開展信息系統(tǒng)審計(jì)初探

近年來，隨著計(jì)算機(jī)技術(shù)的廣泛應(yīng)用，企業(yè)對信息技術(shù)的投入逐年加大，信息化程度也越來越高，各行各業(yè)先后開發(fā)適合本單位的信息處理系統(tǒng)處理日常經(jīng)濟(jì)業(yè)務(wù)。隨著信息化程度的加大，審計(jì)環(huán)境、審計(jì)客體發(fā)生了深刻的變化，信息系統(tǒng)審計(jì)應(yīng)運(yùn)而生。本文結(jié)合筆者主審的某單位信息系統(tǒng)審計(jì)情況，對信息系統(tǒng)審計(jì)加以闡述：

一、信息系統(tǒng)審計(jì)概念

信息系統(tǒng)審計(jì)是一個(gè)通過獲取并評價(jià)證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過程。從這一定義看，信息系統(tǒng)審計(jì)是保證信息系統(tǒng)的合規(guī)性、安全性、可靠性和有效性來實(shí)現(xiàn)組織目標(biāo)的。這不僅需要關(guān)注信息系統(tǒng)本身產(chǎn)生的業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、管理數(shù)據(jù)，還應(yīng)該把保障信息系統(tǒng)運(yùn)行的各種管理制度納入審計(jì)范圍。

二、信息系統(tǒng)審計(jì)目標(biāo)及意義

信息系統(tǒng)審計(jì)目標(biāo)是通過對信息系統(tǒng)合規(guī)性、安全性、可靠性和有效性的審計(jì)，來評價(jià)被審單位信息系統(tǒng)中輸入、處理、存儲(chǔ)、輸出的電子數(shù)據(jù)的真實(shí)、完整性；查找被審單位信息系統(tǒng)管理制度不規(guī)范的環(huán)節(jié)，各系統(tǒng)間關(guān)聯(lián)對比關(guān)系不完善，缺少系統(tǒng)的自身校驗(yàn)功能等薄弱環(huán)節(jié)；通過信息系統(tǒng)審計(jì)發(fā)現(xiàn)傳統(tǒng)審計(jì)難以發(fā)現(xiàn)的問題，也可以通過傳統(tǒng)審計(jì)發(fā)現(xiàn)的問題，反推信息系統(tǒng)中存在的非法功能和漏洞。

三、信息系統(tǒng)審計(jì)的范圍及內(nèi)容

1.信息系統(tǒng)審計(jì)的范圍，包括被審單位的生產(chǎn)、經(jīng)營、財(cái)務(wù)等與信息系統(tǒng)相關(guān)的各個(gè)部門，最重要的就是信息系統(tǒng)的使用管理部門，包括信息系統(tǒng)的開發(fā)、運(yùn)行維護(hù)的管理部門，以及下面具體的操作部門。如我們在對某公司的信息系統(tǒng)審計(jì)時(shí)，即將負(fù)責(zé)該公司的信息系統(tǒng)的開發(fā)、運(yùn)行維護(hù)的技術(shù)中心、運(yùn)行中心，以及具體的操作部門為審計(jì)范圍。

2.信息系統(tǒng)審計(jì)的內(nèi)容應(yīng)根據(jù)不同的信息系統(tǒng)審計(jì)計(jì)劃或目標(biāo)制定相應(yīng)的內(nèi)容，例如我們實(shí)踐中嘗試對系統(tǒng)開發(fā)管理、系統(tǒng)性能管理、系統(tǒng)連續(xù)性管理、系統(tǒng)安全管理、系統(tǒng)數(shù)據(jù)管理及系統(tǒng)物理環(huán)境管理六大方面進(jìn)行審計(jì)。

四、開展信息系統(tǒng)審計(jì)過程

（一）審計(jì)準(zhǔn)備階段

1.收集資料及人員培訓(xùn)。

為了明確信息系統(tǒng)審計(jì)重點(diǎn)，制定詳細(xì)的審計(jì)流程，并最終為審計(jì)實(shí)施做好鋪墊，實(shí)踐中我們作了充分的前期準(zhǔn)備工作：

一是搜集大量資料，了解系統(tǒng)運(yùn)營業(yè)務(wù)概況、管理體制以及系統(tǒng)歷史發(fā)展過程等內(nèi)容；二是現(xiàn)場操作并測試系統(tǒng)，掌握系統(tǒng)的總體架構(gòu)、功能概況以及應(yīng)用控制情況；三是審閱系統(tǒng)設(shè)計(jì)方案、數(shù)據(jù)庫字典和信息數(shù)據(jù)等資料，在此基礎(chǔ)上編制系統(tǒng)控制矩陣；四是由計(jì)算機(jī)審計(jì)專業(yè)人員對審計(jì)組成員進(jìn)行強(qiáng)化培訓(xùn)，主要包括IS審計(jì)概念和內(nèi)容、Cobit（信息及相關(guān)技術(shù)控制目標(biāo)）框架、Oracle及基本SQL（標(biāo)準(zhǔn)查詢語言）語句，并按審計(jì)人員專長，對系統(tǒng)及數(shù)據(jù)控制等內(nèi)容進(jìn)行分工。

2.構(gòu)建虛擬信息系統(tǒng)。

為保證被審計(jì)單位信息系統(tǒng)的運(yùn)行安全，在審計(jì)過程中構(gòu)建了虛擬信息系統(tǒng)，在虛擬環(huán)境下對信息系統(tǒng)做各種詳盡、全面的測試是較好的解決辦法。

審計(jì)人員通過組建局域網(wǎng)（LAN）把審計(jì)組成員的工作電腦用通信線路互連起來，從而使審計(jì)人員可以方便地互相傳遞信息，共享硬件、軟件、數(shù)據(jù)信息等資源。這種網(wǎng)絡(luò)是一種臨時(shí)小型網(wǎng)絡(luò)，節(jié)點(diǎn)數(shù)量少，工作速度快，在審計(jì)期間使用可以提高審計(jì)效率。下圖是現(xiàn)場局域網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D。

3.采集數(shù)據(jù)及轉(zhuǎn)換。

由審計(jì)組向被審單位提出構(gòu)建信息系統(tǒng)需求，被審單位技術(shù)人員在審計(jì)組人員的計(jì)算機(jī)上安裝信息系統(tǒng)，然后將被審單位的信息系統(tǒng)數(shù)據(jù)庫采集過來，經(jīng)清理、檢查、驗(yàn)證轉(zhuǎn)換到審計(jì)組設(shè)置的服務(wù)器上SQL Server數(shù)據(jù)庫中，供審計(jì)人員使用。數(shù)據(jù)采集要全面，包括信息系統(tǒng)的數(shù)據(jù)字典、信息系統(tǒng)操作指南、數(shù)據(jù)庫設(shè)計(jì)文檔、信息系統(tǒng)開發(fā)可研性報(bào)告、系統(tǒng)開發(fā)、運(yùn)行維護(hù)、采購合同等等。

（二）審計(jì)實(shí)施階段

為了全面反映某單位信息系統(tǒng)的現(xiàn)狀，審計(jì)組在實(shí)施過程中，采取了多種審計(jì)方法，具體操作如下：

1.編制控制矩陣，確定審計(jì)內(nèi)容。

控制矩陣是一個(gè)控制目標(biāo)及相關(guān)控制措施的列表，是分析某一控制系統(tǒng)有效性、效率、完整性和可靠性等指標(biāo)的一種有效的系統(tǒng)控制分析工具。控制矩陣的編制可以采用如下原則和步驟進(jìn)行。

①深入了解信息系統(tǒng)，確定控制目標(biāo)和控制風(fēng)險(xiǎn)。

②結(jié)合實(shí)際情況和Cobit四個(gè)域列出系統(tǒng)的高級控制目標(biāo)。即從34個(gè)高級控制目標(biāo)中選擇適合的高級控制目標(biāo)。

③描述如果未實(shí)現(xiàn)②中的控制目標(biāo)會(huì)導(dǎo)致出現(xiàn)什么樣的控制風(fēng)險(xiǎn)。

④從控制目標(biāo)中選擇適合用于本次審計(jì)的具體控制目標(biāo)。

⑤列舉需要進(jìn)行的審計(jì)程序，即具體操作指南。

⑥分析控制矩陣所反映的內(nèi)容，判斷控制目標(biāo)是否恰當(dāng)、夠用、冗余，并進(jìn)行調(diào)整。

⑦重復(fù)步驟②～⑥，對控制矩陣反復(fù)分析和修改，最終形成一個(gè)完整的控制矩陣。

2.審計(jì)測試及訪談。

在熟悉了信息系統(tǒng)所處理的業(yè)務(wù)流程、數(shù)據(jù)處理過程、系統(tǒng)架構(gòu)、系統(tǒng)功能及與其他系統(tǒng)之間的關(guān)系后，又明確了具體的審計(jì)內(nèi)容，審計(jì)人員就可以采用各種審計(jì)方法開展審計(jì)。實(shí)踐中我們首先采取測試訪談法，具體操作如下：

①根據(jù)控制矩陣的具體目標(biāo)編制相應(yīng)的測試訪談表。

②根據(jù)目標(biāo)所涉及的部門或人員，確定測試訪談對象。

③根據(jù)審計(jì)人員分工進(jìn)行訪談，并將訪談內(nèi)容記錄到訪談表中，并由被訪談對象對訪談?dòng)涗涍M(jìn)行確認(rèn)。

④根據(jù)訪談結(jié)果以及對現(xiàn)場測試的結(jié)果，針對具體審計(jì)目標(biāo)確定審計(jì)結(jié)論，并提出相應(yīng)的審計(jì)建議。

3.利用審計(jì)中間表整理系統(tǒng)數(shù)據(jù)。

審計(jì)中間表是對采集到的數(shù)據(jù)進(jìn)行清理、轉(zhuǎn)換、驗(yàn)證后，將分布于不同表格中、雜亂的信息經(jīng)整理、組合、漢化，創(chuàng)建出符合審計(jì)人員需要的新表格，這一過程就是創(chuàng)建審計(jì)中間表。

①備份采集到的源數(shù)據(jù)。

由于在創(chuàng)建審計(jì)中間表的過程中，容易出現(xiàn)誤操作，使采集到的數(shù)據(jù)被刪除破壞，因此需要備份采集到的源數(shù)據(jù)。

②設(shè)計(jì)審計(jì)中間表。

審計(jì)人員需要結(jié)合審計(jì)目的、被審計(jì)單位的經(jīng)濟(jì)業(yè)務(wù)等情況，設(shè)計(jì)多張審計(jì)中間表。

③生成審計(jì)中間表。

審計(jì)人員需求的數(shù)據(jù)通常分散在不同的數(shù)據(jù)庫或數(shù)據(jù)表中，審計(jì)人員需要對數(shù)據(jù)進(jìn)行整合，并將與審計(jì)相關(guān)的數(shù)據(jù)進(jìn)行有機(jī)的關(guān)聯(lián)。具體可以根據(jù)表間關(guān)系進(jìn)行數(shù)據(jù)的聯(lián)接，并將滿足分析需要的數(shù)據(jù)形成中間表。

4.系統(tǒng)分析測試。

實(shí)踐中，我們除了從宏觀上對系統(tǒng)進(jìn)行了測試，還從微觀上對系統(tǒng)的功能、數(shù)據(jù)等進(jìn)行了分析測試，具體如下：

①功能分析：將被審單位業(yè)務(wù)的特點(diǎn)和對信息系統(tǒng)的需求情況與信息系統(tǒng)具有的功能進(jìn)行對比，分析信息系統(tǒng)功能存在的不足。

②邏輯分析：通過對信息系統(tǒng)處理數(shù)據(jù)是否存在違反規(guī)定的分析，來檢查信息系統(tǒng)本身存在的問題和被審單位存在的違紀(jì)問題。

③數(shù)據(jù)對比分析：將信息系統(tǒng)中數(shù)據(jù)與財(cái)務(wù)、生產(chǎn)、經(jīng)營部門的數(shù)據(jù)進(jìn)行對比，從中發(fā)現(xiàn)問題。

④數(shù)據(jù)跟蹤分析：針對審計(jì)中間表中不合理數(shù)據(jù)進(jìn)行分析，并跟蹤審計(jì)發(fā)現(xiàn)問題。

（三）信息系統(tǒng)綜合評價(jià)

信息系統(tǒng)綜合評價(jià)是審計(jì)人員經(jīng)過對信息系統(tǒng)的審計(jì)，將審計(jì)中發(fā)現(xiàn)的問題進(jìn)行歸納、總結(jié)，對被審單位的信息系統(tǒng)作出正確的評價(jià)，并針對發(fā)現(xiàn)的問題提出積極可操作有利于被審單位整改的建議。

筆者實(shí)踐中，針對被審計(jì)單位某信息系統(tǒng)開發(fā)管理、性能管理、連續(xù)性管理以及物理環(huán)境管理等七個(gè)控制過程，進(jìn)行了問題闡述，并通過深入分析系統(tǒng)控制缺陷的成因，從系統(tǒng)建設(shè)規(guī)劃、內(nèi)控管理、風(fēng)險(xiǎn)管理、信息管理以及優(yōu)化人力資源配置五個(gè)方面提出審計(jì)建議，一方面促進(jìn)了被審單位內(nèi)部管理水平的提升；另一方面提高了被審計(jì)單位有效參與市場競爭的能力。

五、開展信息系統(tǒng)審計(jì)的體會(huì)

通過對信息系統(tǒng)審計(jì)的嘗試，本人也有一些感觸，信息系統(tǒng)審計(jì)在中國作為新生事物，相關(guān)的審計(jì)理論、審計(jì)方法、審計(jì)內(nèi)容和審計(jì)人力資源，都相對滯后且缺乏系統(tǒng)性。盡管目前有不少關(guān)于信息系統(tǒng)審計(jì)方面的文章，但普遍是理論探討，在實(shí)踐上少有明確指導(dǎo)意義的操作，同時(shí)也缺乏有效審計(jì)實(shí)踐。因此，在今后的很長一段時(shí)間，中國審計(jì)還需要經(jīng)歷無數(shù)次的信息系統(tǒng)審計(jì)嘗試，逐漸適應(yīng)信息化時(shí)代的審計(jì)環(huán)境變化，開創(chuàng)審計(jì)的新篇章。

（作者單位：大慶石油管理局審計(jì)中心）