信息系統審計(Information System Audit)，又稱IT審計，是指根據公認的審計準則和審計標準、指南等對信息系統及其業務應用的效能、效率、安全性進行監測、評估和控制的過程，以確認預定的業務目標得以實現。具體而言，信息系統審計以企業或政府等組織的信息系統為審計對象，通過現代的審計理論和IT治理理論，從企業信息資產的安全性、數據的完整性以及系統的可用性和有效性等方面出發，對信息系統是否能夠有效達到組織的業務戰略目標進行全面的檢測和評估，并為改善和健全組織對信息系統的控制提出詳細的建議。

    信息系統審計業務可以通過獨立的外部審計(即獨立執業的信息系統審計師)、企業內部審計(企業內審部門的成員)和作為財務審計的支撐(注冊會計師事務所的IT審計機構，財務審計小組的IT控制專家)而開展。信息系統審計的主要特點如下。

一、審計目標

    信息系統審計主要有四個目標：資產安全性、系統有效性、系統效率性和數據完整性。實施信息系統審計可以評價企業目前的IT治理情況，企業IT長期、短期戰略能否滿足企業總體目標的實現；評價和監控系統開發和實施是否符合規范、合同、需求；評價外包服務商提供的產品和服務是否與合同相符，評價主要數據中心，網絡通訊設施的結構設計、財務系統與非財務系統是否建立并實施了足夠的業務流程控制與安全控制；評價企業門戶系統是否為企業帶來足夠的信譽，支持其他審計人員工作，為財務審計人員與經營審計人員提供技術支持和培訓。為企業提供針對性的IT咨詢服務；指導組織推廣實施IT控制自評程序，隨時進行自我診斷。

    由于現代企業的業務流程越來越依賴于信息系統，因此對信息系統內部控制的審計格外重要，加之近年來企業內部控制弱點而導致的信息安全事件越發頻繁，針對企業內控進行定期審查和專項審查的呼聲越來越高。

二、法規遵循

    隨著信息技術的發展，信息已經滲透到我們日常生活與工作的方方面面，各個國家有關信息技術的法律法規也在陸續出臺。信息系統審計的一個重要職能就是首先要確定信息系統符合相關法律、法規的要求，使組織的行為受到現有法律、法規的約束，這是組織避免訴訟風險的最重要的方面。例如，各國的銀行業都有針對銀行數據保護的立法，如果由于數據備份恢復程序不完備，而造成服務中斷，將面臨監管部門的嚴厲處罰。

    一些國家由于對信息系統及相關技術的依賴性日益增加，正在著手建立對信息系統審計進行立法。這些法律的主要內容有：對實施信息系統審計的法律要求、對信息系統審計組織的要求、信息系統審計過程中相關實體的責任，以及財務、業務及信息系統審計職能間的相互關系等。

    信息系統審計師應當建議或者驗證管理層是否根據隱私保護法律法規的要求，制定了組織中適用的隱私保護策略，來保護個人數據的隱私及跨國界的數據流動。

    組織各級管理層都應當了解與組織的業務目標、業務計劃相關的外部法律法規，也要了解與組織的信息服務部門、信息服務功能、信息服務活動相關的法律法規。有兩方面法規尤為重要。一是規范審計或信息系統審計活動的法律規則，二是與審計委托人的信息系統、數據管理及財務報告等方面相關的法律法規。后者無論是內部審計還是外部審計方面都很重要，組織中任何違反法律法規的事項都將對組織的業務運營有負面影響，甚至可能帶來災難。

    2002年，美國國會發表了SOX法案(Sarbanes-OxleyAct：2002，《薩班斯——奧克斯法案》)，該法案涉及了美國證券市場治理的各個方面，明確了所有上市公司都必須建立有效的內部控制框架，以確保上市公司遵守證券法律，以提高公司信息披露的準確性和可靠性，從而保護投資者利益等。SOX的出臺使COSO控制框架成為目前最主流的內部控制標準。COSO中包括了對IT控制的明確要求，ISACA也及時推出了針對SOX與COSO相對照的COBIT控制框架，成為指導信息系統審計師進行SOX符合性審計的有力工具。另一方面，根據Ernst&Young的調查報告，SOX法案404條款專案實施團隊的專業構成中，有66％左右的成員具備信息系統審計經驗。

三、審計內容

    信息系統審計的內容包括一般控制與應用控制。一般控制就是和具體的業務關系比較弱的控制，具體的一般控制內容如用戶密碼控制、操作環境控制、職責分離、變更控制、開發控制、文檔控制、數據質量、信息安全等。應用控制和一般控制最大的區別在于應用控制是和業務邏輯密切相關的，一般控制和業務邏輯無關或關系不大。以銀行業為例，如果審計某信貸管理系統，信息系統審計師會重點審計信貸審批流程、客戶評級體系、貸款5級分類、利率管理、收費管理等等這些控制。例如信貸審批流程里的重點在于審計系統對貸前調查、資料完整性、信用額度管理、貸款權限分配等方面有無控制，以及控制是否起作用。如果存在系統控制，則認為風險較小，在實質性測試階段可減小抽樣樣本量，否則增加樣本量。

    應用控制審計的審計發現不僅僅是系統設計開發方面的缺陷，更重要的發現與防止舞弊行為。從審計的內容來看，應用控制檢查與單位的日常業務處理關系更密切，審計發現也和財務報表等有更直接的關系，信息系統審計活動的增值性更加明顯，被審計單位管理層也容易理解和接受信息系統審計報告。否則很多企業管理層對一般控制的檢查結果將信將疑，他們認為一直都是這樣，從來沒有出過問題。

四、審計過程

    信息系統審計是一個過程，在此過程中搜集和評估證據，以合理保證實現信息系統和相關資源充分保護資產、維持數據和系統的完整性、提供相關和可靠的信息、有效實現組織機構目標、有效使用資源、有效內部控制等。通用的信息系統審計過程分為四步：

    (一)獲取企業IT控制和風險信息

    審計目的：為了使審計師能夠熟悉審計目標所涉及的任務，并且了解被審計單位是如何確認他們已經實施了有效的IT控制，包括識別出已實施的任務和規定的控制程序相關的人員、過程和地點。

    審計程序：首先，對被審計單位進行調研，并將控制目標下的相關活動用文檔記錄下來，對管理層聲明已實施的控制措施與程序進行識別，以確認其存在性。其次，與相關的管理者和員工進行訪談，以理解業務需求特點和相關的風險、組織結構、角色和職務、政策和程序、法律和法規、已有的控制措施、管理報告(狀態、性能、行動項目)。最后，以書面文檔記錄與控制過程相關的IT資源，特別是那些受到被審計的IT過程影響的IT資源。確認理解了待審核的IT過程，該IT過程的關鍵性能指標KPI、實際的控制情況等。

    (二)評價現有控制的適宜性

    審計目的：評估企業當前已有控制措施的有效性和達到控制目的的程度，主要是決定測試什么、是否測試、如何測試。

    審計程序：通過對比已確定的標準和行業最佳實踐，控制方法的關鍵成功要素CSF和利用滲及時的職業判斷來評價待審計過程應用的控制措施的適宜性：存在文檔化的過程、存在適宜的輸出、職責和責任是明確的有效地、在必要時，存在補償控制。對實現控制目標的程度作出結論。

    通過評估現有的控制程序，以確認此程序是否提供了有效的控制。評估時要利用公認的審計準則、行業標準和必要的審計職業判斷。同時，一個有效的控制結構應當在任務已經被執行，控制目標已經達到提供合理保證的前提下，符合成本效益原則，節省人力、財力與物力。

    (三)符合性測試

    審計目的：對組織符合規定的控制程序的程度進行分析，把實際的的控制程序及補償性控制措施與規定的程序進行對比，并進行文檔檢查、訪談相關人員，以判斷控制是否被正確地、持續地實施。

    審計程序：首先，通過測試規定的控制是否按規定、一致地、持續地起作用。得到所選控制項目和階段的直接或間接的證據。其次，使用直接或間接的證據來保證待審核的項目和階段一直遵守相關控制程序的要求。最后，對過程或結果的充分性進行有限的審核。為了證明IT過程是充分的，確定需要進行實質性測試的程度和其他需要進行的工作。一般只對被證明有效的控制程序符合性測試。符合性測試的流程圖如圖1所示。

圖1 信息系統審計過程中的符合性測試流程圖

    (四)進行實質性測試

    審計目的：進行必要的數據測試，就給定的業務目標是否達到，為管理層提供最終的保證。證明信息系統審計師的審計判斷。

    審計流程：通過分析技術和／或可靠的信息來源，證明控制目標的風險不存在。或者證實控制目標沒有被實現時所帶來的風險。信息系統審計師要創造性地尋找和提出通常被認為是敏感的機密信息，書面記錄下控制弱點及其引起的威脅和漏洞；識別并記錄實際的影響和潛在的影響，例如利用因果分析法，提供比較信息等。例如，通過基準比較的方法，給被審計單位管理層提出控制弱點和改進建議。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.vmgcyvh.cn/

本文標題：淺議信息系統審計的特點

本文網址：http://www.vmgcyvh.cn/html/support/11121810020.html