信息系统审计的 透视与思考.docVIP

信息系统审计的 透视与思考 　　【摘要】 随着信息化建设的深入，信息系统已逐步成为审计领域无法绕开的话题，信息系统审计不再仅限于审计手段的信息化，它还包括了审计对信息系统的介入、监督与评价。本文以广州地铁内部审计为案例，从信息系统的审计内容、实施策略、审计方法等方面，对信息系统审计进行透视与思考，探索信息系统审计发展的方向。 　　【关键词】 信息系统审计 审计内容 审计方法 　　一、引言 　　相比于传统审计，信息系统审计（Information System Auditing）是审计领域中的一个新概念。目前，关于信息系统审计，学术界和业界均无通用的定义。美国信息系统审计权威专家Ron.A.Weber提出：信息系统审计可定义为通过一定的技术手段收集、分析证据，以对计算机系统是否能够保证资产安全、维护数据完整、实现组织目标以及高效利用资源进行评价的过程。日本通产情报协会作了如下定义：信息系统审计是指，为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师以第三方的立场对以计算机为核心的信息系统进行综合检查和评价，并向信息系统审计对象的最高领导者提出问题与建议的一连串活动。国际信息系统审计和控制协会（ISACA）将其定义为：信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。 　　针对以上观点，我们将其要点归纳如下：信息系统审计是审计师对以计算机为核心的信息系统，通过专业判断和评价，合理保证信息系统安全、稳定、有效，并向信息系统的高层管理者及使用者提供问题解决方案，以达到改善经营和为组织增加价值目的的一个过程。 　　二、信息系统审计的发展与现状 　　20世纪60年代，随着计算机技术开始运用于企业的信息收集和整理中，会计信息处理逐渐无纸化，促使审计人员在执行传统审计业务时，必须关注以电子数据为载体的电子数据处理审计（EDP Electronic Data Processing）。20世纪70年代中期至80年代，电子数据处理和管理系统等在企业中逐渐普及，同时，计算机犯罪和计算机系统失效的事件频频发生，使得信息系统审计日益得到重视并迅速发展。美国、日本先后成立了IT审计方面的协会组织，从事对IT审计规则的制定和实施指导。20世纪90年代，信息和信息系统已成为企业的重要资产，企业和社会对信息系统控制和审计的需求愈发强烈。发达国家的信息系统审计进入普及期，许多国家的审计机关、学者和组织对计算机环境下的信息系统审计进行了有益的探索。同时，东南亚各国也逐渐认识到信息系统审计的重要性，开始着手研究信息系统审计理论和实务。 　　目前，我国信息系统审计仅有十几年的历史，尚处于探索阶段，既缺乏开展信息系统审计业务的人才队伍，也没有形成专业规范体系，所进行的一些计算机审计方面的探索和尝试以及计算机审计软件的开发和应用还大都停留在对被审计单位电子数据进行处理的阶段。存在的主要问题有：信息系统审计观念落后；信息系统审计相关的准则、标准和规范尚不完善；信息系统审计专业人才匮乏；信息系统审计软件开发工作滞后。 　　1997年，广州地铁开始公司“信息化”建设。最初，广州地铁经营审计采用“绕过计算机审计”的方法，即对导出数据进行审计。审计过程中，其逐渐意识到了运用这种“黑箱原理”审计方法的风险。因此，2006年公司组建了专门的IT审计模块，探索“如何利用计算机审计”和“通过计算机审计”。其后，广州地铁信息系统审计发展经历了借力、助力和自立三个阶段。 　　一是借力期：IT审计模块成立初期，公司与外部顾问共同开展IT审计项目，通过外部专业人员向审计人员传输IT审计技能，同时制定《IT审计实施细则》，在人员技能储备和制度上为IT审计模块的发展奠定了基础。二是助力期：审计人员参照审计手册，利用从外部顾问处学习到的审计技能，逐步开展信息系统审计工作，将IT审计工作模式调整为以自身力量为主，外部咨询服务为辅的模式。三是自立期：2009年，广州地铁IT审计已基本实现自主化，且IT审计模块逐步走向成熟，同时其还建立了具有自身特色的信息系统审计框架。 　　目前，IT审计已经发展成为广州地铁内部审计的一根“支柱”，连同“内控审计”，作为基本的审计手段贯穿于各类专业审计工作中，支持审计体系的巩固与发展。 　　三、信息系统审计内容 　　1、国内外关于信息系统审计内容的研究 　　开展信息系统审计首先要明确审计内容。国际信息系统审计协会规定，信息系统审计的主要内容包括信息系统程序审计、信息技术（IT）治理、系统生命周期管理、IT服务的交付与支持、信息资产的保护、灾难恢复和业务连续性计划。 　　近十几年来，国内的学者和组织也对信息系统审计的内容进行了探索和研究