企業(yè)信息系統(tǒng)審計(jì)工作實(shí)施的難點(diǎn)及解決措施

魏小龍

摘要：隨著信息化建設(shè)的深入推進(jìn)，企業(yè)管理層越來(lái)越重視信息系統(tǒng)的審計(jì)，但由于信息系統(tǒng)構(gòu)成要素多，運(yùn)行環(huán)境復(fù)雜等原因，使得審計(jì)工作的實(shí)施面l陸不少難題，通過(guò)對(duì)信息系統(tǒng)審計(jì)特點(diǎn)和實(shí)際困難的歸納分析，提出應(yīng)當(dāng)采取的解決措施。

關(guān)鍵詞：信息系統(tǒng)審計(jì)；信息化；企業(yè)

企業(yè)信息化程度的提高，給企業(yè)管理帶來(lái)了許多便利與效益，而在當(dāng)今信息安全問(wèn)題突出的環(huán)境中，企業(yè)管理者越來(lái)越清晰地認(rèn)識(shí)到審計(jì)工作必須充分考慮信息系統(tǒng)本身的安全性和可靠性，評(píng)價(jià)信息系統(tǒng)運(yùn)營(yíng)與組織目標(biāo)的一致性。但傳統(tǒng)審計(jì)的理論和方法已經(jīng)不能滿足需要，如何有效地開(kāi)展信息系統(tǒng)審計(jì)成為不容回避的現(xiàn)實(shí)問(wèn)題。

一、信息系統(tǒng)審計(jì)的內(nèi)涵及特點(diǎn)

信息系統(tǒng)審計(jì)是專業(yè)審計(jì)人員根據(jù)標(biāo)準(zhǔn)，針對(duì)信息系統(tǒng)的安全性、可靠性和有效性實(shí)施審計(jì)并發(fā)表意見(jiàn)，向信息系統(tǒng)對(duì)象的最高領(lǐng)導(dǎo)提出一系列建議的活動(dòng)。其核心是強(qiáng)化企業(yè)內(nèi)部控制，實(shí)現(xiàn)信息系統(tǒng)運(yùn)作與組織目標(biāo)的一致性。信息系統(tǒng)審計(jì)在目標(biāo)、對(duì)象、內(nèi)容和方法方面，與傳統(tǒng)審計(jì)相比有如下特點(diǎn)：

1.信息系統(tǒng)審計(jì)目標(biāo)更寬，除了傳統(tǒng)審計(jì)的目標(biāo)之外，還包括信息資產(chǎn)的安全性、系統(tǒng)的可靠性及有效性等。

2.信息系統(tǒng)審計(jì)的對(duì)象更復(fù)雜，從系統(tǒng)生命周期看，審計(jì)的對(duì)象涵蓋了信息系統(tǒng)從開(kāi)發(fā)、運(yùn)行、維護(hù)到停用的全生命周期的各種業(yè)務(wù)；從橫向角度看，它包含了軟硬件的獲取審計(jì)、應(yīng)用程序?qū)徲?jì)、安全審計(jì)等。因此，信息系統(tǒng)審計(jì)將審計(jì)對(duì)象從財(cái)務(wù)范疇擴(kuò)展到了同經(jīng)營(yíng)活動(dòng)有關(guān)的一切信息系統(tǒng)。

3.信息系統(tǒng)審計(jì)通過(guò)獲取證據(jù)來(lái)判斷信息系統(tǒng)是否能保證資產(chǎn)安全和組織目標(biāo)的實(shí)現(xiàn)，是一種基于風(fēng)險(xiǎn)的理論和方法，其內(nèi)容包括企業(yè)風(fēng)險(xiǎn)管理的整體框架，內(nèi)部環(huán)境的控制，風(fēng)險(xiǎn)識(shí)別、評(píng)估與處置等。

二、信息系統(tǒng)審計(jì)的工作難點(diǎn)

由信息系統(tǒng)審計(jì)的內(nèi)涵和特點(diǎn)可以看出，由于信息系統(tǒng)構(gòu)成要素的復(fù)雜性以及信息系統(tǒng)所處的生命周期不同等原因，使得信息系統(tǒng)審計(jì)工作的實(shí)施存在不少難點(diǎn)。

1.缺乏復(fù)合型專業(yè)人員。由于信息系統(tǒng)的技術(shù)性較強(qiáng)和現(xiàn)實(shí)的信息系統(tǒng)種類繁多，層次不一，對(duì)從業(yè)人員來(lái)說(shuō)，需要具備復(fù)合型的專業(yè)要求。具體地說(shuō)，信息系統(tǒng)審計(jì)人員要有足夠的信息系統(tǒng)的運(yùn)維經(jīng)驗(yàn)，要經(jīng)過(guò)多方面崗位的鍛煉才能培養(yǎng)起來(lái)。而一般的財(cái)務(wù)審計(jì)人員難以對(duì)信息系統(tǒng)進(jìn)行了解和評(píng)價(jià)。在不少企業(yè)，之前沒(méi)有專門的信息系統(tǒng)運(yùn)維和風(fēng)險(xiǎn)評(píng)估人員，實(shí)施信息系統(tǒng)審計(jì)的基礎(chǔ)薄弱，現(xiàn)有人員難勝任，專業(yè)人員培養(yǎng)需要較長(zhǎng)周期，從而造成工作人員比較缺乏的狀況。

2.計(jì)算機(jī)處理環(huán)境復(fù)雜。信息系統(tǒng)的構(gòu)成要素包括硬件支持，系統(tǒng)軟件，網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)以及應(yīng)用系統(tǒng)等多個(gè)方面，審計(jì)工作與繁雜的業(yè)務(wù)流程緊密相連，為了有效開(kāi)展信息系統(tǒng)審計(jì)，需要摸清其中的許多環(huán)節(jié)，要有科學(xué)完整的證據(jù)采集體系，需要設(shè)計(jì)以風(fēng)險(xiǎn)導(dǎo)向的企業(yè)級(jí)的控制反饋系統(tǒng)，還必須驗(yàn)證這個(gè)控制系統(tǒng)的有效，而在復(fù)雜的處理環(huán)境中做到這些無(wú)疑是比較困難的。

3.電子數(shù)據(jù)安全風(fēng)險(xiǎn)較高。在傳統(tǒng)手工信息處理占較大比重的環(huán)境下，數(shù)據(jù)的安全性問(wèn)題不是審計(jì)的重要內(nèi)容，而如今信息系統(tǒng)的數(shù)據(jù)安全卻面臨越來(lái)越多來(lái)自內(nèi)部和外部的威脅，電子數(shù)據(jù)的安全關(guān)系到多方切身利益，成為審計(jì)的首要問(wèn)題。另外，在手工環(huán)境下，審計(jì)線索的來(lái)源關(guān)系較為清晰，安全屬性明確，而電子數(shù)據(jù)記錄在磁盤等肉眼無(wú)法直接辨別的介質(zhì)上，還存在易修改特性，從而其安全風(fēng)險(xiǎn)更高，給審計(jì)工作開(kāi)展帶來(lái)挑戰(zhàn)。

三、解決措施

由上述可知，信息系統(tǒng)審計(jì)工作的組織實(shí)施面臨來(lái)自主觀和客觀多種因素的影響。根據(jù)難點(diǎn)分析，結(jié)合信息系統(tǒng)審計(jì)的要求，我們認(rèn)為應(yīng)從以下幾點(diǎn)人手采取措施。

1.培養(yǎng)專業(yè)人才隊(duì)伍。可以說(shuō)，信息系統(tǒng)審計(jì)工作急需一大批復(fù)合型的專業(yè)人才，我們采取多種措施，既做好現(xiàn)有在職人員針對(duì)性的選拔提高培訓(xùn)，也在高校的相關(guān)專業(yè)培養(yǎng)計(jì)劃中加入信息技術(shù)等新內(nèi)容的教學(xué)，直接培養(yǎng)專業(yè)所需的復(fù)合型人才。同時(shí)注意人才隊(duì)伍的多層次性，操作層面上工作人員與高層次審計(jì)人才的培養(yǎng)都要抓好。

2.建立基本數(shù)據(jù)采集和保障體系。根據(jù)企業(yè)長(zhǎng)期的經(jīng)營(yíng)戰(zhàn)略，確定應(yīng)用系統(tǒng)的開(kāi)發(fā)服務(wù)及維護(hù)需求，進(jìn)而制定信息系統(tǒng)的運(yùn)作監(jiān)督規(guī)則，定義數(shù)據(jù)的所有者，確定不同數(shù)據(jù)的安全級(jí)別，在不同部門負(fù)責(zé)的原始電子數(shù)據(jù)形成的同時(shí)做好確認(rèn)保存，形成完善的數(shù)據(jù)庫(kù)關(guān)聯(lián)體系，提供審計(jì)所需的線索和證據(jù)。此外，對(duì)系統(tǒng)資源的使用做好授權(quán)管理，所有修改都經(jīng)過(guò)授權(quán)，記錄系統(tǒng)的使用情況，確認(rèn)處理過(guò)程的準(zhǔn)確性，實(shí)現(xiàn)過(guò)程可控。

3.開(kāi)展信息系統(tǒng)安全測(cè)評(píng)。依據(jù)信息系統(tǒng)等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)，檢查評(píng)價(jià)企業(yè)的各項(xiàng)技術(shù)和管理方面的安全指標(biāo)是否做到。技術(shù)要求主要包括：在網(wǎng)絡(luò)安全方面檢查網(wǎng)絡(luò)訪問(wèn)控制，設(shè)備防護(hù)，網(wǎng)絡(luò)入侵防范等內(nèi)容，主機(jī)安全方面檢查身份鑒別，訪問(wèn)控制，乘0余信息保護(hù)，資源控制等，數(shù)據(jù)安全方面檢查數(shù)據(jù)完整性、保密性、備份與恢復(fù)等。管理方面的基本要求包括：設(shè)立或明確信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，針對(duì)信息系統(tǒng)的各類管理活動(dòng)，制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運(yùn)維管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程，對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核，對(duì)外部人員允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制。以上這些措施一般采取實(shí)地查驗(yàn)和檢測(cè)，調(diào)取日志等檔案材料，深度訪談等方式進(jìn)行。

四、結(jié)語(yǔ)

在信息化蓬勃發(fā)展的今天，企業(yè)信息系統(tǒng)的審計(jì)倍受重視，國(guó)際上也有不少成功實(shí)踐，但是新內(nèi)容與新方法的引入必定會(huì)讓企業(yè)面臨許多新考驗(yàn)，面對(duì)挑戰(zhàn)我們只能積極采取措施，使信息系統(tǒng)審計(jì)工作不斷發(fā)展完善，強(qiáng)化企業(yè)的內(nèi)部控制，做到安全、可靠、有效、經(jīng)濟(jì)地使用資源，實(shí)現(xiàn)信息系統(tǒng)運(yùn)作與企業(yè)戰(zhàn)略目標(biāo)的統(tǒng)一。