一、信息系统审计的目标和主要内容 关于信息系统审计,目前还没有一个能够被广泛认可的权威定义。结合信息系统审计在政府审计领域内的应用特点,我们认为审计机关开展信息系统审计的含义如下:国家审计机关对被审计单位中对其经济活动产生重要影响的信息系统进行检查和分析,评估信息系统的安全性、可靠性和有效性方面存在的问题,提出针对性的审计建议,促进信息系统对经济活动产生正面影响的一系列活动。 (一)信息系统审计的目标 审计机关开展信息系统审计的目标必须符合国家审计的总目标,即真实性、合法性和效益性。并可以细化为以下几个方面: 1.审查信息系统是否能为所产生的业务数据和财务数据的真实、完整、准确性提供合理保证: 2.审查和评价信息系统的安全性; 3.审查和评价信息系统的可靠性; 4.审查和评价信息系统的有效性; 5.审查和评价信息系统的效率和效益性; 6.审查和评价信息系统的合法合规性。 (二)信息系统审计的对象和主要内容 信息系统审计的对象是影响被审计单位主要经济活动的信息系统。主要包括被审计单位的软硬件系统、数据库系统、网络和通讯设备、办公场所、人员及其管理、财务及业务等相关数据。 其主要内容包括以下几个方面: 1.IT治理(IT Governance)。主要任务是评估IT治理结构的效果,确保董事会对IT决策、IT方向和IT性能的充分控制;评估IT组织结构和人力资源管理;评估IT战略及其起草、批准、实施和维护程序;评估IT政策、标准和程序的制定、批准、实施和维护流程;评估IT资源的投资、使用和配置实务;评估IT外包战略和政策,以及合同管理实务;评估监督和审计实务;保证董事和执行层能及时、充分地获得有关的IT绩效信息。 2.系统生命周期审计。主要任务是确定系统在开发之前是否进行了充分的可行性研究(经济、技术、法律);确定信息系统开发各个阶段的各项活动是否符合有关的法律、法规和政策,并经过了严格审核与批准;确定系统开发各个阶段的人力、物力、财力和进度安排是否合理;确定系统的功能设计和开发是否充分考虑了用户对信息系统在功能、性能、可靠性、安全性、开发费用和时间方面的要求;确定系统在运行之前是否经过全面测试,而不存在重大错误和舞弊;确定系统是否制定了稳妥可靠的试运行方案或新旧系统切换方案;确定系统是否有完整的维护计划,并严格按照维护计划进行维护;确定系统是否能长时间安全可靠的运行,运行中出现的问题是否能得到及时解决;确定系统各个阶段的文档是否准确完整。 3.系统一般控制审计。主要任务是确定被审计单位是否制定了信息系统规划,其规划是否得当;确定是否在管理制度上实现了恰当的职责分离;确定是否能够从管理制度和措施上保障系统环境安全,从而使系统各种资源免受毁坏、替换、盗窃和丢失的威胁;确定系统网络是否存在安全漏洞和隐患,评估网络安全措施是否有效;确定系统的运行控制政策是否能保证系统长时间稳定运行,文档和操作维护日志是完整的和安全的以及硬件和软件是可兼容性和安全的;确定数据资源控制措施是否能保证数据资源的完整性和安全性;确定灾难恢复和业务持续计划是否适应被审计单位的要求,实施方案是否可行和有效。 4.系统应用控制审计。主要任务是确保输入的数据是准确、完整、授权和正确的;数据在可接受的时间内得到预期的处理;数据存储是准确和完整的;输出是准确和完整的;记录在从输入到存贮,再到最终输出的整个过程中是可追溯的。 5.系统数据审计。信息系统审计模式下的电子数据审计与常规的数据式审计程序区别不大,同时更强调与信息系统审计结果的交互性和互补性。一方面可以根据信息系统内部控制的审计结果,找出信息系统内部控制的薄弱环节,从而确定数据审计的重点和范围。另一方面对数据审计发现异常后,也能倒推出信息系统功能设置上的缺陷或者系统内部控制中存在的薄弱环节。 (三)信息系统审计的技术方法 信息系统审计涵盖了多种技术方法,在实际工作中,审计人员可以根据被审计信息系统的具体情况,结合审计目标、审计内容、审计成本效益、审计组人员与设备配置情况等因素,选择合适的信息系统审计技术和方法,并且通常需要多种方法的综合、穿插使用。 信息系统审计中比较常用的技术方法有:问卷调查法、访谈法、文档查阅法、实地观察法、系统描述法、流程图检查法、测试数据法、集成测试法、平行模拟法、程序编码比较法、编码检查法、程序追踪法、快照、嵌入审计模块技术。 (四)信息系统审计流程 信息系统审计的一般流程如图一。
图一 1.选择信息系统审计项目 信息系统审计项目的选择要充分考虑各方面因素,并非所有的信息系统都适宜开展信息系统审计。主要影响因素包括:被审计单位核心业务是否高度依赖于信息系统;信息系统的规模和复杂程度;信息系统当前所处的生命周期阶段;自身人力资源及审计力量;审计时间。