1、通过对信息系统的审计,保证信息系统的可信度,促进内控体系的规范建设,信息系统审计已成为摆在企业管理人员案头迫切需要开展的重要工作。在我国信息化推进过程中,存在不同程度上的一些问题,主要表现在规划制订不够科学,项目管理不够严格,监理机制不够健全,系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标,浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。一、审计信息系统系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。审计信息系统最早称为计算机审计,计算机审计业务主要
2、关注对被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。随着计算机技术应用范围的不断扩展,计算机审计所关注的内容也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。计算机审计的业务范围已经覆盖了一项审计业务的全过程,信息系统审计的概念随之出现。在建立信息系统审计制度,开展信息系审计研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审
3、计(SYSTEM AUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)即ISACA,总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人,它是从事信息系统审计的专业人员唯一的国际性组织,CISA(Certified Information System Auditor)也是这一领域的唯一职业资格。在很多大型公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商
4、务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外会计、审计界的一个共识。信息系统审计师的地位也在不断提高。在国外的一些大型会计公司中已经出现了没有CPA资格的合伙人,他们持有的专业资格就是CISA.据专家介绍,国际信息系统审计师目前已经成为全球范围最抢手的高级人才。在初期,信息系统审计是作为传统审计业务的一部分,在审计师对由计算机系统处理的数据的质量
5、进行判断时提供技术支持。有信息系统审计技能的审计师被看作是会计师事务所的技术资源,在必要时为同事提供技术支持。对于信息系统审计,需求领域很广。如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等等。二、构建信息系统审计系统审计的建立是一项复杂的系统工程,所以应制订长远的开发规划,由简到繁分阶段逐步实现。它的功能应该是:实现审计信息的收集、处理和共享;实现审计日常管理的自动化;通过计算机建立程序
6、化的标准审计方法和统一的审计标准,从而提高审计工作的效率和质量。实现审计管理规范化;保证审计作业规范化;促进审计文档规范化;审计质量监督规范化;提高审计结论的层次。基于上述的系统目标,信息系统审计当前应由审计证据管理子系统、信息系统安全标准子系统、信息系统安全评估子系统、项目管理审计子系统和信息系统审计法律标准子系统等五个子系统组成。审计证据管理子系统审计证据收集传统方法收集审计证据通过数据接口直接向计算机会计信息系统获取审计证据在线系统审计证据收集计算机网络系统审计证据收集2审计证据评价真实性。查明审计证据的来源、形成的时间、地点、制作过程及设备情况,有无伪造和删改的可能性。一般说来,由第三
7、方来储存记录或转存的证据具有较高的证据效力;被审计事项的事实和行为发生时留下的证据的效力较以后专为诉讼的目的而形成的证据更为真实;对于自相矛盾、内容前后不一致或不符合情理的审计证据,应小心对待,不可轻信,对不能排除合理怀疑的审计证据不得采纳。合法性。包括收集手段是否合法和形式条件是否合理两部分。有些审计证据其本身也有证据力,但在收集过程中,违背了规定的手续和程序,因而也就不具有法律效力,也不能用来证实问题,为此,鉴定分析审计证据时,要了解证据是以什么方法、在什么情况下取得的,是否违背了法定的程序和要求,是否符合法律规定的形式要件,这样有利于判明审计证据的真伪程度和效力。相关性。查明审计证据反映
8、的事实与被审计事项有无关系,只有与被审计事项的事实或逻辑上是相关的事实才能被认为是证据。结合其他证据进行鉴定分析。将审计过程中收集的全部证据综合起来加以分析、判断。如审查计算机审计证据中有无数据、图表等反映的事实,同有关书证、物证、证人证言进行分析,明确是否互相一致,是否有矛盾。如果与其他证据相一致,共同指向同一事实,就可以认定其效力,可以作为审计证据。反之则不能作为审计证据。信息系统安全标准子系统构建通用的信息系统安全标准,作为信息系统审计工作中的参考标准。信息系统安全标准是由高级管理人员制定的最小标准、规则构成的集合,所以必须加以实现,以确保信息系统安全政策的实现。信息系统安全标准需要指明
9、每个信息系统控制的详细要求。它为管理人员提供一个基准或底线,可以照此对单个信息系统控制的适当性进行评估。信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。信息系统安全评估子系统系统审计集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性; 信息系统审计资源维主要包括以信息、应用系统、设施及人在内的信息相关的资源,这是信息系统审计治理过程
10、的主要对象;信息系统审计过程则是在信息系统审计准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、获取与实施、交付与支持、监督与评估等方面确定了信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针以对信息系统审计处理过程进行评估。项目管理审计子系统项目管理系统是对审计过程进行全面指导、帮助和控制的软件,它通过对标准审计方法的各个工作流程的合理细分,使每个子流程都对应相应的计算机处理模块。从而使一个完整的审计项目可通过计算机辅助而完成,并产生各个工作环节应该生成的底稿和报告。有利于提高工作效率,为进行审计质量考核提供了极大的方便。信息系统审计法律标准子系统此系统主要
11、是实现信息资料的收集和共享。内容定期进行更新,包括:审计工作所需要的各类法律、法规、规章制度等。一般来讲,按不同层次设立,信息的共享通过系统内互联的企业网实现,还可根据信息的保密要求,设定不同的信息访问权限。三、规范信息系统审计范围其业务范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计业务等电子商务审计。1.信息系统开发计划、管理
12、及组织架构的战略、政策、标准及相应实践过程的评估;2.技术基础设施及运行实践的效能和效率的评估;3.信息资源在逻辑访问、运行环境以及IT基础设施各方面的安全性的评估;4.系统灾难恢复及保证业务连续性的能力的评估;5.业务应用系统开发、实施与维护的方法和过程的评估;6.业务流程的风险管理水平的评估;7.财务系统的评估。第一,鉴证作用。信息系统审计的鉴证价值是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。第二促进作用。促进价值体现在两个方面,一是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中;二是指审计可以促进被审计单位改进内
13、部控制,加强管理,提高信息系统实现组织目标的效率、效果。第三咨询作用。信息技术的发展为组织的管理变革提供了技术手段,组织扁平化、工作丰富化等管理变革都要信息技术来实现。信息化已是大势所趋。四、创建行业标准与实务指南 如同开展业务审计要具有相关法律法规作为审计依据一样,开展信息系统审计同样需要审计依据。国内信息系统审计方面的工作近几年才刚刚开始,基本仍处于摸索阶段,而在国家审计中更是如此。目前,由于国内关于信息系统审计方面的标准尚处于空白状态。国际上关于信息系统审计方面可以参考的标准主要有信息及相关技术控制目标COBIT、ISO17799、能力成熟度集成模型CMMI和IT基础架构库ITIL等。系
14、统审计与控制协会ISACA于1996年公布的目前国际上通用的信息系统审计的标准。它将IT 过程,IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。它是一个在国际上公认为最先进、最权威的安全与信息技术管理和控制的标准。英国国家标准局制定的BS7799-1信息安全管理实践规范,该规范于2000年12月被国际标准化组织采纳,成为ISO17799。ISO/IEC17799标准最初于1993年由英国贸易工业部立项,由标准化协会筹备起草并作为英国的标准。1995年,首次发布BS 7799-1:1995信息安全管理业务规范,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小组织以及政府部门;1998年,标准化协会发表标准的第二部分BS 7799-2信息安全管理体系规范,它规定信息安全管理体系与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,它还可以作为一个正式认证方案的根据;BS 7799-1与BS 7
