我国信息系统审计简述

作 者:

作者简介:

原文出处:
中国审计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2016 年 01 期

关 键 词:

字号:

      信息系统结构及审计内容

      周德铭/黄晓雯

      1996年,美国信息系统审计与控制协会(英文缩写ISACA)发布的《信息及相关技术的控制目标》(英文缩写COBIT),规划了按照IT目标,对IT资源的IT过程进行三维管控,并提出了一般控制和应用控制两要素的审计方法。该框架的特征是以IT过程控制为轴心,对信息系统生命周期的规划与组织、获取与实施、交付与支持、监控与评价的四个过程控制进一步细化,确定了34个具体IT过程和215个具体控制目标。

      我国在2012年审计署发布的《信息系统审计指南》、2013年中国内部审计协会发布的《第2203号内部审计具体准则——信息系统审计》,都提出了具有特点的信息系统审计框架和方法。我们认真研究了我国信息系统审计的实践发现,审计实践中不仅关注IT过程控制,还应关注IT结构控制,在此基础上研究了基于IT结构控制的信息系统审计框架,并提出了348个知识点和控制点。

      所谓信息系统结构控制审计框架,是指按照信息系统控制目标(安全性、可靠性和经济性),对信息系统资源(管理资源、应用资源、网络资源和安全资源)的结构控制(管理控制、应用控制、网络控制和安全控制)进行管控的三维审计框架。

      框架中呈现的管理控制、应用控制、网络控制和安全控制四类结构控制域,是由信息系统的内在属性决定的:信息系统的规划、建设和运行,属于管理控制范畴;信息系统承载业务的业务流程、业务信息等,属于应用控制范畴;保障多组织间业务流程和业务信息流转的实现路径,属于网络控制范畴;保障业务信息和系统运行的安全,属于安全控制范畴。信息系统审计关注四类控制的符合性和有效性,形成四类结构控制的审计框架。

      信息系统的管理控制、应用控制、网络控制和安全控制之间存在着紧密的关联关系。信息系统结构控制审计框架的应用,不仅关注单个结构控制的有效性,而且更加关注不同结构控制之间的关联性,即:关注应用控制与网络控制的关联性;关注应用网络控制与安全控制的关联性;关注系统控制与管理控制的关联性。

      信息系统结构控制审计框架的核心,是揭示信息系统的管理、应用、网络和安全诸控制要素间存在相互联系、相互依存的内在关联关系,这是结构控制审计框架的重要特征。信息系统结构控制审计框架的应用重点,就是要关注信息系统中诸控制要素间的结构关联性,发现问题,由此及彼,进行点、线、面的立体化检查和结构化诊断,有效提升信息系统审计的质量和水平。

      (作者单位:中国审计学会、空军装备研究院)

      信息系统管理控制审计

      信息系统管理控制主要研究信息系统规划、建设和运行的状况与能力,梳理与系统管理相关的风险点并实施积极有效控制的过程。因此,信息系统管理控制审计是根据管理控制目标,对各类管理资源控制有效性的检查和评价。

      可从信息化发展规划控制审计出发,针对审计实务中的“IT规划和计划”审计事项的两个案例(两个案例的具体审计过程略,编者注),阐述该事项的审计背景、目标、方法、测试过程及结果。

      IT规划和计划审计是指审计机构及人员依据有关法律、法规、政策及相关标准,按照一定的程序和方法,对被审计单位制订的IT规划和计划是否经过管理层、决策层批准,是否符合被审计单位的业务目标的实际需要等进行的独立监督和评价活动。

      (作者单位:审计署计算机技术中心)

      信息系统应用控制审计的内容

      信息系统应用控制审计的重点是,通过对各类应用资源的检查,重点审计应用架构控制、应用功能控制、信息资源控制和共享协同控制四类具体控制的有效性,促进应用系统和承载业务信息的安全性、可靠性和经济性目标的实现。

      在上述四类具体控制中,应用架构控制是反映承载业务的业务特征逻辑架构和业务要素技术架构及其集约化的架构与控制;应用功能控制是反映数据输入、数据处理、数据输出等核心功能对于业务系统运行和业务信息的真实性、完整性和准确性的架构与控制;信息资源控制是反映承载业务所需的基于信息资源目录体系的各类内外部数据的产生、获取、处理、存储、传输和使用的架构与控制;共享协同控制是为保障承载业务信息的完整性和有效性而实施的基于信息资源共享交换体系的组织内部和与其他组织间信息资源共享与交换的架构与控制。

      (作者单位:审计署电子数据审计司)

      信息系统网络控制审计与应用框架

      信息系统网络控制审计的内容

      审计人员应根据具体审计项目目标,选择网络控制审计重点和相应程序。信息系统网络控制审计环节包括网络结构控制、网络通信控制、存储处理控制和机房系统控制。

      网络结构控制的审计重点,包括业务部署方式的网络结构、局域网分域网络结构、业务信息密级的网络结构、网络布线、网络产品功能等控制点。网络通信控制的审计重点,包括局域网通信、城域和广域网通信、不同密级网络间通信、移动网间及其与固定网间的通信、网络带宽等控制点。存储处理控制的审计重点,包括存储方式、存储量、存储处理性能、存储处理产品功能等控制点。机房系统控制的审计重点,包括机房功能布局、机房结构、机房保障系统、机房设备产品功能等控制点。

相关文章: