信息系统结构控制审计框架研究_周德铭_曹洪泽.pdfVIP

审计研究 2014 年5 期 信息系统结构控制审计框架研究* 周德铭 曹洪泽 【 】 IT 、IT IT ， 摘 要 本文在分析国外 目标 过程和 资源的信息 系统过程控制审计框架基础上 依据 系统控 制理论关 于执行 、反馈和控制的结构性原理 ，分析信息 系统承载业务 的业务逻辑 、业务流程 、业务信息 、 业务处理 、业务性能和业务部署等要素对信息 系统各组成部分的影响 。结合我 国信息 系统审计实践 ，研究 并提出了依据信息 系统审计目标，确定信息 系统审计控制结构和控制点，检查和评价各类信息资源的完整 性和控制有效性的信息 系统结构控制审计三维框架 ，以及 以管理控制为统领 、应用控制为核心、网络控制 为基础 、安全控制为保 障的四维结构控制及其 审计重点，试 图在过程控制审计框架基础上扩展构建结构控 制审计框架 ，从而形成较为完整的信息 系统控制审计框架 。 【 】 关键词 信息 系统 审计 框架 20 ， ， IT 国外信息系统审计经过 多年的发展 已经积累了较为成熟的审计框架和实践经验 形成了按照 、 IT IT ， 目标 对 资源的 过程进行管控 以及采用一般控制和应用控制两要素方法的信息系统过程控制审计 。 ， ， 、 框架 我国信息系统审计在吸收国外审计框架基础上 结合我国实际情况 提出了以组织管理 一般控制 。 ， 和应用控制三要素的带有结构控制审计特征的审计方法 随着信息技术在我国各行业的普及应用 信息系 。 ， ， 统审计的历史责任越来越重要 在此情况下 是否需要在以信息系统过程控制为特征的审计框架基础上 ， 构建以信息系统结构控制为特征的审计框架 以便从过程控制和结构控制两个方面全面拓展信息系统审计 ， ， 。 的视野 是本文研究的初衷 并以期引起讨论 、 一 信息系统过程控制审计框架分析 1996 ， 《 》 (Control Objectives for 年 美国信息系统审计与控制协会发布的 信息及相关技术的控制目标 Information and related Technology ，简写COBIT)， IT ( 、 、 、 规划了按照 目标 有效性 高效性 机密性 完整 、 、 、 ) ( 、 、 、 ) IT ( 性 可用性 符合性 信息可靠性 ， IT 源 人 应用系统 技术 设施和数据 的 过程 规划 对 资 、 、 、 ) 。 IT 与组织 获取与实施 交付与支持 监控与评价 进行管控的过程控制审计框架 该框架以 过程控制 ， 、 、 、 4 为轴心 对信息系统生命周期的规划与组织 获取与实施 交付与支持 监控与评价这 个过程控制进一 ， 34 I