信息系统审计简述

信息系统审计简述 前言 信息系统审计是审计行业的一个特殊领域。未来审计行业和审计技术 的发展动力将主要来自信息系统审计的发展，这一观点已经逐渐在国外会 计界、审计界形成共识。本文通过对信息系统评价审计的涵义、目标、业 务范围、业务活动和具体任务等方面的阐述，使读者对信息系统审计形成 初步的认识。 关键词：信息系统 审计 一、信息系统审计的涵义 信息系统审计在发展初期也称为电子数据处理审计。关于信息系统的 定义还未形成统一的认识。笔者列举了以下两种主流的说法： 一是美国信息系统审计权威专家威伯（RonWeber）教授对信息系统审 计的定义：“收集证据并对所收集的证据进行评价的一项活动，以决定会 计信息系统是否在最经济地使用资源的同时，实现了有效保护资产、维护 数据完整、完成组织目标等预期功能。” 二是国际信息系统审计和控制协会（ISACA）的定义：“信息系统审 计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、 数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。 ” 2 信息系统审计虽然尚无一个统一明确的定义，但都体现了信息系统审 计是“由审计机构、审计人员对与被审单位经营活动密切相关的信息系统 的安全性、可靠性和有效性进行检查评估，并提出改进意见的系列活动”。 二、信息系统审计的目标 信息系统审计的目的，是通过实施信息系统审计工作，对组织是否达 成信息技术管理目标进行综合评价，并基于评价意见提出管理建议，协助 组织信息技术管理人员有效地履行其受托责任，以达成提高组织所依赖信 息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性，提高信 息系统运行的效果与效率，合理保证信息系统的运行符合法律法规及监管 的相关要求。所以，信息系统审计的目标主要是对信息系统真实性、完整 性等六方面要素的评估、反馈保证及建议。 1真实性。信息系统中的数据要真实地反映企业的生产经营活动。 要通过数字签名等一系列技术手段和保留不可更改记录、定期审计等管理 手段确保数据的真实性。 2完整性。完整性信息具有不被偶然或蓄意地删除、修改、伪造、 乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性， 它要求保持信息的原样，即信息的正确生成、存储和传输。 3合法性。系统在购买、使用、开发、更新、维护、转移等过程中 必须符合相关法律、法规、准则、行规以及企业内部的规定等。 4安全性。安全性是指信息系统在遭受各种因素破坏的情况下，仍 然能够正常运行的概率。威胁信息系统安全的因素有外部和内部两种。外 3 部主要是黑客的入侵、病毒的攻击、线路的侦听等，内部主要是被授权的 用户访问和修改、删除等操作。安全性是真实性的基础之一。 5可靠性。可靠性也是真实性的基础之一，是指信息系统在遭受非 人为因素破坏或人为差错影响的情况下仍然能够正常运行的概率。威胁信 息系统可靠性的因素包括自然灾害对硬件和环境的破坏以及误操作对软件 和硬件的破坏等。 6效果和效率。效果是指应用信息系统以后，企业在生产控制、管 理质量、提供产品和服务等方面发生的变化。效率是指信息系统的应用在 企业劳动生产率的提高方面所起的作用。 三、信息系统审计的业务范围 为了支持企业更有效运营和加强企业抵御风险的能力，信息系统需要 完全地集成企业所有重要的过程和程序。所以，信息系统审计的业务范围 应该包括以下几个方面： （1）信息系统的管理、规划与组织评价信息系统的管理、计划与 组织方面的策略、政策、标准、程序和相关实务。 （2）信息系统技术基础设施与操作实务评价组织在技术与操作基 础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的商业 目标。 （3）资产的保护对逻辑、环境与信息技术基础设施的安全性进行 评价，确保其能支持组织保护信息资产的需要，防止信息资产在未经授权 的情况下被使用、披露、修改、损坏或丢失。 4 （4）灾难恢复与业务持续计划这些计划是在发生灾难时，能够使 组织的业务持续进行，对这种计划的建立和维护流程需要进行评价。 (5）应用系统开发、获得、实施与维护对应用系统的开发、获得、 实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务 目标。 (6）业务流程评价与风险管理评估业务系统与处理流程，确保根据 组织的业务目标对相应风险实施管理。 四、信息系统审计的业务活动 一般来说，信息系统审计的业务活动可以按照信息系统的生命周期或 内部控制要求进行安排。 （一）按照信息系统生命周期安排审计业务活动 按照信息系统的生命周期，信息系统审计要求对信息系统从计划、研 发、实施到运行维护各个过程进行审查与评价，以审查企业信息系统是否 安全、可靠、有效，保证信息系统得出准确可靠的数据。信息系统生命周 期审计的基本业务主要包括信息系统开发审计和信息系统维护审计。 1信息系统开发审计。 信息系统开发审计包括对开发过程、开发方法、应用开发测试、系统 功能实现等方面的审计。执行信息系统开发审计的人员需要明确信息系统 开发流程是否包括计划、组织、监控等内容，系统开发过程是否被划分为 子流程阶段，子流程阶段是否有明确的定义；评价所用的开发方法是 否恰当，开发过程中所用的测试是否充分，系统实现的功能是否与预定功 5 能相符。信息系统开发审计报告可以为信息系统开发指导委员会及变化控 制委员会提供咨询服务。 2信息系统维护审计。信息系统审计不应该仅仅包括对开发过程的 审计，更重要的是对信息系统实施后运行和维护过程的审计。其主要审计 要求是： （1）确定是否有维护计划，维护工作是否得到负责人的批准，系统 是否按照维护计划进行了维护； （2）确认是否存在未经授权擅自修改或更改系统的问题； （3）确定维护工作是否保护了应用程序，并使程序库不受非法访问； （4）确定系统维护后是否经过充分测试，用户是否参与了系统维护 后的测试工作； （5）确定是否对每一次维护工作都有详细的记录； （6）确定系统维护后文档资料是否及时更新。 （二）按照信息系统内部控制要求安排审计业务活动 建立、健全内部控制是被审计单位规范、强化内部管理的重要手段， 信息系统控制是企业内部控制的重要组成部分。信息系统控制是一个单位 在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完 整，防止、发现、纠正错误与舞弊，合理确保信息系统提供信息的真实、 合法、完整而制定和实施的一系列政策与程序措施。信息系统内部控制审 计可以分为信息系统一般控制审计 和信息系统应用控制审计。 6 1信息系统一般控制审计。信息系统一般控制是应用于一个单位信 息系统全部或较大范围，其基本目标是保证数据安全、保护计算机应用程 序、防止系统被非法侵人、保证在意外中断情况下的持续运行。 2信息系统应用控制审计。信息系统应用控制是对具体应用系统的 控制，每一个具体的应用程序所要解决的问题是不同的，所涉及的数据和 处理方法等均各具特点。针对这些具体的应用程序所进行的有针对性的控 制，就是应用控制。应用控制又分为输人控制、计算机处理与数据文件控 制和输出控制。 五、信息系统审计过程及具体任务 审计过程是审计工作从开始到结束的整个过程，可以分为计划阶段、 实施阶段和报告阶段。 （一）计划阶段。计划阶段的主要任务包括： 1调查被审单位的基本情况，初步评价固有风险。审计人员首先应 了解被审单位的基本情况。需要了解的基本情况包括：第一，被审单位的 业务性质和生产经营情况。第二，被审单位的组织结构和管理水平。第三， 被审单位信息系统一般情况，即信息系统的结构，所使用的软硬件和网络 设施以及运行环境。第四，被审单位应用系统及其所处理的交易和事项的 类型。 2调查被审单位信息系统的内部控制，评价控制风险。在计划阶段， 审计人员应了解被审单位的内部控制特别是信息系统内部控制，对内部控 制的健全和有效性进行评估，初步确定控制风险的大小。 3评估审计风险，确定重要性水平。为了合理使用审计资源，有效 7 地实现审计目标，在制定审计计划时审计人员应评估审计风险，确定重要 性水平。重要性水平是指在审计事项中，能够容忍出现差错的程度和大小。 4编制审计计划。在对被审单位的风险进行初步评估，确定重要性 水平后，审计人员应当编制审计计划。审计计划的内容包括：被审单位的 基本情况、审计的范围和重点、审计的步骤和时间安排、审计人员分工、 所运用的信息系统审计方法、审计中应当注意的事项和其他内容等。 （二）实施阶段 实施阶段是根据计划阶段确定的范围、重点、步骤和方法，进行有针 对性的评价，并形成审计结论的过程，主要由符合性测试和实质性测试两 个阶段构成。 1实施符合性测试。符合性测试的目的是检查内部控制措施是否健 全有效。审计人员需要对被审单位的控制系统进行识别、测试和评价。审 计人员通过与相关人员面谈、设计调查问卷以及查阅信息系统和控制系统 说明文件等方法，识别被审单位的控制系统以及控制环境，并将调查情况 记录在审计工作底稿中。 2实施实质性测试。实质性测试是对信息系统控制进行的详细测试， 以获得这些控制在审计期间是否真实存在并合法有效的审计证据。实质性 测试主要通过测试必要的数据，对信息系统达到特定的控制目标的程度进 行评价。 （三）报告阶段 在审计报告阶段，审计人员应运用专业判断，综合收集