2.4.2信息系统审计

    1．信息系统审计概念

    信息系统审计是全部审计过程的一个部分，信息系统审计(IS audit)目前还没有固

定通用的定义，美国信息系统审计的权威专家Ron Weber将它定义为‘？收集并评估证捃

以决定一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织

目标，同时最经济的使用资源”。

    信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下

三类。

    ·可用性：商业高度依赖的信息系统能否在任何需要的时刻提供服务？信息系统是

    否被完好保护以应对各种的损失和灾难7

    ·保密性：系统保存的信息是否仅对需要这些信息的人员开放，而不对其他任何人

    开放7

    ·完整性：信息系统提供的信息是否始终保持正确、可信、及时？能否防止未授权

    的对系统数据和软件的修改？

    2．信息系统审计产生动因及其发展

    1)信息系统审计产生动因分析

    关于信息系统审计的产生动因，目前国际上存在两种观点：一种观点认为是从会计

审计发展到计算机审计再发展到信息系统审计（计算机审计的范围扩展，最后涵盖整个

信息系统）演变过来的；另外一种认为由于信息系统尤其是大型信息系统的建设是一项

庞大的系统工程，它投资大、周期长、高技术、高风险，在系统的建设过程中，对工程

进行严格、规范的管理和控制至关重要。而正是由于信息系统工程所具有的这些特点，

建设单位往往由于技术力量有限，无力对项目的技术、设备、进度、质量和风险进行控

制，无法保证项目的实施成功，所以需要有第三方进行独立审计。

    2)信息系统审计在国际上的发展

    信息系统审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初

期，由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识，认为计算机

处理数据准确可靠，不会出现错弊，因而很少对数据处理系统进行审计，主要是对计算

机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步

扩大，利用计算机犯罪的案件不断出现，使审计人员认识到要应用计算机辅助审计技术

对电子数据处理系统本身进行审计，即EDI审计。同时随着社会经济的发展，审计对象、

范围越来越大，审计业务也越来越复杂，利用传统的手工方法已不能及时完成审计任务，

必须应用计算机辅助审计技术(CAATs)进行审计，20世纪八九十年代信息技术的进一

步发展与普及，使得企业越来越依赖信息及产生信息的信息系统。人们开始更多地关注

信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果，真正意义的信息

系统审计才出现。随着电子商务的全球普及，信息系统的审计对象、范围及内容将逐渐

扩大，采用的技术也将日益复杂。到目前为止，信息系统审计在全球来看，还是一个新

的业务，从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名，

1995年已有500名，到2000年时，所拥有的信息系统审计师人数正以每年40%—50%

的速度增加，说明信息系统审计正逐渐受到重视。

    美国在计算机进入实用阶段时就开始提出系统审计(SYSTEM AUDIT)，从成立电

子数据处理审计协会(EDPAA后更名为ISACA)以来，从事系统审计活动已有30多年

历史，成为信息系统审计的主要推动者，在全球建有一百多个分会，推出了一系列信息

系统审计准则、职业道德准则等规范性文件，并开展了大量的理论研究，IT控制的开放

式标准COBIT（Control Objectives for Information and Related Technology）已出版了笫

三版。

    3)信息系统审计在国内的发展

    目前国内有学者提出计算机审计、电算化审计，但基本上停留在对会计信息系统的

审计上，只是延伸手工会计信息系统审计，尚未全面探讨信息时代给审计业务带来的深

刻变化。以我国在1999年颁布的独立审计准则第20号——计算机信息系统环境下的审

计为例，其更多关注的是会计信息系统。在信息时代，面对加入WTO后全球一体化市

场，我国IT服务业面临巨大的挑战，开展信息系统审计业务不失为推动我国IT服务业

发展的一次机会。

  3．信息系统审计的理论基础

  信息系统审计不仅仅是传统审计业务的简单扩展，信息技术不单影响传统审计人员

执行鉴证业务的能力，更重要的是公司和信息系统管理者都认识到信息资产是组织最有

价值的资产，和传统资产一样需要控制，组织同时需要审计人员提供对信息资产控制的

评价。因此信息系统审计是一门边缘性学科，跨越多学科领域。

    信息系统审计是建立在以下4个理论基础之上的。

    1)传统审计理论

    传统审计理论为信息系统审计提供了丰富的内部控制理论与实践经验，以保证所有

交易数据都被正确处理。同时收集并评价证据的方法论也在信息系统审计中广泛应用，

最为重要的是传统审计给信息系统审计带来的控制哲学，即用谨慎的眼光审视信息系统

在保护资产安全、保证信息完整，并能有效地实现企业目标的能力。

  2)信息系统管理理论

  信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论，

它的发展提高了系统保护资产安全、保证信息完整，并能有效地实现企业目标的能力。

    3)行为科学理论

    人是信息系统安全最薄弱的环节，信息系统有时会因为人的问题而失败，比如对系

统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些行为囚素可能导致系

统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题”。

  4)计算机科学

  计算机科学本身的发展也在关注如何保护资产安全、保证信息完整，并能有效地实

现企业目标。但是技术是一把双刃剑，计算机科学的发展可以使审计人员降低对系统组

件可靠性的关注，信息技术的进步也可能启发犯罪，例如一个重要的问题是信息技术在

会计制度中的应用是否给罪犯提供了较多缓冲时间？如果是，那么今天网络犯罪产生的

社会威胁较以往任何时候都要大。

    4．信息系统审计的基本业务和依据

    1)信息系统审计的基本业务

    信息系统审计业务将随着信息技术的发展而发展，为满足信息使用者不断变化的需

要而增加新的服务内容，目前其基本业务如下。

    (1)系统开发审计，包括开发过程的审计、开发方法的审计，为IT规划指导委员会

及变革控制委员会提供咨询服务。

    (2)主要数据中心、网络、通信设施的结构审计，包括财务系统和非财务系统的应

用审计。

    (3)支持其他审计人员的工作，为财务审计人员与经营审计人员提供技术支持和

培训。

    (4)为组织提供增值服务，为管理信息系统人员提供技术、控制与安全指导；推动

风险自评估程序的执行。

    (5)软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符

审计。

    (6)灾难恢复和业务持续计划审计。

    (7)对系统运营效能、投资回报率及应用开发测试审计。

    (8)系统的安全审计。

    (9)网站的信誉审计。

    ( IO)全面控制审计等。

    一个信息系统不等同于一台计算机。今天的信息系统是复杂的，由多个部分组成以

做出商业解决方案。只有各个组成部分通过了评估，判定安全，才能保证整个信息系统

的正常工作。对一个信息系统审计的主要组成部分包括以下几方面。

    (1)信息系统的管理、规划与组织：评价信息系统的管理、计划与组织方面的策略、

政策、标准、程序和相关实务。

    (2)信息系统技术基础设施与操作实务：评价组织在技术与操作基础设旌的管理和

实施方面的有效性及效率，以确保其充分支持组织的商业目标。

    (3)资产的保护：对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能

支持组织保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、

损坏或丢失。

    (4)灾难恢复与业务持续计划：这些计划是在发生灾难时，能够使组织持续进行业

务，对这种计划的建立和维护流程需要进行评侨。

    (5)应用系统开发、获得、实施与维护：对应用系统的开发、获得、实施与维护方

面所采用韵方法和流程进行评价，以确保其满足组织的业务目标。

    (6)业务流程评价与风险管理：评估业务系统与处理流程，确保根据组织的业务目

标对相应风险实施管理。

    2)信息系统审计的依据

    信息系统审计师须了解规划、执行及完成审计工作的步骤与技术，并尽量遵守国际

信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。

    (1) -般公认信息系统审计准则。包括职业准则、ISACA公告和职业道德规范。职

业准则可归类为：审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的

执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准

则所做的说明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证(Certified

Information System Auditor，CISA)持有者有关职业上及个人的指导规范。

    (2)信息系统的控制目标。信息系统审计与控制协会在1 996年公布的COBIT被国

际上公认是最先进、昂权威的安全与信息技术管理和控制的标准，目前已经更新至第3

版。它在商业风险、控制霈要和技术问题之间架起了一座桥梁，以满足管理的多方面需

要。面向业务是COBIT的主题。它不仅设计用于用户和审计师，而且更重要的是可用

于全面指导管理者与业务过程的所有者。商业实践中越来越多地包含了对业务过程所有

者的全面授权，因此他们承担着业务过程所有方面的全部责任。特别地，这其中包含着

要提供足够的控制。COBIT框架为业务过程所有者提供了一个工具，以方便他们承担责

任。其框架包括四大部分：架构、控制目标、审计指南及执行概要。COBIT架构着重各

项处理的高层次控制，控制目标则着重于各项IT处理或对该架构所包括的34项IT处理

的特定详细控制目标，每一项IT处理都有5～25个详细控制目标，控制目标使整体架构

和详细控制目标密切对应，相互一致。详细控制目标有18种主要来源，涵盖现行的及

法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的

预期结果或目标的叙述，以提供全球所有的产业有关IT控制的明确方针及实际最佳的

应用。

    (3)其他法律及规定。每个组织不论规模大小或属于何种产业，都需要遵守政府或

外部对与电脑系统运作、控制，及电脑、程序、信息的使用情况等有关的规定或要求，

对于一向受严格管制的行业，尤其要注悫遵守。以国际性银行为例，若因不良备份及复

原程序而无法提供适当的服务水准，其公司及员工将受严重处罚。此外，由于对EDP及

信息系统的依赖性加重，许多国家极力建立更多有关信息系统审计的规定。这些规定内

容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员

必须考虑与组织目标、计划及与信息服务部门／职能／工作的责任及工作等有关的外部规

定或要求。

S．信息系统审计流程

    图2-2是信息系统审计流程示意图。

    开始审计工作的准备包括收集背景信息，估计完成审计需要的资源和技巧。包括合

理进行人员分工。与负责的高级经理举行一次正式的开始审计会议，最后决定范围，理

解特别关注之处，如果有的话，制定日程，解释审计方法。这样的会议有高级经理的参

与，使人们互相认识，阐明问题强调商业关注点，使得审计工作得以顺利进行。类似地，

在审计完成后，也召开一次正式会议，向高级经理交流审计结果，提出改进建议。这将

确保进一步的理解，增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对

提出问题的观点。会议之后书写报告，可以大大增加审计的效果。

    6．基于风险的审计方法

    很多组织意识到技术能带来的潜在好处。然而，成功的组织坯能够理解和管理好与

采用新技术相关的很多风险。因此，审计从基于控制（Control-Based）演变为基于风险

（Risk-Based）的方法，其内涵包括企业风险、确定风险、风险评估、风险管理、风险

沟通。

    每个组织使用许多信息系统。对不同功能和活动有不同的应用软件，在不同的地理

区域可能有众多的计算机配置。审计者面临的问题是审计什么，什么时候审计及审计频

率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险，这些风险用不同方

式冲击信息系统。对繁忙的零售超市，信息系统哪怕一个小时的不可用都会对营业系统

造成严重影响。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的

技术环境也可能影响系统的运行风险。

  基于风险方法来进行审计的步骤如下：

  (1)编制组织使用的信息系统清单并对其进行分类。

  (2)决定哪些系统影响关键功能和资产。

  (3)评估哪些风险影响这些系统及对商业运作的冲击。

  (4)在上述评估的基础上对系统分级，决定审计优先值、资源、进度和频率。审计

者可以制定年度审计计划，开列出一年之中要进行的审计项目。