企业信息系统审计地研究.pdfVIP

企业信息系统审计的研究 (已经在《中国管理信息化》刊物上发表) 李长青 (南京信息工程大学南京210044) 王琴 (海商学院上海200235) [摘要]：信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效麓、效率、 安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现。由审计证据管理、安全 标准、安全评{l|i、项目管理审计和法律标准等托个子系统组成。其业务范围包括与信息系统有关的 所有领域。信息系统审计方面的标准尚处于空白状态。信息系统审计是未来审计发展的必然， [关键词]：信息系统审计 系统组成 范围 准则 “实现．1：业化仍然是我国现代化进程中艰巨的j巧殳性任务。信息化是我国加快实现1：业化和 现代化的必然选择。”近年来，企业对信息技术在提高管理创新、集中管控能力、执行力和市场 反应能力等方面，取得了意想不剑的效率和成果。但是，信息系统给社会带来的危害也凸现出来。 首先，突发事什的影响，由T1993年纽约世界贸易人厦爆炸事件，使得当时入住的多数企业的 商业数据如数丧火，导致在企业这一年内的很多商业活动无法进行。其次，错误操作、不止当使 用和滥t}}j信息技术，1998年发生的CIH病毒，导致全球数百万台计算机硬什损坏，导致近百亿 美元的经济损火。再次，信息系统开发失败。1994年，Standish Group对IT行业8400个项目 (投资250亿关元)的研究结果表明有34％的项目彻底火败，50％的项目在补救后完成，预算 平均超出90％，进度平均超出120％。冈此，迫切需要对正在使用或即将投产的信息系统的安全 性、真实性、完整性、有效性进行鉴证。信息系统审计已成为摆在企业管理人员案头迫切需要开 展的重要1：作。在我国信息化推进过程中，存在问题，主要表现在规划制订不够科学，项目管理 不够严格，监理机制不够健全，系统运行效益不够明显。致使相当一部分信息化项目欠败或朱能 实现预期目标，浪费了人量资源。究其根源主要原冈之一是信息化建设第三方监管机制的缺失和 标准的不健全。 一、审计信息系统 信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全 性进行监测、评估和控制的过程，以确认预定的业务目标得以实现。 在建立信息系统审计制度，开展信息系审计研究方面，美国走在了前面。早在计算机进入实 用阶段时，美国就开始提出系统审计(SYSTEMAUDIT)。1969年在洛杉矶成立了电子数据处理审 SYSTEM 计师协会(EDPAA)，1994年该协会更名为信息系统审计与控制协会(INFORMATIONAUDIT ANDCONTROL 专业人员唯一的国际性组织。 在很多人叶!公司内部，信息系统审计部fJ已经成为一个独立的对外提供多种服务的部I、J。尤 其是互联网利电子商务的兴起，更是为信息系统审计业务带来了无尽的商机。为财务报表审计提 86 供服务只一0信息系统审计部fJ业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、 信息技术认证以及ERP相关的新型咨询业务也不断涌现。“朱来审计行业和审计技术的发展动力 将主要来自丁信息系统审计的发展”，这一观点已经逐渐成为国外会计、审计界的一个共识。信 息系统审计师的地何也在不断提高。在国外的一些人型会计公司中已经出现了没有CPA资格的合 伙人，他们持有的专业资格就是CISA．据专家介纠，国际信息系统审计师(简称IT审计师)目 前已经成为全球范同最抢手的高级人才。 在初期，信息系统审计是作为传统审计业务的一部分，在审计师对由计算机系统处理的数据 的质鼙进行判断时提供技术支持。有信息系统审计技能的审计师被看作是会计师事务所的技术资 源，在必要时为同事提供技术支持。对丁信息系统审计，需求领域很广。如对组织的信息系统审 计(主要集中在对信息技术的管理控制)、技术方面