淺議信息系統(tǒng)審計

馬小飛

摘 要 近年來，信息系統(tǒng)應(yīng)用越來越廣泛，用信息技術(shù)舞弊的風(fēng)險也在增加，信息系統(tǒng)審計勢在必行。本文回顧了信息系統(tǒng)審計的發(fā)展歷程，結(jié)合筆者多年來開展信息系統(tǒng)審計的經(jīng)驗，對信息系統(tǒng)審計的含義、目標(biāo)、內(nèi)容和方法進行了概括性的介紹，以期能對信息系統(tǒng)審計實務(wù)有所助力。

關(guān)鍵詞 信息系統(tǒng)審計 一般控制 應(yīng)用控制 項目管理

信息系統(tǒng)審計是伴隨著信息系統(tǒng)的發(fā)展而發(fā)展的，20世紀(jì)60年代以后，特別是會計電算化之后，信息系統(tǒng)審計萌芽，80年代，集成信息系統(tǒng)開始發(fā)展。此時，信息系統(tǒng)審計師成為一種職業(yè)，而現(xiàn)代意義上的信息系統(tǒng)審計產(chǎn)生于世紀(jì)之交。隨著計算機技術(shù)的進步，特別是互聯(lián)網(wǎng)的廣泛應(yīng)用，加之政府、企業(yè)對信息系統(tǒng)的依賴越來越高，利用信息技術(shù)舞弊的風(fēng)險也在增加，信息系統(tǒng)審計有了更加豐富的內(nèi)涵和外延。

一、信息系統(tǒng)審計的定義

國際信息系統(tǒng)審計協(xié)會（ISACA）對信息系統(tǒng)審計的定義：信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效地利用組織的資源并有效地實現(xiàn)組織目標(biāo)的過程。

我國審計署對信息系統(tǒng)審計的定義：國家審計機關(guān)依法對被審計單位信息系統(tǒng)的真實性、合法性、效益性和安全性進行檢查監(jiān)督的活動。

二、信息系統(tǒng)審計的目標(biāo)

信息系統(tǒng)審計目標(biāo)是通過檢查和評價被審計單位信息系統(tǒng)的安全性、有效性和經(jīng)濟性及系統(tǒng)數(shù)據(jù)的真實性、完整性，揭示信息系統(tǒng)存在的風(fēng)險和問題，提出完善信息系統(tǒng)控制、提高效率和效益的審計意見和建議，促進被審計單位完善信息系統(tǒng)的內(nèi)部管控、保障及其安全，增強信息系統(tǒng)建設(shè)項目的效益性，保證審計所需數(shù)據(jù)的可靠性和可用性，防范和控制審計風(fēng)險。

三、信息系統(tǒng)審計的內(nèi)容

信息系統(tǒng)審計內(nèi)容主要包括對一般控制和應(yīng)用控制的審計，國家審計機關(guān)開展的審計中通常還包含對項目管理的審計。

概括地說，一般控制包括信息系統(tǒng)總體控制，信息安全技術(shù)控制，信息安全管理控制；應(yīng)用控制包括信息系統(tǒng)業(yè)務(wù)流程，數(shù)據(jù)輸入、處理和輸出的控制，信息共享和業(yè)務(wù)協(xié)同；項目管理包括信息系統(tǒng)建設(shè)的經(jīng)濟性，信息系統(tǒng)建設(shè)管理，信息系統(tǒng)績效。

四、信息系統(tǒng)審計的方法

（一）一般控制審計

首先通過座談、查閱資料、實地觀察等方式，對信息系統(tǒng)的基本情況進行調(diào)查了解；在此基礎(chǔ)上，根據(jù)單位和系統(tǒng)的特點設(shè)計下發(fā)一般控制調(diào)查表，就被審計單位信息系統(tǒng)相關(guān)的制度、組織管理、機房環(huán)境、硬件環(huán)境、網(wǎng)絡(luò)環(huán)境、系統(tǒng)運用、數(shù)據(jù)備份與管理等多個方面進行調(diào)查；檢查被審計單位的信息系統(tǒng)戰(zhàn)略發(fā)展規(guī)劃和相關(guān)資料，評估信息系統(tǒng)規(guī)劃建設(shè)情況；檢查與信息系統(tǒng)相關(guān)聯(lián)的機構(gòu)設(shè)置情況及信息系統(tǒng)建設(shè)、運維等相關(guān)崗位設(shè)置、人員配置、崗位職責(zé)等情況及制度建立情況；進行內(nèi)部控制測試，并參考信息系統(tǒng)等級保護測評情況找出信息系統(tǒng)一般控制中的薄弱環(huán)節(jié)，設(shè)計信息系統(tǒng)的物理安全、主機安全、數(shù)據(jù)庫安全的具體評測方案，并據(jù)此進行實質(zhì)性審查，實地觀察被審計單位的機房，查閱相關(guān)資料，在確保被審計單位信息系統(tǒng)數(shù)據(jù)安全的前提下，對運載信息系統(tǒng)的主機及數(shù)據(jù)庫進行測試，并將以上具體的現(xiàn)場審計方式、結(jié)論等，編制現(xiàn)場審計記錄表，由雙方簽字確認(rèn)；檢查被審計單位的網(wǎng)絡(luò)拓撲圖，了解網(wǎng)絡(luò)環(huán)境，現(xiàn)場查驗測試網(wǎng)絡(luò)安全設(shè)備及網(wǎng)絡(luò)安全措施，利用成熟的軟件工具和通過相關(guān)認(rèn)證的設(shè)備對網(wǎng)絡(luò)安全進行掃描。

（二）應(yīng)用控制審計

要求被審計單位協(xié)助搭建測試環(huán)境，部署測試數(shù)據(jù)庫，在信息系統(tǒng)中建立具有全功能查詢導(dǎo)出權(quán)限的審計臨時用戶，經(jīng)授權(quán)后接入單位內(nèi)網(wǎng)，登錄信息系統(tǒng)，對各系統(tǒng)的功能進行測試；檢查信息系統(tǒng)的項目需求書及流程設(shè)計文件，繪制或者查閱信息系統(tǒng)的業(yè)務(wù)流程圖，加深對信息系統(tǒng)結(jié)構(gòu)和承載業(yè)務(wù)流程的理解，分析信息系統(tǒng)的運行過程，關(guān)注信息系統(tǒng)控制節(jié)點和控制條件，追蹤業(yè)務(wù)樣本，對結(jié)果進行評估；取得被審計單位信息系統(tǒng)的數(shù)據(jù)庫備份和關(guān)鍵技術(shù)資料，對備份數(shù)據(jù)進行還原、清洗、整理，分析數(shù)據(jù)結(jié)構(gòu)、表間的關(guān)聯(lián)關(guān)系，運用平行模擬法對信息系統(tǒng)核心業(yè)務(wù)后臺整理生成的數(shù)據(jù)與信息系統(tǒng)前臺檢索的數(shù)據(jù)進行比對，判斷邏輯處理功能是否存在明顯缺陷，如果條件允許，可直接對部分核心功能的源代碼進行審查；用不同權(quán)限的用戶登錄系統(tǒng)，查看系統(tǒng)的職責(zé)分離等必要控制情況；設(shè)計專門的測試數(shù)據(jù)，在系統(tǒng)中模擬業(yè)務(wù)處理的部分過程或全過程，并將測試數(shù)據(jù)的模擬處理結(jié)果與預(yù)期處理結(jié)果進行比對；與應(yīng)用信息系統(tǒng)相關(guān)人員進行座談并下發(fā)調(diào)查問卷，詢問他們業(yè)務(wù)流程、數(shù)據(jù)輸入、處理、輸出的相關(guān)情況，進一步了解系統(tǒng)的功能、業(yè)務(wù)處理流程，以及系統(tǒng)是否方便、有效，數(shù)據(jù)是否準(zhǔn)確、完整；對信息系統(tǒng)前臺導(dǎo)出數(shù)據(jù)進行分析，對數(shù)據(jù)的規(guī)范性、完整性，報表的準(zhǔn)確性進行審查。

（三）項目管理審計

檢查信息系統(tǒng)項目建議書、可行性研究報告、項目需求報告、投標(biāo)單位的響應(yīng)文件，詢問相關(guān)人員并登錄系統(tǒng)查驗確認(rèn)交付成果與建設(shè)目標(biāo)的符合程度；了解系統(tǒng)服務(wù)對象使用信息系統(tǒng)情況，了解核心業(yè)務(wù)對系統(tǒng)的依賴程度，編制信息系統(tǒng)項目管理調(diào)查表、信息系統(tǒng)使用情況調(diào)查表、信息系統(tǒng)滿意度調(diào)查表，對使用信息系統(tǒng)的內(nèi)部和外部進行調(diào)查，收集到調(diào)查結(jié)論后，再進一步延伸落實；設(shè)計指標(biāo)評價體系，根據(jù)信息系統(tǒng)建設(shè)、培訓(xùn)、升級、運維等投入，以及信息系統(tǒng)的運行情況和使用情況，整體評估信息系統(tǒng)的經(jīng)濟性。

五、幾點建議

第一，一般控制審計專業(yè)性強，全面開展難度較大，可聘用具有專業(yè)資格的人員協(xié)助開展，或征得被審計單位同意后，聘用有資質(zhì)的公司獨立審查，并出具審查結(jié)論。

第二，調(diào)查表是一種簡單、直接、高效的方式，可在審計中多次使用，并根據(jù)情況適時完善，統(tǒng)籌分析，有助于提高審計效率。

第三，信息系統(tǒng)審計內(nèi)涵非常豐富，實務(wù)中不要面面俱到，應(yīng)根據(jù)單位、系統(tǒng)特點和參審人員情況，合理選擇審計的重點和方法。

（作者單位為東營市審計局）

參考文獻

[1] 石愛中，周德銘，王智玉，楊蘊儀.信息系統(tǒng)審計實務(wù)[M].北京：中國時代經(jīng)濟出版社，2012.

[2] 吳桂英，唐志豪，馮占國.信息系統(tǒng)審計理論與實務(wù)[M].北京：清華大學(xué)出版社，2012.endprint