淺議信息系統審計

馬小飛

摘 要 近年來，信息系統應用越來越廣泛，用信息技術舞弊的風險也在增加，信息系統審計勢在必行。本文回顧了信息系統審計的發展歷程，結合筆者多年來開展信息系統審計的經驗，對信息系統審計的含義、目標、內容和方法進行了概括性的介紹，以期能對信息系統審計實務有所助力。

關鍵詞 信息系統審計 一般控制 應用控制 項目管理

信息系統審計是伴隨著信息系統的發展而發展的，20世紀60年代以后，特別是會計電算化之后，信息系統審計萌芽，80年代，集成信息系統開始發展。此時，信息系統審計師成為一種職業，而現代意義上的信息系統審計產生于世紀之交。隨著計算機技術的進步，特別是互聯網的廣泛應用，加之政府、企業對信息系統的依賴越來越高，利用信息技術舞弊的風險也在增加，信息系統審計有了更加豐富的內涵和外延。

一、信息系統審計的定義

國際信息系統審計協會（ISACA）對信息系統審計的定義：信息系統審計是一個獲取并評價證據，以判斷計算機系統是否能夠保證資產的安全、數據的完整以及有效地利用組織的資源并有效地實現組織目標的過程。

我國審計署對信息系統審計的定義：國家審計機關依法對被審計單位信息系統的真實性、合法性、效益性和安全性進行檢查監督的活動。

二、信息系統審計的目標

信息系統審計目標是通過檢查和評價被審計單位信息系統的安全性、有效性和經濟性及系統數據的真實性、完整性，揭示信息系統存在的風險和問題，提出完善信息系統控制、提高效率和效益的審計意見和建議，促進被審計單位完善信息系統的內部管控、保障及其安全，增強信息系統建設項目的效益性，保證審計所需數據的可靠性和可用性，防范和控制審計風險。

三、信息系統審計的內容

信息系統審計內容主要包括對一般控制和應用控制的審計，國家審計機關開展的審計中通常還包含對項目管理的審計。

概括地說，一般控制包括信息系統總體控制，信息安全技術控制，信息安全管理控制；應用控制包括信息系統業務流程，數據輸入、處理和輸出的控制，信息共享和業務協同；項目管理包括信息系統建設的經濟性，信息系統建設管理，信息系統績效。

四、信息系統審計的方法

（一）一般控制審計

首先通過座談、查閱資料、實地觀察等方式，對信息系統的基本情況進行調查了解；在此基礎上，根據單位和系統的特點設計下發一般控制調查表，就被審計單位信息系統相關的制度、組織管理、機房環境、硬件環境、網絡環境、系統運用、數據備份與管理等多個方面進行調查；檢查被審計單位的信息系統戰略發展規劃和相關資料，評估信息系統規劃建設情況；檢查與信息系統相關聯的機構設置情況及信息系統建設、運維等相關崗位設置、人員配置、崗位職責等情況及制度建立情況；進行內部控制測試，并參考信息系統等級保護測評情況找出信息系統一般控制中的薄弱環節，設計信息系統的物理安全、主機安全、數據庫安全的具體評測方案，并據此進行實質性審查，實地觀察被審計單位的機房，查閱相關資料，在確保被審計單位信息系統數據安全的前提下，對運載信息系統的主機及數據庫進行測試，并將以上具體的現場審計方式、結論等，編制現場審計記錄表，由雙方簽字確認；檢查被審計單位的網絡拓撲圖，了解網絡環境，現場查驗測試網絡安全設備及網絡安全措施，利用成熟的軟件工具和通過相關認證的設備對網絡安全進行掃描。

（二）應用控制審計

要求被審計單位協助搭建測試環境，部署測試數據庫，在信息系統中建立具有全功能查詢導出權限的審計臨時用戶，經授權后接入單位內網，登錄信息系統，對各系統的功能進行測試；檢查信息系統的項目需求書及流程設計文件，繪制或者查閱信息系統的業務流程圖，加深對信息系統結構和承載業務流程的理解，分析信息系統的運行過程，關注信息系統控制節點和控制條件，追蹤業務樣本，對結果進行評估；取得被審計單位信息系統的數據庫備份和關鍵技術資料，對備份數據進行還原、清洗、整理，分析數據結構、表間的關聯關系，運用平行模擬法對信息系統核心業務后臺整理生成的數據與信息系統前臺檢索的數據進行比對，判斷邏輯處理功能是否存在明顯缺陷，如果條件允許，可直接對部分核心功能的源代碼進行審查；用不同權限的用戶登錄系統，查看系統的職責分離等必要控制情況；設計專門的測試數據，在系統中模擬業務處理的部分過程或全過程，并將測試數據的模擬處理結果與預期處理結果進行比對；與應用信息系統相關人員進行座談并下發調查問卷，詢問他們業務流程、數據輸入、處理、輸出的相關情況，進一步了解系統的功能、業務處理流程，以及系統是否方便、有效，數據是否準確、完整；對信息系統前臺導出數據進行分析，對數據的規范性、完整性，報表的準確性進行審查。

（三）項目管理審計

檢查信息系統項目建議書、可行性研究報告、項目需求報告、投標單位的響應文件，詢問相關人員并登錄系統查驗確認交付成果與建設目標的符合程度；了解系統服務對象使用信息系統情況，了解核心業務對系統的依賴程度，編制信息系統項目管理調查表、信息系統使用情況調查表、信息系統滿意度調查表，對使用信息系統的內部和外部進行調查，收集到調查結論后，再進一步延伸落實；設計指標評價體系，根據信息系統建設、培訓、升級、運維等投入，以及信息系統的運行情況和使用情況，整體評估信息系統的經濟性。

五、幾點建議

第一，一般控制審計專業性強，全面開展難度較大，可聘用具有專業資格的人員協助開展，或征得被審計單位同意后，聘用有資質的公司獨立審查，并出具審查結論。

第二，調查表是一種簡單、直接、高效的方式，可在審計中多次使用，并根據情況適時完善，統籌分析，有助于提高審計效率。

第三，信息系統審計內涵非常豐富，實務中不要面面俱到，應根據單位、系統特點和參審人員情況，合理選擇審計的重點和方法。

（作者單位為東營市審計局）

參考文獻

[1] 石愛中，周德銘，王智玉，楊蘊儀.信息系統審計實務[M].北京：中國時代經濟出版社，2012.

[2] 吳桂英，唐志豪，馮占國.信息系統審計理論與實務[M].北京：清華大學出版社，2012.endprint