第 1 章 信息系统审计的技术和标准
1.1 信息系统审计的概念
信息系统审计是审计的发展新领域,是随着信息技术的发展和信息技术的广泛应用,并在各个方面的作用日益重要的情况下发展起来的,信息系统审计的发展也经历了萌芽阶段、发展阶段、成熟阶段和普及阶段四个阶段。到目前为止,对信息系统审计还没有固定、统一的定义,比较有代表性的定义有以下几种:(1)国际信息系统审计委员会(ISACA)定义为“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标地过程”。(2)日本通产省(1996)认为“为了信息系统的安全、可靠与有效,由独立于审计对象的IT 审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT 审计对象的最高领导,提出问题与建议的一连串的活动”。(3)Ron Weber认为“信息系统审计是一个获取证据,以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程”。以上对信息系统的定义各有侧重点,或站的角度不同,但都具有以下共同点:一是都认为信息系统审计是一个过程,和传统审计的定义完全一致;二是都为了实现组织目标,通过信息系统审计实现组织目标;三是都是针对信息系统本身的应用,都是关注信息系统在支撑或应用的过程中的作用。虽然日本通产省的定义更具有技术性,但同样也侧重与信息系统的应用。
1.2 信息系统审计的特点
信息系统审计因其是随着信息技术在管理中的应用而引出的具体审计项目,有其自身的特点:
(1)信息系统审计具有专业性。信息系统是建立在计算机硬件和软件基础之上的,而计算机软件和硬件都具有一定的技术性,一些特殊领域的技术难度较高。对信息系统的审计需要了解和描述信息系统的相关流程、对系统进行测试,还需要了解和掌握信息系统的控制措施和实际的内部控制措施的结合。
(2)信息系统审计具有复杂性。信息系统审计的复杂性主要体现于信息系统的多样性和技术性。企业组织信息系统不同,其物理结构不同,所采用的计算机设备、系统软件、应用软件等也会不同,这些决定了审计人员对信息系统的了解、描述、测试和评审,都具有复杂性。
(3)信息系统审计具有多样性。信息系统的审计往往是根据系统本身的目标出发的,一方面是对信息系统本身规划和实施进行审计,另一方要是对信息系统支撑的业务进行审计的多样性。所以要求不仅仅要懂信息系统本身,还要熟悉业务本身。
(4)信息系统审计的取证具有动态性。在信息系统的应用过程中,信息系统在其生产经营活动中已是必不可少的工具,若系统停止工作,就会影响其生产经营活动,甚至给企业带来损失。因此,进行信息系统审计,往往是在系统运行过程中进行审计取证,审计人员既要及时完成审计任务,同时又不能干扰被审计信息系统的正常工作
1.3 信息系统审计的目标
审计本质上是根据审计目标对收集的证据进行分析评价并得出结论的过程[1]。一切的审计活动都是为了实现一定的审计目标,并围绕审计目标来进行。可以说,审计目标是审计工作的“纲”。它贯穿审计活动的各个方面和审计过程的始终。信息系统审计的目标可做如下分类:
(1)信息系统的安全性。信息系统的安全性是指信息系统的软件、硬件、网络和数据资源是否得到妥善保护,不因人为和自然因素遭到破坏、更改或者泄露系统中的信息。信息系统的资源通常包括硬件、软件、网络、数据文件、系统文档、消耗性材料和其他设施。硬件可能因为地震、台风等自然因素损坏或者认为破坏,软件可能遭到病毒侵袭或者篡改,网络可能因为各种原因发生网络故障,数据资源可能丢失或毁损。系统的安全是通过建立相关的控制措施来加以保证的,所以审查信息系统的安全性就是审查相关控制措施是否健全有效,并提出相关的评价和建议。
(2)系统的可靠性。可靠性是指信息系统在遭受非人为因素破坏或人为差错影响的情况下仍然能够正常运行的概率。威胁信息系统可靠性的因素包括自然灾害对硬件和坏境的破坏以及误操作对软件和硬件的破坏等[2]。系统的可靠性是由硬件的可靠性、软件的可靠性、网络的可靠性、数据资源的可靠性等所决定的。硬件的可靠性是指在某个时间周期内,在一定的控制环境下,硬件系统执行设定的功能的成功概率。软件的可靠性是指在运行环境中,在规定的运行时间或次数下,程序中运行不同测试用例的无差错率。网络的可靠是指网络通畅、完成预定功能的可靠程度。数据资源的可靠性是指数据的真实、完整、准确和及时性。数据可靠性取决于信息系统对数据处理的可靠性以及相关保证数据可靠性的控制措施是否健全有效。信息系统的可靠性和信息系统的容错能力有关,信息系统的一些容错技术可以保证系统在发生错误的情况下可以最大限度地恢复正常运行。容错能力越强,信息系统的可靠性也越强。可靠性是信息系统一项重要的性能,特别是一些实时处理的系统如金融业务系统电信业务系统等,对于可靠性的要求更高。审查系统的可靠性应审查系统的有关控制措施,并对历史运行记录进行检查,对系统是否稳定进行综合评价。
(3)信息系统的有效性。信息系统的有效性是指系统能否实现既定目标、系统的各业务的处理过程是否符合国家的有关法律法规和单位内部管理制度的要求。信息系统的有效性和信息系统的业务有关。要评价系统的有效性,需要对业务有所了解。一般在系统运行一段时间后,再对系统的有效进行审查评价。通过审计,可以评价系统是否实现既定目标。只有对有效的系统才能继续运行下去,无效的系统则必须通过修改或重新开发。对系统进行有效性评价时,应以业务相关的法律法规和相关规定为依据,对系统的各业务处理过程进行详细的审查,对其是否符合相关规定做出评价,提出改进意见。
第 2 章 信息系统审计的主要内容
信息系统审计的对象是被审计单位的计算机信息系统,涉及信息系统的各个方面。为全面了解信息系统的审计内容,要从信息系统的组成、信息系统的生命周期和信息系统的管理三个维度入手,描述信息系统的逻辑结构,在此基础上,阐述信息系统审计的内容。
2.1 信息系统审计内容概述
信息系统审计是一项新的审计业务,为了全面阐述信息系统审计的内容,将按照信息系统逻辑结构图的形式,对信息系统审计的内容进行综合分析。信息系统是以信息基础设施为基本运行环境,由人、信息技术设备和运行规程组成的,通过信息采集、传输、加工处理和存储,以企业战略竞优、提高效率为目标,支持企业高层决策、中层控制和基层运作的集成化人机系统。信息系统有其产生、发展、成熟、消亡或更新的过程,信息系统在使用过程中,随着生存环境的变化,需要不断维护、修改,当它不再适用时就会被淘汰,由新系统所代替。在信息系统的生命周期中,必须对信息系统进行严格管理与控制,才能保证信息系统有效运行。因此,从信息系统构成要素、信息系统生命周期和信息系统管理三个维度来描述信息系统的逻辑结构(见图4)可以按照信息系统的逻辑结构来识别信息系统审计的内容。信息系统审计的内容是根据审计目标而定的,在实际工作中会有不同的信息系统审计业务需求。如信息系统内部控制审计、系统开发审计、应用系统审计、信息系统安全审计等。在信息系统审计业务执行过程中,应根据被审单位对信息系统审计的目的,确定信息系统审计的具体内容。
第3章 信息系统审计的方案设计....................... 21-24
3.1 信息系统的审计目标..................... 21-22
3.2 信息系统审计范围 .....................22
3.3 信息系统审计的主要内容..................... 22
3.4 审计的主要程序 .....................22-24
3.4.1 基础了解部分 .....................22-23
3.4.2 具体审计程序方面..................... 23-24
第4章 审计方案实施..................... 24-46
4.1 C 公司的基本情况 .....................24-25
4.2 C 公司的信息化建设情况..................... 25-26
4.3 信息系统审前调查..................... 26-41
4.3.1 调查问卷分析..................... 32-41
4.4 审计实施及发现的主要问题.....................41-46
4.4.1 信息系统规划及业务支撑 .....................41-42#p#分页标题#e#
4.4.2 信息数据共享及数据一致性方面..................... 42-45
4.4.3 信息系统安全审计..................... 45-46
第5章 审计评价 .....................46-47
结论
信息系统审计是一项复杂的系统工程。具有重要的意义,一方面,要求相关人员具有丰富的专业知识,了解信息系统的理论、内容、过程和方法;另一方面,需要相关人员具有实践经验,了解审计过程中运用的审计方法、审计手段,保持职业怀疑的态度,发现存在的风险点。在对 C 公司的信息系统审计中,我们综合运用访谈、查阅以前审计资料、信息系统相关制度和调查问卷等方法了解被审计单位的信息化建设、存在的关键风险点,通过穿行测试、详细检查等方式证实审计怀疑,最终通过审计发现、审计建议、审计评价等提出问题,推动企业信息化建设,规避信息外泄风险。通过本文的研究,得出以下主要结论:
(1)信息系统审计过程中,审前调查是审计工作的重要工作,如果不了解被审计单位的信息化建设程度,那么审计工作很可能盲目而无头绪,不利于发现问题。
(2)应根据企业的特点设计适当的调查问卷。信息系统建设包括的范围较广,涉及系统规划与组织、软硬件、安全策略、数据资源、系统维护及灾难恢复等六大模块,在了解企业情况后,可以初步确定审计的重要模块,通过分析调查问卷,确定审计的重要领域,确保审计工作有针对性。
(3)信息系统审计是一项持续的工作,通过提出建议推动被审计单位的信息化建设,在实际操作过程中,可能存在部分企业不认真对待审计发现,因此审计人员必须建设行之有效的监督和报告机制,保证审计发现得到整改。
(4)信息系统建设已覆盖到各个领域,包括财政、经济、文化等,但是由于各个领域的信息化建设程度不同,目前仍缺乏系统化的审计流程,审计过程中还需要审计人员的专业判断等,通过不断总结经验,完善工作程序。
国内企业在信息系统审计的认识和实际上均和国外有着较大的差距,国外信息系统审计案例大都针对行政事业单位、公共基础设施领域等,有着其独有的特点、审计手段和方法,企业在信息化审计的过程中更需要有理想的指导思想和方法、明确的审计重点来推动。由于本书的选题较新,涉及的理论较多,作者的经验水平所限,难免存在不足之处,但希望能为信息系统审计提供一些理论和实践参考,也为后续开展审计工作提供一种方法和思路。
参考文献
[1]陈耿,倪巍伟,审计知识工程,清华大学出版社,2006,第 26-31 页
[2]陈建湘,加强计算机辅助审计浅见,经济研究导刊,2009,(10),第 89-90 页
[3] 庄明来,网络审计刍议,审计理论与实践,2007,(10),第 10-12 页
[4][美]詹姆斯 A.霍尔(Jame A.Hall)著,李丹,刘济平译,信息系统审计与鉴证,中信出版社,2003,第 224-228 页
[5]胡克瑾等编著,IT 审计,北京,电子工业出版社,2004,第 462 页
[6]SACA 信息系统审计准则的具体内容可登录 ISACA
[7]吴沁红博士论文《信息系统审计研究》
[8]庄明来,论计算机网络环境下的详细审计,审计研究,2003,(6),第 8-10 页
[9]金光华,网络审计,上海,立信会计出版社,2007,第 24-33 页
[10]钱燕,信息系统审计——网络架构,测试与评价,[硕士学位论文],重庆,重庆大学,2005 年