信息系统审计初探.docVIP

PAGE PAGE 1 信息系统审计初探 　　[摘要]近年来，随着计算机技术的不断进步，信息系统已经广泛深入地渗透到社会的各个领域，被审计单位高度依赖信息系统来提高工作效率和加强管理已成为必然。在这种形势下，信息系统审计的必要性逐渐凸显。本文对信息系统审计的特点、目标做了简要介绍，并着重分析开展信息系统审计的流程。 　　[关键词]信息系统；审计；特点；目标；流程 　　[中图分类号]F239.1[文献标识码]A[文章编号]1673-0194（2013）03-0029-03 　　进入21世纪，随着计算机技术的不断进步，以计算机为核心的信息系统得到了迅猛发展，信息系统也广泛深入地渗透到社会的各个领域。被审计单位高度依赖信息系统来提高工作效率和加强管理已成为必然。信息系统作为被审计单位的主要资源，它的安全性、可靠性、有效性和效率性必须得到充分的保障。因此，信息系统审计便应运而生。 　　1信息系统审计的含义及特点 　　信息系统审计是指根据公认的标准和指导规范，对信息系统从规划、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整性、有效性、效率性、安全性等进行监测、评估和控制的过程以确定预定的业务目标得以实现，并提出一系列改进建议的管理活动。信息系统区别于传统的手工审计，具有以下特点。 　　1.1审计内容具有广泛性 　　信息系统审计的对象是以计算机为核心的信息系统。在信息系统中，计算机按照设计好的程序自动处理数据，中间一般不再进行人工干预。这样，系统的合法性、效益性、输出结果的真实性不仅取决于输入的数据、工作人员，还取决于计算机的硬件和软件等。要确定系统的合法性、效益性、输出结果的真实性，不仅要对输出数据、工作人员、打印输出的资料进行审查，而且还要对系统的硬件、系统软件、应用软件和数据文件进行审查，这些工作在传统的手工审计中是没有的。从生命周期看，信息系统审计覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务。因此，信息系统的审计范围要比传统的手工审计更为广泛。 　　1.2审计线索具有隐蔽性和易逝性 　　在信息系统中，审计线索大部分存储在介质上（例如硬盘），这些线索容易被更改、隐匿、转移、伪造。在审计中，如果操作不当，很可能破坏系统的数据文件和程序，不仅销毁了重要的审计线索，而且干扰了被审计单位的工作。 　　1.3审计技术具有复杂性 　　首先，被审计单位的信息系统配备的计算机硬件、软件有很大的差异。审计人员在审计过程中，要和信息系统的硬件和系统软件打交道，这就增加了审计技术的复杂性。其次，被审计单位的业务规模和性质不同，所采用的数据处理及存储方式也不同，审计所采用的方法、技术也不同。第三，不同被审计单位的应用软件开发方式、所使用的程序设计语言也不同，其审计方法和技术也不同。 　　1.4审计取证具有动态性 　　在很多被审计单位中，信息系统已经成为一个中枢系统，系统如果停止工作，将会直接影响被审计单位的经营管理活动。因此，信息系统审计，一般是在系统运行的过程中进行取证，审计人员在完成审计任务的同时，不能妨碍和干扰被审计单位系统的正常运行，这就给审计取证带来一定的难度。 　　1.5信息系统审计是事后、事前、事中审计的结合体 　　如信息系统在开发过程中，由审计人员介入所进行的审计属于事中审计。此项审计相对于系统运行后而对其所进行的审计而言又可以看作是事前审计；信息系统运行后，对其在一定期间的运作情况所进行的审计则为事后审计。 　　2信息系统审计目标 　　审计机关针对被审计单位信息系统开展审计，目的是揭示由于信息系统缺陷导致的信息安全风险、经济安全风险，促进被审计单位加强信息化环境下的内部管理和控制，提高信息化建设项目的效益，同时保证审计所需数据的可靠性、可用性，降低审计风险。 　　2.1保证信息系统的合规性和合法性 　　随着信息系统在组织中的应用范围日益扩大和应用水平日益提高，利用信息系统进行违法犯罪的可能性越来越大，手段也越来越隐蔽。在信息化环境下，被审计单位依赖于信息系统，通过对信息系统的输入、处理、输出及控制功能是否符合国家的法律、法规和有关部门的规章制度的审查，不仅可以有效地堵塞犯罪，而且可以避免国家和组织遭受由此带来的损失。 　　2.2保证数据的准确性 　　数据准确性是指数据能够满足规定的条件，防止错误信息的输入和输出，以及非授权状态下修改信息所造成的无效操作和错误后果。各种复杂业务的出现对信息是否真实、完整提出了鉴证要求。如果数据完整性得不到保护，被审计单位就会失去竞争优势。然而，维护数据的完整性需要成本，因此，要确保所获收益大于所需的控制步骤的成本。信息系统审计有助于控制信息处理系统的风险，提高事务处理的完整性，实现组织目标。 　　2.3保护资产的完整性 　　信息系统的资产包括硬件、软件、数据文件、系