審計的管理及制度一直都是估測企業(yè)是否是正常的經(jīng)濟發(fā)展模式，并且審計師由國家授權(quán)管理建設(shè)的管理部門。同時審計在監(jiān)督方面也是有對企業(yè)經(jīng)濟管理發(fā)展中起到很好的發(fā)展措施。信息系統(tǒng)安全防范工作已經(jīng)成為信息時代的主要問題，對信息系統(tǒng)開展安全審計已經(jīng)成為審計機關(guān)保護國家財政財務(wù)安全。

　　摘要：信息系統(tǒng)審計需要做那些事情才能有效控制資產(chǎn)安全呢?我們要從以下幾個方面著手：1.對系統(tǒng)基礎(chǔ)設(shè)施及環(huán)境的審計。審計范疇為：硬件環(huán)境與防災、主機硬件安全、底層支撐系統(tǒng)安全、通信線路安全、數(shù)據(jù)存儲/IO安全、物理訪問控制。2.網(wǎng)絡(luò)安全審計。

　　審計論文推薦：《中國內(nèi)部審計》自1999年創(chuàng)辦以來，積極宣傳黨和國家有關(guān)內(nèi)部審計的方針、政策和法規(guī)，詮釋中國內(nèi)部審計協(xié)會發(fā)布的內(nèi)部審計準則，闡釋中國內(nèi)部審計協(xié)會提出的指導內(nèi)部審計工作的意見;介紹一線內(nèi)部審計機構(gòu)及人員開展內(nèi)部審計工作的成功經(jīng)驗、做法及技術(shù)技巧;宣傳內(nèi)部審計先進單位和先進個人的優(yōu)秀事跡;揭示內(nèi)部審計實際工作存在的問題并探討解決問題的方法和途徑;展示國內(nèi)外內(nèi)部審計理論最新研究成果及內(nèi)部審計人員充滿活力的實踐探索;交流領(lǐng)導重視內(nèi)部審計、發(fā)揮內(nèi)部審計作用的認識、經(jīng)驗、做法;及時準確傳輸國內(nèi)外內(nèi)部審計最新動態(tài)及IIA和CIA資格考試的信息。同時，注重知識性和可讀性，以開拓讀者視野、提高讀者素養(yǎng)。

　　關(guān)鍵詞：信息系統(tǒng),系統(tǒng)審計,審計模式

　　伴隨著科技進步和企業(yè)管理理念的發(fā)展，以計算機技術(shù)、通信技術(shù)以及網(wǎng)絡(luò)技術(shù)為主要內(nèi)容的信息技術(shù)在社會各行業(yè)的管理中正發(fā)揮著越來越重要的作用。無論是企事業(yè)單位，還是政府公共服務(wù)機構(gòu)，都越來越依賴于信息系統(tǒng)。信息系統(tǒng)的可靠性、有效性和效率性影響著組織的正常運轉(zhuǎn)。

　　與此同時，對信息系統(tǒng)審計的研究和實踐也正不斷發(fā)生著變化。從計算機輔助審計到面向系統(tǒng)數(shù)據(jù)的審計，再到對應用系統(tǒng)的審計，信息系統(tǒng)的審計范圍和領(lǐng)域不斷擴大。目前，對信息系統(tǒng)審計的認識受到較多傳統(tǒng)審計的影響，不少研究人員認為信息系統(tǒng)條審計是傳統(tǒng)審計的補充和延伸，是為傳統(tǒng)審計提供支撐和服務(wù)的。但筆者認為，信息系統(tǒng)審計有其自身的特點，是審計的新領(lǐng)域，對信息系統(tǒng)審計的認識和研究要從企業(yè)整體風險控制、價值實現(xiàn)以及整個審計體系的角度來重新認識。

　　一、信息系統(tǒng)審計的內(nèi)容

　　從信息系統(tǒng)在組織中所處地位以及信息系統(tǒng)的開發(fā)、運行和維護過程分析，信息系統(tǒng)審計應包括對IT治理結(jié)構(gòu)審計等9個方面的主要內(nèi)容。

　　1.對IT治理結(jié)構(gòu)與實施的審計。信息技術(shù)過去被認為僅僅是企業(yè)組織戰(zhàn)略的強化器，而現(xiàn)在被認為是組織戰(zhàn)略的重要組成部分，越來越受到管理層的關(guān)注。通過有效使用安全、可靠的信息和適用的技術(shù)，IT治理有助于企業(yè)獲得成功。因此，在對信息系統(tǒng)審計中，審計人員應首先關(guān)注組織的IT治理機構(gòu)，判斷組織是否做到了IT與業(yè)務(wù)的融合，并保持目標一致。

　　應用控制審計是直接針對業(yè)務(wù)系統(tǒng)根據(jù)用戶反饋、用例測試結(jié)果、實際業(yè)務(wù)數(shù)據(jù)、代碼分析結(jié)果發(fā)現(xiàn)系統(tǒng)風險及其對業(yè)務(wù)的直接影響。2.輸入輸出控制審計：輸入控制審計要點：CONTROL TOTALS、多點錄入、終端訪問控制、Session窗口控制。輸出控制審計要點：訪問控制、緩沖區(qū)安全、派發(fā)路徑安全。3.數(shù)據(jù)審計。通過直接獲取數(shù)據(jù)庫數(shù)據(jù)，對實體完整性、用戶定義完整性、參照完整性、域完整性的驗證，來確認信息應用系統(tǒng)設(shè)計和獲取的完整性。　　2.對系統(tǒng)開發(fā)過程的審計。傳統(tǒng)的系統(tǒng)開發(fā)生命周期法(SDLC)仍是目前大多數(shù)系統(tǒng)開發(fā)的首選方式。審計人員的職責是參與全過程的監(jiān)督和評價。

　　3.對系統(tǒng)和運行的審計。信息系統(tǒng)的運行承擔了計算機系統(tǒng)軟件、硬件的日常支持工作。

　　系統(tǒng)合規(guī)性的主要審計內(nèi)容就是進行代碼審計輔以數(shù)據(jù)審計，簡單的說就是審計代碼規(guī)范性，代碼安全性(例如，在對某商業(yè)銀行進行審計過程中發(fā)現(xiàn)，由于代碼員的經(jīng)驗問題，在撰寫計算還款利息時的公式時發(fā)生錯誤，導致每筆還款利息多計算1分錢)，關(guān)鍵處理流程正確性(此處旨在檢查業(yè)務(wù)邏輯是否符合相關(guān)的法律法規(guī)以及規(guī)章制度)，后門、調(diào)試與邏輯炸彈，以此來保證系統(tǒng)的正確性和合規(guī)性。

　　4.對應用控制的審計。審計人員應通過對重要應用程序組件和貫穿系統(tǒng)的事務(wù)流的識別，審核系統(tǒng)中的事務(wù)進入點、處理點和輸出點，以發(fā)現(xiàn)控制弱點。一般可以通過審核用戶活動報告和違例報告，以及通過平行作業(yè)、整體測試等方法來實現(xiàn)對應用控制的審計。

　　5.對系統(tǒng)安全策略的審計。隨著組織對信息系統(tǒng)的依賴性越來越強，信息安全問題正變得日益突出，信息資產(chǎn)比傳統(tǒng)資產(chǎn)更容易受到損害。一般而言，為了有效保護信息資產(chǎn)，組織需要建立信息安全管理的一些要素，關(guān)鍵的有：高級管理層的承諾與支持、信息安全政策與程序、組織、安全意識與教育、監(jiān)督與符合性審核、應急處理與響應。

　　6.對邏輯訪問控制的審計。邏輯訪問控制是通過一定的技術(shù)方法去控制用戶可以利用什么樣的信息，可以運行什么樣的程序，可以修改什么樣的數(shù)據(jù)。這些控制可以內(nèi)置在操作系統(tǒng)中，通過單獨的訪問控制軟件進行調(diào)用;也可以內(nèi)置在應用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和網(wǎng)絡(luò)控制設(shè)施(實時性能監(jiān)測)中。

　　7.對物理訪問控制的審計。物理訪問的暴露可能使企業(yè)的業(yè)務(wù)資源面臨非授權(quán)訪問，導致組織受損。組織一般通過使用胸牌、內(nèi)存卡、門鎖、生物測定設(shè)備等限制人員進出機房和數(shù)據(jù)中心等敏感區(qū)域。

　　8.對環(huán)境控制的審計。環(huán)境風險可能來自自然災害，還可能來自電力故障、設(shè)備故障、溫度、濕度、靜電、恐怖襲擊等方面。

　　9.業(yè)務(wù)連續(xù)性計劃的審計。業(yè)務(wù)連續(xù)性計劃(BCP)是組織為避免關(guān)鍵業(yè)務(wù)功能中斷，減少業(yè)務(wù)風險而建立的一個控制過程。一般包括對支持組織關(guān)鍵功能的人力、物力需求和關(guān)鍵功能所需的最小級別服務(wù)水平的連續(xù)性保證。BCP的目標就是要把組織的剩余風險和因意外事件產(chǎn)生的風險降到組織可接受的程度。BCP主要包括災難恢復計劃、作業(yè)計劃和重建計劃。

　　二、信息系統(tǒng)審計的策略

　　1.評估現(xiàn)有審計人員的專業(yè)勝任能力，補充完善審計人力資源。“知己知彼”才能有效開展審計項目。前面著重闡述的是審計對象，是“彼”，面對新的審計領(lǐng)域，審計人員自身也需要客觀審視“己”的專業(yè)勝任能力。目前，我國內(nèi)審人員絕大多數(shù)來自財務(wù)和審計專業(yè)，從事IT開發(fā)和管理的人員鳳毛麟角，接受過信息系統(tǒng)審計培訓的人員也極少。從9個方面的審計內(nèi)容看，僅在對IT治理結(jié)構(gòu)和實施以及環(huán)境控制審計兩個方面，目前的審計人員能夠基本勝任，其余7個方面都不能完全勝任。這是開展信息系統(tǒng)審計的最大障礙，因此，盡快補充新的審計人力資源是當務(wù)之急。

　　補充完善審計人力資源的途徑有兩個：一是直接招聘有信息系統(tǒng)背景的審計人員;二是簽訂信息系統(tǒng)審計業(yè)務(wù)外包協(xié)議。兩種途徑各有利弊，審計部門負責人可以視具體情況靈活掌握。

　　2.對現(xiàn)有信息系統(tǒng)的再認識。信息系統(tǒng)是個大系統(tǒng)、大概念，其中包含了眾多小的應用系統(tǒng)。以某市通信公司為例，該公司除了使用了上級統(tǒng)一開發(fā)的MSS、CRM、綜合營帳系統(tǒng)和物資管理系統(tǒng)等之外，又結(jié)合自身管理需要陸續(xù)開發(fā)了增值業(yè)務(wù)系統(tǒng)、中間渠道管理系統(tǒng)等20多個小型管理應用系統(tǒng)。

　　要對如此龐雜的系統(tǒng)進行審計，審計人員須要對整個信息系統(tǒng)進行有效的歸類整理，劃清生產(chǎn)系統(tǒng)、管理系統(tǒng)和支撐系統(tǒng)等的界限，分析系統(tǒng)與系統(tǒng)之間的相互聯(lián)系，識別核心系統(tǒng)與非核心系統(tǒng)，為下一步具體實施審計奠定良好的基礎(chǔ)。

　　3.制定信息系統(tǒng)審計的長期規(guī)劃。信息系統(tǒng)審計的內(nèi)容繁雜，專業(yè)技術(shù)性強，有效實施審計不可能“全面開花”，一蹴而就。制定長期規(guī)劃十分必要。與其他長期規(guī)劃制定工作類似，信息系統(tǒng)審計的長期規(guī)劃要與組織的價值目標相一致，需要明確審計的最終目的和任務(wù)。規(guī)劃時間一般為5年，規(guī)劃期內(nèi)各年的主要任務(wù)和重點工作清楚，并對完成規(guī)劃所需的人力資源、物質(zhì)資源等有科學的測算。

　　4.確定中短期審計目標和重點審計領(lǐng)域。中短期審計目標就是將長期規(guī)劃具體化，主要明確今后2到3年內(nèi)的具體審計項目。這些項目的確定需要注意以下幾個原則：

　　(1)與組織中短期的經(jīng)營管理目標一致。

　　(2)符合長期規(guī)劃的步驟。

　　(3)內(nèi)容具體，可操作性強。

　　(4)有相應的考核評價體系。

　　同時，在具體實施中短期審計計劃過程中，要注意量力而行，對暫時不能完成的長期規(guī)劃任務(wù)，要及時反饋，適時修訂。

　　5.協(xié)調(diào)好自審與業(yè)務(wù)外包的關(guān)系。考慮到人力資源成本、管理專業(yè)化以及人類認知的固有局限性，目前國際上通行的信息系統(tǒng)審計方式是采用審計人員與外聘專家共同工作的方式。彼此發(fā)揮自身優(yōu)勢，取長補短。筆者認為，在信息系統(tǒng)審計中，一般不宜采取完全外包的方式，這不利于審計人員專業(yè)素質(zhì)的提升，也不利于組織信息安全管理。通常，在信息系統(tǒng)審計開展的初期，外包審計的范圍可稍大一些，之后，應逐步降低，并保持在適當?shù)谋壤健?/p>

　　日志審計：目的是收集日志，通過SNMP、SYSLOG、OPSEC或者其他的日志接口從各種網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶電腦、數(shù)據(jù)庫、應用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志，進行統(tǒng)一管理、分析和報警。

　　主機審計：通過在服務(wù)器、用戶電腦或其他審計對象中安裝客戶端的方式來進行審計，可達到審計安全漏洞、審計合法和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容以及向外拷貝文件行為、監(jiān)控用戶非工作行為等目的。

　　網(wǎng)絡(luò)審計：通過旁路和串接的方式實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲，而且進行協(xié)議分析和還原，可達到審計服務(wù)器、用戶電腦、數(shù)據(jù)庫、應用系統(tǒng)的審計安全漏洞、合法和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容、監(jiān)控用戶非工作行為等目的。

　　6.建立良好的溝通渠道。同傳統(tǒng)審計一樣，“溝通”在信息系統(tǒng)審計中也顯得十分重要。良好的外部溝通有利于審計人員更為全面地認識信息系統(tǒng)的內(nèi)在控制過程，有利于審計目標與管理目標的結(jié)合，有利于審計結(jié)果的落實和執(zhí)行。