信息系统审计是指内部审计机构和内部审计人员对组织信息系统建设的合法合规性、内部控制的有效性、信息系统的安全性、业务流程的合理有效性、信息系统运行的经济性所进行的检查与评价活动。
信息系统审计包括审计计划、审计依据、审计方法、审计技术、审计人员配置、审计实施流程、审计报告以及审计质量控制等内容。内部审计机构应建立信息系统审计的相应组织管理体系,对信息系统审计的流程和质量进行管控,并依照规章制度开展信息系统审计。
二、信息系统审计一般原则
组织应建立信息系统审计组织管理体系,并根据有关制度、标准和要求开展信息系统审计活动。其一般原则包括:
3.信息系统审计应在充分了解组织信息系统治理、管理和应用的基础上做出客观评价。
4.信息系统审计应结合组织的业务流程、信息系统及应用数据开展审计工作。
5.信息系统审计应不断提升内部审计人员技能,严格履行审计程序,提高审计工作质量。
三、内部审计机构在组织信息系统审计中的职责和义务包括但不限于:
1.编制组织信息系统审计中长期规划。
2.编制组织信息系统审计年度计划、预算及审计资源计划。
5.承担对信息系统控制设计和执行有效性评估的责任。
四、内部审计机构在信息系统审计过程中的权力包括但不限于:
1.有权参加或者列席信息系统治理及管理的重要会议。
2.有权进行现场实物勘查,或就与审计事项有关的问题对有关机构和个人进行调查、质询和取证。
3.若审计过程中审计范围受到限制影响审计目标和计划的实现,有权就范围受到的限制及其潜在影响与治理主体进行沟通。
4.有权向治理主体提出提高信息系统绩效的改进意见和建议。
第二节信息系统审计目标与特点
一、信息系统审计的目标
(一)信息系统审计总体目标
通过对信息系统的审计,揭示信息系统面临的风险、评价信息系统技术的适用性、创新性、信息系统投资的经济性、信息系统的安全性、运行的有效性等内容,合理保证信息系统安全、真实、有效、经济。
(二)信息系统审计的具体目标
1.保证信息系统建设符合国家有关法律法规和组织内部制度。保证信息系统建设方案、规划内容充分体现组织的战略目标,对信息系统建设、应用与公司的经营目标的一致性作出评价。
3.提高组织信息系统的可靠性、稳定性、安全性,数据处理的完整性和准确性。
二、信息系统审计的特点
信息系统审计除了具备传统审计的权威性、客观性、公正性等特点之外,还具备一些独有的特点,如:信息系统审计可以突破物理区域限制,开展远程非现场审计;信息系统审计要求审计人员具备较高的信息化知识和技能;信息系统审计的内容更加广泛;信息系统工作难以量化,审计评价时需要定性与定量相结合等。
一、信息系统审计内容概述
二、对组织层面信息技术控制的审计
组织层面信息技术控制审计的内容包括:
(一)控制环境
(二)风险评估
(三)控制活动
(四)信息与沟通
(五)内部监督
三、对信息系统一般性控制的审计
信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序,目标是保护数据与应用程序的安全,并确保异常中断情况下计算机信息系统能持续运行。信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。信息系统一般性控制审计应当重点考虑下列控制活动:
(一)系统开发和采购审计
(二)系统运行审计
(三)系统变更审计
(四)信息安全审计
四、对信息系统应用控制的审计
(二)系统配置控制
(三)异常情况报告和差错报告
审计信息系统在出现不能正常运行、计算结果错误等异常情况时,系统能否自动提醒、处理,接收、保存差错输出报告。
(四)接口/转换控制
审计应对接口的数据流向、数据传输能力、数据转换准确性等进行测试和检查,接口/转换能否保证数据流通的正确性以及数据传输能力是否满足系统功能需求。
(五)一致性核对
审计系统间传输时,需重点检查传输报告分发是否建立了相应的人工控制环节,包括但不限于安全打印、接收签名、加密、只读等,以防范非法篡改造成不一致。
(六)职责分离
(七)系统计算
审计信息系统对数据计算的准确性及计算效率。
(八)其他
五、信息系统专项审计
信息系统审计除上述常规的审计内容外,内部审计人员还可以根据组织面临的特殊风险或者需求,设计专项审计,具体包括但不限于下列领域:
(一)信息系统开发实施项目的专项审计。
(二)信息系统安全专项审计。
(三)信息技术投资专项审计。
(四)业务连续性的专项审计。
(五)法律、法规、行业规范要求的内部控制合规性专项审计。
(六)其他专项审计。
信息系统审计程序一般包括审计准备、审计实施、审计报告和后续审计四个阶段。
一、审计准备
(一)审前准备
内部审计人员在实施信息系统审计前,需要根据信息系统审计目标,开展审前调查,收集法规、制度依据以及其他有关资料。审前调查主要了解组织信息系统的治理管理体制、总体架构、规划和建设、应用管理情况等。具体如下:
1.治理、管理体制。主要了解信息系统管理机构设置、管理职责、工作流程等。
2.系统总体架构
(1)系统分布。包括系统数量、规模和分布,绘制信息系统分布图。
(2)信息系统主要类型。
(3)各信息系统的基本情况和系统之间的关联关系。
(4)信息系统应用覆盖面及应用程度。
3.规划和建设情况
(1)规划:信息系统发展规划以及规划、年度计划落实情况。
(2)建设:信息系统建设程序、投入、管理,了解已完成系统和在建系统。
(3)使用:信息系统应用管理制度、使用率、应用中存在的主要问题、困难和矛盾。
(二)编制审计工作方案
二、审计实施
审计实施是内部审计人员依据审计计划实施现场审计的过程。内部审计人员应结合审前准备了解的内容,按照被审计组织的信息化环境、业务流程、内控制度等方面的风险,明确具体项目审计目标、细化审计内容,突出审计重点。实施阶段主要应完成以下工作:
(一)了解评估被审计组织的信息系统内部控制
(1)信息系统内部控制环境。
(2)风险管理。
(3)控制活动。
(4)信息与沟通。
(5)内部监督。
2.开展控制测试
内部审计人员开展控制测试评价信息系统的内部控制要素,以确定组织能接受的控制风险。验证控制措施的执行是否符合管理政策和程序,为审计提供合理的保证。信息系统控制测试主要包括控制环境测试和功能测试:
(1)组织管理的控制测试。
(2)系统建设管理的控制测试。
(3)系统资源管理的控制测试。
(4)系统环境管理的控制测试。
(5)系统运行管理的控制测试。
(6)系统网络和通信管理的控制测试。
(7)系统数据库管理的控制测试。
(8)系统输入、处理、输出的控制测试。
(9)其他。
3.初步评估信息系统内部控制
根据对组织信息系统的控制测试情况,选择组织信息系统的重点业务流程,对固有风险和控制风险进行初步评估,对信息系统控制有效性作出评价。
(二)开展实质性测试
内部控制检查评价方法主要包括:个别访谈法、调查问卷法、比较分析法、标杆法、穿行测试法、抽样法、实地查验法、重新执行法、专题讨论会法等。内部控制检查评价应综合运用上述方法,充分利用信息系统,实施在线检查、监控。
三、审计报告
四、后续审计
一、信息系统主要审计方法
信息系统审计方法是为了完成信息系统审计任务所采取的手段。在信息系统审计工作中,要完成每一项审计工作,都应选择合适的审计方法。信息系统审计方法主要包括访谈法、调查法、检查法、观察法、测试和平行模拟法、程序代码检查、编码比较法、风险评估法等。
(一)访谈法
访谈法是指通过面对面或在线视频、音频等方式交谈来了解被审计对象的信息。依据不同问题的性质、目的或对象,采用不同的访谈形式。
(二)调查法
(三)检查法
检查法是指内部审计人员对组织内部或外部生成的记录和文件(包括但不限于纸质、电子或其他介质形式存在的资料)进行检查,或对资产进行实物检查。
信息系统审计人员审阅可行性研究报告、系统分析说明书、现状分析报告、输入输出和代码调查表等文档,检查上述文档以及相应的信息系统建设、应用、管理、运行是否符合国家法律法规、行业标准以及组织内部规章制度等。
(四)观察法
内部审计人员运用观察法,观察被审计组织员工的职责履行情况以及业务操作程序等以识别员工的逻辑访问权限是否合规,软硬件物理控制是否有效,盘点信息资产是否安全。
(五)数据测试的黑、白盒法与平行模拟法
数据测试法:从计算机输入开始,跟踪某项业务直至计算机输出,以检验计算机应用程序、控制程序和系统可靠性。
平行模拟法:针对某应用程序,审计人员用一个独立的程序去模拟该程序的部分功能,对输入数据同时进行并行处理,其结果和该应用程序处理的结果进行比较以验证其功能正确性的方法。
具体应用是先将测试数据输入信息系统和测试程序,经程序处理后输出结果,然后将输出结果与测试程序的结果相比较,从而确定系统的控制及应用程序在逻辑上是否正确。
内部审计人员在设计测试数据时,应充分考虑信息系统中可能发生的每一种错误包括但不限于:
1.数据类型错误。
2.顺序紊乱的编码。
3.数据超越了限制的条件。
4.数据比较出错。
5.无效的账户编码及关键字。
6.不合理的逻辑条件判断。
7.内部数据文件不匹配。
8.计量单位用错。
(六)程序代码检查法、编码比较法
程序代码检查法是指对被审计程序的指令逐条审计,以验证程序的合法性、完整性和程序逻辑的正确性。
程序编码比较法:比较两个及以上独立保管的被审计程序版本,以确定被审计程序是否经过修改,并评估程序的改动所带来的后果。
(七)风险评估法
风险评估常用技术。分级技术:根据审计对象的技术复杂性、现有控制程序的水平、可能造成的财务损失等各种因素的风险值累计为总风险值,根据分值大小进行排列分为高、中、低级风险。经验判断法:内部审计人员根据专业经验、业务知识、管理层的指导、业务目标、环境因素等进行判断,以决定风险大小。
二、信息系统审计的工具
(一)数据分析工具
数据分析工具主要有文件查找工具、数据检索工具、数据结构转换工具、指针检测工具、数据处理工具(包括但不限于排序、合并、复制、创建、修改、删除、重组)、文件打印工具、数据比较工具等。(二)数据库审计工具
数据库审计工具是指跟踪数据和数据库结构变化的工具。包括本地数据库审计、安全信息和事件管理及日志管理、数据库活动监控等。
(三)源代码安全审计工具
源代码安全审计是依据公共漏洞字典表、开放式Web应用程序安全项目以及设备、软件厂商公布的漏洞库,结合专业源代码扫描工具对各种程序语言编写的源代码进行安全审计。可提供包括安全编码规范咨询、源代码安全现状测评、定位源代码中存在的安全漏洞、分析漏洞风险、提出修改建议等一系列服务。
(四)日志安全审计工具
日志安全审计目的是收集系统日志,通过从各种网络设备、服务器、用户计算机、数据库、应用系统和网络安全设备中收集日志,进行统一管理和分析。日志审计系统功能包括信息采集、信息分析、信息存储、信息展示等功能。
(五)网络安全审计工具
网络安全审计是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。也是检查评估系统安全风险并采取相应措施的一个过程。网络安全审计从审计级别上可分为三种类型:系统级审计、应用级审计和用户级审计。
(六)专用审计工具箱
包括病毒查杀软件、坏磁盘恢复软件、数据反删除软件、磁盘反格式化软件、静态安全分析软件、动态安全分析软件、访问控制分析软件、漏洞扫描及渗透测试等专用工具软件。
信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性审计项目的组成部分实施。
信息系统审计组织方式包括但不限于:
1.组织内部审计机构独立承担。
3.委托外部专门机构开展,但应做好委托项目的质量控制和保密措施。
审计目标及任务确定以后,审计部门应根据工作量大小、工作的强度与难度等,配备审计活动所需要的审计人员,组成信息系统审计项目组。应选派技术能力、信息系统审计经验丰富的专业人员担任项目负责人及骨干人员。