一、信息系统的逻辑结构 信息系统是以信息基础设施为基本运行环境,由人、信息技术设备和运行规程组成,通过信息采集、传输、加工处理和存储,以企业战略竞优、提高效率为目标,支持企业高层决策、中层控制和基层运作的集成化人机系统。信息系统有其产生、发展、成熟、消亡或更新的过程,信息系统在使用过程中,随着生存环境的变化,需要不断维护、修改,当它不再适应企业发展要求时就会被淘汰,由新系统替代老系统。在信息系统的生命周期中,必须对信息系统进行严格管理与控制,并对信息系统实施审计,只有这样才能保证信息系统的有效运作。信息系统审计的对象是被审计单位的计算机信息系统。为全面分析和准确定位信息系统的审计内容,首先应全方位地了解信息系统的逻辑结构,从信息系统构成要素、信息系统生命周期和信息系统管理三个维度来描述信息系统的逻辑结构。
信息系统审计内容的基本框架 从信息系统构成要素来看,信息系统是由硬件平台、软件平台、应用系统、数据文件、人和运行规程组成的。其中:硬件平台和软件平台为信息系统提供了基本运行环境;信息系统在安装软硬件平台后,还需要选购或开发符合企业管理需求的应用系统;安装软硬件平台和应用系统后,为支持系统的日常运行,必须组织基础数据文件并将其存放到计算机中;人不仅是信息系统的组成元素,而且是信息系统使用者;运行规程规定了信息系统本身的运作规则,所有信息系统使用者都应遵守运行规程。 从信息系统生命周期来看,信息系统的生命周期可划分为系统规划、系统分析、系统设计、系统实施、系统运行和系统维护六个阶段。其中系统规划、系统分析、系统设计、系统实施这几个阶段属于系统开发阶段。 从信息系统管理来看,对信息系统的管理与控制活动伴随信息系统生命周期的始终。信息系统管理的内容包括系统规划与组织管理、系统开发管理、系统实施管理和系统日常运行管理四个方面,主要是通过一系列健全有效的规章制度和管理规程的有效执行实现的。 二、信息系统审计内容的基本框架 本文从信息系统构成要素、信息系统生命周期和信息系统管理三个维度,通过信息系统的逻辑结构综合分析信息系统审计内容的基本框架,如下图所示: 信息系统审计内容涵盖信息系统生命周期的各个阶段,从信息系统生命周期维度来看,信息系统审计的内容既涉及系统开发审计又涉及系统运行审计和系统维护审计。 信息系统审计的对象是被审计单位的计算机信息系统,涉及构成信息系统的各个要素,从信息系统构成要素维度来看,信息系统审计不仅要对信息系统软硬件平台的获取与管理进行审计,还要对应用系统进行审计,并对信息系统的人员管理、数据文件管理、运行规程及其执行情况进行审计。 信息系统管理不仅涉及对信息系统构成要素的管理,而且要对信息系统生命周期各个阶段进行管理,它是保证信息系统有效运行的重要条件,包括一系列管理规程和内部控制制度。从信息系统管理维度来看,信息系统审计是对信息系统各项构成要素的管理控制措施和对系统生命周期各个阶段的管理控制措施是否健全有效进行审计,也就是对信息系统的各项内部控制进行审计。在信息系统运作过程中,信息系统安全管理和灾难恢复计划是信息系统安全运行与持续运作的重要保障,因此信息系统安全审计和灾难恢复计划审计也是信息系统审计的内容。 三、信息系统审计的内容与审计目标 1.软硬件获取审计。审计目标为:①确定被审计单位的软硬件获取政策是否合理;②确认企业是否按照相应的软硬件获取政策取得软硬件;③确认所获取的软硬件是否满足企业的需求。 2.软硬件管理审计。审计目标为:①确定被审计单位的软硬件使用与管理政策是否合理;②确定所使用的软件是否经过授权;③确定被审计单位是否创建软硬件管理计划。 3.系统开发审计。审计目标为:①确定各项系统开发活动是否完全遵循既定的政策与规划;②确定系统开发的各个阶段是否都经过严格审核与批准确认;③确认系统文档是否准确完整,便于审计和维护活动的开展;④确认系统实施前是否经过全面测试,而不存在重大错误和舞弊;⑤确认系统开发过程是否实施了有效的全面质量控制。 4.系统维护审计。审计目标为:①确定是否有维护计划,系统是否按照维护计划进行了维护;②确认是否存在未经授权擅自修改或更改系统的问题;③确定维护工作是否保护了应用程序,使程序库不受非法访问;④确定系统维护后是否经过充分测试;⑤确定是否对每一次维护工作都有详细的记录,系统维护后文档资料是否及时更新。 5.应用系统审计。审计目标为:①确定应用系统的各项处理功能是否有效;②确认应用系统的控制是否健全有效;③确认应用系统是否得到及时正确的维护。 6.信息系统控制审计。审计目标为:①确认信息系统的各项控制措施是否健全;②确认信息系统的各项控制措施是否得到有效执行。 7.信息系统安全审计。审计目标为:①确认被审计单位的各项信息系统安全控制措施是否健全;②确认信息系统的安全控制措施是否得到有效执行;③确认被审计单位的信息系统安全策略与程序是否能最大限度地降低信息系统的安全风险。