企业信息系统审计的全面思考.docx
《企业信息系统审计的全面思考.docx》由会员分享,可在线阅读,更多相关《企业信息系统审计的全面思考.docx(9页珍藏版)》请在冰豆网上搜索。
企业信息系统审计的全面思考
企业信息系统审计的全面思考
张晓红
大庆油田有限责任公司审计部
科学技术的日益进步,以及现代企业竞争发展所追求的高效率、高效能的经营运作和管控方式,都极大地推动了企业信息化进程,企业信息系统呈现出大型化、集成化和网络化等特点,企业对信息系统的依赖程度与日俱增。
由于信息系统的重要性和对企业价值链的影响,使得信息风险的识别与管理、信息资产的保护与利用、信息系统绩效的测量与评价等问题备受关注与重视,因此信息系统审计作为一种制度保证和IT治理的重要方式应运而生。
一、准确理解信息系统审计的内涵
信息系统审计在国外已有数十年的发展历史,在我国尚处于理论研究和实务起步阶段,因此从目标、对象、职能与类型等方面准确理解信息系统审计的内涵极为必要。
(一)信息系统审计的目标
信息系统审计的目标是通过对信息系统的安全性、可靠性、完整性、效率性和效果性等进行检查、评价和报告活动,协助企业建立完善、可行的信息技术管理机制,平衡企业信息化过程中的风险,促进信息技术目标与企业业务目标的协调发展。
(二)信息系统审计的对象
信息系统审计不局限于财务信息系统,其范畴涵盖了企业生产、经营和管理的全部信息系统。
信息系统审计的具体对象包括信息系统生命周期所涉及的人员、组织体系、业务流程、技术设施、应用程序和信息数据等元素。
(三)信息系统审计的职能
保证和咨询是信息系统审计的两项基本职能。
信息系统审计不仅是要发现信息系统规划、建设和运维中存在的问题,更重要的是作为一种制度保证,强化企业的IT治理结构,同时面向信息系统的决策、管理和应用提供咨询服务,改善经营管理和增加企业价值。
(四)信息系统审计的类型及其内容
信息系统审计的类型及其内容,主要是结合信息系统的生命周期、管理行为特征和信息系统审计的知识结构进行划分,主要包括以下几个方面:
1.信息系统控制审计。
检查信息系统控制的有效性是信息系统审计的基本着眼点。
通过关注企业IT治理的制度体系、组织结构、工作职责、人力资源和信息技术战略规划、政策、措施等内容,对信息系统组织层面、业务流程层面和技术层面的控制情况进行审计。
2.信息系统建设项目审计。
在信息系统建设过程中应进行事前、事中的介入式审计,一是对信息系统的规划、分析、设计、编码和测试等开发环节进行审计;二是对支撑信息系统的软硬件基础设施进行审计;三是对信息系统建设项目的投资、合同和变更等事项进行审计。
3.信息系统运行维护审计。
面向现行信息系统开展运行维护审计,一是检查信息系统的运维策略与机制,确保运营程序、作业调度、基础设施监控、灾难恢复计划等的合理性与有效性;二是检查信息系统的服务管理,确保达到规定的服务水平和进行持续的服务改进。
4.信息系统安全审计。
安全审计是信息系统审计的重要内容,一方面检查信息安全管理的组织体系、措施、运行计划和执行过程等,确保信息安全管理机制的完善性和有效性;另一方面检查用于信息安全的技术与产品,在物理访问和逻辑访问上充分保障信息资产的安全、完整和可用。
5.信息系统绩效审计。
绩效审计是信息系统审计面临的紧迫任务,它关注的重点是信息系统投入产出的效率、效果与投资的透明度,其脉络贯穿于信息系统生命周期的各阶段,主要包括对信息技术投资绩效、信息系统建设项目管理绩效和信息系统运营绩效等的测量和评价。
二、明确信息系统审计与计算机数据审计的关系
信息系统审计是对计算机数据审计的继承与发展,信息系统审计和计算机数据审计构成了现阶段IT审计的两大主题,二者交汇融合、互为支撑,既有一定区别,又存在着紧密的联系。
(一)区别
1.审计范围及重点不同。
信息系统审计的范围涵盖了信息系统的整个生命周期和所有信息技术资源,它更加关注于企业信息系统的战略发展、管理控制、保护利用和绩效评价,具有鲜明的管理性特征。
计算机数据审计通常是以现行信息系统输入、处理、输出和存储的信息数据为对象,侧重于信息数据的查询、分析和挖掘,以确定审计重点和发现审计线索,揭示潜在的逻辑关系和规律。
2.审计项目形态不同。
由于信息系统审计目标与职能的确定性,信息系统审计可作为独立的审计项目组织实施,又可作为内部控制、管理效益等审计项目的组成部分进行实施。
计算机数据审计是一种信息技术审计手段和方法,它不具备审计项目的形态,主要服从、服务于各类审计项目,起到强大的支撑和保障作用。
3.审计时效及频率不同。
信息系统审计的复杂性、综合性和高技术性特征,决定了其实施过程要经历一定的时间周期,因此对于已经审计过的信息系统,在其未发生变更的情况下,通常需要适当降低审计频率。
计算机数据审计则不然,它强调审计的动态性和时效性,通过联网、嵌入审计模块等方式缩短审计周期和提高监控频率,以实现连续审计为根本目标。
(二)联系
1.信息系统审计是计算机数据审计的必要条件。
发展证明,仅对信息系统管理的数据进行审计,极有可能是信息化环境下的“假账真查”,极易产生审计风险。
因此,计算机数据审计必须以信息系统审计为切入点和必要条件,至少要对信息系统的管理控制和技术控制情况进行测试检查,发现控制缺陷、非法功能和漏洞,评估数据的完整性、可用性、可审性,为计算机数据审计奠定坚实的基础,提升计算机数据审计的质量和实施效果。
2.计算机数据审计是信息系统审计的有效手段。
信息系统审计除采用程序代码检查与比较法、综合测试法、受控处理法、平行模拟法等技术方法外,可充分利用计算机数据审计,对采集的信息系统底层数据进行深入分析,发现存在的问题:
(1)对数据表内容进行检查,以发现用户账号、角色及权限管理等方面存在的控制缺陷;
(2)检查敏感数据的加密情况,以发现信息系统的安全漏洞;(3)检查数据值域定义,以发现数据的完整性问题;(4)检查冗余数据,以发现信息系统的设计问题;(5)通过建立审计中间表,以发现信息系统的业务逻辑对应问题。
三、研究与借鉴信息系统审计的相关标准
信息系统审计的依据和标准,从应用结构上可以分为三个层面:
一是法律法规;二是信息系统审计准则;三是信息技术管理标准。
(一)信息系统审计的法律依据
开展信息系统审计的法律法规依据,主要有《中华人民共和国审计法》、《关于利用计算机信息系统开展审计工作有关问题的通知(国办发[2001]88号)》等。
(二)信息系统审计准则
1.ISACA信息系统审计准则。
它是信息系统审计与控制协会ISACA制定的信息系统审计规范,由三部分组成:
(1)基本准则,规定了审计章程以及对职业能力、审计计划、审计实施、审计报告、后续审计等方面的基本要求;
(2)审计指南,是对基本准则的详细说明和阐述,为开展审计业务提供具体指引;(3)作业程序,是对基本准则和审计指南的补充,为审计过程中可能遇到的特殊事项提供参考方法和步骤。
2.中国内部审计协会发布的《信息系统审计准则(征求意见稿)》。
它对内部审计行业开展信息系统审计的一般原则、审计计划、风险评估、内容和方法等进行了宏观指导,具有前瞻性,与国际标准相趋同。
(三)信息技术管理的通用标准
信息技术管理标准是企业用于IT治理的规范模型和行动指南,也是信息系统审计的衡量标准和有效工具,主要包括:
1.信息及相关技术控制目标COBIT。
它是ISACA制定的信息系统管理控制的整体性框架,它将信息系统生命周期划分为4个领域,34个信息技术流程,并将信息技术流程及其控制目标、信息技术资源和信息评价标准相关联,全面地提出指导意见。
COBIT的主要特点是覆盖了所有信息技术活动,集成度高,适用范围广。
2.受控项目管理方法PRINCE2。
它是基于过程结构化的项目管理方法,它将信息系统等建设项目划分为一些可供管理的阶段,以便高效地使用资源和在项目周期内实施有效的监督。
3.能力成熟度集成模型CMMI。
其早期版本CMM是一种为软件开发项目提供流程改进的指导框架,而CMMI是一种综合性模型,其应用范围已经覆盖软件采购、软件开发、系统工程和集成产品等专业领域。
4.信息技术基础架构库ITIL。
它是信息技术运维和服务管理的实践标准,其3.0版引入了服务周期理念,使服务战略、服务设计、服务转换、服务运维和服务改进等模块,能够更加快速有效地处理信息系统日常运维问题。
5.ISO信息安全系列。
ISO27001《信息安全管理体系要求》、ISO27002(即ISO17799)《信息安全管理实用规则》、ISO13335《IT安全管理指南》、ISO15408《IT安全评估标准》等,对信息安全的组织体系、管理措施、业务流程和技术产品等进行了全面规范。
目前,我国已经采用了这些国际标准。
综上所述,对于信息系统审计的相关标准可以从关系定位、实际运用和借鉴发展三个方面进行把握:
第一,明确关系,找准定位。
COBIT是一个非常全面的控制模型,它完全引入了CMM的阶段式表现方法,并融合了PRINCE2、ITIL2.0和ISO27002等标准的有关内容,另外也是ISACA制定信息系统审计准则的基础,因此应将COBIT定位于高端标准,其它标准则作为信息技术特定领域的专业标准。
在开展信息系统生命周期的控制审计和绩效审计时,应以COBIT为主,其他标准作为补充;进行信息系统建设、运维和安全审计时,应以COBIT为主框架,同时相应地重点参照PRINCE2、ITIL和ISO27002等标准。
第二,结合实际,合理运用。
COBIT等标准的内容庞大、结构复杂,全部采用较不现实。
因此,在开展信息系统审计时,必须结合实际情况进行合理选择和运用,不能完全照搬照抄,首先必须了解企业信息技术的管理情况,重点是执行的政策、标准和业务流程,在此基础上,评估COBIT等标准的应用范围和适用流程,避免审计采用标准和企业执行标准可能产生的冲突;其次依据评估结果,并结合企业信息系统审计的目标和内容等,对COBIT等标准进行适当裁剪和调整,据此制定符合自身情况的信息系统审计实施标准。
第三,研究借鉴,促进发展。
国际上关于信息系统审计的标准已经形成了完备体系,尤其是COBIT及ISACA信息系统审计准则的发展经验,为我们提供了良好的可借鉴思路。
因此,应对国际信息系统审计标准进行深入研究分析,并在实践应用的基础上,充分尊重我国企业治理、IT治理的实际情况,遵循合理借鉴、适当改造和创新发展的思路,持续推动我国内部审计行业的信息系统审计标准体系建设。
四、信息系统审计的实务策略
(一)加强沟通,扩大信息系统审计共识
信息系统审计作为一种新生事物,其蕴含的价值理念和积极作用还不为企业和审计人员所全面认识,因此内部审计部门应加强内外部沟通交流,扩大信息系统审计的影响与共识,一方面应向企业决策层、相关管理部门表达和传递信息系统审计在IT治理中的重要意义,取得他们的共识和支持,以根据国家有关法律法规,制定企业信息系统审计的方针政策,明确信息系统审计的权利和责任;另一方面应在审计机构内部开展课题研讨、经验介绍等交流活动,重点解决目前信息系统审计中存在的定位不清、程序方法不明和评价标准不祥等问题,为信息系统审计的深入开展奠定基础。
另外,在信息系统审计实施过程中,需进一步加强与被审计单位的沟通交流,取得其理解和配合。
(二)统筹思考,合理确定信息系统审计实践方向
开展信息系统审计应重点考虑两方面问题,一是企业IT治理的重点,即企业最为关注和对企业信息化影响最大的信息技术问题;二是审计资源配置的实际情况,即现有审计人员的知识构成和技术能力是否适应信息系统审计的要求,以及在什么程度上适应这种要求。
只有将上述两个方面有机结合,统筹思考,才能合理确定信息系统审计的实践方向,并发挥信息系统审计的最大效用。
目前,企业较为关注的是信息系统的控制、绩效和安全等,而内部控制审计和绩效审计已是传统审计领域的基本内容,因此现阶段的信息系统审计,应以信息系统的内部控制、投资绩效、建设项目管理绩效和运营绩效审计为主要实践方向,对于技术含量更高的信息系统安全审计,可以作为一项指标予以关注,待相关条件成熟后再全面开展。
(三)面向总体,全面掌握企业信息技术状况
企业信息技术和各类信息系统的规划、开发、应用和发展等情况,对于信息系统审计至关重要,只有在对这些情况进行全面了解基础上,信息系统审计才能有的放矢,并有效控制审计风险。
因此,内部审计部门应开展全面的调查研究,以准确掌握企业信息技术的总体状况,一是企业信息技术的方针、政策、标准、整体规划和发展趋势等;二是各类信息系统的业务特征、规模大小、复杂程度、功能概况、使用范围和投资额度等。
在此基础上,对所掌握的信息进行梳理分析和初步评估,同时建立信息系统审计对象资料库,并根据情况变化进行动态更新,为选定信息系统审计项目创造有利条件。
(四)根据实际,合理选择信息系统审计项目组织方式
信息系统审计的项目组织方式有两种,即独立式和组合式,如何对其进行选择和确定,对处于实践探索阶段的信息系统审计极为关键。
当前,应根据信息系统审计的开展水平和信息系统的重要程度,采用“充分独立、适当组合,效果优先、兼顾效率”的策略,合理选择信息系统审计的项目组织方式,一是在实践探索初期,无论信息系统审计项目规模大小或与其它审计项目是否存在关联,都应独立立项,从资源和时间上充分保证信息系统审计的开展效果,以积累实务经验;二是对企业高度依赖的信息技术和信息系统,应始终坚持独立立项;三是对某一信息系统审计类型已获得成熟经验的前提下,结合信息系统的重要程度,可以考虑和其它审计项目进行组合立项,以进一步提高审计效率。
(五)结合特点,加强信息系统审计流程塑造
信息系统审计流程与其它审计流程从总体上并无差异,但是信息系统审计的复杂性和高技术性特点,决定了其具体审计流程的特殊性,因此必须加强信息系统审计流程塑造,以有效指导和规范实践工作。
对于现行信息系统审计的流程塑造,主要从两个方面进行考虑,一是塑造的方法;二是塑造的重点流程,如下图:
1.塑造的方法。
采取风险导向的审计方法,在审计准备、审计实施和审计报告等阶段,持续评估信息系统风险和审计风险,据此指引信息系统审计具体流程的设计、执行和改进。
2.塑造的重点流程。
审计实施是信息系统审计的重点流程阶段,该阶段应以系统控制测试、初步评价、数据分析测试和综合分析为基本流程:
(1)系统控制测试,是运用一般审计方法和信息技术测试方法,依次对信息系统组织层面、业务流程层面、技术层面进行符合性测试和实质性测试;
(2)初步评价,是根据系统控制测试结果,对信息系统的控制有效性、功能可靠性、数据完整和真实性等进行初步评价,为后续流程奠定基础;(3)数据分析测试,是利用计算机数据审计的方法,对采集的信息系统底层数据进行分析,从数据的角度发现信息系统的缺陷、漏洞和问题;(4)综合分析,是基于上述流程,对全部审计查证事实进行统筹分析,并按照审计目标对其进行归纳和总结。
(六)构建体系,科学评价信息系统
构建综合评价指标体系,对信息系统进行科学、全面的审计评价,可为企业IT治理提供有效的决策依据,并可充分体现信息系统审计的价值。
信息系统综合评价指标体系的基本框架如下图:
1.评价指标。
信息系统评价指标的确定,应在全面考察信息系统的规划、建设和运维流程的基础上,对信息系统的管理目标、技术目标、绩效目标与实施现状进行系统分析,选择具有代表性与涵盖性的因素作为信息系统的评价指标。
信息系统综合评价指标体系,应包含控制能力、系统质量、数据质量、应用效果、经济效益和发展能力等一级指标,可根据信息系统审计的实际情况进行扩展和调整。
2.评价方法。
信息系统综合评价主要是采用半定量方法,可以利用能力成熟度模型、层次分析法和平衡记分卡等对信息系统进行充分评价,以较为客观地反映信息技术目标与企业业务目标的契合度、信息系统的绩效和风险管理水平。
信息系统审计作为审计发展的新路径,随着内部审计行业持续的理论与实践探索,必将在企业IT治理中发挥更大的效用,为改善经营管理和增加企业价值而服务。
升级会员 