信息系统审计简述

田佳林

一、信息系统审计的涵义

信息系统审计在发展初期也称为电子数据处理审计。关于信息系统的定义还未形成统一的认识。笔者列举了以下两种主流的说法：

一是美国信息系统审计权威专家威伯（RonWeber）教授对信息系统审计的定义：“收集证据并对所收集的证据进行评价的一项活动，以决定会计信息系统是否在最经济地使用资源的同时，实现了有效保护资产、维护数据完整、完成组织目标等预期功能。”

二是国际信息系统审计和控制协会（ISACA）的定义：“信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。”

信息系统审计虽然尚无一个统一明确的定义，但都体现了信息系统审计是“由审计机构、审计人员对与被审单位经营活动密切相关的信息系统的安全性、可靠性和有效性进行检查评估，并提出改进意见的系列活动”。

二、信息系统审计的目标

信息系统审计的目标主要是对信息系统真实性、完整性等六方面要素的评估、反馈保证及建议。

1.真实性。信息系统中的数据要真实地反映企业的生产经营活动。要通过数字签名等一系列技术手段和保留不可更改记录、定期审计等管理手段确保数据的真实性。

2.完整性。完整性信息具有不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、存储和传输。

3.合法性。系统在购买、使用、开发、更新、维护、转移等过程中必须符合相关法律、法规、准则、行规以及企业内部的规定等。

4.安全性。安全性是指信息系统在遭受各种因素破坏的情况下，仍然能够正常运行的概率。威胁信息系统安全的因素有外部和内部两种。外部主要是黑客的入侵、病毒的攻击、线路的侦听等，内部主要是被授权的用户访问和修改、删除等操作。安全性是真实性的基础之一。

5.可靠性。可靠性也是真实性的基础之一，是指信息系统在遭受非人为因素破坏或人为差错影响的情况下仍然能够正常运行的概率。威胁信息系统可靠性的因素包括自然灾害对硬件和环境的破坏以及误操作对软件和硬件的破坏等。

6.效果和效率。效果是指应用信息系统以后，企业在生产控制、管理质量、提供产品和服务等方面发生的变化。效率是指信息系统的应用在企业劳动生产率的提高方面所起的作用。

三、信息系统审计的业务范围

为了支持企业更有效运营和加强企业抵御风险的能力，信息系统需要完全地集成企业所有重要的过程和程序。所以，信息系统审计的业务范围应该包括以下几个方面：

（1）信息系统的管理、规划与组织——评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。

（2）信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标。

（3）资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。

（4）灾难恢复与业务持续计划——这些计划是在发生灾难时，能够使组织的业务持续进行，对这种计划的建立和维护流程需要进行评价。

（5）应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。

（6）业务流程评价与风险管理——评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。

四、信息系统审计的业务活动

一般来说，信息系统审计的业务活动可以按照信息系统的生命周期或内部控制要求进行安排。

（一）按照信息系统生命周期安排审计业务活动

按照信息系统的生命周期，信息系统审计要求对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价，以审查企业信息系统是否安全、可靠、有效，保证信息系统得出准确可靠的数据。信息系统生命周期审计的基本业务主要包括信息系统开发审计和信息系统维护审计。

1.信息系统开发审计。信息系统开发审计包括对开发过程、开发方法、应用开发测试、系统功能实现等方面的审计。执行信息系统开发审计的人员需要明确信息系统开发流程是否包括计划、组织、监控等内容，系统开发过程是否被划分为子流程／阶段，子流程／阶段是否有明确的定义；评价所用的开发方法是否恰当，开发过程中所用的测试是否充分，系统实现的功能是否与预定功能相符。信息系统开发审计报告可以为信息系统开发指导委员会及变化控制委员会提供咨询服务。

2.信息系统维护审计。信息系统审计不应该仅仅包括对开发过程的审计，更重要的是对信息系统实施后运行和维护过程的审计。其主要审计要求是：

（1）确定是否有维护计划，维护工作是否得到负责人的批准，系统是否按照维护计划进行了维护；

（2）确认是否存在未经授权擅自修改或更改系统的问题；

（3）确定维护工作是否保护了应用程序，并使程序库不受非法访问；

（4）确定系统维护后是否经过充分测试，用户是否参与了系统维护后的测试工作；

（5）确定是否对每一次维护工作都有详细的记录；

（6）确定系统维护后文档资料是否及时更新。

（二）按照信息系统内部控制要求安排审计业务活动

建立、健全内部控制是被审计单位规范、强化内部管理的重要手段，信息系统控制是企业内部控制的重要组成部分。信息系统控制是一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊，合理确保信息系统提供信息的真实、合法、完整而制定和实施的一系列政策与程序措施。信息系统内部控制审计可以分为信息系统一般控制审计和信息系统应用控制审计。

1.信息系统一般控制审计。信息系统一般控制是应用于一个单位信息系统全部或较大范围，其基本目标是保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的持续运行。

2.信息系统应用控制审计。信息系统应用控制是对具体应用系统的控制，每一个具体的应用程序所要解决的问题是不同的，所涉及的数据和处理方法等均各具特点。针对这些具体的应用程序所进行的有针对性的控制，就是应用控制。应用控制又分为输入控制、计算机处理与数据文件控制和输出控制。

五、信息系统审计过程及具体任务

审计过程是审计工作从开始到结束的整个过程，可以分为计划阶段、实施阶段和报告阶段。

（一）计划阶段

计划阶段的主要任务包括：

1.调查被审单位的基本情况，初步评价固有风险。审计人员首先应了解被审单位的基本情况。需要了解的基本情况包括：第一，被审单位的业务性质和生产经营情况。第二，被审单位的组织结构和管理水平。第三，被审单位信息系统一般情况，即信息系统的结构，所使用的软硬件和网络设施以及运行环境。第四，被审单位应用系统及其所处理的交易和事项的类型。

2.调查被审单位信息系统的内部控制，评价控制风险。在计划阶段，审计人员应了解被审单位的内部控制特别是信息系统内部控制，对内部控制的健全和有效性进行评估，初步确定控制风险的大小。

3.评估审计风险，确定重要性水平。为了合理使用审计资源，有效地实现审计目标，在制定审计计划时审计人员应评估审计风险，确定重要性水平。重要性水平是指在审计事项中，能够容忍出现差错的程度和大小。

4.编制审计计划。在对被审单位的风险进行初步评估，确定重要性水平后，审计人员应当编制审计计划。审计计划的内容包括：被审单位的基本情况、审计的范围和重点、审计的步骤和时间安排、审计人员分工、所运用的信息系统审计方法、审计中应当注意的事项和其他内容等。

（二）实施阶段

实施阶段是根据计划阶段确定的范围、重点、步骤和方法，进行有针对性的评价，并形成审计结论的过程，主要由符合性测试和实质性测试两个阶段构成。

1.实施符合性测试。符合性测试的目的是检查内部控制措施是否健全有效。审计人员需要对被审单位的控制系统进行识别、测试和评价。审计人员通过与相关人员面谈、设计调查问卷以及查阅信息系统和控制系统说明文件等方法，识别被审单位的控制系统以及控制环境，并将调查情况记录在审计工作底稿中。

2.实施实质性测试。实质性测试是对信息系统控制进行的详细测试，以获得这些控制在审计期间是否真实存在并合法有效的审计证据。实质性测试主要通过测试必要的数据，对信息系统达到特定的控制目标的程度进行评价。

（三）报告阶段

在审计报告阶段，审计人员应运用专业判断，综合收集到的相关证据，以经过核实的审计证据为依据，形成审计意见，出具审计报告。审计报告中除了对被审单位信息系统的安全性、可靠性、有效性发表审计意见之外，还针对信息系统内部控制和管理等方面的问题提出相关的建议。

在正式发布审计报告之前，审计人员还应考虑其后面事项的影响。在现场审计工作结束日到发布审计报告日之间一般都会有一段时间，审计人员应考虑在此期间被审单位及其信息系统是否发生导致重大变化的事项。