信息系统审计简述

信息系统审计简述

前言

信息系统审计是审计行业的一个特殊领域。未来审计行业和审计技术的发展动力将主要来自信息系统审计的发展，这一观点已经逐渐在国外会计界、审计界形成共识。本文通过对信息系统评价审计的涵义、目标、业务范围、业务活动和具体任务等方面的阐述，使读者对信息系统审计形成初步的认识。

关键词：信息系统审计

一、信息系统审计的涵义

信息系统审计在发展初期也称为电子数据处理审计。关于信息系统的定义还未形成统一的认识。笔者列举了以下两种主流的说法：

一是美国信息系统审计权威专家威伯（RonWeber）教授对信息系统审计的定义：“收集证据并对所收集的证据进行评价的一项活动，以决定会计信息系统是否在最经济地使用资源的同时，实现了有效保护资产、维护数据完整、完成组织目标等预期功能。”

二是国际信息系统审计和控制协会（ISACA）的定义：“信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。”

信息系统审计虽然尚无一个统一明确的定义，但都体现了信息系统审计是“由审计机构、审计人员对与被审单位经营活动密切相关的信息系统的安全性、可靠性和有效性进行检查评估，并提出改进意见的系列活动”。

二、信息系统审计的目标

信息系统审计的目的，是通过实施信息系统审计工作，对组织是否达成信息技术管理目标进行综合评价，并基于评价意见提出管理建议，协助组织信息技术管理人员有效地履行其受托责任，以达成提高组织所依赖信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性，提高信息系统运行的效果与效率，合理保证信息系统的运行符合法律法规及监管的相关要求。所以，信息系统审计的目标主要是对信息系统真实性、完整性等六方面要素的评估、反馈保证及建议。

1．真实性。信息系统中的数据要真实地反映企业的生产经营活动。要通过数字签名等一系列技术手段和保留不可更改记录、定期审计等管理手段确保数据的真实性。

2．完整性。完整性信息具有不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、存储和传输。

3．合法性。系统在购买、使用、开发、更新、维护、转移等过程中必须符合相关法律、法规、准则、行规以及企业内部的规定等。

4．安全性。安全性是指信息系统在遭受各种因素破坏的情况下，仍然能够正常运行的概率。威胁信息系统安全的因素有外部和内部两种。外部主要是黑客的入侵、病毒的攻击、线路的侦听等，内部主要是被授权的用

户访问和修改、删除等操作。安全性是真实性的基础之一。

5．可靠性。可靠性也是真实性的基础之一，是指信息系统在遭受非人为因素破坏或人为差错影响的情况下仍然能够正常运行的概率。威胁信息系统可靠性的因素包括自然灾害对硬件和环境的破坏以及误操作对软件和硬件的破坏等。

6．效果和效率。效果是指应用信息系统以后，企业在生产控制、管理质量、提供产品和服务等方面发生的变化。效率是指信息系统的应用在企业劳动生产率的提高方面所起的作用。

三、信息系统审计的业务范围

为了支持企业更有效运营和加强企业抵御风险的能力，信息系统需要完全地集成企业所有重要的过程和程序。所以，信息系统审计的业务范围应该包括以下几个方面：

（1）信息系统的管理、规划与组织―评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。

（2）信息系统技术基础设施与操作实务―评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标。

（3）资产的保护―对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。

（4）灾难恢复与业务持续计划―这些计划是在发生灾难时，能够使组

织的业务持续进行，对这种计划的建立和维护流程需要进行评价。

(5）应用系统开发、获得、实施与维护―对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。

(6）业务流程评价与风险管理―评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。

四、信息系统审计的业务活动

一般来说，信息系统审计的业务活动可以按照信息系统的生命周期或内部控制要求进行安排。

（一）按照信息系统生命周期安排审计业务活动

按照信息系统的生命周期，信息系统审计要求对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价，以审查企业信息系统是否安全、可靠、有效，保证信息系统得出准确可靠的数据。信息系统生命周期审计的基本业务主要包括信息系统开发审计和信息系统维护审计。

1．信息系统开发审计。

信息系统开发审计包括对开发过程、开发方法、应用开发测试、系统功能实现等方面的审计。执行信息系统开发审计的人员需要明确信息系统开发流程是否包括计划、组织、监控等内容，系统开发过程是否被划分为子流程／阶段，子流程／阶段是否有明确的定义；评价所用的开发方法是否恰当，开发过程中所用的测试是否充分，系统实现的功能是否与预定功能相符。信息系统开发审计报告可以为信息系统开发指导委员会及变化控

制委员会提供咨询服务。

2．信息系统维护审计。信息系统审计不应该仅仅包括对开发过程的审计，更重要的是对信息系统实施后运行和维护过程的审计。其主要审计要求是：

（1）确定是否有维护计划，维护工作是否得到负责人的批准，系统是否按照维护计划进行了维护；

（2）确认是否存在未经授权擅自修改或更改系统的问题；

（3）确定维护工作是否保护了应用程序，并使程序库不受非法访问；

（4）确定系统维护后是否经过充分测试，用户是否参与了系统维护后的测试工作；

（5）确定是否对每一次维护工作都有详细的记录；

（6）确定系统维护后文档资料是否及时更新。

（二）按照信息系统内部控制要求安排审计业务活动

建立、健全内部控制是被审计单位规范、强化内部管理的重要手段，信息系统控制是企业内部控制的重要组成部分。信息系统控制是一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊，合理确保信息系统提供信息的真实、合法、完整而制定和实施的一系列政策与程序措施。信息系统内部控制审计可以分为信息系统一般控制审计和信息系统应用控制审计。

1．信息系统一般控制审计。信息系统一般控制是应用于一个单位信息