本书结合中国国情,引进、消化和吸收了国际上先进的安全、风险管理与控制的方法论和最佳实务。本书在介绍基本审计知识的基础上,重点阐述信息系统审计理论与实务,以及信息安全审计的相关内容。 本书是为四类读者而写的:一类是管理人士,本书阐述了信息化的整体概念,描述了管理层与咨询和技术服务提供商沟通的共同语言,以及将IT管理与公司上层活动整合起来的方法。第二类是IT的高级管理者和那些准备向管理阶层迈进的IT人士,本书介绍了国际上公认的最权威、最全面的评价和指导IT控制的方法论及其模型。第三类读者是注册会计师及管理咨询顾问,他们在精通管理和专业的同时还急需加强信息系统和网络技术领域的知识。第四类是准备通过国际信息系统审计师或我国信息系统工程监理工程师认证考试的人员,由于信息技术的国际性,本书同样会对这类读者的工作与学习有较大帮助。
信息系统审计的定义
信息系统审计(IS audit)目前还没有公认通用的定义,1985年日本通产省情报处理开发协会信息系统审计委员会认为:信息系统审计是由独立于审计对象的信息系统审计师,站在客观的立场上,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用和故障排除,使系统更加健全。国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。这一定义既包括信息系统的外部审计的鉴证目标——即对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审计的管理目标——即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。
审计与信息系统审计的关系
►审计是信息系统审计的基础
审计有其独特的理论、方法和程序。一般审计人员都是站在独立的立场上,以批判的眼光去审视被审计对象,判断其与既定标准的符合程度。通常采用询问、检查、绘制内部控制流程图、分析性复核等方法获得审计证据,经过审计计划阶段、符合性测试与实质性测试阶段、审计报告阶段完成审计工作,实现审计目标。
信息系统审计继承了审计的基本理论与方法,同样以批判的眼光去审视、去评价被审计的信息系统。由于信息系统审计对象的特殊性及高技术性,信息系统审计在此基础上,结合自身审计对象的特性与发展,提出了更多的审计方法与审计程序。例如通过计算机的审计技术等就是传统审计理论所不具备的。
►信息系统审计是审计全过程的一部分。
随着技术的进步与社会的发展,社会对审计的要求越来越高,需求也越来越多,审计的内容也在逐渐丰富。到目前为止,审计包括以下部分:
1.财务报表审计。它是指审计人员对被审计单位会计报表的合法性、公允性、一贯性发表审计意见。由于会计信息系统的广泛使用,以及网络会计的出现,财务报表审计通常要借助信息技术来完成,信息系统审计师常常协助财务审计人员的工作。
2. 经营审计是指通过对企业经营活动进行分析性检查,来确定企业活动是否与管理政策相一致,以此保证管理目标的实现。经营审计主要是对内部控制进行符合性测试。经营审计的这种评估作用对改善管理工作具有极大的帮助。如应用控制的审计或逻辑安全系统的审计。
3.全面审计。全面审计是指财务审计与经营审计的结合。全面审计的目的既包括对财务报表发表审计意见,即财务信息的正确性、资产的安全性;也包括对内部控制的审计,即内部控制的效率与效果的审计。全面审计通常既包括符合性测试程序,也包括实质性测试程序。
4.管理审计。管理审计是一种评价组织内与经营效率相关的议题的方法。可以由外部审计师或内部审计师完成。
5.信息系统审计。信息系统审计是审计搜集并评价审计证据,以判断被审计单位与信息系统有关的资源与资产的保全、资料与系统的完整性维护等;判断信息系统是否可以提供值得信赖的资料,并有效实现组织的目标;信息系统的内部控制是否有效地实现控制目标和经营目标。
由于信息技术在经营、管理领域的广泛运用,信息系统审计已经贯穿在各种审计之中,成为审计全过程的一部分。
信息系统审计的对象与过程
信息系统审计的对象
如图绪论1所示:信息系统审计的对象包括:
· 信息安全;
· 数据中心运营;
· 技术支持服务;
· 灾难恢复与业务持续;
· 绩效度量
· 基础设施;
· 硬件管理;
· 软件管理;
· 数据库管理;
· 系统开发;
· 变革管理;
· 问题管理;
· 网络管理;
· 通信。
信息系统审计的对象随着信息技术的不断发展将不断扩展。
►信息系统审计的过程
审计是遵循逻辑顺序、结构严密的活动。信息系统审计也遵循这一过程。如图绪论2所示。
1.确定审计主题。在这一阶段,审计师要确定信息系统审计的主题范围。
2.确定审计目标。主要是决定审计的目的。例如,确认源代码必须在良好的内部控制下才可以改动。
3.界定审计的详细范围。决定组织中要审计的系统或单位。如上例中的源代码的改动控制的审计,在这一阶段可进一步限定是哪一个系统的源代码或什么期间的源代码。
4.制定审计计划。在此阶段主要做以下工作:
(1)了解客户业务、系统、环境等;
(2)识别并评估风险(risk);。
(3)检查是否存在足够的控制(control)来补偿这些风险决定审计的地点与设施;
(4)决定审计需要的技术能力及审计资源;
(5)决定审计所需信息的来源,如功能流程图、政策、标准、以前年度的审计工作底稿等均是审计信息的来源
(6)了解并评价以前年度的审计发现,判断其是否仍是今次审计的重点。
5.实施审计。在这一阶段,审计师主要:
(1)收集资料;
(2)决定审计或测试的方式(符合性测试还是实质性测试);
(3)列出需要访谈的人员名单;
(4)查阅有关部门的政策、标准及准则,以供审计使用。
(5)利用审计方法,对所有控制进行测试和评价。
6.评估测试结果。
7.与管理者沟通。
8.撰写审计报告。
审计师的审计过程记录在审计工作底稿中。审计工作底稿记录了审计师所采用的审计方法、审计范围、审计准则,所完成的审计步骤,它提供了审计师的工作轨迹及工作表现。
|
|
图绪论2:信息系统审计的过程
►信息系统审计的价值
1鉴证价值
信息系统审计的鉴证价值是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。在市场经济条件下,被审计单位输出的信息资料对该单位的存在与发展及其业务经营活动非常重要,对一些利益相关者而言也非常重要。例如,在电子商务中,交易双方在虚拟的空间进行交易活动,信息的真实性、可靠性、完整性,双方声明的商业政策能否一贯的遵循直接影响到交易是否顺利实现或公平实现。这种情况下,不仅被审计单位自己关注其信息系统对信息资产的安全、完整、真实的作用,同时交易的另一方也非常关心。由于技术、商业机密以及距离上的限制,信息的使用者不可能亲自对信息的质量做出审查,因此需要一个可信赖的一方为此提供鉴证。信息系统审计师以其独立的身份,对被审计单位的信息系统及其输出的信息进行审计,查出各种错误与舞弊,是合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性的重要环节,是维护电子商务时代正常经济秩序必不可少的重要手段。
2促进价值
促进价值体现在两个方面,一是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中;二是指审计可以促进被审计单位改进内部控制,加强管理,提高信息系统实现组织目标的效率、效果。
从第一个方面来看,信息系统审计师在完成审计后,出具审计证明,即审计报告,以证明被审计单位信息的真实、完整、可靠。审计师的证明可以增强人们对其信息的信任程度。随着网络技术的普及,商业信息的在线和实时披露都是不可扭转的必然趋势。信息系统审计师能够以在线、实时的信息为基础提供鉴证,对使用信息的所有相关体而言是具有巨大价值的。当然,对投资大众而言将更有意义。这样会给被审计单位带来更多的资金、更多的业务及合作伙伴。同时,信息的使用者也可以借助这些信息,加强被审计单位的管理决策,提高其经济效益。
从第二个方面来看,信息系统审计在审计过程中发现的控制缺陷或漏洞,可以审计报告、管理建议书等形式报告给委托人或被审计单位管理当局,并提出解决问题的建议,从而促进被审计单位提高管理水平,提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位信息系统进行全面的审视,可以发现从内部看不到的问题。俗话说“不识庐山真面目,只缘身在此山中”。信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察企业,分析其存在的问题既原因,也表现在以科学的态度和创新精神,去设计解决问题的方案。
3咨询价值
信息技术的发展为组织的管理变革提供了技术手段,组织扁平化、工作丰富化等管理变革都要信息技术来实现。信息化已是大势所趋。但是,信息化建设是有风险的,据报道,一家咨询集团曾对美国24家大型企业开发的客户/服务器系统进行了调查,结果表明,其中68%的项目超过了预定的开发周期,55%的项目其费用超过预算,88%的项目必须进行系统再设计。另有一家美国著名的调查公司SPR对美英两国的企业信息系统工程进行了类似的调查,报告显示,有30%~50%的客户/服务器项目中途放弃开发。为减少信息化风险,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需要,确定信息化的目标和内容,选择合适的软件产品,帮助企业调整现有的管理架构和流程或修改软件产品使其更好地服务于管理的需要。
新经济时代呼唤信息系统审计
新经济时代电子商务带来企业组织与交易方式的巨变,这正在导致审计和咨询工作的改变,新的机会正在不断出现,信息化咨询业的收入在指数级增长,但服务的性质也变的越来越有技术倾向,新技术的持续高速发展对传统审计和咨询人员不啻是个更大的挑战。
1鉴证电子化数据的真实、可靠性需要信息系统审计。
电子商务以及传统价值链向以客户为中心的价值链的转变改变了审计师所从事的传统鉴证业务。当企业开始与新的贸易伙伴(而不是以前的贸易伙伴)交换数据并进行交易时,贸易伙伴及其交易处理系统的可靠性都必须得到评估。当供应链管理中各种的过程和步骤——如库存需求计划、购货定单、销售定单、运货通知和现金支出等,通过电子商务信息系统被电子化处理时,审查交易数据和评估其完整性及可靠性,对交易数据进行实时控制和稽核成为新经济时代的审计师富有挑战性的工作。
2对数据的实时审计需要信息系统审计。
在电子商务时代,对信息系统的完整性进行实时评估的能力也是非常重要的,因为与以前相比,现在对呈交可靠而准确的财务报表数据的速度提出了更为迫切的要求。企业需要向交易伙伴和其他与其有利益关系的人不断提供最新的财务信息以进行其经营活动。很多情况下,仅了解客户的信息系统是不够的,审计师可能还需要评价客户的交易伙伴的可靠性和诚信度。
3信息时代企业内部控制与风险管理呼唤信息系统审计。
从事电子商务的公司必须将其内部控制扩展到交易处理系统的各个方面,因为该系统与包括贸易伙伴在内的其他系统有着密切的联系。此外,这些公司还必须对与其互通商业数据的贸易伙伴的内部控制系统有信心。在对于如何对电子商务系统的内部控制实施评估和风险管理方面,信息系统审计师具备极强的业务能力。传统审计人员需要通过加强其互联网技术方面的技能来进一步巩固在这一领域的地位。例如普华永道会计师事务所正在积极评估与网络入侵有关的风险因素,根据普华永道会计师事务所调查机构的报告,企业网络间谍已成为美国知识产权的主要威胁。为帮助公司解决这一问题,普华永道会计师事务所的调查员总结出了十一种风险因素。综合考虑这些因素可以确定一个公司遭受网络入侵的风险大小,他们还提供了十项内容的清单,以便公司评估自己的防范措施。
普华永道成立了一个全球风险管理服务(GRMS) 分部,它可以提供下列服务:
(1)战略性风险管理——该项服务帮助高级管理人员确认、评价、管理以及监控他们的公司在追求其目标的过程中所面临的风险。
(2)财务风险管理——该项服务开发和评估内部风险管理能力。涉及的问题包括风险识别、管理决策过程、系统、控制措施、组织、政策以及管理报告等等。
(3)经营与系统风险管理——该项服务帮助客户卓有成效地运作技术性很强的商业交易。它主要有以下五个方面的业务:
Ø 控制和鉴证服务——主要为正在进行重要改革的公司提供独立的控制措施鉴证以确认控制措施按计划执行。
Ø 经营与系统风险服务——全球风险管理服务框架里的系统风险是指商家因财政危机、法律、法规限制和其他导致股价贬值的运作失误,造成无法履行其对利益相关者义务的风险。该项服务内容包括:
· 商务持续计划
· 经营风险管理、措施和报告
· 财务过程审核服务
· 承包商履约能力
· 信息技术价值管理
Ø 技术风险服务——该项服务为公司提供有效的与信息和通信技术的运作、管理和开发相关的风险分析服务。该项服务包括以下三个主要方面:
· 资源保护服务——包括:
技术风险评估
安全评估服务
安全系统防渗透能力测试服务
安全设计服务
安全控制服务
安全措施实施服务
因特网安全服务
技术基础设施检查
技术控制检查
机密性检查
· 通信与网络服务
· 电子商务技术性服务
Ø 系统开发服务——该项服务的目的是为了帮助公司在建设新的系统时做出正确的选择,以不超出预算的支出,达到系统建设的目的。该项服务主要有:
· 成套系统的选择和安装
· 数据控制
Ø 环境服务——该项服务为了帮助公司正确评估其在环境方面的影响、风险和机会,并就此提出长远战略与规划。
上述服务项目并不包括全球风险管理的全部。此外,还有比如灾难拯救计划服务——尽管风险是可以控制的,但即使是最好的系统也可能遭到自然或人为的破坏。每个公司都应该有一个意外情况计划程序和正规的灾难拯救计划。公司的主干业务必须能承受灾难的考验,否则,公司就会成为灾难的牺牲品。在美国9.11事件中,尽管摩根斯坦利添惠总部(在世贸大厦)毁于一旦,但摩根斯坦利添惠在第二天就出人意料地宣布恢复正常工作,原因就在于其容灾信息系统在世贸大厦倒塌的前一秒把数据完整备份到异地的容灾中心。
安全问题、风险评估以及预防和监测的安全手段等业务成为新经济时代的新的鉴证与咨询业务。
4中国的信息化建设也急需信息系统审计。
2002年7月23日,央视晚新闻播出:7月23日,首都机场因电脑系统故障,6000多人滞留机场,150多驾飞机延误,"事故原因正在调查中 ;5月29日上午8时30分左右,南京火车站电脑售票系统突然发生死机故障,整个车站售票处于瘫痪状态,车站售票大厅内人满为患,众多旅客不得不改乘其它交通工具离开南京。车站领导和计算机技术人员告诉记者是由于电脑升级换代,调试时线路发生故障,才引发了此次系统瘫痪的……越来越多的传统企业大规模实施企业信息化,提高了企业效率的同时,也为企业带来种种困惑,网络经常掉线,服务器宕机,邮件发不出去,病毒肆虐,客户资料被盗等等。如何更好地加强内部控制,保护信息资产的安全、完整、真实,保证信息系统能有效地实现企业目标,是中国乃至整个世界在信息化过程中所必须要解决的问题。建立信息系统审计制度,发展信息系统审计是信息化过程中必不可少的制度保证和手段。
信息系统审计中的两支力量
开展信息系统审计业务,有两支力量。
1传统的审计师。注册会计师在执行传统的财务报表鉴证业务方面具有长久不衰的声誉和经验,在经营惯例、交易处理的完整性、信息保护、内部控制的评价与建议方面一直都是注册会计师的专长。信息时代为注册会计师和其他技术职业人士都提供了机会。在提供这种信息系统及电子数据质量的鉴证与咨询服务方面,会计师事务所面临的竞争力量众多,传统会计职业必须使市场信服——它是执行这种业务的最佳候选人。为使市场信服,会计师需要:
(1)学习提高他们作为技术专家的能力。
(2)继续维护他们现有的作为独立的、被信任的第三方的角色。
(3)必须将信息技术、网络技术技能融入传统的鉴证业务。
(4)必须拓展在系统可靠性、风险确认和影响分析,以及网站认证方面的业务。
2从事信息化咨询的IT技术人员在电子商务时代,交易大部分是由系统自动完成的,人的参与较少,审计轨迹存在较少,在这种条件下,审计必须穿过计算机进行。IT技术人员具备了相应的技术技能:编程知识、系统运营、网络技术、认证技术、防火墙技术及其他安全技术等,这对于发现被审计信息系统及其控制的缺陷等相对较容易。但他们在鉴证市场还缺乏会计师事务所的独立、客观、公正的信誉,缺乏对管理与内部控制认识、评价的经验,缺少审计的理论与技能。因此,IT技术人员从事信息系统审计业务,要补充审计理论知识,学会用审视的目光,从管理控制角度,而非纯技术角度思考问题。
作者联系方式: sun6869@21cn.com
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved