一、联网环境下信息系统审计概述 国际信息系统审计领域的权威专家Ron Weber认为,信息系统(Information System,以下简称IS)审计是一个过程,在此过程中搜集和评估证据以确定信息系统和相关资源是否有效保护资产、维持数据和系统完整性、提供相关和可靠信息、有效实现组织机构目标、有效使用资源、包含有效内部控制以提供运营和控制目标得到满足的合理保障。石爱中副审计长根据我国具体情况,进一步将信息系统审计细化定义为:信息系统审计是指审计人员接受委托收集并评估证据以判断信息系统是否有效做到维护系统真实性、完整性、有效性及合法性,是否能完整地保证信息系统的资产安全性、有效性,是否能最有效率地完成组织目标以保证系统效益的活动过程。它既包括信息系统外部审计的鉴证目标——对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审计的管理目标——即信息系统的有效性目标的管理。 根据信息系统审计定义可以明确联网环境下信息系统审计的总体目标:一是对需要经常性审计且关系国计民生的重要部门和行业所使用的信息系统进行实时或亚实时的审计监督,以实现从单一的事后审计向事后审计与事中审计相结合转变。二是通过联网规范、控制审计作业,对审计现场进行远程审计支持,为审计人员实施数据式审计提供一个完整、真实、有效的数据环境。因此联网环境下信息系统审计除需要审计信息系统的数据完整性、数据真实性外,同时也需要审计信息系统是否安全、是否合乎规范、其运行是否有效、可靠,最终要确保被审计单位信息系统的恰当披露,即被审计单位信息系统应能恰当地提供被审计单位的业务或财务状况,披露所有应该披露的信息。 为达到联网环境下信息系统审计目标,需要对信息系统的全部内容进行全面审计分析,审计内容包含软件、硬件、网络环境、生命周期、运行能力、内部控制、数据信息、系统效益和系统安全等方面。这些需要审计的内容、形式复杂,因此要有效地组织好包括上述内容的信息系统审计,必须有一套完整、系统、科学的信息系统审计模型、相关的审计理论和审计方法才能完成。本文着重描述联网环境下信息系统审计模型,主要包含信息系统审计模型以及相应的审计内容。 二、联网环境下信息系统审计模型 信息系统审计模型是指以信息技术和审计相关学科为理论基础,以各种审计方法为实践基础,以审计指南为指导,以审计工具为辅助,以审计业务为核心的有机整体。信息系统审计模型主要由以下几个部分组成:IS审计的理论基础、实践基础、审计指南、审计的资格认证、审计工具、审计实务等。其中,理论基础为IS审计的理论研究与拓展奠定了基础,传统的审计流程和方法也为IS审计提供了可以借鉴的实践经验,审计资格认证能够确保该领域人才的持续性,审计指南为审计的实施提供依据,审计工具作为IS审计的辅助手段,使得传统审计无法实现的业务成为可能,审计业务作为IS审计的核心业务,是审计模型的具体应用。在信息系统审计中,我们将其区分为联网环境下的信息系统审计和独立环境下的信息系统审计。联网环境下的信息系统审计内容包括联网环境审计、系统本身审计、系统内控审计以及系统数据和信息的审计,而独立环境下的信息系统审计只包含后面三项,其审计模型总体框架图如图1所示。 由图1可知,该体系是在审计法规指导下,以审计相关理论为基础,利用相关审计方法和流程以及相应的审计工具作用下形成的信息系统审计体系结构。随着信息技术以及网络技术的发展,审计工作必然由以往独立环境下信息系统的审计转向联网环境下信息系统的审计。 三、联网环境下信息系统的审计内容框架 根据审计模型,我们将联网环境审计、系统本身审计、系统内控审计和系统数据信息审计的内容相互融合,形成联网环境下信息系统的审计内容框架,该审计内容框架主要分为两部分,即信息系统内部控制审计和系统本身的审计,如图2所示。 如同在纸质环境下一样,内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。因此,为了控制数据风险,保障审计目标的实现,联网环境下的信息系统审计也应首先调查、测试和评价系统的内部控制。内部控制包括一般控制和应用控制。一般控制是系统运行环境方面的审计,它为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。信息系统的一般控制主要包括组织管理的控制、数据资源管理的控制、系统环境安全管理的控制和系统运行管理的控制。应用控制具有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
图1 信息系统审计模型结构图
图2 联网环境下信息系统审计内容体系结构图
图3 联网环境下信息系统逻辑层次审计的内容结构图 信息系统本身的审计则从两方面入手,即物理层次的审计和逻辑层次的审计。物理层次审计的内容主要包括对物理环境设备的审计和安全性的审计,其中物理环境设备的审计包括支持设施的审计、硬件设备的审计以及网络物理环境的审计;而环境安全的审计包括硬件接触控制审计、防灾审计以及网络物理环境安全审计,其主要目的是发现物理环境的不足以及存在的安全隐患。逻辑层次的审计主要审查被审计单位的软件环境、信息系统生命周期以及逻辑安全,各部分详细的审计内容可参看图3。