羅明

［摘要］ 近年來，隨著社會對信息系統(tǒng)的依賴性普遍增強(qiáng)，利用計(jì)算機(jī)犯罪的案件也不斷增加，越來越多的人認(rèn)識到了信息系統(tǒng)審計(jì)的重要性。本文主要對信息系統(tǒng)審計(jì)的概念、必要性及實(shí)踐做了簡要介紹，重點(diǎn)闡述了信息系統(tǒng)審計(jì)的步驟和方法。

［關(guān)鍵詞］ 審計(jì)；信息系統(tǒng)；計(jì)算機(jī)；管理

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 19. 018

［中圖分類號］F239.1［文獻(xiàn)標(biāo)識碼］A［文章編號］1673 - 0194（2012）19- 0028- 03

隨著網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)技術(shù)和通信技術(shù)突飛猛進(jìn)的發(fā)展，基于通信技術(shù)、計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的信息系統(tǒng)在政治、經(jīng)濟(jì)、軍事等領(lǐng)域得到了日益廣泛的應(yīng)用。各種大數(shù)據(jù)集成應(yīng)用平臺應(yīng)運(yùn)而生，政府、企事業(yè)單位會計(jì)電算化的普及、ＥＲＰ和綜合業(yè)務(wù)管理平臺的應(yīng)用，優(yōu)化了工作模式，創(chuàng)新了工作思路，提高了工作效率。與此同時，信息系統(tǒng)的安全、可靠、穩(wěn)定、有效、可信顯得更加重要，在這種環(huán)境下，審計(jì)人員如果仍只是對被審計(jì)單位計(jì)算機(jī)、財務(wù)軟件中保存、運(yùn)行的數(shù)據(jù)進(jìn)行計(jì)算、核對，很可能形成信息化條件下的“假賬真查”。于是信息系統(tǒng)審計(jì)應(yīng)運(yùn)而生，充實(shí)和完善了新形勢下的審計(jì)內(nèi)容與方法。

1信息系統(tǒng)審計(jì)的定義

目前關(guān)于信息系統(tǒng)審計(jì)還沒有一個統(tǒng)一的定義，國際信息系統(tǒng)審計(jì)領(lǐng)域的權(quán)威專家Ｒｏｎ Ｗｅｂｅｒ?qū)⑺x為“收集并評價證據(jù)，以判斷一個計(jì)算機(jī)系統(tǒng)（信息系統(tǒng)）是否有效做到保護(hù)資產(chǎn)，維護(hù)數(shù)據(jù)完整，完成組織目標(biāo)，同時最經(jīng)濟(jì)地使用資源”。本文將“信息系統(tǒng)審計(jì)”界定為：信息系統(tǒng)審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對信息系統(tǒng)從規(guī)劃、實(shí)施到運(yùn)行維護(hù)各個環(huán)節(jié)進(jìn)行審查評價，對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整性、有效性、效率性、安全性等進(jìn)行監(jiān)測、評估和控制，以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)，并提出一系列改進(jìn)建議的管理活動。相對來說，我國信息系統(tǒng)審計(jì)起步比較晚，但發(fā)展比較迅速，理論研究工作逐步完善與深入。２０１１年１月１日，新修訂的國家審計(jì)準(zhǔn)則（審計(jì)署８號令）正式施行，在新準(zhǔn)則中，有４章１７條直接或間接涉及計(jì)算機(jī)及信息系統(tǒng)審計(jì)，涵蓋了審計(jì)資源、審計(jì)計(jì)劃、審計(jì)實(shí)施、審計(jì)報告等各個環(huán)節(jié)，對于開展計(jì)算機(jī)數(shù)據(jù)審計(jì)和信息系統(tǒng)審計(jì)具有非?，F(xiàn)實(shí)的指導(dǎo)意義，為我國信息系統(tǒng)審計(jì)人員開展信息系統(tǒng)審計(jì)活動提供了更為具體和明確的法律依據(jù)。

2對黨政企事業(yè)單位進(jìn)行信息系統(tǒng)審計(jì)的必要性

開展對信息系統(tǒng)的審計(jì)已經(jīng)成為審計(jì)機(jī)關(guān)保護(hù)國家財政財務(wù)安全，充分發(fā)揮審計(jì)“免疫系統(tǒng)”功能的重要措施。其主要目的是為直接或間接應(yīng)對以下這些問題從而更好地開展審計(jì)工作：

（1）計(jì)算機(jī)在黨政企事業(yè)單位中的廣泛使用，包括財務(wù)報表、交易處理、決策支持功能、數(shù)據(jù)挖掘。

（2）被審計(jì)單位的ＩＴ系統(tǒng)對審計(jì)人員的審計(jì)方法和在審計(jì)測試中采用的技術(shù)產(chǎn)生了影響。

（3）內(nèi)部控制環(huán)境的變更。

（4）匿名用戶帶來的責(zé)任缺失。

（5）未經(jīng)授權(quán)的和未記錄下來的數(shù)據(jù)修改的可能性。

（6）看得見的審計(jì)痕跡和／或紙質(zhì)文件的缺失。

（7）審計(jì)證據(jù)的變化。

（8）數(shù)據(jù)復(fù)制／無內(nèi)容數(shù)據(jù)的可能性。

（9）出現(xiàn)欺詐和錯誤的新機(jī)會和機(jī)制。

（10）分布式數(shù)據(jù)處理和存儲。

（11）關(guān)鍵業(yè)務(wù)信息的機(jī)密性和一致性。

（12）由于組織內(nèi)部或組織之間的通訊，特別是互聯(lián)網(wǎng)增加的風(fēng)險。

（13）系統(tǒng)故障／宕機(jī)的可能性。

以上這些問題，使用常規(guī)的審計(jì)方法和技術(shù)已經(jīng)無法滿足正常的審計(jì)需求，只有開展信息系統(tǒng)審計(jì)，才能達(dá)到確認(rèn)資產(chǎn)安全性、保證數(shù)據(jù)完整性、認(rèn)定系統(tǒng)合規(guī)性的目標(biāo)。

3信息系統(tǒng)審計(jì)的實(shí)踐

信息系統(tǒng)審計(jì)的程序一般包括：接受審計(jì)委托、進(jìn)行調(diào)查了解、評估審計(jì)風(fēng)險、制訂審計(jì)計(jì)劃、收集審計(jì)證據(jù)、出具審計(jì)報告。

3.1 確定合適的被審計(jì)單位以及適合開展審計(jì)的信息系統(tǒng)

3.1.1 選擇合適的被審計(jì)單位

（1）根據(jù)國家政策監(jiān)管的要求、國家審計(jì)的關(guān)注點(diǎn)、行業(yè)的重要程度以及被審計(jì)單位的信息化程度等多方面因素確定。例如社保、稅務(wù)、醫(yī)療、金融、電信行業(yè)等重點(diǎn)部門和行業(yè)，對于保障國計(jì)民生以及維護(hù)國家經(jīng)濟(jì)安全至關(guān)重要，國家有很多監(jiān)管要求，而且本部門行業(yè)信息化程度也很高，審計(jì)機(jī)關(guān)應(yīng)當(dāng)充分考慮對其開展信息系統(tǒng)審計(jì)。

（2）在日常審計(jì)工作中，對于感覺有必要開展信息系統(tǒng)審計(jì)的單位，可在對其充分調(diào)查的基礎(chǔ)上，開展各種形式的信息系統(tǒng)審計(jì)。

3.1.2 選擇適合開展審計(jì)的信息系統(tǒng)

（1）該系統(tǒng)對于被審計(jì)單位的重要程度。被審計(jì)單位對系統(tǒng)的依賴程度越高，開展信息系統(tǒng)審計(jì)的意義越大。

（2）該系統(tǒng)的復(fù)雜程度。太復(fù)雜的系統(tǒng)應(yīng)當(dāng)考慮進(jìn)行非全面的、特定范圍內(nèi)的信息系統(tǒng)審計(jì)，如僅對其業(yè)務(wù)環(huán)節(jié)的應(yīng)用控制進(jìn)行審計(jì)。

3.2 了解被審計(jì)單位的相關(guān)情況

通過調(diào)查了解，系統(tǒng)地掌握被審計(jì)單位信息系統(tǒng)方面的基本情況，為開展信息系統(tǒng)審計(jì)確定重點(diǎn)和范圍。主要掌握以下情況：

（1）被審計(jì)單位的基本情況。

（2）被審計(jì)單位信息系統(tǒng)的情況。

（3）被審計(jì)單位的網(wǎng)絡(luò)和安全管理情況。

（4）影響被審計(jì)單位信息系統(tǒng)的內(nèi)部、外部因素。

（5）業(yè)務(wù)辦理對信息技術(shù)和信息系統(tǒng)的依賴程度。

（6）信息技術(shù)的戰(zhàn)略目標(biāo)、發(fā)展規(guī)劃及近期發(fā)展計(jì)劃。

（7）信息技術(shù)組織架構(gòu)和關(guān)鍵人員，以及最近一年的人員變更情況。

（8）信息系統(tǒng)支持的關(guān)鍵業(yè)務(wù)流程及最近一年的變更情況。

（9）被審計(jì)單位對外部信息技術(shù)服務(wù)的依賴程度。

（10）最近一年主要信息系統(tǒng)的上線、升級、變更情況。

（11）被審計(jì)單位的信息資產(chǎn)的敏感程度。

（12）以前年度ＩＴ審計(jì)、外部審計(jì)等相關(guān)的審計(jì)發(fā)現(xiàn)及追蹤情況。

主要可以通過制作相關(guān)表格供被審計(jì)單位填寫，以及通過詢問、觀察和小范圍座談等方式了解其信息系統(tǒng)概況。

3.3 草擬實(shí)施方案，結(jié)束審前準(zhǔn)備

制訂總體審計(jì)工作方案，初步評估信息系統(tǒng)的風(fēng)險，對信息系統(tǒng)的控制給出初步的評價，然后制訂審計(jì)實(shí)施方案和發(fā)出審計(jì)通知書。信息系統(tǒng)的內(nèi)部控制包括：

（1）一般控制，即保障信息系統(tǒng)正常運(yùn)行的穩(wěn)定性、有效性、安全性等方面的控制。

（2）應(yīng)用控制，即保障信息系統(tǒng)產(chǎn)生的數(shù)據(jù)的真實(shí)性、完整性、可靠性等方面的控制。

3.4 進(jìn)入審計(jì)實(shí)施階段

整個信息系統(tǒng)的審計(jì)過程應(yīng)圍繞以下幾個中心點(diǎn)開展：

（1）信息系統(tǒng)的管理、規(guī)劃與組織。評價信息系統(tǒng)的管理、計(jì)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。

（2）信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)。評價組織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實(shí)施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標(biāo)。

（3）資產(chǎn)的保護(hù)。對邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評價，確保其能支持組織保護(hù)信息資產(chǎn)的需要，防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。

（4）災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃。這些計(jì)劃是在發(fā)生災(zāi)難時，能夠使組織持續(xù)進(jìn)行業(yè)務(wù)活動，對這種計(jì)劃的建立和維護(hù)流程需要進(jìn)行評價。

（5）應(yīng)用系統(tǒng)開發(fā)、獲得、實(shí)施與維護(hù)。對應(yīng)用系統(tǒng)的開發(fā)、獲得、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評價，以確保其滿足實(shí)現(xiàn)組織業(yè)務(wù)目標(biāo)的要求。

（6）業(yè)務(wù)流程評價與風(fēng)險管理。評估業(yè)務(wù)系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務(wù)目標(biāo)對相應(yīng)風(fēng)險實(shí)施管理。

4信息系統(tǒng)審計(jì)的幾個重點(diǎn)

4.1 內(nèi)部控制制度審計(jì)

對內(nèi)部控制制度進(jìn)行調(diào)查和測試，是現(xiàn)代審計(jì)區(qū)別于傳統(tǒng)審計(jì)的重要特征之一，是對賬表單證或數(shù)據(jù)文件進(jìn)行審查的前提和基礎(chǔ)。對內(nèi)部控制制度的測試應(yīng)在調(diào)查的基礎(chǔ)上進(jìn)行。審計(jì)人員一般可以通過與被審計(jì)單位有關(guān)人員座談、實(shí)地觀察、查閱系統(tǒng)的文檔資料等方式，并跟蹤若干業(yè)務(wù)處理的全過程，了解被審計(jì)信息系統(tǒng)的處理過程和內(nèi)部控制，然后把它描述出來。

4.2 信息系統(tǒng)安全性。硬件、程序與系統(tǒng)結(jié)構(gòu)審計(jì)

通過調(diào)查表、查閱技術(shù)資料了解被審計(jì)單位信息系統(tǒng)硬件設(shè)備的配置情況； 取得被審計(jì)單位信息系統(tǒng)總體分布圖，把握被審計(jì)單位信息系統(tǒng)的總體情況；繪制核心信息系統(tǒng)的數(shù)據(jù)流程圖，掌握關(guān)鍵系統(tǒng)的數(shù)據(jù)處理流程，弄清整個系統(tǒng)的備份策略，并對該策略的安全性、可靠性及實(shí)用性等作出評估。

4.3 數(shù)據(jù)正確性與完整性審計(jì)

信息系統(tǒng)數(shù)據(jù)處理的真實(shí)性、正確性、可靠性，會直接影響到信息系統(tǒng)產(chǎn)生信息的真實(shí)性、正確性和可靠性，因此必須通過檢查系統(tǒng)數(shù)據(jù)的準(zhǔn)確性、完整性和一致性來確定計(jì)算機(jī)系統(tǒng)處理業(yè)務(wù)的真實(shí)性、合法性，以及被審對象的業(yè)務(wù)活動的真實(shí)性、合法性和有效性?；跀?shù)據(jù)的計(jì)算機(jī)審計(jì)方法，大大提高了審計(jì)工作效率和審計(jì)質(zhì)量，規(guī)范了審計(jì)行為，降低了審計(jì)風(fēng)險。審計(jì)人員可以把傳統(tǒng)審計(jì)經(jīng)驗(yàn)與計(jì)算機(jī)技術(shù)結(jié)合起來，通過數(shù)據(jù)獲取、樣本抽取、異常項(xiàng)目調(diào)查、數(shù)據(jù)分析與處理等方法進(jìn)行測試、檢查、分析與核對。主要包括以下幾個方面的內(nèi)容：

（1）數(shù)據(jù)完整性檢查。對系統(tǒng)中的數(shù)據(jù)進(jìn)行處理，并將處理的結(jié)果與被審計(jì)單位提供的報表、其他來源的數(shù)據(jù)進(jìn)行核對，確定數(shù)據(jù)的完整性。

（2）異常數(shù)據(jù)的挑選。對各個系統(tǒng)的數(shù)據(jù)進(jìn)行排序、分層、抽樣、復(fù)算、比較、核對，挑選邏輯上、核對上的異常數(shù)據(jù)，為傳統(tǒng)審計(jì)提供線索，為系統(tǒng)審計(jì)提供方向。

（3）不同系統(tǒng)間數(shù)據(jù)核對。檢查系統(tǒng)間的數(shù)據(jù)傳遞核對機(jī)制是否存在；挑選核對異常數(shù)據(jù)，檢查系統(tǒng)間數(shù)據(jù)傳遞核對機(jī)制是否完善。

（4）數(shù)據(jù)文件、表文件的檢查。檢查數(shù)據(jù)文件及表文件里面的數(shù)據(jù)核算及基數(shù)設(shè)置是否按照相關(guān)文件合理設(shè)置。

通過對黨政企事業(yè)單位開展信息系統(tǒng)審計(jì)，可以提高被審計(jì)單位對加強(qiáng)信息化建設(shè)的管理和保障計(jì)算機(jī)信息系統(tǒng)安全、穩(wěn)定運(yùn)行必要性的認(rèn)識，整改審計(jì)過程中發(fā)現(xiàn)的問題、安全漏洞和風(fēng)險隱患，加強(qiáng)制度監(jiān)管，完善內(nèi)控制度，促進(jìn)其信息系統(tǒng)及信息化建設(shè)健康發(fā)展。

主要參考文獻(xiàn)

［１］張金城．信息系統(tǒng)審計(jì)［Ｍ］．北京：清華大學(xué)出版社，２００９．

［２］郭?。畔⑾到y(tǒng)審計(jì)［Ｊ］．中小企業(yè)管理與科技：下旬刊，２０１１（１１）．

［３］王存仙．淺析事業(yè)單位內(nèi)控制度的建立與完善［Ｊ］．現(xiàn)代經(jīng)濟(jì)信息，２０１１（２４）．

［４］王玉馨，胡克瓊，蘇平．電算化審計(jì)的幾個概念［Ｊ］．中國農(nóng)業(yè)會計(jì)，１９９３（４）．