企業(yè)信息系統審計的研究

“實(shí)現化仍然是我國化進(jìn)程中艱巨的性任務(wù)。信息化是我國加快實(shí)現產(chǎn)業(yè)化和現代化的必然選擇�！苯�年來(lái)，對信息技術(shù)的投進(jìn)逐年加大，信息化程度也越來(lái)越高。信息化的蓬勃，促進(jìn)了其經(jīng)營(yíng)治理水平的進(jìn)步，特別是在進(jìn)步治理創(chuàng )新、集中管控能力、執行力和市場(chǎng)反應能力等方面，信息技術(shù)的確實(shí)帶來(lái)意想不到的效率和成果。但是，信息系統給帶來(lái)的危害主要體現在以下幾方面：突發(fā)事件的，由于1993年紐約世界貿易大廈爆炸事件，使得當時(shí)進(jìn)住的多數企業(yè)的貿易數據如數喪失，導致在企業(yè)這一年內的很多貿易活動(dòng)無(wú)法進(jìn)行；錯誤操縱、不正當使用和濫用信息技術(shù)，1998年發(fā)生的CIH病毒，導致全球數百萬(wàn)臺機硬件損壞，導致近百億美元的損失。信息系統開(kāi)發(fā)失敗。1994年，Standish Group對IT行業(yè)8400個(gè)項目（投資250億美元）的結果表明有34％的項目徹底失敗，50％的項目在補救后完成，預算均勻超出90％，進(jìn)度均勻超出120％。這些失敗和補救的項目中、不少未經(jīng)過(guò)投資風(fēng)險評估便匆匆上馬，超成了極大的社會(huì )資源浪費，對信息系統投資方面起到了極其惡劣的影響。因此，迫切需要對正在使用或即將投產(chǎn)的信息系統的安全性、真實(shí)性、完整性、有效性進(jìn)行鑒證。通過(guò)對信息系統的審計，保證信息系統的可信度，促進(jìn)內控體系的規范建設，信息系統審計已成為擺在企業(yè)治理職員案頭迫切需要開(kāi)展的重要工作。在我國信息化推進(jìn)過(guò)程中，存在不同程度上的一些，主要表現在規劃制訂不夠，項目治理不夠嚴格，監理機制不夠健全，系統運行效益不夠明顯。致使相當一部分信息化項目失敗或未能實(shí)現預期目標，浪費了大量資源。究其根源主要原因之一是信息化建設第三方監管機制的缺失和標準的不健全。

一、審計信息系統
信息系統審計是指根據公認的標準和指導規范對信息系統及其業(yè)務(wù)應用的效能、效率、安全性進(jìn)行監測、評估和控制的過(guò)程，以確認預定的業(yè)務(wù)目標得以實(shí)現。
審計信息系統最早稱(chēng)為計算機審計，計算機審計業(yè)務(wù)主要關(guān)注對被審計單位數據的取得、、計算等數據處理業(yè)務(wù)，還稱(chēng)不上信息系統審計。隨著(zhù)計算機技術(shù)應用范圍的不斷擴展，計算機審計所關(guān)注的也從單純的對電子的處理延伸到對計算機系統的可靠性、安全性進(jìn)行了解和評價(jià)。在制度基礎審計的模式下，計算機審計的業(yè)務(wù)內容已經(jīng)擴展到了符合性測試領(lǐng)域。信息系統的安全性、可靠性與其所服務(wù)的組織所面臨的各種風(fēng)險的聯(lián)系越來(lái)越緊密，對被審計單位風(fēng)險的評估必須將計算機信息系統納進(jìn)考慮范圍。計算機審計的業(yè)務(wù)范圍已經(jīng)覆蓋了一項審計業(yè)務(wù)的全過(guò)程，信息系統審計的概念隨之出現。
在建立信息系統審計制度，開(kāi)展信息系審計研究方面，美國走在了前面。早在計算機進(jìn)進(jìn)實(shí)用階段時(shí)，美國就開(kāi)始提出系統審計(SYSTEM AUDIT)。1969年在洛杉磯成立了電子數據處理審計師協(xié)會(huì )(EDPAA)，1994年該協(xié)會(huì )更名為信息系統審計與控制協(xié)會(huì )(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)即ISACA，總部設在美國芝加哥。該組織在世界上100多個(gè)國家設有160多個(gè)分會(huì )，現有會(huì )員兩萬(wàn)多人，它是從事信息系統審計的專(zhuān)業(yè)職員唯一的國際性組織，CISA(Certified Information System Auditor)也是這一領(lǐng)域的唯一職業(yè)資格。
在很多大型公司內部，信息系統審計部分已經(jīng)成為一個(gè)獨立的對外提供多種服務(wù)的部分。尤其是互聯(lián)網(wǎng)和電子商務(wù)的興起，更是為信息系統審計業(yè)務(wù)帶來(lái)了無(wú)盡的商機。為財務(wù)報表審計提供服務(wù)只占信息系統審計部分業(yè)務(wù)內容很小的一部分。與信息安全相關(guān)的防火墻審計、安全診斷、信息技術(shù)認證以及ERP相關(guān)的新型咨詢(xún)業(yè)務(wù)也不斷涌現�！拔磥�(lái)審計行業(yè)和審計技術(shù)的發(fā)展動(dòng)力將主要來(lái)自于信息系統審計的發(fā)展”，這一觀(guān)點(diǎn)已經(jīng)逐漸成為國外、審計界的一個(gè)共叫。信息系統審計師的地位也在不斷進(jìn)步。在國外的一些大型會(huì )計公司中已經(jīng)出現了沒(méi)有CPA資格的合伙人，他們持有的專(zhuān)業(yè)資格就是CISA.據專(zhuān)家先容，國際信息系統審計師（簡(jiǎn)稱(chēng)IT審計師）目前已經(jīng)成為全球范圍最搶手的高級人才。
在初期，信息系統審計是作為傳統審計業(yè)務(wù)的一部分，在審計師對由計算機系統處理的數據的質(zhì)量進(jìn)行判定時(shí)提供技術(shù)支持。有信息系統審計技能的審計師被看作是會(huì )計師事務(wù)所的技術(shù)資源，在必要時(shí)為同事提供技術(shù)支持。對于信息系統審計，需求領(lǐng)域很廣。如對組織的信息系統審計(主要集中在對信息技術(shù)的治理控制)、技術(shù)方面的信息系統審計(包括架構、數據中心、數據通訊等)、應用的信息系統審計(包括經(jīng)營(yíng)、財務(wù))、開(kāi)發(fā)實(shí)施信息系統審計(包括需求識別、設計、開(kāi)發(fā)以及實(shí)施后階段)和信息系統是否符合國家或國際標準的審計等等。

二、構建信息系統審計
信息系統審計的建立是一項復雜的系統工程，所以應制訂長(cháng)遠的開(kāi)發(fā)規劃，由簡(jiǎn)到繁分階段逐步實(shí)現。它的功能應該是：實(shí)現審計信息的收集、處理和共享；實(shí)現審計日常治理的自動(dòng)化；通過(guò)計算機建立程序化的標準審計和同一的審計標準，從而進(jìn)步審計工作的效率和質(zhì)量。實(shí)現審計治理規范化；保證審計作業(yè)規范化；促進(jìn)審計文檔規范化；審計質(zhì)量監視規范化；進(jìn)步審計結論的層次�；�于上述的系統目標，信息系統審計當前應由審計證據治理子系統、信息系統安全標準子系統、信息系統安全評估子系統、項目治理審計子系統和信息系統審計標準子系統等五個(gè)子系統組成。
（一）審計證據治理子系統
１．審計證據收集
（1）傳統方法收集審計證據
（2）通過(guò)數據接口直接向計算機會(huì )計信息系統獲取審計證據
（3）在線(xiàn)系統審計證據收集
（4）計算機系統審計證據收集
2．審計證據評價(jià)
（1）真實(shí)性。查明審計證據的來(lái)源、形成的時(shí)間、地點(diǎn)、制作過(guò)程及設備情況，有無(wú)偽造和刪改的可能性。一般說(shuō)來(lái)，由第三方（如中間商或網(wǎng)絡(luò )服務(wù)商）來(lái)儲存記錄或轉存的證據具有較高的證據效力；被審計事項的事實(shí)和行為發(fā)生時(shí)留下的證據的效力較以后專(zhuān)為訴訟的目的而形成的證據更為真實(shí)；對于自相矛盾、內容前后不一致或不符合情理的審計證據，應小心對待，不可輕信，對不能排除公道懷疑的審計證據不得采納。
（2）正當性。包括收集手段是否正當和形式條件是否公道兩部分。有些審計證據其本身也有證據力，但在收集過(guò)程中，違反了規定的手續和程序，因而也就不具有法律效力，也不能用來(lái)證實(shí)題目，為此，鑒定分析審計證據時(shí)，要了解證據是以什么方法、在什么情況下取得的，是否違反了法定的程序和要求，是否符正當律規定的形式要件，這樣有利于判明審計證據的真偽程度和效力。
（3）相關(guān)性。查明審計證據反映的事實(shí)與被審計事項有無(wú)關(guān)系，只有與被審計事項的事實(shí)或邏輯上是相關(guān)的事實(shí)才能被以為是證據。
（4）結合其他證據進(jìn)行鑒定分析。將審計過(guò)程中收集的全部證據綜合起來(lái)加以分析、判定。如審查計算機審計證據中有無(wú)數據、圖表等反映的事實(shí)，同有關(guān)書(shū)證、物證、證人證言進(jìn)行分析，明確是否互相一致，是否有矛盾。假如與其他證據相一致，共同指向同一事實(shí)，就可以認定其效力，可以作為審計證據。反之則不能作為審計證據。
（二）信息系統安全標準子系統
構建通用的信息系統安全標準，作為信息系統審計工作中的標準。信息系統安全標準是由高級治理職員制定的最小標準、規則構成的集合，所以必須加以實(shí)現，以確保信息系統安全政策的實(shí)現。信息系統安全標準需要指明每個(gè)信息系統控制的具體要求。它為治理職員提供一個(gè)基準或底線(xiàn)，可以照此對單個(gè)信息系統控制的適當性進(jìn)行評估。信息系統審計是一個(gè)獲取并評價(jià)證據，以判定信息系統是否能夠保證資產(chǎn)的安全、數據的完整以及有效率地利用組織的資源并有效果地實(shí)現組織目標的過(guò)程。它是立足于組織的戰略目標，為有效的實(shí)現組織戰略目標而采取的一切活動(dòng)過(guò)程都在審計師的業(yè)務(wù)之內。

（三）信息系統安全評估子系統
信息系統審計集中反映了的戰略目標，主要從質(zhì)量、本錢(qián)、時(shí)間、資源利用率、系統效率、保密性、完整性、可用性等方面來(lái)保證信息的安全性、可靠性、有效性； 信息系統審計資源維主要包括以信息、系統、設施及人在內的信息相關(guān)的資源，這是信息系統審計治理過(guò)程的主要對象；信息系統審計過(guò)程則是在信息系統審計準則的指導下，對信息及相關(guān)資源進(jìn)行規劃與處理，從信息技術(shù)的規劃與組織、獲取與實(shí)施、交付與支持、監視與評估等方面確定了信息技術(shù)處理過(guò)程，每個(gè)處理過(guò)程還包括更加具體的控制目標和審計方針以對信息系統審計處理過(guò)程進(jìn)行評估。
（四）項目治理審計子系統
項目治理系統是對審計過(guò)程進(jìn)行全面指導、幫助和控制的軟件，它通過(guò)對標準審計的各個(gè)工作流程的公道細分，使每個(gè)子流程都對應相應的機處理模塊。從而使一個(gè)完整的審計項目可通過(guò)計算機輔助而完成，并產(chǎn)生各個(gè)工作環(huán)節應該天生的底稿和報告。有利于進(jìn)步工作效率，為進(jìn)行審計質(zhì)量考核提供了極大的方便。
（五）信息系統審計標準子系統
此系統主要是實(shí)現信息資料的收集和共享。定期進(jìn)行更新，包括：審計工作所需要的各類(lèi)法律、法規、規章制度等。一般來(lái)講，按不同層次設立，信息的共享通過(guò)系統內互聯(lián)的企業(yè)網(wǎng)實(shí)現，還可根據信息的保密要求，設定不同的信息訪(fǎng)問(wèn)權限。

三、規范信息系統審計范圍
其業(yè)務(wù)范圍包括與信息系統有關(guān)的所有領(lǐng)域，例如對組織的信息系統審計(主要集中在對信息技術(shù)的治理控制)、技術(shù)方面的信息系統審計(包括架構、數據中心、數據通訊等)、應用的信息系統審計(包括經(jīng)營(yíng)、財務(wù))、開(kāi)發(fā)實(shí)施信息系統審計(包括需求識別、設計、開(kāi)發(fā)以及實(shí)施后階段)和信息系統是否符合國家或國際標準的審計以及網(wǎng)譽(yù)審計、簽名審計業(yè)務(wù)等電子商務(wù)審計。
1.信息系統開(kāi)發(fā)計劃、治理及組織架構的戰略、政策、標準及相應實(shí)踐過(guò)程的評估；
2.技術(shù)基礎設施及運行實(shí)踐的效能和效率的評估；
3.信息資源在邏輯訪(fǎng)問(wèn)、運行環(huán)境以及IT基礎設施各方面的安全性的評估；
4.系統災難恢復及保證業(yè)務(wù)連續性的能力的評估；
5.業(yè)務(wù)應用系統開(kāi)發(fā)、實(shí)施與維護的方法和過(guò)程的評估；
6.業(yè)務(wù)流程的風(fēng)險治理水平的評估；
7.財務(wù)系統的評估。
　　第一，鑒證作用。信息系統審計的鑒證價(jià)值是指通過(guò)審計，公道地保證被審計單位信息系統及其處理、產(chǎn)生的信息的真實(shí)性、完整性與可靠性，政策遵循的一貫性。
　　第二促進(jìn)作用。促進(jìn)價(jià)值體現在兩個(gè)方面，一是指信息系統審計可以促進(jìn)被審計單位更有效地融進(jìn)到生活中；二是指審計可以促進(jìn)被審計單位改進(jìn)內部控制，加強治理，進(jìn)步信息系統實(shí)現組織目標的效率、效果。
第三咨詢(xún)作用。信息技術(shù)的為組織的治理變革提供了技術(shù)手段，組織扁平化、工作豐富化等治理變革都要信息技術(shù)來(lái)實(shí)現。信息化已是大勢所趨。

四、創(chuàng )建行業(yè)標準與實(shí)務(wù)指南 　　
如同開(kāi)展業(yè)務(wù)審計要具有相關(guān)法律法規作為審計依據一樣，開(kāi)展信息系統審計同樣需要審計依據。國內信息系統審計方面的工作近幾年才剛剛開(kāi)始，基本仍處于摸索階段，而在國家審計中更是如此。，由于國內關(guān)于信息系統審計方面的標準尚處于空缺狀態(tài)。
國際上關(guān)于信息系統審計方面可以的標準主要有信息及相關(guān)技術(shù)控制目標COBIT（Control Objectives for Information and related Technology）、ISO17799、能力成熟度集成模型CMMI（Capability Maturity Model Integration）和IT基礎架構庫ITIL（Information Technology Infrastructure Library）等。
信息系統審計與控制協(xié)會(huì )ISACA（Information System Audit and Control Association）于1996年公布的目前國際上通用的信息系統審計的標準。它將IT 過(guò)程，IT資源及信息與企業(yè)的策略與目標聯(lián)系起來(lái)，形成一個(gè)三維的體系結構。它是一個(gè)在國際上公以為最先進(jìn)、最權威的安全與信息技術(shù)治理和控制的標準。
英國國家標準局制定的BS7799-1《信息安全治理實(shí)踐規范》，該規范于2000年12月被國際標準化組織采納，成為ISO17799。ISO/IEC17799標準最初于1993年由英國貿易部立項，由標準化協(xié)會(huì )籌備起草并作為英國的標準。1995年，首次發(fā)布BS 7799-1:1995《信息安全治理業(yè)務(wù)規范》，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規則，其目的是作為確定各類(lèi)信息系統通用控制范圍的唯一參考基準，并且適用于大、中、小組織以及政府部分；1998年，標準化協(xié)會(huì )發(fā)表標準的第二部分BS 7799-2《信息安全治理體系規范》，它規定信息安全治理體系與信息安全控制要求，是一個(gè)組織的全面或部分信息安全治理體系評估的基礎，它還可以作為一個(gè)正式認證方案的根據；BS 7799-1與BS 7799-2經(jīng)過(guò)修訂于1999年重新予以發(fā)布，此次考慮了信息處理技術(shù)，尤其是考慮了在和通訊領(lǐng)域應用的最新發(fā)展情況；2000年12月，BS 7799-1:1999《信息安全治理業(yè)務(wù)規范》通過(guò)了國際標準化組織ISO的認可，正式成為國際標準，即ISO/IEC17799-1:2000《信息技術(shù)——信息安全治理業(yè)務(wù)規范》標準。
2005年，ISO發(fā)布了新版的信息安全治理實(shí)施細則，即ISO/IEC17799-2005，對2000年版的標準進(jìn)行了修訂，更加注重標準的通用性和實(shí)用性。
日本的系統審計是從八十年代開(kāi)始，1983年通產(chǎn)省公然發(fā)表了《系統審計標準》，并在全國軟件水平中增加了“系統審計師”一級的考試，著(zhù)手培養從事信息系統審計的骨干隊伍。近幾年?yáng)|南亞各國也開(kāi)始制定電子商務(wù)法規，成立專(zhuān)門(mén)機構開(kāi)展信息系統審計業(yè)務(wù)，并制定技術(shù)標準。
國內目前關(guān)于信息系統審計的依據主要有修訂后的《中華人民共和國審計法》、國辦發(fā)【2001】88號文件《國務(wù)院辦公廳關(guān)利用計算機信息系統開(kāi)展審計工作有關(guān)的通知》、1999年頒布了獨立審計準則第20號--計算機信息系統環(huán)境下的審計等，同時(shí)可以主要參考COBIT和ISO17799標準。
但是我國信息系統審計才剛起步，審計技術(shù)、審計規范、制度等都有待。隨著(zhù)我國信息化水平的進(jìn)步，對信息系統的有效控制與審計將逐漸成為研究熱門(mén)。

五、開(kāi)展信息系統審計的意義
1．信息系統審計是未來(lái)審計發(fā)展的必然
未來(lái)審計行業(yè)和審計技術(shù)的發(fā)展動(dòng)力將主要來(lái)自于信息系統審計的發(fā)展。
2．維護信息的市場(chǎng)經(jīng)濟秩序
市場(chǎng)經(jīng)濟是建立在信用基礎上的，信息系統審計應當充當信息時(shí)代經(jīng)濟生活中公正的鑒證人起著(zhù)維護市場(chǎng)經(jīng)濟穩定的作用。信息時(shí)代競爭的加劇，信息流的電子傳播方式等，使市場(chǎng)對及時(shí)和相關(guān)信息的需求越來(lái)越多，現有財務(wù)報告模式的局限性性日漸突出�，F有財務(wù)報告是以本錢(qián)為計量基礎的、周期性的向利益相關(guān)者報告。在新經(jīng)濟環(huán)境中，信息系統審計師應能夠以在線(xiàn)、實(shí)時(shí)的信息為基礎提供鑒證，通過(guò)多種方式來(lái)保護公眾利益、提供鑒證服務(wù)并滿(mǎn)足投資公眾對決策有用信息的訪(fǎng)問(wèn)需要。提供實(shí)時(shí)報告鑒證對保護公眾利益和保護資本市場(chǎng)的有序發(fā)展是非常有意義的。
3．為信息化建設保駕護航
“以信息化帶動(dòng)產(chǎn)業(yè)化”，推進(jìn)“電子政務(wù)”及“電子商務(wù)”，很多企業(yè)也已著(zhù)手整合與升級其信息化應用系統�？梢灶A計，全國將有更多、更大的信息系統建設項目展開(kāi)。但是，信息化是有風(fēng)險的，信息系統規模越大，功能越復雜，風(fēng)險也就越大。信息系統審計師的出現，可以從項目計劃開(kāi)始參與信息系統建設的每個(gè)環(huán)節，以他們的專(zhuān)業(yè)素養，從項目的初始階段一直到運營(yíng)的全過(guò)程，給予項目投資者風(fēng)險控制的評估與建議，進(jìn)步信息系統的投資效益。
　

參考書(shū)目

1．***同道在十六大的報告.
2．（美）Jack J.Champlain著(zhù) 審計信息系統（第二版）張金城等譯 清華大學(xué)出版社 2004年11月初版.
3．計算機審計中數據處理新方法探討陳 偉 劉思峰 邱廣華 《審計與經(jīng)濟研究》2006年第1期（37）.
4．信息環(huán)境下審計技術(shù)的探索：實(shí)時(shí)在線(xiàn)審計 陳丹萍 《審計與經(jīng)濟研究》2005年第4期.
5．關(guān)于電子證據可采性與證實(shí)力的若干題目探討 姚太明 審計研究 2005年第1期.
6．電算化條件下的計算機審計 秦　宇會(huì )計之友2005年第三期（42）

【企業(yè)信息系統審計的研究】相關(guān)文章：

家族企業(yè)審計需求的實(shí)證研究03-24

審計視角下的企業(yè)成本管理研究03-24

企業(yè)并購過(guò)程中的審計風(fēng)險研究12-07

企業(yè)人力資本投資風(fēng)險審計研究12-09

企業(yè)內部環(huán)境審計定義研究03-24

風(fēng)險導向企業(yè)內部審計研究03-28

內部審計部門(mén)企業(yè)內部控制審計研究論文12-22

信息系統內部控制審計初探03-21

企業(yè)并購過(guò)程中的審計風(fēng)險研究 203-18