企业信息系统的IT审计 (一)企业信息系统IT审计的产生 为了保证企业信息化过程中的安全,要对信息系统进行IT审计,将信息系统的风险降到最低。“审计”(Audit)起源于会计审计和账目稽查。随着第二代晶体管计算机的出现和计算机技术的日益成熟与普及,特别是会计电算化之后,开始出现了IT审计。IT审计是指独立于审计对象的IT审计师,站在客观立场,对以计算机为核心的信息系统,从计划、设计、编程、运行、维护以至淘汰的整个生命周期实施审计,对信息系统的可靠性、安全性和有效性进行检查和评价,将结果报告给企业的最高领导,并提出问题和建议。IT审计的目的是使企业信息系统有效利用及去除弊病,使信息系统能够真正为经营者服务,为企业创造价值。 (二)企业信息系统IT审计的内容 企业信息系统的IT审计一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计。一个大型信息系统的开发需要花费企业大量的人力、物力和财力,如果开发不当,投入运行后需要的维护费用通常要超过开发费用,因此,对待系统开发必须慎重。对信息系统开发过程的每个环节跟踪审计,及时发现并修正每个阶段发生的错误,从而减轻开发过程中软件错误的积累放大效应,保障整个信息系统的质量。 对信息系统开发过程的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的。在信息系统运行维护阶段,信息系统已经建立起来,但是一个信息系统的成功不仅包括成功的系统开发,同时也包括对信息系统正确良好的操作和维护,使其保持最佳的运行状态,只有对信息系统进行正确操作和维护才能保证信息系统真正实现其最初的设计目标,以最高的效率提供服务。与系统开发阶段不同,运行维护阶段更加侧重于从系统的实际运行、维护状况和用户对系统的运行管理方面进行IT审计。 信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计;信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计。 IT审计还需要按照信息系统的生命周期展开,作为一种外部监督和控制手段,在系统开发之初参与进来,并贯穿于系统分析、系统设计、系统开发、系统测试、系统运行和维护各个阶段。而这些阶段有一些相同的业务,如人员的管理、文档的管理、进度的管理、委托业务的管理和灾难对策等,都需要对这些业务进行IT审计。按照共同业务审计的内容和原则,生命周期共同业务审计分为文档管理审计、信息系统进度管理审计、信息系统人员管理审计、信息系统委托业务管理审计、灾难恢复审计等内容如图1所示。
图1 信息系统的IT审计 IT审计的方法、技术和工具 IT审计方法、技术和工具是IT审计的重要组成部分。企业信息系统从功能、应用环境、规模到开发方式等方面存在多样性和复杂性,IT审计难度很大,对审计师提出了严峻的挑战,面对错综复杂的信息系统和审计环境,审计师常常要用到许多种方法、技术和工具来帮助他们完成审计工作。常规的审计方法包括面谈法、问卷调查法、系统评审会、流程图检查、程序代码检查、程序代码比较和测试等。但在高度计算机化的信息系统中,只采用常规审计法显然是不够的,无论是审计证据的收集、评价,还是实现审计工作的现代化,都需要借助计算机来高效完成。计算机辅助审计技术与工具CAAT(Computer Assisted Audit Techniques & Tools)使审计人员有了一种能有效地提高审计效率的工具,即审计人员可以使用各种CAAT软件进行符合性测试和实质性测试。CAAT软件大致上可以分为三类:项目测试辅助软件、系统测试辅助软件和系统模拟软件。 项目测试辅助软件是审计人员为完成个别的审计项目的测试而编制使用的CAAT软件,帮助审计人员进行抽样审计的样本抽取、计算、分析和评价等。 系统测试辅助软件是审计人员为完成的企业信息系统而编制使用的CAAT软件。这些软件一般包括两种类型,一种是对比测试软件,即审计人员从企业信息系统中的原始数据中抽取一个样本数据,将样本数据输入到与企业信息系统类似的CAAT软件中进行处理,把CAAT软件的结果与企业信息系统产生的结果进行对比分析,以判定企业信息系统的可靠性、安全性;另一种是将用于测试的CAAT软件链接到企业信息系统中,审计人员输入一些特别准备的测试数据,由企业信息系统进行处理,并将处理结果转移到CAAT软件的一个测试文件中去,审计人员检查这一测试文件是否符合预期的结果,从而判断企业信息系统的可靠性、安全性。系统测试辅助软件也可以把两种类型的CAAT软件结合在一起使用。 系统模拟软件是审计人员运用已建立的数学模型在计算机上对企业的经营活动进行模拟,以判断企业经营活动可能应产生的结果,从而审查企业各项措施、决策的有效性和合理性。审计人员也可以模拟企业日常经营活动,并将模拟结果与企业实际成果进行比较分析,找出存在的差异,分析差异产生的原因。系统模拟软件一般用于经济效益审计或企业内部审计。