一、信息系统审计的内涵 国际信息系统审计委员会(ISACA)将信息系统审计的定义为:一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程。 国家审计署对信息系统审计的定义为:审计机关通过对被审计单位信息系统的综合检查和审计评价,促进该系统的稳定、安全、可靠和有效运行,确保审计机关获取的由该系统产生的数据的真实性和完整性。 从上述两个定义可以看出,信息系统审计强调对系统的合法性合规性、安全性可靠性、效率性效益性进行检查与评价,关注系统是否存在不安全或不稳定的因素,防止财务和业务数据失真。虽然信息系统审计的审计对象和内容与传统审计存在一定区别,但信息系统审计的最终落脚点还是立足于审计的根本目标,即监督被审计单位财政收支、财务收支及有关经济活动的真实性、合法性和效益性。 二、开展信息系统审计的必要性 信息系统审计作为国家审计机关的工作内容,是信息化发展到一定程度的必然结果。它既有一些传统审计条件下某些审计内容新的表现形式,又有与信息技术紧密联系的新的审计内容。 1.开展信息系统审计是控制审计风险的要求 系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件,如果被审计单位信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,就会带来假电子数据真审的情况。 2.开展信息系统审计是全面履行审计职责的要求 信息化环境下的审计,数据审计、信息系统审计、系统内控审计必须“三位一体”,在审计过程中,三项内容不可或缺。只有这样,我们才能完成“全面审计,突出重点”的要求,全面履行审计职责。 3.开展信息系统审计是信息化下审计发展的必由之路 随着信息技术在各个领域的广泛使用,传统审计、计算机辅助审计已经不能完全满足审计工作的要求。信息化环境下,审计内容和范围、内部控制、审计线索、审计方法等都发生了重大变化,未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。 三、基于人员流、业务流、信息流统筹开展信息系统审计 人员流、业务流和信息流,是任何一个组织机构运营管理过程中的三个系统要素。三者的有机结合,是组织机构正常有效运作的基础和保障。信息化环境下,这三个系统要素显得尤为关键,也为我们开展信息系统审计提供了新的视角。 1.基于人员流开展信息系统审计 在信息系统中,关键人员主要有三类:系统管理员、操作人员和维护人员。其中,系统管理员拥有系统的全部操作权限,如果仅依靠其自身的职业操守和道德准绳进行约束,而没有采取有效的措施对其进行监控,会给信息系统带来较大的风险。操作人员主要利用已有的程序,通过系统来处理业务和数据。在理想的情况下,一方面应当加强对操作人员的业务指导,通过系统顺利完成各项操作;另一方面应当尽量避免让操作人员对程序有充分的了解,这样才能使其没有机会在运行程序前或运行程序时篡改数据。维护人员主要负责系统运行过程中出现的各类技术问题的维护,维护人员一般直接参与系统的开发设计,对系统的内部结构有着清晰的了解,如果系统管理员不对其加以牵制的话,若维护人员与操作人员相互串通,接触具体的业务操作,就会出现利用系统进行违规操作谋取私利的风险。 在审计过程中,审计人员可以综合采用商谈法、问卷调查法、查阅系统日志记录等方式,了解系统中相关人员登录系统的用户名、密码和权限设置情况,分析人员的职权与责任分配是否恰当,操作人员的权限是否细化,是否真正实现了不相容职务的相互牵制。通过对人员流开展审计,发现普遍存在的一些问题。例如,部分操作人员没有按规程操作系统,存在一定的越权操作和非授权操作现象;部分操作人员登录口令设置过于简单,易被他人窃取利用;系统日志记录的信息不够详细,对操作人员具体的操作信息没有记载等。这些问题的存在都不同程度地给系统带来了安全隐患,影响到数据的真实性和完整性。 2.基于业务流开展信息系统审计 在组织管理中,业务流是指一组共同为履行管理职能、提供各项服务而开展业务活动所规定的程序与规范。不管是在手工处理环境还是信息化环境下,业务流都是客观存在的。业务流一般跨越多个部门,各个部门间的业务既相互牵制又相互关联。在手工处理环境下,一般按照工作职能划分组织机构,各个部门只对自己的工作负责,无人对流程负责。在信息化环境下,对业务流的审计主要关注两个方面: (1)通过信息系统是否建立起跨部门的直接连通渠道,使原来无法直接连接和沟通的业务能够实时、直接地连接和沟通。 (2)信息系统能否控制业务的真实完整反映,系统可以控制的关键点是否都实施了相应的控制措施,关键控制点的设置是否合理有效。 在审计过程中,通过对业务流程的梳理,绘制出业务流程图,从业务的角度寻找可能影响系统安全性和完整性的关键控制点,并对这些关键控制点进行测试,以充分检测系统可能存在的漏洞。在对关键控制点的测试中,审计人员应充分进行符合性测试和实质性测试。所谓符合性测试,主要是为了确定关键控制点的设计和执行是否有效,进而实施的审计程序。如果发现关键控制点的设计存在某种缺陷,有可能影响数据的真实性和完整性,我们应进一步实施实质性测试,将此缺陷对系统产生的实际影响予以量化。 3.基于信息流开展信息系统审计 从广义的角度来看,组织机构其实是一个信息流的集合,信息流的传递与处理构成了所有行为活动的基础,信息流同时又是对业务活动状况的反映和记录,其来源于一系列输入与输出信息的节点组成的业务处理流程与决策流程。 在手工处理环境下,通过对各项业务的处理、记录、汇总,最终形成一定的数据及文字资料,这是信息主要的表现形式,信息的真实性和完整性主要受制于业务的处理流程。在信息化环境下,所有信息都是通过系统进行输入、处理并输出,因此对信息流关注的重点转向于系统对信息传递的控制。在审计过程中,我们主要关注三个问题,即信息如何进入系统、系统如何处理信息、系统如何输出信息。