信息系統(tǒng)審計(Information System Audit)，又稱IT審計，是指根據(jù)公認的審計準則和審計標準、指南等對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進行監(jiān)測、評估和控制的過程，以確認預(yù)定的業(yè)務(wù)目標得以實現(xiàn)。具體而言，信息系統(tǒng)審計以企業(yè)或政府等組織的信息系統(tǒng)為審計對象，通過現(xiàn)代的審計理論和IT治理理論，從企業(yè)信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的可用性和有效性等方面出發(fā)，對信息系統(tǒng)是否能夠有效達到組織的業(yè)務(wù)戰(zhàn)略目標進行全面的檢測和評估，并為改善和健全組織對信息系統(tǒng)的控制提出詳細的建議。

    信息系統(tǒng)審計業(yè)務(wù)可以通過獨立的外部審計(即獨立執(zhí)業(yè)的信息系統(tǒng)審計師)、企業(yè)內(nèi)部審計(企業(yè)內(nèi)審部門的成員)和作為財務(wù)審計的支撐(注冊會計師事務(wù)所的IT審計機構(gòu)，財務(wù)審計小組的IT控制專家)而開展。信息系統(tǒng)審計的主要特點如下。

一、審計目標

    信息系統(tǒng)審計主要有四個目標：資產(chǎn)安全性、系統(tǒng)有效性、系統(tǒng)效率性和數(shù)據(jù)完整性。實施信息系統(tǒng)審計可以評價企業(yè)目前的IT治理情況，企業(yè)IT長期、短期戰(zhàn)略能否滿足企業(yè)總體目標的實現(xiàn)；評價和監(jiān)控系統(tǒng)開發(fā)和實施是否符合規(guī)范、合同、需求；評價外包服務(wù)商提供的產(chǎn)品和服務(wù)是否與合同相符，評價主要數(shù)據(jù)中心，網(wǎng)絡(luò)通訊設(shè)施的結(jié)構(gòu)設(shè)計、財務(wù)系統(tǒng)與非財務(wù)系統(tǒng)是否建立并實施了足夠的業(yè)務(wù)流程控制與安全控制；評價企業(yè)門戶系統(tǒng)是否為企業(yè)帶來足夠的信譽，支持其他審計人員工作，為財務(wù)審計人員與經(jīng)營審計人員提供技術(shù)支持和培訓。為企業(yè)提供針對性的IT咨詢服務(wù)；指導(dǎo)組織推廣實施IT控制自評程序，隨時進行自我診斷。

    由于現(xiàn)代企業(yè)的業(yè)務(wù)流程越來越依賴于信息系統(tǒng)，因此對信息系統(tǒng)內(nèi)部控制的審計格外重要，加之近年來企業(yè)內(nèi)部控制弱點而導(dǎo)致的信息安全事件越發(fā)頻繁，針對企業(yè)內(nèi)控進行定期審查和專項審查的呼聲越來越高。

二、法規(guī)遵循

    隨著信息技術(shù)的發(fā)展，信息已經(jīng)滲透到我們?nèi)粘Ｉ�活與工作的方方面面，各個國家有關(guān)信息技術(shù)的法律法規(guī)也在陸續(xù)出臺。信息系統(tǒng)審計的一個重要職能就是首先要確定信息系統(tǒng)符合相關(guān)法律、法規(guī)的要求，使組織的行為受到現(xiàn)有法律、法規(guī)的約束，這是組織避免訴訟風險的最重要的方面。例如，各國的銀行業(yè)都有針對銀行數(shù)據(jù)保護的立法，如果由于數(shù)據(jù)備份恢復(fù)程序不完備，而造成服務(wù)中斷，將面臨監(jiān)管部門的嚴厲處罰。

    一些國家由于對信息系統(tǒng)及相關(guān)技術(shù)的依賴性日益增加，正在著手建立對信息系統(tǒng)審計進行立法。這些法律的主要內(nèi)容有：對實施信息系統(tǒng)審計的法律要求、對信息系統(tǒng)審計組織的要求、信息系統(tǒng)審計過程中相關(guān)實體的責任，以及財務(wù)、業(yè)務(wù)及信息系統(tǒng)審計職能間的相互關(guān)系等。

    信息系統(tǒng)審計師應(yīng)當建議或者驗證管理層是否根據(jù)隱私保護法律法規(guī)的要求，制定了組織中適用的隱私保護策略，來保護個人數(shù)據(jù)的隱私及跨國界的數(shù)據(jù)流動。

    組織各級管理層都應(yīng)當了解與組織的業(yè)務(wù)目標、業(yè)務(wù)計劃相關(guān)的外部法律法規(guī)，也要了解與組織的信息服務(wù)部門、信息服務(wù)功能、信息服務(wù)活動相關(guān)的法律法規(guī)。有兩方面法規(guī)尤為重要。一是規(guī)范審計或信息系統(tǒng)審計活動的法律規(guī)則，二是與審計委托人的信息系統(tǒng)、數(shù)據(jù)管理及財務(wù)報告等方面相關(guān)的法律法規(guī)。后者無論是內(nèi)部審計還是外部審計方面都很重要，組織中任何違反法律法規(guī)的事項都將對組織的業(yè)務(wù)運營有負面影響，甚至可能帶來災(zāi)難。

    2002年，美國國會發(fā)表了SOX法案(Sarbanes-OxleyAct：2002，《薩班斯——奧克斯法案》)，該法案涉及了美國證券市場治理的各個方面，明確了所有上市公司都必須建立有效的內(nèi)部控制框架，以確保上市公司遵守證券法律，以提高公司信息披露的準確性和可靠性，從而保護投資者利益等。SOX的出臺使COSO控制框架成為目前最主流的內(nèi)部控制標準。COSO中包括了對IT控制的明確要求，ISACA也及時推出了針對SOX與COSO相對照的COBIT控制框架，成為指導(dǎo)信息系統(tǒng)審計師進行SOX符合性審計的有力工具。另一方面，根據(jù)Ernst&Young的調(diào)查報告，SOX法案404條款專案實施團隊的專業(yè)構(gòu)成中，有66％左右的成員具備信息系統(tǒng)審計經(jīng)驗。

三、審計內(nèi)容

    信息系統(tǒng)審計的內(nèi)容包括一般控制與應(yīng)用控制。一般控制就是和具體的業(yè)務(wù)關(guān)系比較弱的控制，具體的一般控制內(nèi)容如用戶密碼控制、操作環(huán)境控制、職責分離、變更控制、開發(fā)控制、文檔控制、數(shù)據(jù)質(zhì)量、信息安全等。應(yīng)用控制和一般控制最大的區(qū)別在于應(yīng)用控制是和業(yè)務(wù)邏輯密切相關(guān)的，一般控制和業(yè)務(wù)邏輯無關(guān)或關(guān)系不大。以銀行業(yè)為例，如果審計某信貸管理系統(tǒng)，信息系統(tǒng)審計師會重點審計信貸審批流程、客戶評級體系、貸款5級分類、利率管理、收費管理等等這些控制。例如信貸審批流程里的重點在于審計系統(tǒng)對貸前調(diào)查、資料完整性、信用額度管理、貸款權(quán)限分配等方面有無控制，以及控制是否起作用。如果存在系統(tǒng)控制，則認為風險較小，在實質(zhì)性測試階段可減小抽樣樣本量，否則增加樣本量。

    應(yīng)用控制審計的審計發(fā)現(xiàn)不僅僅是系統(tǒng)設(shè)計開發(fā)方面的缺陷，更重要的發(fā)現(xiàn)與防止舞弊行為。從審計的內(nèi)容來看，應(yīng)用控制檢查與單位的日常業(yè)務(wù)處理關(guān)系更密切，審計發(fā)現(xiàn)也和財務(wù)報表等有更直接的關(guān)系，信息系統(tǒng)審計活動的增值性更加明顯，被審計單位管理層也容易理解和接受信息系統(tǒng)審計報告。否則很多企業(yè)管理層對一般控制的檢查結(jié)果將信將疑，他們認為一直都是這樣，從來沒有出過問題。

四、審計過程

    信息系統(tǒng)審計是一個過程，在此過程中搜集和評估證據(jù)，以合理保證實現(xiàn)信息系統(tǒng)和相關(guān)資源充分保護資產(chǎn)、維持數(shù)據(jù)和系統(tǒng)的完整性、提供相關(guān)和可靠的信息、有效實現(xiàn)組織機構(gòu)目標、有效使用資源、有效內(nèi)部控制等。通用的信息系統(tǒng)審計過程分為四步：

    (一)獲取企業(yè)IT控制和風險信息

    審計目的：為了使審計師能夠熟悉審計目標所涉及的任務(wù)，并且了解被審計單位是如何確認他們已經(jīng)實施了有效的IT控制，包括識別出已實施的任務(wù)和規(guī)定的控制程序相關(guān)的人員、過程和地點。

    審計程序：首先，對被審計單位進行調(diào)研，并將控制目標下的相關(guān)活動用文檔記錄下來，對管理層聲明已實施的控制措施與程序進行識別，以確認其存在性。其次，與相關(guān)的管理者和員工進行訪談，以理解業(yè)務(wù)需求特點和相關(guān)的風險、組織結(jié)構(gòu)、角色和職務(wù)、政策和程序、法律和法規(guī)、已有的控制措施、管理報告(狀態(tài)、性能、行動項目)。最后，以書面文檔記錄與控制過程相關(guān)的IT資源，特別是那些受到被審計的IT過程影響的IT資源。確認理解了待審核的IT過程，該IT過程的關(guān)鍵性能指標KPI、實際的控制情況等。

    (二)評價現(xiàn)有控制的適宜性

    審計目的：評估企業(yè)當前已有控制措施的有效性和達到控制目的的程度，主要是決定測試什么、是否測試、如何測試。

    審計程序：通過對比已確定的標準和行業(yè)最佳實踐，控制方法的關(guān)鍵成功要素CSF和利用滲及時的職業(yè)判斷來評價待審計過程應(yīng)用的控制措施的適宜性：存在文檔化的過程、存在適宜的輸出、職責和責任是明確的有效地、在必要時，存在補償控制。對實現(xiàn)控制目標的程度作出結(jié)論。

    通過評估現(xiàn)有的控制程序，以確認此程序是否提供了有效的控制。評估時要利用公認的審計準則、行業(yè)標準和必要的審計職業(yè)判斷。同時，一個有效的控制結(jié)構(gòu)應(yīng)當在任務(wù)已經(jīng)被執(zhí)行，控制目標已經(jīng)達到提供合理保證的前提下，符合成本效益原則，節(jié)省人力、財力與物力。

    (三)符合性測試

    審計目的：對組織符合規(guī)定的控制程序的程度進行分析，把實際的的控制程序及補償性控制措施與規(guī)定的程序進行對比，并進行文檔檢查、訪談相關(guān)人員，以判斷控制是否被正確地、持續(xù)地實施。

    審計程序：首先，通過測試規(guī)定的控制是否按規(guī)定、一致地、持續(xù)地起作用。得到所選控制項目和階段的直接或間接的證據(jù)。其次，使用直接或間接的證據(jù)來保證待審核的項目和階段一直遵守相關(guān)控制程序的要求。最后，對過程或結(jié)果的充分性進行有限的審核。為了證明IT過程是充分的，確定需要進行實質(zhì)性測試的程度和其他需要進行的工作。一般只對被證明有效的控制程序符合性測試。符合性測試的流程圖如圖1所示。

圖1 信息系統(tǒng)審計過程中的符合性測試流程圖

    (四)進行實質(zhì)性測試

    審計目的：進行必要的數(shù)據(jù)測試，就給定的業(yè)務(wù)目標是否達到，為管理層提供最終的保證。證明信息系統(tǒng)審計師的審計判斷。

    審計流程：通過分析技術(shù)和／或可靠的信息來源，證明控制目標的風險不存在。或者證實控制目標沒有被實現(xiàn)時所帶來的風險。信息系統(tǒng)審計師要創(chuàng)造性地尋找和提出通常被認為是敏感的機密信息，書面記錄下控制弱點及其引起的威脅和漏洞；識別并記錄實際的影響和潛在的影響，例如利用因果分析法，提供比較信息等。例如，通過基準比較的方法，給被審計單位管理層提出控制弱點和改進建議。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：淺議信息系統(tǒng)審計的特點

本文網(wǎng)址：http://www.oesoe.com/html/support/11121810020.html