程繼冉　劉春萌

[摘要]隨著信息化的飛速發(fā)展，企業(yè)管理對信息系統(tǒng)的依賴度極大提高，對如何有效地管理和控制信息系統(tǒng)的安全性、可靠性、有效性和功能完善性的研究開始被人們關(guān)注。通過對高速公路運(yùn)營管理企業(yè)信息系統(tǒng)審計(jì)的探索研究，充分認(rèn)識企業(yè)管理中信息系統(tǒng)審計(jì)的意義與作用、范圍和內(nèi)容，探索研究符合高速公路管理特點(diǎn)的信息系統(tǒng)審計(jì)體系和方法，對實(shí)現(xiàn)高速公路運(yùn)營管理企業(yè)的效益最大化至關(guān)重要，對推動其他行業(yè)企業(yè)管理中信息系統(tǒng)審計(jì)研究有著重要意義。

[關(guān)鍵詞]信息系統(tǒng)審計(jì) 企業(yè)運(yùn)營管理

中圖分類號：F239文獻(xiàn)標(biāo)識碼：A文章編號：1671－7597（2009）0320024－01

一、企業(yè)管理中信息系統(tǒng)審計(jì)的意義與作用

信息系統(tǒng)審計(jì)（Information System Audit簡稱IS審計(jì)）屬于內(nèi)部審計(jì)的一部分，是利用規(guī)范和先進(jìn)的審計(jì)技術(shù)，對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評價(jià)并提出改進(jìn)意見的過程，以降低企業(yè)日益面臨的信息系統(tǒng)風(fēng)險(xiǎn)，使得企業(yè)IT目標(biāo)與業(yè)務(wù)目標(biāo)保持一致并有效地發(fā)揮資源優(yōu)勢，從而確保信息系統(tǒng)為企業(yè)提供增值效益服務(wù)。

隨著信息技術(shù)的飛速發(fā)展，高速公路“省域聯(lián)網(wǎng)一卡通”、“不停車收費(fèi)”、“POS刷卡交費(fèi)”、“全程監(jiān)控”等先進(jìn)的信息技術(shù)已在高速公路管理中得以廣泛應(yīng)用，高速公路信息系統(tǒng)已實(shí)現(xiàn)網(wǎng)絡(luò)大型化、信息自動化。為此，企業(yè)需要定期對自身的信息系統(tǒng)進(jìn)行全面和有效的審計(jì)，從而有效的控制因此導(dǎo)致的各種信息風(fēng)險(xiǎn)，如信息一致性風(fēng)險(xiǎn)、信息相關(guān)性風(fēng)險(xiǎn)和信息安全風(fēng)險(xiǎn)等。開展信息系統(tǒng)審計(jì)，提高控制信息風(fēng)險(xiǎn)的能力，對日益信息化的高速公路管理有著積極的意義。

高速公路管理中信息系統(tǒng)審計(jì)的作用主要有兩方面：一是鑒證作用。信息系統(tǒng)審計(jì)的鑒證價(jià)值指通過審計(jì)，合理地保證信息系統(tǒng)及其處理、產(chǎn)生的信息的真實(shí)性、完整性與可靠性，政策遵循的一貫性。這主要體現(xiàn)在高速公路收費(fèi)管理中，對于高速公路不同路段分屬不同管理組織而產(chǎn)生拆賬業(yè)務(wù)的收費(fèi)系統(tǒng)、“POS刷卡交費(fèi)”系統(tǒng)、ETC不停車收費(fèi)系統(tǒng)等尤其重要。二是促進(jìn)作用。指通過信息系統(tǒng)審計(jì)可以促進(jìn)企業(yè)改進(jìn)內(nèi)部控制，加強(qiáng)管理，提高信息系統(tǒng)實(shí)現(xiàn)企業(yè)目標(biāo)的效率、效果。在高速公路管理中體現(xiàn)在通過IS審計(jì)，檢查IT目標(biāo)與業(yè)務(wù)目標(biāo)是否一致，資源是否得以充分利用，以提高信息系統(tǒng)的運(yùn)行效益，實(shí)現(xiàn)企業(yè)資產(chǎn)的保值增值。

二、企業(yè)管理中信息系統(tǒng)審計(jì)的范圍及內(nèi)容

信息系統(tǒng)審計(jì)范圍囊括與信息系統(tǒng)有關(guān)的所有領(lǐng)域，例如對企業(yè)的信息系統(tǒng)審計(jì)（主要集中在對信息技術(shù)的管理控制）、技術(shù)方面的信息系統(tǒng)審計(jì)（包括架構(gòu)、數(shù)據(jù)中心、數(shù)據(jù)通信等）、應(yīng)用的信息系統(tǒng)審計(jì)（包括經(jīng)營、財(cái)務(wù)）、開發(fā)實(shí)施信息系統(tǒng)審計(jì)（包括需求識別、設(shè)計(jì)、開發(fā)以及實(shí)施后階段）和信息系統(tǒng)是否符合國家或國際標(biāo)準(zhǔn)的審計(jì)以及電子簽名審計(jì)業(yè)務(wù)等電子商務(wù)審計(jì)。

高速公路管理中的信息系統(tǒng)審計(jì)目前還處于探索階段，應(yīng)該加快這一研究。從高速公路管理中信息系統(tǒng)的業(yè)務(wù)功能以及IS審計(jì)的范圍分析，高速公路管理中的IS審計(jì)主要包含以下內(nèi)容：

1．系統(tǒng)規(guī)劃設(shè)計(jì)階段審計(jì)。高速公路管理中所應(yīng)用的信息系統(tǒng)是為滿足管理需求而量身定做的，在規(guī)劃設(shè)計(jì)階段進(jìn)行審計(jì)，是為檢查規(guī)劃目標(biāo)與需求目標(biāo)是否相符，檢查系統(tǒng)架構(gòu)與發(fā)展戰(zhàn)略、政策是否相符，評估技術(shù)、資源及相關(guān)標(biāo)準(zhǔn)等實(shí)施條件是否滿足設(shè)計(jì)方案而進(jìn)行的事前審計(jì)，是保證系統(tǒng)可行性、有效性的重要審計(jì)。

2．系統(tǒng)建設(shè)運(yùn)營階段審計(jì)。該階段的審計(jì)主要是審計(jì)檢查信息系統(tǒng)技術(shù)基礎(chǔ)平臺中軟硬件的性能、兼容性、功能測試與系統(tǒng)設(shè)計(jì)要求是否一致，確保企業(yè)的IT目標(biāo)滿足業(yè)務(wù)需求，檢查評估系統(tǒng)運(yùn)行所可能面臨的安全風(fēng)險(xiǎn)及系統(tǒng)災(zāi)難恢復(fù)與保證業(yè)務(wù)連續(xù)性的能力，對企業(yè)在保護(hù)系統(tǒng)安全、加強(qiáng)控制、預(yù)防內(nèi)部員工的疏忽和外部黑客的入侵等方面的制度管理提供改進(jìn)意見，是保證系統(tǒng)安全性、可靠性、功能完善性的重要審計(jì)。

3．關(guān)鍵系統(tǒng)的重點(diǎn)審計(jì)。高速公路管理信息系統(tǒng)大致包括通信、監(jiān)控、收費(fèi)、OA辦公、財(cái)務(wù)結(jié)算等子系統(tǒng)。其中，收費(fèi)系統(tǒng)與財(cái)務(wù)結(jié)算系統(tǒng)是高速公路管理中的關(guān)鍵系統(tǒng)，必須嚴(yán)格確保信息數(shù)據(jù)的真實(shí)可靠。

三、企業(yè)管理中信息系統(tǒng)審計(jì)的體系建設(shè)和方法

信息系統(tǒng)審計(jì)的目標(biāo)是對被審計(jì)信息系統(tǒng)可靠性、安全性和有效性作出鑒證并得出結(jié)論，其對象是被審計(jì)的信息系統(tǒng)。信息系統(tǒng)審計(jì)的方法較多，也有傳統(tǒng)的審計(jì)方法可以借鑒，高速公路管理中信息系統(tǒng)審計(jì)應(yīng)結(jié)合自身信息系統(tǒng)的特點(diǎn)及實(shí)現(xiàn)的業(yè)務(wù)功能選取方法。

1．全面審計(jì)，也稱系統(tǒng)檢查。是一種常規(guī)的例行審計(jì)，每年或半年一次對信息系統(tǒng)進(jìn)行全面的審計(jì)，通過符合性測試對信息系統(tǒng)進(jìn)行全方位的檢查和評價(jià)，評估系統(tǒng)的運(yùn)行狀況，向管理層和專業(yè)部門提出改進(jìn)建議。高速公路信息系統(tǒng)包括多個(gè)子系統(tǒng)，內(nèi)容復(fù)雜，系統(tǒng)龐大，同時(shí)隨著高速公路通車?yán)锍痰脑黾樱畔⑾到y(tǒng)也會隨之?dāng)U容。利用全面審計(jì)方法，通過符合性測試進(jìn)行系統(tǒng)檢查評價(jià)，可以對優(yōu)化信息系統(tǒng)結(jié)構(gòu)，提高信息系統(tǒng)運(yùn)行穩(wěn)定性提供建議。

2．專項(xiàng)審計(jì)。專項(xiàng)審計(jì)是針對信息系統(tǒng)管理的某一方面或某一子系統(tǒng)進(jìn)行的專門審計(jì)，可根據(jù)實(shí)際需要有選擇的進(jìn)行。如對高速公路信息系統(tǒng)中的監(jiān)控系統(tǒng)進(jìn)行部分功能性專項(xiàng)審計(jì)，可以對該系統(tǒng)在交通疏導(dǎo)、異常事件處置、應(yīng)急指揮等安全管理中的運(yùn)行情況進(jìn)行評價(jià)、鑒定，提出管理建議和改進(jìn)措施，對系統(tǒng)是否需要升級、改造等提出建設(shè)性意見。

3．風(fēng)險(xiǎn)評估。信息系統(tǒng)在運(yùn)行過程中會面臨各種各樣的安全威脅，有來自組織內(nèi)部的管理疏忽也有外部的非法入侵，還可能是系統(tǒng)本身潛在的邏輯錯(cuò)誤帶來的。風(fēng)險(xiǎn)評估管理就是對重要的威脅運(yùn)用安全控制措施加以應(yīng)對，并在威脅與影響之間達(dá)到成本效益平衡。風(fēng)險(xiǎn)評估是提高信息系統(tǒng)自身技術(shù)安全系數(shù)的重要IS審計(jì)方法。

4．?dāng)?shù)據(jù)檢測法。在符合性測試或?qū)嵸|(zhì)性測試階段可以使用數(shù)據(jù)檢測法進(jìn)行連續(xù)跟蹤審計(jì)。通常設(shè)計(jì)好一批檢測數(shù)據(jù)，并對檢測數(shù)據(jù)進(jìn)行特殊的標(biāo)記，在被審計(jì)系統(tǒng)中進(jìn)行處理，與預(yù)期結(jié)果進(jìn)行比較。運(yùn)用數(shù)據(jù)檢測法，適宜采用連續(xù)跟蹤審計(jì)，抽樣審計(jì)不易發(fā)現(xiàn)潛在的邏輯錯(cuò)誤和風(fēng)險(xiǎn)。

5．S內(nèi)部控制審計(jì)。也稱IS治理，是在審計(jì)過程中對信息系統(tǒng)內(nèi)部控制進(jìn)行審計(jì)，通常運(yùn)用實(shí)地觀察、座談、審核系統(tǒng)的文檔資料等方法，然后用流程圖法對內(nèi)部控制進(jìn)行描述，用測試法對內(nèi)部控制進(jìn)行評價(jià)。

四、結(jié)束語

信息系統(tǒng)在企業(yè)管理中的應(yīng)用不僅提高了企業(yè)的管理與服務(wù)水平，而且獲得了巨大的經(jīng)濟(jì)和社會效益，信息系統(tǒng)已成為企業(yè)非常重要的資產(chǎn)。研究企業(yè)管理中的信息系統(tǒng)審計(jì)，旨在加強(qiáng)對信息系統(tǒng)安全與風(fēng)險(xiǎn)的控制，最大限度地提高信息系統(tǒng)資源的利用率，確保信息系統(tǒng)這一重要資產(chǎn)的保值增值，提高企業(yè)的投資、管理及經(jīng)營效率效益，幫助企業(yè)獲取持續(xù)性的更大效益，加快這一研究勢在必行。

參考文獻(xiàn)：

[1]劉寶嶺，信息系統(tǒng)審計(jì)實(shí)務(wù)手冊[M].北京，2006.

[2]王進(jìn)波，信息系統(tǒng)審計(jì)：現(xiàn)狀及發(fā)展對策[J].財(cái)政監(jiān)督，2008 第4期.