信息系统审计内容与方法浅析
姚海峰(湖北省五峰土家族自治县审计局)
[摘要] 本文依据信息化条件下审计技术的发展趋势,从信息系统审计的最基本概念出发,阐述信息系统审计的内在含义、实施信息系统审计的目标及重要性,系统介绍了当前信息系统审计的主要内容以及实施信息系统审计过程中系统了解、系统描述和系统测试的主要技术方法。
关键字:信息系统 审计 内容 方法
随着信息技术的广泛应用,以计算机和网络为特征的信息系统日益普及,审计机关实施审计的信息很多来源于被审计单位的信息系统,这些信息系统是否安全、可靠和有效是审计工作顺利开展的重要前提。对信息系统审计已成为当今审计发展的大势所趋,越来越受到审计机关的重视。为更好地履行审计监督的职能,完成信息化时代所赋予审计新的使命,信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须“三位一体”,只有这样,我们才能完成“全面审计,突出重点”的要求,全面履行审计职责。
一、信息系统审计的概念、目标及重要性
㈠信息系统审计的概念
信息系统审计是一个通过获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。从这一定义看,信息系统审计是保证信息系统的合规性、安全性、可靠性和有效性来实现组织目标的。这不仅需要关注信息系统本身产生的业务数据、财务数据、管理数据,还应该把保障信息系统运行的各种管理制度纳入审计范围。信息系统审计的主体,可以是政府审计机关,也可以是独立的信息系统审计中介机构;信息系统审计的客体是信息系统本身,而不仅仅是数据文档审计。信息系统生命周期的开发、运营、维护等各个阶段都是审计的对象。
㈡信息系统审计的目标
信息系统审计目标是通过对信息系统合规性、安全性、可靠性和有效性的审计,来评价被审单位信息系统中输入、处理、存储、输出的电子数据的真实、完整性;查找被审单位信息系统管理制度不规范的环节,各系统间关联对比关系不完善,缺少系统的自身校验功能等薄弱环节;通过信息系统审计发现传统审计难以发现的问题,也可以通过传统审计发现的问题,反推信息系统中存在的非法功能和漏洞。
㈢信息系统审计的重要性
信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然产物,其重要性体现在:
信息系统审计是审计机关维护国家信息安全的重要手段。审计作为经济社会运行的“免疫系统”,维护国家安全是审计工作的第一要务。信息安全是国家经济安全的一个重要方面。当前信息化条件下,只有通过开展信息系统审计,才能确保国家信息安全。
信息系统审计是新形势下防范审计风险的重要手段。在对被审计单位电子数据进行审计时,如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。
信息系统审计是查处打击新型犯罪手段的重要手段。由于计算机和通信技术的不断普及,我们对信息系统的依赖越来越严重。开展信息系统审计,能够帮助被审计单位完善信息系统的运行,同时,对利用信息系统进行计算机犯罪也具有强大的震慑作用。
二、信息系统审计的主要内容
信息系统审计的内容是由信息系统审计的对象所决定的,信息系统的审计对象是信息系统的各个组成部分及其相关内部控制措施,并覆盖信息系统生命周期的各个阶段。因此信息系统审计的内容主要由信息系统内部控制审计、信息系统组成部分审计以及信息系统生命周期审计所组成。
㈠信息系统内部控制审计
信息系统内部控制分为一般控制和应用控制。一般控制是适用于信息系统的所有信息处理而设定的政策和措施,其目的在于保证所有的信息处理的准确性和可靠性。一般控制审计包括:①组织控制审计。内容包括了解被审计单位的组织结构、人员分工、业务授权和职责分离等情况;审查组织控制措施是否健全,是否制定了完善的工作制度、岗位职责,是否落实了岗位责任制和风险防范责任,是否建立了内部监督机制和考核机制等。②信息系统的开发维护控制审计。审计人员应对系统的开发维护过程进行审查,应审查是否提交开发立项申请报告,报告是否经过领导和专家审查、论证;审查在系统开发过程中是否有系统使用部门和内部审计部门的参与,保证系统设计符合使用需要,并保留系统控制功能和审计线索;审查是否编制系统说明书对开发过程进行控制。③安全控制审计。应审查信息系统的环境安全控制以及技术安全控制,环境控制包括是否为信息系统的硬件设备提供适合的工作环境,保证设备正常运转;技术安全控制包括是否通过加密技术限制未经授权的人员接触机密数据和文件,是否有系统硬软件和数据文件的灾难补救计划,是否定期或在重要操作前对数据进行备份,减少意外导致损失的可能性。④软硬件控制审计。对硬件的审查一般结合信息系统的其他处理和控制功能进行审查,较少独立审查。
㈡信息系统组成部分的审计
信息系统由人、计算机硬件、系统软件、应用软件所组成。由于硬件、系统软件的可靠程度较高,因此这部分审计以应用软件审计为主要内容。应用程序是信息系统的核心,其对经济业务的处理是否正确,直接关系到信息系统的可靠性。应用程序的审计主要包括:①应用程序的控制措施是否健全有效。包括审查应用软件的输入、输出、和处理控制是否健全有效。②应用程序的合法性,即应用程序中的编码是否符合规章制度的规定,不包含非法的编码。审计人员应对程序编码的每个条件、分支都进行检查,考虑到各种执行结果的合法性。③应用程序的正确性,即应用程序中的编码是否正确地进行了逻辑处理,不包含无意中造成错误的编码。应对程序开发的过程进行审查,特别是要对测试阶段的文档资料及程序执行过程中的错误文档进行审查,弄清程序发生错误的原因以及是否得到更正。④应用程序的效率性,即应用程序是否以最小的系统开销和时间成本完成了程序执行任务。应审查程序是否遵循了高效设计的原则。
㈢信息系统生命周期的审计
信息系统的生命周期包括信息系统的规划、开发、设计、编码、测试等全过程,直接关系着信息系统的质量,因此应对信息系统的生命周期过程及其文档进行审计,内容主要包括:①信息系统的可行性。审计人员应检查系统的可行性文档,从经济上、技术上判断系统是否可行,能否达到预期的经济效益和社会效益,系统的功能是否符合相关法律法规的规定。②信息系统开发过程是否按照事先设计的文档去执行,开发过程的每个阶段是否完成阶段目标,才转入下一个阶段。系统的可行性研究报告及其批准资料、系统分析与设计资料、程序设计资料及测试资料和操作手册等是否完整。 ③信息系统测试的全面性、适当性。审计人员应检查测试数据是否包括一些有代表性的错误数据,系统对错误数据是否进行正确处理等。④完成的信息系统功能上是否达到预定的需求,时间进度是否控制在计划之内,预算是否超过标准等。
三、信息系统审计的主要技术方法
信息系统审计过程分为准备阶段、实施阶段和终结阶段,其中准备阶段和终结阶段的技术方法与一般审计无很大区别。审计实施阶段的信息系统审计技术方法分为了解、描述和测试的方法。
㈠信息系统了解的方法
信息系统的调查了解方法在信息系统审计的各项内容中都能用到,包括:①询问法。是指与被审计单位人员面对面交谈,询问有关情况以收集审计证据的方法。询问前应收集相关的背景资料,确定合适的询问对象,询问过程中应做好记录并要求被询问对象签字。询问后应对谈话的内容进行评价和总结。②检查法。主要是检查与信息系统有关的文档,以了解信息系统的总体情况、控制情况以及开发设计情况等,为得出审计结论收集审计证据。检查中应做好相应记录并将检查过程和结果记入工作底稿中。③观察法。是审计人员对信息系统的物理环境、硬件设施和办公场所,对信息系统的开发设计、构成和操作情况进行了解,对控制措施的实施进行实地查看的方法。观察前应确定观察对象的位置和陪同人员,观察过程中做好记录并对观察结果进行评价和总结。
㈡信息系统描述的方法
信息系统描述的方法包括文字描述法、表格描述法和图形描述法,在使用过程中各种描述方法可以搭配使用。①文字描述法。是指对被审计单位的信息系统功能、结构、控制政策措施以及生命周期过程等在了解的基础上,通过文字来进行描述的方法,适用于大多数信息系统的情况,好处是运用简便、易于理解,缺点是不够简明、直观。②表格描述法。是审计人员运用标准的或自行设计的表格,对信息系统的有关情况进行描述的方法,适用于对信息系统开发过程、内部控制的多项指标、系统组成要素的多个组成部分的情况描述,优点是结构清晰、逻辑性强。③图形描述法。是指审计人员对信息系统的组织结构、功能、生命周期以及业务处理流程等用图形的方式来加以描述的方法,包括组织结构图、功能结构图以及业务流程图等形式。采用图形描述法应注意统一各种符号标准及其涵义,以便于审计人员相互理解和交流。
㈢信息系统测试的方法
信息系统测试的方法是信息系统审计中独有的技术方法,主要是一些计算机辅助方法,主要包括:①测试数据法。是指审计人员设计一套虚拟的业务数据,将其输入到计算机中,观察比较输出是否与预期相符。如果相符,说明内部控制存在并符合既定要求或应用程序正确。测试数据可以是真实的业务数据,也可以是为了检验程序而设定的“边界数据”。测试数据只可以测试计算机某个时点的数据,因此应采取突击检查的方式进行。测试结束后,应将测试数据从被审计单位信息系统中清除。②平行模拟法。是指审计人员开发一个与被审计单位信息系统或程序模块功能完全相同的模拟系统,将被审计单位的真实数据放入模拟系统中运行,观察其输出是否与被审计单位信息系统相一致。平行模拟的优点是测试不会干扰被审计单位信息系统的运行,缺点是对审计人员的程序设计能力要求太高,实施该方法具有很大的限制性。③嵌入审计模块法。是在被审计单位的信息系统中加入为审计而编写的程序代码。嵌入的模块成为信息系统的组成部分,并可以在特定的时间间隔或是条件触发时为审计人员提供有关数据和报告。嵌入的模块深入系统内部,可以获得未经加工的数据,为审计人员提供实时的审计,弥补了事后审计的不足。④虚拟实体法。是对测试数据法的改良,一般是在信息系统中建立虚拟的实体(如供应商、客户、员工等),然后将虚拟实体的有关数据与真实的数据一起输入信息系统进行处理,最后将虚拟实体的输出结果与预期进行比较,确定信息系统的控制功能是否发生作用。⑤受控处理法。是指审计人员在对被审计单位的真实业务数据在处理之前先进行核实,核实之后在被审计单位的信息系统桑监督处理或亲自处理,并将处理结果与预期结果进行比较分析,以判断被审计单位的系统是否符合规定的要求。⑥受控再处理法。是将已经由被审计单位处理过的真实数据,在审计人员的监督下,或由审计人员亲自在相同的信息系统或以前保存的程序副本上再处理一次,将二次处理的结果与以前处理的结果相比较,判断当前的信息系统程序是否符合既定要求。⑦程序代码检查法。是通过检查源程序代码的内部运行逻辑来发现存在的问题,并对程序是否符合规章制度的规定、能否完成预定功能及其质量进行评判的方法。该方法可以绕过输入输出直接检查程序内部代码,容易发现作弊程序,但对审计人员的计算机程序水平要求非常高。
参考文献:
1、《信息系统审计内容与方法》执笔:庄明来 吴沁红 李俊 中国时代经济出版社
2、《信息系统审计:审计发展的新路径》 中国审计2008年第3期
3、《信息系统审计》作者:张金城 清华大学出版社 2009-3-1
关键字:信息系统 审计 内容 方法
随着信息技术的广泛应用,以计算机和网络为特征的信息系统日益普及,审计机关实施审计的信息很多来源于被审计单位的信息系统,这些信息系统是否安全、可靠和有效是审计工作顺利开展的重要前提。对信息系统审计已成为当今审计发展的大势所趋,越来越受到审计机关的重视。为更好地履行审计监督的职能,完成信息化时代所赋予审计新的使命,信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须“三位一体”,只有这样,我们才能完成“全面审计,突出重点”的要求,全面履行审计职责。
一、信息系统审计的概念、目标及重要性
㈠信息系统审计的概念
信息系统审计是一个通过获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。从这一定义看,信息系统审计是保证信息系统的合规性、安全性、可靠性和有效性来实现组织目标的。这不仅需要关注信息系统本身产生的业务数据、财务数据、管理数据,还应该把保障信息系统运行的各种管理制度纳入审计范围。信息系统审计的主体,可以是政府审计机关,也可以是独立的信息系统审计中介机构;信息系统审计的客体是信息系统本身,而不仅仅是数据文档审计。信息系统生命周期的开发、运营、维护等各个阶段都是审计的对象。
㈡信息系统审计的目标
信息系统审计目标是通过对信息系统合规性、安全性、可靠性和有效性的审计,来评价被审单位信息系统中输入、处理、存储、输出的电子数据的真实、完整性;查找被审单位信息系统管理制度不规范的环节,各系统间关联对比关系不完善,缺少系统的自身校验功能等薄弱环节;通过信息系统审计发现传统审计难以发现的问题,也可以通过传统审计发现的问题,反推信息系统中存在的非法功能和漏洞。
㈢信息系统审计的重要性
信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然产物,其重要性体现在:
信息系统审计是审计机关维护国家信息安全的重要手段。审计作为经济社会运行的“免疫系统”,维护国家安全是审计工作的第一要务。信息安全是国家经济安全的一个重要方面。当前信息化条件下,只有通过开展信息系统审计,才能确保国家信息安全。
信息系统审计是新形势下防范审计风险的重要手段。在对被审计单位电子数据进行审计时,如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。
信息系统审计是查处打击新型犯罪手段的重要手段。由于计算机和通信技术的不断普及,我们对信息系统的依赖越来越严重。开展信息系统审计,能够帮助被审计单位完善信息系统的运行,同时,对利用信息系统进行计算机犯罪也具有强大的震慑作用。
二、信息系统审计的主要内容
信息系统审计的内容是由信息系统审计的对象所决定的,信息系统的审计对象是信息系统的各个组成部分及其相关内部控制措施,并覆盖信息系统生命周期的各个阶段。因此信息系统审计的内容主要由信息系统内部控制审计、信息系统组成部分审计以及信息系统生命周期审计所组成。
㈠信息系统内部控制审计
信息系统内部控制分为一般控制和应用控制。一般控制是适用于信息系统的所有信息处理而设定的政策和措施,其目的在于保证所有的信息处理的准确性和可靠性。一般控制审计包括:①组织控制审计。内容包括了解被审计单位的组织结构、人员分工、业务授权和职责分离等情况;审查组织控制措施是否健全,是否制定了完善的工作制度、岗位职责,是否落实了岗位责任制和风险防范责任,是否建立了内部监督机制和考核机制等。②信息系统的开发维护控制审计。审计人员应对系统的开发维护过程进行审查,应审查是否提交开发立项申请报告,报告是否经过领导和专家审查、论证;审查在系统开发过程中是否有系统使用部门和内部审计部门的参与,保证系统设计符合使用需要,并保留系统控制功能和审计线索;审查是否编制系统说明书对开发过程进行控制。③安全控制审计。应审查信息系统的环境安全控制以及技术安全控制,环境控制包括是否为信息系统的硬件设备提供适合的工作环境,保证设备正常运转;技术安全控制包括是否通过加密技术限制未经授权的人员接触机密数据和文件,是否有系统硬软件和数据文件的灾难补救计划,是否定期或在重要操作前对数据进行备份,减少意外导致损失的可能性。④软硬件控制审计。对硬件的审查一般结合信息系统的其他处理和控制功能进行审查,较少独立审查。
㈡信息系统组成部分的审计
信息系统由人、计算机硬件、系统软件、应用软件所组成。由于硬件、系统软件的可靠程度较高,因此这部分审计以应用软件审计为主要内容。应用程序是信息系统的核心,其对经济业务的处理是否正确,直接关系到信息系统的可靠性。应用程序的审计主要包括:①应用程序的控制措施是否健全有效。包括审查应用软件的输入、输出、和处理控制是否健全有效。②应用程序的合法性,即应用程序中的编码是否符合规章制度的规定,不包含非法的编码。审计人员应对程序编码的每个条件、分支都进行检查,考虑到各种执行结果的合法性。③应用程序的正确性,即应用程序中的编码是否正确地进行了逻辑处理,不包含无意中造成错误的编码。应对程序开发的过程进行审查,特别是要对测试阶段的文档资料及程序执行过程中的错误文档进行审查,弄清程序发生错误的原因以及是否得到更正。④应用程序的效率性,即应用程序是否以最小的系统开销和时间成本完成了程序执行任务。应审查程序是否遵循了高效设计的原则。
㈢信息系统生命周期的审计
信息系统的生命周期包括信息系统的规划、开发、设计、编码、测试等全过程,直接关系着信息系统的质量,因此应对信息系统的生命周期过程及其文档进行审计,内容主要包括:①信息系统的可行性。审计人员应检查系统的可行性文档,从经济上、技术上判断系统是否可行,能否达到预期的经济效益和社会效益,系统的功能是否符合相关法律法规的规定。②信息系统开发过程是否按照事先设计的文档去执行,开发过程的每个阶段是否完成阶段目标,才转入下一个阶段。系统的可行性研究报告及其批准资料、系统分析与设计资料、程序设计资料及测试资料和操作手册等是否完整。 ③信息系统测试的全面性、适当性。审计人员应检查测试数据是否包括一些有代表性的错误数据,系统对错误数据是否进行正确处理等。④完成的信息系统功能上是否达到预定的需求,时间进度是否控制在计划之内,预算是否超过标准等。
三、信息系统审计的主要技术方法
信息系统审计过程分为准备阶段、实施阶段和终结阶段,其中准备阶段和终结阶段的技术方法与一般审计无很大区别。审计实施阶段的信息系统审计技术方法分为了解、描述和测试的方法。
㈠信息系统了解的方法
信息系统的调查了解方法在信息系统审计的各项内容中都能用到,包括:①询问法。是指与被审计单位人员面对面交谈,询问有关情况以收集审计证据的方法。询问前应收集相关的背景资料,确定合适的询问对象,询问过程中应做好记录并要求被询问对象签字。询问后应对谈话的内容进行评价和总结。②检查法。主要是检查与信息系统有关的文档,以了解信息系统的总体情况、控制情况以及开发设计情况等,为得出审计结论收集审计证据。检查中应做好相应记录并将检查过程和结果记入工作底稿中。③观察法。是审计人员对信息系统的物理环境、硬件设施和办公场所,对信息系统的开发设计、构成和操作情况进行了解,对控制措施的实施进行实地查看的方法。观察前应确定观察对象的位置和陪同人员,观察过程中做好记录并对观察结果进行评价和总结。
㈡信息系统描述的方法
信息系统描述的方法包括文字描述法、表格描述法和图形描述法,在使用过程中各种描述方法可以搭配使用。①文字描述法。是指对被审计单位的信息系统功能、结构、控制政策措施以及生命周期过程等在了解的基础上,通过文字来进行描述的方法,适用于大多数信息系统的情况,好处是运用简便、易于理解,缺点是不够简明、直观。②表格描述法。是审计人员运用标准的或自行设计的表格,对信息系统的有关情况进行描述的方法,适用于对信息系统开发过程、内部控制的多项指标、系统组成要素的多个组成部分的情况描述,优点是结构清晰、逻辑性强。③图形描述法。是指审计人员对信息系统的组织结构、功能、生命周期以及业务处理流程等用图形的方式来加以描述的方法,包括组织结构图、功能结构图以及业务流程图等形式。采用图形描述法应注意统一各种符号标准及其涵义,以便于审计人员相互理解和交流。
㈢信息系统测试的方法
信息系统测试的方法是信息系统审计中独有的技术方法,主要是一些计算机辅助方法,主要包括:①测试数据法。是指审计人员设计一套虚拟的业务数据,将其输入到计算机中,观察比较输出是否与预期相符。如果相符,说明内部控制存在并符合既定要求或应用程序正确。测试数据可以是真实的业务数据,也可以是为了检验程序而设定的“边界数据”。测试数据只可以测试计算机某个时点的数据,因此应采取突击检查的方式进行。测试结束后,应将测试数据从被审计单位信息系统中清除。②平行模拟法。是指审计人员开发一个与被审计单位信息系统或程序模块功能完全相同的模拟系统,将被审计单位的真实数据放入模拟系统中运行,观察其输出是否与被审计单位信息系统相一致。平行模拟的优点是测试不会干扰被审计单位信息系统的运行,缺点是对审计人员的程序设计能力要求太高,实施该方法具有很大的限制性。③嵌入审计模块法。是在被审计单位的信息系统中加入为审计而编写的程序代码。嵌入的模块成为信息系统的组成部分,并可以在特定的时间间隔或是条件触发时为审计人员提供有关数据和报告。嵌入的模块深入系统内部,可以获得未经加工的数据,为审计人员提供实时的审计,弥补了事后审计的不足。④虚拟实体法。是对测试数据法的改良,一般是在信息系统中建立虚拟的实体(如供应商、客户、员工等),然后将虚拟实体的有关数据与真实的数据一起输入信息系统进行处理,最后将虚拟实体的输出结果与预期进行比较,确定信息系统的控制功能是否发生作用。⑤受控处理法。是指审计人员在对被审计单位的真实业务数据在处理之前先进行核实,核实之后在被审计单位的信息系统桑监督处理或亲自处理,并将处理结果与预期结果进行比较分析,以判断被审计单位的系统是否符合规定的要求。⑥受控再处理法。是将已经由被审计单位处理过的真实数据,在审计人员的监督下,或由审计人员亲自在相同的信息系统或以前保存的程序副本上再处理一次,将二次处理的结果与以前处理的结果相比较,判断当前的信息系统程序是否符合既定要求。⑦程序代码检查法。是通过检查源程序代码的内部运行逻辑来发现存在的问题,并对程序是否符合规章制度的规定、能否完成预定功能及其质量进行评判的方法。该方法可以绕过输入输出直接检查程序内部代码,容易发现作弊程序,但对审计人员的计算机程序水平要求非常高。
参考文献:
1、《信息系统审计内容与方法》执笔:庄明来 吴沁红 李俊 中国时代经济出版社
2、《信息系统审计:审计发展的新路径》 中国审计2008年第3期
3、《信息系统审计》作者:张金城 清华大学出版社 2009-3-1
| 【关闭】 【打印】 |
