一、信息系统审计的概念 关于信息系统审计的定义,日本通产省情报处理开发协会认为信息系统审计是指:为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价,向信息系统审计对象的最高领导提出问题与建议的一连串的活动。 美国学者Ron A·Weber在《信息系统控制与审计》一书中对信息系统审计的定义是:信息系统审计是一个获取证据,对信息系统是否能保证资产的安全、数据的完整,以及是否有效地使用了组织资源并有效地实现了组织目标做出评价和判断的过程。国际信息系统审计与控制协会(ISACA)的定义为:信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并实现组织目标的过程。 综合上述定义,我们归纳信息系统审计的特征如下:①信息系统审计的对象是以计算机为核心的信息系统。②信息系统审计的目标是促进信息系统安全、可靠和有效。③信息系统审计是获取与评估证据的过程,需要信息系统审计师的专业判断。 二、信息系统审计的业务模型 本文从目标、内容与过程三个维度建立信息系统审计的业务模型,如图1所示:
图1 信息系统审计业务模型 1.审计目标。信息系统审计有三个目标:安全性、可靠性和有效性。 安全性是指信息系统的资源受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。其中,信息系统资源包括计算机硬件、软件、网络、数据和人。 可靠性包括三个方面:硬件的可靠性、软件的可靠性和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内,在给定的控制条件下,硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和及时,它取决于系统对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。 2.过程域及关键活动。信息系统审计要遵循一定的流程,有规范的审计步骤。从流程上来看,一般认为信息系统审计主要包括五个过程域:审前调查阶段、计划阶段、实施阶段、报告阶段和后续审计阶段。五个过程域相应的工作任务(关键活动)具体如下:①审前调查阶段的关键活动包括确定审计关系与责任、了解被审计企业与信息系统基本情况、明确被审系统涉及的关键业务流程、初步评价被审系统的风险状况、编制审前调查报告。②计划阶段的关键活动包括评估审计风险、确定具体审计目标与重要性水平、制订审计计划。③实施阶段的关键活动包括:编制审计实施方案;针对审计事项编制具体测试方案;实施符合性与实质性测试,完成测试记录;分析与核查测试结果。④报告阶段的关键活动包括:整理评价审计证据;复核审计底稿;汇总审计差异,与对方管理层交流;评价审计结果,编制审计报告。⑤后续审计阶段的关键活动包括:获取与评价相关的信息,对管理层是否采取恰当措施形成结论。 只有明晰了各过程域,并对相应的关键活动进行有效的管理,才能保证信息系统审计的质量,实现审计目标。 (1)审前调查阶段。在审前调查阶段主要应获取以下相关信息:被审计单位所使用的信息系统;被审计单位业务流程对信息化的依赖程度;与信息系统有关的管理机构及管理方式;开展信息系统审计的环境条件。 与财务审计项目类似,信息系统审计的审前调查常常可以采用如下方法:组织有关人员座谈或者向有关人员咨询;发放调查问卷或者调查表;查阅或者索取资料;实地考察;走访与审计项目有关的单位。该阶段的工作成果体现为审前调查报告。 (2)计划阶段。确定重要性水平直接影响后续审计计划和实施方案的编制,是计划阶段的工作要点,难度较大,需要综合审计目标和被审计对象的特点来理解。通常需考虑以下因素:历史经验、风险评估结果、信息系统规模与应用程度、信息系统的依赖度以及被审计单位的信息化建设重点等。 该阶段的工作成果为审计计划,主要内容包括:被审计单位情况简介、审计的对象与范围、审计的步骤与时间安排、审计人员的分工、注意事项和其他内容。 (3)实施阶段。实施阶段是影响审计质量的关键阶段。在该阶段审计人员应结合审前调查内容,按照被审计单位信息化环境、业务流程、内控制度等方面的风险状况,明确具体项目审计目标,细化审计内容,突出审计重点。编制审计实施方案时,要认真分析审前调查取得的资料,结合以往的审计成果,分析可能存在的问题和线索。确定审计步骤和方法的原则是要能够指导审计人员实施审计,具有操作性。 审计实施方案是该阶段的主要工作成果,主要内容包括:被审计单位及其信息系统基本情况、审计目标、审计内容与重点、审计方法与步骤、审计组成员与具体分工。 此外,还需要编制针对不同审计事项的具体测试方案,测试方案应包括详细的审计方法与步骤,具有可操作性。而且,测试完成后还需及时形成测试记录。 (4)报告阶段。报告阶段的关键活动为整理汇总审计证据,项目成员讨论复核工作底稿,并就相关问题与被审计单位的管理层交流,直到形成最终的审计报告。 审计报告是该阶段的工作成果,也是整个审计项目的最终成果,其一般包括:审计背景、审计目标与范围、审计标准与依据、基本审计结论、审计中发现的具体问题与建议以及附件。 (5)后续审计阶段。在后续审计阶段,审计人员获取与评价相关信息,对管理层是否采取恰当措施形成结论。如果管理层针对审计报告建议已采取措施,则应该将这些情况补充到审计报告中的“管理层反馈意见”中。