企业信息系统审计的研究
[摘 要]信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。信息系统审计由审计证据管理、安全标准、安全评估、项目管理审计和法律标准等5个子系统组成,其业务范围包括与信息系统有关的所有领域。信息系统审计方面的标准尚处于空白状态。信息系统审计是未来审计发展的必然。
[关键词]信息系统审计;系统组成;范围;准则
[中图分类号]F239.1[文献标识码]A[文章编号]1673-0194(2007)01-0066-03
“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。”近年来,信息技术在提高企业管理创新、集中管控能力、执行力和市场反应能力等方面,取得了意想不到的效果。但是,信息系统给社会带来的危害也凸现出来。首先,突发事件的影响。由于1993年纽约世界贸易大厦爆炸事件,使得当时入住的多数企业的商业数据如数丧失,导致企业这一年内的很多商业活动无法进行。其次,错误操作、不正当使用和滥用信息技术。1998年发生的CIH病毒,造成全球数百万台计算机硬件损坏,导致近百亿美元的经济损失。再次,信息系统开发失败。1994年,Standish Group对IT行业8 400个项目(投资250亿美元)的研究结果表明,有34%的项目彻底失败,50%的项目在补救后完成,预算平均超出90%,进度平均超出120%。因此,迫切需要对正在使用或即将投产的信息系统的安全性、真实性、完整性、有效性进行鉴证。信息系统审计已成为企业管理人员迫切需要开展的重要工作。在我国信息化推进过程中也存在很多问题,主要表现在规划制订不够科学,项目管理不够严格,监理机制不够健全,系统运行效益不够明显,致使相当一部分信息化项目失败或未能实现预期目标,浪费了大量资源。究其根源,主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。
一、信息系统审计
信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。
在建立信息系统审计制度,开展信息系统审计研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审计(System Audit)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(Information System Audit and Control Association,ISACA),总部设在美国芝加哥。目前该组织是从事信息系统审计的专业人员唯一的国际性组织。
在很多大型公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外会计、审计界的一个共识。信息系统审计师的地位也在不断提高。在国外的一些大型会计公司中已经出现了没有CPA资格的合伙人,他们持有的专业资格就是CISA。据专家介绍,国际信息系统审计师(简称IT审计师)目前已经成为全球范围最抢手的高级人才。
在初期,信息系统审计是作为传统审计业务的一部分,在审计师对由计算机系统处理的数据的质量进行判断时提供技术支持。有信息系统审计技能的审计师被看作是会计师事务所的技术资源,在必要时为同事提供技术支持。信息系统审计需求领域很广,如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等等。
二、构建信息系统审计
信息系统审计的建立是一项复杂的系统工程,所以应制订长远的开发规划,由简到繁分阶段逐步实现。它的功能应该是:实现审计信息的收集、处理和共享;实现审计日常管理的自动化;通过计算机建立程序化的标准审计方法和统一的审计标准,从而提高审计工作的效率和质量;实现审计管理规范化;保证审计作业规范化;促进审计文档规范化;审计质量监督规范化;提高审计结论的层次。基于上述的系统目标,信息系统审计当前应由审计证据管理子系统、信息系统安全标准子系统、信息系统安全评估子系统、项目管理审计子系统和信息系统审计法律标准子系统等5个子系统组成。
(一)审计证据管理子系统
1. 审计证据收集
(1)传统方法收集审计证据;
(2)通过数据接口直接向计算机会计信息系统获取审计证据;
(3)在线系统审计证据收集;
(4)计算机网络系统审计证据收集。
2. 审计证据评价
(1)真实性。查明审计证据的来源、形成的时间、地点、制作过程及设备情况,有无伪造和删改的可能性;
(2)合法性。包括收集手段是否合法和形式要件是否合理两部分。有些审计证据其本身也有证据力,但在收集过程中,违背了规定的手续和程序,因而也就不具有法律效力,也不能用来证实问题。为此,鉴定分析审计证据时,要了解证据是以什么方法、在什么情况下取得的,是否违背了法定的程序和要求,是否符合法律规定的形式要件,这样有利于判明审计证据的真伪程度和效力;
(3)相关性。查明审计证据反映的事实与被审计事项有无关系,只有与被审计事项的事实或逻辑上是相关的事实才能被认为是证据; (4)结合其他证据鉴定分析。
(二)信息系统安全标准子系统
构建通用的信息系统安全标准,作为信息系统审计工作中的参考标准。信息系统安全标准是由高级管理人员制定的最小标准、规则构成的集合,所以必须加以实现,以确保信息系统安全政策的实现。信息系统安全标准需要指明每个信息系统控制的详细要求。它为管理人员提供一个基准或底线,可以照此对单个信息系统控制的适当性进行评估。信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它立足于组织的战略目标,为有效地实现组织战略目标而采取的一切活动过程都在审计师的业务之内。
(三)信息系统安全评估子系统
信息系统审计集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;信息系统审计资源主要包括信息、应用系统、设施、人等相关的资源,这是信息系统审计治理过程的主要对象;信息系统审计过程则是在信息系统审计准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、获取与实施、交付与支持、监督与评估等方面确定了信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针,以对信息系统审计处理过程进行评估。
(四)项目管理审计子系统
项目管理系统是对审计过程进行全面指导、帮助和控制的软件,它通过对标准审计方法的各个工作流程的合理细分,使每个子流程都对应相应的计算机处理模块。从而使一个完整的审计项目可通过计算机辅助而完成,并产生各个工作环节应该生成的底稿和报告,有利于提高工作效率,为进行审计质量考核提供了极大的方便。
(五)信息系统审计法律标准子系统
此系统主要是实现信息资料的收集和共享。内容定期进行更新,包括:审计工作所需要的各类法律、法规、规章制度等。一般来讲,按不同层次设立,信息的共享通过系统内互联的企业网实现,还可根据信息的保密要求,设定不同的信息访问权限。
三、规范信息系统审计范围
其业务范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计业务等电子商务审计。具体包括以下几方面内容:
(1)信息系统开发计划、管理及组织架构的战略、政策、标准及相应实践过程的评估;
(2)技术基础设施及运行实践的效能和效率的评估;
(3)信息资源在逻辑访问、运行环境以及IT基础设施各方面的安全性的评估;
(4)系统灾难恢复及保证业务连续性的能力的评估;
(5)业务应用系统开发、实施与维护的方法和过程的评估;
(6)业务流程的风险管理水平的评估;
(7)财务系统的评估。
信息系统的作用有以下3方面:
第一,鉴证作用。信息系统审计的鉴证价值是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。
第二,促进作用。促进价值体现在两个方面,一是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中;二是指审计可以促进被审计单位改进内部控制,加强管理,提高信息系统实现组织目标的效率、效果。
第三,咨询作用。信息技术的发展为组织的管理变革提供了技术手段,组织扁平化、工作丰富化等管理变革都要信息技术来实现。信息化已是大势所趋。
四、创建行业标准与实务指南
如同开展业务审计要具有相关法律法规作为审计依据一样,开展信息系统审计同样需要审计依据。国内信息系统审计方面的工作近几年才刚刚开始,基本仍处于摸索阶段,而在国家审计中更是如此。目前,由于国内关于信息系统审计方面的标准尚处于空白状态。
国际上关于信息系统审计方面可以参考的标准主要有信息及相关技术控制目标COBIT(Control Objectives for Information and related Technology)、ISO17799、能力成熟度集成模型CMMI(Capability Maturity Model Integration)和IT基础架构库ITIL(Information Technology Infrastructure Library)等。
信息系统审计与控制协会ISACA(Information System Audit and Control Association)于1996年公布的目前国际上通用的信息系统审计的标准。它将IT 过程、IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。它是一个在国际上公认为最先进、最权威的安全与信息技术管理和控制的标准。
英国国家标准局制定的BS7799-1《信息安全管理实践规范》于2000年12月被国际标准化组织采纳,成为ISO17799。ISO/IEC17799标准最初于1993年由英国贸易工业部立项,由标准化协会筹备起草并作为英国的标准。1995年,首次发布BS 7799-1:1995《信息安全管理业务规范》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小组织以及政府部门;1998年,标准化协会发表标准的第二部分BS 7799-2《信息安全管理体系规范》,它规定信息安全管理体系与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,它还可以作为一个正式认证方案的根据;BS 7799-1与BS 7799-2经过修订于1999年重新予以发布,此次考虑了信息处理技术,尤其是考虑了在网络和通信领域应用的最新发展情况;2000年12月,BS 7799-1:1999《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准,即ISO/IEC17799-1:2000《信息技术——信息安全管理业务规范》标准。2005年,ISO发布了新版的信息安全管理实施细则,即ISO/IEC17799-2005,对2000年版的标准进行了修订,更加注重标准的通用性和实用性。 日本的系统审计是从20世纪80年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。近几年东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。
国内目前关于信息系统审计的依据主要有修订后的《中华人民共和国审计法》、国办发[2001]88号文件《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》、1999年颁布的独立审计准则第20号——计算机信息系统环境下的审计等,同时可以参考COBIT和ISO17799标准。
但是我国信息系统审计才刚起步,审计技术、审计规范、制度等都有待研究。随着我国信息化水平的提高,对信息系统的有效控制与审计将逐渐成为研究热点。
五、开展信息系统审计的意义
1. 信息系统审计是未来审计发展的必然
未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。
2. 维护信息时代的市场经济秩序
市场经济是建立在信用基础上的,信息系统审计应当充当信息时代经济生活中公正的鉴证人,起着维护市场经济稳定的作用。信息时代竞争的加剧,信息流的电子传播方式等,使市场对及时和相关信息的需求越来越多,现有财务报告模式的局限性日渐突出。现有财务报告是以历史成本为计量基础的、周期性地向利益相关者报告。在新经济环境中,信息系统审计师应能够以在线、实时的信息为基础提供鉴证,通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。提供实时报告鉴证对保护公众利益和保护资本市场的有序发展是非常有意义的。
3. 为信息化建设保驾护航
“以信息化带动工业化”,推进“电子政务”及“电子商务”,许多企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。信息系统审计师的出现,可以从项目计划开始介入信息系统建设的每个环节,以他们的专业素养,从项目的初始阶段一直到运营的全过程,给予项目投资者风险控制的评估与建议,提高信息系统的投资效益。
主要参考文献
[1] 〔美〕Jack J Champlain著.审计信息系统(第二版)[M].张金城等译.北京:清华大学出版社,2004.
[2] 陈伟,刘思峰,邱广华. 计算机审计中数据处理新方法探讨[J]. 审计与经济研究,2006,(1).
[3] 陈丹萍. 信息环境下现代审计技术的探索:实时在线审计[J]. 审计与经济研究,2005,(4).
[4] 姚太明. 关于电子证据可采性与证明力的若干问题探讨[J]. 审计研究,2005,(1).
[5] 秦宇. 会计电算化条件下的计算机审计[J].会计之友,2005,(3).
