信息係統審計的 透視與思考

財經論壇

作者：覃憲姬 陳瑜　佟柱

【摘要】 隨著信息化建設的深入，信息係統已逐步成為審計領域無法繞開的話題，信息係統審計不再僅限於審計手段的信息化，它還包括了審計對信息係統的介入、監督與評價。本文以廣州地鐵內部審計為案例，從信息係統的審計內容、實施策略、審計方法等方麵，對信息係統審計進行透視與思考，探索信息係統審計發展的方向。

【關鍵詞】 信息係統審計 審計內容 審計方法

一、引言

相比於傳統審計，信息係統審計（Information System Auditing）是審計領域中的一個新概念。目前，關於信息係統審計，學術界和業界均無通用的定義。美國信息係統審計權威專家Ron.A.Weber提出：信息係統審計可定義為通過一定的技術手段收集、分析證據，以對計算機係統是否能夠保證資產安全、維護數據完整、實現組織目標以及高效利用資源進行評價的過程。日本通產情報協會作了如下定義：信息係統審計是指，為了信息係統的安全、可靠與有效，由獨立於審計對象的信息係統審計師以第三方的立場對以計算機為核心的信息係統進行綜合檢查和評價，並向信息係統審計對象的最高領導者提出問題與建議的一連串活動。國際信息係統審計和控製協會（ISACA）將其定義為：信息係統審計是一個獲取並評價證據，以判斷計算機係統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源並有效果地實現組織目標的過程。

針對以上觀點，我們將其要點歸納如下：信息係統審計是審計師對以計算機為核心的信息係統，通過專業判斷和評價，合理保證信息係統安全、穩定、有效，並向信息係統的高層管理者及使用者提供問題解決方案，以達到改善經營和為組織增加價值目的的一個過程。

二、信息係統審計的發展與現狀

20世紀60年代，隨著計算機技術開始運用於企業的信息收集和整理中，會計信息處理逐漸無紙化，促使審計人員在執行傳統審計業務時，必須關注以電子數據為載體的電子數據處理審計（EDP Electronic Data Processing）。20世紀70年代中期至80年代，電子數據處理和管理係統等在企業中逐漸普及，同時，計算機犯罪和計算機係統失效的事件頻頻發生，使得信息係統審計日益得到重視並迅速發展。美國、日本先後成立了IT審計方麵的協會組織，從事對IT審計規則的製定和實施指導。20世紀90年代，信息和信息係統已成為企業的重要資產，企業和社會對信息係統控製和審計的需求愈發強烈。發達國家的信息係統審計進入普及期，許多國家的審計機關、學者和組織對計算機環境下的信息係統審計進行了有益的探索。同時，東南亞各國也逐漸認識到信息係統審計的重要性，開始著手研究信息係統審計理論和實務。

目前，我國信息係統審計僅有十幾年的曆史，尚處於探索階段，既缺乏開展信息係統審計業務的人才隊伍，也沒有形成專業規範體係，所進行的一些計算機審計方麵的探索和嚐試以及計算機審計軟件的開發和應用還大都停留在對被審計單位電子數據進行處理的階段。存在的主要問題有：信息係統審計觀念落後；信息係統審計相關的準則、標準和規範尚不完善；信息係統審計專業人才匱乏；信息係統審計軟件開發工作滯後。

1997年，廣州地鐵開始公司“信息化”建設。最初，廣州地鐵經營審計采用“繞過計算機審計”的方法，即對導出數據進行審計。審計過程中，其逐漸意識到了運用這種“黑箱原理”審計方法的風險。因此，2006年公司組建了專門的IT審計模塊，探索“如何利用計算機審計”和“通過計算機審計”。其後，廣州地鐵信息係統審計發展經曆了借力、助力和自立三個階段。

一是借力期：IT審計模塊成立初期，公司與外部顧問共同開展IT審計項目，通過外部專業人員向審計人員傳輸IT審計技能，同時製定《IT審計實施細則》，在人員技能儲備和製度上為IT審計模塊的發展奠定了基礎。二是助力期：審計人員參照審計手冊，利用從外部顧問處學習到的審計技能，逐步開展信息係統審計工作，將IT審計工作模式調整為以自身力量為主，外部谘詢服務為輔的模式。三是自立期：2009年，廣州地鐵IT審計已基本實現自主化，且IT審計模塊逐步走向成熟，同時其還建立了具有自身特色的信息係統審計框架。

目前，IT審計已經發展成為廣州地鐵內部審計的一根“支柱”，連同“內控審計”，作為基本的審計手段貫穿於各類專業審計工作中，支持審計體係的鞏固與發展。

三、信息係統審計內容

1、國內外關於信息係統審計內容的研究

開展信息係統審計首先要明確審計內容。國際信息係統審計協會規定，信息係統審計的主要內容包括信息係統程序審計、信息技術（IT）治理、係統生命周期管理、IT服務的交付與支持、信息資產的保護、災難恢複和業務連續性計劃。

近十幾年來，國內的學者和組織也對信息係統審計的內容進行了探索和研究。審計署在2012年頒布的《信息係統審計指南——計算機審計實務公告第34號》中明確提出了：信息係統審計包括對應用控製、一般控製和項目管理的審計。其中，應用控製包括信息係統業務流程，數據輸入、處理和輸出的控製，信息共享和業務協同；一般控製包括信息係統總體控製、信息安全技術控製、信息安全管理控製；項目管理包括信息係統建設的經濟性、信息係統建設管理、信息係統績效。

上述具有代表性的規定和研究成果對信息係統審計內容的劃分，均是以對信息係統邏輯結構的分析為基礎。全麵分析信息係統的邏輯結構，可從信息係統的構成要素、信息係統生命周期和信息係統管理三個維度進行描述：從構成要素來看，信息係統由人員、應用（包括軟件平台和應用係統）、所采用的技術、硬件設備、數據文件運行規則組成；信息係統生命周期可劃分為信息係統的規劃階段、開發階段、運行維護階段和更新階段；從信息係統管理的維度來看，對係統的管理與控製活動貫穿於信息係統生命周期的始終，主要是通過有效執行一係列健全有效的規章製度和管理規程來實現。

2、廣州地鐵信息係統審計實施框架

結合廣州地鐵信息化項目多、係統更新快、數據集成度高、係統控製與手工控製並重等特點，圍繞信息係統構成要素、信息係統生命周期和信息係統管理三個維度，廣州地鐵將信息係統審計的內容劃分為整體計算機控製審計、應用控製審計和係統建設效能評價三個方麵。其中，整體計算機控製審計是對信息係統運行中的控製活動進行審計，目的是合理保證由信息係統支持的業務流程控製是可靠的、生成的數據和報告是可信的。應用係統控製審計是對業務流程中的自動化控製活動進行審計，以合理保證交易的有效性、經適當授權和記錄、完成的完整性、準確性和及時性。項目及係統績效審計是對信息化項目的過程及成果對企業和業務產生的效益進行審計，用來合理保證信息化項目的投資/產出比例符合建設的目標，以及信息係統對企業戰略起到的預期的支撐作用。圍繞上述三個方麵，廣州地鐵內部審計確立了以下的實施框架。

（1）確立整體計算機控製安全、操作、變更的三個評價維度，圍繞“信息係統全生命周期”，明確整體計算機控製十個流程。廣州地鐵通過學習和借鑒國際信息係統技術管理和控製標準COBIT，建立起了一套自己的整體計算機控製審計框架。框架可按流程和控製類型兩種方式進行劃分，兩種劃分方式在本質上是一致的。在按流程劃分出的每個子流程中，信息係統審計人員需要從變更、安全、操作的角度去確認和評估具體的控製點；在按控製職能所作的劃分中，審計人員需要圍繞信息係統的策略與計劃、信息係統操作、與外部供應商關係、業務可持續計劃、應用係統開發、數據庫、軟件支持、網絡、硬件等十個子流程進行審計。

圍繞安全、變更、操作三個角度及十個子流程，廣州地鐵共梳理出有關整體計算機控製的41項審計內容，並針對每一項內容明確了控製目標和風險，建立起了一套完整的整體計算機控製矩陣。例如，信息係統策略和計劃子流程中，廣州地鐵明確了整體計算機控製的三大目標——信息係統戰略、規劃和預算應與實際業務和戰略目標保持一致，計算機處理環境應得到具有適當技能和經驗的人員的充分支持和保證，以及計算機處理環境中的人員應接受適當的培訓，審計人員在此基礎上針對各控製目標，識別並歸納出廣州地鐵現行的9個控製活動。在具體開展信息係統整體計算機控製審計時，信息係統審計人員根據審計項目的特點和要求，選擇需要評價的子流程，再對照子流程的控製活動進行評估及測試即可。

（2）從內部控製目標出發，將信息係統應用控製劃分為訪問控製、完整性控製及數據質量控製三大方麵。廣州地鐵將信息係統的應用控製劃分為應用係統訪問控製、流程和係統完整性控製以及數據質量控製三大類，並針對各類控製分別設計了不同的審計內容。