浅议信息系统审计

马小飞

摘 要 近年来，信息系统应用越来越广泛，用信息技术舞弊的风险也在增加，信息系统审计势在必行。本文回顾了信息系统审计的发展历程，结合笔者多年来开展信息系统审计的经验，对信息系统审计的含义、目标、内容和方法进行了概括性的介绍，以期能对信息系统审计实务有所助力。

关键词 信息系统审计 一般控制 应用控制 项目管理

信息系统审计是伴随着信息系统的发展而发展的，20世纪60年代以后，特别是会计电算化之后，信息系统审计萌芽，80年代，集成信息系统开始发展。此时，信息系统审计师成为一种职业，而现代意义上的信息系统审计产生于世纪之交。随着计算机技术的进步，特别是互联网的广泛应用，加之政府、企业对信息系统的依赖越来越高，利用信息技术舞弊的风险也在增加，信息系统审计有了更加丰富的内涵和外延。

一、信息系统审计的定义

国际信息系统审计协会（ISACA）对信息系统审计的定义：信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效地利用组织的资源并有效地实现组织目标的过程。

我国审计署对信息系统审计的定义：国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。

二、信息系统审计的目标

信息系统审计目标是通过检查和评价被审计单位信息系统的安全性、有效性和经济性及系统数据的真实性、完整性，揭示信息系统存在的风险和问题，提出完善信息系统控制、提高效率和效益的审计意见和建议，促进被审计单位完善信息系统的内部管控、保障及其安全，增强信息系统建设项目的效益性，保证审计所需数据的可靠性和可用性，防范和控制审计风险。

三、信息系统审计的内容

信息系统审计内容主要包括对一般控制和应用控制的审计，国家审计机关开展的审计中通常还包含对项目管理的审计。

概括地说，一般控制包括信息系统总体控制，信息安全技术控制，信息安全管理控制；应用控制包括信息系统业务流程，数据输入、处理和输出的控制，信息共享和业务协同；项目管理包括信息系统建设的经济性，信息系统建设管理，信息系统绩效。

四、信息系统审计的方法

（一）一般控制审计

首先通过座谈、查阅资料、实地观察等方式，对信息系统的基本情况进行调查了解；在此基础上，根据单位和系统的特点设计下发一般控制调查表，就被审计单位信息系统相关的制度、组织管理、机房环境、硬件环境、网络环境、系统运用、数据备份与管理等多个方面进行调查；检查被审计单位的信息系统战略发展规划和相关资料，评估信息系统规划建设情况；检查与信息系统相关联的机构设置情况及信息系统建设、运维等相关岗位设置、人员配置、岗位职责等情况及制度建立情况；进行内部控制测试，并参考信息系统等级保护测评情况找出信息系统一般控制中的薄弱环节，设计信息系统的物理安全、主机安全、数据库安全的具体评测方案，并据此进行实质性审查，实地观察被审计单位的机房，查阅相关资料，在确保被审计单位信息系统数据安全的前提下，对运载信息系统的主机及数据库进行测试，并将以上具体的现场审计方式、结论等，编制现场审计记录表，由双方签字确认；检查被审计单位的网络拓扑图，了解网络环境，现场查验测试网络安全设备及网络安全措施，利用成熟的软件工具和通过相关认证的设备对网络安全进行扫描。

（二）应用控制审计

要求被审计单位协助搭建测试环境，部署测试数据库，在信息系统中建立具有全功能查询导出权限的审计临时用户，经授权后接入单位内网，登录信息系统，对各系统的功能进行测试；检查信息系统的项目需求书及流程设计文件，绘制或者查阅信息系统的业务流程图，加深对信息系统结构和承载业务流程的理解，分析信息系统的运行过程，关注信息系统控制节点和控制条件，追踪业务样本，对结果进行评估；取得被审计单位信息系统的数据库备份和关键技术资料，对备份数据进行还原、清洗、整理，分析数据结构、表间的关联关系，运用平行模拟法对信息系统核心业务后台整理生成的数据与信息系统前台检索的数据进行比对，判断逻辑处理功能是否存在明显缺陷，如果条件允许，可直接对部分核心功能的源代码进行审查；用不同权限的用户登录系统，查看系统的职责分离等必要控制情况；设计专门的测试数据，在系统中模拟业务处理的部分过程或全过程，并将测试数据的模拟处理结果与预期处理结果进行比对；与应用信息系统相关人员进行座谈并下发调查问卷，询问他们业务流程、数据输入、处理、输出的相关情况，进一步了解系统的功能、业务处理流程，以及系统是否方便、有效，数据是否准确、完整；对信息系统前台导出数据进行分析，对数据的规范性、完整性，报表的准确性进行审查。

（三）项目管理审计

检查信息系统项目建议书、可行性研究报告、项目需求报告、投标单位的响应文件，询问相关人员并登录系统查验确认交付成果与建设目标的符合程度；了解系统服务对象使用信息系统情况，了解核心业务对系统的依赖程度，編制信息系统项目管理调查表、信息系统使用情况调查表、信息系统满意度调查表，对使用信息系统的内部和外部进行调查，收集到调查结论后，再进一步延伸落实；设计指标评价体系，根据信息系统建设、培训、升级、运维等投入，以及信息系统的运行情况和使用情况，整体评估信息系统的经济性。

五、几点建议

第一，一般控制审计专业性强，全面开展难度较大，可聘用具有专业资格的人员协助开展，或征得被审计单位同意后，聘用有资质的公司独立审查，并出具审查结论。

第二，调查表是一种简单、直接、高效的方式，可在审计中多次使用，并根据情况适时完善，统筹分析，有助于提高审计效率。

第三，信息系统审计内涵非常丰富，实务中不要面面俱到，应根据单位、系统特点和参审人员情况，合理选择审计的重点和方法。

（作者单位为东营市审计局）

参考文献

[1] 石爱中，周德铭，王智玉，杨蕴仪.信息系统审计实务[M].北京：中国时代经济出版社，2012.

[2] 吴桂英，唐志豪，冯占国.信息系统审计理论与实务[M].北京：清华大学出版社，2012.endprint