信息系統(tǒng)審計(jì)初探

[摘 要] 近年來，隨著計(jì)算機(jī)技術(shù)的不斷進(jìn)步，信息系統(tǒng)已經(jīng)廣泛深入地滲透到社會(huì)的各個(gè)領(lǐng)域，被審計(jì)單位高度依賴信息系統(tǒng)來提高工作效率和加強(qiáng)管理已成為必然。在這種形勢(shì)下，信息系統(tǒng)審計(jì)的必要性逐漸凸顯。本文對(duì)信息系統(tǒng)審計(jì)的特點(diǎn)、目標(biāo)做了簡(jiǎn)要介紹，并著重分析開展信息系統(tǒng)審計(jì)的流程。

[關(guān)鍵詞] 信息系統(tǒng)；審計(jì)；特點(diǎn)；目標(biāo)；流程

[中圖分類號(hào)] F239.1 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2013）03- 0029- 03

進(jìn)入21世紀(jì)，隨著計(jì)算機(jī)技術(shù)的不斷進(jìn)步，以計(jì)算機(jī)為核心的信息系統(tǒng)得到了迅猛發(fā)展，信息系統(tǒng)也廣泛深入地滲透到社會(huì)的各個(gè)領(lǐng)域。被審計(jì)單位高度依賴信息系統(tǒng)來提高工作效率和加強(qiáng)管理已成為必然。信息系統(tǒng)作為被審計(jì)單位的主要資源，它的安全性、可靠性、有效性和效率性必須得到充分的保障。因此，信息系統(tǒng)審計(jì)便應(yīng)運(yùn)而生。

1 信息系統(tǒng)審計(jì)的含義及特點(diǎn)

信息系統(tǒng)審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對(duì)信息系統(tǒng)從規(guī)劃、實(shí)施到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審查評(píng)價(jià)，對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整性、有效性、效率性、安全性等進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過程以確定預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)，并提出一系列改進(jìn)建議的管理活動(dòng)。信息系統(tǒng)區(qū)別于傳統(tǒng)的手工審計(jì)，具有以下特點(diǎn)。

1.1 審計(jì)內(nèi)容具有廣泛性

信息系統(tǒng)審計(jì)的對(duì)象是以計(jì)算機(jī)為核心的信息系統(tǒng)。在信息系統(tǒng)中，計(jì)算機(jī)按照設(shè)計(jì)好的程序自動(dòng)處理數(shù)據(jù)，中間一般不再進(jìn)行人工干預(yù)。這樣，系統(tǒng)的合法性、效益性、輸出結(jié)果的真實(shí)性不僅取決于輸入的數(shù)據(jù)、工作人員，還取決于計(jì)算機(jī)的硬件和軟件等。要確定系統(tǒng)的合法性、效益性、輸出結(jié)果的真實(shí)性，不僅要對(duì)輸出數(shù)據(jù)、工作人員、打印輸出的資料進(jìn)行審查，而且還要對(duì)系統(tǒng)的硬件、系統(tǒng)軟件、應(yīng)用軟件和數(shù)據(jù)文件進(jìn)行審查，這些工作在傳統(tǒng)的手工審計(jì)中是沒有的。從生命周期看，信息系統(tǒng)審計(jì)覆蓋了信息系統(tǒng)從開發(fā)、運(yùn)行、維護(hù)到報(bào)廢的全生命周期的各種業(yè)務(wù)。因此，信息系統(tǒng)的審計(jì)范圍要比傳統(tǒng)的手工審計(jì)更為廣泛。

1.2 審計(jì)線索具有隱蔽性和易逝性

在信息系統(tǒng)中，審計(jì)線索大部分存儲(chǔ)在介質(zhì)上（例如硬盤），這些線索容易被更改、隱匿、轉(zhuǎn)移、偽造。在審計(jì)中，如果操作不當(dāng)，很可能破壞系統(tǒng)的數(shù)據(jù)文件和程序，不僅銷毀了重要的審計(jì)線索，而且干擾了被審計(jì)單位的工作。

1.3 審計(jì)技術(shù)具有復(fù)雜性

首先，被審計(jì)單位的信息系統(tǒng)配備的計(jì)算機(jī)硬件、軟件有很大的差異。審計(jì)人員在審計(jì)過程中，要和信息系統(tǒng)的硬件和系統(tǒng)軟件打交道，這就增加了審計(jì)技術(shù)的復(fù)雜性。其次，被審計(jì)單位的業(yè)務(wù)規(guī)模和性質(zhì)不同，所采用的數(shù)據(jù)處理及存儲(chǔ)方式也不同，審計(jì)所采用的方法、技術(shù)也不同。第三，不同被審計(jì)單位的應(yīng)用軟件開發(fā)方式、所使用的程序設(shè)計(jì)語言也不同，其審計(jì)方法和技術(shù)也不同。

1.4 審計(jì)取證具有動(dòng)態(tài)性

在很多被審計(jì)單位中，信息系統(tǒng)已經(jīng)成為一個(gè)中樞系統(tǒng)，系統(tǒng)如果停止工作，將會(huì)直接影響被審計(jì)單位的經(jīng)營管理活動(dòng)。因此，信息系統(tǒng)審計(jì)，一般是在系統(tǒng)運(yùn)行的過程中進(jìn)行取證，審計(jì)人員在完成審計(jì)任務(wù)的同時(shí)，不能妨礙和干擾被審計(jì)單位系統(tǒng)的正常運(yùn)行，這就給審計(jì)取證帶來一定的難度。

1.5 信息系統(tǒng)審計(jì)是事后、事前、事中審計(jì)的結(jié)合體

如信息系統(tǒng)在開發(fā)過程中，由審計(jì)人員介入所進(jìn)行的審計(jì)屬于事中審計(jì)。此項(xiàng)審計(jì)相對(duì)于系統(tǒng)運(yùn)行后而對(duì)其所進(jìn)行的審計(jì)而言又可以看作是事前審計(jì)；信息系統(tǒng)運(yùn)行后，對(duì)其在一定期間的運(yùn)作情況所進(jìn)行的審計(jì)則為事后審計(jì)。

2 信息系統(tǒng)審計(jì)目標(biāo)

審計(jì)機(jī)關(guān)針對(duì)被審計(jì)單位信息系統(tǒng)開展審計(jì)，目的是揭示由于信息系統(tǒng)缺陷導(dǎo)致的信息安全風(fēng)險(xiǎn)、經(jīng)濟(jì)安全風(fēng)險(xiǎn)，促進(jìn)被審計(jì)單位加強(qiáng)信息化環(huán)境下的內(nèi)部管理和控制，提高信息化建設(shè)項(xiàng)目的效益，同時(shí)保證審計(jì)所需數(shù)據(jù)的可靠性、可用性，降低審計(jì)風(fēng)險(xiǎn)。

2.1 保證信息系統(tǒng)的合規(guī)性和合法性

隨著信息系統(tǒng)在組織中的應(yīng)用范圍日益擴(kuò)大和應(yīng)用水平日益提高，利用信息系統(tǒng)進(jìn)行違法犯罪的可能性越來越大，手段也越來越隱蔽。在信息化環(huán)境下，被審計(jì)單位依賴于信息系統(tǒng)，通過對(duì)信息系統(tǒng)的輸入、處理、輸出及控制功能是否符合國家的法律、法規(guī)和有關(guān)部門的規(guī)章制度的審查，不僅可以有效地堵塞犯罪，而且可以避免國家和組織遭受由此帶來的損失。

2.2 保證數(shù)據(jù)的準(zhǔn)確性

數(shù)據(jù)準(zhǔn)確性是指數(shù)據(jù)能夠滿足規(guī)定的條件，防止錯(cuò)誤信息的輸入和輸出，以及非授權(quán)狀態(tài)下修改信息所造成的無效操作和錯(cuò)誤后果。各種復(fù)雜業(yè)務(wù)的出現(xiàn)對(duì)信息是否真實(shí)、完整提出了鑒證要求。如果數(shù)據(jù)完整性得不到保護(hù)，被審計(jì)單位就會(huì)失去競(jìng)爭(zhēng)優(yōu)勢(shì)。然而，維護(hù)數(shù)據(jù)的完整性需要成本，因此，要確保所獲收益大于所需的控制步驟的成本。信息系統(tǒng)審計(jì)有助于控制信息處理系統(tǒng)的風(fēng)險(xiǎn)，提高事務(wù)處理的完整性，實(shí)現(xiàn)組織目標(biāo)。

2.3 保護(hù)資產(chǎn)的完整性

信息系統(tǒng)的資產(chǎn)包括硬件、軟件、數(shù)據(jù)文件、系統(tǒng)文檔等。由于重要的系統(tǒng)文檔、軟件、數(shù)據(jù)文件等資產(chǎn)一般集中存放在信息系統(tǒng)中，如果信息系統(tǒng)的運(yùn)行出現(xiàn)故障，如服務(wù)器宕機(jī)、遭到木馬等病毒攻擊、業(yè)務(wù)資料被盜、系統(tǒng)突然發(fā)生死機(jī)等故障，會(huì)對(duì)被審計(jì)單位的資產(chǎn)保護(hù)造成巨大威脅。所以保護(hù)信息系統(tǒng)資產(chǎn)的完整性成為許多組織要達(dá)到的一個(gè)重要目標(biāo)，也是信息系統(tǒng)審計(jì)追求的目標(biāo)之一。

2.4 提高系統(tǒng)的有效性

系統(tǒng)的有效性是指系統(tǒng)能否達(dá)到預(yù)期的目標(biāo)。有效性審計(jì)常在系統(tǒng)運(yùn)行一段時(shí)間之后進(jìn)行，以評(píng)估系統(tǒng)是否能夠?qū)崿F(xiàn)既定的目標(biāo)，這個(gè)評(píng)估為系統(tǒng)是否繼續(xù)運(yùn)行或者進(jìn)行某種程度的修改提供決策。有效性審計(jì)也可以在系統(tǒng)設(shè)計(jì)階段進(jìn)行。信息系統(tǒng)審計(jì)從獨(dú)立、客觀、公正的第三方角度，以目標(biāo)驅(qū)動(dòng)，對(duì)信息的質(zhì)量進(jìn)行審查，對(duì)產(chǎn)生信息的系統(tǒng)、信息的產(chǎn)生過程及相應(yīng)的內(nèi)部控制進(jìn)行評(píng)價(jià)、審計(jì)，審查業(yè)務(wù)數(shù)據(jù)并評(píng)估其完整性和可靠性，從而為管理者了解用戶的特征和決策環(huán)境提供了依據(jù)。

2.5 提高系統(tǒng)的效率性

系統(tǒng)的效率是指系統(tǒng)達(dá)到預(yù)定目標(biāo)所消耗的資源。信息系統(tǒng)的效率主要取決于計(jì)算機(jī)硬件的配置和軟件設(shè)計(jì)的水平。硬件選擇要科學(xué)、合理、協(xié)調(diào)，不是越先進(jìn)越好、越貴越好。軟件設(shè)計(jì)主要是指要在充分滿足業(yè)務(wù)需求的基礎(chǔ)上構(gòu)造出高效的算法。

3 信息系統(tǒng)審計(jì)流程

信息系統(tǒng)審計(jì)有兩種組織方式：一種是將信息系統(tǒng)審計(jì)作為常規(guī)項(xiàng)目審計(jì)的一部分，是為整個(gè)審計(jì)項(xiàng)目的總體目標(biāo)服務(wù)的。另一種是獨(dú)立立項(xiàng)的信息系統(tǒng)審計(jì)，直接針對(duì)信息系統(tǒng)進(jìn)行審計(jì)，將信息系統(tǒng)本身的安全性、可靠性和有效性作為審計(jì)目標(biāo)。不管哪種組織方式，其流程是相同的，分為準(zhǔn)備階段、實(shí)施階段、報(bào)告階段。

3.1 準(zhǔn)備階段

信息系統(tǒng)都是根據(jù)本單位業(yè)務(wù)流程開發(fā)出來的，因此，調(diào)查了解被審計(jì)單位的業(yè)務(wù)流程以及及信息系統(tǒng)基本情況應(yīng)該作為審計(jì)工作的第一步。審計(jì)人員進(jìn)入被審計(jì)單位了解信息系統(tǒng)開發(fā)使用情況、業(yè)務(wù)量大小和數(shù)據(jù)完整程度，以判斷是否適合開展信息系統(tǒng)審計(jì)以及風(fēng)險(xiǎn)大小。然后審計(jì)人員要明確審計(jì)目的，確定審計(jì)范圍和重點(diǎn)，制訂信息系統(tǒng)審計(jì)實(shí)施方案，確定所需的時(shí)間、人員和測(cè)試所需的軟件及硬件設(shè)備。在調(diào)查階段還可以預(yù)先進(jìn)行數(shù)據(jù)庫分析工作，分析數(shù)據(jù)庫中表的結(jié)構(gòu)以及字段名。這樣在正式實(shí)施審計(jì)時(shí)能夠節(jié)約時(shí)間、提高效率。

3.2 實(shí)施階段

在實(shí)施階段，審計(jì)人員的工作主要是采用相應(yīng)的審計(jì)方法，對(duì)信息系統(tǒng)進(jìn)行測(cè)試、分析，取得審計(jì)證據(jù)。其中的重點(diǎn)環(huán)節(jié)分為內(nèi)部控制審計(jì)、應(yīng)用程序?qū)徲?jì)和系統(tǒng)安全性審計(jì)等部分。

3.2.1 內(nèi)部控制審計(jì)

為了對(duì)信息系統(tǒng)的內(nèi)控制度進(jìn)行評(píng)價(jià)，審計(jì)人員必須驗(yàn)證內(nèi)部控制制度是否合理，并取得審計(jì)證據(jù)，證明內(nèi)控制度的完整性和有效性。（1）組織管理控制審計(jì)：檢查被審計(jì)單位信息系統(tǒng)的管理制度，了解被審計(jì)單位是否制定了完善的人員分工、業(yè)務(wù)授權(quán)和崗位職責(zé)分離制度，是否建立了內(nèi)部監(jiān)督和考核機(jī)制。（2）數(shù)據(jù)安全控制審計(jì)：檢查信息系統(tǒng)以及數(shù)據(jù)庫有無加密措施或是權(quán)限設(shè)置來控制未經(jīng)授權(quán)的人員進(jìn)行系統(tǒng)文件及數(shù)據(jù)的存取。（3）計(jì)算機(jī)病毒及控制審計(jì)：信息系統(tǒng)是否有良好的硬件和軟件措施來防止計(jì)算機(jī)病毒入侵，病毒軟件是否定期升級(jí)以及是否有漏洞掃描措施。（4）環(huán)境控制審計(jì)：實(shí)地檢查機(jī)房物理環(huán)境，審查是否為信息系統(tǒng)硬件設(shè)備提供必要的工作環(huán)境，保證設(shè)備正常運(yùn)轉(zhuǎn)。（5）信息系統(tǒng)開發(fā)維護(hù)控制審計(jì)：審計(jì)人員應(yīng)對(duì)系統(tǒng)的開發(fā)維護(hù)過程進(jìn)行審查，應(yīng)審查是否有立項(xiàng)申請(qǐng)報(bào)告，報(bào)告是否經(jīng)過專家論證，審查是否有系統(tǒng)說明書對(duì)開發(fā)過程進(jìn)行控制等。（6）災(zāi)難恢復(fù)控制審計(jì)：檢查是否有系統(tǒng)災(zāi)難恢復(fù)計(jì)劃，評(píng)估計(jì)劃的充分性和實(shí)效性。是否定期或在重要操作前對(duì)數(shù)據(jù)進(jìn)行備份，是否有異地容災(zāi)或備份設(shè)施，以減少意外導(dǎo)致?lián)p失的可能性。（7）數(shù)據(jù)處理控制：檢查應(yīng)用程序的的輸入、處理和輸出控制是否健全有效。（8）應(yīng)用程序控制：檢查程序編碼是否符合規(guī)章制度的規(guī)定，是否正確地進(jìn)行了邏輯處理。

內(nèi)部控制審計(jì)的主要方法包括：詢問法、檢查法、觀察法等。詢問法是指與被審計(jì)單位人員面對(duì)面交談、詢問有關(guān)情況以收集審計(jì)證據(jù)的方法；檢查法主要是檢查與信息系統(tǒng)有關(guān)的文檔，以了解信息系統(tǒng)的總體情況、控制情況以及開發(fā)設(shè)計(jì)情況等，并將檢查過程和結(jié)果記入工作底稿中；觀察法是審計(jì)人員對(duì)信息系統(tǒng)的物理環(huán)境、硬件設(shè)施和辦公場(chǎng)所，對(duì)信息系統(tǒng)的開發(fā)設(shè)計(jì)、構(gòu)成和操作情況進(jìn)行了解，對(duì)控制措施的實(shí)施進(jìn)行實(shí)地查看的方法。

3.2.2 應(yīng)用程序?qū)徲?jì)

程序是差錯(cuò)和舞弊最容易發(fā)生的地方，只有通過對(duì)應(yīng)用程序進(jìn)行審計(jì)，才能對(duì)系統(tǒng)的合規(guī)性、合法性、正確性、有效性做出評(píng)價(jià)。應(yīng)用程序?qū)徲?jì)方法包括：測(cè)試數(shù)據(jù)法 、程序編碼代碼檢查法、程序運(yùn)行結(jié)果檢查法、平行模擬法、嵌入審計(jì)模塊法、虛擬實(shí)體法、受控處理法、受控再處理法和日志檢查法等。（1）測(cè)試數(shù)據(jù)法是指審計(jì)人員把預(yù)先設(shè)計(jì)好的檢測(cè)數(shù)據(jù)輸入到計(jì)算機(jī)中，讓被審計(jì)程序處理，觀察比較輸出是否與預(yù)期相符。（2）程序編碼檢查法是通過對(duì)被審程序的指令逐條來發(fā)現(xiàn)存在的問題，并對(duì)程序的合法性、能否完成預(yù)定功能及其質(zhì)量進(jìn)行評(píng)判的方法。（3）程序運(yùn)行結(jié)果檢查法是指通過對(duì)系統(tǒng)輸出結(jié)果的檢查，來判斷信息系統(tǒng)處理功能的正確性和有效性。（4）平行模擬法是指審計(jì)人員自己或請(qǐng)計(jì)算機(jī)專業(yè)人員開發(fā)一個(gè)與被審計(jì)單位信息系統(tǒng)或程序模塊功能相同的模擬系統(tǒng)，將被審計(jì)單位的實(shí)際數(shù)據(jù)放入模擬系統(tǒng)中運(yùn)行，觀察其輸出是否與被審計(jì)單位信息系統(tǒng)相一致。（5）嵌入審計(jì)模塊法是在被審計(jì)單位的信息系統(tǒng)中加入為執(zhí)行特定的審計(jì)功能而設(shè)計(jì)的程序代碼，它可以在特定的條件下觸發(fā)，為審計(jì)人員提供有關(guān)數(shù)據(jù)和報(bào)告。（6）虛擬實(shí)體法是對(duì)測(cè)試數(shù)據(jù)法的改良，一般是在信息系統(tǒng)中建立虛擬的實(shí)體，然后將虛擬實(shí)體的有關(guān)數(shù)據(jù)與真實(shí)的數(shù)據(jù)一起輸入信息系統(tǒng)進(jìn)行處理，最后將輸出結(jié)果與預(yù)期進(jìn)行比較，確定信息系統(tǒng)的控制功能是否發(fā)生作用。（7）受控處理法是指審計(jì)人員在對(duì)被審計(jì)單位的真實(shí)業(yè)務(wù)數(shù)據(jù)在處理之前先進(jìn)行核實(shí)，然后在被審計(jì)單位的信息系統(tǒng)中監(jiān)督處理或親自處理，并將處理結(jié)果與預(yù)期結(jié)果進(jìn)行比較分析，以判斷被審計(jì)單位的系統(tǒng)是否符合規(guī)定的要求。（8）受控再處理法是將已經(jīng)由被審計(jì)單位處理過的數(shù)據(jù)，在審計(jì)人員的監(jiān)督下，或由審計(jì)人員親自在相同的信息系統(tǒng)上再處理一次，將二次處理的結(jié)果相比較，判斷當(dāng)前的信息系統(tǒng)程序是否符合既定要求。（9）日志檢查法是指通過對(duì)系統(tǒng)自動(dòng)記錄日志的檢查來推測(cè)信息系統(tǒng)的處理和控制功能是否正常。

3.2.3 系統(tǒng)安全性審計(jì)

信息系統(tǒng)安全審計(jì)的內(nèi)容有：數(shù)據(jù)庫安全審計(jì)、網(wǎng)絡(luò)安全審計(jì)和邏輯訪問控制審計(jì)。

數(shù)據(jù)庫安全是保證信息系統(tǒng)能夠正常運(yùn)行的基礎(chǔ)，數(shù)據(jù)庫安全審計(jì)是系統(tǒng)安全性測(cè)試審計(jì)的一個(gè)重要環(huán)節(jié)。數(shù)據(jù)庫安全審計(jì)的重點(diǎn)是分析和測(cè)試數(shù)據(jù)庫數(shù)據(jù)的一致性、完整性，數(shù)據(jù)規(guī)劃的合理性，以及數(shù)據(jù)庫訪問的安全性。

網(wǎng)絡(luò)安全審計(jì)需要審查信息系統(tǒng)的數(shù)據(jù)在傳輸中是否完整、安全。檢查網(wǎng)絡(luò)是否有能力阻止黑客入侵、木馬攻擊，是否配備防火墻。是否有文件共享檢測(cè)、流量監(jiān)測(cè)以及對(duì)異常流量的識(shí)別和報(bào)警，網(wǎng)絡(luò)設(shè)備運(yùn)行的監(jiān)測(cè)等。

邏輯訪問控制審計(jì)檢查是否只有被授權(quán)的用戶才能使用信息系統(tǒng)、訪問信息系統(tǒng)中的信息。比如檢查授權(quán)用戶密碼強(qiáng)度是否足夠，檢查操作人員是否進(jìn)行分工，是否經(jīng)過授權(quán)操作且只能操作特定模塊，用戶開設(shè)、終止、授權(quán)是否存在漏洞等。

3.3 報(bào)告階段

在報(bào)告階段，審計(jì)人員要按照審計(jì)實(shí)施方案要求，依據(jù)審計(jì)記錄和審計(jì)證據(jù)，評(píng)價(jià)信息系統(tǒng)的真實(shí)性、合法性、效益性和安全性，分析信息系統(tǒng)的控制缺失程度、風(fēng)險(xiǎn)水平、成因和責(zé)任，形成審計(jì)結(jié)論，提出改進(jìn)信息系統(tǒng)控制、防范系統(tǒng)控制缺失產(chǎn)生審計(jì)風(fēng)險(xiǎn)的審計(jì)意見和建議。

信息系統(tǒng)審計(jì)作為一種全新的審計(jì)方式，是信息化發(fā)展到一定程度的必然結(jié)果。信息系統(tǒng)審計(jì)可以較好地從信息系統(tǒng)的角度發(fā)現(xiàn)舞弊問題和內(nèi)控漏洞，使得審計(jì)內(nèi)容不斷豐富完善。審計(jì)機(jī)關(guān)要想擔(dān)負(fù)起作為社會(huì)經(jīng)濟(jì)運(yùn)行的“免疫系統(tǒng)”的重要責(zé)任，就必須使信息系統(tǒng)審計(jì)有所作為。