信息系統(tǒng)審計

一、信息系統(tǒng)審計概念

    信息系統(tǒng)審計是全部審計過程的一個部分，信息系統(tǒng)審計（ISaudit）目前還沒有固定通用的定義，美國信息系統(tǒng)審計的權(quán)威專家RonWeber將它定義為“收集并評估證據(jù)以決定一個計算機(jī)系統(tǒng)（信息系統(tǒng)）是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時最經(jīng)濟(jì)的使用資源”。

    信息系統(tǒng)審計的目的是評估并提供反饋、保證及建議。其關(guān)注之處可被分為如下三類：

    可用性——商業(yè)高度依賴的信息系統(tǒng)能否在任何需要的時刻提供服務(wù)？信息系統(tǒng)是否被完好保護(hù)以應(yīng)對各種的損失和災(zāi)難？

    保密性——系統(tǒng)保存的信息是否僅對需要這些信息的人員開放，而不對其他任何人開放？

    完整性——信息系統(tǒng)提供的信息是否始終保持正確、可信、及時？能否防止未授權(quán)的對系統(tǒng)數(shù)據(jù)和軟件的修改？

二、信息系統(tǒng)審計產(chǎn)生動因及其發(fā)展

    1、信息系統(tǒng)審計產(chǎn)生動因分析

    關(guān)于信息系統(tǒng)審計的產(chǎn)生動因，目前國際上存在兩種觀點(diǎn)：

    一種觀點(diǎn)認(rèn)為是從會計審計發(fā)展到計算機(jī)審計再發(fā)展到信息系統(tǒng)審計（計算機(jī)審計的范圍擴(kuò)展，最后涵蓋整個信息系統(tǒng)）演變過來的；

    另外一種認(rèn)為，由于信息系統(tǒng)尤其是大型信息系統(tǒng)的建設(shè)是一項(xiàng)龐大的系統(tǒng)工程，它投資大、周期長、高技術(shù)、高風(fēng)險，在系統(tǒng)的建設(shè)過程中，對工程進(jìn)行嚴(yán)格、規(guī)范的管理和控制至關(guān)重要。而正是由于信息系統(tǒng)工程所具有的這些特點(diǎn)，建設(shè)單位往往由于技術(shù)力量有限，無力對項(xiàng)目的技術(shù)、設(shè)備、進(jìn)度、質(zhì)量和風(fēng)險進(jìn)行控制，無法保證項(xiàng)目的實(shí)施成功。所以需要有第三方進(jìn)行獨(dú)立審計。

    2、信息系統(tǒng)審計在國際上的發(fā)展

    信息系統(tǒng)審計的發(fā)展是伴隨著信息技術(shù)的發(fā)展而發(fā)展的。在數(shù)據(jù)處理電算化的初期，由于人們對計算機(jī)在數(shù)據(jù)處理中的應(yīng)用所產(chǎn)生的影響沒有足夠的認(rèn)識，認(rèn)為計算機(jī)處理數(shù)據(jù)準(zhǔn)確可靠，不會出現(xiàn)錯弊，因而很少對數(shù)據(jù)處理系統(tǒng)進(jìn)行審計，主要是對計算機(jī)打印出的一部分資料進(jìn)行傳統(tǒng)的手工審計。

    隨著計算機(jī)在數(shù)據(jù)處理系統(tǒng)中應(yīng)用的逐步擴(kuò)大，利用計算機(jī)犯罪的案件不斷出現(xiàn)，使審計人員認(rèn)識到要應(yīng)用計算機(jī)輔助審計技術(shù)對電子數(shù)據(jù)處理系統(tǒng)本身進(jìn)行審計，即EDI審計。同時隨著社會經(jīng)濟(jì)的發(fā)展，審計對象、范圍越來越大，審計業(yè)務(wù)也越來越復(fù)雜，利用傳統(tǒng)的手工方法已不能及時完成審計任務(wù)，必須應(yīng)用計算機(jī)輔助審計技術(shù)（CAATs）進(jìn)行審計。

    八十年代、九十年代信息技術(shù)的進(jìn)一步發(fā)展與普及，使得企業(yè)越來越依賴信息及產(chǎn)生信息的信息系統(tǒng)。人們開始更多的關(guān)注信息系統(tǒng)的安全性、保密性、完整性及其實(shí)現(xiàn)企業(yè)目標(biāo)的效率、效果，真正意義的信息系統(tǒng)審計才出現(xiàn)。隨著電子商務(wù)的全球普及，信息系統(tǒng)的審計對象、范圍及內(nèi)容將逐漸擴(kuò)大，采用的技術(shù)也將日益復(fù)雜。到目前為止，信息系統(tǒng)審計在全球來看，還是一個新的業(yè)務(wù)，從美國五大會計師事務(wù)所的數(shù)據(jù)看1990年擁有信息系統(tǒng)審計師12名到近百名，1995年已有500名，到2000年時，信息系統(tǒng)審計師正以40%——50%的速度增加，說明信息系統(tǒng)審計正逐漸受到重視。

    美國在計算機(jī)進(jìn)入實(shí)用階段時就開始提出系統(tǒng)審計（SYSTEMAUDIT），從成立電子數(shù)據(jù)處理審計協(xié)會（EDPAA后更名為ISACA）以來，從事系統(tǒng)審計活動已有三十多年歷史，成為信息系統(tǒng)審計的主要推動者，在全球建有一百多個分會，推出了一系列信息系統(tǒng)審計準(zhǔn)則、職業(yè)道德準(zhǔn)則等規(guī)范性文件，并開展了大量的理論研究，IT控制的開放式標(biāo)準(zhǔn)COBIT（ControlObjectivesforInformationandRelatedTechnology）已出版了第三版。

3、信息系統(tǒng)審計在國內(nèi)的發(fā)展

    目前國內(nèi)有學(xué)者提出計算機(jī)審計，電算化審計，但基本上停留在對會計信息系統(tǒng)的審計上，延伸手工會計信息系統(tǒng)審計，尚未全面探討信息時代給審計業(yè)務(wù)帶來的深刻變化。以我國在1999年頒布了獨(dú)立審計準(zhǔn)則第20號——計算機(jī)信息系統(tǒng)環(huán)境下的審計為例，其更多關(guān)注的是會計信息系統(tǒng)。在信息時代，面對加入WTO后全球一體化市場，我國IT服務(wù)業(yè)面臨巨大的挑戰(zhàn)，開展信息系統(tǒng)審計業(yè)務(wù)不失為推動我國IT服務(wù)業(yè)發(fā)展的一次絕佳機(jī)會。

三、信息系統(tǒng)審計的理論基礎(chǔ)

    信息系統(tǒng)審計不僅僅是傳統(tǒng)審計業(yè)務(wù)的簡單擴(kuò)展，信息技術(shù)不單影響傳統(tǒng)審計人員執(zhí)行鑒證業(yè)務(wù)的能力，更重要的是公司和信息系統(tǒng)管理者都認(rèn)識到信息資產(chǎn)是組織最有價值的資產(chǎn)，和傳統(tǒng)資產(chǎn)一樣需要控制，組織同時需要審計人員提供對信息資產(chǎn)控制的評價。因此信息系統(tǒng)審計是一門邊緣性學(xué)科，跨越多學(xué)科領(lǐng)域。

    如圖3所示，信息系統(tǒng)審計是建立在四個理論基礎(chǔ)之上的：

    傳統(tǒng)審計理論。傳統(tǒng)審計理論為信息系統(tǒng)審計提供了豐富的內(nèi)部控制理論與實(shí)踐經(jīng)驗(yàn)，以保證所有交易數(shù)據(jù)都被正確處理。同時收集并評價證據(jù)的方法論也在信息系統(tǒng)審計中廣泛應(yīng)用，最為重要的是傳統(tǒng)審計給信息系統(tǒng)審計帶來的控制哲學(xué)，即用謹(jǐn)慎的眼光審視信息系統(tǒng)在保護(hù)資產(chǎn)安全、保證信息完整，并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)的能力。

    信息系統(tǒng)管理理論。信息系統(tǒng)管理理論是一門關(guān)于如何更好地管理信息系統(tǒng)的開發(fā)與運(yùn)行過程的理論，它的發(fā)展提高了系統(tǒng)保護(hù)資產(chǎn)安全、保證信息完整，并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)的能力。

    行為科學(xué)理論。人是信息系統(tǒng)安全最薄弱的環(huán)節(jié)，信息系統(tǒng)有時會因?yàn)槿说膯栴}而失敗，比如對系統(tǒng)不滿的用戶故意破壞系統(tǒng)及其控制。因此審計人員必須了解哪些行為因素可能導(dǎo)致系統(tǒng)失敗。這方面行為科學(xué)特別是組織學(xué)理論解釋了組織中產(chǎn)生的“人的問題”。

    計算機(jī)科學(xué)。計算機(jī)科學(xué)本身的發(fā)展也在關(guān)注如何保護(hù)資產(chǎn)安全、保證信息完整，并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)。但是技術(shù)是一把雙刃劍，計算機(jī)科學(xué)的發(fā)展可以使審計人員降低對系統(tǒng)組件可靠性的關(guān)注，信息技術(shù)的進(jìn)步也可能啟發(fā)犯罪，例如一個重要的問題是信息技術(shù)在會計制度中的應(yīng)用是否給罪犯提供了較多緩沖時間？如果是，那么今天網(wǎng)絡(luò)犯罪產(chǎn)生的社會威脅較以往任何時候都要大。

圖4 ：IS審計的理論基礎(chǔ) 

    相關(guān)文章：

    信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計的對比分析1

    信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計的對比分析2

    信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計的對比分析3

    信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計的對比分析4

四、信息系統(tǒng)審計的基本業(yè)務(wù)和依據(jù)

    1、信息系統(tǒng)審計的基本業(yè)務(wù)

    信息系統(tǒng)審計業(yè)務(wù)將隨著信息技術(shù)的發(fā)展而發(fā)展，為滿足信息使用者不斷變化的需要而增加新的服務(wù)內(nèi)容，目前其基本業(yè)務(wù)如下：

    系統(tǒng)開發(fā)審計，包括開發(fā)過程的審計、開發(fā)方法的審計，為IT規(guī)劃指導(dǎo)委員會及變革控制委員會提供咨詢服務(wù)；

    主要數(shù)據(jù)中心、網(wǎng)絡(luò)、通訊設(shè)施的結(jié)構(gòu)審計，包括財務(wù)系統(tǒng)和非財務(wù)系統(tǒng)的應(yīng)用審計；

    支持其他審計人員的工作，為財務(wù)審計人員與經(jīng)營審計人員提供技術(shù)支持和培訓(xùn)；

    為組織提供增值服務(wù)，為管理信息系統(tǒng)人員提供技術(shù)、控制與安全指導(dǎo)；推動風(fēng)險自評估程序的執(zhí)行；

    軟件及硬件供應(yīng)商及外包服務(wù)商提供的方案、產(chǎn)品及服務(wù)質(zhì)量是否與合同相符審計；

    災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計劃審計；

    對系統(tǒng)運(yùn)營效能、投資回報率及應(yīng)用開發(fā)測試審計；

    系統(tǒng)的安全審計；

    網(wǎng)站的信譽(yù)審計；

    全面控制審計等。

    一個信息系統(tǒng)不等同于一臺計算機(jī)。今天的信息系統(tǒng)是復(fù)雜的，由多個部分組成以做出商業(yè)解決方案。只有各個組成部分通過了評估，判定安全，才能保證整個信息系統(tǒng)的正常工作。對一個信息系統(tǒng)審計的主要組成部分分成以下幾類：

    信息系統(tǒng)的管理、規(guī)劃與組織——評價信息系統(tǒng)的管理、計劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。

    信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)——評價組織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實(shí)施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標(biāo)。

    資產(chǎn)的保護(hù)——對邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評價，確保其能支持組織保護(hù)信息資產(chǎn)的需要,防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。

    災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃——這些計劃是在發(fā)生災(zāi)難時，能夠使組織持續(xù)進(jìn)行業(yè)務(wù),對這種計劃的建立和維護(hù)流程需要進(jìn)行評價。

    應(yīng)用系統(tǒng)開發(fā)、獲得、實(shí)施與維護(hù)——對應(yīng)用系統(tǒng)的開發(fā)、獲得、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評價，以確保其滿足組織的業(yè)務(wù)目標(biāo)。

    業(yè)務(wù)流程評價與風(fēng)險管理——評估業(yè)務(wù)系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務(wù)目標(biāo)對相應(yīng)風(fēng)險實(shí)施管理。

    2、信息系統(tǒng)審計的依據(jù)

     信息系統(tǒng)審計師須了解規(guī)劃、執(zhí)行及完成審計工作的步驟與技術(shù)，并盡量遵守國際信息系統(tǒng)審計與控制協(xié)會的一般公認(rèn)信息系統(tǒng)審計準(zhǔn)則、控制目標(biāo)和其他法律與規(guī)定。

    一般公認(rèn)信息系統(tǒng)審計準(zhǔn)則——包括職業(yè)準(zhǔn)則、ISACA公告和職業(yè)道德規(guī)范。職業(yè)準(zhǔn)則可歸類為：審計規(guī)章、獨(dú)立性、職業(yè)道德及規(guī)范、專業(yè)能力、規(guī)劃、審計工作的執(zhí)行、報告、期后審計。ISACA公告是信息系統(tǒng)審計與控制協(xié)會對信息系統(tǒng)審計一般準(zhǔn)則所做的說明。ISACA職業(yè)道德及規(guī)范提供針對協(xié)會會員或信息系統(tǒng)審計認(rèn)證（CISA）持有者有關(guān)職業(yè)上及個人的指導(dǎo)規(guī)范。

    信息系統(tǒng)的控制目標(biāo)——信息系統(tǒng)審計與控制協(xié)會在1996年公布的COBIT（ControlObjectivesforInformationandrelatedTechnology）被國際上公認(rèn)是最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，目前已經(jīng)更新至第三版。它在商業(yè)風(fēng)險、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。面向業(yè)務(wù)是COBIT的主題。它不僅設(shè)計用于用戶和審計師，而且更重要的是可用于全面指導(dǎo)管理者與業(yè)務(wù)過程的所有者。商業(yè)實(shí)踐中越來越多的包含了對業(yè)務(wù)過程所有者的全面授權(quán)，因此他們承擔(dān)著業(yè)務(wù)過程所有方面的全部責(zé)任。

    特別的是，這其中包含著要提供足夠的控制。Cobit框架為業(yè)務(wù)過程所有者提供了一個工具，以方便他們承擔(dān)責(zé)任。其框架包括四大部分：架構(gòu)、控制目標(biāo)、審計指南及執(zhí)行概要。COBIT架構(gòu)著重各項(xiàng)處理的高層次控制，控制目標(biāo)則著重于各項(xiàng)IT處理或?qū)υ摷軜?gòu)所包括的34項(xiàng)IT處理的特定詳細(xì)控制目標(biāo)，每一項(xiàng)IT處理都有5至25個詳細(xì)控制目標(biāo)，控制目標(biāo)使整體架構(gòu)和詳細(xì)控制目標(biāo)密切對應(yīng)，相互一致。詳細(xì)控制目標(biāo)有18種主要來源，涵蓋現(xiàn)行的及法定有關(guān)IT的國際性準(zhǔn)則與規(guī)定。這包括對各項(xiàng)IT工作所建置的控制程序擬達(dá)到的預(yù)期結(jié)果或目標(biāo)的敘述，以提供全球所有的產(chǎn)業(yè)有關(guān)IT控制的明確方針及實(shí)際最佳的應(yīng)用。

    其他法律及規(guī)定。每個組織不論規(guī)模大小或?qū)儆诤畏N產(chǎn)業(yè)，都需要遵守政府或外部對與電腦系統(tǒng)運(yùn)作、控制，及電腦、程序、信息的使用情況等有關(guān)的規(guī)定或要求，對于一向受嚴(yán)格管制的行業(yè)，尤其要注意遵守。以國際性銀行為例，若因不良備份及復(fù)原程序而無法提供適當(dāng)?shù)姆��?wù)水準(zhǔn)，其公司及員工將受嚴(yán)重處罰。此外，由于對EDP及信息系統(tǒng)的依賴性加重，許多國家極力建立更多有關(guān)信息系統(tǒng)審計的規(guī)定。這些規(guī)定內(nèi)容是關(guān)于建置、組織、責(zé)任與財務(wù)及業(yè)務(wù)操作審計功能的關(guān)聯(lián)性。有關(guān)的管理階層人員必須考慮與組織目標(biāo)、計劃及與信息服務(wù)部門/職能/工作的責(zé)任及工作等有關(guān)的外部規(guī)定或要求。

五、信息系統(tǒng)審計流程

    開始審計工作的準(zhǔn)備包括收集背景信息，估計完成審計需要的資源和技巧。包括合理進(jìn)行人員分工。與負(fù)責(zé)的高級經(jīng)理舉行一次正式的開始審計會議，最后決定范圍，理解特別關(guān)注之處，如果有的話，制定日程，解釋審計方法。這樣的會議有高級經(jīng)理的參與，使人們互相認(rèn)識，闡明問題強(qiáng)調(diào)商業(yè)關(guān)注點(diǎn)，使得審計工作得以順利進(jìn)行。類似的，在審計完成后，也召開一次正式會議，向高級經(jīng)理交流審計結(jié)果，提出改進(jìn)建議。這將確保進(jìn)一步的理解，增加審計建議的接納程度。也給了被審計者一個機(jī)會來表達(dá)他們對提出問題的觀點(diǎn)。會議之后書寫報告，可以大大增加審計的效果。

     開始審計工作預(yù)備工作了解內(nèi)部控制結(jié)構(gòu)評價控制風(fēng)險是否信賴內(nèi)部控制？是否仍可信賴內(nèi)部控制？內(nèi)部控制測試評價控制風(fēng)險是否提高內(nèi)部控制的信賴程度？擴(kuò)大實(shí)質(zhì)性測試有限的實(shí)質(zhì)性測試形成審計意見出具審計報告是否結(jié)束。

    1 基于風(fēng)險的審計方法

    很多組織意識到技術(shù)能帶來的潛在好處。然而，成功的組織還能夠理解和管理好與采用新技術(shù)相關(guān)的很多風(fēng)險。因此，審計從基于控制（ControlBased）演變?yōu)榛�于風(fēng)險（RiskBased）的方法,其內(nèi)涵包括企業(yè)風(fēng)險、確定風(fēng)險、風(fēng)險評估、風(fēng)險管理、風(fēng)險溝通。

    每個組織使用許多信息系統(tǒng)。對不同功能和活動有不同的應(yīng)用軟件，在不同的地理區(qū)域可能有眾多的計算機(jī)配置。審計者面臨的問題是審計什么，什么時候及審計頻率。其答案是接納基于風(fēng)險的方法。信息系統(tǒng)有著與生俱來的風(fēng)險，這些風(fēng)險用不同方式?jīng)_擊信息系統(tǒng)。對繁忙的零售超市，信息系統(tǒng)哪怕一個小時的不可用都會對營業(yè)系統(tǒng)造成嚴(yán)重影響。未授權(quán)的修改可能造成對在線銀行系統(tǒng)的欺詐及潛在損失。系統(tǒng)運(yùn)行的技術(shù)環(huán)境也可能影響系統(tǒng)的運(yùn)行風(fēng)險。

    2 基于風(fēng)險方法來進(jìn)行審計的步驟

    編制組織使用的信息系統(tǒng)清單并對其進(jìn)行分類。

    決定哪些系統(tǒng)影響關(guān)鍵功能和資產(chǎn)。

    評估哪些風(fēng)險影響這些系統(tǒng)及對商業(yè)運(yùn)做的沖擊。

    在上述評估的基礎(chǔ)上對系統(tǒng)分級，決定審計優(yōu)先值，資源，進(jìn)度和頻率。審計者可以制定年度審計計劃，羅列出一年之中要進(jìn)行的審計項(xiàng)目。   

    相關(guān)文章：

    信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計的對比分析1

    信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計的對比分析2

    信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計的對比分析3

    信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計的對比分析4

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計的對比分析3

本文網(wǎng)址：http://www.oesoe.com/html/support/11121824246.html