企業信息系統審計的研究

2014-11-08 21:53:39 大云網　點擊量：評論 (0)

實現工業化仍然是我國現代化進程中艱巨的歷史性任務。信息化是我國加快實現工業化和現代化的必然選擇。近年來，企業對信息技術的投入逐年加大，信息化程度也越來越高。信息化的蓬勃發展，促進了其經營管理水平的

實現工業化仍然是我國現代化進程中艱巨的歷史性任務。信息化是我國加快實現工業化和現代化的必然選擇。近年來，企業對信息技術的投入逐年加大，信息化程度也越來越高。信息化的蓬勃發展，促進了其經營管理水平的提高，特別是在提高管理創新、集中管控能力、執行力和市場反應能力等方面，信息技術的應用確實帶來意想不到的效率和成果。但是，信息系統給社會帶來的危害主要體現在以下幾方面：突發事件的影響，由于1993年紐約世界貿易大廈爆炸事件，使得當時入住的多數企業的商業數據如數喪失，導致在企業這一年內的很多商業活動無法進行；錯誤操作、不正當使用和濫用信息技術，1998年發生的CIH病毒，導致全球數百萬臺計算機硬件損壞，導致近百億美元的經濟損失。信息系統開發失敗。1994年，Standish Group對IT行業8400個項目（投資250億美元）的研究結果表明有34％的項目徹底失敗，50％的項目在補救后完成，預算平均超出90％，進度平均超出120％。這些失敗和補救的項目中、不少未經過投資風險評估便匆匆上馬，超成了極大的社會資源浪費，對信息系統投資方面起到了極其惡劣的影響。因此，迫切需要對正在使用或即將投產的信息系統的安全性、真實性、完整性、有效性進行鑒證。通過對信息系統的審計，保證信息系統的可信度，促進內控體系的規范建設，信息系統審計已成為擺在企業管理人員案頭迫切需要開展的重要工作。在我國信息化推進過程中，存在不同程度上的一些問題，主要表現在規劃制訂不夠科學，項目管理不夠嚴格，監理機制不夠健全，系統運行效益不夠明顯。致使相當一部分信息化項目失敗或未能實現預期目標，浪費了大量資源。究其根源主要原因之一是信息化建設第三方監管機制的缺失和標準的不健全。

　　一、審計信息系統

　　信息系統審計是指根據公認的標準和指導規范對信息系統及其業務應用的效能、效率、安全性進行監測、評估和控制的過程，以確認預定的業務目標得以實現。

　　審計信息系統最早稱為計算機審計，計算機審計業務主要關注對被審計單位電子數據的取得、分析、計算等數據處理業務，還稱不上信息系統審計。隨著計算機技術應用范圍的不斷擴展，計算機審計所關注的內容也從單純的對電子的處理延伸到對計算機系統的可靠性、安全性進行了解和評價。在制度基礎審計的模式下，計算機審計的業務內容已經擴展到了符合性測試領域。信息系統的安全性、可靠性與其所服務的組織所面臨的各種風險的聯系越來越緊密，對被審計單位風險的評估必須將計算機信息系統納入考慮范圍。計算機審計的業務范圍已經覆蓋了一項審計業務的全過程，信息系統審計的概念隨之出現。

　　在建立信息系統審計制度，開展信息系審計研究方面，美國走在了前面。早在計算機進入實用階段時，美國就開始提出系統審計（SYSTEM AUDIT）。1969年在洛杉磯成立了電子數據處理審計師協會（EDPAA），1994年該協會更名為信息系統審計與控制協會（INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION）即ISACA，總部設在美國芝加哥。目前該組織在世界上100多個國家設有160多個分會，現有會員兩萬多人，它是從事信息系統審計的專業人員唯一的國際性組織，CISA（Certified Information System Auditor）也是這一領域的唯一職業資格。

　　在很多大型公司內部，信息系統審計部門已經成為一個獨立的對外提供多種服務的部門。尤其是互聯網和電子商務的興起，更是為信息系統審計業務帶來了無盡的商機。為財務報表審計提供服務只占信息系統審計部門業務內容很小的一部分。與信息安全相關的防火墻審計、安全診斷、信息技術認證以及ERP相關的新型咨詢業務也不斷涌現。”未來審計行業和審計技術的發展動力將主要來自于信息系統審計的發展“，這一觀點已經逐漸成為國外會計、審計界的一個共識。信息系統審計師的地位也在不斷提高。在國外的一些大型會計公司中已經出現了沒有CPA資格的合伙人，他們持有的專業資格就是CISA.據專家介紹，國際信息系統審計師（簡稱IT審計師）目前已經成為全球范圍最搶手的高級人才。

　　在初期，信息系統審計是作為傳統審計業務的一部分，在審計師對由計算機系統處理的數據的質量進行判斷時提供技術支持。有信息系統審計技能的審計師被看作是會計師事務所的技術資源，在必要時為同事提供技術支持。對于信息系統審計，需求領域很廣。如對組織的信息系統審計（主要集中在對信息技術的管理控制）、技術方面的信息系統審計（包括架構、數據中心、數據通信等）、應用的信息系統審計（包括經營、財務）、開發實施信息系統審計（包括需求識別、設計、開發以及實施后階段）和信息系統是否符合國家或國際標準的審計等等。

　　二、構建信息系統審計

　　信息系統審計的建立是一項復雜的系統工程，所以應制訂長遠的開發規劃，由簡到繁分階段逐步實現。它的功能應該是：實現審計信息的收集、處理和共享；實現審計日常管理的自動化；通過計算機建立程序化的標準審計方法和統一的審計標準，從而提高審計工作的效率和質量。實現審計管理規范化；保證審計作業規范化；促進審計文檔規范化；審計質量監督規范化；提高審計結論的層次。基于上述的系統目標，信息系統審計當前應由審計證據管理子系統、信息系統安全標準子系統、信息系統安全評估子系統、項目管理審計子系統和信息系統審計法律標準子系統等五個子系統組成。

　　（一）審計證據管理子系統

　　１。審計證據收集

　　（1）傳統方法收集審計證據

　　（2）通過數據接口直接向計算機會計信息系統獲取審計證據

　　（3）在線系統審計證據收集

　　（4）計算機網絡系統審計證據收集

　　2.審計證據評價

　　（1）真實性。查明審計證據的來源、形成的時間、地點、制作過程及設備情況，有無偽造和刪改的可能性。一般說來，由第三方（如中間商或網絡服務商）來儲存記錄或轉存的證據具有較高的證據效力；被審計事項的事實和行為發生時留下的證據的效力較以后專為訴訟的目的而形成的證據更為真實；對于自相矛盾、內容前后不一致或不符合情理的審計證據，應小心對待，不可輕信，對不能排除合理懷疑的審計證據不得采納。

　　（2）合法性。包括收集手段是否合法和形式條件是否合理兩部分。有些審計證據其本身也有證據力，但在收集過程中，違背了規定的手續和程序，因而也就不具有法律效力，也不能用來證實問題，為此，鑒定分析審計證據時，要了解證據是以什么方法、在什么情況下取得的，是否違背了法定的程序和要求，是否符合法律規定的形式要件，這樣有利于判明審計證據的真偽程度和效力。

　　（3）相關性。查明審計證據反映的事實與被審計事項有無關系，只有與被審計事項的事實或邏輯上是相關的事實才能被認為是證據。

　　（4）結合其他證據進行鑒定分析。將審計過程中收集的全部證據綜合起來加以分析、判斷。如審查計算機審計證據中有無數據、圖表等反映的事實，同有關書證、物證、證人證言進行分析，明確是否互相一致，是否有矛盾。如果與其他證據相一致，共同指向同一事實，就可以認定其效力，可以作為審計證據。反之則不能作為審計證據。

　　（二）信息系統安全標準子系統

　　構建通用的信息系統安全標準，作為信息系統審計工作中的參考標準。信息系統安全標準是由高級管理人員制定的最小標準、規則構成的集合，所以必須加以實現，以確保信息系統安全政策的實現。信息系統安全標準需要指明每個信息系統控制的詳細要求。它為管理人員提供一個基準或底線，可以照此對單個信息系統控制的適當性進行評估。信息系統審計是一個獲取并評價證據，以判斷信息系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。它是立足于組織的戰略目標，為有效的實現組織戰略目標而采取的一切活動過程都在審計師的業務之內。

　　（三）信息系統安全評估子系統

　　信息系統審計集中反映了企業的戰略目標，主要從質量、成本、時間、資源利用率、系統效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；信息系統審計資源維主要包括以信息、應用系統、設施及人在內的信息相關的資源，這是信息系統審計治理過程的主要對象；信息系統審計過程則是在信息系統審計準則的指導下，對信息及相關資源進行規劃與處理，從信息技術的規劃與組織、獲取與實施、交付與支持、監督與評估等方面確定了信息技術處理過程，每個處理過程還包括更加詳細的控制目標和審計方針以對信息系統審計處理過程進行評估。

　　（四）項目管理審計子系統

　　項目管理系統是對審計過程進行全面指導、幫助和控制的軟件，它通過對標準審計方法的各個工作流程的合理細分，使每個子流程都對應相應的計算機處理模塊。從而使一個完整的審計項目可通過計算機輔助而完成，并產生各個工作環節應該生成的底稿和報告。有利于提高工作效率，為進行審計質量考核提供了極大的方便。

　　（五）信息系統審計法律標準子系統

　　此系統主要是實現信息資料的收集和共享。內容定期進行更新，包括：審計工作所需要的各類法律、法規、規章制度等。一般來講，按不同層次設立，信息的共享通過系統內互聯的企業網實現，還可根據信息的保密要求，設定不同的信息訪問權限。

　　三、規范信息系統審計范圍

　　其業務范圍包括與信息系統有關的所有領域，例如對組織的信息系統審計（主要集中在對信息技術的管理控制）、技術方面的信息系統審計（包括架構、數據中心、數據通信等）、應用的信息系統審計（包括經營、財務）、開發實施信息系統審計（包括需求識別、設計、開發以及實施后階段）和信息系統是否符合國家或國際標準的審計以及網譽審計、電子簽名審計業務等電子商務審計。

　　1.信息系統開發計劃、管理及組織架構的戰略、政策、標準及相應實踐過程的評估；

　　2.技術基礎設施及運行實踐的效能和效率的評估；

　　3.信息資源在邏輯訪問、運行環境以及IT基礎設施各方面的安全性的評估；

　　4.系統災難恢復及保證業務連續性的能力的評估；

　　5.業務應用系統開發、實施與維護的方法和過程的評估；

　　6.業務流程的風險管理水平的評估；

　　7.財務系統的評估。

　　第一，鑒證作用。信息系統審計的鑒證價值是指通過審計，合理地保證被審計單位信息系統及其處理、產生的信息的真實性、完整性與可靠性，政策遵循的一貫性。

　　第二促進作用。促進價值體現在兩個方面，一是指信息系統審計可以促進被審計單位更有效地融入到社會經濟生活中；二是指審計可以促進被審計單位改進內部控制，加強管理，提高信息系統實現組織目標的效率、效果。

　　第三咨詢作用。信息技術的發展為組織的管理變革提供了技術手段，組織扁平化、工作豐富化等管理變革都要信息技術來實現。信息化已是大勢所趨。

　　四、創建行業標準與實務指南

　　如同開展業務審計要具有相關法律法規作為審計依據一樣，開展信息系統審計同樣需要審計依據。國內信息系統審計方面的工作近幾年才剛剛開始，基本仍處于摸索階段，而在國家審計中更是如此。目前，由于國內關于信息系統審計方面的標準尚處于空白狀態。

　　國際上關于信息系統審計方面可以參考的標準主要有信息及相關技術控制目標COBIT（Control Objectives for Information and related Technology）、ISO17799、能力成熟度集成模型CMMI（Capability Maturity Model Integration）和IT基礎架構庫ITIL（Information Technology Infrastructure Library）等。

　　信息系統審計與控制協會ISACA（Information System Audit and Control Association）于1996年公布的目前國際上通用的信息系統審計的標準。它將IT 過程，IT資源及信息與企業的策略與目標聯系起來，形成一個三維的體系結構。它是一個在國際上公認為最先進、最權威的安全與信息技術管理和控制的標準。

　　英國國家標準局制定的BS7799-1《信息安全管理實踐規范》，該規范于2000年12月被國際標準化組織采納，成為ISO17799。ISO/IEC17799標準最初于1993年由英國貿易工業部立項，由標準化協會籌備起草并作為英國的標準。1995年，首次發布BS 7799-1:1995《信息安全管理業務規范》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規則，其目的是作為確定各類信息系統通用控制范圍的唯一參考基準，并且適用于大、中、小組織以及政府部門；1998年，標準化協會發表標準的第二部分BS 7799-2《信息安全管理體系規范》，它規定信息安全管理體系與信息安全控制要求，是一個組織的全面或部分信息安全管理體系評估的基礎，它還可以作為一個正式認證方案的根據；BS 7799-1與BS 7799-2經過修訂于1999年重新予以發布，此次考慮了信息處理技術，尤其是考慮了在網絡和通信領域應用的最新發展情況；2000年12月，BS 7799-1:1999《信息安全管理業務規范》通過了國際標準化組織ISO的認可，正式成為國際標準，即ISO/IEC17799-1:2000《信息技術--信息安全管理業務規范》標準。

　　2005年，ISO發布了新版的信息安全管理實施細則，即ISO/IEC17799-2005，對2000年版的標準進行了修訂，更加注重標準的通用性和實用性。

　　日本的系統審計是從八十年代開始，1983年通產省公開發表了《系統審計標準》，并在全國軟件水平考試中增加了”系統審計師“一級的考試，著手培養從事信息系統審計的骨干隊伍。近幾年東南亞各國也開始制定電子商務法規，成立專門機構開展信息系統審計業務，并制定技術標準。

　　國內目前關于信息系統審計的依據主要有修訂后的《中華人民共和國審計法》、國辦發【2001】88號文件《國務院辦公廳關利用計算機信息系統開展審計工作有關問題的通知》、1999年頒布了獨立審計準則第20號--計算機信息系統環境下的審計等，同時可以主要參考COBIT和ISO17799標準。

　　但是我國信息系統審計才剛起步，審計技術、審計規范、制度等都有待研究。隨著我國信息化水平的提高，對信息系統的有效控制與審計將逐漸成為研究熱點。

　　五、開展信息系統審計的意義

　　1.信息系統審計是未來審計發展的必然

　　未來審計行業和審計技術的發展動力將主要來自于信息系統審計的發展。

　　2.維護信息時代的市場經濟秩序

　　市場經濟是建立在信用基礎上的，信息系統審計應當充當信息時代經濟生活中公正的鑒證人起著維護市場經濟穩定的作用。信息時代競爭的加劇，信息流的電子傳播方式等，使市場對及時和相關信息的需求越來越多，現有財務報告模式的局限性性日漸突出。現有財務報告是以歷史成本為計量基礎的、周期性的向利益相關者報告。在新經濟環境中，信息系統審計師應能夠以在線、實時的信息為基礎提供鑒證，通過多種方式來保護公眾利益、提供鑒證服務并滿足投資公眾對決策有用信息的訪問需要。提供實時報告鑒證對保護公眾利益和保護資本市場的有序發展是非常有意義的。

　　3.為信息化建設保駕護航

　　以信息化帶動工業化，推進電子政務及電子商務，許多企業也已著手整合與升級其信息化應用系統。可以預計，全國將有更多、更大的信息系統建設項目展開。但是，信息化是有風險的，信息系統規模越大，功能越復雜，風險也就越大。信息系統審計師的出現，可以從項目計劃開始介入信息系統建設的每個環節，以他們的專業素養，從項目的初始階段一直到運營的全過程，給予項目投資者風險控制的評估與建議，提高信息系統的投資效益。