摘要：當前企業(yè)信息化快速發(fā)展，開展信息系統(tǒng)審計勢在必行。本文介紹了信息系統(tǒng)審計的概念和內(nèi)容以及具體的工作流程、工作方法，并對信息化環(huán)境下，企業(yè)如何開展信息系統(tǒng)審計工作提出了自己的建議。

關(guān)鍵詞：信息系統(tǒng)審計 風(fēng)險 控制

當前企業(yè)信息化發(fā)展迅速，在實現(xiàn)手工操作到電子化過程中，其經(jīng)營效率得到了不斷提升。同時，企業(yè)對信息系統(tǒng)的依賴性也越來越強，面臨巨大的安全風(fēng)險。因此，企業(yè)內(nèi)審部門應(yīng)著力推進信息系統(tǒng)審計，加強風(fēng)險防范，為企業(yè)信息系統(tǒng)的安全穩(wěn)定運行提供可靠的保證。本文將圍繞企業(yè)如何開展信息系統(tǒng)審計工作談?wù)剛€人的幾點看法。

一、信息系統(tǒng)審計的概念

到目前為止，國際上對信息系統(tǒng)審計還沒有固定、統(tǒng)一的定義。國際信息系統(tǒng)審計委員會（ISACA）定義為 “為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的信息系統(tǒng)審計師，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向信息系統(tǒng)審計對象的最高領(lǐng)導(dǎo)層，提出問題與建議的一連串的活動”。所以信息系統(tǒng)審計所關(guān)注的內(nèi)容不單純是對電子數(shù)據(jù)、財務(wù)信息的處理，而是對企業(yè)整個信息系統(tǒng)的可靠性、安全性進行了解和評價過程。信息系統(tǒng)審計涉及到了信息系統(tǒng)的整個生命周期，這不僅是技術(shù)問題，更是一個管理問題。

二、信息系統(tǒng)審計的內(nèi)容

根據(jù)對信息系統(tǒng)審計概念的理解，企業(yè)開展信息系統(tǒng)審計應(yīng)該涵蓋其所有的業(yè)務(wù)應(yīng)用系統(tǒng)以及涉及信息系統(tǒng)建設(shè)生命周期中所有的活動與資源。其審計內(nèi)容具體如下：

1．信息系統(tǒng)管理流程審計。開展信息系統(tǒng)管理流程審計主要是確保企業(yè)擁有適當?shù)慕Y(jié)構(gòu)、政策、工作職責、運營管理機制和監(jiān)督實務(wù)，以達到公司治理中對IT 方面的要求。主要內(nèi)容是評估企業(yè)評估信息技術(shù)工作條例或工作程序是否健全、執(zhí)行是否有效。具體包括評估信息技術(shù)部門的職責分工，評估信息系統(tǒng)取得、開發(fā)、購置、引進的制度和流程，評估生產(chǎn)系統(tǒng)的運行維護的制度和流程，評估項目管理、項目監(jiān)理的制度和流程，評估信息系統(tǒng)的安全管理制度等等。

2．信息系統(tǒng)技術(shù)平臺審計。開展信息系統(tǒng)技術(shù)平臺審計主要內(nèi)容是檢查企業(yè)是否有適當?shù)陌踩?guī)范，以保證信息資產(chǎn)的機密性、完整性和有效性。具體包括評估網(wǎng)絡(luò)設(shè)備運行與安全管理，比如路由器、防火墻、通信線路等等；評估硬件設(shè)備運行與安全管理，比如小型機、服務(wù)器、存儲設(shè)備等等；評估數(shù)據(jù)庫、操作系統(tǒng)等運行平臺的運行與安全管理，比如Unix、數(shù)據(jù)庫、應(yīng)用開發(fā)工具、項目管理工具、防/殺毒工具等等。

3．信息系統(tǒng)工程項目審計。開展信息系統(tǒng)工程項目審計主要是評估信息系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理的有效性。具體內(nèi)容包括評估項目啟動、立項、需求分析、系統(tǒng)設(shè)計、開發(fā)、測試、驗收、推廣過程的有序性、有效性，檢查系統(tǒng)開發(fā)生命周期中的每一個程序是否均被嚴格執(zhí)行，檢查項目監(jiān)理是否起到應(yīng)有作用，檢查各類項目文檔是否齊全。

4．信息系統(tǒng)生產(chǎn)過程審計。信息系統(tǒng)生產(chǎn)過程的審計首先是評估數(shù)據(jù)流與業(yè)務(wù)流的吻合情況，即信息系統(tǒng)對需求的滿足度及信息系統(tǒng)操作流程與業(yè)務(wù)操作流程的吻合度。其次是評估生產(chǎn)過程中的風(fēng)險控制，主要是評估或測試信息系統(tǒng)中的關(guān)鍵控制點是否得到有效控制。比如評估數(shù)據(jù)訪問授權(quán)、系統(tǒng)功能授權(quán)、業(yè)務(wù)操作授權(quán)、業(yè)務(wù)審批決定授權(quán)等權(quán)限管理是否有效，是否擁有防止非法進行數(shù)據(jù)修改的措施。信息系統(tǒng)的使用者和系統(tǒng)的開發(fā)者是否分離，被審計部門對交易錄入的原始數(shù)據(jù)是否實施相應(yīng)的控制等等。

三、信息系統(tǒng)審計的工作流程

信息系統(tǒng)審計的工作流程主要包括確定審計范圍、做好審計準備、進行審計評估、出具審計報告、提供專業(yè)建議等過程。

首先，確定審計范圍，編制審計計劃。一般情況下根據(jù)審計目標確定審計范圍。在此基礎(chǔ)上制定審計預(yù)案，編制審計計劃。審計預(yù)案中要明確審計依據(jù)、審計小組成員職責分工、審計工作程序、審計工作文檔模板與案例、審計時間表，并注明需重點關(guān)注的地方，也就是確定審計重點。審計預(yù)案可以人手一份，明確每個審計小組成員的責、權(quán)、利，有助于提高審計效率。

其次，在實施具體的審計評估工作時，應(yīng)對照審計依據(jù)，了解被審計部門的信息系統(tǒng)管理流程、技術(shù)基礎(chǔ)平臺、生產(chǎn)系統(tǒng)運行與維護的管理制度，通過關(guān)鍵點測試等方式做出公正、客觀的評估。完成后還需出具詳細的審計報告，對被審計信息系統(tǒng)或?qū)ｍ棻粚徲媽ο筮M行鑒證，并提出必要的管理建議，促進或幫助被審計部門提高信息系統(tǒng)管理水平。

最后，我們還要做好審計結(jié)果追蹤工作，檢查、督促被審計部門做好整改工作，以達到我們的審計目的。

四、當前企業(yè)開展信息系統(tǒng)審計的建議

我國企業(yè)的信息系統(tǒng)審計尚處于探索、起步階段，需要一個漸進的過程。在當前情況下，企業(yè)內(nèi)部審計部門應(yīng)做好以下幾方面的準備工作：

第一，建立國際標準框架下的信息系統(tǒng)審計標準與規(guī)范體系

從國外的信息系統(tǒng)審計實踐經(jīng)驗來看，大多數(shù)企業(yè)都是在自己的信息系統(tǒng)審計體系下，遵循著一套行之有效的國際標準或規(guī)范。如COBIT、BS7799、COSO、ITIL等等。我國企業(yè)也要參照國際通常做法，結(jié)合本企業(yè)實際，確立自己的信息系統(tǒng)審計標準與規(guī)范；同時，進一步明確信息系統(tǒng)審計的技術(shù)角色，強化信息系統(tǒng)審計的技術(shù)特色，把信息系統(tǒng)審計技術(shù)角色分為應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)與硬件、管理四個大類。不同的技術(shù)角色分別負責信息系統(tǒng)生命周期中不同階段的不同領(lǐng)域的控制、分析和評價，確立風(fēng)險控制的重點，建立相應(yīng)的風(fēng)險評估指標，切實提高本企業(yè)信息系統(tǒng)審計的專業(yè)化水準。

第二，建立全方位的信息系統(tǒng)審計管理體系

目前，我國大多數(shù)企業(yè)在對信息系統(tǒng)安全評價時，主要側(cè)重反病毒、防火墻、系統(tǒng)備份等技術(shù)方面，而對信息系統(tǒng)審計在信息系統(tǒng)控制、風(fēng)險管理以及公司治理中的作用沒有給予足夠的重視。因此，企業(yè)要加緊完善公司治理機制，建立信息系統(tǒng)風(fēng)險控制委員會，定期對信息系統(tǒng)風(fēng)險管理情況進行研究，推進信息系統(tǒng)審計工作中故障發(fā)現(xiàn)、風(fēng)險評估和風(fēng)險防范措施的落實，督促指導(dǎo)信息系統(tǒng)審計人員的工作。從信息系統(tǒng)審計的對象來看，信息系統(tǒng)審計既包括軟硬件系統(tǒng)，也包括對企業(yè)的業(yè)務(wù)持續(xù)性審計，以及信息系統(tǒng)項目的組織、策劃、服務(wù)管理等諸多方面。因此，企業(yè)的信息系統(tǒng)審計小組成員要包括信息系統(tǒng)專家、銀行業(yè)務(wù)專家、咨詢專家等等，以保證信息系統(tǒng)審計工作高效運行。此外，企業(yè)的上級監(jiān)管部門也要加強監(jiān)管工作，來督促企業(yè)加強自身的信息系統(tǒng)安全。

第三，加快信息系統(tǒng)審計專門人才培養(yǎng)工作，適應(yīng)發(fā)展需求

開展信息系統(tǒng)審計要求審計人員不但在業(yè)務(wù)方面有很強的能力，而且也要在在計算機數(shù)據(jù)庫理論、實務(wù)操作等方面也有較高的造詣，即需要一批既掌握現(xiàn)代審計理論與實務(wù)又了解計算機技術(shù)并且通曉被審計單位業(yè)務(wù)的復(fù)合型專業(yè)人才。但從目前的審計人員數(shù)量和知識結(jié)構(gòu)來看，還遠遠不夠。我們必須加快信息系統(tǒng)審計專門人才培養(yǎng)、儲備工作以適應(yīng)審計工作的發(fā)展需求。

第四， 推廣先進的信息系統(tǒng)審計技術(shù)，提高工作效率

從國內(nèi)外開展信息系統(tǒng)審計實踐經(jīng)驗來看，借助先進技術(shù)進行非現(xiàn)場審計已是大勢所趨。企業(yè)應(yīng)根據(jù)自身信息系統(tǒng)發(fā)展現(xiàn)狀，將現(xiàn)場審計和非現(xiàn)場審計有效結(jié)合，合理配備審計資源，采用靈活的、可配置的審計模型及數(shù)據(jù)分析探測工具，構(gòu)建科學(xué)、有效的風(fēng)險識別、監(jiān)測和評估體系，在實踐中總結(jié)經(jīng)驗，不斷提高審計工作的效率和效果。

總之，企業(yè)推進信息系統(tǒng)審計，關(guān)鍵在行動，通過探索、嘗試、總結(jié)、完善，使之成為企業(yè)信息化風(fēng)險防范的制度化措施。促進信息系統(tǒng)安全、穩(wěn)定、持續(xù)運行從而為企業(yè)的信息化建設(shè)和長遠發(fā)展提供強有力的技術(shù)保障。

參考文獻：

[1] 武宗山，信息系統(tǒng)內(nèi)部控制的審計評價指標分析，《信息技術(shù)論壇》，2003.9

[2]張英明， IT 環(huán)境下信息系統(tǒng)內(nèi)部控制研究，《中國會計電算化》， 2003.10

[3]胡曉明，信息系統(tǒng)審計理論體系的構(gòu)建，《中國注冊會計師》， 2006.06

[4]李長青，王琴，企業(yè)信息系統(tǒng)審計的研究，《中國管理信息化》， 2007.01.

（責任編輯：何小軍）