù)性質(zhì)和生產(chǎn)經(jīng)營(yíng)情況。第二，被審單位的組織結(jié)構(gòu)和管理水平。第三，被審單位信息系統(tǒng)一般情況，即信息系統(tǒng)的結(jié)構(gòu)，所使用的軟硬件和網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境。第四，被審單位應(yīng)用系統(tǒng)及其所處理的交易和事項(xiàng)的類(lèi)型。

2.調(diào)查被審單位信息系統(tǒng)的內(nèi)部控制，評(píng)價(jià)控制風(fēng)險(xiǎn)。在計(jì)劃階段，審計(jì)人員應(yīng)了解被審單位的內(nèi)部控制特別是信息系統(tǒng)內(nèi)部控制，對(duì)內(nèi)部控制的健全和有效性進(jìn)行評(píng)估，初步確定控制風(fēng)險(xiǎn)的大小。

3.評(píng)估審計(jì)風(fēng)險(xiǎn)，確定重要性水平。為了合理使用審計(jì)資源，有效地實(shí)現(xiàn)審計(jì)目標(biāo)，在制定審計(jì)計(jì)劃時(shí)審計(jì)人員應(yīng)評(píng)估審計(jì)風(fēng)險(xiǎn)，確定重要性水平。重要性水平是指在審計(jì)事項(xiàng)中，能夠容忍出現(xiàn)差錯(cuò)的程度和大小。

4.編制審計(jì)計(jì)劃。在對(duì)被審單位的風(fēng)險(xiǎn)進(jìn)行初步評(píng)估，確定重要性水平后，審計(jì)人員應(yīng)當(dāng)編制審計(jì)計(jì)劃。審計(jì)計(jì)劃的內(nèi)容包括：被審單位的基本情況、審計(jì)的范圍和重點(diǎn)、審計(jì)的步驟和時(shí)間安排、審計(jì)人員分工、所運(yùn)用的信息系統(tǒng)審計(jì)方法、審計(jì)中應(yīng)當(dāng)注意的事項(xiàng)和其他內(nèi)容等。

（二）實(shí)施階段

實(shí)施階段是根據(jù)計(jì)劃階段確定的范圍、重點(diǎn)、步驟和方法，進(jìn)行有針對(duì)性的評(píng)價(jià)，并形成審計(jì)結(jié)論的過(guò)程，主要由符合性測(cè)試和實(shí)質(zhì)性測(cè)試兩個(gè)階段構(gòu)成。

1.實(shí)施符合性測(cè)試。符合性測(cè)試的目的是檢查內(nèi)部控制措施是否健全有效。審計(jì)人員需要對(duì)被審單位的控制系統(tǒng)進(jìn)行識(shí)別、測(cè)試和評(píng)價(jià)。審計(jì)人員通過(guò)與相關(guān)人員面談、設(shè)計(jì)調(diào)查問(wèn)卷以及查閱信息系統(tǒng)和控制系統(tǒng)說(shuō)明文件等方法，識(shí)別被審單位的控制系統(tǒng)以及控制環(huán)境，并將調(diào)查情況記錄在審計(jì)工作底稿中。

2.實(shí)施實(shí)質(zhì)性測(cè)試。實(shí)質(zhì)性測(cè)試是對(duì)信息系統(tǒng)控制進(jìn)行的詳細(xì)測(cè)試，以獲得這些控制在審計(jì)期間是否真實(shí)存在并合法有效的審計(jì)證據(jù)。實(shí)質(zhì)性測(cè)試主要通過(guò)測(cè)試必要的數(shù)據(jù)，對(duì)信息系統(tǒng)達(dá)到特定的控制目標(biāo)的程度進(jìn)行評(píng)價(jià)。

（三）報(bào)告階段

在審計(jì)報(bào)告階段，審計(jì)人員應(yīng)運(yùn)用專(zhuān)業(yè)判斷，綜合收集到的相關(guān)證據(jù)，以經(jīng)過(guò)核實(shí)的審計(jì)證據(jù)為依據(jù)，形成審計(jì)意見(jiàn)，出具審計(jì)報(bào)告。審計(jì)報(bào)告中除了對(duì)被審單位信息系統(tǒng)的安全性、可靠性、有效性發(fā)表審計(jì)意見(jiàn)之外，還針對(duì)信息系統(tǒng)內(nèi)部控制和管理等方面的問(wèn)題提出相關(guān)的建議。

在正式發(fā)布審計(jì)報(bào)告之前，審計(jì)人員還應(yīng)考慮其后面事項(xiàng)的影響。在現(xiàn)場(chǎng)審計(jì)工作結(jié)束日到發(fā)布審計(jì)報(bào)告日之間一般都會(huì)有一段時(shí)間，審計(jì)人員應(yīng)考慮在此期間被審單位及其信息系統(tǒng)是否發(fā)生導(dǎo)致重大變化的事項(xiàng)。