企业信息系统审计的全面思考.docVIP

企业信息系统审计的全面思考 张晓红 大庆油田有限责任公司审计部 科学技术的日益进步，以及现代企业竞争发展所追求的高效率、高效能的经营运作和管控方式，都极大地推动了企业信息化进程，企业信息系统呈现出大型化、集成化和网络化等特点，企业对信息系统的依赖程度与日俱增。由于信息系统的重要性和对企业价值链的影响，使得信息风险的识别与管理、信息资产的保护与利用、信息系统绩效的测量与评价等问题备受关注与重视，因此信息系统审计作为一种制度保证和IT治理的重要方式应运而生。 一、准确理解信息系统审计的内涵 信息系统审计在国外已有数十年的发展历史，在我国尚处于理论研究和实务起步阶段，因此从目标、对象、职能与类型等方面准确理解信息系统审计的内涵极为必要。 （一）信息系统审计的目标 信息系统审计的目标是通过对信息系统的安全性、可靠性、完整性、效率性和效果性等进行检查、评价和报告活动，协助企业建立完善、可行的信息技术管理机制，平衡企业信息化过程中的风险，促进信息技术目标与企业业务目标的协调发展。 （二）信息系统审计的对象 信息系统审计不局限于财务信息系统，其范畴涵盖了企业生产、经营和管理的全部信息系统。信息系统审计的具体对象包括信息系统生命周期所涉及的人员、组织体系、业务流程、技术设施、应用程序和信息数据等元素。 （三）信息系统审计的职能 保证和咨询是信息系统审计的两项基本职能。信息系统审计不仅是要发现信息系统规划、建设和运维中存在的问题，更重要的是作为一种制度保证，强化企业的IT治理结构，同时面向信息系统的决策、管理和应用提供咨询服务，改善经营管理和增加企业价值。 （四）信息系统审计的类型及其内容 信息系统审计的类型及其内容，主要是结合信息系统的生命周期、管理行为特征和信息系统审计的知识结构进行划分，主要包括以下几个方面： 1．信息系统控制审计。检查信息系统控制的有效性是信息系统审计的基本着眼点。通过关注企业IT治理的制度体系、组织结构、工作职责、人力资源和信息技术战略规划、政策、措施等内容，对信息系统组织层面、业务流程层面和技术层面的控制情况进行审计。 2．信息系统建设项目审计。在信息系统建设过程中应进行事前、事中的介入式审计，一是对信息系统的规划、分析、设计、编码和测试等开发环节进行审计；二是对支撑信息系统的软硬件基础设施进行审计；三是对信息系统建设项目的投资、合同和变更等事项进行审计。 3．信息系统运行维护审计。面向现行信息系统开展运行维护审计，一是检查信息系统的运维策略与机制，确保运营程序、作业调度、基础设施监控、灾难恢复计划等的合理性与有效性；二是检查信息系统的服务管理，确保达到规定的服务水平和进行持续的服务改进。 4．信息系统安全审计。安全审计是信息系统审计的重要内容，一方面检查信息安全管理的组织体系、措施、运行计划和执行过程等，确保信息安全管理机制的完善性和有效性；另一方面检查用于信息安全的技术与产品，在物理访问和逻辑访问上充分保障信息资产的安全、完整和可用。 5．信息系统绩效审计。绩效审计是信息系统审计面临的紧迫任务，它关注的重点是信息系统投入产出的效率、效果与投资的透明度，其脉络贯穿于信息系统生命周期的各阶段，主要包括对信息技术投资绩效、信息系统建设项目管理绩效和信息系统运营绩效等的测量和评价。 二、明确信息系统审计与计算机数据审计的关系 信息系统审计是对计算机数据审计的继承与发展，信息系统审计和计算机数据审计构成了现阶段IT审计的两大主题，二者交汇融合、互为支撑，既有一定区别，又存在着紧密的联系。 （一）区别 1．审计范围及重点不同。信息系统审计的范围涵盖了信息系统的整个生命周期和所有信息技术资源，它更加关注于企业信息系统的战略发展、管理控制、保护利用和绩效评价，具有鲜明的管理性特征。计算机数据审计通常是以现行信息系统输入、处理、输出和存储的信息数据为对象，侧重于信息数据的查询、分析和挖掘，以确定审计重点和发现审计线索，揭示潜在的逻辑关系和规律。 2．审计项目形态不同。由于信息系统审计目标与职能的确定性，信息系统审计可作为独立的审计项目组织实施，又可作为内部控制、管理效益等审计项目的组成部分进行实施。计算机数据审计是一种信息技术审计手段和方法，它不具备审计项目的形态，主要服从、服务于各类审计项目，起到强大的支撑和保障作用。 3．审计时效及频率不同。信息系统审计的复杂性、综合性和高技术性特征，决定了其实施过程要经历一定的时间周期，因此对于已经审计过的信息系统，在其未发生变更的情况下，通常需要适当降低审计频率。计算机数据审计则不然，它强调审计的动态性和时效性，通过联网、嵌入审计模块等方式缩短审计周期和提高监控频率，以实现连续审计为根本目标。 （二）联系 1．信息系统审计是计算机数据审计的必要条件。发展证明，仅对信息系统管理的数据进行审计