信息系统审计探讨.pdfVIP

维普资讯 审计探讨 孙学文 《中华人民共和国审计法》第三十二条规定 ： 审计的管理 目标——即不仅包括被审计信息系统 “审计机关进行审计时，有权检查被审计单位的会 保护资产安全及数据完整而且包括信息系统的有 计凭证 、会计账簿 、财务会计报告和运用电子计算 效性 目标。 机管理财政收支 、财务收支电子数据的系统，以及 信息系统审计的一个出发点在于从外部对被 其他与财政收支、财务收支有关的资料和资产，被 审计单位的信息系统进行全面的审视，可以发现从 审计单位不得拒绝”。这为审计机关开展信息系统 内部看不到的问题。信息系统审计提供的外部审视 审计奠定了法理基础。目前，在我国信息系统的审 的价值既表现在用新的思维方式、新的观点去观察 计还处于起步和探索阶段，随着信息技术在管理、 组织业务 ，分析其存在的问题及原因，也表现在以 经营领域的广泛运用，信息系统的审计已经成为审 科学的态度和创新精神，去设计解决问题的方案。 计全过程的一部分。 如美国审计署近期发布的一份报告称，美国政府负 一 、 信息系统审计的定义 责处理数万亿美元退回税款和社会保险救济金的 信息系统审计(ISaudit)目前还没有公认通用 计算机系统仍然存在易受网络攻击的漏洞。美国审 的定义。1985年 日本通产省情报处理开发协会信 计署的这份报告发现，美国财政部金融管理局的计 息系统审计委员会认为：信息系统审计是由独立于 算机安全管制依然非常松弛，尽管早在 1997年就 审计对象的信息系统审计人员，站在客观的立场 对其提出过警告。这份报告说 ：“数十亿美元的付款 上，对以计算机为核心的信息系统进行综合的检 和募集资金存在丢失或被欺骗的巨大风险，敏感的 查、评价，向有关人员提出问题与劝告，追求系统的 资料存在不适当的泄漏的风险，而且关键的基于计 有效利用和故障排除，使系统更加健全。国际信息 算机的操作非常容易出现严重的中断。”美国审计 系统审计领域的权威专家将它定义为 “收集并评估 署的报告发现该系统几乎到处都存在漏洞，这些漏 证据 以判断一个计算机系统 (信息系统)是否有效 洞是：访问控制不合格，如口令和锁定控制不合理； 做到保护资产、维护数据完整、完成组织 目标 ，同时 系统软件管理不善，如使用复制或过时的程序；雇 最经济的使用资源”。这一定义既包括信息系统的 员职责范围不明确，给予某些雇员的控制权力过 外部审计的鉴证 目标——即对被审计单位的信息 大；没有可覆盖整个系统的综合性安全程序。美国 系统保护资产安全及数据完整的鉴证，又包含内部 审计署建议金融管理局安装一个综合性的安全管 维普资讯 ． 窆 理程序并且修复在机密版本的报告中提出的每一 息系统安全从组织管理角度来讲 ，有信息安全治理 个安全漏洞 。 结构、安全方针政策程序、安全管理、安全教育与培 二、开展信息系统审计的必要性 训、组织文化、应急预案和业务持续性管理等问题。 新经济时代下，电子政务带来政府管理和服务 (三