當前位置：首頁 > 文庫 > 文案

it審計和普通審計范文8篇

時間：2024-08-15 14:11:53 29

it審計和普通審計

it審計和普通審計篇1

【關鍵詞】信息信息系統(tǒng)審計問題

一、對信息系統(tǒng)審計的一般認識

（一）信息系統(tǒng)審計的發(fā)展歷程

審計是經(jīng)濟社會發(fā)展到一定階段的產(chǎn)物，隨著經(jīng)濟和社會不斷變化，計算機信息技術不斷發(fā)展進步，信息系統(tǒng)審計也應運而生并不斷發(fā)展。信息系統(tǒng)審歷經(jīng)形成、建立到逐漸完善，低級到高級歷史進程，具體可劃分為萌發(fā)階段、拓展階段、成熟階段、普遍提升階段。

1.萌發(fā)階段。上世紀中葉，信息系統(tǒng)審計（以下簡稱ISA）處于萌芽階段。IBM出版了《電子數(shù)據(jù)處理環(huán)境下的審計》；美國注冊會計師協(xié)會（以下簡稱協(xié)會）出版了《會計審計和計算機》，闡述了如何進行電子數(shù)據(jù)下信息系統(tǒng)審計與傳統(tǒng)外部審計，指出新的電子數(shù)據(jù)下內(nèi)部審計的規(guī)范、組織方式等。此時ISA又被稱為電子數(shù)據(jù)處理審計（EDPA），也就是以計算機為核心的審計。1969年，信息系統(tǒng)審計與控制協(xié)會（以下簡稱ISACA）在美國成立，標志著國際社會正式開始對ISA的研究。

2.拓展階段。二十世紀七十年代，不斷出現(xiàn)的計算機犯罪促使ISA的拓展。1974年，協(xié)會制定了電子數(shù)據(jù)處理審計的標準并記錄于《內(nèi)部管理的調(diào)查與評價對EDP的影響》一書中。1977年，內(nèi)部審計師協(xié)會發(fā)表《系統(tǒng)可審計性及規(guī)則的研究》（SAC報告），該書匯總了針對歐洲、美國、加拿大與日本等國家的企業(yè)所展開的調(diào)研情況，同時指出審計執(zhí)行工具取得的成就。1975年，日本ISA委員會成立并且在1976年發(fā)表多部與信息系統(tǒng)審計相關的書籍：《使用電子計算機的會計組織的內(nèi)部規(guī)則質(zhì)問書（修訂案）》、《EDP審計標準及審計過程試案》和《EDP審計方法》等。1978年，信息系統(tǒng)審計師（CISA）考試與資格認證開始實施，這標志著ISA的深入拓展。

3.成熟階段。信息系統(tǒng)審計發(fā)展的成熟期是八十年代。1982年，日本通產(chǎn)省設立計算機安全研究會，對健全信息化的必要法規(guī)進行研究。1983年，發(fā)表緊要課題——《有關計算機的安全對策》。1984年，日本ISA協(xié)會研究美國的ISA標準并于1985年《IT審計標準》，同時將IT審計師考試加入計算機水平考試中。

4.普遍提升階段。ISA在二十世紀九十年代不斷普及。這一時期，ISACA不斷拓展擴大，一百六十多個分會遍布全球，擬定并頒發(fā)ISA法則與實務指南，同時積極推廣CISA資格考試。1992年，EDP審計委員會在國際最高審計組織（INTOSAI）的推動下成立了，因此又被稱為INTOSAI-EDP委員會。2002年11月將其變更為INTOSAI-IT委員會。

信息系統(tǒng)審計的拓展提升，一方面使得傳統(tǒng)審計技術不斷擴展改變并應用廣泛；另一方面整個社會依賴計算機信息系統(tǒng)越來越緊密促使信息系統(tǒng)審計越來越重要，信息系統(tǒng)審計代表了未來審計發(fā)展的一個重要方向。

（二）信息系統(tǒng)審計的涵義

全球信息系統(tǒng)審計領域內(nèi)的著名專家Ron A. Weber指出，信息系統(tǒng)審計是審計人員經(jīng)被審計單位的授權或者委托，收集、整合證據(jù)，從而評估一個計算機信息系統(tǒng)能否有效地維護資產(chǎn)、保護數(shù)據(jù)完整性，同時最有效地實現(xiàn)組織目的的活動進程。它包含信息系統(tǒng)外部審計的鑒證目標和內(nèi)部審計的管理目標，具體來講是鑒證被審單位數(shù)據(jù)的完整性與資產(chǎn)的安全性以及信息系統(tǒng)的有效性。日本通產(chǎn)省情報協(xié)會將其概述如下：為了信息系統(tǒng)的有效、安全與可靠，由獨立審計對象之外的IS審計師，以客觀的立場對以計算機為主的信息系統(tǒng)展開全面的檢查與評估，同時對所審計單位的最高領導提出意見和建議的一系列的活動。鄧少靈學者指出，IT審計是從規(guī)劃、研究、實行到執(zhí)行維護各個階段展開對信息系統(tǒng)的審查與評估，從而審查信息系統(tǒng)的有效、安全與可靠，以此來保障信息系統(tǒng)得出的數(shù)據(jù)精確可靠。

以上學者對信息系統(tǒng)的定義雖然不盡一致，但通過分析可以發(fā)現(xiàn)信息系統(tǒng)審計的一些要點：

1.信息系統(tǒng)審計的目標是判斷信息系統(tǒng)能否有效保護公司資產(chǎn)，提高企業(yè)經(jīng)營效率和企業(yè)核心競爭力。

2.信息系統(tǒng)審計是一個過程，這個過程需要涵蓋企業(yè)信息系統(tǒng)從規(guī)劃、開發(fā)、實施到運行維護的每一個階段。

3.信息系統(tǒng)審計報告面對的對象是企業(yè)經(jīng)營管理負責人，因為信息系統(tǒng)關系到企業(yè)的日常運營以至生存發(fā)展。

綜合上述幾個要點，筆者總結出，信息系統(tǒng)審計是對企業(yè)信息系統(tǒng)規(guī)劃、研發(fā)、實行、執(zhí)行維護與實現(xiàn)組織目標的效率進行審計的過程，在這個過程中，信息系統(tǒng)審計人員應該對信息系統(tǒng)能否有效保護公司資產(chǎn)，提高企業(yè)經(jīng)營效率以及企業(yè)核心競爭力作出判斷，并向企業(yè)經(jīng)營管理負責人如實報告。

二、信息系統(tǒng)審計的研究現(xiàn)狀

（一）國外研究現(xiàn)狀

it審計和普通審計篇2

隨著計算機技術在管理中的廣泛運用，傳統(tǒng)的管理、控制、檢查和審計技術都面臨著巨大的挑戰(zhàn)。在信息技術突飛猛進的網(wǎng)絡時代，國際會計公司、專業(yè)咨詢公司和高級管理顧問都將控制風險、特別是控制計算機環(huán)境風險和信息系統(tǒng)運行風險作為現(xiàn)代審計、管理咨詢和服務的重點。由于普遍使用大型管理信息系統(tǒng)，幾乎所有的大型跨國公司，都非常重視對信息系統(tǒng)安全和穩(wěn)定性的控制，常常高薪聘請IT審計師進行內(nèi)部審計。在網(wǎng)絡經(jīng)濟迅猛發(fā)展的今天，IT審計師已被公認為全世界范圍內(nèi)非常搶手的高級人才。

IT審計師是“國際信息系統(tǒng)審計師”的簡稱。IT審計師必須具備全面的計算機軟硬件知識，對計算機網(wǎng)絡和信息系統(tǒng)的安全性具有高度而特殊的敏感意識，而且對財務會計和企業(yè)內(nèi)部控制具有深刻的理解能力，要懂管理、懂經(jīng)濟、懂審計、懂計算機、懂內(nèi)部控制、懂網(wǎng)絡技術，既是審計專家，又是信息系統(tǒng)專家，以對計算機信息系統(tǒng)及軟硬件的技術性審計來保證計算機審計質(zhì)量的可靠性。

二、從IT審計看審計學科的發(fā)展與技術時代的到來

1、IT審計是技術審計的一個典型，IT審計師標志著一個新的審計時代——“技術審計時代”的到來。

隨著經(jīng)濟管理與科學技術的不斷結合與日益滲透，現(xiàn)代審計已經(jīng)遠遠超出了僅對財務會計進行審查的狹窄范圍，不斷向管理領域和技術領域滲透。IT審計是技術審計的一個典型。IT審計實質(zhì)上是對計算機軟件和硬件及整個信息系統(tǒng)的審計，否則，就不能稱為IT審計。由于計算機的廣泛普及，審計環(huán)境發(fā)生了巨大變化。假如審計人員只懂傳統(tǒng)審計，不懂對計算機軟硬件的審計，必然面臨可怕的潛在審計風險。在無紙辦公條件下，會計及其他信息資料被存入計算機信息系統(tǒng)，審計人員如不考慮被審單位計算機軟件和硬件的安全程度，對被審單位的系統(tǒng)與設備盲目信任，即使懂得計算機的簡單應用，也極有可能誤入計算機陷講，后果相當危險。只有對計算機審計風險進行正確估計，根據(jù)實際情況決定是否采取相應的信息系統(tǒng)審計對策，并能夠在風險較大的情況下針對計算機信息系統(tǒng)（包括硬件與軟件）實施必要的技術性審計，才能最終保證審計結果的正確性，防止和降低信息技術條件下的審計風險。IT審計的重要程度由此可以想見。顯然，網(wǎng)絡時代的到來已對審計人員提出了掌握過硬信息技術的要求。IT審計師不僅從事對財務會計、經(jīng)濟管理活動的審計，更重要更關鍵的是對被審單位信息系統(tǒng)進行技術審計。IT審計師的產(chǎn)生是審計領域進一步擴大化的重要標志，代表著新的審計時代——技術審計時代的到來。

實際上IT審計并不是最早的技術審計。早在IT審計之前，就已經(jīng)出現(xiàn)了各種各樣的技術性審計，只不過這些技術審計的技術性不如IT審計那樣與科學技術緊密相關。例如，質(zhì)量管理中的技術性審計——質(zhì)量審計（包括產(chǎn)品質(zhì)量審計、工序質(zhì)量審計與體系質(zhì)量審計等），要求對產(chǎn)品質(zhì)量進行抽查試驗；清潔生產(chǎn)中的技術性審計——清潔生產(chǎn)審計，要求揭示生產(chǎn)技術的缺陷并提出預防和消減污染的機會與對策；能源管理中的技術性審計——能源審計，要求進行能源監(jiān)測，提出能源技術改造方案；環(huán)境管理中的技術性審計——環(huán)境審計，要求實施環(huán)境質(zhì)量監(jiān)測，提出環(huán)境改進建議與降低污染方案；如此等等，都是具有不同技術程度的審計類型，從它們的技術性特點歸類，可以與IT審計并稱“技術審計”。

技術審計的產(chǎn)生是科學技術日益滲透、審計范圍進一步向技術領域拓展的必然結果。隨著科學技術如日新月異和現(xiàn)代審計的不斷發(fā)展，審計的技術領域將不斷延伸，未來的技術審計形式將更加豐富多彩。

2、從IT審計看現(xiàn)代審計學科的發(fā)展。

王光遠教授在其名著《管理審計理論》中將審計學科劃分為“財務審計”與“管理審計”兩大分支，倡導發(fā)展管理審計，并認為管理審計以財務審計為基礎，前者是后者的發(fā)展與延伸。

筆者認為，技術審計是當代科技發(fā)展與審計發(fā)展相互融合的產(chǎn)物。當代社會是科學技術飛躍發(fā)展的社會，科技的迅猛發(fā)展已經(jīng)給整個社會的經(jīng)濟管理活動造成了巨大影響。正是在科技迅速發(fā)展的大背景下才產(chǎn)生了形形的技術性審計。技術性審計是在原來的財務審計和管理審計基礎上，由于科學技術向經(jīng)濟管理領域的滲透而產(chǎn)生的。然而，到目前為止，技術審計在本質(zhì)上并不是獨立于財務審計和管理審計的第三大審計分支，而是融于財務審計、管理審計之中的一類審計形態(tài)。即在財務審計與管理審計兩大分支當中都包含某些技術審計。比如，進行計算機財務審計，主要的或本質(zhì)上是實施財務審計，但由于計算機軟件和硬件對財務信息的巨大影響，也往往不得不對使用的硬件和軟件進行審計，這又是技術審計；清潔生產(chǎn)審計實質(zhì)上屬于環(huán)境（管理）審計中針對生產(chǎn)過程所實施的技術審計，但這種技術審計又是為進行管理審計服務的，依附于管理審計。

從受托責任理論分析，可以提出“受托技術責任”的概念。在財務審計分支中的技術審計，其受托技術責任屬于受托財務責任的二級責任，比如IT審計中，保證會計報表真實可靠，就必須要求信息系統(tǒng)的軟件系統(tǒng)和硬件系統(tǒng)同時可靠，后者從屬于前者，被審單位承擔的受托信息技術責任就是其所負受托財務責任的二級責任。在管理審計分支中的技術審計，其受托技術責任屬于受托管理責任的二級責任。例如，環(huán)境審計實質(zhì)是對環(huán)境管理的審計，因此屬于管理審計。但進行企業(yè)環(huán)境審計，需要審查企業(yè)的生產(chǎn)工藝與生產(chǎn)技術，甚至審查產(chǎn)品的環(huán)保技術性能，此類技術方面的審計都是為了證實企業(yè)環(huán)境保護方面的受托管理責任。

總之，對財務會計的審計稱為財務審計；對管理進行的審計稱為管理審計；對技術方面的審計就應當稱為技術審計。從這個意義上說，技術審計應是現(xiàn)代審計的第三大領域。20世紀30年代以前財務審計一統(tǒng)天下，30年代以后80年代以前管理審計異軍突起，與財務審計并駕齊驅，80年代以來技術審計不斷涌現(xiàn)，90年代IT審計初視端倪，21世紀將是IT審計師獨領的時代。

三、IT審計等技術審計的產(chǎn)生對我國審計發(fā)展影響重大

勿庸諱言，技術審計至今未能脫離財務審計和管理審計而單獨存在。然而，盡管技術審計尚未獨立為現(xiàn)代審計的第三分支，但“技術審計”概念的提出仍然極具積極意義。技術審計反映了科技與審計、科技與經(jīng)濟管理相互融合與滲透的時代特點，要求審計人員既要掌握經(jīng)濟管理知識，又要掌握科學技術?，F(xiàn)代審計向管理領域和技術領域滲透，是不以人的意志為轉移的必然趨勢。也許將來技術審計會成為與財務審計和管理審計相并列的第三大分支。

在不久的將來，無論是國家審計、內(nèi)部審計還是注冊會計師審計，不懂IT技術必然遭遇災難性風險，離開IT審計將寸步難行。國際著名會計公司德勤會計師行的高級合伙人鮑威爾先生指出，全世界即將迎來管理領域信息化的高潮。信息技術對傳統(tǒng)管理和控制的挑戰(zhàn)是空前的，主要表現(xiàn)在三個方面：一是內(nèi)部控制環(huán)節(jié)的變化，許多傳統(tǒng)的控制手段已經(jīng)失去意義，評價和改進內(nèi)部控制必須以信息系統(tǒng)的運轉為基礎；二是管理的風險增加，由于企業(yè)經(jīng)營越來越依賴于信息系統(tǒng)，除了傳統(tǒng)意義上的經(jīng)營風險、控制風險和財務風險之外，企業(yè)信息系統(tǒng)安全性導致的信息技術風險日益增長；三是對復合性高級人才的需求驟增，要求管理者、審計師和咨詢?nèi)藛T必須在精通管理和專業(yè)的同時熟悉信息系統(tǒng)和網(wǎng)絡技術。

it審計和普通審計篇3

今昔對比的差別固然明顯,橫向對比也很能說明問題。各級政府的行政審批大廳,服務功能雖大同小異,用戶體驗卻可能有天壤之別。因缺乏排隊設備造成的亂排隊,公告提示不清楚造成的誤排隊、誤提交,以及因辦公設備不穩(wěn)定造成的無謂等待……都直接影響著公眾滿意度。

就運營來說,問題就更明顯了,如果前期設計和調(diào)研不夠完善,往往會造成因IT設備采購分散而增加成本、增加售后服務難度,以及設備本身的功能不全、穩(wěn)定性不夠、耗電量高等一系列問題。這種信息化建設本身帶來的問題對于專注行政管理的政府部門來說,無疑是個大包袱。

“政府需要從采購、管理到服務全面覆蓋的一整套方案?！贬槍Ξ斍靶姓徟髲d存在的實際問題,中國惠普信息產(chǎn)品集團臺式機方案總監(jiān)王成偉在接受記者采訪時表示。事實的確如此,在采購環(huán)節(jié),如果能一站式采購,服務與采購成本問題就都能妥善解決,當然這對供應商的能力提出了較高要求;在使用階段,單有定制化設備還不夠,還要方便政府人員在后臺統(tǒng)一管理和維護;而在價值交付階段,公眾更關注界面的親和程度、信息的豐富程度以及流程的順暢程度,這就要求供應商真正理解電子政務的需求。

結合超長產(chǎn)品線帶來的資源和成本優(yōu)勢,惠普順勢推出了“無憂政務”解決方案。王成偉介紹說,惠普依照大廳的功能分區(qū),把行政審批大廳劃分為大廳取號區(qū)、信息查詢區(qū)、公告顯示區(qū)、審批服務區(qū)、后臺管理區(qū)、IT管理區(qū)共六個業(yè)務環(huán)境,針對每個區(qū)域的需要,惠普都有產(chǎn)品與之對應,形成涵蓋惠普軟硬件產(chǎn)品在內(nèi)的政府公共服務IT應用環(huán)境。

在大廳取號區(qū)、信息查詢區(qū)、公告顯示區(qū),公眾尚處于等待審批狀態(tài)。此時,借助惠普Kiosk排隊終端和Kiosk多功能自助查詢終端,他們就可以取號等待并且便捷地查詢辦事流程。通過惠普數(shù)字標牌的多內(nèi)容顯示,視頻、圖片、文字都可以在大屏幕中顯示,讓人一目了然,并且可以隨時更新內(nèi)容,其效果遠勝過紙質(zhì)印刷或傳統(tǒng)LED顯示。審批階段是行政審批大廳運營的核心環(huán)節(jié),惠普為此設計了十分注重安全穩(wěn)定、極低故障率且低能耗的HP Compaq 6000 Pro政府用高端臺式機以及HP t5470瘦客戶機;考慮到后臺管理辦公區(qū)是工作人員具體審批處理之處,除了滿足之前的常規(guī)性高要求之外,惠普還增加了HP ProBook 6550b和HP EliteBook 2540p商用筆記本電腦的選擇,以滿足管理人員的移動性辦公需要。這一整套硬件設備看似繁雜,但管理起來卻相對簡單。

it審計和普通審計篇4

關鍵詞：賬號；身份認證；訪問授權；審計

中圖分類號：F259 文獻標識碼：A文章編號：1007-9599 (2011) 17-0000-01

Unified Identity Control and Audit Management Application in Large Enterprises IT System

Hu Xueyong

（Beijing Capital International Airport Company Limited,Beijing100621,China）

Abstract:In large enterprises IT system run management,through establishing unified identity control and audit management platform,implementation Account Management,Authentication,Authorization and Audit,will strengthen and upgrade information system audit of-in rules sexual and system run of security.

Keywords:Account;Authentication;Authorization;Audit

大型企業(yè)的內(nèi)部運營管理以及與外部的交互合作已經(jīng)高度依賴IT系統(tǒng)，因此IT系統(tǒng)的運維風險已經(jīng)成為大型企業(yè)風險管理體系中重要的一部分。業(yè)內(nèi)統(tǒng)計結果表明企業(yè)信息安全風險主要來自于內(nèi)部，70%是由于內(nèi)部員工的疏忽或故意行為造成的，因此如何將IT系統(tǒng)運行控制和審計的主體落實到實名用戶，便于準確和高效的監(jiān)管？如何對危險操作行為進行警示，對高危操作行為進行攔截？如何對運維過程中的所有操作進行記錄，在事后進行回放？已經(jīng)成為IT系統(tǒng)主管部門不得不面對的重要課題。

一、系統(tǒng)概述

建立統(tǒng)一身份控制和審計管理平臺，通過對用戶進行統(tǒng)一的實名管理以及統(tǒng)一的認證來控制用戶訪問主機的權限并記錄用戶對主機的操作行為，通過回放操作日志來實現(xiàn)事后的審計，監(jiān)控用戶會話來實現(xiàn)事中的監(jiān)督與控制。平臺架構如下圖所示：

二、系統(tǒng)實現(xiàn)

如上圖所示，建立統(tǒng)一身份控制和審計管理系統(tǒng)，對用戶在系統(tǒng)上的訪問行為進行嚴格的控制，無論本地用戶還是遠程用戶，都需要通過該系統(tǒng)實現(xiàn)對系統(tǒng)的登錄，以進行相應的控制和審計，該系統(tǒng)可以對動態(tài)令牌卡，智能卡，數(shù)字證書，生物識別技術等登錄方式進行認證和訪問控制，同時對訪問系統(tǒng)的行為進行審計。

（一）賬戶管理。集中維護的賬號包括自然人（主賬號）和資源（從賬號）在內(nèi)的全部賬號以及和賬號相關的可在4A賬號管理模塊中集中管理的賬號屬性。其中主賬號應包括在該平臺中創(chuàng)建用于標識唯一自然人ID；從賬號為該平臺所管理的系統(tǒng)資源的信息，資源的范圍包括系統(tǒng)資源（服務器、網(wǎng)絡設備、數(shù)據(jù)庫、安全設備、其他）。

（二）用戶身份認證：賬號認證方式支持本地靜態(tài)密碼認證和第三方的AD域、LDAP、radius認證；支持結合多因素認證方式；可以根據(jù)工作的需要，將用戶多角色劃分，可以劃分成超級管理員、審計管理員、密碼保管員、普通用戶四種角色；可以針對不同用戶設置不同的登錄認證方式。

（三）用戶訪問控制?？梢曰诘顷戀~戶、源IP地址、目的IP地址、訪問次數(shù)、時間段進行訪問控制；可以基于用戶/用戶組、目標設備/設備組、系統(tǒng)賬號、訪問協(xié)議類型設定訪問控制策略；支持對任一活動的圖形會話（rdp、http、https、xwin、vnc、客戶端）或字符會話操作（telnet、ssh）的實時監(jiān)控；支持用戶組對資源服務器組的組對組的權限分配。

（四）審計管理。審計分權，可以設定不同的審計管理員是只能審計指定的設備還是審計所有設備；審計內(nèi)容，系統(tǒng)的審計除了可以記錄用戶的會話操作外，還可以記錄管理員在堡壘機上進行的所有操作，如：配置操作、改密操作、審計操作等；針對核心設備，可設置登錄告警，告警方式可以支持短信、郵件、syslog；數(shù)據(jù)庫審計，記錄精確到用戶賬號（自然人）；完整記錄通過瀏覽器方式登錄到數(shù)據(jù)庫和通過后臺服務器登錄到數(shù)據(jù)庫上進行的各種操作；完整記錄sqlplus、PL/SQL Developer、Quest Toad等客戶端工具的數(shù)據(jù)庫訪問過程；完整記錄圖形化操作過程，并可以對操作過程中的鍵盤、鼠標操作和剪貼板操作進行文本記錄。

三、結論

it審計和普通審計篇5

[關鍵詞]信息安全審計；審計應用；審計實現(xiàn) ；APP

doi：10.3969/j.issn.1673 - 0194.2015.08.012

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2015）08-0019-01

近年來，隨著辦公業(yè)務對手機軟件相關信息系統(tǒng)的依賴越來越高，APP應用軟件信息系統(tǒng)存在的風險對業(yè)務的潛在影響也越來越大。解決針對業(yè)務信息內(nèi)容的篡改操作行為的監(jiān)控管理的問題，必須要有一種有效的安全技術手段對內(nèi)部員工、運行維護人員以及第三方人員的上網(wǎng)行為、內(nèi)網(wǎng)行為、操作行為等進行有效的監(jiān)控和管理，并對其行為趨勢進行分析和總結。

1 APP應用信息安全審計定義

為了APP應用信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的IT審計師，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向IT審計對象的最高領導，提出問題與建議的一連串的活動稱為IT審計。IT審計就是信息系統(tǒng)審計，也稱IT監(jiān)查。

2 APP應用信息安全審計的實現(xiàn)

要實現(xiàn)APP應用信息安全審計，保障計算機信息系統(tǒng)中信息的機密性、完整性、可控性、可用性和不可否認性（抗抵賴），需要對計算機信息系統(tǒng)中的所有網(wǎng)絡資源（包括數(shù)據(jù)庫、主機、操作系統(tǒng)、網(wǎng)絡設備、安全設備等）進行安全審計，記錄所有發(fā)生的事件，提供給系統(tǒng)管理員作為系統(tǒng)維護以及安全防范的依據(jù)。

2.1 合規(guī)性審計

做到有效控制IT風險，尤其是操作風險，對業(yè)務的安全運營至關重要。因此，合規(guī)性審計成為被行業(yè)推崇的有效方法。安全合規(guī)性審計指在建設與運行IT系統(tǒng)中的過程是否符合相關的法律、標準、規(guī)范、文件精神的要求一種檢測方法。這作為風險控制的主要內(nèi)容之一，是檢查安全策略落實情況的一種手段。

2.2 日志審計

基于日志的安全審計技術是通過SNMP、SYSLOG或者其他的日志接口從網(wǎng)絡設備、主機服務器、用戶終端、數(shù)據(jù)庫、應用系統(tǒng)和網(wǎng)絡安全設備中收集日志，對收集的日志進行格式標準化、統(tǒng)一分析和報警，并形成多種格式和類型的審計報表。

2.3 網(wǎng)絡行為審計

基于網(wǎng)絡技術的安全審計是通過旁路和串接的方式實現(xiàn)對網(wǎng)絡數(shù)據(jù)包的捕獲，進行協(xié)議分析和還原，可達到審計服務器、用戶終端、數(shù)據(jù)庫、應用系統(tǒng)的安全漏洞，審計合法、非法或入侵操作，監(jiān)控上網(wǎng)行為和內(nèi)容，監(jiān)控用戶非工作行為等目的。網(wǎng)絡行為審計更偏重于網(wǎng)絡行為，具備部署簡單等優(yōu)點。

2.4 主機審計

主機安全審計是通過在主機服務器、用戶終端、數(shù)據(jù)庫或其他審計對象中安裝客戶端的方式來進行審計，可達到審計安全漏洞、審計合法和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容以及向外拷貝文件行為、監(jiān)控用戶非法行為等目的。主機審計包括主機的漏洞掃描產(chǎn)品、主機防火墻和主機IDS/IPS的安全審計功能、主機上網(wǎng)和上機行為監(jiān)控、終端管理等類型的產(chǎn)品。

2.5 應用系統(tǒng)審計

應用系統(tǒng)安全審計是對用戶在業(yè)務應用過程中的登錄、操作、退出的一切行為通過內(nèi)部截取和跟蹤等相關方式進行監(jiān)控和詳細記錄，并對這些記錄按時間段、地址段、用戶、操作命令、操作內(nèi)容等分別進行審計。

2.6 集中操作運維審計

集中操作運維審計側重于對網(wǎng)絡設備、服務器、安全設備、數(shù)據(jù)庫的運行維護過程中的風險審計。

運維審計的方式不同于其他審計，尤其是維護人員為了安全的要求，開始大量采用加密方式，如遠程桌面協(xié)議（Remote Desktop Protocol，RDP）、SSL等，加密口令在連接建立的時候動態(tài)生成，一般的針對網(wǎng)絡行為進行審計的技術是無法實現(xiàn)的。

3 審計系統(tǒng)的實現(xiàn)

通過對6類審計產(chǎn)品的綜合應用，可以形成較完備的APP應用信息系統(tǒng)安全審計應用系統(tǒng)，對整個網(wǎng)絡與信息系統(tǒng)中的網(wǎng)絡、主機、應用系統(tǒng)、數(shù)據(jù)庫及安全設備等進行安全審計，且可以支持分布式跨網(wǎng)審計，并進行集中統(tǒng)一管理，達到對審計數(shù)據(jù)綜合的統(tǒng)計與分析，更有效地防御外部的入侵和內(nèi)部的非法違規(guī)操作，最終起到保護信息和資源的作用。

參考網(wǎng)絡與信息系統(tǒng)安全審計應用模型，企業(yè)既可以采取單項逐一建設方式，也可以采用多項綜合建設方式建立內(nèi)部審計應用系統(tǒng)。對于擁有分（子）公司且不在同一地區(qū)的企業(yè)，也可以通過城域網(wǎng)絡把多個分（子）公司統(tǒng)一起來，進行集中建設，統(tǒng)一管理。

4 結論

通過整合市面上多種不同類型的審計產(chǎn)品，按照網(wǎng)絡與信息系統(tǒng)安全審計應用模型，采用“統(tǒng)一規(guī)劃、分步實施”的方式，可以在企業(yè)內(nèi)部建立起嚴格監(jiān)控的網(wǎng)絡與信息系統(tǒng)安全審計應用平臺，提升企業(yè)信息化日常運維及操作的安全性。

主要參考文獻

[1]胡克瑾.IT審計[M].北京：電子工業(yè)出版社，2002.

[2]徐正旦.審計研究前沿[M].上海：上海財經(jīng)大學出版社，2011.

it審計和普通審計篇6

內(nèi)容摘要:本文詳細介紹了電信行業(yè)的信息技術一般性控制的內(nèi)容。首先介紹了國際上通用的信息技術內(nèi)部控制的理論框架以及中國內(nèi)部審計協(xié)會的內(nèi)部審計第28號具體準則――信息系統(tǒng)審計的內(nèi)容,并結合實踐對電信行業(yè)信息技術一般性控制的系統(tǒng)范圍、實施框架及信息技術一般性控制問題及改進措施進行了研究,以期為電信行業(yè)不斷完善信息技術一般性控制體系提供理論參考。

關鍵詞:內(nèi)部控制信息系統(tǒng)審計信息技術一般性控制

美國的《薩班斯法案》404條款對企業(yè)的內(nèi)部控制提出了嚴格規(guī)范,要求在美上市的公司按照404條款推薦的COSO框架建立起完善的公司內(nèi)部控制體系,并對企業(yè)的公司治理、IT治理及IT控制提出了更嚴格的要求。同時其第二審計準則也提出了對信息技術的要求,如審計準則#40“……需要測試的控制包括其他控制所依賴的信息技術一般性控制……”,審計準則#5“……程序開發(fā)、程序變更、計算機運行、運行和數(shù)據(jù)訪問等各方面的控制保證了業(yè)務處理的有效運行……”等等。

中國電信在2006年初啟動了“與財務報告相關的信息技術內(nèi)部控制(簡稱IT內(nèi)控)”項目,項目涉及電信總部及20個上市子公司,建立起全公司的IT內(nèi)部控制體系,并對發(fā)現(xiàn)的差異及不足開展深入細致的整改;自此歷年完善,均順利通過各年度外部審計。信息技術一般性控制作為電信IT內(nèi)控的重要組成部分,一方面企業(yè)的組織、流程、系統(tǒng)是不斷調(diào)整轉變的,信息技術一般性控制的內(nèi)容也應隨之調(diào)整完善,滿足SOX的合規(guī)性;另一方面為提升企業(yè)自身的IT治理水平,信息技術一般性控制也是一種加強IT管控和有效實現(xiàn)IT治理的重要手段。

信息技術一般性控制理論概述

(一)COBIT框架

美國IT治理協(xié)會(IT Governance Institute)于1996年頒布的COBIT,是國際上最具權威和最通用的有關IT控制和治理框架規(guī)范;2004年該協(xié)會頒布了COBIT中與《薩班斯――奧克斯利法案》第404條款的IT內(nèi)控框架。COBIT框架將內(nèi)部控制視為一個包括政策、程序、實務和組織結構的支持企業(yè)完成目標的程序。因此,通過有效地應用COBIT框架可幫助企業(yè)來達到COSO的監(jiān)控要求。

COBIT框架主要有三個維度IT流程、IT資源、IT信息準則。其中:IT信息準則包括質(zhì)量、信用、安全;IT資源包括人員、應用系統(tǒng)、設施、技術、數(shù)據(jù);IT流程包括領域、流程、活動。

COBIT給出了在不同的IT生命周期流程中(包括信息系統(tǒng)計劃、開發(fā)、運行維護全生命周期),對不同的IT資源的關鍵控制點和需要達到的信息準則目標作出規(guī)定。

(二)內(nèi)部審計第28號具體準則――信息系統(tǒng)審計

“內(nèi)部審計第28號具體準則――信息系統(tǒng)審計2”是2009年1月由中國內(nèi)部審計協(xié)會實施的,該準則明確規(guī)定了對組織層面信息技術控制、信息技術一般性控制及業(yè)務流程層面相關應用控制的審計。其中,第21條針對信息技術一般性控制做了明確的規(guī)定:信息技術一般性控制是指與網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)及其相關人員有關的信息技術政策和措施,以確保信息系統(tǒng)持續(xù)穩(wěn)定地運行,支持應用控制的有效性。信息技術一般性控制包含了信息安全管理、系統(tǒng)變更管理、系統(tǒng)開發(fā)和采購管理和系統(tǒng)運行管理五方面控制內(nèi)容。

(三)國內(nèi)企業(yè)內(nèi)部控制體系建設現(xiàn)狀

繼美國SOX法案頒布之后,財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會在此前的《企業(yè)內(nèi)部控制基本規(guī)范》基礎上,于今年聯(lián)合了《企業(yè)內(nèi)部控制配套指引》。該配套指引包括18項《企業(yè)內(nèi)部控制應用指引》、《企業(yè)內(nèi)部控制評價指引》和《企業(yè)內(nèi)部控制審計指引》,這標志著適應我國企業(yè)實際情況、融合國際先進經(jīng)驗的中國企業(yè)內(nèi)部控制規(guī)范體系基本建成。同時,財政部等五部門制定了實施時間表:自2011年1月1日起首先在境內(nèi)外同時上市的公司施行,自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行;之后將進一步擴大到在中小板和創(chuàng)業(yè)板的上市公司施行。

國內(nèi)電信運營商作為在境外上市的國有超大型央企,將成為遵循中國企業(yè)內(nèi)部控制規(guī)范體系的首批企業(yè)。一方面,當前國內(nèi)企業(yè)還未大規(guī)模開展企業(yè)內(nèi)部控制制度的建設,國內(nèi)電信企業(yè)作為先行者,已按美國SOX法案要求于2006年開始初步建立了信息技術內(nèi)部控制制度,積累了信息技術內(nèi)部控制建設的寶貴經(jīng)驗,可為國內(nèi)其他企業(yè)內(nèi)部控制制度的建設提供參考借鑒。一方面,經(jīng)過2008 年的運營商重組,電信行業(yè)進入全業(yè)務運營時代,業(yè)務、流程、系統(tǒng)的銜接變得更加復雜,對業(yè)務流程與系統(tǒng)支撐的要求越來越高;隨著電信行業(yè)的快速發(fā)展和競爭的加劇,國內(nèi)電信運營商的運營風險在逐步加大,加之行業(yè)監(jiān)管力度的加強及中國企業(yè)內(nèi)部控制規(guī)范的要求,電信運營商需要在更高層次上進一步完善內(nèi)部控制體系。

信息技術一般性控制框架構建

在COBIT框架和內(nèi)部審計第28號具體準則――信息系統(tǒng)審計的理論基礎上,電信行業(yè)的信息技術一般性控制實施框架主要包括對程序和數(shù)據(jù)的訪問、程序變更管理、程序開發(fā)、系統(tǒng)運行、最終用戶計算控制五部分,其所具體包含的內(nèi)容如下:

程序和數(shù)據(jù)的訪問控制。涉及邏輯安全和物理安全、用戶賬號的添加、修改及刪除控制、用戶賬號的定期審閱、職責分工控制等。

程序變更管理控制。涉及系統(tǒng)變更授權、系統(tǒng)變更的測試校驗和批準、系統(tǒng)變更的移植、系統(tǒng)配置參數(shù)變更、緊急程序變更流程等。

程序開發(fā)控制。涉及系統(tǒng)開發(fā)審批授權、系統(tǒng)開發(fā)項目管理及開發(fā)方法、系統(tǒng)開發(fā)測試、數(shù)據(jù)移植等。

系統(tǒng)運行控制。涉及系統(tǒng)運行及作業(yè)計劃、系統(tǒng)備份、系統(tǒng)備份恢復性測試、問題管理流程等。

最終用戶計算控制。涉及對影響財務報表的重要電子表格和其它用戶自編程序。

根據(jù)信息技術一般性控制要求,從電信業(yè)務運營流程中梳理出對應的與財務報表相關的信息系統(tǒng),由此梳理出納入信息技術一般性控制涉及的信息系統(tǒng)如表1所示。

程序和數(shù)據(jù)的訪問的控制要求如表2所示。

程序變更管理的控制要求如表3所示:

程序開發(fā)的控制要求如表4所示。

系統(tǒng)運行的控制要求如表5所示。

最終用戶計算的控制要求如表6所示。

信息技術一般性控制問題及改進措施

電信實施信息技術一般性控制以來,發(fā)現(xiàn)的主要問題主要有政策和流程缺失、缺乏職責分工、缺少工作留痕、異地備份和恢復性測試這四個方面,本文將對這四方面存在的問題以及對于問題的改進方法進行詳細闡述。

政策與流程缺失。問題主要在于信息系統(tǒng)維護管理的組織架構中缺少信息安全管理的崗位及職能,沒有制定統(tǒng)一的信息安全政策、變更管理流程、信息系統(tǒng)開發(fā)方法與項目管理方法的政策與流程。對此,信息系統(tǒng)維護部門至少設立一個信息安全管理崗位,該崗位可專職或兼職,崗位工作職責應包括維護組織信息安全管理辦法、負責對員工安全教育和宣貫、審閱超級用戶的操作日志和系統(tǒng)安全日志等;建立或完善信息系統(tǒng)管理政策及流程,如制定統(tǒng)一的信息安全政策,包括網(wǎng)絡安全、物理安全、操作系統(tǒng)安全、應用程序安全等方面;通過培訓宣貫、監(jiān)督檢查等方式督促員工掌握并執(zhí)行相關的信息系統(tǒng)管理政策和流程。

缺乏職責分工。主要出現(xiàn)在信息系統(tǒng)的維護管理缺乏有效的職責分離,個別信息系統(tǒng)的權限過于集中。具體存在兩種情況:一是信息系統(tǒng)的系統(tǒng)管理人員同時身兼操作系統(tǒng)/數(shù)據(jù)庫和應用系統(tǒng)管理員;二是各類信息系統(tǒng)均缺乏獨立于系統(tǒng)管理員的日志審核人員。對此,操作系統(tǒng)管理員(或數(shù)據(jù)庫管理員)和應用系統(tǒng)管理員、系統(tǒng)開發(fā)人員與系統(tǒng)維護人員、系統(tǒng)安全日志審核人員與系統(tǒng)管理員之間不能交叉兼任;在實際工作中,受到維護人員較少等客觀因素的制約,可以通過交叉管理的方式解決實際的人員短缺等困難。例如有A、B兩個系統(tǒng) ,可以由A系統(tǒng)的管理員擔任B系統(tǒng)的日志管理員,而A系統(tǒng)的日志管理員則由B系統(tǒng)的管理員擔任,通過交叉審核達到要求。

缺少工作留痕。問題普遍存在日常工作中,對于所執(zhí)行的操作、系統(tǒng)/日志的檢查、定期審閱、授權、審核簽字等過程中未能保留完整的書面記錄。對此,應充分重視培養(yǎng)工作留痕、記錄書面化的習慣,將此項工作納入日常工作檢查范圍;公司統(tǒng)一使用信息技術一般性控制的文檔模版,按控制要求所規(guī)定的執(zhí)行頻率進行填寫,并保證主管/領導簽字確認和統(tǒng)一歸檔備查。

異地備份和恢復性測試。由于存放環(huán)境等條件制約因素限制,大部分信息系統(tǒng)均未達到異地備份的要求;各類信息系統(tǒng)均未定期執(zhí)行恢復性測試的工作。對此,介質(zhì)存放的手段可以是通過DCN網(wǎng)、光纖傳輸?shù)讲煌瑯怯畹拇鎯Ψ掌魃?也可以利用DVD、磁帶、移動硬盤等介質(zhì)備份后送到異地;定期執(zhí)行后保留書面記錄;對于不存在測試環(huán)境的系統(tǒng),可利用廠商的資源搭建測試環(huán)境,根據(jù)已確定的測試方法進行測試,并保留測試記錄。

總之,本文詳細介紹了電信行業(yè)的信息技術一般性控制的內(nèi)容,結合實踐對電信行業(yè)信息技術一般性控制的系統(tǒng)范圍、實施框架進行了介紹,以期為電信行業(yè)不斷完善信息技術一般性控制體系提供參考。

參考文獻:

1.COBIT 4th Edition,the COBIT Steering Committee and the IT Governance Institute July[M],2005

it審計和普通審計篇7

一、it環(huán)境下傳統(tǒng)企業(yè)內(nèi)部會計控制的缺陷

隨著it技術，特別是以internet為代表的網(wǎng)絡技術的發(fā)展和應用，以提供財務信息為主的會計，正由傳統(tǒng)的手工會計系統(tǒng)向電算化會計系統(tǒng)、網(wǎng)絡會計系統(tǒng)方向發(fā)展，這無疑是企業(yè)管理手段的巨大進步，極大地促進了會計工作效率的提高，但同時也給企業(yè)內(nèi)部會計控制帶來了新的問題和挑戰(zhàn)，具體表現(xiàn)在：

（一）授權方式的改變，潛伏著巨大的控制風險授權、批準，乃是一種常見的內(nèi)部控制手段。在手工會計系統(tǒng)中，一項經(jīng)濟業(yè)務由發(fā)生到形成相應的會計信息，其經(jīng)歷的每一個環(huán)節(jié)都應由具有相應管理權限的有關人員簽章；方可辦理。這種傳統(tǒng)管理方式的效率雖不高，但可有效地防止作弊。然而，在電算化會計信息系統(tǒng)中，權限分工的主要形式是口令授權?？诹畲娣庞谟嬎銠C系統(tǒng)內(nèi)而不像印章那樣由專人保管，一旦口令被人偷看或竊取，便會帶來巨大隱患，此種案例已發(fā)生多起。如c會計人員被客戶收買，竊取口令，非法核銷客戶的應收款及相關資料；銷貨人員竊得顧客訂單密碼，開出假訂單，騙走公司產(chǎn)品等等。

（二）內(nèi)部控制的程序化，有可能使同一種差錯反復發(fā)生電算化會計、網(wǎng)絡會計的內(nèi)部控制，在很大程度上取決于這些會計信息系統(tǒng)中運行的應用程序的質(zhì)量。一旦這些應用程序中存在嚴重的bug或惡意的“后門”，便會嚴重危害系統(tǒng)安全。畢竟，會計人員對計算機專業(yè)知識所知有限，很難及時發(fā)現(xiàn)這些漏洞。這樣在專業(yè)人員找到或墻上這些程序漏洞之前，系統(tǒng)便會多次重復同一錯誤。擴大損失，這也是手工會計系統(tǒng)不會遇到的問題。

（三）原始憑證數(shù)字化，使得會計信息易于被篡改或偽造

在手工會計系統(tǒng)中，原始憑證是以紙張為載體，很難不露痕跡地加以修改或偽造。但隨著電子商務的發(fā)展，一些單位的原始憑證也如同記賬憑證、會計賬簿或報表一樣，已實現(xiàn)數(shù)字化、電子化，即以數(shù)字形式存儲在磁（光）性介質(zhì)上，這種無紙憑證極易被篡改或偽造而不留任何痕跡，它弱化了紙質(zhì)原始憑證所具有的較強的控制功能，給內(nèi)部會計控制帶來了新的難題。另外，磁（光）性介質(zhì)容易損壞，一旦受損，又很難修復，這更使數(shù)字化的會計信息丟失或毀壞的風險加大。

（四）網(wǎng)絡環(huán)境的開放性加劇了會計信息失真的風險

網(wǎng)絡技術無疑是目前it發(fā)展的方向，特別是internet在財務軟件中的應用對電算化會計信息系統(tǒng)的影響將是革命性的。但網(wǎng)絡環(huán)境具有開放性的特點，這就給會計信息系統(tǒng)的內(nèi)部控制帶來了許多新問題。如在網(wǎng)絡環(huán)境下，信息來源的多樣性，有可能導致審計線索紊亂；大量會計信息通過網(wǎng)絡通訊線路傳輸，有可能被非法攔截、竊取甚至篡改；網(wǎng)絡會計信息系統(tǒng)遭受“病毒”入侵或“黑客”攻擊的可能性更大，等等?？傊W(wǎng)絡環(huán)境的開放性和動態(tài)性，加劇了網(wǎng)絡會計信息失真的風險，加大了網(wǎng)絡會計內(nèi)部控制的難度。

二、it環(huán)境下企業(yè)會計信息系統(tǒng)內(nèi)部控制的完善

it技術在會計信息系統(tǒng)中的運用加大了企業(yè)內(nèi)部會計控制潛在的風險，但同時，it技術與業(yè)務流程的結合，也給企業(yè)帶來了控制風險的機會與工具。

（－）網(wǎng)上公證的形成可有效地預防數(shù)字化的原始憑證被修改或偽造

所謂網(wǎng)上公證，就是利用網(wǎng)絡的實時傳輸功能和日益豐富的互聯(lián)網(wǎng)服務項目，實現(xiàn)原始交易憑證的第三方監(jiān)控。比如，每一家企業(yè)都在互聯(lián)網(wǎng)認證機構申領數(shù)字簽名和私有密鑰，當交易發(fā)生時，交易雙方將單據(jù)或有關證明均傳到認證機構，由認證機構核對確認，進行數(shù)字簽名并予以加密，然后將已加密憑證和未加密憑證同時轉發(fā)給雙方，這樣就完成了一筆交易雙方認可并經(jīng)互聯(lián)網(wǎng)認證機構公證的交易。在這種交易中，交易一方因無法獲得另一方的數(shù)字簽名和私有密鑰，很難偽造或篡改交易憑證。主管人員或審計人員一旦對某筆業(yè)務產(chǎn)生懷疑，只需將加密憑證提交客戶和認證機構解密，將其結果與未加密憑證相對照，問題便迎刃而解。

（二）在線測試的實現(xiàn)可及時地解決應用軟件自身存在的問題

it環(huán)境下，會計信息系統(tǒng)使用的應用軟件存在這樣或那樣的問題有時是難免的，解決問題的辦法無非這樣兩個：一是在軟件開發(fā)過程中加強交流，充分測試；二是在軟件運用過程中注意監(jiān)控，及時發(fā)現(xiàn)問題并予以解決。但在單機系統(tǒng)下，用戶與軟件供應商之間因空間的阻隔往往很難充分交流，發(fā)現(xiàn)并解決問題費時費力。到了網(wǎng)絡時代，情況就大不一樣了，互聯(lián)網(wǎng)提供的實時高質(zhì)的通訊傳輸手段，可使用戶和軟件商之間在幾秒鐘內(nèi)建立連接，這就給解決上述問題帶來了方便。比如，在軟件開發(fā)過程中，用戶可通過網(wǎng)絡隨時向開發(fā)商提出要求或建議，開發(fā)商也可以把已開發(fā)完成的軟件及時傳送給用戶進行測試；在軟件使用過程中，開發(fā)商可通過網(wǎng)絡對用戶的系統(tǒng)進行定期的在線測試，一旦發(fā)現(xiàn)問題可及時通知用戶并進行在線升級，把bug的存在時間控制在最短，提高系統(tǒng)的安全性。

（三）監(jiān)控與操作的職責分離可進一步強化系統(tǒng)內(nèi)部的相互牽制

職責分離是內(nèi)部控制的一個重要組成部分。在手工會計系統(tǒng)中，企業(yè)通過把不相容的工作分派給不同的人員擔當以達到相互牽制。但在電算化會計系統(tǒng)中，由于計算機的自動高效的特點，許多不相容的工作（如制單與審核）都已合并到一起由計算機統(tǒng)一執(zhí)行，這就形成內(nèi)控隱患。為了強化系統(tǒng)的內(nèi)部控制，一個比較有效的辦法是在電算化系統(tǒng)內(nèi)分設操作與監(jiān)控兩個崗位，對每一筆業(yè)務同時進行多方備份。當會計人員利用電算化系統(tǒng)進行賬務處理時，其操作和數(shù)據(jù)也被同步記錄在監(jiān)控人員的機器上，并由監(jiān)控人員進行及時備份、定期審查。一旦主管部門或審計人員對某些數(shù)據(jù)產(chǎn)生懷疑時，可利用監(jiān)控人員備份的原始記錄進行分析調(diào)查、辨明真?zhèn)?，這樣就強化了電算化系統(tǒng)內(nèi)部的相互牽制，有效地預防作弊。

（四）采用加密碼的電子簽名，可增強電子化原始數(shù)據(jù)的防偽功能

在無紙化的會計信息系統(tǒng)環(huán)境中，如果應用軟件正確無誤，系統(tǒng)傳輸安全可靠，則會計信息系統(tǒng)中派生數(shù)據(jù)（包括電子化的記賬憑證、賬簿數(shù)據(jù)和會計報表）的正確性、真實性和完整性完全取決于電子原始數(shù)據(jù)。反之，如果不精確、不完整、不合法的原始數(shù)據(jù)被記錄和維護，將會影響以后所有的會計處理，導致一系列派生數(shù)據(jù)的失真。因此，電子化的原始數(shù)據(jù)的審核和確認顯得尤為重要、在手工會計系統(tǒng)中，原始憑證的審核是通過對紙質(zhì)原始憑證上有關責任人簽名的辨別和相關憑證內(nèi)容的相互核對來完成的。電子化原始數(shù)據(jù)的審核可采取類似的方法：一要注意相關業(yè)務不同數(shù)據(jù)記錄之間的相互核對；二要關注經(jīng)辦人、批準人等相關人員的電子簽名。電子簽名不同于手工簽章，會計如何確認這種電子簽名的有效性是一個不容忽視的問題。目前的多數(shù)會計核算軟件中，電子簽名廣泛采用普通漢字或字母代碼填寫，很容易被摹仿或偽造，為了克服這一缺點，增強電子原始數(shù)據(jù)的防偽功能，宜采用加密碼進行電子簽名，使其不容易被篡改或偽造。

（五）充分利用現(xiàn)代it技術，增強網(wǎng)絡會計系統(tǒng)的安全控制

網(wǎng)絡技術在會計信息系統(tǒng)中的應用，極大地豐富了會計信息系統(tǒng)的功能，促進了會計工作效率的提高。但網(wǎng)絡安全問題若不能有效地得到解決，必將限制網(wǎng)絡會計系統(tǒng)的發(fā)展與應用。網(wǎng)絡會計系統(tǒng)安全控制的途徑主要包括：

1.系統(tǒng)軟件安全控制

要按操作權限嚴格控制系統(tǒng)軟件的安裝與修改，接操作規(guī)程定期對系統(tǒng)軟件進行安全性檢查。當系統(tǒng)被破壞時，要求系統(tǒng)軟件具備緊急響應、強制備份、快速重構和快速恢復等功能。

2.數(shù)據(jù)資源安全控制

數(shù)據(jù)庫系統(tǒng)是整個網(wǎng)絡會計系統(tǒng)安全控制的核心，數(shù)據(jù)庫的安全威脅主要來自兩個方面：一是系統(tǒng)內(nèi)外人員對數(shù)據(jù)庫的非法訪問；二是系統(tǒng)故障。誤操作或人為破壞造成數(shù)據(jù)庫的物理損毀。為此，可采取以下措施：（1）合理定義、應用數(shù)據(jù)子模式。即根據(jù)不同類別的用戶或應用項目分別定義不同的數(shù)據(jù)于集，針對特定類型的用戶開放，以限制合法用戶或非法訪問者輕易獲取全部會計數(shù)據(jù)資源；（2）建立數(shù)據(jù)備份和恢復制度。數(shù)據(jù)備份是數(shù)據(jù)恢復與重建的基礎，是一種常見的數(shù)據(jù)控制手段，網(wǎng)絡中利用兩個服務器進行雙機鏡像映射備份是數(shù)據(jù)備份的先進形式。

3.系統(tǒng)入侵防范控制

為了防止非法用戶對網(wǎng)絡會計系統(tǒng)的入侵，可采取以下措施：（1）設置外部訪問區(qū)域。訪問區(qū)域是系統(tǒng)接待外界（關聯(lián)方、社會公眾）網(wǎng)上訪問。與外界進行會計數(shù)據(jù)交換的邏輯區(qū)域。企業(yè)在建立內(nèi)聯(lián)網(wǎng)時，要對網(wǎng)絡的服務功能和結構布局進行詳細分析，通過專用軟件、硬件和管理措施，實現(xiàn)會計應用系統(tǒng)與外部訪問區(qū)域之間的嚴密的數(shù)據(jù)隔離。（2）建立防火墻。防火墻是建立在被保護網(wǎng)絡周邊的、分隔被保護網(wǎng)絡與外部網(wǎng)絡的一種技術系統(tǒng)。為了有效地防范非法用戶對網(wǎng)絡會計系統(tǒng)的入侵，可設置內(nèi)外兩層防火墻，外層防火墻主要用來限制外界對主機操作系統(tǒng)的訪問，內(nèi)層防火墻主要用來邏輯隔離會計應用系統(tǒng)與外部訪問區(qū)域之間的聯(lián)系，限制外界穿過訪問區(qū)域對內(nèi)聯(lián)網(wǎng)，尤其是對會計數(shù)據(jù)庫系統(tǒng)的非法訪問。

三、it環(huán)境下會計信息系統(tǒng)內(nèi)部控制面臨的新問題

高速發(fā)展的it技術，在給企業(yè)會計信息系統(tǒng)增強內(nèi)部控制提供手段的同時，也給其安全帶來了許多新問題，應當引起重視。

（－）網(wǎng)絡會計系統(tǒng)的開放性，使之很難避免非法侵擾

網(wǎng)絡是一個開放的環(huán)境，置于該環(huán)境中的各種服務器上的信息在理論上都是可以被訪問到的，除非它們在物理上斷開連接、脫離網(wǎng)絡環(huán)境。因此，網(wǎng)絡會計信息系統(tǒng)很難完全避免非法訪問者的侵擾。尤其是當系統(tǒng)程序存在嚴重的bug、系統(tǒng)安全控制能力較差而系統(tǒng)管理人員尚不自知時，很難保證系統(tǒng)的信息資源不會被竊取或篡改。這種情況一旦發(fā)生，將會給單位造成巨大的損失。為此，企業(yè)需根據(jù)it技術的最新發(fā)展，定期評估系統(tǒng)的安全性和內(nèi)部控制能力，努力把新技術給老系統(tǒng)帶來的風險降到最低。

（二）網(wǎng)絡會計系統(tǒng)的復雜性，使得稽核與審計的難度加大

網(wǎng)絡是一個由計算機硬件、軟件、操作人員和各種規(guī)程構成的復雜的系統(tǒng)，該系統(tǒng)將許多不相容職責相對集中，加大了舞弊的風險；系統(tǒng)信息以電子數(shù)據(jù)的形式存儲，易被修改、刪除、隱匿或偽造且不留痕跡；系統(tǒng)對錯誤的處理具有重復性和連續(xù)性；系統(tǒng)設計主要強調(diào)會計核算的要求，很少考慮審計工作的需要，這些往往導致系統(tǒng)留下的審計線索很少，稽核與審計必須運用更復雜的查核技術，且要花費更多的時間和更高的代價。會計師必須經(jīng)過專業(yè)培訓、具備復雜電腦資料的處理能力，方能勝任此項工作，這無疑將加大稽核與審計的難度和成本。

（三）電子商務的普及，將給內(nèi)部會計控制帶來前所未有的挑戰(zhàn)

隨著it技術的迅猛發(fā)展，網(wǎng)上交易愈加普遍，電子商務將逐步普及。電子商務一方面極大地提高了商務活動的效率，給企業(yè)帶來了無限的生機，另一方面給網(wǎng)絡會計系統(tǒng)的內(nèi)部控制也帶來了新的挑戰(zhàn)。基于電子商務的單據(jù)電子化、貨幣電子化、網(wǎng)上銀行和網(wǎng)上結算等，雖然可加快資金周轉速度，但給會計信息系統(tǒng)帶來的風險將是空前的?？梢韵胂?，在不久的將來，一旦企業(yè)全部原始憑證都采用數(shù)字格式，實現(xiàn)了電子化，勢必要加強企業(yè)對網(wǎng)上公證機構的依賴，電子單據(jù)的信息保真將顯得特別重要。但直到目前為止，相關的技術并不成熟、相應的法規(guī)也不完善，這將給網(wǎng)絡會計系統(tǒng)的內(nèi)部控制帶來極大的困難和前所未有的挑戰(zhàn)。

it審計和普通審計篇8

【關鍵詞】信息系統(tǒng)審計審計內(nèi)容審計方法

一、引言

相比于傳統(tǒng)審計，信息系統(tǒng)審計（Information System Auditing）是審計領域中的一個新概念。目前，關于信息系統(tǒng)審計，學術界和業(yè)界均無通用的定義。美國信息系統(tǒng)審計權威專家Ron.A.Weber提出：信息系統(tǒng)審計可定義為通過一定的技術手段收集、分析證據(jù)，以對計算機系統(tǒng)是否能夠保證資產(chǎn)安全、維護數(shù)據(jù)完整、實現(xiàn)組織目標以及高效利用資源進行評價的過程。日本通產(chǎn)情報協(xié)會作了如下定義：信息系統(tǒng)審計是指，為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的信息系統(tǒng)審計師以第三方的立場對以計算機為核心的信息系統(tǒng)進行綜合檢查和評價，并向信息系統(tǒng)審計對象的最高領導者提出問題與建議的一連串活動。國際信息系統(tǒng)審計和控制協(xié)會（ISACA）將其定義為：信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程。

針對以上觀點，我們將其要點歸納如下：信息系統(tǒng)審計是審計師對以計算機為核心的信息系統(tǒng)，通過專業(yè)判斷和評價，合理保證信息系統(tǒng)安全、穩(wěn)定、有效，并向信息系統(tǒng)的高層管理者及使用者提供問題解決方案，以達到改善經(jīng)營和為組織增加價值目的的一個過程。

二、信息系統(tǒng)審計的發(fā)展與現(xiàn)狀

20世紀60年代，隨著計算機技術開始運用于企業(yè)的信息收集和整理中，會計信息處理逐漸無紙化，促使審計人員在執(zhí)行傳統(tǒng)審計業(yè)務時，必須關注以電子數(shù)據(jù)為載體的電子數(shù)據(jù)處理審計（EDP Electronic Data Processing）。20世紀70年代中期至80年代，電子數(shù)據(jù)處理和管理系統(tǒng)等在企業(yè)中逐漸普及，同時，計算機犯罪和計算機系統(tǒng)失效的事件頻頻發(fā)生，使得信息系統(tǒng)審計日益得到重視并迅速發(fā)展。美國、日本先后成立了IT審計方面的協(xié)會組織，從事對IT審計規(guī)則的制定和實施指導。20世紀90年代，信息和信息系統(tǒng)已成為企業(yè)的重要資產(chǎn)，企業(yè)和社會對信息系統(tǒng)控制和審計的需求愈發(fā)強烈。發(fā)達國家的信息系統(tǒng)審計進入普及期，許多國家的審計機關、學者和組織對計算機環(huán)境下的信息系統(tǒng)審計進行了有益的探索。同時，東南亞各國也逐漸認識到信息系統(tǒng)審計的重要性，開始著手研究信息系統(tǒng)審計理論和實務。

目前，我國信息系統(tǒng)審計僅有十幾年的歷史，尚處于探索階段，既缺乏開展信息系統(tǒng)審計業(yè)務的人才隊伍，也沒有形成專業(yè)規(guī)范體系，所進行的一些計算機審計方面的探索和嘗試以及計算機審計軟件的開發(fā)和應用還大都停留在對被審計單位電子數(shù)據(jù)進行處理的階段。存在的主要問題有：信息系統(tǒng)審計觀念落后；信息系統(tǒng)審計相關的準則、標準和規(guī)范尚不完善；信息系統(tǒng)審計專業(yè)人才匱乏；信息系統(tǒng)審計軟件開發(fā)工作滯后。

1997年，廣州地鐵開始公司“信息化”建設。最初，廣州地鐵經(jīng)營審計采用“繞過計算機審計”的方法，即對導出數(shù)據(jù)進行審計。審計過程中，其逐漸意識到了運用這種“黑箱原理”審計方法的風險。因此，2006年公司組建了專門的IT審計模塊，探索“如何利用計算機審計”和“通過計算機審計”。其后，廣州地鐵信息系統(tǒng)審計發(fā)展經(jīng)歷了借力、助力和自立三個階段。

一是借力期：IT審計模塊成立初期，公司與外部顧問共同開展IT審計項目，通過外部專業(yè)人員向審計人員傳輸IT審計技能，同時制定《IT審計實施細則》，在人員技能儲備和制度上為IT審計模塊的發(fā)展奠定了基礎。二是助力期：審計人員參照審計手冊，利用從外部顧問處學習到的審計技能，逐步開展信息系統(tǒng)審計工作，將IT審計工作模式調(diào)整為以自身力量為主，外部咨詢服務為輔的模式。三是自立期：2009年，廣州地鐵IT審計已基本實現(xiàn)自主化，且IT審計模塊逐步走向成熟，同時其還建立了具有自身特色的信息系統(tǒng)審計框架。

目前，IT審計已經(jīng)發(fā)展成為廣州地鐵內(nèi)部審計的一根“支柱”，連同“內(nèi)控審計”，作為基本的審計手段貫穿于各類專業(yè)審計工作中，支持審計體系的鞏固與發(fā)展。

三、信息系統(tǒng)審計內(nèi)容

1、國內(nèi)外關于信息系統(tǒng)審計內(nèi)容的研究

開展信息系統(tǒng)審計首先要明確審計內(nèi)容。國際信息系統(tǒng)審計協(xié)會規(guī)定，信息系統(tǒng)審計的主要內(nèi)容包括信息系統(tǒng)程序審計、信息技術（IT）治理、系統(tǒng)生命周期管理、IT服務的交付與支持、信息資產(chǎn)的保護、災難恢復和業(yè)務連續(xù)性計劃。

近十幾年來，國內(nèi)的學者和組織也對信息系統(tǒng)審計的內(nèi)容進行了探索和研究。審計署在2012年頒布的《信息系統(tǒng)審計指南――計算機審計實務公告第34號》中明確提出了：信息系統(tǒng)審計包括對應用控制、一般控制和項目管理的審計。其中，應用控制包括信息系統(tǒng)業(yè)務流程，數(shù)據(jù)輸入、處理和輸出的控制，信息共享和業(yè)務協(xié)同；一般控制包括信息系統(tǒng)總體控制、信息安全技術控制、信息安全管理控制；項目管理包括信息系統(tǒng)建設的經(jīng)濟性、信息系統(tǒng)建設管理、信息系統(tǒng)績效。

上述具有代表性的規(guī)定和研究成果對信息系統(tǒng)審計內(nèi)容的劃分，均是以對信息系統(tǒng)邏輯結構的分析為基礎。全面分析信息系統(tǒng)的邏輯結構，可從信息系統(tǒng)的構成要素、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個維度進行描述：從構成要素來看，信息系統(tǒng)由人員、應用（包括軟件平臺和應用系統(tǒng)）、所采用的技術、硬件設備、數(shù)據(jù)文件運行規(guī)則組成；信息系統(tǒng)生命周期可劃分為信息系統(tǒng)的規(guī)劃階段、開發(fā)階段、運行維護階段和更新階段；從信息系統(tǒng)管理的維度來看，對系統(tǒng)的管理與控制活動貫穿于信息系統(tǒng)生命周期的始終，主要是通過有效執(zhí)行一系列健全有效的規(guī)章制度和管理規(guī)程來實現(xiàn)。

2、廣州地鐵信息系統(tǒng)審計實施框架

結合廣州地鐵信息化項目多、系統(tǒng)更新快、數(shù)據(jù)集成度高、系統(tǒng)控制與手工控制并重等特點，圍繞信息系統(tǒng)構成要素、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個維度，廣州地鐵將信息系統(tǒng)審計的內(nèi)容劃分為整體計算機控制審計、應用控制審計和系統(tǒng)建設效能評價三個方面。其中，整體計算機控制審計是對信息系統(tǒng)運行中的控制活動進行審計，目的是合理保證由信息系統(tǒng)支持的業(yè)務流程控制是可靠的、生成的數(shù)據(jù)和報告是可信的。應用系統(tǒng)控制審計是對業(yè)務流程中的自動化控制活動進行審計，以合理保證交易的有效性、經(jīng)適當授權和記錄、完成的完整性、準確性和及時性。項目及系統(tǒng)績效審計是對信息化項目的過程及成果對企業(yè)和業(yè)務產(chǎn)生的效益進行審計，用來合理保證信息化項目的投資/產(chǎn)出比例符合建設的目標，以及信息系統(tǒng)對企業(yè)戰(zhàn)略起到的預期的支撐作用。圍繞上述三個方面，廣州地鐵內(nèi)部審計確立了以下的實施框架。

（1）確立整體計算機控制安全、操作、變更的三個評價維度，圍繞“信息系統(tǒng)全生命周期”，明確整體計算機控制十個流程。廣州地鐵通過學習和借鑒國際信息系統(tǒng)技術管理和控制標準COBIT，建立起了一套自己的整體計算機控制審計框架?？蚣芸砂戳鞒毯涂刂祁愋蛢煞N方式進行劃分，兩種劃分方式在本質(zhì)上是一致的。在按流程劃分出的每個子流程中，信息系統(tǒng)審計人員需要從變更、安全、操作的角度去確認和評估具體的控制點；在按控制職能所作的劃分中，審計人員需要圍繞信息系統(tǒng)的策略與計劃、信息系統(tǒng)操作、與外部供應商關系、業(yè)務可持續(xù)計劃、應用系統(tǒng)開發(fā)、數(shù)據(jù)庫、軟件支持、網(wǎng)絡、硬件等十個子流程進行審計。

圍繞安全、變更、操作三個角度及十個子流程，廣州地鐵共梳理出有關整體計算機控制的41項審計內(nèi)容，并針對每一項內(nèi)容明確了控制目標和風險，建立起了一套完整的整體計算機控制矩陣。例如，信息系統(tǒng)策略和計劃子流程中，廣州地鐵明確了整體計算機控制的三大目標――信息系統(tǒng)戰(zhàn)略、規(guī)劃和預算應與實際業(yè)務和戰(zhàn)略目標保持一致，計算機處理環(huán)境應得到具有適當技能和經(jīng)驗的人員的充分支持和保證，以及計算機處理環(huán)境中的人員應接受適當?shù)呐嘤?，審計人員在此基礎上針對各控制目標，識別并歸納出廣州地鐵現(xiàn)行的9個控制活動。在具體開展信息系統(tǒng)整體計算機控制審計時，信息系統(tǒng)審計人員根據(jù)審計項目的特點和要求，選擇需要評價的子流程，再對照子流程的控制活動進行評估及測試即可。

（2）從內(nèi)部控制目標出發(fā)，將信息系統(tǒng)應用控制劃分為訪問控制、完整性控制及數(shù)據(jù)質(zhì)量控制三大方面。廣州地鐵將信息系統(tǒng)的應用控制劃分為應用系統(tǒng)訪問控制、流程和系統(tǒng)完整性控制以及數(shù)據(jù)質(zhì)量控制三大類，并針對各類控制分別設計了不同的審計內(nèi)容。

一是應用系統(tǒng)授權訪問控制審計包括對系統(tǒng)的認證方式、授權機制、權限的分配管理以及不相容職責分離在系統(tǒng)中的實現(xiàn)情況的審計，目的在于保證經(jīng)過允許的人才能訪問和操作系統(tǒng)。二是流程和系統(tǒng)完整性控制審計是對系統(tǒng)輸入、處理、輸出以及接口等各種系統(tǒng)運行規(guī)則的審計，用以保證所有經(jīng)允許處理的數(shù)據(jù)均轉換到介質(zhì)上并被處理，且處理的結果可通過適當?shù)姆绞郊右暂敵觯休斎?、轉換、處理和輸出均在正常的時間內(nèi)準確地進行。三是數(shù)據(jù)質(zhì)量控制審計則是指對信息系統(tǒng)中的數(shù)據(jù)的完整性、規(guī)范性和有效性所進行的審計，旨在保證所有系統(tǒng)的輸出均反映為經(jīng)批準的有效的經(jīng)濟業(yè)務，所有經(jīng)過系統(tǒng)的數(shù)據(jù)真實、有效，且能滿足企業(yè)各項業(yè)務的使用要求。

（3）圍繞“信息化項目”和“信息系統(tǒng)”，綜合評價信息化建設的效益。在開展整體計算機控制審計和應用控制審計的基礎上，廣州地鐵從企業(yè)經(jīng)營和投資效益的視角出發(fā)，在信息系統(tǒng)審計中引入了3E審計的概念，嘗試對信息系統(tǒng)建設項目的成效、建成后系統(tǒng)的應用效能以及信息化對戰(zhàn)略的支撐效果進行審計。為了全面評價項目，廣州地鐵通常將對單個信息系統(tǒng)建設項目的合規(guī)性審計與項目效能審計結合在一起開展。

一是信息系統(tǒng)建設成效審計旨在通過對系統(tǒng)建設全過程的審計，促進信息系統(tǒng)的建設規(guī)范性，提高信息系統(tǒng)建設的質(zhì)量。二是信息系統(tǒng)應用效能審計包括對業(yè)務需求的實現(xiàn)情況、建成功能的使用情況的審計分析，以及對系統(tǒng)應用對業(yè)務管理規(guī)范化、標準化和精細化提升作用的綜合評價，目的在于促進系統(tǒng)使用價值的最大化，減少系統(tǒng)建設的投資浪費。三是戰(zhàn)略支撐效果審計是從支持戰(zhàn)略實現(xiàn)的角度，評價信息系統(tǒng)的建設效益，保證信息化建設在符合業(yè)務管理要求的同時，符合公司戰(zhàn)略的需要，支持公司戰(zhàn)略的實現(xiàn)。

四、信息系統(tǒng)審計實施步驟

信息系統(tǒng)審計步驟（或流程），是審計工作從開始到結束的整個過程。信息系統(tǒng)審計流程一般可劃分為四個階段：計劃階段、實施階段、報告階段和后續(xù)階段。計劃階段是信息系統(tǒng)審計流程的起點，此階段的主要工作包括了解被審計系統(tǒng)的基本情況，初步評價被審計單位信息系統(tǒng)的內(nèi)部控制和外部控制，識別重要性和編制審計計劃。實施階段是根據(jù)計劃階段確定的審計范圍、重點、步驟和方法進行有針對性的取證、評價，并形成審計結論的過程。實施階段是信息系統(tǒng)審計工作的核心，主要由符合性測試和實質(zhì)性測試兩個部分構成。在報告階段，信息系統(tǒng)審計人員需運用專業(yè)判斷，整理、評價收集到的審計證據(jù)，以經(jīng)過核實的審計證據(jù)為依據(jù)，形成審計意見，出具審計報告。審計報告的出具并不意味著信息系統(tǒng)審計工作的終結。根據(jù)國際信息系統(tǒng)審計標準，信息系統(tǒng)審計人員對于系統(tǒng)中發(fā)現(xiàn)的重大問題和漏洞，需要對被審計單位所采取的糾正措施及其效果進行后續(xù)審計。審計人員需要將后續(xù)審計納入計劃，并安排必要的人員和時間進行后續(xù)審計。

廣州地鐵IT審計模塊成立之初，即明確了IT審計“對公司的系統(tǒng)流程與控制、項目進行審計”和“提供有益于增加公司價值的咨詢服務”兩項核心職責，并圍繞公司戰(zhàn)略，以“風險導向”、“服務戰(zhàn)略”理念為指導，從信息系統(tǒng)審計戰(zhàn)略規(guī)劃和具體項目執(zhí)行兩個層面分別制定信息系統(tǒng)審計的流程。

1、以公司戰(zhàn)略為導向，制定信息系統(tǒng)審計的戰(zhàn)略規(guī)劃

一直以來，廣州地鐵奉行“源于戰(zhàn)略、服務于戰(zhàn)略”的現(xiàn)代審計理念。這一理念主要體現(xiàn)在兩個方面：一是在制定內(nèi)審工作計劃時，從公司戰(zhàn)略出發(fā)，制定各個內(nèi)審業(yè)務及各專業(yè)審計模塊的戰(zhàn)略，并以業(yè)務戰(zhàn)略為指導，開展具體的審計工作；二是在開展審計項目的過程中，始終從保障公司戰(zhàn)略執(zhí)行的角度去發(fā)現(xiàn)問題、評價問題，提出整改意見和落實整改。信息系統(tǒng)審計的戰(zhàn)略規(guī)劃來源于公司的戰(zhàn)略，以及以公司戰(zhàn)略指導制定的公司信息系統(tǒng)戰(zhàn)略規(guī)劃和內(nèi)部審計業(yè)務戰(zhàn)略規(guī)劃；同時還須結合公司信息化現(xiàn)狀和IT審計模塊定位，明確廣州地鐵IT審計發(fā)展戰(zhàn)略目標。

2、通過風險評估，確定各信息系統(tǒng)風險等級，制定層次分明、重點突出的信息系統(tǒng)循環(huán)審計計劃

為利用有限的審計資源掌握公司主要信息系統(tǒng)的建設、運營情況，保障信息資源的有效利用，降低公司信息系統(tǒng)的整體風險，廣州地鐵建立了一套“根據(jù)信息系統(tǒng)風險評級制定差異化的審計策略”。

（1）梳理信息系統(tǒng)脈絡，全面掌握信息系統(tǒng)現(xiàn)狀。廣州地鐵結合信息系統(tǒng)規(guī)劃、建設和運營的情況及系統(tǒng)分類梳理出被審計信息系統(tǒng)清單，并從系統(tǒng)構成要素的角度收集系統(tǒng)相關的信息。這些信息包括系統(tǒng)名稱、功能模塊、采用產(chǎn)品等基本信息，以及項目的建設信息、系統(tǒng)的使用狀況和運維的基本情況。這些信息是風險評分的依據(jù)，也為后續(xù)開展具體審計工作時確定審計方案提供了指引。

（2）開展信息系統(tǒng)風險評級，制定風險導向型審計計劃。內(nèi)審人員從通用風險、業(yè)務風險、項目風險、系統(tǒng)風險、數(shù)據(jù)風險和人員風險六大風險類別出發(fā)，全面識別信息系統(tǒng)各類構成要素中存在的風險；對信息系統(tǒng)進行風險評價，根據(jù)風險得分將信息系統(tǒng)按優(yōu)先級分別劃分為高、中、低三類。結合公司IT審計資源的情況，對優(yōu)先等級高的系統(tǒng)采用三年一審策略，中等級系統(tǒng)5―6年一個審計周期，風險等級低的系統(tǒng)則根據(jù)需要安排審計。在此審計策略的基礎上，再綜合考慮公司業(yè)務的十大風險、領導關注事項、上一年度內(nèi)控評價結果和審計項目成果、公司新一年的工作重點、公司信息系統(tǒng)的變動情況，并制定出本年度的信息系統(tǒng)審計計劃。

3、以風險為導向，開展信息系統(tǒng)審計

在項目實施階段，審計人員必須從公司整體信息系統(tǒng)控制環(huán)境和被審計系統(tǒng)的狀況、流程與內(nèi)部控制兩個方面進一步收集被審計系統(tǒng)的相關資料，了解和確認被審計單位已建立的內(nèi)部控制措施，并對這些控制措施的設計是否達到控制目標進行評估。

（1）以“輪流循環(huán)+以點帶面”的方式開展整體計算機控制審計。公司的信息化業(yè)務采用統(tǒng)一集中管理的模式，整體計算機控制對各個系統(tǒng)具有一定的通用性。因此，在實務操作中，廣州地鐵采用“以點帶面”的策略，以單個信息系統(tǒng)整體計算機控制為切入點對整體計算機控制進行審計，評價整體信息系統(tǒng)的安全性；同時，考慮到信息系統(tǒng)在一定時間內(nèi)相對穩(wěn)定，因此在實施整體計算機控制審計時可采取輪流測試的方式，即每年從十個子流程中選取幾個進行測試，經(jīng)過一定周期后，完成對整體計算機控制的全面審計。例如，在2011年開展的信息安全審計項目中，審計人員就圍繞信息安全這個審計主題，從十個子流程中選取了與信息安全直接相關的信息系統(tǒng)操作、信息系統(tǒng)安全、業(yè)務可持續(xù)計劃、應用系統(tǒng)開發(fā)與實施、數(shù)據(jù)庫開發(fā)與實施和系統(tǒng)軟件支持等六個流程進行審計。分步、循環(huán)開展整體計算機審計，在審計風險可控的情況下，大大節(jié)省了審計資源，也使得審計人員能夠更加深入地挖掘和分析整體計算機控制方面所存在問題以及問題的成因，提出更為切實可行、同時又符合公司信息化業(yè)務發(fā)展現(xiàn)狀和要求的整改措施。

（2）以風險為著眼點，確定應用控制審計重點。應用控制是各個信息系統(tǒng)內(nèi)部所建立的控制機制，應用控制審計必須針對某個具體信息系統(tǒng)開展。在開展應用控制審計的過程中，審計人員應緊緊圍繞“風險”這個著眼點，通過對原有業(yè)務成熟度和系統(tǒng)建設過程中風險的評估，選擇不同的審計側重點開展應用控制審計。例如，在合同管理系統(tǒng)審計項目中，由于合同管理系統(tǒng)是全新開發(fā)的系統(tǒng)，審計人員經(jīng)分析，判定系統(tǒng)在應用系統(tǒng)訪問控制方面的風險較高。而在進行控制評估和測試后，審計人員發(fā)現(xiàn)業(yè)務人員在創(chuàng)建系統(tǒng)權限設置機制時完全套用了公司辦公自動化系統(tǒng)的權限機制，而未針對合同業(yè)務流程中不同于公司組織架構下的角色設立相應的用戶組，導致系統(tǒng)無法實現(xiàn)合同經(jīng)辦人與審批人職責的分離，存在重大的內(nèi)控風險。

五、信息系統(tǒng)審計方法

在信息系統(tǒng)審計中，可因地制宜，綜合運用多種學科的技術方法，包括：傳統(tǒng)審計中內(nèi)部控制測評的基本方法和審計取證的基本方法（包括審閱、核對、監(jiān)盤、觀察、查詢、函證、計算、分析性復核）；計算機科學的技術方法，如數(shù)據(jù)測試法、程序編碼審查法、受控處理法、受控再處理法、整體測試法、平行模擬法、程序比較法、漏洞掃描、入侵檢測、嵌入審計程序法等等；行為科學的技術方法，如運用組織發(fā)展的理論與方法、個體行為一般規(guī)律的理論和方法。這些方法與技術并不是孤立的，而是互相聯(lián)系的。

目前，廣州地鐵在信息系統(tǒng)審計中所運用的方法仍主要集中在傳統(tǒng)的內(nèi)控審計方法和信息系統(tǒng)管理的技術方法兩個領域，具體包括詢問、觀察、文件復核、抽樣、重新執(zhí)行、使用計算機輔助軟件等。在部分項目中，也采用了一些計算機科學的技術方法。受限于審計資源不足，廣州地鐵較少采用程序比較法、平行模擬法、程序編碼審查法等高成本的審計方法，而傾向于選用一些較為高效的測試方法。但這些高效方法的運用不能完全消除審計風險，這就需要審計人員根據(jù)自身的經(jīng)驗盡量避免。

1、傳統(tǒng)審計方法的運用

廣州地鐵在開展信息系統(tǒng)審計過程中較多運用傳統(tǒng)審計的方法。例如，在對信息系統(tǒng)整體計算機控制進行審計時，通過對系統(tǒng)使用人員的訪談、調(diào)研和對系統(tǒng)各項操作的觀察，梳理出整體計算機控制相關的各種控制活動。在沒有測試環(huán)境的情況下對生產(chǎn)在用信息系統(tǒng)的人機交互界面和功能進行調(diào)查和確認時，審計人員大量運用了觀察的方法。在對固定資產(chǎn)信息系統(tǒng)模塊進行審計中，審計人員通過觀察物資采購人員、資產(chǎn)管理人員、會計核算人員在系統(tǒng)中的操作界面、系統(tǒng)實現(xiàn)效果以及業(yè)務操作流程來了解系統(tǒng)功能的構造。發(fā)現(xiàn)采購中的供應商信息在跨系統(tǒng)流程過程中丟失，導致財務系統(tǒng)和實物管理的MAXIMO系統(tǒng)的資產(chǎn)臺賬中均缺少供應商信息，致使日后采購同類物資時，采購人員無法獲取歷史采購信息作為參考，增加了市場調(diào)研成本。除內(nèi)控矩陣和訪談、觀察等方法之外，編制流程圖、數(shù)據(jù)流圖和報表流圖也是信息系統(tǒng)審計經(jīng)常使用的方法。

2、計算機科學技術方法的運用

計算機科學技術方法是信息系統(tǒng)審計特有的方法，來源于IT行業(yè)的信息技術的轉換應用，主要包括基于數(shù)據(jù)分析的方法和基于程序分析的方法，這些方法的綜合使用使得對信息系統(tǒng)的審計更加有效。具體方法的選用需視被審計系統(tǒng)的實際情況而定。在一個審計項目中，廣州地鐵審計人員經(jīng)常將多種方法結合使用。例如，在票務收入系統(tǒng)審計項目中，審計人員首先采用數(shù)據(jù)測試法，使用正常及非正常的測試地鐵票搭乘地鐵，在系統(tǒng)中跟蹤測試票的處理情況，以驗證系統(tǒng)處理與控制功能是否均有效；在對系統(tǒng)中后期內(nèi)部開發(fā)的車站單程票售賣功能進行審計時，審計人員采用了程序編碼審查法，對系統(tǒng)的源程序編碼進行審查，審查后發(fā)現(xiàn)單程票售賣金額統(tǒng)計報表在進行數(shù)據(jù)處理時省略了小數(shù)點后的尾數(shù)，導致報表金額存在偏差；在對票務系統(tǒng)的清分報表進行驗證時，審計人員又采用了平行模擬法，抽取系統(tǒng)中一段時間內(nèi)的正式交易記錄，在系統(tǒng)外模擬系統(tǒng)的處理規(guī)則對交易記錄進行處理，并將處理結果與系統(tǒng)的報表數(shù)據(jù)進行核對，結果發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)傳遞和處理過程中，由于系統(tǒng)對于異常數(shù)據(jù)的審核過于嚴格，導致部分正常數(shù)據(jù)被當作垃圾數(shù)據(jù)丟進異常庫，給公司造成票務損失。

3、計算機輔助審計軟件的應用

計算機輔助審計軟件的應用是信息系統(tǒng)審計的一個顯著特點，也是審計人員準備階段需要重點關注的問題之一。目前，廣州地鐵對計算機輔助審計軟件的應用主要體現(xiàn)在以下兩個方面。

（1）對系統(tǒng)中數(shù)據(jù)的準確性、完整性和一致性的檢查。例如，在合同管理系統(tǒng)審計項目中，為核對系統(tǒng)接口程序的可靠性，審計人員利用審計輔助軟件快速完成了對合同系統(tǒng)和財務系統(tǒng)數(shù)據(jù)一致性的核對，迅速查找出兩個系統(tǒng)中不一致的數(shù)據(jù)。經(jīng)過深入分析，審計人員發(fā)現(xiàn)由于財務核算人員在財務系統(tǒng)中復核合同支付數(shù)據(jù)時發(fā)現(xiàn)錯誤，將支付申請退回給合同系統(tǒng)再由合同經(jīng)辦人重新填報時，合同系統(tǒng)未對已生成的支付信息進行更新，導致上述問題的出現(xiàn)。針對海量數(shù)據(jù)處理系統(tǒng)，數(shù)據(jù)驗證是審計的重點，計算機輔助軟件是“不可或缺”的審計工具。在地鐵票務收入保障審計項目中，審計人需要通過數(shù)據(jù)驗證的方式對業(yè)務處理的核心系統(tǒng)――自動售檢票（AFC）系統(tǒng)中的系統(tǒng)傳輸和處理機制進行驗證。為此，審計人員共設計了8大類29子類47個數(shù)據(jù)驗證主題。審計時，審計人員運用計算機輔助審計技術，在兩個月內(nèi)完成了對AFC系統(tǒng)中10天總計超過3億條運營數(shù)據(jù)的驗證工作。

（2）利用計算機輔助軟件進行對比測試。即審計人員從信息系統(tǒng)中抽取某部門樣本數(shù)據(jù)，將樣本數(shù)據(jù)輸入到與計算機輔助軟件中進行處理，把審計軟件輸出的結果與業(yè)務系統(tǒng)產(chǎn)生的結果進行對比分析，以判定業(yè)務系統(tǒng)的可靠性與準確性。廣州地鐵在已開展的運營票務收入保障審計項目中大量地使用了此種方式。審計人員將各車站站務人員在票務系統(tǒng)中錄入的售票數(shù)據(jù)導入到計算機輔助軟件中，按照業(yè)務規(guī)則對數(shù)據(jù)進行處理，將處理結果和系統(tǒng)輸出的結果進行對比。經(jīng)對比，審計人員發(fā)現(xiàn)票務系統(tǒng)在處理異常數(shù)據(jù)時過于嚴格，導致部分非異常數(shù)據(jù)被系統(tǒng)當作異常數(shù)據(jù)丟入異常庫中，給公司造成票務損失。

4、信息系統(tǒng)審計與業(yè)務內(nèi)控審計相結合

企業(yè)管理流程信息化的過程中，會對原有的業(yè)務流程進行優(yōu)化甚至重構。對原有手工流程的內(nèi)控評價在信息化環(huán)境中可能不再適用。因此，廣州地鐵在信息系統(tǒng)審計中添加了對業(yè)務流程的內(nèi)控評價――先對業(yè)務的內(nèi)部控制情況進行評估，梳理并確定業(yè)務流程風險和關鍵控制點，再對照業(yè)務流程對系統(tǒng)的處理流程進行評價，確保信息系統(tǒng)審計評價的準確性。信息系統(tǒng)審計與業(yè)務內(nèi)控審計相結合的方法還體現(xiàn)在對一個流程中未在信息系統(tǒng)實現(xiàn)的控制環(huán)節(jié)可以通過內(nèi)控審計進行補充。實踐表明，信息系統(tǒng)審計與業(yè)務內(nèi)控審計相結合的方法在很大程度上提高了審計的全面性。

由于信息技術自身的特點，例如電子數(shù)據(jù)的不可視性，加之被審計單位信息系統(tǒng)內(nèi)部控制方面可能存在缺陷以及信息系統(tǒng)審計人員在專業(yè)技術和職業(yè)道德方面亦不完美，信息系統(tǒng)審計風險客觀存在。面對信息系統(tǒng)審計風險，需要審計人員通過深入調(diào)研，全面了解被審計系統(tǒng)的情況；需要培養(yǎng)專業(yè)人才，“以點帶面”提升團隊能力；結合企業(yè)發(fā)展情況，制定內(nèi)部信息系統(tǒng)審計標準；利用審計軟件，降低抽樣風險，提高審計效率等多種措施，不斷降低審計過程中的檢查風險，提高審計質(zhì)量。

【參考文獻】

[1] Ron A.Weber，Information Systems Control and Audit，1st ed，NJ：Prentice Hall，1998.

[2] S. Anantha Sayana：The IS Audit Process[J].The ISACA Journal，2002（1）.

[3] Craig S. Wright：The IT Regulatory and Standards Compliance Handbook：How to Survive Information Systems Audit and Assessments，1st ed，MA：Syngress， 2008.

[4] Robert E. Davis：Information Systems Auditing：The IS Audit Planning Process，3rd ed，2010.

[5] Jack J. Champlain：Auditing Information Systems[J].2nd ed，NJ：John Wiley&Sons，2003.

[6] 盧紅柱：計算機信息系統(tǒng)審計的探索之路[J].審計研究，2006（增刊）.

[7] 王進波、常衛(wèi)：信息系統(tǒng)審計的發(fā)展與現(xiàn)狀[J].財政監(jiān)督，2008（4）.

[8] 陳繼初：信息系統(tǒng)審計在我國的現(xiàn)狀及存在的問題[J].消費導刊，2008（12）.

[9] 吳沁紅：信息系統(tǒng)審計內(nèi)容分析[J].財會研究，2008（10）.

[10] 胡曉明：信息系統(tǒng)審計理論體系的構建[J].中國注冊會計師，2006（6）.

[11] 王艷、周劍：信息系統(tǒng)審計辨析[J].圖書情報工作，2004（48）.

[12] 田佳林：信息系統(tǒng)審計簡述[J].財政監(jiān)督，2008（4）.

[13] 陳婉玲、楊文杰：COBIT及其在信息系統(tǒng)控制與審計中的應用[J].審計研究，2006（增刊）.

[14] 趙靜：COBIT框架在IT審計中的應用[J].中國內(nèi)部審計，2009（12）.

[15] 張妍：信息系統(tǒng)審計方法研究[J].審計月刊，2010（11）.