摘要：主要从什么是信息系统审计角度，探讨了信息系统审计的内涵，然后从信息系统审计审什么出发，介绍了信息系统审计包括的一般控制与应用控制的具体审计内容。
关键词：信息系统  审计  一般控制  应用控制  生命周期

为什么要进行信息系统审计？信息化条件下，审计人员如果仅仅对计算机中保存运行的数据进行计算、核对，而没有能力对处理各种业务的信息系统进行检查，很可能形成信息化条件下的“假账真查”。为了避免出现这样的尴尬情况，我们就需要对处理数据的信息系统进行审查和测试。本文试图从究竟什么是信息系统审计、信息系统审计审什么等方面阐述信息系统审计的一些基本概念。
什么是信息系统审计
首先我们要了解什么是信息系统。所谓信息系统，是一个对信息进行采集、处理、存储、管理、检索，必要时并能向有关人员提供有用信息的系统。它包括硬件、软件、数据库、网络和通讯、场所、人员、管理，以及系统中的各种数据，如下图。
 

而信息系统审计，国际信息系统审计协会(ISACA)给出的定义为：是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。
通俗的说，信息系统审计指对构成信息系统的软硬件等各方面进行审查，以确认该系统本身是安全有效的，所处理的数据是真实完整的，所支撑的业务是可持续的，潜在的风险是可控且在能够接受范围内的。
信息系统审计与传统审计相比，有其相对的独立性，是因为信息系统对事物处理的手段及方式与传统的手段及方式有很大的不同，从而产生了新的审计领域和新的审计内容。当然，信息系统审计也并不是与其他审计一点关系没有，如对信息系统投入成本与实际发挥作用情况的审计，则既属于信息系统审计的范畴，也属于效益（绩效）审计的内容。
信息系统审计审什么
按国际上通行的规范，信息系统审计有六个方面的主要内容：①评估信息系统计划、管理及组织架构的战略、政策、标准及相应的实践过程；②评估技术基础设施及运行实践的效能和效率；③评估信息资源在逻辑访问、运行环境以及IT基础设施等方面的安全性；④评估系统灾难恢复及保证业务连续性的能力；⑤评估业务应用系统开发、实施与维护的方法和过程；⑥评估业务流程的风险管理水平。归纳起来主要包括以下三大方面。
1、信息系统一般控制审计
一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当运行，支持应用控制作用的有效发挥。一般控制审计主要包括以下几个方面。
总体IT控制环境审计
从总体上审查被审计单位的IT规划和计划、IT组织结构、IT管理政策等，以判断被审单位的信息系统及其管理政策是否能适应并促进主业务的发展，同时评估被审计单位进行IT治理的程度及效果。
信息安全控制与管理政策审计
信息安全控制审计涉及逻辑访问控制、网络安全控制、操作系统安全控制、数据库系统安全控制、最终用户控制等。
在信息系统审计中，对组织的信息安全管理框架及其政策进行审计与评价是一项基本的工作，具体包括：①首先审计书面策略、流程与标准，以决定被审单位是否建立了正确的安全方针，明确的责任归属和操作程序；②审计逻辑访问安全策略，应当根据组织职责划分，为逻辑访问建立“知所必需”的原则，并合理评估在访问过程中暴露的风险；③审查员工的安全意识以及组织的安全培训机制，审查新的IT用户和离职员工访问控制；④审查与数据相关的人员遵循组织安全政策与策略情况，评估数据访问授权的充分性与合理性。
系统基础设施与变更控制审计
系统（物理）环境控制与审计。审计师应该关注自然灾害、电力中断、水/火灾、病毒等各方面因素对信息系统持续开展业务的影响。重点检查组织的环境控制设施及相关文档，电力供应保障措施，物理环境的防水/火性能，环境监控装置（温度、湿度），信息系统的防火墙及防病毒措施，消防单位的检查记录等，同时检测灾难恢复与业务持续计划。
硬件基础设施与系统软件控制审计。包括采购与获取、能力管理、维护与监控。审计师应审查硬件与系统软件是否有合理的获取计划、获取标准、获取/批准流程，获取请求是否经过了成本—效益分析；审查并确定被审计单位是否能保证对各部分性能进行连续的审查；检查被审计单位是否有软硬件错误报告和包含可用性、利用率的性能监控报告，并确定被审计单位是否已经充分利用了这些报告。
软硬件变更审计。审查被审计单位是否已经制订了系统配置变更计划与切实可行的实施变更日程表，制定了产品安装失败后的回退和恢复程序，在变更时没有干扰正常的应用生产处理。
系统访问控制审计
实现计算机安全的重要基础，是防止非授权用户(或进程)进入系统。
系统物理访问控制。检查信息系统相关场所，对所有可能出现物理访问风险的地方，对可能的物理访问路径进行评估，确认是否存在未经授权的人员进人信息处理场所的可能性；硬件设施在合理的范围内是否能防止强制入侵；门禁与钥匙是否有良好的控制，设备在移动或离开受保护的场所时是否有相关安全控制。
系统逻辑访问控制。审计逻辑访问获得对组织信息安全风险的整体了解；测试并记录评价系统中已有的针对各种潜在访问路径的控制是否充分和有效；检查信息系统的网络层、操作系统层、数据库层、应用系统层的逻辑访问控制策略，了解用户身份的识别与验证、访问授权、访问日志等控制措施的执行情况。
系统网络架构控制审计
主要审查网络架构中的通信网络一般控制、局域网安全与C/S架构安全、互联网安全、网络安全控制。审计师应审核网络拓扑图，确定组织中互连的网络结构与设施；识别在组织实施的网络部署方案；确定组织中适用的、针对网络管理与使用的安全政策、标准、程序和指南；审核与服务提供商签订的服务水平协议(SLA)；审核网络管理人员日常工作程序，并评估其是否具备相应的知识与技能来履行其职责；如与互联网相连，确定是否考虑了法律问题；审查网络变更的制定与授权，保证组织对网络变更建立了有效的控制，审查非授权变更。
数据与数据库安全控制审计
为保护系统中数据的机密性、完整性和真实性，需要检查是否对相关数据实施了加密技术，进行了加密处理。
在数据库安全控制审计中，审计师需要熟悉组织数据库环境，检查审核数据库的设计、访问、管理、接口和可移植性，检查数据库日志文件，审查当前访问数据库方式方法。在此基础上确定：数据是完整的、可用的；数据组织是适当的；对共享数据的访问是适当的；保证了数据库管理软件的完整性；数据字典的完整性及一致性得到了维护；数据冗余度最小，凡存在数据冗余的地方均已在数据字典或其他文档中进行了适当的交叉引用。
系统运营、灾难恢复与业务持续控制审计
审计师应对维持系统正常运营的操作管理控制执行情况进行审查。为了最小化系统宕机/灾难造成的业务中断事件对单位造成的影响，被审单位应建立灾难恢复与业务持续控制计划。审计人员应理解与评价组织的业务连续性策略，评估计划的充分性和时效性，评估以前的测试结果，确认计划的维护措施存在并且有效；评估异地存储场所的安全性和环境控制；访问关键人员，检查合同，审核保险事务。检查是否制定了符合实际需要的可行的恢复策略，包括检查备份程序与数据（异地存放），审查异地备份库的人员、设备、文档的安全和控制。
2、应用控制审计
应用控制针对的是与计算机应用相关的事物和数据，是对输入、输出和处理过程的控制。目标是确保输入的数据是准确、完整、授权和正确的，数据在可接受的时间内得到预期的处理，数据存贮和输出是准确和完整的，记录在此整个过程中是可追溯的。
良好的一般控制是应用控制的基础。如果一般控制审计结果很差，应用控制审计就没有进行的必要。应用控制审计主要有以下几个方面。
权限控制
权限的设计要遵循职责分离的原则和最小授权原则，一个用户在交易中不能同时拥有物理资产保管、数据建立、授权、复核中两个或两个以上权限。对于某些单位，特别是小单位，由于人员有限，可能会存在违反职责分离的现象，此时需提供一定的补偿性控制。
输入控制
确保每笔要被处理的事务都被准确完整地输入、处理、记录。这些控制能够保证只有有效授权的信息被输入，且事务只被处理一次。在集成环境下，还需要对数据来源系统的控制方式（输入输出权限控制、数据格式与数值范围控制、数据数量与自动处理控制等）进行审查，包括编辑检查、合法性和访问控制。
处理控制
处理控制用来确保应用程序处理的可靠性，常见的处理控制有如下几种类型：自动计算，自动处理，流程控制，批处理。
输出控制
输出控制用来确保数据以一致和安全的方式并以一定的格式传递给用户。常见的控制技术包括：在安全的地方登记和存储重要表单，报告分发，平衡和核对，输出错误处理，输出报告保留，报告接受登记。
接口控制
接口控制用来保证各个子系统之间、子系统内部各部分之间能无缝的协作，不至产生业务处理瓶颈。具体包括界面接口、数据接口、应用接口。
3、信息系统生命周期审计
项目型软件
项目型软件是指软件系统是由被审计单位技术人员独立或者与软件公司合作共同进行开发的。项目型软件下的信息系统生命周期审计包括信息系统项目管理审计、信息系统开发过程审计（包括系统规划、需求分析、设计编码等）、信息系统运行维护审计等在内的整个生命周期进行的审计，对信息系统的安全性、稳定与可靠性、有效性做出评价并提出改进措施。
商品型软件
商品型软件是指软件系统是由被审计单位从软件公司购买的商品化软件。商品化软件对其开发过程一般无法直接进行审计。对商品化软件进行生命周期审计，主要是对其获取过程进行审计，类似系统软件控制审计。同时审查软件功能是否符合单位的业务需要，是否存在与业务不相干的功能，并审查软件的安装维护及售后服务是否完善。
在上述控制以外，审计人员还必须考虑被审计单位是否有信息系统的补偿性控制（指某一系统的健全机制对其他有缺陷的控制机制形成补偿）和重叠性控制（指某一系统同时拥有两套健全的控制）以增加系统安全性。（王强）
 
参考文献：
[1]《信息系统审计 －安全、风险管理与控制》孙强 . 机械工业出版社 . 2003年9月
[2]《信息系统审计 —传统审计的一场革命》李丹.中国审计, 2002(3)
[3]《CISA Review Manual》ISACA . 2006
[4]《计算机审计技术和方法》刘汝焯 . 清华大学出版社 . 2004年

【关闭】    【打印】