浅谈信息系统审计.doc

1、1浅谈信息系统审计【摘 要】随着信息系统的发展，系统越来越复杂化、大型化、多样化和网络化，再加上 Internet 的出现，使信息资源的作用得到充分发挥。如何确保信息系统的安全、可靠和有效变得越来越重要。我国开展信息系统审计已经迫在眉睫，应加快行业准则与实务指南的制定，加大力度培养专门的信息系统审计师。 【关键词】信息系统；安全；审计 21 世纪是信息化的时代，信息技术的飞速发展也给审计领域带来了巨大的冲击，它促使对传统业务流程的再造，以促进更加高效的运营，并加强企业内部、企业与客户、企业与供应商之间的沟通。然而，这种进步同时也会引发新的风险，需要企业有专门的内部控制措施来控制这种新的风险，还

2、需要新的技术来评估控制的有效性，确保企业数据以及生成这些数据的信息系统的安全性和准确性。 一、信息系统审计概况 （一）何谓信息系统审计 信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程，以确保预定的业务目标得以实现。日本通产省 1996 年对信息系统审计的定义为：“为了信息系统的安全、可靠与有效，由独立于审计对象的 IT 审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评2价，向 IT 审计对象的最高领导，提出问题与建议的一连串活动。 ” 由于将传统的审计技术应用于信息系统之中，因此信息系统审计是一门综合性交叉性学

3、科。在 IT 环境下，审计理论基础为审计理论与其他学科理论提供了一个公共区域，各学科理论知识相互交叉、渗透、融合，共同组成一个有序的、交互渗透的、相互关联的动态网络，服务于审计理论。 （二）信息系统审计的产生及发展 20 世纪 60 年代，随着第二代晶体管计算机的出现和计算机应用的普及，特别是会计电算化之后，开始出现了 IT 审计。在信息系统审计的萌芽阶段，系统审计（System Audit） 、电子数据处理审计（EDP Audit）和计算机审计（Computer Audit）这些概念之间并没有很明确的界限划分，它是作为传统审计业务的扩展发展起来的，并且都是在计算机大量进入实用阶段后产生的。

4、到了 20 世纪 70 年代，随着利用计算机犯罪的案例开始出现，美国注册会计师协会和内部审计师协会先后发表了内部管理的调查与评价对 EDP 的影响和系统可审计性及规则的研究两份报告。同时日本注册会计师协会也意识到了信息系统审计的重要性，于 70 年代中期设立了 IT 审计委员会。到了 80 年代，日本通产省在日本的软件水平考试中添加“IT 审计师”一级的考试，以作为该考试的最高级别。 20 世纪 90 年代开始随着信息系统的发展，系统越来越复杂化、大型化、多样化和网络化，再加上 Internet 的出现，使信息资源的作用得到充分发挥。互联网可以成为电子商务、金融证券的运作平台，当然也可3以变成

5、计算机犯罪的场所。别有用心者可以利用互联网的便利制造混乱，危害社会经济安全，竞争对手之间也可以通过其攻击或者窃取对方机密，大量事实证明信息系统的安全是可以关乎到国家安全的重要问题。因此，如何确保信息系统的安全、可靠和有效变得越来越重要。 说到信息系统审计，就不能不说 ISACA。所谓 ISACA，全称为信息系统审计和控制协会（The Information System Audit and Control Association，ISACA） ，其成立于 1969 年，是一个总部设在美国的芝加哥、拥有 20000 多名会员的跨国界、跨行业的专业机构，其前身为 EDP审计师联合会。ISACA 目

6、前在世界上 100 多个国家设有 160 多个分会，该协会还举办一年一度的注册信息系统审计师（Certified Information System Auditor，CISA）考试，ISACA 是目前唯一有权授予国际信息系统审计师资格的组织。 随着信息化成为企业的中枢，左右着企业的命运，欧美的发达国家几乎所有大企业的管理者都认识到了 IT 审计的必要性。人们也越来越清楚地意识到利用 IT 审计能有效地管理信息及与信息相关的技术，是进入信息化社会的可靠保障，在发达国家 IT 审计已得到了普及。 （三）信息系统审计的范围 信息系统审计的对象是指以电子计算机为核心的信息系统，并覆盖信息系统从计划、

7、分析、设计、编程、测试、运行维护到系统报废为止的全生命周期的各个环节。要保证信息系统的安全有效，仅把信息系统审计仅仅理解为是对计算机硬件与软件的审计是不够的，信息系统审计必须是针对整体的信息系统进行的，而整体信息系统是包括信息系统环4境以及与此有关的业务等在内的有机结合的整体，是以促使企业整体的健全的信息化为目标的。 二、信息系统审计的实施过程 由于信息系统在企业中的核心地位，因此对信息系统的审计要贯穿整个信息系统生命周期的始终。信息系统的生命周期可以分为系统规划、系统设计、系统实施、系统运行和维护五个阶段。所以信息系统审计的实施过程可分为：信息系统开发过程的审计、信息系统实施过程的审计和信息

8、系统维护过程的审计。 （一）信息系统开发阶段的审计 一个大型信息系统的开发需要花费大量人力、物力和财力，如果开发不当，投入运行后需要的维护费用甚至会大大超过开发费用。对信息系统开发过程的跟踪审计是信息系统安全、可靠、有效的重要保证。在信息系统的开发过程中，每个阶段都不可避免的会发生错误，而且前一个阶段的错误必然会导致后一个阶段相应的错误发生甚至扩大，这也就是软件错误的“积累放大”效应。另一方面，在后期改正一个错误会比在早期改正同一个错误付出更多的代价。错误发现得越早，改正越容易，代价也越低。因此，通过对信息系统开发过程的中的每个阶段进行跟踪审计，可以及时发现并指出每个阶段发生的错误，使这些错误

9、能够及时被修正，从而减轻开发过程中软件错误的积累放大效应，进一步降低开发过程所花费的成本，同时保障整个信息系统的质量。 （二）信息系统实施阶段的审计 在系统开发过程中的系统实施阶段，要建立数据库，对应用程序进5行编码和测试，购买安装设备，培训雇员，整理系统文档并安装新系统。审计人员、编程人员、数据库管理员、用户和会计师都要参与实施过程。这一阶段的活动耗费了大部分成本，通常花费更多的工时，超出系统开发其他所有阶段的总和。 （三）信息系统维护阶段的审计 一旦系统实施完成，便进入信息系统开发的第三阶段维护。这是系统生命周期中最长的阶段，通常会跨越几年时间。系统在这一阶段并非静止，实际上它们会经历一些

10、或大或小的修改，使之适应用户需求的变化。有时变化很小，例如修改系统以生成新的报告，或者改变应用程序的逻辑和用户界面。维护同样可以是大范围的，例如对应用程序的逻辑和用户界面进行大的变动。 如果对应用程序进行了维护，其完整性可能遭到破坏。因此审计师的检查必须扩展到维护阶段，以确定应用程序的完整性是否依然存在。 三、我国信息系统审计的现状 90 年代末，国内有学者提出计算机审计，电算化审计，但概念还停留在对会计信息系统的审计上，基本上延伸手工会计信息系统审计，尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在 1999 年颁布了独立审计准则第 20 号计算机信息系统环境下的审计为例，其更多关注的

11、是会计信息系统。 中国审计协会为了规范审计机构及人员的信息系统审计活动，保证审计质量，于 2008 年根据内部基本审计准则的精神制定并颁布了审计具体准则第 28 号信息系统审计 。这是我国第一个真正意义6上的信息系统审计准则，也为我国信息系统审计人员开展信息系统审计活动提供了法律依据。 我国开展信息系统审计已经迫在眉睫，而开展信息系统审计将面临审计观念的转变、缺乏信息系统审计的专业人才以及行业准则与实务指南缺失等问题，应加快行业准则与实务指南的制定，加大力度培养专门的信息系统审计师。 四、结语 目前，国内有关信息系统审计的研究较少，大多的会计师事务所的业务仍主要是传统的财务报表的审计。而在国外

12、，信息系统审计的发展越来越快，因为企业的发展，越来越依赖信息系统正常、稳定的运行，信息系统已经成为企业战略中的一部分。信息系统审计在国内尚不受重视，归结其原因，一方面是国内企业仅仅把信息系统作为企业的辅助功能，没有将其看作企业战略的一部分；另一方面是我国目前缺乏相关的专业信息系统审计人才，大多数审计人员没有 IT 背景，而 IT 人员又不了解审计知识。 因此，我们应加大信息系统审计的宣传，让人们了解什么是信息系统审计，为什么要进行信息系统审计。此外，要大力培养信息系统审计师，开展信息系统审计业务。还要尽快完善行业管理制度规范，如从事电子商务的企业必须经过审计、上市公司的信息系统必须经过审计等。借鉴会计师行业的经验，对信息系统审计职业的自律规范开展研究，包括资格考试制度、职业道德、执业规范与惩戒等，使我国信息系统审计事业在健康规范的轨道上快速发展。