国企信息系统审计攻略

当前，信息系统逐渐成为企业管理与内部控制的重要手段和工具，信息系统审计也逐渐开始得到各国政府、专业机构和企业的重视。

信息系统的审计要点包括：分析和识别被审计单位信息系统可能面临的威胁及威胁发生的概率；分析和识别被审计单位信息系统可能存在的风险点及风险的严重性；通过分析威胁发生的概率及风险的严重性来评估被审计单位信息系统的风险程度及可能产生的影响；评价被审计单位的风险应对机制及防范应对措施的可行性及有效性；对信息系统定期开展后续跟踪评估，等等。

审计方法

信息系统审计作为近年来审计发展的新领域，既要运用到访谈、调查、观察和分析等传统审计方法，也要引入平行模拟、数据测试、黑白盒测试、工具扫描及安全策略分析等各类新技术新程序，审计人员在实施具体审计业务时，应根据被审计单位的信息系统实际情况选择合适的方法程序。

与其他审计不同，信息系统审计还会运用大量的计算机技术。

1.数据测试。

数据测试是将几组预先设计好的、包含了正确和错误信息的测试数据，送入信息系统进行处理，并把处理结果与预先设计好的结果进行比较，以确定该系统能否对有效数据进行正确处理，从而将错误数据检测出来。这种方法对审计人员计算机水平要求较低，应用相对广泛。

2.程序流程图检查。

审计人员依照信息系统的处理流程图对信息系统程序的控制功能进行分析，按图索骥，以检测信息系统是否可靠，业务处理逻辑是否正确。例如，审计人员根据物资管理系统流程图，追踪系统在应该对输入信息进行校验时候是否执行该步骤，当出现非法数据输入时系统是否按照流程要求显示报错信息，以确认该项内部控制措施是否有效。

3.系统运行日志检查。

审计人员可以根据系统日志的内容来推断信息系统运行过程是否正常、发生过什么状况、程序化控制措施是否存在，及可靠程度有多高，等等。有可能日志中某条记录的中断隐含了系统逻辑或语法错误，进而可以作为风险点开展进一步的审计活动。

4.嵌入程序监控。

将独立的审计模块嵌入到一个运行的信息系统中，在系统运行的同时检查系统输入及处理的各项业务，将其中不符合预定标准的业务找出来，审计人员可以通过对这些被识别出的业务进行审查和分析，确定是业务本身问题还是系统运行问题，进而发现潜在风险点。

5.其他。

随着计算机技术的不断进步，信息系统审计的方式方法也不断更新发展，大量智能技术逐步被引入信息系统审计中，如IDS取样分析、渗透测试、工具扫描、安全策略分析、黑白盒测试、数据挖掘技术、数据结构验证、A-GENT技术、程序编码审查及征兆发现技术等，这些技术的运用都对审计人员的计算机水平提出了较高的要求，普通审计人员很难胜任，需要计算机专业人员协助。

实施途径

大型国有企业开展相关审计工作可以从以下几个方面入手，积累经验的同时寻找业务上的突破口，为信息系统内部控制审计进一步发展打好坚实的基础。

首先，制定符合企业发展需求的信息系统审计制度。

企业在建立这些规章制度时可以参照国际上较为成熟和先进的经验、标准及指南等，以满足审计工作需求、符合企业发展状况为首要目标。

其次，形成具有实用价值的信息系统审计操作手册。

大型国有企业，特别是信息化管理程度比较高的集团型企业，应根据企业信息化水平制定相应的信息系统审计实务操作手册或指导性文件，明确企业信息系统的重要风险点及关键领域，指明开展信息系统审计的重点、内容、风险、方法及程序。

再次，培养符合企业信息系统审计需求的审计人员。

从事信息系统审计的人员既要精通审计专业知识，又要熟悉企业经营管理流程，还要通晓计算机技术，这样的复合型人才不是较短时间就能产生的，企业在培养这方面人才时一方面要考虑实际需要，同时要具有一定的前瞻性，在企业总部以及关键的下属企业中建立专职信息系统审计部门或配备信息系统审计人员，给予其实践机会并加强培训，为企业信息系统审计提供储备力量。

最后，做好开展信息系统审计的各项基础准备工作。

大型国企信息系统往往具有覆盖面广、用户量大、软件众多及流程复杂等特点，因此，在进行信息系统审计前要对企业信息系统总体情况进行调查分析，以了解系统架构及关键风险点等信息，为今后的实际审计活动打下坚实的基础，起到事半功倍的效果。

相信随着理论和实践的不断完善，信息系统内部控制审计将在防范企业经营管理风险、促进实现企业最终目标方面发挥重要作用。

[作者供职于沪东中华造船（集团）有限公司]