当前位置:首页->交流->实务
信息系统审计初探
2009-03-05 09:51:43
“信息化环境下的内部审计”专题:
 
信息系统审计初探
 
魏金鹏
上海宝冶建设有限公司
 
    近年来,信息技术迅速发展,由信息技术所引发的全球信息化浪潮冲击着传统社会生活的每一个角落。信息技术的应用渗透到了各行各业,对现代社会的政治、经济和文化等方面都产生了巨大影响。信息技术在企业中的运用日益广泛和深入,会计电算化、管理信息系统(MIS)、企业信息系统(EIS)、企业资源规划(ERP)、客户关系管理(CRM)、电子商务(EC)、虚拟企业等概念和应用层出不穷。企业信息化促使企业的组织形式、管理体制、控制要点等等发生了重大的变化,管理人员越来越依赖于信息系统管理企业,电子商务正成为未来全球贸易的发展方向。但是,信息技术繁荣的同时,也给传统审计提出了挑战,例如:面对大量承载于网络和电子介质上的商业数据,传统的审计方法显得无所适从;大量的、需要保密的电子数据,对信息安全提出了更高的要求。在这种时代背景下,对以计算机为核心的信息系统进行审计为内容的信息系统审计开始受到人们的关注,信息系统审计正逐渐成为审计领域一重要组成部分。
 
一、信息系统审计的重要性
 
    央视新闻报道:2002年7月23日,首都机场因电脑系统故障,6000多人滞留机场,150多驾飞机延误,事故原因进一步调查中;2002年5月29日上午8时30分左右,南京火车站电脑售票系统突然发生死机故障,整个车站售票处于瘫痪状态,车站售票大厅内人满为患,众多旅客不得不改乘其它交通工具离开南京。车站领导和计算机技术人员告诉记者是由于电脑升级换代,调试时线路发生故障,才引发了此次系统瘫痪的……越来越多的传统企业大规模实施企业信息化,在提高企业效率的同时,也为企业带来种种困惑:网络经常掉线,服务器宕机,邮件发不出去,病毒肆虐,客户资料被盗等等。如何更好地加强内部控制,保护信息资产的安全、完整、真实,保证信息系统能有效地实现企业目标,是中国乃至整个世界在信息化进程中所必须要解决的问题。建立信息系统审计制度,发展信息系统审计是保证信息化顺利进展的重要手段。
    1.识别电子化数据的真实性、可靠性和完整性需要信息系统审计。电子政务及电子商务信息系统被电子化处理时,审查处理数据和评估其完整性和可靠性,对所处理数据进行实时控制和稽核,避免假账真审,已成为新形势下对审计人员极具挑战性的工作,如:电算化会计帐表审计的前提是:必须保证电子数据的“原始性”,即电子数据是真实、可靠的、可以作为有效数据来进行审计。
  2.评价信息系统的安全性需要信息系统审计。信息化的高度发展必然导致社会对信息化的高度依赖,信息系统的安全与社会的安全休戚相关。中国人民银行支付与科技司司长陈静指出:“…信息安全越来越成为银行信息化建设与管理中需要密切关注的问题。企业对信息安全的重视程度和资金投入,将逐渐从单一的产品和技术向整体解决方案过渡,同时从封闭式的设计、实施与管理,不断与完善的、具有适当资质的、独立的第三方审计相结合,这是未来发展的一个趋势。”因此,对信息系统的安全性进行审计尤为重要。一是对系统自身的技术安全系数方面进行的审计,如通信安全、防外部入侵技术措施等;二是对内部安全管理措施、控制机制的建立和完善及有效性进行的审计。在信息系统安全中,人是最活跃的因素,人的行为是信息安全保障最主要的方面。人特别是内部员工既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线,据有关统计资料表明,在所有的信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成得,有70%-80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题,单凭技术和产品是无法实现从“最大威胁”到“最可靠防线”转变的。从组织管理角度考虑有信息安全治理结构、安全方针政策程序、安全管理、安全教育与培训、组织文化、应急预案和业务持续性管理等问题。
  3.评价信息系统的运行效益需要信息系统审计。信息系统的建设一般来说投资大,风险高。信息系统的运行效益即系统的性价比,所谓性价比是指系统的性能与开发和维护系统的代价的比。正常情况下,信息系统的建设者追求的目标是性价比越高越好。我国正在大力发展信息技术,不论是政府部门还是企业,不同层次地应用计算机处理一些事务。不难发现,有相当一部分单位的信息管理系统呈现出投资大、维护成本高、功能不理想(甚至基本的需求都不能满足)、淘汰快的现象。也就是系统性价比低、生命周期短。有时,过低的系统性价比导致系统过早夭折。这些情况的发生,给国家造成人、财、物的极大浪费,其中不乏存在着腐败。为此,对信息系统的运行效益进行审计十分必要。
    4.维护信息时代市场经济秩序需要信息系统审计。市场经济是建立在信用基础上的,只有当产生信息的系统本身具有可靠性时,信息数据才是可信的,有用的。为各种电子信息提供鉴证,合理地督导被审计单位提供真实可靠的住息来保护有关各方的利益,以促进资本市场的有序发展,维护信息时代市场经济的秩序,降低风险等需要信息系统审计。
 
二、信息系统审计的定义
 
    随着全球信息化和审计理论的发展,信息系统审计逐渐引起人们的关注。但是到目前为止,国际上对信息系统审计还没有公认通用的定义。1985年日本通产省情报处理开发协会信息系统审计委员会定义为“所谓信息系统审计,是指由独立于审计对象的信息系统审计师对,站在客观的立场,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用和故障排除,使系统更加健全” ,11年后的1996年,该委员会对信息系统审计重新定义为“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导层,提出问题与建议的一连串的活动”。
    国际信息系统审计委员会(ISACA)将信息系统审计定义为“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标地过程”,该协会的专家 Ron Weber 定义为“搜集并评估证据,以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。这一定义既包括了信息系统的外部审计的鉴证目标,即对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审计的管理目标,即不仅包括被审计单位信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。
    所以信息系统审计所关注的内容不单纯是对电子数据的处理,更不仅仅是财务信息,而是对企业整个信息系统的可靠性、安全性和完整性进行了解和评价,是一项通过审查与评价信息系统的规划、开发、实施、运行和维护等一系列活动,以确定信息系统运行是否安全、可靠、有效,信息系统得出的数据是否可靠、准确以及数据是否能有效地存储的过程。
 
三、信息系统审计的内容
 
    国际信息系统审计协会(ISACA)规定了信息系统审计的主要内容:(1)信息系统审计程序。依据信息系统审计标准、准则和最佳实务等提供信息系统审计服务,以帮助组织确保其信息技术和运营系统得到保护并受控;(2)IT治理(信息技术治理)。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对IT 方面的要求;(3)系统和基础建设生命周期管理。系统的开发、采购、测试、实施(交付)、维护和(配置)使用,与基础框架,确保实现组织的目标;(4)IT 服务的交付与支持。 IT服务管理实务可确保提供所要求的等级、类别的服务,来满足组织的目标;(5)信息资产的保护。通过适当的安全体系(如,安全政策、标准和控制),保证信息资产的机密性、完整性和有效性;(6)灾难恢复和业务连续性计划。一旦连续的业务被(意外)中断(或破环),灾难恢复计划确保(灾难)对业务影响最小化的同时,及时恢复(中断的)IT 服务。
    信息系统审计的对象包括开发和使用的计算机系统、网络系统、信息技术基础设施和系统运行环境等,其目标主要是通过实施审计,促进、增强和维护计算机信息系统合规性、安全性、可靠性、有效性。其主要内容包括信息系统开发审计、信息系统内部控制功能审计、信息系统(包括会计信息系统和非会计信息系统)应用审计、信息系统维护审计、信息系统安全审计、全面控制审计等几个方面。信息系统审计的内容将随着信息技术的不断发展而不断变化和派生。
 
四、信息系统审计的范围
 
    信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生的,作为传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。信息技术的爆炸性发展改变了经济、社会、文化的结构和运行方式,网上商务、网上银行、网上证券、网上政府等相继出现,信息资源的作用得到充分发挥。人们的生活、工作越来越依赖信息技术。利用信息技术攻击对手信息系统,窃取机密,借助网络非法占有财富,特别是数字化财富等现象也日益增多,扰乱了国家正常的经济秩序。这让人们更加关注网络所传递信息的安全、完整、真实,关注产生、处理、传递信息的系统本身的安全、可靠、有效,关注企业如何评估其面临的风险,并如何采取措施预防和监控。计算机审计所关注的内容也从单纯的对电子的处理,延伸到对计算机系统的可靠性、安全性进行了解和评价。由于技术的限制等原因,信息的使用者不能自己验证信息的质量,因此急需有独立的第三方出面对信息的保密性(Data Confidentiality)、完整性(Data Integrity) 、交易行为的不可否认性(Non–Repudiation)、交易对手的身份明示(User Authentication)、系统的安全有效(Information Security)等做出鉴证,以合理保护信息使用者的利益。同时,企业在信息化过程中也急需专业人士提供有效控制信息系统风险,提高信息化效益的服务。真正意义上的信息系统审计应运而生。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围,在很多大型会计公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。而技术基础架构审计,系统管理和运营审计,信息技术安全审计,灾难恢复与业务技术计划审计,风险导向审计等在信息系统审计中逐渐得以广泛应用。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外会计、审计界的一个共识。
 
五、信息系统审计的策略
 
    1.全面开展对电子数据的审计。对会计电子数据和业务管理电子数据审计所采取的具体方法是:①精确复核。运用计算机,对各种数据进行精确复核,既可以对全辖并表机构的会计报表与汇总报表进行全面复核,又可以从会计流水账逐级核对至总账,还可以将业务管理数据与会计报表数据进行复核;②编制计算机程序进行辅助计算。可以编制计算机程序对有比例关系的项目进行计算,然后与实际记录进行比较,找出产生差异的记录;③对一些异常会计记录和交易进行筛选和查询,为审计人员提供审计线索,主要是根据某一特征进行筛选分析,从不同角度分析可疑问题线索。
  2.对被审计单位的信息系统的可靠性和内部控制进行初步的评价。主要是:①主要调查信息系统的使用范围,网络安全和数据的备份等情况,以保证信息系统财务数据的安全、完整;②对信息系统的内部控制情况进行初步的调查和评价,重点是权限管理、参数表的设置和修改控制等是否有效,信息系统的使用者和系统的开发者是否分离,被审计单位对交易录入的原始数据是否实施相应的控制,信息系统的数据流和业务流程是否吻合;③通过系统日志等文件分析一些重大事件的原因,分析对整体信息系统的影响。信息系统审计在审计过程中发现的控制缺陷或漏洞,可以审计报告、管理建议书等形式报告给委托人或被审计单位,并提出解决问题的建议,从而促进被审计单位提高管理水平,提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位的信息系统进行全面的审视,可以发现从内部看不到的问题。信息系统审计提供的外部审视的价值既表现在用新的思维方式、新的观点去观察组织业务,分析其存在的问题及原因,也表现在以科学的态度和创新精神,去设计解决问题的方案。
 
六、信息系统审计的流程
 
    1.确定审计主题。在这一阶段,要确定信息系统审计的主题范围,如:对会计信息系统中的“采购与付款”相关信息和数据进行审计。
    2.制定审计目标。主要是决定信息系统审计的目的,例如,通过对会计信息系统中的“采购与付款”信息和数据进行审计,检查是否存在操作人员修改系统数据,虚构供应商、材料入库和应付款,以谋取利益的信息系统舞弊行为。
   3.界定审计的详细范围。主要是界定该次审计业务所需要审计的系统或数据,如进行会计信息系统审计时,可以对其中有关采购业务涉及的供应商、材料入库和应付账款等数据进行审计。
   4.制定具体的审计计划。在此阶段主要做以下工作:①了解被审计单位业务、系统、环境等;②识别并评估风险(risk);③检查是否存在足够的控制(control)来补偿这些风险从而决定审计的地点与设施;④决定审计需要的技术能力及审计资源;⑤决定审计所需信息的来源,如功能流程图、政策、标准、以前年度的审计工作底稿等均是审计信息的来源;⑥了解并评价以前年度的审计发现,判断其是否仍是今次审计的重点。
    5.实施审计。在这一阶段,主要进行以下工作:①收集资料;②决定审计或测试的方式(符合性测试还是实质性测试);③列出需要访谈的人员名单;④查阅有关部门的政策、标准及准则,以供审计使用;⑤利用审计方法,对所有控制进行测试和评价。
    6.评估测试结果。对被审计的系统和数据进行审计测试后,将其结果与有关标准进行比较,证明其正确性。如评估数据测试结果主要是为了:①程序中控制点的审计;②对有效数据处理的正确性的检查,对无效数据的拒绝的检查;③对自动记录、合计等功能的检查;④出错报告、警告说明等功能的检查。
    7.与管理者沟通。审计工作结束后,就审计过程中发现的问题,审计人员应与管理者当面进行沟通,深入了解管理者的意图,从而根据审计问题提出符合被审计单位实际情况的审计建议或意见,促进被审计单位提升管理水平。
    8.出具审计报告。审计过程记录在审计工作底稿中,工作底稿记录了审计中所采用的审计方法、审计范围、审计准则,所完成的审计步骤等。根据审计工作底稿和相关资料出具审计报告,客观、完整、清晰地评价被审计事项并形成相关的审计意见。
 
七、结束语
    信息社会的到来使人们对信息系统的可靠性更加关注,为信息系统审计提供了十分广阔的发展空间,也代表了审计未来发展的一个重要方向。但是,信息系统审计工作在我国尚处于起步探索阶段,信息系统审计的内容和实施方法等还需进一步规范和完善,信息系统审计的开展将有效地推动我国审计行业随着时代的需求不断向前发展。
 

(本文内容仅为作者个人观点,不代表任何审计机关和本网站的观点,未经许可,不得转载)