对信息系统审计几个基础问题的思考
淄博市张店区审计局 赵亮
随着信息技术的广泛应用,各级审计机关逐步开展了对信息系统的专项审计。笔者通过对信息系统审计实践的思考,对信息系统审计的几个基础问题进行了分析并提出了优化的路径。
一、什么是信息系统审计
(一)如何定义信息系统审计
2012年2月,审计署计算机审计实务公告第34号发布了信息系统审计指南,在第三条中提出了信息系统审计的概念:本指南所称信息系统审计,是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。
结合近年来的审计实践,对信息系统审计的概念,可以理解为:根据相关法律法规及标准规范,在规定的审计范围内,使用业务流程描述、系统测试、数据分析等技术方法,获得与评估审计证据,对信息系统的安全性、有效性和经济性进行专业判断的过程。
(二)如何确立信息系统审计的目标
信息系统审计指南第六条规定:信息系统审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性,揭示信息系统存在的问题,提出完善信息系统控制的审计意见和建议,促进被审计单位信息系统实现组织目标;同时,通过检查和评价信息系统产生数据的真实性、完整性和正确性,防范和控制审计风险。具体来讲,信息系统审计的目标应包括以下几个方面:
1、安全性:信息系统的硬件、软件、网络和数据资源是否得到妥善保护,不因自然和人为的因素遭到破坏、更改或者泄露系统中的信息。
2、有效性:系统能否实现既定目标、系统的各项业务的处理过程是否符合国家有关法律法规的要求。
3、经济性:用最少的系统资源的投入,产生最多的拥护所需要的信息。
(三)信息系统审计主要包括的内容
信息系统审计的内容主要包括总体控制审计审计事项、一般控制审计审计事项、应用控制审计审计事项三个方面。
1、总体控制审计审计事项,包括:外部合规要求、被审计单位主营业务、IT治理体系、IT战略规划、IT投资政策、IT运维管理、信息安全管理制度、人力资源政策、内部审计制度。
2、一般控制审计审计事项,包括:安全管理、访问控制、配置管理、职责分离、应急计划。
3、应用控制审计审计事项,包括:业务流程控制、数据输入控制、数据输出控制、数据处理控制、接口控制、数据库管理、数据逻辑控制审计。
二、为什么要开展信息系统审计
信息技术的兴起和企业对核心竞争力的追求,推动了信息技术在数据处理、存贮和交换等方面的广泛应用,信息系统已经渗透到社会生活的方方面面,它的高效和程序化给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。信息系统审计作为一种可以确保信息系统的安全、可靠及高效运行的新的审计模式受到世界各国的普遍重视,随着我国以“信息化带动工业化”战略的全面实施,国民经济信息化被提到了前所未有的高度,加快发展我国的信息系统审计事业具有重要意义。
(一)信息系统审计是保证信息系统质量的重要工具
信息系统的可靠性、安全性、有效性和效率成为制约信息系统质量的重要因素,通过信息系统审计可以查出系统潜在的软件、硬件和数据资源安全隐患,并利用当前先进的技术进行防范或改进。首先,信息系统的可靠性需要信息系统审计;其次,信息系统的安全性需要信息系统审计;再次,信息系统的有效性需要信息系统审计;最后,信息系统的效率审计是信息系统质量的重要保证。
(二)信息系统审计是企业信息化发展的必然要求
计算机在企业管理中的应用使得会计信息的处理逐步电算化,促使信息系统审计的雏形一一电子数据处理审计(EDP审计)的产生及EDP审计师协会(EDPAA)的成立。指导信息系统审计的组织从传统的审计机关和组织发展成为专业的信息系统审计组织;信息系统审计的内容、依据、准则等也随着信息技术和信息系统的发展而不断发展和完善,由此可看出信息系统审计是企业信息化发展的必然要求。
(三)信息化建设的效益需要信息系统审计
有资料研究表明,我国企业每年IT投入近万亿元,每年仅在ERP项目上的投资就超过80亿元;中国电子政务建设的市场规模大约在1800-2000亿元之间。如此大规模的信息化建设,一旦由于缺乏审计,缺乏对权利的有效制约,将不可避免地出现轻率决策等问题,因此,在信息系统风险客观存在的情况下,在信息系统建设过程中对其进行风险审计和控制就显得尤为重要。
(四)信息系统审计有利于维护信息时代的市场经济秩序
在网络经济环境中,信息系统审计师能够以在线、实时的信息为基础提供实时鉴证服务并满足投资公众对决策有用信息的访问需要,这对保护公众利益和保护资本市场的有序发展是非常有意义的。可见,信息系统审计工作有利于降低风险并维护信息时代的市场经济秩序。
三、开展信息系统审计的基本思路和方法
总结近年来信息系统审计的实践经验,笔者认为,当前基层信息系统审计,主要采取“一个中心、两个基本点”的思路,即围绕“被审计单位信息系统综合管理情况审计”这一中心,分别抓住“业务数据分析审计”和“信息系统审计”两个基本点进一步深入开展审计。
业务数据分析审计应通过数据分析,对疑点数据有针对性地进行核查,充分调阅会议纪要、政策文件、经济合同等资料进一步查证。
信息系统审计要对被审计单位信息系统从一般控制和应用控制两个方面实施审计;在审计人员之间形成数据传输利用,审计信息共享的审计环境。同时,通过问卷调查表法、会议座谈法、实地查看法等掌握被审计单位信息系统总体概况;通过资料审阅法、流程图检查法、数据核对法、模拟操作法等,对信息系统的安全性、可靠性和健全性进行评估;通过SQL语句查询法、勾稽关系效验法等,对被审计单位信息系统数据库的历史业务数据进行查询分析、对即时数据进行验证,重点审查数据的真实性和完整性。