浅论信息系统审计的内容与方法
梁宏伟(审计署郑州办)
随着经济社会信息化程度的不断提高,信息技术在各类组织中的应用,已从简单事务处理信息系统发展到包括会计信息系统、业务信息系统、管理信息系统、决策信息系统等在内的复杂信息系统。信息系统在给组织带来极大便利并提高工作绩效的同时,也带来了巨大的潜在风险。信息系统在组织内部的地位和影响,也从早期的技术层面,逐步上升到组织的内部控制、管理和治理层面。审计人员在开展审计时,也越来越多地依赖被审计单位的信息系统,审计对象的信息系统的安全性、可靠性和有效性直接影响审计工作的顺利开展。因而,对被审计单位信息系统的审计,已越来越收到审计机关的重视。
一、信息系统审计的目标
信息系统,就是被审计单位利用现代信息技术实现财政收支、财务收支及其相关经济业务活动的信息处理的系统。信息系统审计,就是对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的过程。
信息系统审计的目标就是要通过检查和评价被审计单位信息系统的安全性、可靠性和经济性,揭示信息系统存在的问题,提出完善信息系统控制的审计意见和建议,促进被审计单位信息系统实现组织目标;同时,通过检查和评价信息系统产生数据的真实性、完整性和正确性,防范和控制审计风险。一方面,审计人员通过对信息系统合规性、安全性、可靠性和有效性的检查,评价被审计单位信息系统中输入、处理、存储、输出数据的真实性和完整性,查找被审计单位信息系统管理中的不合理环节,可以发现传统审计难以发现的问题。另一方面,审计人员也通过在传统审计中发现的问题,反推和验证信息系统中存在的不规范甚至不合法的功能和漏洞。
二、信息系统审计的主要内容
信息系统审计的内容是由信息系统审计的对象所决定的,主要有应用控制审计、一般控制审计和项目管理审计。
应用控制审计包括信息系统业务流程控制的审计、数据输入、处理和输出控制的审计、信息共享和业务协同的审计。通过检查被审计单位信息系统承载的经济业务活动的发生、处理、记录和报告的业务流程和业务循环过程,评价系统业务流程控制的合理性和有效性,揭示系统业务流程设计缺陷、控制缺失等问题,形成审计结论,提出审计意见和建议;为防范和控制数据审计风险,以及审计项目对信息系统业务流程控制的审计评价提供支持; 通过检查被审计单位信息系统数据输入、处理和输出控制的有效性,发现因系统控制缺失产生的数据风险,形成数据控制水平的审计评价和结论,提出审计意见和建议;为数据审计防范和控制审计风险,以及审计项目对信息系统数据风险控制的审计评价提供支持; 通过检查被审计单位信息系统内外部信息共享与业务协同,揭示共享与协同控制的缺失,分析并评价风险程度,形成被审计单位信息共享与业务协同水平的审计评价和结论,提出审计意见和建议;为数据审计获取真实、完整和正确的审计数据,以及审计项目对被审计单位信息共享与业务协同的审计评价提供支持。
一般控制审计包括信息系统总体控制的审计、信息安全技术控制的审计、信息安全管理控制的审计。通过检查被审计单位信息系统总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等,分析信息系统在内部环境、风险评估、控制活动、信息与沟通、内部监督方面的有效性及其风险,形成信息系统总体控制的审计评价和结论,提出审计意见和建议,促进信息系统总体控制的完善,并为审计项目对信息系统总体控制的审计评价提供支持;通过检查被审计单位信息系统的信息安全技术及其控制的整体方案,检查安全计算环境、区域边界、通讯网络等方面的安全策略和技术设计,检查信息系统的安全技术配置和防护措施,发现并揭示信息系统安全技术控制的缺失,分析并评价风险程度,形成信息安全技术控制的审计结论,提出审计意见和建议,促进信息系统安全技术及其相关控制的落实;为数据审计防范和控制审计风险,以及审计项目对信息安全技术控制的审计评价提供支持; 通过检查被审计单位信息系统的信息安全管理,评价信息安全管理的完整性和有效性,揭示信息安全管理缺失的问题,形成信息安全管理控制的审计评价和结论,提出审计意见和建议,促进信息系统安全管理的有效性;为数据审计防范和控制审计风险,以及审计项目对系统安全管理的审计评价提供支持。
项目管理审计包括信息系统建设的经济性评价、信息系统建设管理评价和信息系统绩效评价。通过检查 被审计单位信息系统规划、建设、应用和运维的经济性,发现系统建设不经济的问题,形成审计结论,提出审计意见和建议,促进信息化建设投资的有效性,并为审计项目对信息系统建设经济性的审计评价提供支持; 通过检查被 审计单位信息系统建设的立项申报、建设管理、资金管理、监督管理、验收管理、运行管理、等保管理和风险评估管理,揭示系统建设管理控制缺失的问题,提出审计意见和建议,促进项目建设管理的规范性,为审计项目对信息系统建设管理的审计评价提供支持;通过检查被审计单位信息系统顶层设计及建设实现的管理决策支持能力、经济业务协同能力、系统建设发展能力和信息系统贡献能力的提升,以及经济业务活动的效率、效果和效能的改善,揭示信息系统顶层设计和建设方面的不足,提出审计意见和建议,进一步促进信息系统的实际效能提升,为审计项目对系统建设绩效的审计评价提供支持。
三、信息系统审计的主要技术方法
信息系统审计过程分为准备阶段、实施阶段和终结阶段,在开展信息系统审计时,首先要调查了解信息系统的需求与设计、研发与集成、使用与控制、运维与保障以及相关的组织架构、责任机制和控制制度;其次要调查了解系统承载业务的业务流、资金流和信息流,重点分析系统结构和数据结构,标识信息系统审计的关键控制环节和控制点;然后要研究并确定信息系统应用控制、一般控制和项目管理的审计内容、审计事项和审计指标,并开展应用控制、一般控制和项目管理的审计测试和评价,获取审计证据,记录相关指标的测评情况,分析系统控制水平以及数据风险,评价系统建设的经济性及信息化投资的有效性,进而依据审计记录和审计证据,评价信息系统的真实性、合法性、效益性和安全性,分析信息系统的控制缺失程度、风险水平、成因和责任,形成审计结论,提出改进信息系统控制、防范系统控制缺失产生审计风险的审计意见和建议。主要有以下几种方法:
(一)信息系统了解的方法
主要包括询问法、检查法和观察法。询问法是指与被审计单位人员面对面交谈,询问有关情况并收集审计证据的方法。如询问信息系统的立项审批、系统建设、运行管理、运维服务、项目投资等情况,以及相关责任机构和管理制度等。在询问前要收集相关的背景资料,确定合适的询问对象,询问过程中要做好记录,询问之后要对谈话的内容和搜集的材料进行评价和总结;检查法主要是检查与信息系统有关的文档,了解信息系统的总体情况、控制情况及开发设计情况,为得出审计结论收集审计证据;观察法是指对信息系统物理环境、硬件设施和办公场所,对信息系统的开发设计、构成和操作情况进行了解,对控制措施的实施进行实地查看的方法。如对一般控制环境、区域边界和网络通信,以及信息系统的物理环境、网络、主机、应用、数据和安全等各类系统控制进行实地检查。
(二)信息系统描述的方法
信息系统描述的方法包括文字描述法、表格描述法和图形描述法。文字描述法就是对被审计单位的信息系统功能、结构、控制政策措施以及生命周期过程等在了解的基础上,通过文字来进行描述的方法,适用于大多数信息系统的情况,好处是运用简便、易于理解,缺点是不够简明、直观。表格描述法就是运用标准的或自行设计的表格,对信息系统的有关情况进行描述的方法,适用于对信息系统开发过程、内部控制的多项指标、系统组成要素的多个组成部分的情况描述,优点是结构清晰、逻辑性强。图形描述法是指对信息系统的组织结构、功能、生命周期以及业务流程等用图形的方式加以描述的方法,包括组织结构图功能结构图以及业务流程图等形式。优点是直观,便于理解。
(三)信息系统测试和验证的方法
数据测试主要是采用模拟数据对运行系统或者备份系统进行符合性测试,验证数据输入、处理和输出控制的有效性,对重要的计量、计费、核算、分析等计算功能及其控制进行设计文档审查、系统设置检查和数据实质性测试的审查。必要时审查应用系统的源程序。
数据验证包括数据采集验证、数据转换验证和数据处理验证。利用直连式、旁路式、代理式等合适的数据采集方法和工具,采集系统监测日志或者相关业务数据,进行数据符合性验证;利用数据库数据转换、文本转换、网页信息转换等方法和工具,对异构数据库之间的数据转换、结构化数据和非结构化数据的转换、不同数据类型和格式之间数据转换的一致性和准确性进行数据转换验证;通过对数据库SQL语句进行转换解析,实现对各类经济业务活动的计量、计费、核算、汇总等计算的符合性与准确性进行验证。
(四)信息系统工具检测方法:
主要有安全工具检测、审计工具检测、测评工具检测、系统运行监测、系统监控检测。利用入侵检测、漏洞扫描等工具进行监测;利用网络审计、主机审计、数据库审计等工具的日志记录结果进行分析;利用网络分析检测、系统配置检测、日志分析检测等工具,检测主机操作系统、数据库、网络设备等重要系统是否满足配置标准和规范要求;利用网络流量、应用进程、CPU利用率、内存利用率等系统运行监测结果进行分析;利用对应用、数据、主机、网络、机房环境设备设施等方面的系统运行监控记录进行分析评价。(梁宏伟)
一、信息系统审计的目标
信息系统,就是被审计单位利用现代信息技术实现财政收支、财务收支及其相关经济业务活动的信息处理的系统。信息系统审计,就是对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的过程。
信息系统审计的目标就是要通过检查和评价被审计单位信息系统的安全性、可靠性和经济性,揭示信息系统存在的问题,提出完善信息系统控制的审计意见和建议,促进被审计单位信息系统实现组织目标;同时,通过检查和评价信息系统产生数据的真实性、完整性和正确性,防范和控制审计风险。一方面,审计人员通过对信息系统合规性、安全性、可靠性和有效性的检查,评价被审计单位信息系统中输入、处理、存储、输出数据的真实性和完整性,查找被审计单位信息系统管理中的不合理环节,可以发现传统审计难以发现的问题。另一方面,审计人员也通过在传统审计中发现的问题,反推和验证信息系统中存在的不规范甚至不合法的功能和漏洞。
二、信息系统审计的主要内容
信息系统审计的内容是由信息系统审计的对象所决定的,主要有应用控制审计、一般控制审计和项目管理审计。
应用控制审计包括信息系统业务流程控制的审计、数据输入、处理和输出控制的审计、信息共享和业务协同的审计。通过检查被审计单位信息系统承载的经济业务活动的发生、处理、记录和报告的业务流程和业务循环过程,评价系统业务流程控制的合理性和有效性,揭示系统业务流程设计缺陷、控制缺失等问题,形成审计结论,提出审计意见和建议;为防范和控制数据审计风险,以及审计项目对信息系统业务流程控制的审计评价提供支持; 通过检查被审计单位信息系统数据输入、处理和输出控制的有效性,发现因系统控制缺失产生的数据风险,形成数据控制水平的审计评价和结论,提出审计意见和建议;为数据审计防范和控制审计风险,以及审计项目对信息系统数据风险控制的审计评价提供支持; 通过检查被审计单位信息系统内外部信息共享与业务协同,揭示共享与协同控制的缺失,分析并评价风险程度,形成被审计单位信息共享与业务协同水平的审计评价和结论,提出审计意见和建议;为数据审计获取真实、完整和正确的审计数据,以及审计项目对被审计单位信息共享与业务协同的审计评价提供支持。
一般控制审计包括信息系统总体控制的审计、信息安全技术控制的审计、信息安全管理控制的审计。通过检查被审计单位信息系统总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等,分析信息系统在内部环境、风险评估、控制活动、信息与沟通、内部监督方面的有效性及其风险,形成信息系统总体控制的审计评价和结论,提出审计意见和建议,促进信息系统总体控制的完善,并为审计项目对信息系统总体控制的审计评价提供支持;通过检查被审计单位信息系统的信息安全技术及其控制的整体方案,检查安全计算环境、区域边界、通讯网络等方面的安全策略和技术设计,检查信息系统的安全技术配置和防护措施,发现并揭示信息系统安全技术控制的缺失,分析并评价风险程度,形成信息安全技术控制的审计结论,提出审计意见和建议,促进信息系统安全技术及其相关控制的落实;为数据审计防范和控制审计风险,以及审计项目对信息安全技术控制的审计评价提供支持; 通过检查被审计单位信息系统的信息安全管理,评价信息安全管理的完整性和有效性,揭示信息安全管理缺失的问题,形成信息安全管理控制的审计评价和结论,提出审计意见和建议,促进信息系统安全管理的有效性;为数据审计防范和控制审计风险,以及审计项目对系统安全管理的审计评价提供支持。
项目管理审计包括信息系统建设的经济性评价、信息系统建设管理评价和信息系统绩效评价。通过检查 被审计单位信息系统规划、建设、应用和运维的经济性,发现系统建设不经济的问题,形成审计结论,提出审计意见和建议,促进信息化建设投资的有效性,并为审计项目对信息系统建设经济性的审计评价提供支持; 通过检查被 审计单位信息系统建设的立项申报、建设管理、资金管理、监督管理、验收管理、运行管理、等保管理和风险评估管理,揭示系统建设管理控制缺失的问题,提出审计意见和建议,促进项目建设管理的规范性,为审计项目对信息系统建设管理的审计评价提供支持;通过检查被审计单位信息系统顶层设计及建设实现的管理决策支持能力、经济业务协同能力、系统建设发展能力和信息系统贡献能力的提升,以及经济业务活动的效率、效果和效能的改善,揭示信息系统顶层设计和建设方面的不足,提出审计意见和建议,进一步促进信息系统的实际效能提升,为审计项目对系统建设绩效的审计评价提供支持。
三、信息系统审计的主要技术方法
信息系统审计过程分为准备阶段、实施阶段和终结阶段,在开展信息系统审计时,首先要调查了解信息系统的需求与设计、研发与集成、使用与控制、运维与保障以及相关的组织架构、责任机制和控制制度;其次要调查了解系统承载业务的业务流、资金流和信息流,重点分析系统结构和数据结构,标识信息系统审计的关键控制环节和控制点;然后要研究并确定信息系统应用控制、一般控制和项目管理的审计内容、审计事项和审计指标,并开展应用控制、一般控制和项目管理的审计测试和评价,获取审计证据,记录相关指标的测评情况,分析系统控制水平以及数据风险,评价系统建设的经济性及信息化投资的有效性,进而依据审计记录和审计证据,评价信息系统的真实性、合法性、效益性和安全性,分析信息系统的控制缺失程度、风险水平、成因和责任,形成审计结论,提出改进信息系统控制、防范系统控制缺失产生审计风险的审计意见和建议。主要有以下几种方法:
(一)信息系统了解的方法
主要包括询问法、检查法和观察法。询问法是指与被审计单位人员面对面交谈,询问有关情况并收集审计证据的方法。如询问信息系统的立项审批、系统建设、运行管理、运维服务、项目投资等情况,以及相关责任机构和管理制度等。在询问前要收集相关的背景资料,确定合适的询问对象,询问过程中要做好记录,询问之后要对谈话的内容和搜集的材料进行评价和总结;检查法主要是检查与信息系统有关的文档,了解信息系统的总体情况、控制情况及开发设计情况,为得出审计结论收集审计证据;观察法是指对信息系统物理环境、硬件设施和办公场所,对信息系统的开发设计、构成和操作情况进行了解,对控制措施的实施进行实地查看的方法。如对一般控制环境、区域边界和网络通信,以及信息系统的物理环境、网络、主机、应用、数据和安全等各类系统控制进行实地检查。
(二)信息系统描述的方法
信息系统描述的方法包括文字描述法、表格描述法和图形描述法。文字描述法就是对被审计单位的信息系统功能、结构、控制政策措施以及生命周期过程等在了解的基础上,通过文字来进行描述的方法,适用于大多数信息系统的情况,好处是运用简便、易于理解,缺点是不够简明、直观。表格描述法就是运用标准的或自行设计的表格,对信息系统的有关情况进行描述的方法,适用于对信息系统开发过程、内部控制的多项指标、系统组成要素的多个组成部分的情况描述,优点是结构清晰、逻辑性强。图形描述法是指对信息系统的组织结构、功能、生命周期以及业务流程等用图形的方式加以描述的方法,包括组织结构图功能结构图以及业务流程图等形式。优点是直观,便于理解。
(三)信息系统测试和验证的方法
数据测试主要是采用模拟数据对运行系统或者备份系统进行符合性测试,验证数据输入、处理和输出控制的有效性,对重要的计量、计费、核算、分析等计算功能及其控制进行设计文档审查、系统设置检查和数据实质性测试的审查。必要时审查应用系统的源程序。
数据验证包括数据采集验证、数据转换验证和数据处理验证。利用直连式、旁路式、代理式等合适的数据采集方法和工具,采集系统监测日志或者相关业务数据,进行数据符合性验证;利用数据库数据转换、文本转换、网页信息转换等方法和工具,对异构数据库之间的数据转换、结构化数据和非结构化数据的转换、不同数据类型和格式之间数据转换的一致性和准确性进行数据转换验证;通过对数据库SQL语句进行转换解析,实现对各类经济业务活动的计量、计费、核算、汇总等计算的符合性与准确性进行验证。
(四)信息系统工具检测方法:
主要有安全工具检测、审计工具检测、测评工具检测、系统运行监测、系统监控检测。利用入侵检测、漏洞扫描等工具进行监测;利用网络审计、主机审计、数据库审计等工具的日志记录结果进行分析;利用网络分析检测、系统配置检测、日志分析检测等工具,检测主机操作系统、数据库、网络设备等重要系统是否满足配置标准和规范要求;利用网络流量、应用进程、CPU利用率、内存利用率等系统运行监测结果进行分析;利用对应用、数据、主机、网络、机房环境设备设施等方面的系统运行监控记录进行分析评价。(梁宏伟)
| 【关闭】 【打印】 |
