企業(yè)信息系統(tǒng)審計的全面思考

PAGEPAGE1企業(yè)信息系統(tǒng)審計的全面思考張曉紅大慶油田有限責(zé)任公司審計部科學(xué)技術(shù)的日益進(jìn)步，以及現(xiàn)代企業(yè)競爭發(fā)展所追求的高效率、高效能的經(jīng)營運作和管控方式，都極大地推動了企業(yè)信息化進(jìn)程，企業(yè)信息系統(tǒng)呈現(xiàn)出大型化、集成化和網(wǎng)絡(luò)化等特點，企業(yè)對信息系統(tǒng)的依賴程度與日俱增。由于信息系統(tǒng)的重要性和對企業(yè)價值鏈的影響，使得信息風(fēng)險的識別與管理、信息資產(chǎn)的保護(hù)與利用、信息系統(tǒng)績效的測量與評價等問題備受關(guān)注與重視，因此信息系統(tǒng)審計作為一種制度保證和IT治理的重要方式應(yīng)運而生。一、準(zhǔn)確理解信息系統(tǒng)審計的內(nèi)涵信息系統(tǒng)審計在國外已有數(shù)十年的發(fā)展歷史，在我國尚處于理論研究和實務(wù)起步階段，因此從目標(biāo)、對象、職能與類型等方面準(zhǔn)確理解信息系統(tǒng)審計的內(nèi)涵極為必要。（一）信息系統(tǒng)審計的目標(biāo)信息系統(tǒng)審計的目標(biāo)是通過對信息系統(tǒng)的安全性、可靠性、完整性、效率性和效果性等進(jìn)行檢查、評價和報告活動，協(xié)助企業(yè)建立完善、可行的信息技術(shù)管理機(jī)制，平衡企業(yè)信息化過程中的風(fēng)險，促進(jìn)信息技術(shù)目標(biāo)與企業(yè)業(yè)務(wù)目標(biāo)的協(xié)調(diào)發(fā)展。（二）信息系統(tǒng)審計的對象信息系統(tǒng)審計不局限于財務(wù)信息系統(tǒng)，其范疇涵蓋了企業(yè)生產(chǎn)、經(jīng)營和管理的全部信息系統(tǒng)。信息系統(tǒng)審計的具體對象包括信息系統(tǒng)生命周期所涉及的人員、組織體系、業(yè)務(wù)流程、技術(shù)設(shè)施、應(yīng)用程序和信息數(shù)據(jù)等元素。（三）信息系統(tǒng)審計的職能保證和咨詢是信息系統(tǒng)審計的兩項基本職能。信息系統(tǒng)審計不僅是要發(fā)現(xiàn)信息系統(tǒng)規(guī)劃、建設(shè)和運維中存在的問題，更重要的是作為一種制度保證，強(qiáng)化企業(yè)的IT治理結(jié)構(gòu)，同時面向信息系統(tǒng)的決策、管理和應(yīng)用提供咨詢服務(wù)，改善經(jīng)營管理和增加企業(yè)價值。（四）信息系統(tǒng)審計的類型及其內(nèi)容信息系統(tǒng)審計的類型及其內(nèi)容，主要是結(jié)合信息系統(tǒng)的生命周期、管理行為特征和信息系統(tǒng)審計的知識結(jié)構(gòu)進(jìn)行劃分，主要包括以下幾個方面：1．信息系統(tǒng)控制審計。檢查信息系統(tǒng)控制的有效性是信息系統(tǒng)審計的基本著眼點。通過關(guān)注企業(yè)IT治理的制度體系、組織結(jié)構(gòu)、工作職責(zé)、人力資源和信息技術(shù)戰(zhàn)略規(guī)劃、政策、措施等內(nèi)容，對信息系統(tǒng)組織層面、業(yè)務(wù)流程層面和技術(shù)層面的控制情況進(jìn)行審計。2．信息系統(tǒng)建設(shè)項目審計。在信息系統(tǒng)建設(shè)過程中應(yīng)進(jìn)行事前、事中的介入式審計，一是對信息系統(tǒng)的規(guī)劃、分析、設(shè)計、編碼和測試等開發(fā)環(huán)節(jié)進(jìn)行審計；二是對支撐信息系統(tǒng)的軟硬件基礎(chǔ)設(shè)施進(jìn)行審計；三是對信息系統(tǒng)建設(shè)項目的投資、合同和變更等事項進(jìn)行審計。3．信息系統(tǒng)運行維護(hù)審計。面向現(xiàn)行信息系統(tǒng)開展運行維護(hù)審計，一是檢查信息系統(tǒng)的運維策略與機(jī)制，確保運營程序、作業(yè)調(diào)度、基礎(chǔ)設(shè)施監(jiān)控、災(zāi)難恢復(fù)計劃等的合理性與有效性；二是檢查信息系統(tǒng)的服務(wù)管理，確保達(dá)到規(guī)定的服務(wù)水平和進(jìn)行持續(xù)的服務(wù)改進(jìn)。4．信息系統(tǒng)安全審計。安全審計是信息系統(tǒng)審計的重要內(nèi)容，一方面檢查信息安全管理的組織體系、措施、運行計劃和執(zhí)行過程等，確保信息安全管理機(jī)制的完善性和有效性；另一方面檢查用于信息安全的技術(shù)與產(chǎn)品，在物理訪問和邏輯訪問上充分保障信息資產(chǎn)的安全、完整和可用。5．信息系統(tǒng)績效審計?？冃徲嬍切畔⑾到y(tǒng)審計面臨的緊迫任務(wù)，它關(guān)注的重點是信息系統(tǒng)投入產(chǎn)出的效率、效果與投資的透明度，其脈絡(luò)貫穿于信息系統(tǒng)生命周期的各階段，主要包括對信息技術(shù)投資績效、信息系統(tǒng)建設(shè)項目管理績效和信息系統(tǒng)運營績效等的測量和評價。二、明確信息系統(tǒng)審計與計算機(jī)數(shù)據(jù)審計的關(guān)系信息系統(tǒng)審計是對計算機(jī)數(shù)據(jù)審計的繼承與發(fā)展，信息系統(tǒng)審計和計算機(jī)數(shù)據(jù)審計構(gòu)成了現(xiàn)階段IT審計的兩大主題，二者交匯融合、互為支撐，既有一定區(qū)別，又存在著緊密的聯(lián)系。（一）區(qū)別1．審計范圍及重點不同。信息系統(tǒng)審計的范圍涵蓋了信息系統(tǒng)的整個生命周期和所有信息技術(shù)資源，它更加關(guān)注于企業(yè)信息系統(tǒng)的戰(zhàn)略發(fā)展、管理控制、保護(hù)利用和績效評價，具有鮮明的管理性特征。計算機(jī)數(shù)據(jù)審計通常是以現(xiàn)行信息系統(tǒng)輸入、處理、輸出和存儲的信息數(shù)據(jù)為對象，側(cè)重于信息數(shù)據(jù)的查詢、分析和挖掘，以確定審計重點和發(fā)現(xiàn)審計線索，揭示潛在的邏輯關(guān)系和規(guī)律。2．審計項目形態(tài)不同。由于信息系統(tǒng)審計目標(biāo)與職能的確定性，信息系統(tǒng)審計可作為獨立的審計項目組織實施，又可作為內(nèi)部控制、管理效益等審計項目的組成部分進(jìn)行實施。計算機(jī)數(shù)據(jù)審計是一種信息技術(shù)審計手段和方法，它不具備審計項目的形態(tài)，主要服從、服務(wù)于各類審計項目，起到強(qiáng)大的支撐和保障作用。3．審計時效及頻率不同。信息系統(tǒng)審計的復(fù)雜性、綜合性和高技術(shù)性特征，決定了其實施過程要經(jīng)歷一定的時間周期，因此對于已經(jīng)審計過的信息系統(tǒng)，在其未發(fā)生變更的情況下，通常需要適當(dāng)降低審計頻率。計算機(jī)數(shù)據(jù)審計則不然，它強(qiáng)調(diào)審計的動態(tài)性和時效性，通過聯(lián)網(wǎng)、嵌入審計模塊等方式縮短審計周期和提高監(jiān)控頻率，以實現(xiàn)連續(xù)審計為根本目標(biāo)。（二）聯(lián)系1．信息系統(tǒng)審計是計算機(jī)數(shù)據(jù)審計的必要條件。發(fā)展證明，僅對信息系統(tǒng)管理的數(shù)據(jù)進(jìn)行審計，極有可能是信息化環(huán)境下的“假賬真查”，極易產(chǎn)生審計風(fēng)險。因此，計算機(jī)數(shù)據(jù)審計必須以信息系統(tǒng)審計為切入點和必要條件，至少要對信息系統(tǒng)的管理控制和技術(shù)控制情況進(jìn)行測試檢查，發(fā)現(xiàn)控制缺陷、非法功能和漏洞，評估數(shù)據(jù)的完整性、可用性、可審性，為計算機(jī)數(shù)據(jù)審計奠定堅實的基礎(chǔ)，提升計算機(jī)數(shù)據(jù)審計的質(zhì)量和實施效果。2．計算機(jī)數(shù)據(jù)審計是信息系統(tǒng)審計的有效手段。信息系統(tǒng)審計除采用程序代碼檢查與比較法、綜合測試法、受控處理法、平行模擬法等技術(shù)方法外，可充分利用計算機(jī)數(shù)據(jù)審計，對采集的信息系統(tǒng)底層數(shù)據(jù)進(jìn)行深入分析，發(fā)現(xiàn)存在的問題：（1）對數(shù)據(jù)表內(nèi)容進(jìn)行檢查，以發(fā)現(xiàn)用戶賬號、角色及權(quán)限管理等方面存在的控制缺陷；（2）檢查敏感數(shù)據(jù)的加密情況，以發(fā)現(xiàn)信息系統(tǒng)的安全漏洞；（3）檢查數(shù)據(jù)值域定義，以發(fā)現(xiàn)數(shù)據(jù)的完整性問題；（4）檢查冗余數(shù)據(jù)，以發(fā)現(xiàn)信息系統(tǒng)的設(shè)計問題；（5）通過建立審計中間表，以發(fā)現(xiàn)信息系統(tǒng)的業(yè)務(wù)邏輯對應(yīng)問題。三、研究與借鑒信息系統(tǒng)審計的相關(guān)標(biāo)準(zhǔn)信息系統(tǒng)審計的依據(jù)和標(biāo)準(zhǔn)，從應(yīng)用結(jié)構(gòu)上可以分為三個層面：一是法律法規(guī)；二是信息系統(tǒng)審計準(zhǔn)則；三是信息技術(shù)管理標(biāo)準(zhǔn)。（一）信息系統(tǒng)審計的法律依據(jù)開展信息系統(tǒng)審計的法律法規(guī)依據(jù)，主要有《中華人民共和國審計法》、《關(guān)于利用計算機(jī)信息系統(tǒng)開展審計工作有關(guān)問題的通知（國辦發(fā)［2001］88號）》等。（二）信息系統(tǒng)審計準(zhǔn)則1．ISACA信息系統(tǒng)審計準(zhǔn)則。它是信息系統(tǒng)審計與控制協(xié)會ISACA制定的信息系統(tǒng)審計規(guī)范，由三部分組成：（1）基本準(zhǔn)則，規(guī)定了審計章程以及對職業(yè)能力、審計計劃、審計實施、審計報告、后續(xù)審計等方面的基本要求；（2）審計指南，是對基本準(zhǔn)則的詳細(xì)說明和闡述，為開展審計業(yè)務(wù)提供具體指引；（3）作業(yè)程序，是對基本準(zhǔn)則和審計指南的補充，為審計過程中可能遇到的特殊事項提供參考方法和步驟。2．中國內(nèi)部審計協(xié)會發(fā)布的《信息系統(tǒng)審計準(zhǔn)則（征求意見稿）》。它對內(nèi)部審計行業(yè)開展信息系統(tǒng)審計的一般原則、審計計劃、風(fēng)險評估、內(nèi)容和方法等進(jìn)行了宏觀指導(dǎo)，具有前瞻性，與國際標(biāo)準(zhǔn)相趨同。（三）信息技術(shù)管理的通用標(biāo)準(zhǔn)信息技術(shù)管理標(biāo)準(zhǔn)是企業(yè)用于IT治理的規(guī)范模型和行動指南，也是信息系統(tǒng)審計的衡量標(biāo)準(zhǔn)和有效工具，主要包括：1．信息及相關(guān)技術(shù)控制目標(biāo)COBIT。它是ISACA制定的信息系統(tǒng)管理控制的整體性框架，它將信息系統(tǒng)生命周期劃分為4個領(lǐng)域，34個信息技術(shù)流程，并將信息技術(shù)流程及其控制目標(biāo)、信息技術(shù)資源和信息評價標(biāo)準(zhǔn)相關(guān)聯(lián)，全面地提出指導(dǎo)意見。COBIT的主要特點是覆蓋了所有信息技術(shù)活動，集成度高，適用范圍廣。2．受控項目管理方法PRINCE2。它是基于過程結(jié)構(gòu)化的項目管理方法，它將信息系統(tǒng)等建設(shè)項目劃分為一些可供管理的階段，以便高效地使用資源和在項目周期內(nèi)實施有效的監(jiān)督。3．能力成熟度集成模型CMMI。其早期版本CMM是一種為軟件開發(fā)項目提供流程改進(jìn)的指導(dǎo)框架，而CMMI是一種綜合性模型，其應(yīng)用范圍已經(jīng)覆蓋軟件采購、軟件開發(fā)、系統(tǒng)工程和集成產(chǎn)品等專業(yè)領(lǐng)域。4．信息技術(shù)基礎(chǔ)架構(gòu)庫ITIL。它是信息技術(shù)運維和服務(wù)管理的實踐標(biāo)準(zhǔn)，其3.0版引入了服務(wù)周期理念，使服務(wù)戰(zhàn)略、服務(wù)設(shè)計、服務(wù)轉(zhuǎn)換、服務(wù)運維和服務(wù)改進(jìn)等模塊，能夠更加快速有效地處理信息系統(tǒng)日常運維問題。5．ISO信息安全系列。ISO27001《信息安全管理體系要求》、ISO27002(即ISO17799)《信息安全管理實用規(guī)則》、ISO13335《IT安全管理指南》、ISO15408《IT安全評估標(biāo)準(zhǔn)》等，對信息安全的組織體系、管理措施、業(yè)務(wù)流程和技術(shù)產(chǎn)品等進(jìn)行了全面規(guī)范。目前，我國已經(jīng)采用了這些國際標(biāo)準(zhǔn)。綜上所述，對于信息系統(tǒng)審計的相關(guān)標(biāo)準(zhǔn)可以從關(guān)系定位、實際運用和借鑒發(fā)展三個方面進(jìn)行把握：第一，明確關(guān)系，找準(zhǔn)定位。COBIT是一個非常全面的控制模型，它完全引入了CMM的階段式表現(xiàn)方法，并融合了PRINCE2、ITIL2.0和ISO27002等標(biāo)準(zhǔn)的有關(guān)內(nèi)容，另外也是ISACA制定信息系統(tǒng)審計準(zhǔn)則的基礎(chǔ)，因此應(yīng)將COBIT定位于高端標(biāo)準(zhǔn)，其它標(biāo)準(zhǔn)則作為信息技術(shù)特定領(lǐng)域的專業(yè)標(biāo)準(zhǔn)。在開展信息系統(tǒng)生命周期的控制審計和績效審計時，應(yīng)以COBIT為主，其他標(biāo)準(zhǔn)作為補充；進(jìn)行信息系統(tǒng)建設(shè)、運維和安全審計時，應(yīng)以COBIT為主框架，同時相應(yīng)地重點參照PRINCE2、ITIL和ISO27002等標(biāo)準(zhǔn)。第二，結(jié)合實際，合理運用。COBIT等標(biāo)準(zhǔn)的內(nèi)容龐大、結(jié)構(gòu)復(fù)雜，全部采用較不現(xiàn)實。因此，在開展信息系統(tǒng)審計時，必須結(jié)合實際情況進(jìn)行合理選擇和運用，不能完全照搬照抄，首先必須了解企業(yè)信息技術(shù)的管理情況，重點是執(zhí)行的政策、標(biāo)準(zhǔn)和業(yè)務(wù)流程，在此基礎(chǔ)上，評估COBIT等標(biāo)準(zhǔn)的應(yīng)用范圍和適用流程，避免審計采用標(biāo)準(zhǔn)和企業(yè)執(zhí)行標(biāo)準(zhǔn)可能產(chǎn)生的沖突；其次依據(jù)評估結(jié)果，并結(jié)合企業(yè)信息系統(tǒng)審計的目標(biāo)和內(nèi)容等，對COBIT等標(biāo)準(zhǔn)進(jìn)行適當(dāng)裁剪和調(diào)整，據(jù)此制定符合自身情況的信息系統(tǒng)審計實施標(biāo)準(zhǔn)。第三，研究借鑒，促進(jìn)發(fā)展。國際上關(guān)于信息系統(tǒng)審計的標(biāo)準(zhǔn)已經(jīng)形成了完備體系，尤其是COBIT及ISACA信息系統(tǒng)審計準(zhǔn)則的發(fā)展經(jīng)驗，為我們提供了良好的可借鑒思路。因此，應(yīng)對國際信息系統(tǒng)審計標(biāo)準(zhǔn)進(jìn)行深入研究分析，并在實踐應(yīng)用的基礎(chǔ)上，充分尊重我國企業(yè)治理、IT治理的實際情況，遵循合理借鑒、適當(dāng)改造和創(chuàng)新發(fā)展的思路，持續(xù)推動我國內(nèi)部審計行業(yè)的信息系統(tǒng)審計標(biāo)準(zhǔn)體系建設(shè)。四、信息系統(tǒng)審計的實務(wù)策略（一）加強(qiáng)溝通，擴(kuò)大信息系統(tǒng)審計共識信息系統(tǒng)審計作為一種新生事物，其蘊含的價值理念和積極作用還不為企業(yè)和審計人員所全面認(rèn)識，因此內(nèi)部審計部門應(yīng)加強(qiáng)內(nèi)外部溝通交流，擴(kuò)大信息系統(tǒng)審計的影響與共識，一方面應(yīng)向企業(yè)決策層、相關(guān)管理部門表達(dá)和傳遞信息系統(tǒng)審計在IT治理中的重要意義，取得他們的共識和支持，以根據(jù)國家有關(guān)法律法規(guī)，制定企業(yè)信息系統(tǒng)審計的方針政策，明確信息系統(tǒng)審計的權(quán)利和責(zé)任；另一方面應(yīng)在審計機(jī)構(gòu)內(nèi)部開展課題研討、經(jīng)驗介紹等交流活動，重點解決目前信息系統(tǒng)審計中存在的定位不清、程序方法不明和評價標(biāo)準(zhǔn)不祥等問題，為信息系統(tǒng)審計的深入開展奠定基礎(chǔ)。另外，在信息系統(tǒng)審計實施過程中，需進(jìn)一步加強(qiáng)與被審計單位的溝通交流，取得其理解和配合。（二）統(tǒng)籌思考，合理確定信息系統(tǒng)審計實踐方向開展信息系統(tǒng)審計應(yīng)重點考慮兩方面問題，一是企業(yè)IT治理的重點，即企業(yè)最為關(guān)注和對企業(yè)信息化影響最大的信息技術(shù)問題；二是審計資源配置的實際情況，即現(xiàn)有審計人員的知識構(gòu)成和技術(shù)能力是否適應(yīng)信息系統(tǒng)審計的要求，以及在什么程度上適應(yīng)這種要求。只有將上述兩個方面有機(jī)結(jié)合，統(tǒng)籌思考，才能合理確定信息系統(tǒng)審計的實踐方向，并發(fā)揮信息系統(tǒng)審計的最大效用。目前，企業(yè)較為關(guān)注的是信息系統(tǒng)的控制、績效和安全等，而內(nèi)部控制審計和績效審計已是傳統(tǒng)審計領(lǐng)域的基本內(nèi)容，因此現(xiàn)階段的信息系統(tǒng)審計，應(yīng)以信息系統(tǒng)的內(nèi)部控制、投資績效、建設(shè)項目管理績效和運營績效審計為主要實踐方向，對于技術(shù)含量更高的信息系統(tǒng)安全審計，可以作為一項指標(biāo)予以關(guān)注，待相關(guān)條件成熟后再全面開展。（三）面向總體，全面掌握企業(yè)信息技術(shù)狀況企業(yè)信息技術(shù)和各類信息系統(tǒng)的規(guī)劃、開發(fā)、應(yīng)用和發(fā)展等情況，對于信息系統(tǒng)審計至關(guān)重要，只有在對這些情況進(jìn)行全面了解基礎(chǔ)上，信息系統(tǒng)審計才能有的放矢，并有效控制審計風(fēng)險。因此，內(nèi)部審計部門應(yīng)開展全面的調(diào)查研究，以準(zhǔn)確掌握企業(yè)信息技術(shù)的總體狀況，一是企業(yè)信息技術(shù)的方針、政策、標(biāo)準(zhǔn)、整體規(guī)劃和發(fā)展趨勢等；二是各類信息系統(tǒng)的業(yè)務(wù)特征、規(guī)模大小、復(fù)雜程度、功能概況、使用范圍和投資額度等。在此基礎(chǔ)上，對所掌握的信息進(jìn)行梳理分析和初步評估，同時建立信息系統(tǒng)審計對象資料庫，并根據(jù)情況變化進(jìn)行動態(tài)更新，為選定信息系統(tǒng)審計項目創(chuàng)造有利條件。（四）根據(jù)實際，合理選擇信息系統(tǒng)審計項目組織方式信息系統(tǒng)審計的項目組織方式有兩種，即獨立式和組合式，如何對其進(jìn)行選擇和確定，對處于實踐探索階段的信息系統(tǒng)審計極為關(guān)鍵。當(dāng)前，應(yīng)根據(jù)信息系統(tǒng)審計的開展水平和信息系統(tǒng)的重要程度，采用“充分獨立、適當(dāng)組合，效果優(yōu)先、兼顧效率”的策略，合理選擇信息系統(tǒng)審計的項目組織方式，一是在實踐探索初期，無論信息系統(tǒng)審計項目規(guī)模大小或與其它審計項目是否存在關(guān)聯(lián)，都應(yīng)獨立立項，從資源和時間上充分保證信息系統(tǒng)審計的開展效果，以積累實務(wù)經(jīng)驗；二是對企業(yè)高度依賴的信息技術(shù)和信息系統(tǒng)，應(yīng)始終堅持獨立立項；三是對某一信息系統(tǒng)審計類型已獲得成熟經(jīng)驗的前提下，結(jié)合信息系統(tǒng)的重要程度，可以考慮和其它審計項目進(jìn)行組合立項，以進(jìn)一步提高審計效率。（五）結(jié)合特點，加強(qiáng)信息系統(tǒng)審計流程塑造信息系統(tǒng)審計流程與其它審計流程從總體上并無差異，但是信息系統(tǒng)審計的復(fù)雜性和高技術(shù)性特點，決定了其具體審計流程的特殊性，因此必須加強(qiáng)信息系統(tǒng)審計流程塑造，以有效指導(dǎo)和規(guī)范實踐工作。對于現(xiàn)行信息系統(tǒng)審計的流程塑造，主要從兩個方面進(jìn)行考慮，一是塑造的方法；二是塑造的重點流程，如下圖：1．塑造的方法。采取風(fēng)險導(dǎo)向的審計方法，在審計準(zhǔn)備、審計實施和審計報告等階段，持續(xù)評估信息系統(tǒng)風(fēng)險和審計風(fēng)險,據(jù)此指引信息系統(tǒng)審計具體流程的設(shè)計、執(zhí)行和改進(jìn)。2．塑造的重點流程。審計實施是信息系統(tǒng)審計的重點流程階段，該階段應(yīng)以系統(tǒng)控制測試、初步評價、數(shù)據(jù)分析測試和綜合分析為基本流程：（1）系統(tǒng)控制測試，是運用一般審計方法和信息技術(shù)測試方法，依次對信息系統(tǒng)組織層面、業(yè)務(wù)流程層面