淺議信息系統(tǒng)審計(jì)

馬小飛

摘 要 近年來，信息系統(tǒng)應(yīng)用越來越廣泛，用信息技術(shù)舞弊的風(fēng)險(xiǎn)也在增加，信息系統(tǒng)審計(jì)勢在必行。本文回顧了信息系統(tǒng)審計(jì)的發(fā)展歷程，結(jié)合筆者多年來開展信息系統(tǒng)審計(jì)的經(jīng)驗(yàn)，對信息系統(tǒng)審計(jì)的含義、目標(biāo)、內(nèi)容和方法進(jìn)行了概括性的介紹，以期能對信息系統(tǒng)審計(jì)實(shí)務(wù)有所助力。

關(guān)鍵詞 信息系統(tǒng)審計(jì) 一般控制 應(yīng)用控制 項(xiàng)目管理

信息系統(tǒng)審計(jì)是伴隨著信息系統(tǒng)的發(fā)展而發(fā)展的，20世紀(jì)60年代以后，特別是會(huì)計(jì)電算化之后，信息系統(tǒng)審計(jì)萌芽，80年代，集成信息系統(tǒng)開始發(fā)展。此時(shí)，信息系統(tǒng)審計(jì)師成為一種職業(yè)，而現(xiàn)代意義上的信息系統(tǒng)審計(jì)產(chǎn)生于世紀(jì)之交。隨著計(jì)算機(jī)技術(shù)的進(jìn)步，特別是互聯(lián)網(wǎng)的廣泛應(yīng)用，加之政府、企業(yè)對信息系統(tǒng)的依賴越來越高，利用信息技術(shù)舞弊的風(fēng)險(xiǎn)也在增加，信息系統(tǒng)審計(jì)有了更加豐富的內(nèi)涵和外延。

一、信息系統(tǒng)審計(jì)的定義

國際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）對信息系統(tǒng)審計(jì)的定義：信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效地利用組織的資源并有效地實(shí)現(xiàn)組織目標(biāo)的過程。

我國審計(jì)署對信息系統(tǒng)審計(jì)的定義：國家審計(jì)機(jī)關(guān)依法對被審計(jì)單位信息系統(tǒng)的真實(shí)性、合法性、效益性和安全性進(jìn)行檢查監(jiān)督的活動(dòng)。

二、信息系統(tǒng)審計(jì)的目標(biāo)

信息系統(tǒng)審計(jì)目標(biāo)是通過檢查和評(píng)價(jià)被審計(jì)單位信息系統(tǒng)的安全性、有效性和經(jīng)濟(jì)性及系統(tǒng)數(shù)據(jù)的真實(shí)性、完整性，揭示信息系統(tǒng)存在的風(fēng)險(xiǎn)和問題，提出完善信息系統(tǒng)控制、提高效率和效益的審計(jì)意見和建議，促進(jìn)被審計(jì)單位完善信息系統(tǒng)的內(nèi)部管控、保障及其安全，增強(qiáng)信息系統(tǒng)建設(shè)項(xiàng)目的效益性，保證審計(jì)所需數(shù)據(jù)的可靠性和可用性，防范和控制審計(jì)風(fēng)險(xiǎn)。

三、信息系統(tǒng)審計(jì)的內(nèi)容

信息系統(tǒng)審計(jì)內(nèi)容主要包括對一般控制和應(yīng)用控制的審計(jì)，國家審計(jì)機(jī)關(guān)開展的審計(jì)中通常還包含對項(xiàng)目管理的審計(jì)。

概括地說，一般控制包括信息系統(tǒng)總體控制，信息安全技術(shù)控制，信息安全管理控制；應(yīng)用控制包括信息系統(tǒng)業(yè)務(wù)流程，數(shù)據(jù)輸入、處理和輸出的控制，信息共享和業(yè)務(wù)協(xié)同；項(xiàng)目管理包括信息系統(tǒng)建設(shè)的經(jīng)濟(jì)性，信息系統(tǒng)建設(shè)管理，信息系統(tǒng)績效。

四、信息系統(tǒng)審計(jì)的方法

（一）一般控制審計(jì)

首先通過座談、查閱資料、實(shí)地觀察等方式，對信息系統(tǒng)的基本情況進(jìn)行調(diào)查了解；在此基礎(chǔ)上，根據(jù)單位和系統(tǒng)的特點(diǎn)設(shè)計(jì)下發(fā)一般控制調(diào)查表，就被審計(jì)單位信息系統(tǒng)相關(guān)的制度、組織管理、機(jī)房環(huán)境、硬件環(huán)境、網(wǎng)絡(luò)環(huán)境、系統(tǒng)運(yùn)用、數(shù)據(jù)備份與管理等多個(gè)方面進(jìn)行調(diào)查；檢查被審計(jì)單位的信息系統(tǒng)戰(zhàn)略發(fā)展規(guī)劃和相關(guān)資料，評(píng)估信息系統(tǒng)規(guī)劃建設(shè)情況；檢查與信息系統(tǒng)相關(guān)聯(lián)的機(jī)構(gòu)設(shè)置情況及信息系統(tǒng)建設(shè)、運(yùn)維等相關(guān)崗位設(shè)置、人員配置、崗位職責(zé)等情況及制度建立情況；進(jìn)行內(nèi)部控制測試，并參考信息系統(tǒng)等級(jí)保護(hù)測評(píng)情況找出信息系統(tǒng)一般控制中的薄弱環(huán)節(jié)，設(shè)計(jì)信息系統(tǒng)的物理安全、主機(jī)安全、數(shù)據(jù)庫安全的具體評(píng)測方案，并據(jù)此進(jìn)行實(shí)質(zhì)性審查，實(shí)地觀察被審計(jì)單位的機(jī)房，查閱相關(guān)資料，在確保被審計(jì)單位信息系統(tǒng)數(shù)據(jù)安全的前提下，對運(yùn)載信息系統(tǒng)的主機(jī)及數(shù)據(jù)庫進(jìn)行測試，并將以上具體的現(xiàn)場審計(jì)方式、結(jié)論等，編制現(xiàn)場審計(jì)記錄表，由雙方簽字確認(rèn)；檢查被審計(jì)單位的網(wǎng)絡(luò)拓?fù)鋱D，了解網(wǎng)絡(luò)環(huán)境，現(xiàn)場查驗(yàn)測試網(wǎng)絡(luò)安全設(shè)備及網(wǎng)絡(luò)安全措施，利用成熟的軟件工具和通過相關(guān)認(rèn)證的設(shè)備對網(wǎng)絡(luò)安全進(jìn)行掃描。

（二）應(yīng)用控制審計(jì)

要求被審計(jì)單位協(xié)助搭建測試環(huán)境，部署測試數(shù)據(jù)庫，在信息系統(tǒng)中建立具有全功能查詢導(dǎo)出權(quán)限的審計(jì)臨時(shí)用戶，經(jīng)授權(quán)后接入單位內(nèi)網(wǎng)，登錄信息系統(tǒng)，對各系統(tǒng)的功能進(jìn)行測試；檢查信息系統(tǒng)的項(xiàng)目需求書及流程設(shè)計(jì)文件，繪制或者查閱信息系統(tǒng)的業(yè)務(wù)流程圖，加深對信息系統(tǒng)結(jié)構(gòu)和承載業(yè)務(wù)流程的理解，分析信息系統(tǒng)的運(yùn)行過程，關(guān)注信息系統(tǒng)控制節(jié)點(diǎn)和控制條件，追蹤業(yè)務(wù)樣本，對結(jié)果進(jìn)行評(píng)估；取得被審計(jì)單位信息系統(tǒng)的數(shù)據(jù)庫備份和關(guān)鍵技術(shù)資料，對備份數(shù)據(jù)進(jìn)行還原、清洗、整理，分析數(shù)據(jù)結(jié)構(gòu)、表間的關(guān)聯(lián)關(guān)系，運(yùn)用平行模擬法對信息系統(tǒng)核心業(yè)務(wù)后臺(tái)整理生成的數(shù)據(jù)與信息系統(tǒng)前臺(tái)檢索的數(shù)據(jù)進(jìn)行比對，判斷邏輯處理功能是否存在明顯缺陷，如果條件允許，可直接對部分核心功能的源代碼進(jìn)行審查；用不同權(quán)限的用戶登錄系統(tǒng)，查看系統(tǒng)的職責(zé)分離等必要控制情況；設(shè)計(jì)專門的測試數(shù)據(jù)，在系統(tǒng)中模擬業(yè)務(wù)處理的部分過程或全過程，并將測試數(shù)據(jù)的模擬處理結(jié)果與預(yù)期處理結(jié)果進(jìn)行比對；與應(yīng)用信息系統(tǒng)相關(guān)人員進(jìn)行座談并下發(fā)調(diào)查問卷，詢問他們業(yè)務(wù)流程、數(shù)據(jù)輸入、處理、輸出的相關(guān)情況，進(jìn)一步了解系統(tǒng)的功能、業(yè)務(wù)處理流程，以及系統(tǒng)是否方便、有效，數(shù)據(jù)是否準(zhǔn)確、完整；對信息系統(tǒng)前臺(tái)導(dǎo)出數(shù)據(jù)進(jìn)行分析，對數(shù)據(jù)的規(guī)范性、完整性，報(bào)表的準(zhǔn)確性進(jìn)行審查。

（三）項(xiàng)目管理審計(jì)

檢查信息系統(tǒng)項(xiàng)目建議書、可行性研究報(bào)告、項(xiàng)目需求報(bào)告、投標(biāo)單位的響應(yīng)文件，詢問相關(guān)人員并登錄系統(tǒng)查驗(yàn)確認(rèn)交付成果與建設(shè)目標(biāo)的符合程度；了解系統(tǒng)服務(wù)對象使用信息系統(tǒng)情況，了解核心業(yè)務(wù)對系統(tǒng)的依賴程度，編制信息系統(tǒng)項(xiàng)目管理調(diào)查表、信息系統(tǒng)使用情況調(diào)查表、信息系統(tǒng)滿意度調(diào)查表，對使用信息系統(tǒng)的內(nèi)部和外部進(jìn)行調(diào)查，收集到調(diào)查結(jié)論后，再進(jìn)一步延伸落實(shí)；設(shè)計(jì)指標(biāo)評(píng)價(jià)體系，根據(jù)信息系統(tǒng)建設(shè)、培訓(xùn)、升級(jí)、運(yùn)維等投入，以及信息系統(tǒng)的運(yùn)行情況和使用情況，整體評(píng)估信息系統(tǒng)的經(jīng)濟(jì)性。

五、幾點(diǎn)建議

第一，一般控制審計(jì)專業(yè)性強(qiáng)，全面開展難度較大，可聘用具有專業(yè)資格的人員協(xié)助開展，或征得被審計(jì)單位同意后，聘用有資質(zhì)的公司獨(dú)立審查，并出具審查結(jié)論。

第二，調(diào)查表是一種簡單、直接、高效的方式，可在審計(jì)中多次使用，并根據(jù)情況適時(shí)完善，統(tǒng)籌分析，有助于提高審計(jì)效率。

第三，信息系統(tǒng)審計(jì)內(nèi)涵非常豐富，實(shí)務(wù)中不要面面俱到，應(yīng)根據(jù)單位、系統(tǒng)特點(diǎn)和參審人員情況，合理選擇審計(jì)的重點(diǎn)和方法。

（作者單位為東營市審計(jì)局）

參考文獻(xiàn)

[1] 石愛中，周德銘，王智玉，楊蘊(yùn)儀.信息系統(tǒng)審計(jì)實(shí)務(wù)[M].北京：中國時(shí)代經(jīng)濟(jì)出版社，2012.

[2] 吳桂英，唐志豪，馮占國.信息系統(tǒng)審計(jì)理論與實(shí)務(wù)[M].北京：清華大學(xué)出版社，2012.endprint