搜索
信息系统审计的实例分析【摘要】计算机与互联网技术的迅猛发展,正日益改变着人们的各种行为习惯,同时也让人们日益依赖这由计算机与互联网构成的各种各样的信息系统,而信息系统的形成、发展和日益完善,也进一步促进了企业的管理和信息处理水平的提高。本文从信息系统审计(IT审计)的基本概念出发,以广州地铁为例,在分析其运用信息系统审计的背景的基础上,试图对其运用信息系统审计所取得的成效进行分析,为企业提升审计效能提供借鉴。【关键词】信息系统审计,IT审计随着信息技术的迅速革新,在其对全球经济的发展带来了深远的影响的同时,各个企业也更加的依赖信息系统。同时,信息技术的发展带来了审计方式的改进,使得审计从传统的手工审计逐渐发展为信息系统审计。信息系统审计主要是一个对信息系统的安全性和数据的完整性进行评价,以判断该被审计部门的目标是否得到实现以及资源是否得到有效的运用的过程。在信息化的条件下,企业的内审部门不但要通过信息化的方法进行审计,而且要对信息系统本身进行审计,因为信息系统已经成为企业经营管理的一部分,是经营管理和控制的重要手段。因此,越来越多企业的内审部门,开始尝试着把信息系统纳入审计计划,从而提升审计效能。一、信息系统审计概述(一)信息系统审计的发展历程一般而言,从信息系统审计的发展历程来看,大致可以把信息系统审计分为四个阶段,这四个阶段分别是萌芽时期、发展时期、成熟时期和普及时期。1、信息系统审计的萌芽时期。这个时期开始于上世纪中叶,这个时期的特点是企业的会计信息处理开始计算机化,会计凭证也开始往电子化发展,在那时比较有代表性的是电子数据处理审计即EDP审计。那时,比较有代表性的作品是F•坎夫曼于1961年出版的《电子数据处理与审计》以及美国注册会计师协会出版的《会计审计和计算机》。2、信息系统审计的发展时期。这个时期开始于二十世纪七十年代,主要是1因为利用计算机舞弊的风险增加。在这一时期,美国注册会计师协会于1974年发表了《内部控制制度的调查与评价对电子数据处理的影响》。日本的信息系统审计委员会与1976发表了《使用电子计算机的会计组织的内部控制制度质问书(修订案)》、《电子数据处理系统审计方法》等等,以及美国内部审计师协会在1977年发布了《系统可审计性及规则的研究》。3、信息系统审计的成熟时期。这一时期开始于上世纪八十年代,在这个时期中,美国于1981年开始进行注册信息系统审计师资格考试,这是信息系统审计的一个重要标志,日本于1982年设立了计算机安全研究会,并于1983年发布了《有关计算机的安全对策》以及其在1985年发布了《IT审计标准》。4、信息系统审计的普及时期。这个时期始于上世纪九十年代,在这个时期,比较具有代表性的是美国电子数据处理审计师协会更名为信息系统审计与控制协会。同时,信息系统审计与控制协会也在这一期间得到了不断的发展壮大,最终成为一个国际性组织,以及信息系统审计师的资格考试也成为该领域的唯一的权威职业认证。(二)信息系统审计的概念信息系统审计又称IT审计,其在早期的时候也称为电子数据处理审计。目前,关于信息系统审计的概念还没有一个公认的观点,相对较有代表性的信息系统审计的概念主要有以下两种:1、“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率的利用组织的资源并有效果的实现组织目标的过程”。(国际信息系统审计和控制协会)2、“为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动”(日本通产省,1996)。总之,信息系统审计包括由审计机构、审计人员对与被审单位经营活动密切相关的信息系统的安全性、可靠性和有效性进行检查评估,并提出改进意见的系列活动。或者可以说信息系统审计是指根据审计准则和审计标准、指南等对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。2二、信息系统审计的目标与主要内容(一)信息系统审计的目标信息系统审计的目标一般有五个,分别为:真实性、合法性、绩效性、安全性和可靠性。1、真实性。真实性是指要确保信息系统里的数据时真实的,而不是虚构出来的。由于运用传统的审计手段去审计却很难发现信息系统里的数据是否真实。因此,信息系统审计的真实性目标就是审核企业信息系统所提供的数据,只有保证信息系统中的数据是真实的,基于这些数据之上的财务审计才能是真实而有效的,也才能防止“假账真审”现象的出现,为财务审计保驾护航。所以,真实性审计属于财务审计的必要组成部分,财务审计需要有信息系统审计,而信息系统审计也不能独立于财务审计,只有将它们协同使用才能确保信息系统中的数据是真实反映企业的生产经营活动。2、完整性。完整性就是要确保数据在传递、储存数据的过程中不会其他行为干扰,这些干扰包括无意或故意的篡改、伪造以及破坏数据。完整性注重的是数据的完整无缺,保留数据的原始面貌,而不是经过修饰后的数据。3、安全性。安全性是指要维护企业信息系统不会受到来自外部(如来自互联网的各种木马、病毒甚至是黑客攻击)或内部(企业内部被授权的用户的访问、修改,甚至是未被授权的用户盗窃已被授权用户的账号进行篡改数据)的威胁。这些威胁都是可以给企业带来伤害,甚至可能带来毁灭性的打击。安全性审计是真实性审计的基础与前提,很难想象一个在安全方面存在严重问题和缺陷的信息系统,它提供的数据会真实可靠。同时,由于信息系统的资源通常包括硬件、软件、网络、数据文件、系统文档、消耗性材料和其他设施。硬件可能因为地震、台风等自然因素损坏或者人为破坏,网络可能因为各种原因发生网络故障,数据资源可能丢失或毁损。4、合法性。从字面上理解可知,合法性是指信息系统使用要合乎相关法律法规,以及要符合其他相关的各种制度要求。5、可靠性。可靠性也是真实性的基础之一,是指信息系统在遭受非人为因素破坏或人为差错影响的情况下仍然能够正常运行的概率。威胁信息系统可靠性3的因素包括自然灾害对硬件和坏境的破坏以及误操作对软件和硬件的破坏等。信息系统的可靠性由软硬件的可靠性、网络的可靠性和数据资料的可靠性决定。硬件的可靠性是指在某个时间周期内,在一定的控制环境下,硬件系统执行设定的功能的成功概率。软件的可靠性是指在运行环境中,在规定的运行时间或次数下,程序中运行不同测试用例的无差错率。网络的可靠是指网络通畅、完成预定功能的可靠程度。数据资源的可靠性是指数据的真实、完整、准确和及时性。数据可靠性取决于信息系统对数据处理的可靠性以及相关保证数据可靠性的控制措施是否健全有效。信息系统的可靠性和信息系统的容错能力有关,信息系统的一些容错技术可以保证系统在发生错误的情况下可以最大限度地恢复正常运行。容错能力越强,信息系统的可靠性也越强。(二)信息系统审计的主要内容信息系统审计主要是针对信息系统所涉及的软硬件以及相关的控制制度进行审计,其主要内容包括四个方面:信息系统开发过程的审计、信息系统安全控制审计、信息系统的相关内部控制环境审计和信息系统一般控制审计与应用控制审计。1、信息系统开发过程的审计。信息系统开发过程的审计与系统的规划、分析、设计、测试以及试运行是同步开展的;成功的信息系统不仅需要成功的开发,也需要正确的操作和维护,只有做好相关的操作和维护工作,才能切实实现设计目标、保证系统处于最佳状态并提升服务效率。2、信息系统安全控制审计。信息系统安全控制审计是信息系统的软件安全、硬件安全、数据资源安全以及控制安全进行审计。对软件安全的审计主要是采用评估信息系统的病毒防护能力与其相关防火墙是否工作正常或发挥了应有的作用;对硬件安全的审计主要是指检查相关的机器的保养或保护措施是否做的到位,是否存在让机器超负荷运作的情况;对数据资源安全的审计主要是指检查和评估相关的数据库是否被非法入侵等。3、信息系统的相关内部控制环境审计。该项审计主要是考察是否建立了良好的组织结构(即明确组织内成员在信息系统传输信息中所处的位置)、完善的规章制度来确保信息系统的正确、可靠和有效的运行。4、信息系统一般控制审计与应用控制审计。信息系统的一般控制是指在信4息系统里进行密码控制、操作系统控制、职能分离以及相关授权控制等,对一般控制的审计即是考察信息系统里是否有进行上述控制。信息系统的一般控制位信息系统提供良好的运营条件和提供必要的安全保证。信息系统的应用控制是指从技术层面来对信息系统的数据资源进行控制,确保数据资源在传递和储存过程中不会出现失真。信息系统应用控制审计包括:对输入、输出控制的审计,对数据库控制的审计以及对处理控制的审计。三、信息系统审计在广州地铁的运用(一)广州地铁简介广州市地下铁道总公司是广州市政府全资大型国有企业,成立于1992年12月,现拥有资产约1000亿元、员工18000多人,负责广州市快速轨道交通系统的工程建设、运营管理和附属资源开发经营。广州地铁已建成开通一至五号线、八号线、APM、广佛线等8条、总长共236公里的线路,日均开行运营里程55万车公里,日均客运量超过480万人次,占广州公共交通客运总量的30%。据相关规划,未来五年广州市政府还将投入1000多亿元,建成并开通了约250公里地铁线路,广州地铁将成为广州市民出行的主要交通工具。在建设和运营地铁同时,广州地铁还经营以地铁相关资源开发为主的多元化产业,业务涉及房地产、设计、咨询、培训、商贸、通讯、物资供应、电视传媒等众多领域,旗下拥有众多子公司,其中房地产的业务已成功开发了多个大型商业楼盘,设计及咨询业务已涉足西安、南宁、青岛、成都、苏州、东莞、马来西亚等二十多个城市及国家。随着广州地铁“地铁+物业”经营战略的不断深入,将可缓解政府对地铁建设、运营投入的压力,有助于地铁建设和运营的可持续发展。(二)广州地铁实施信息系统审计的动因首先,以风险为导向的审计职能,为信息系统审计发展奠定基础。广州地铁内部审计机构成立于1998年,直接对总公司总经理负责。自成立以来,广州地铁内部审计不断创新,推动审计职能转型以实现价值增值型审计职能的提升。2002年,广州地铁内部审计开始尝试走出原来单一的财务合规性审计模式,将审计重点扩展到制度的合理性与遵循性评价以及项目的经济效益后评估,20045年,内审部门引入风险评价模型,正式提出以风险为导向的内部审计发展方向,2006年,公司组建信息系统审计模块,探索开展信息系统审计业务,2009年,广州地铁开始启动内控自我评价工作。经过几年的努力和宣传,广州地铁的审计视觉逐步扩大,从原来以合法合规性为主要目标的审计模式调整为以效益、效率、合规为目标的3E审计,从原来单一的经济业务延伸至管理流程、重大决策,从原来只对经营单位审计扩展到对集团管控、职能管理、业务管理进行审计。随着审计职能的转变,内部审计全面把握公司的经营管理状况,有力促进了公司各层面提高经营管理的效率和效果,更好地在内部控制、风险管理和公司治理方面提供增值服务。实践证明,这样的审计定位对于化解公司重大业务风险、改善经营管理的效率和效果方面发挥了重要作用。同时也为信息系统审计提供了孕育发展的温床。目前广州地铁已建立了工程审计(含新线工程建设审计、运营整改工程审计、房地产开发跟踪审计)、经营审计(含经济责任审计、绩效审计、财务收支审计、专项审计)、内部控制及风险管理审计、IT审计(信息系统审计)四大审计模块,基本做到对企业各主要业务的审计覆盖。目前管理咨询类审计项目已占用广州地铁超过70%的审计资源,内部审计已渗透至公司经营管理的各个层面,成为公司治理及管理体系中必不可少的环节,逐步实现了“以风险为导向、以控制为主线、以治理为目标,以增值为目的”的现代内部审计模式。其次,企业运作信息化要求信息系统审计发展。在地铁线网规模不断延伸及业务范围逐步扩张的情况下,为确保广州地铁的建设、运营及经营管理工作的经济、安全和效率,广州地铁在近年来大力开展信息系统建设。目前,广州地铁已经开发了BAM、MAXIMO、ERP、OA、PDM、IAM、AFC