信息系統審計簡述

田佳林

一、信息系統審計的涵義

信息系統審計在發展初期也稱為電子數據處理審計。關于信息系統的定義還未形成統一的認識。筆者列舉了以下兩種主流的說法：

一是美國信息系統審計權威專家威伯（RonWeber）教授對信息系統審計的定義：“收集證據并對所收集的證據進行評價的一項活動，以決定會計信息系統是否在最經濟地使用資源的同時，實現了有效保護資產、維護數據完整、完成組織目標等預期功能。”

二是國際信息系統審計和控制協會（ISACA）的定義：“信息系統審計是一個獲取并評價證據，以判斷計算機系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。”

信息系統審計雖然尚無一個統一明確的定義，但都體現了信息系統審計是“由審計機構、審計人員對與被審單位經營活動密切相關的信息系統的安全性、可靠性和有效性進行檢查評估，并提出改進意見的系列活動”。

二、信息系統審計的目標

信息系統審計的目標主要是對信息系統真實性、完整性等六方面要素的評估、反饋保證及建議。

1.真實性。信息系統中的數據要真實地反映企業的生產經營活動。要通過數字簽名等一系列技術手段和保留不可更改記錄、定期審計等管理手段確保數據的真實性。

2.完整性。完整性信息具有不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成、存儲和傳輸。

3.合法性。系統在購買、使用、開發、更新、維護、轉移等過程中必須符合相關法律、法規、準則、行規以及企業內部的規定等。

4.安全性。安全性是指信息系統在遭受各種因素破壞的情況下，仍然能夠正常運行的概率。威脅信息系統安全的因素有外部和內部兩種。外部主要是黑客的入侵、病毒的攻擊、線路的偵聽等，內部主要是被授權的用戶訪問和修改、刪除等操作。安全性是真實性的基礎之一。

5.可靠性。可靠性也是真實性的基礎之一，是指信息系統在遭受非人為因素破壞或人為差錯影響的情況下仍然能夠正常運行的概率。威脅信息系統可靠性的因素包括自然災害對硬件和環境的破壞以及誤操作對軟件和硬件的破壞等。

6.效果和效率。效果是指應用信息系統以后，企業在生產控制、管理質量、提供產品和服務等方面發生的變化。效率是指信息系統的應用在企業勞動生產率的提高方面所起的作用。

三、信息系統審計的業務范圍

為了支持企業更有效運營和加強企業抵御風險的能力，信息系統需要完全地集成企業所有重要的過程和程序。所以，信息系統審計的業務范圍應該包括以下幾個方面：

（1）信息系統的管理、規劃與組織——評價信息系統的管理、計劃與組織方面的策略、政策、標準、程序和相關實務。

（2）信息系統技術基礎設施與操作實務——評價組織在技術與操作基礎設施的管理和實施方面的有效性及效率，以確保其充分支持組織的商業目標。

（3）資產的保護——對邏輯、環境與信息技術基礎設施的安全性進行評價，確保其能支持組織保護信息資產的需要，防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。

（4）災難恢復與業務持續計劃——這些計劃是在發生災難時，能夠使組織的業務持續進行，對這種計劃的建立和維護流程需要進行評價。

（5）應用系統開發、獲得、實施與維護——對應用系統的開發、獲得、實施與維護方面所采用的方法和流程進行評價，以確保其滿足組織的業務目標。

（6）業務流程評價與風險管理——評估業務系統與處理流程，確保根據組織的業務目標對相應風險實施管理。

四、信息系統審計的業務活動

一般來說，信息系統審計的業務活動可以按照信息系統的生命周期或內部控制要求進行安排。

（一）按照信息系統生命周期安排審計業務活動

按照信息系統的生命周期，信息系統審計要求對信息系統從計劃、研發、實施到運行維護各個過程進行審查與評價，以審查企業信息系統是否安全、可靠、有效，保證信息系統得出準確可靠的數據。信息系統生命周期審計的基本業務主要包括信息系統開發審計和信息系統維護審計。

1.信息系統開發審計。信息系統開發審計包括對開發過程、開發方法、應用開發測試、系統功能實現等方面的審計。執行信息系統開發審計的人員需要明確信息系統開發流程是否包括計劃、組織、監控等內容，系統開發過程是否被劃分為子流程／階段，子流程／階段是否有明確的定義；評價所用的開發方法是否恰當，開發過程中所用的測試是否充分，系統實現的功能是否與預定功能相符。信息系統開發審計報告可以為信息系統開發指導委員會及變化控制委員會提供咨詢服務。

2.信息系統維護審計。信息系統審計不應該僅僅包括對開發過程的審計，更重要的是對信息系統實施后運行和維護過程的審計。其主要審計要求是：

（1）確定是否有維護計劃，維護工作是否得到負責人的批準，系統是否按照維護計劃進行了維護；

（2）確認是否存在未經授權擅自修改或更改系統的問題；

（3）確定維護工作是否保護了應用程序，并使程序庫不受非法訪問；

（4）確定系統維護后是否經過充分測試，用戶是否參與了系統維護后的測試工作；

（5）確定是否對每一次維護工作都有詳細的記錄；

（6）確定系統維護后文檔資料是否及時更新。

（二）按照信息系統內部控制要求安排審計業務活動

建立、健全內部控制是被審計單位規范、強化內部管理的重要手段，信息系統控制是企業內部控制的重要組成部分。信息系統控制是一個單位在信息系統環境下，為了保證業務活動的有效進行，保護資產的安全與完整，防止、發現、糾正錯誤與舞弊，合理確保信息系統提供信息的真實、合法、完整而制定和實施的一系列政策與程序措施。信息系統內部控制審計可以分為信息系統一般控制審計和信息系統應用控制審計。

1.信息系統一般控制審計。信息系統一般控制是應用于一個單位信息系統全部或較大范圍，其基本目標是保證數據安全、保護計算機應用程序、防止系統被非法侵入、保證在意外中斷情況下的持續運行。

2.信息系統應用控制審計。信息系統應用控制是對具體應用系統的控制，每一個具體的應用程序所要解決的問題是不同的，所涉及的數據和處理方法等均各具特點。針對這些具體的應用程序所進行的有針對性的控制，就是應用控制。應用控制又分為輸入控制、計算機處理與數據文件控制和輸出控制。

五、信息系統審計過程及具體任務

審計過程是審計工作從開始到結束的整個過程，可以分為計劃階段、實施階段和報告階段。

（一）計劃階段

計劃階段的主要任務包括：

1.調查被審單位的基本情況，初步評價固有風險。審計人員首先應了解被審單位的基本情況。需要了解的基本情況包括：第一，被審單位的業務性質和生產經營情況。第二，被審單位的組織結構和管理水平。第三，被審單位信息系統一般情況，即信息系統的結構，所使用的軟硬件和網絡設施以及運行環境。第四，被審單位應用系統及其所處理的交易和事項的類型。

2.調查被審單位信息系統的內部控制，評價控制風險。在計劃階段，審計人員應了解被審單位的內部控制特別是信息系統內部控制，對內部控制的健全和有效性進行評估，初步確定控制風險的大小。

3.評估審計風險，確定重要性水平。為了合理使用審計資源，有效地實現審計目標，在制定審計計劃時審計人員應評估審計風險，確定重要性水平。重要性水平是指在審計事項中，能夠容忍出現差錯的程度和大小。

4.編制審計計劃。在對被審單位的風險進行初步評估，確定重要性水平后，審計人員應當編制審計計劃。審計計劃的內容包括：被審單位的基本情況、審計的范圍和重點、審計的步驟和時間安排、審計人員分工、所運用的信息系統審計方法、審計中應當注意的事項和其他內容等。

（二）實施階段

實施階段是根據計劃階段確定的范圍、重點、步驟和方法，進行有針對性的評價，并形成審計結論的過程，主要由符合性測試和實質性測試兩個階段構成。

1.實施符合性測試。符合性測試的目的是檢查內部控制措施是否健全有效。審計人員需要對被審單位的控制系統進行識別、測試和評價。審計人員通過與相關人員面談、設計調查問卷以及查閱信息系統和控制系統說明文件等方法，識別被審單位的控制系統以及控制環境，并將調查情況記錄在審計工作底稿中。

2.實施實質性測試。實質性測試是對信息系統控制進行的詳細測試，以獲得這些控制在審計期間是否真實存在并合法有效的審計證據。實質性測試主要通過測試必要的數據，對信息系統達到特定的控制目標的程度進行評價。

（三）報告階段

在審計報告階段，審計人員應運用專業判斷，綜合收集到的相關證據，以經過核實的審計證據為依據，形成審計意見，出具審計報告。審計報告中除了對被審單位信息系統的安全性、可靠性、有效性發表審計意見之外，還針對信息系統內部控制和管理等方面的問題提出相關的建議。

在正式發布審計報告之前，審計人員還應考慮其后面事項的影響。在現場審計工作結束日到發布審計報告日之間一般都會有一段時間，審計人員應考慮在此期間被審單位及其信息系統是否發生導致重大變化的事項。