一、信息系统审计的涵义 日本通产情报协会在1996年对信息系统审计作了如下定义:为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场,对以计算机为核心的信息系统进行综合检查与评价,向信息系统审计对象的最高领导提出问题与建议的一连串的活动。1999年美国学者Ron A.Weber在《信息系统控制与审计》一书中指出:信息系统审计是一个获取证据,对信息系统是否能保证资产的安全、数据的完整,以及是否有效地使用了组织资源并实现了组织目标做出评价和判断的过程。 无论是哪种定义,我们归纳其要点如下:信息系统审计的对象是以计算机为核心的信息系统;信息系统审计的目的是促使信息系统安全、可靠和有效;信息系统审计是一个过程,需要审计师的专业评价与判断。 二、信息系统审计的主要内容 1.信息技术(IT)治理。主要任务包括:评估IT治理结构的效果,确保董事会对IT决策、IT发展方向和IT性能的充分控制;评估IT组织结构和人力资源管理;评估IT战略及其起草、批准、实施和维护流程;评估IT政策、标准的制定、批准、实施和维护流程;评估IT资源的投资、使用和配置实务;评估IT外包战略和政策,以及合同管理实务;评估监督和审计实务;保证董事和执行层能及时、充分地获得有关的IT绩效信息。 2.系统生命周期管理。主要任务包括:评估拟定的系统开发或采购,确保其符合组织发展目标;评估项目管理框架和项目治理实务,确保组织在风险管理过程中坚持成本效益原则,实现组织的业务目标;确保项目按项目计划进行,并有相应文案的充分支持;评估组织相关系统的控制机制,确保其符合组织的政策;评估系统的开发、采购和测试流程,确保其符合预定目标;对系统实施定期检查,确保其持续符合组织目标,并受到有效的内部控制;评估系统的维护流程,确保其持续符合组织目标,并受到有效的内部控制。 3.IT服务的提供与支持。主要任务包括:评估服务管理实务,确保内部和外部服务提供商的服务等级是明确定义并受管理的;评估运营管理,保证IT服务能有效满足业务要求;评估数据管理实务,确保数据库的完整性和最优化;评估IT处理能力和性能监控工具与技术;评估变更、配置和发布管理实务,确保其被详细记录;评估问题和事件管理实务,确保所有事件、问题都被及时记录、分析和解决。 4.信息资产的保护。主要任务包括:评估逻辑访问控制的设计、实施和监控,确保信息资产的机密性、完整性、有效性和授权使用;评估网络框架和信息传输的安全性;评估环境控制的设计、实施和监控,确保信息资产的安全性;评估保密信息资产的采集、存储、使用、传输和处置程序。 信息系统审计流程图
5.灾难恢复和业务连续性计划。主要内容包括:评估备份的充分性,确保恢复运营所需信息的有效性和可用性;评估组织的灾难恢复计划,确保一旦发生灾难,IT处理能力可以及时恢复;评估组织的业务连续性计划,确保IT服务中断期间基本业务运营不间断。 三、信息系统审计的流程 信息系统审计要遵循一定的流程,有规范的审计步骤。信息系统审计流程如右上图所示。信息系统审计主要包括审计准备阶段、审计实施阶段和审计结束阶段。每个阶段的主要任务各不相同,简述如下: 1.确定审计依据。信息系统审计师需了解规划、严格执行审计程序并掌握相关技术,尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。信息系统审计的依据主要包括:通用的信息系统审计准则和标准体系,控制目标,委托方的系统需求和业务规定,其他法律及规定。 2.了解委托方的业务、系统及所处环境。信息系统审计师应该对委托方的背景信息、组织结构、内部控制和系统流程等有一定的了解。 3.识别并评估风险。风险评估有助于信息系统审计师确定信息资产质量、面临的威胁以及由此产生的风险,并根据风险水平来决定采用何种控制措施以降低风险。信息系统审计师可以选择各种风险评估技术,既可以是计算机辅助式也可以是人工风险评估,还可以简单分为高、中、低三个等级,通过科学计算的方式,对风险进行定量分析。这需要根据实际情况,由信息系统审计师决定,审计过程中应重点关注审计高风险区域,考虑的风险因素主要有审计对象的技术复杂性、现有控制程序的合理性、可能造成的损失等。 4.检查是否存在足够的控制措施来消除这些风险。完善的内部控制能为实现企业目标提供合理保证,并能预防、识别和消除风险。内部控制措施在各个层面上能起到降低风险的作用。按所起的作用来分类,内部控制分为预防性控制、检查性控制和纠正性控制。组织应该培育一种适宜的内部控制文化,使得组织中的每个人都参与到内部控制活动中来,以保证内部控制的有效性,并对内部控制进行持续监督与完善。 5.对控制措施进行测试和评价。信息系统审计师需要对确定的关键控制点进行符合性测试,初步了解各项控制措施的实施效果。符合性测试确定控制措施的执行符合管理层制定的方针、政策的程度,以及既定程序的有效性。实质性测试验证实际处理的完整性,可以确定财务报表所反映的业务活动的正确性和完整性。