田佳林

一、信息系統(tǒng)審計的涵義

信息系統(tǒng)審計在發(fā)展初期也稱為電子數(shù)據(jù)處理審計。關(guān)于信息系統(tǒng)的定義還未形成統(tǒng)一的認識。筆者列舉了以下兩種主流的說法：

一是美國信息系統(tǒng)審計權(quán)威專家威伯（RonWeber）教授對信息系統(tǒng)審計的定義：“收集證據(jù)并對所收集的證據(jù)進行評價的一項活動，以決定會計信息系統(tǒng)是否在最經(jīng)濟地使用資源的同時，實現(xiàn)了有效保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標等預期功能?！?/p>

二是國際信息系統(tǒng)審計和控制協(xié)會（ISACA）的定義：“信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程?！?/p>

信息系統(tǒng)審計雖然尚無一個統(tǒng)一明確的定義，但都體現(xiàn)了信息系統(tǒng)審計是“由審計機構(gòu)、審計人員對與被審單位經(jīng)營活動密切相關(guān)的信息系統(tǒng)的安全性、可靠性和有效性進行檢查評估，并提出改進意見的系列活動”。

二、信息系統(tǒng)審計的目標

信息系統(tǒng)審計的目標主要是對信息系統(tǒng)真實性、完整性等六方面要素的評估、反饋保證及建議。

1.真實性。信息系統(tǒng)中的數(shù)據(jù)要真實地反映企業(yè)的生產(chǎn)經(jīng)營活動。要通過數(shù)字簽名等一系列技術(shù)手段和保留不可更改記錄、定期審計等管理手段確保數(shù)據(jù)的真實性。

2.完整性。完整性信息具有不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成、存儲和傳輸。

3.合法性。系統(tǒng)在購買、使用、開發(fā)、更新、維護、轉(zhuǎn)移等過程中必須符合相關(guān)法律、法規(guī)、準則、行規(guī)以及企業(yè)內(nèi)部的規(guī)定等。

4.安全性。安全性是指信息系統(tǒng)在遭受各種因素破壞的情況下，仍然能夠正常運行的概率。威脅信息系統(tǒng)安全的因素有外部和內(nèi)部兩種。外部主要是黑客的入侵、病毒的攻擊、線路的偵聽等，內(nèi)部主要是被授權(quán)的用戶訪問和修改、刪除等操作。安全性是真實性的基礎(chǔ)之一。

5.可靠性。可靠性也是真實性的基礎(chǔ)之一，是指信息系統(tǒng)在遭受非人為因素破壞或人為差錯影響的情況下仍然能夠正常運行的概率。威脅信息系統(tǒng)可靠性的因素包括自然災害對硬件和環(huán)境的破壞以及誤操作對軟件和硬件的破壞等。

6.效果和效率。效果是指應用信息系統(tǒng)以后，企業(yè)在生產(chǎn)控制、管理質(zhì)量、提供產(chǎn)品和服務等方面發(fā)生的變化。效率是指信息系統(tǒng)的應用在企業(yè)勞動生產(chǎn)率的提高方面所起的作用。

三、信息系統(tǒng)審計的業(yè)務范圍

為了支持企業(yè)更有效運營和加強企業(yè)抵御風險的能力，信息系統(tǒng)需要完全地集成企業(yè)所有重要的過程和程序。所以，信息系統(tǒng)審計的業(yè)務范圍應該包括以下幾個方面：

（1）信息系統(tǒng)的管理、規(guī)劃與組織——評價信息系統(tǒng)的管理、計劃與組織方面的策略、政策、標準、程序和相關(guān)實務。

（2）信息系統(tǒng)技術(shù)基礎(chǔ)設施與操作實務——評價組織在技術(shù)與操作基礎(chǔ)設施的管理和實施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標。

（3）資產(chǎn)的保護——對邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設施的安全性進行評價，確保其能支持組織保護信息資產(chǎn)的需要，防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。

（4）災難恢復與業(yè)務持續(xù)計劃——這些計劃是在發(fā)生災難時，能夠使組織的業(yè)務持續(xù)進行，對這種計劃的建立和維護流程需要進行評價。

（5）應用系統(tǒng)開發(fā)、獲得、實施與維護——對應用系統(tǒng)的開發(fā)、獲得、實施與維護方面所采用的方法和流程進行評價，以確保其滿足組織的業(yè)務目標。

（6）業(yè)務流程評價與風險管理——評估業(yè)務系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務目標對相應風險實施管理。

四、信息系統(tǒng)審計的業(yè)務活動

一般來說，信息系統(tǒng)審計的業(yè)務活動可以按照信息系統(tǒng)的生命周期或內(nèi)部控制要求進行安排。

（一）按照信息系統(tǒng)生命周期安排審計業(yè)務活動

按照信息系統(tǒng)的生命周期，信息系統(tǒng)審計要求對信息系統(tǒng)從計劃、研發(fā)、實施到運行維護各個過程進行審查與評價，以審查企業(yè)信息系統(tǒng)是否安全、可靠、有效，保證信息系統(tǒng)得出準確可靠的數(shù)據(jù)。信息系統(tǒng)生命周期審計的基本業(yè)務主要包括信息系統(tǒng)開發(fā)審計和信息系統(tǒng)維護審計。

1.信息系統(tǒng)開發(fā)審計。信息系統(tǒng)開發(fā)審計包括對開發(fā)過程、開發(fā)方法、應用開發(fā)測試、系統(tǒng)功能實現(xiàn)等方面的審計。執(zhí)行信息系統(tǒng)開發(fā)審計的人員需要明確信息系統(tǒng)開發(fā)流程是否包括計劃、組織、監(jiān)控等內(nèi)容，系統(tǒng)開發(fā)過程是否被劃分為子流程／階段，子流程／階段是否有明確的定義；評價所用的開發(fā)方法是否恰當，開發(fā)過程中所用的測試是否充分，系統(tǒng)實現(xiàn)的功能是否與預定功能相符。信息系統(tǒng)開發(fā)審計報告可以為信息系統(tǒng)開發(fā)指導委員會及變化控制委員會提供咨詢服務。

2.信息系統(tǒng)維護審計。信息系統(tǒng)審計不應該僅僅包括對開發(fā)過程的審計，更重要的是對信息系統(tǒng)實施后運行和維護過程的審計。其主要審計要求是：

（1）確定是否有維護計劃，維護工作是否得到負責人的批準，系統(tǒng)是否按照維護計劃進行了維護；

（2）確認是否存在未經(jīng)授權(quán)擅自修改或更改系統(tǒng)的問題；

（3）確定維護工作是否保護了應用程序，并使程序庫不受非法訪問；

（4）確定系統(tǒng)維護后是否經(jīng)過充分測試，用戶是否參與了系統(tǒng)維護后的測試工作；

（5）確定是否對每一次維護工作都有詳細的記錄；

（6）確定系統(tǒng)維護后文檔資料是否及時更新。

（二）按照信息系統(tǒng)內(nèi)部控制要求安排審計業(yè)務活動

建立、健全內(nèi)部控制是被審計單位規(guī)范、強化內(nèi)部管理的重要手段，信息系統(tǒng)控制是企業(yè)內(nèi)部控制的重要組成部分。信息系統(tǒng)控制是一個單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務活動的有效進行，保護資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，合理確保信息系統(tǒng)提供信息的真實、合法、完整而制定和實施的一系列政策與程序措施。信息系統(tǒng)內(nèi)部控制審計可以分為信息系統(tǒng)一般控制審計和信息系統(tǒng)應用控制審計。

1.信息系統(tǒng)一般控制審計。信息系統(tǒng)一般控制是應用于一個單位信息系統(tǒng)全部或較大范圍，其基本目標是保證數(shù)據(jù)安全、保護計算機應用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的持續(xù)運行。

2.信息系統(tǒng)應用控制審計。信息系統(tǒng)應用控制是對具體應用系統(tǒng)的控制，每一個具體的應用程序所要解決的問題是不同的，所涉及的數(shù)據(jù)和處理方法等均各具特點。針對這些具體的應用程序所進行的有針對性的控制，就是應用控制。應用控制又分為輸入控制、計算機處理與數(shù)據(jù)文件控制和輸出控制。

五、信息系統(tǒng)審計過程及具體任務

審計過程是審計工作從開始到結(jié)束的整個過程，可以分為計劃階段、實施階段和報告階段。

（一）計劃階段

計劃階段的主要任務包括：

1.調(diào)查被審單位的基本情況，初步評價固有風險。審計人員首先應了解被審單位的基本情況。需要了解的基本情況包括：第一，被審單位的業(yè)務性質(zhì)和生產(chǎn)經(jīng)營情況。第二，被審單位的組織結(jié)構(gòu)和管理水平。第三，被審單位信息系統(tǒng)一般情況，即信息系統(tǒng)的結(jié)構(gòu)，所使用的軟硬件和網(wǎng)絡設施以及運行環(huán)境。第四，被審單位應用系統(tǒng)及其所處理的交易和事項的類型。

2.調(diào)查被審單位信息系統(tǒng)的內(nèi)部控制，評價控制風險。在計劃階段，審計人員應了解被審單位的內(nèi)部控制特別是信息系統(tǒng)內(nèi)部控制，對內(nèi)部控制的健全和有效性進行評估，初步確定控制風險的大小。

3.評估審計風險，確定重要性水平。為了合理使用審計資源，有效地實現(xiàn)審計目標，在制定審計計劃時審計人員應評估審計風險，確定重要性水平。重要性水平是指在審計事項中，能夠容忍出現(xiàn)差錯的程度和大小。

4.編制審計計劃。在對被審單位的風險進行初步評估，確定重要性水平后，審計人員應當編制審計計劃。審計計劃的內(nèi)容包括：被審單位的基本情況、審計的范圍和重點、審計的步驟和時間安排、審計人員分工、所運用的信息系統(tǒng)審計方法、審計中應當注意的事項和其他內(nèi)容等。

（二）實施階段

實施階段是根據(jù)計劃階段確定的范圍、重點、步驟和方法，進行有針對性的評價，并形成審計結(jié)論的過程，主要由符合性測試和實質(zhì)性測試兩個階段構(gòu)成。

1.實施符合性測試。符合性測試的目的是檢查內(nèi)部控制措施是否健全有效。審計人員需要對被審單位的控制系統(tǒng)進行識別、測試和評價。審計人員通過與相關(guān)人員面談、設計調(diào)查問卷以及查閱信息系統(tǒng)和控制系統(tǒng)說明文件等方法，識別被審單位的控制系統(tǒng)以及控制環(huán)境，并將調(diào)查情況記錄在審計工作底稿中。

2.實施實質(zhì)性測試。實質(zhì)性測試是對信息系統(tǒng)控制進行的詳細測試，以獲得這些控制在審計期間是否真實存在并合法有效的審計證據(jù)。實質(zhì)性測試主要通過測試必要的數(shù)據(jù)，對信息系統(tǒng)達到特定的控制目標的程度進行評價。

（三）報告階段

在審計報告階段，審計人員應運用專業(yè)判斷，綜合收集到的相關(guān)證據(jù)，以經(jīng)過核實的審計證據(jù)為依據(jù)，形成審計意見，出具審計報告。審計報告中除了對被審單位信息系統(tǒng)的安全性、可靠性、有效性發(fā)表審計意見之外，還針對信息系統(tǒng)內(nèi)部控制和管理等方面的問題提出相關(guān)的建議。

在正式發(fā)布審計報告之前，審計人員還應考慮其后面事項的影響。在現(xiàn)場審計工作結(jié)束日到發(fā)布審計報告日之間一般都會有一段時間，審計人員應考慮在此期間被審單位及其信息系統(tǒng)是否發(fā)生導致重大變化的事項。