1、1信息系统审计的 透视与思考【摘要】 随着信息化建设的深入,信息系统已逐步成为审计领域无法绕开的话题,信息系统审计不再仅限于审计手段的信息化,它还包括了审计对信息系统的介入、监督与评价。本文以广州地铁内部审计为案例,从信息系统的审计内容、实施策略、审计方法等方面,对信息系统审计进行透视与思考,探索信息系统审计发展的方向。 【关键词】 信息系统审计 审计内容 审计方法 一、引言 相比于传统审计,信息系统审计(Information System Auditing)是审计领域中的一个新概念。目前,关于信息系统审计,学术界和业界均无通用的定义。美国信息系统审计权威专家 Ron.A.Weber 提出:
2、信息系统审计可定义为通过一定的技术手段收集、分析证据,以对计算机系统是否能够保证资产安全、维护数据完整、实现组织目标以及高效利用资源进行评价的过程。日本通产情报协会作了如下定义:信息系统审计是指,为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师以第三方的立场对以计算机为核心的信息系统进行综合检查和评价,并向信息系统审计对象的最高领导者提出问题与建议的一连串活动。国际信息系统审计和控制协会(ISACA)将其定义为:信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过2程。 针对以上观点,我们将其要
3、点归纳如下:信息系统审计是审计师对以计算机为核心的信息系统,通过专业判断和评价,合理保证信息系统安全、稳定、有效,并向信息系统的高层管理者及使用者提供问题解决方案,以达到改善经营和为组织增加价值目的的一个过程。 二、信息系统审计的发展与现状 20 世纪 60 年代,随着计算机技术开始运用于企业的信息收集和整理中,会计信息处理逐渐无纸化,促使审计人员在执行传统审计业务时,必须关注以电子数据为载体的电子数据处理审计(EDP Electronic Data Processing) 。20 世纪 70 年代中期至 80 年代,电子数据处理和管理系统等在企业中逐渐普及,同时,计算机犯罪和计算机系统失效的
4、事件频频发生,使得信息系统审计日益得到重视并迅速发展。美国、日本先后成立了 IT 审计方面的协会组织,从事对 IT 审计规则的制定和实施指导。20 世纪 90 年代,信息和信息系统已成为企业的重要资产,企业和社会对信息系统控制和审计的需求愈发强烈。发达国家的信息系统审计进入普及期,许多国家的审计机关、学者和组织对计算机环境下的信息系统审计进行了有益的探索。同时,东南亚各国也逐渐认识到信息系统审计的重要性,开始着手研究信息系统审计理论和实务。 目前,我国信息系统审计仅有十几年的历史,尚处于探索阶段,既缺乏开展信息系统审计业务的人才队伍,也没有形成专业规范体系,所进行的一些计算机审计方面的探索和尝
5、试以及计算机审计软件的开发和应用还大都停留在对被审计单位电子数据进行处理的阶段。存在的主要3问题有:信息系统审计观念落后;信息系统审计相关的准则、标准和规范尚不完善;信息系统审计专业人才匮乏;信息系统审计软件开发工作滞后。 1997 年,广州地铁开始公司“信息化”建设。最初,广州地铁经营审计采用“绕过计算机审计”的方法,即对导出数据进行审计。审计过程中,其逐渐意识到了运用这种“黑箱原理”审计方法的风险。因此,2006 年公司组建了专门的 IT 审计模块,探索“如何利用计算机审计”和“通过计算机审计” 。其后,广州地铁信息系统审计发展经历了借力、助力和自立三个阶段。 一是借力期:IT 审计模块成
6、立初期,公司与外部顾问共同开展 IT 审计项目,通过外部专业人员向审计人员传输 IT 审计技能,同时制定IT审计实施细则 ,在人员技能储备和制度上为 IT 审计模块的发展奠定了基础。二是助力期:审计人员参照审计手册,利用从外部顾问处学习到的审计技能,逐步开展信息系统审计工作,将 IT 审计工作模式调整为以自身力量为主,外部咨询服务为辅的模式。三是自立期:2009 年,广州地铁 IT 审计已基本实现自主化,且 IT 审计模块逐步走向成熟,同时其还建立了具有自身特色的信息系统审计框架。 目前,IT 审计已经发展成为广州地铁内部审计的一根“支柱” ,连同“内控审计” ,作为基本的审计手段贯穿于各类专
7、业审计工作中,支持审计体系的巩固与发展。 三、信息系统审计内容 1、国内外关于信息系统审计内容的研究 4开展信息系统审计首先要明确审计内容。国际信息系统审计协会规定,信息系统审计的主要内容包括信息系统程序审计、信息技术(IT)治理、系统生命周期管理、IT 服务的交付与支持、信息资产的保护、灾难恢复和业务连续性计划。 近十几年来,国内的学者和组织也对信息系统审计的内容进行了探索和研究。审计署在 2012 年颁布的信息系统审计指南计算机审计实务公告第 34 号中明确提出了:信息系统审计包括对应用控制、一般控制和项目管理的审计。其中,应用控制包括信息系统业务流程,数据输入、处理和输出的控制,信息共享
8、和业务协同;一般控制包括信息系统总体控制、信息安全技术控制、信息安全管理控制;项目管理包括信息系统建设的经济性、信息系统建设管理、信息系统绩效。 上述具有代表性的规定和研究成果对信息系统审计内容的划分,均是以对信息系统逻辑结构的分析为基础。全面分析信息系统的逻辑结构,可从信息系统的构成要素、信息系统生命周期和信息系统管理三个维度进行描述:从构成要素来看,信息系统由人员、应用(包括软件平台和应用系统) 、所采用的技术、硬件设备、数据文件运行规则组成;信息系统生命周期可划分为信息系统的规划阶段、开发阶段、运行维护阶段和更新阶段;从信息系统管理的维度来看,对系统的管理与控制活动贯穿于信息系统生命周期
9、的始终,主要是通过有效执行一系列健全有效的规章制度和管理规程来实现。 2、广州地铁信息系统审计实施框架 结合广州地铁信息化项目多、系统更新快、数据集成度高、系统控制与手工控制并重等特点,围绕信息系统构成要素、信息系统生命周期5和信息系统管理三个维度,广州地铁将信息系统审计的内容划分为整体计算机控制审计、应用控制审计和系统建设效能评价三个方面。其中,整体计算机控制审计是对信息系统运行中的控制活动进行审计,目的是合理保证由信息系统支持的业务流程控制是可靠的、生成的数据和报告是可信的。应用系统控制审计是对业务流程中的自动化控制活动进行审计,以合理保证交易的有效性、经适当授权和记录、完成的完整性、准确
10、性和及时性。项目及系统绩效审计是对信息化项目的过程及成果对企业和业务产生的效益进行审计,用来合理保证信息化项目的投资/产出比例符合建设的目标,以及信息系统对企业战略起到的预期的支撑作用。围绕上述三个方面,广州地铁内部审计确立了以下的实施框架。 (1)确立整体计算机控制安全、操作、变更的三个评价维度,围绕“信息系统全生命周期” ,明确整体计算机控制十个流程。广州地铁通过学习和借鉴国际信息系统技术管理和控制标准 COBIT,建立起了一套自己的整体计算机控制审计框架。框架可按流程和控制类型两种方式进行划分,两种划分方式在本质上是一致的。在按流程划分出的每个子流程中,信息系统审计人员需要从变更、安全、
11、操作的角度去确认和评估具体的控制点;在按控制职能所作的划分中,审计人员需要围绕信息系统的策略与计划、信息系统操作、与外部供应商关系、业务可持续计划、应用系统开发、数据库、软件支持、网络、硬件等十个子流程进行审计。 围绕安全、变更、操作三个角度及十个子流程,广州地铁共梳理出有关整体计算机控制的 41 项审计内容,并针对每一项内容明确了控制目标和风险,建立起了一套完整的整体计算机控制矩阵。例如,信息系统6策略和计划子流程中,广州地铁明确了整体计算机控制的三大目标信息系统战略、规划和预算应与实际业务和战略目标保持一致,计算机处理环境应得到具有适当技能和经验的人员的充分支持和保证,以及计算机处理环境中
12、的人员应接受适当的培训,审计人员在此基础上针对各控制目标,识别并归纳出广州地铁现行的 9 个控制活动。在具体开展信息系统整体计算机控制审计时,信息系统审计人员根据审计项目的特点和要求,选择需要评价的子流程,再对照子流程的控制活动进行评估及测试即可。 (2)从内部控制目标出发,将信息系统应用控制划分为访问控制、完整性控制及数据质量控制三大方面。广州地铁将信息系统的应用控制划分为应用系统访问控制、流程和系统完整性控制以及数据质量控制三大类,并针对各类控制分别设计了不同的审计内容。 一是应用系统授权访问控制审计包括对系统的认证方式、授权机制、权限的分配管理以及不相容职责分离在系统中的实现情况的审计,
13、目的在于保证经过允许的人才能访问和操作系统。二是流程和系统完整性控制审计是对系统输入、处理、输出以及接口等各种系统运行规则的审计,用以保证所有经允许处理的数据均转换到介质上并被处理,且处理的结果可通过适当的方式加以输出,所有输入、转换、处理和输出均在正常的时间内准确地进行。三是数据质量控制审计则是指对信息系统中的数据的完整性、规范性和有效性所进行的审计,旨在保证所有系统的输出均反映为经批准的有效的经济业务,所有经过系统的数据真实、有效,且能满足企业各项业务的使用要求。 7(3)围绕“信息化项目”和“信息系统” ,综合评价信息化建设的效益。在开展整体计算机控制审计和应用控制审计的基础上,广州地铁
14、从企业经营和投资效益的视角出发,在信息系统审计中引入了 3E 审计的概念,尝试对信息系统建设项目的成效、建成后系统的应用效能以及信息化对战略的支撑效果进行审计。为了全面评价项目,广州地铁通常将对单个信息系统建设项目的合规性审计与项目效能审计结合在一起开展。一是信息系统建设成效审计旨在通过对系统建设全过程的审计,促进信息系统的建设规范性,提高信息系统建设的质量。二是信息系统应用效能审计包括对业务需求的实现情况、建成功能的使用情况的审计分析,以及对系统应用对业务管理规范化、标准化和精细化提升作用的综合评价,目的在于促进系统使用价值的最大化,减少系统建设的投资浪费。三是战略支撑效果审计是从支持战略实
15、现的角度,评价信息系统的建设效益,保证信息化建设在符合业务管理要求的同时,符合公司战略的需要,支持公司战略的实现。 四、信息系统审计实施步骤 信息系统审计步骤(或流程) ,是审计工作从开始到结束的整个过程。信息系统审计流程一般可划分为四个阶段:计划阶段、实施阶段、报告阶段和后续阶段。计划阶段是信息系统审计流程的起点,此阶段的主要工作包括了解被审计系统的基本情况,初步评价被审计单位信息系统的内部控制和外部控制,识别重要性和编制审计计划。实施阶段是根据计划阶段确定的审计范围、重点、步骤和方法进行有针对性的取证、评价,8并形成审计结论的过程。实施阶段是信息系统审计工作的核心,主要由符合性测试和实质性
16、测试两个部分构成。在报告阶段,信息系统审计人员需运用专业判断,整理、评价收集到的审计证据,以经过核实的审计证据为依据,形成审计意见,出具审计报告。审计报告的出具并不意味着信息系统审计工作的终结。根据国际信息系统审计标准,信息系统审计人员对于系统中发现的重大问题和漏洞,需要对被审计单位所采取的纠正措施及其效果进行后续审计。审计人员需要将后续审计纳入计划,并安排必要的人员和时间进行后续审计。 广州地铁 IT 审计模块成立之初,即明确了 IT 审计“对公司的系统流程与控制、项目进行审计”和“提供有益于增加公司价值的咨询服务”两项核心职责,并围绕公司战略,以“风险导向” 、 “服务战略”理念为指导,从
17、信息系统审计战略规划和具体项目执行两个层面分别制定信息系统审计的流程。 1、以公司战略为导向,制定信息系统审计的战略规划 一直以来,广州地铁奉行“源于战略、服务于战略”的现代审计理念。这一理念主要体现在两个方面:一是在制定内审工作计划时,从公司战略出发,制定各个内审业务及各专业审计模块的战略,并以业务战略为指导,开展具体的审计工作;二是在开展审计项目的过程中,始终从保障公司战略执行的角度去发现问题、评价问题,提出整改意见和落实整改。信息系统审计的战略规划来源于公司的战略,以及以公司战略指导制定的公司信息系统战略规划和内部审计业务战略规划;同时还须结合公司信息化现状和 IT 审计模块定位,明确广
18、州地铁 IT 审计发展战略目标。 92、通过风险评估,确定各信息系统风险等级,制定层次分明、重点突出的信息系统循环审计计划 为利用有限的审计资源掌握公司主要信息系统的建设、运营情况,保障信息资源的有效利用,降低公司信息系统的整体风险,广州地铁建立了一套“根据信息系统风险评级制定差异化的审计策略” 。 (1)梳理信息系统脉络,全面掌握信息系统现状。广州地铁结合信息系统规划、建设和运营的情况及系统分类梳理出被审计信息系统清单,并从系统构成要素的角度收集系统相关的信息。这些信息包括系统名称、功能模块、采用产品等基本信息,以及项目的建设信息、系统的使用状况和运维的基本情况。这些信息是风险评分的依据,也
19、为后续开展具体审计工作时确定审计方案提供了指引。 (2)开展信息系统风险评级,制定风险导向型审计计划。内审人员从通用风险、业务风险、项目风险、系统风险、数据风险和人员风险六大风险类别出发,全面识别信息系统各类构成要素中存在的风险;对信息系统进行风险评价,根据风险得分将信息系统按优先级分别划分为高、中、低三类。结合公司 IT 审计资源的情况,对优先等级高的系统采用三年一审策略,中等级系统 56 年一个审计周期,风险等级低的系统则根据需要安排审计。在此审计策略的基础上,再综合考虑公司业务的十大风险、领导关注事项、上一年度内控评价结果和审计项目成果、公司新一年的工作重点、公司信息系统的变动情况,并制
20、定出本年度的信息系统审计计划。 3、以风险为导向,开展信息系统审计 10在项目实施阶段,审计人员必须从公司整体信息系统控制环境和被审计系统的状况、流程与内部控制两个方面进一步收集被审计系统的相关资料,了解和确认被审计单位已建立的内部控制措施,并对这些控制措施的设计是否达到控制目标进行评估。 (1)以“轮流循环+以点带面”的方式开展整体计算机控制审计。公司的信息化业务采用统一集中管理的模式,整体计算机控制对各个系统具有一定的通用性。因此,在实务操作中,广州地铁采用“以点带面”的策略,以单个信息系统整体计算机控制为切入点对整体计算机控制进行审计,评价整体信息系统的安全性;同时,考虑到信息系统在一定
21、时间内相对稳定,因此在实施整体计算机控制审计时可采取轮流测试的方式,即每年从十个子流程中选取几个进行测试,经过一定周期后,完成对整体计算机控制的全面审计。例如,在 2011 年开展的信息安全审计项目中,审计人员就围绕信息安全这个审计主题,从十个子流程中选取了与信息安全直接相关的信息系统操作、信息系统安全、业务可持续计划、应用系统开发与实施、数据库开发与实施和系统软件支持等六个流程进行审计。分步、循环开展整体计算机审计,在审计风险可控的情况下,大大节省了审计资源,也使得审计人员能够更加深入地挖掘和分析整体计算机控制方面所存在问题以及问题的成因,提出更为切实可行、同时又符合公司信息化业务发展现状和要求的整改措施。 (2)以风险为着眼点,确定应用控制审计重点。应用控制是各个信息系统内部所建立的控制机制,应用控制审计必须针对某个具体信息系统开展。在开展应用控制审计的过程中,审计人员应紧紧围绕“风险”
