簡介
IT審計是獨立於信息系統本身、信息系統相關開發、使用人員的第三方-IT審計師採用客觀的標準對信息系統的策劃、開發、使用維護等相關活動和產物進行完整地、有效地檢查和評估。
由上面的定義我們可以看出,IT審計涉及整個信息系統的生命周期,IT審計不是單純強調對軟硬體的審計。它的
審計對象涵蓋整個信息系統所有活動和中間產物,並包括信息系統實施相關的外部環境。
IT審計按照信息系統的生命周期分為業務計畫審計,業務開發審計、業務執行審計和業務維護審計以及涵蓋整個信息系統周期的共通業務審計。
業務計畫審計主要面向信息系統的企劃,對信息系統的投資可行性,系統規劃與公司戰略的相關性,系統開發計畫的可行性以及系統需求的完整性和正確性進行審核和驗證。
業務開發審計對信息系統開發的各個階段的相關人員的活動、信息、中間產物進行審核,確認這些活動、信息和中間產物的規範性、有效性和對於信息系統目標的針對性。
業務執行審計確認與信息系統運行相關的數據、軟硬體、安裝環境等是否符合信息系統的運營要求,同時對信息系統的功能、性能、易用度、可操作性等進行評估。
業務維護審計對信息系統的維護活動和維護結果實施審核和評價。發現在維護中可能出現的各種漏洞和信息系統維護中急待改善的問題。
共通業務審計涉及文檔管理、進度管理、
人員管理、
採購管理、風險管理等,檢查這些過程的規範性和有效性,並提出改良建議。
IT審計的任務在於站在客觀公正的角度上,收集
審計信息,生成
審計報告,通過審計報告促成信息系統生命周期活動和成果物的改善。
實施IT審計能夠強化IT投資效果,提高信息系統的安全性,能夠客觀評價信息系統及信息系統開發,從社會經濟和企業、
國家信息化投資、安全等方面都具有極大的意義。
歷史發展
六十年代
IT審計的出處源自60年代IBM出版的《Audit encounters Electronic Data Processing》等有關在EDI環境下進行審核和組織的論述。不久後有關該方面的研究結果不斷湧現, IT審計的雛形初步形成。但是由於信息系統在社會上尚未得到較為廣泛的套用,因此IT審計並未在社會上形成意識。
八十年代
初由於計算機在已開發國家的企業初步普及,利用計算機犯罪和計算機系統失效的事件頻頻出現,使得IT審計日益得到社會重視,美國、日本先後成立了IT審計方面的協會組織。從事對IT審計規則的制定和實施指導。值得注意的是1985年日本政府出台了《IT審計標準》並根據美國勞工部的《Skill Start》和Northwest Center for Emerging Technologies(NCET)對IT信息人員的從業技能的要求制訂了
IT審計師(系統監查員)的技能標準並以之作為新的"IT審計師(系統監查員)"級考試的參考標準。
九十年代
是IT審計的普及期,這主要歸功於網際網路的普及。網際網路的普及是利用計算機犯罪的人員溫床,此外日益嚴重的軟體項目失敗問題引發了是否要對信息系統的投資和開發進行審計的深思。IT審計得到了前所未有的重視。
審計制度
一般來說,對企業實施IT審計的對象有:本企業內的IT審計師、外部IT審計事務所委託審計師和國家審計機構。
作為企業,建立一個完善的IT審計制度需要做到以下幾點:
(1)IT審計師是跨信息技術和審計技術的複合型人才,要實施企業的IT審計制度,必須重視和培養合格的IT審計師;
(2)企業應該建立相應的IT審計部門或審計崗位,確定其部門和
崗位職責,並將之置於
企業經營者的直接管理之內;
(3)企業應該制定相應的IT審計準則、實施報表、報告等進行IT審計所必須的憑據;
值得一提的是,企業在建立IT審計制度時應當遵循國家相關IT審計的法規並結合本企業的業務實際進行。企業的IT審計制度不是一成不變的,根據具體企業的營運情況可以在每個審計年度終結後新的審計年度開始前做相應的修改和增刪。
審計計畫
IT審計的實施需要制定相應的計畫,明確IT審計的任務、採用的方法和預期應當達到的效果。該計畫在提交經營層確認後得以實施。
IT審計的
審計計畫分為兩種類型:基本計畫和詳細計畫(又稱分期計畫)。
基本計畫是一個審計年度內相關IT審計活動的計畫,確認年度內IT審計的各項任務及其大致時間安排。基本計畫需要提交經營層批准。它是對整個IT審計年度的活動指引方針。內容包括:
審計對象、審計場所、審計原則、日程安排等。
詳細計畫(分期計畫)針對具體項目(系統)或任務,得到IT審計部門領導的許可即可,詳細計畫需要告知被審計對象。詳細計畫的內容包括:審計對象、目的、
審計流程、審計要點、審計時間、相關人員、
審計報告提交事項等內容。
審計流程
審計計畫
計畫階段是整個審計過程的起點。其主要工作包括:
(1)了解被審系統基本情況
了解被審系統基本情況是實施任何信息系統審計的必經程式,對基本情況的了解有助於審計組織對系統的組成、環境、運行年限、控制等有初步印象,以決定是否對該系統進行審計,明確審計的難度,所需時間以及人員配備情況等。
了解了基本情況,審計組織就可以大致判斷系統的複雜性、管理層對審計的態度、內部控制的狀況、以前審計的狀況、審計難點與重點,以決定是否對其進行審計。
(2)初步評價被審單位系統的內部控制及外部控制
傳統的內部控制制度是為防止舞弊和差錯而形成的以內部稽核和相互牽制為核心的工作制度。隨著信息技術特別是以Internet為代表的網路技術的發展和套用,企業信息系統進一步向深層次發展,這些變革無疑給企業帶來了巨大的效益,但同時也給內部控制帶來了新的問題和挑戰。加強內部控制制度是信息系統安全可靠運行的有力保證。依據控制對象的範圍和環境,信息系統內控制度的審計內容包括一般控制和套用控制兩類。
一般控制是系統運行環境方而的控制,指對信息系統構成要素(人、機器、檔案)的控制。它已為應用程式的正常運行提供外圍保障,影響到計算機套用的成敗及套用控制的強弱。主要包括:組織控制、操作控制、硬體及系統軟體控制和系統安全控制。
套用控制是對信息系統中具體的數據處理活動所進行的控制,是具體的套用系統中用來預測、檢測和更正錯誤和處置不法行為的控制措施,信息系統的套用控制主要體現在輸入控制、處理控制和輸出控制。套用控制具有特殊性,不同的套用系統有著不同的處理方式和處理環節,因而有著不同的控制問題和不同的控制要求,但是一般可把它劃分為:輸入控制、處理控制和輸出控制。
通過對信息系統組織機構控制,系統開發與維護控制,安全性控制,硬體、軟體資源控制,輸入控制,處理控制,輸出控制等方而的審計分析,建立內部控制強弱評價的指標系統及評價模型,審計人員通過互動式人機對話,輸入各評價指標的評分,內控制審計評價系統則可以進行多級綜合審計評價。通過內控制度的審計,實現對系統的預防性控制,檢測性控制和糾正性控制。
(3)識別重要性
為了有效實現審計目標,合理使用審計資源,在制定審計計畫時,信息系統審計人員應對系統重要性進行適當評估。對重要性的評估一般需要運用專業判斷。考慮重要性水平時要根據審計人員的職業判斷或公用標準,系統的服務對象及業務性質,內控的初評結果。重要性的判斷離不開特定環境,審計人員必須根據具體的信息系統環境確定重要性。重要性具有數量和質量兩個方面的特徵。越是重要的子系統,就越需要獲取充分的審計證據,以支持審計結論或意見。
(4)編制審計計畫
經過以上程式,為編制審計計畫提供了良好準備,審計人員就可以據以編制總體及具體審計計畫。
總體計畫包括:被審單位基本情況;審計目的、審計範圍及策略;重要問題及重要審計領域;工作進度及時間;審計小組成員分工;重要性確定及風險評估等。
具體計畫包括:具體審計目標;審計程式;執行人員及時間限制等。
審計實施
做好抗訴材料的充分的準備,便可進行審計實施,具體包括以下內容:
(1)對信息系統計畫開發階段的審計
對信息系統計畫開發階段的審計包括對計畫的審計和對開發的審計,可以採用事中審計,也可以是事後審計。比較而言事中審計更有意義,審計結果的得出利於故障、問題的及早發現,利於調整計畫,利於開發順序的改進。
信息系統計畫階段的關鍵控制點有:計畫是否有明確的目的,計畫中是否明確描述了系統的效果,是否明確了系統開發的組織,對整體計畫進程是否正確預計,計畫能否隨經營環境改變而及時修正,計畫是否制定有可行性報告,關於計畫的過程和結果是否有文檔記錄等等。
系統開發階段包括系統分析、系統設計、代碼編寫和系統測試三部分。其中涉及包括功能需求分析、業務數據分析、總體框架設計、結構設計、代碼設計、資料庫設計、輸入輸出設計、處理流程及模組功能的設計。編程時依據系統設計階段的設計圖及資料庫結構和編碼設計,用電腦程式語言來實現系統的過程。測試包括動態測試和靜態測試,是系統開發完畢,進入試運行之前的必經程式。其關鍵控制點有:
分析控制點:是否己細緻分析企業組織結構;是否確定用戶功能和性能需求;是否確定用戶的數據需求等。
設計控制點:設計界面是否方便用戶使用;設計是否與業務內容相符;性能能否滿足需要,是否考慮故障對策和安全保護等。
編程控制點:是否有程式說明書,並按照說明書進行編寫;編程與設計是否相符,有無違背編程原則;程式作者是否進行自測;是否有程式作者之外的第三人進行測試;編程的書寫、變數的命名等是否規範。
測試控制點:測試數據的選取是否按計畫及需要進行,是否具有代表性;測試是否站在公正客觀的立場進行,是否有用戶參與測試;測試結果是否正確記錄等。
(2)對信息系統運行維護階段的審計
對信息系統運行維護階段的審計又細分為對運行階段的審計和對維護階段的審計。系統運行過程的審計是在信息系統正式運行階段,針對信息系統是否被正確操作和是否有效地運行,從而真正實現信息系統的開發目標、滿足用戶需求而進行的審計。對信息系統運行過程的審計分為系統輸入審計、通信系統審計、處理過程審計、資料庫審計、系統輸出審計和運行管理審計六大部分。
輸入審計的關鍵控制點有:是否制定並遵守輸入管理規則,是否有數據生成順序、處理等的防錯、保護措施、防錯、保護措施是否有效等。
通信系統實施的是實際數據的傳輸,通信系統中,審計軌跡應記錄輸入的數據、傳送的數據和工作的通信系統。通信系統審計的關鍵控制點有:是否制定並遵守通信規則,對網路存取控制及監控是否有效等。
處理過程指處理器在接收到輸入的數據後對數據進行加工處理的過程,此時的審計主要針對數據輸入系統後是否被正確處理。關鍵控制點有:被處理的數據,數據處理器,數據處理時間,數據處理後的結果,數據處理實現的目的,系統處理的差錯率,平均無故障時間,可恢復性和平均恢復時間等。
資料庫審計是保障資料庫正確行使了其職能,如對數據操作的有效性和發生異常操作時對數據的保護功能(正確數據不丟失,數據回滾以保證數據的一致性)。其關鍵控制點有:對數據的存取控制及監視是否有效,是否記錄數據利用狀況,並定期分析,是否考慮數據的保護功能,是否有防錯、保密功能,防錯、保密功能是否有效等。
輸出審計不同於測試階段的輸出審計,此時的輸出是在實際數據的基礎上進行的,對其進行審計可以對系統輸出進行再控制,結合用戶需求進行評價。關鍵控制點有:輸出信息的獲取及處理時是否有防止不正當行為和機密保護措施,輸出信息是否準確、及時,輸出信息的形式是否被客戶所接受,是否記錄輸出出錯情況並定期分析等。
運行管理審計是對人機系統中人的行為的審計。關鍵控制點有:操作順序是否標準化,作業進度是否有優先權,操作是否按標準進行,人員交替是否規範,能否對預計於實際運行的差異進行分析,遇問題時能否相互溝通,是否有經常性培訓與教育等。
維護過程的審計包括對維護計畫、維護實施、改良系統的試運行和舊系統的廢除等維護活動的審計。維護過程的關鍵控制點有:維護組織的規模是否適應需要,人員分工是否明確,是否有一套管理機制和協調機制,維護過程發現的可改進點,維護是否得到維護負責人同意,是否對發現問題作了修正,維護記錄是否有文檔記載,是否定期分析,舊系統的廢除是否在授權下進行等。
審計完成
完成階段是實質性的整個信息系統審計工作的結束,主要工作有:
整理、評價執行審計業務過程中收集到的證據。在信息系統審計的現代化管理時期,收集到的數據己存儲在管理系統中,審計人員只需對其進行分析和調用即可。
覆核審計底稿,完成二級覆核。傳統審計的三級覆核制度對信息系統審計同樣適用,它是保證審計質量、降低審計風險的重要措施。一級覆核是由信息系統審計項目組長在審計過程進行中對工作底稿的覆核,這層覆核主要是評價已完成的審計工作、所獲得的工作底稿編制人員形成的結論;二級覆核是在外勤工作結束時,由審計部門領導對工作底稿進行的重點覆核。在審計工作辦公自動化的今天,二級覆核制度同樣可以通過網上報送及調用得以實現。
評價審計結果,形成審計意見,完成三級覆核,編制審計報告。評價審計結果主要是為了確定將要發表的審計意見的類型及在整個審計工作中是否遵循了獨立審計準則。信息系統審計人員需要對重要性和審計風險進行最終的評價。這是審計人員決定發表何種類型審計意見的必要過程,所確定的可接受審計風險一定要有足夠充分適當的審計證據支持。簽發審計報告之前,應當隨工作底稿進行最終(三級)覆核,三級覆核由審計部門的主任進行,主要覆核所採用審計程式的恰當性、審計工作底稿的充分性、審計過程中是否存在重大遺漏、審計工作是否符合事務所的質量要求等。三級覆核制度的堅持是控制審計風險的重要手段。審計報告是審計工作的最終成果,審計報告首先應有審計人員對被審系統的安全性、可靠性、穩定性、有效性的意見,同時提出改進建議。