信息系統審計初探

[摘 要] 近年來，隨著計算機技術的不斷進步，信息系統已經廣泛深入地滲透到社會的各個領域，被審計單位高度依賴信息系統來提高工作效率和加強管理已成為必然。在這種形勢下，信息系統審計的必要性逐漸凸顯。本文對信息系統審計的特點、目標做了簡要介紹，并著重分析開展信息系統審計的流程。

[關鍵詞] 信息系統；審計；特點；目標；流程

[中圖分類號] F239.1 [文獻標識碼] A [文章編號] 1673 - 0194（2013）03- 0029- 03

進入21世紀，隨著計算機技術的不斷進步，以計算機為核心的信息系統得到了迅猛發展，信息系統也廣泛深入地滲透到社會的各個領域。被審計單位高度依賴信息系統來提高工作效率和加強管理已成為必然。信息系統作為被審計單位的主要資源，它的安全性、可靠性、有效性和效率性必須得到充分的保障。因此，信息系統審計便應運而生。

1 信息系統審計的含義及特點

信息系統審計是指根據公認的標準和指導規范，對信息系統從規劃、實施到運行維護各個環節進行審查評價，對信息系統及其業務應用的完整性、有效性、效率性、安全性等進行監測、評估和控制的過程以確定預定的業務目標得以實現，并提出一系列改進建議的管理活動。信息系統區別于傳統的手工審計，具有以下特點。

1.1 審計內容具有廣泛性

信息系統審計的對象是以計算機為核心的信息系統。在信息系統中，計算機按照設計好的程序自動處理數據，中間一般不再進行人工干預。這樣，系統的合法性、效益性、輸出結果的真實性不僅取決于輸入的數據、工作人員，還取決于計算機的硬件和軟件等。要確定系統的合法性、效益性、輸出結果的真實性，不僅要對輸出數據、工作人員、打印輸出的資料進行審查，而且還要對系統的硬件、系統軟件、應用軟件和數據文件進行審查，這些工作在傳統的手工審計中是沒有的。從生命周期看，信息系統審計覆蓋了信息系統從開發、運行、維護到報廢的全生命周期的各種業務。因此，信息系統的審計范圍要比傳統的手工審計更為廣泛。

1.2 審計線索具有隱蔽性和易逝性

在信息系統中，審計線索大部分存儲在介質上（例如硬盤），這些線索容易被更改、隱匿、轉移、偽造。在審計中，如果操作不當，很可能破壞系統的數據文件和程序，不僅銷毀了重要的審計線索，而且干擾了被審計單位的工作。

1.3 審計技術具有復雜性

首先，被審計單位的信息系統配備的計算機硬件、軟件有很大的差異。審計人員在審計過程中，要和信息系統的硬件和系統軟件打交道，這就增加了審計技術的復雜性。其次，被審計單位的業務規模和性質不同，所采用的數據處理及存儲方式也不同，審計所采用的方法、技術也不同。第三，不同被審計單位的應用軟件開發方式、所使用的程序設計語言也不同，其審計方法和技術也不同。

1.4 審計取證具有動態性

在很多被審計單位中，信息系統已經成為一個中樞系統，系統如果停止工作，將會直接影響被審計單位的經營管理活動。因此，信息系統審計，一般是在系統運行的過程中進行取證，審計人員在完成審計任務的同時，不能妨礙和干擾被審計單位系統的正常運行，這就給審計取證帶來一定的難度。

1.5 信息系統審計是事后、事前、事中審計的結合體

如信息系統在開發過程中，由審計人員介入所進行的審計屬于事中審計。此項審計相對于系統運行后而對其所進行的審計而言又可以看作是事前審計；信息系統運行后，對其在一定期間的運作情況所進行的審計則為事后審計。

2 信息系統審計目標

審計機關針對被審計單位信息系統開展審計，目的是揭示由于信息系統缺陷導致的信息安全風險、經濟安全風險，促進被審計單位加強信息化環境下的內部管理和控制，提高信息化建設項目的效益，同時保證審計所需數據的可靠性、可用性，降低審計風險。

2.1 保證信息系統的合規性和合法性

隨著信息系統在組織中的應用范圍日益擴大和應用水平日益提高，利用信息系統進行違法犯罪的可能性越來越大，手段也越來越隱蔽。在信息化環境下，被審計單位依賴于信息系統，通過對信息系統的輸入、處理、輸出及控制功能是否符合國家的法律、法規和有關部門的規章制度的審查，不僅可以有效地堵塞犯罪，而且可以避免國家和組織遭受由此帶來的損失。

2.2 保證數據的準確性

數據準確性是指數據能夠滿足規定的條件，防止錯誤信息的輸入和輸出，以及非授權狀態下修改信息所造成的無效操作和錯誤后果。各種復雜業務的出現對信息是否真實、完整提出了鑒證要求。如果數據完整性得不到保護，被審計單位就會失去競爭優勢。然而，維護數據的完整性需要成本，因此，要確保所獲收益大于所需的控制步驟的成本。信息系統審計有助于控制信息處理系統的風險，提高事務處理的完整性，實現組織目標。

2.3 保護資產的完整性

信息系統的資產包括硬件、軟件、數據文件、系統文檔等。由于重要的系統文檔、軟件、數據文件等資產一般集中存放在信息系統中，如果信息系統的運行出現故障，如服務器宕機、遭到木馬等病毒攻擊、業務資料被盜、系統突然發生死機等故障，會對被審計單位的資產保護造成巨大威脅。所以保護信息系統資產的完整性成為許多組織要達到的一個重要目標，也是信息系統審計追求的目標之一。

2.4 提高系統的有效性

系統的有效性是指系統能否達到預期的目標。有效性審計常在系統運行一段時間之后進行，以評估系統是否能夠實現既定的目標，這個評估為系統是否繼續運行或者進行某種程度的修改提供決策。有效性審計也可以在系統設計階段進行。信息系統審計從獨立、客觀、公正的第三方角度，以目標驅動，對信息的質量進行審查，對產生信息的系統、信息的產生過程及相應的內部控制進行評價、審計，審查業務數據并評估其完整性和可靠性，從而為管理者了解用戶的特征和決策環境提供了依據。

2.5 提高系統的效率性

系統的效率是指系統達到預定目標所消耗的資源。信息系統的效率主要取決于計算機硬件的配置和軟件設計的水平。硬件選擇要科學、合理、協調，不是越先進越好、越貴越好。軟件設計主要是指要在充分滿足業務需求的基礎上構造出高效的算法。

3 信息系統審計流程

信息系統審計有兩種組織方式：一種是將信息系統審計作為常規項目審計的一部分，是為整個審計項目的總體目標服務的。另一種是獨立立項的信息系統審計，直接針對信息系統進行審計，將信息系統本身的安全性、可靠性和有效性作為審計目標。不管哪種組織方式，其流程是相同的，分為準備階段、實施階段、報告階段。

3.1 準備階段

信息系統都是根據本單位業務流程開發出來的，因此，調查了解被審計單位的業務流程以及及信息系統基本情況應該作為審計工作的第一步。審計人員進入被審計單位了解信息系統開發使用情況、業務量大小和數據完整程度，以判斷是否適合開展信息系統審計以及風險大小。然后審計人員要明確審計目的，確定審計范圍和重點，制訂信息系統審計實施方案，確定所需的時間、人員和測試所需的軟件及硬件設備。在調查階段還可以預先進行數據庫分析工作，分析數據庫中表的結構以及字段名。這樣在正式實施審計時能夠節約時間、提高效率。

3.2 實施階段

在實施階段，審計人員的工作主要是采用相應的審計方法，對信息系統進行測試、分析，取得審計證據。其中的重點環節分為內部控制審計、應用程序審計和系統安全性審計等部分。

3.2.1 內部控制審計

為了對信息系統的內控制度進行評價，審計人員必須驗證內部控制制度是否合理，并取得審計證據，證明內控制度的完整性和有效性。（1）組織管理控制審計：檢查被審計單位信息系統的管理制度，了解被審計單位是否制定了完善的人員分工、業務授權和崗位職責分離制度，是否建立了內部監督和考核機制。（2）數據安全控制審計：檢查信息系統以及數據庫有無加密措施或是權限設置來控制未經授權的人員進行系統文件及數據的存取。（3）計算機病毒及控制審計：信息系統是否有良好的硬件和軟件措施來防止計算機病毒入侵，病毒軟件是否定期升級以及是否有漏洞掃描措施。（4）環境控制審計：實地檢查機房物理環境，審查是否為信息系統硬件設備提供必要的工作環境，保證設備正常運轉。（5）信息系統開發維護控制審計：審計人員應對系統的開發維護過程進行審查，應審查是否有立項申請報告，報告是否經過專家論證，審查是否有系統說明書對開發過程進行控制等。（6）災難恢復控制審計：檢查是否有系統災難恢復計劃，評估計劃的充分性和實效性。是否定期或在重要操作前對數據進行備份，是否有異地容災或備份設施，以減少意外導致損失的可能性。（7）數據處理控制：檢查應用程序的的輸入、處理和輸出控制是否健全有效。（8）應用程序控制：檢查程序編碼是否符合規章制度的規定，是否正確地進行了邏輯處理。

內部控制審計的主要方法包括：詢問法、檢查法、觀察法等。詢問法是指與被審計單位人員面對面交談、詢問有關情況以收集審計證據的方法；檢查法主要是檢查與信息系統有關的文檔，以了解信息系統的總體情況、控制情況以及開發設計情況等，并將檢查過程和結果記入工作底稿中；觀察法是審計人員對信息系統的物理環境、硬件設施和辦公場所，對信息系統的開發設計、構成和操作情況進行了解，對控制措施的實施進行實地查看的方法。

3.2.2 應用程序審計

程序是差錯和舞弊最容易發生的地方，只有通過對應用程序進行審計，才能對系統的合規性、合法性、正確性、有效性做出評價。應用程序審計方法包括：測試數據法 、程序編碼代碼檢查法、程序運行結果檢查法、平行模擬法、嵌入審計模塊法、虛擬實體法、受控處理法、受控再處理法和日志檢查法等。（1）測試數據法是指審計人員把預先設計好的檢測數據輸入到計算機中，讓被審計程序處理，觀察比較輸出是否與預期相符。（2）程序編碼檢查法是通過對被審程序的指令逐條來發現存在的問題，并對程序的合法性、能否完成預定功能及其質量進行評判的方法。（3）程序運行結果檢查法是指通過對系統輸出結果的檢查，來判斷信息系統處理功能的正確性和有效性。（4）平行模擬法是指審計人員自己或請計算機專業人員開發一個與被審計單位信息系統或程序模塊功能相同的模擬系統，將被審計單位的實際數據放入模擬系統中運行，觀察其輸出是否與被審計單位信息系統相一致。（5）嵌入審計模塊法是在被審計單位的信息系統中加入為執行特定的審計功能而設計的程序代碼，它可以在特定的條件下觸發，為審計人員提供有關數據和報告。（6）虛擬實體法是對測試數據法的改良，一般是在信息系統中建立虛擬的實體，然后將虛擬實體的有關數據與真實的數據一起輸入信息系統進行處理，最后將輸出結果與預期進行比較，確定信息系統的控制功能是否發生作用。（7）受控處理法是指審計人員在對被審計單位的真實業務數據在處理之前先進行核實，然后在被審計單位的信息系統中監督處理或親自處理，并將處理結果與預期結果進行比較分析，以判斷被審計單位的系統是否符合規定的要求。（8）受控再處理法是將已經由被審計單位處理過的數據，在審計人員的監督下，或由審計人員親自在相同的信息系統上再處理一次，將二次處理的結果相比較，判斷當前的信息系統程序是否符合既定要求。（9）日志檢查法是指通過對系統自動記錄日志的檢查來推測信息系統的處理和控制功能是否正常。

3.2.3 系統安全性審計

信息系統安全審計的內容有：數據庫安全審計、網絡安全審計和邏輯訪問控制審計。

數據庫安全是保證信息系統能夠正常運行的基礎，數據庫安全審計是系統安全性測試審計的一個重要環節。數據庫安全審計的重點是分析和測試數據庫數據的一致性、完整性，數據規劃的合理性，以及數據庫訪問的安全性。

網絡安全審計需要審查信息系統的數據在傳輸中是否完整、安全。檢查網絡是否有能力阻止黑客入侵、木馬攻擊，是否配備防火墻。是否有文件共享檢測、流量監測以及對異常流量的識別和報警，網絡設備運行的監測等。

邏輯訪問控制審計檢查是否只有被授權的用戶才能使用信息系統、訪問信息系統中的信息。比如檢查授權用戶密碼強度是否足夠，檢查操作人員是否進行分工，是否經過授權操作且只能操作特定模塊，用戶開設、終止、授權是否存在漏洞等。

3.3 報告階段

在報告階段，審計人員要按照審計實施方案要求，依據審計記錄和審計證據，評價信息系統的真實性、合法性、效益性和安全性，分析信息系統的控制缺失程度、風險水平、成因和責任，形成審計結論，提出改進信息系統控制、防范系統控制缺失產生審計風險的審計意見和建議。

信息系統審計作為一種全新的審計方式，是信息化發展到一定程度的必然結果。信息系統審計可以較好地從信息系統的角度發現舞弊問題和內控漏洞，使得審計內容不斷豐富完善。審計機關要想擔負起作為社會經濟運行的“免疫系統”的重要責任，就必須使信息系統審計有所作為。