谈企业信息化过程中的IT审计
内容摘要:企业信息化可以提高组织的工作效率和经济效益,但风险控制不当,也会给企业带来巨大的损失。因此,必须对企业信息化过程进行风险评估和IT审计。适当的运用IT审计方法、技术和工具,进行企业信息系统的综合评价,帮助企业控制信息化风险,实现信息系统的高效运作。
关键词:企业信息化 IT审计 信息系统
在当今竞争激烈和快速变化的商业环境中,企业面临严峻的挑战,传统的企业管理模式产生变革,信息技术正在渗透到企业业务环境的各个环节,信息化已经成为企业的中枢,影响到企业的生存与发展。但是,企业信息化在改善企业运作管理水平、提高工作效率的同时,也产生了巨大的风险。除了传统意义上的经营风险、控制风险和财务风险外,企业信息系统的安全问题,诸如系统的低效使用和频繁故障,程序的漏洞和黑客的侵犯等都会给企业以重创。而企业信息化又使得企业内部控制环节发生改变,传统的控制手段失去意义。信息技术对企业的挑战是空前的,企业决策层需要采用IT审计,进行企业信息系统的综合评价,帮助企业进行风险管理,迎接信息化的挑战。
企业信息系统的IT审计
(一)企业信息系统IT审计的产生
为了保证企业信息化过程中的安全,要对信息系统进行IT审计,将信息系统的风险降到最低。“审计”(Audit)起源于会计审计和帐目稽查。随着第二代晶体管计算机的出现和计算机技术的日益成熟与普及,特别是会计电算化之后,开始出现了IT审计。IT审计是指独立于审计对象的IT审计师,站在客观立场,对以计算机为核心的信息系统,从计划、设计、编程、运行、维护以至淘汰的整个生命周期实施审计,对信息系统的可靠性、安全性和有效性进行检查和评价,将结果报告给企业的最高领导,并提出问题和建议。IT审计的目的是使企业信息系统有效利用及去除弊病,使信息系统能够真正为经营者服务,为企业创造价值。
(二)企业信息系统IT审计的内容
企业信息系统的IT审计一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计。一个大型信息系统的开发需要花费企业大量的人力、物力和财力,如果开发不当,投入运行后需要的维护费用通常要超过开发费用,因此,对待系统开发必须慎重。对信息系统开发过程的每个环节跟踪审计,及时发现并修正每个阶段发生的错误,从而减轻开发过程中软件错误的积累放大效应,保障整个信息系统的质量。
对信息系统开发过程的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的。在信息系统运行维护阶段,信息系统已经建立起来,但是一个信息系统的成功不仅包括成功的系统开发,同时也包括对信息系统正确良好的操作和维护,使其保持最佳的运行状态,只有对信息系统进行正确操作和维护才能保证信息系统真正实现其最初的设计目标,以最高的效率提供服务。与系统开发阶段不同,运行维护阶段更加侧重于从系统的实际运行、维护状况和用户对系统的运行管理方面进行IT审计。
信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计;信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计。
IT审计还需要按照信息系统的生命周期展开,作为一种外部监督和控制手段,在系统开发之初参与进来,并贯穿于系统分析、系统设计、系统开发、系统测试、系统运行和维护各个阶段。而这些阶段有一些相同的业务,如人员的管理、文档的管理、进度的管理、委托业务的管理和灾难对策等,都需要对这些业务进行IT审计。按照共同业务审计的内容和原则,生命周期共同业务审计分为文档管理审计、信息系统进度管理审计、信息系统人员管理审计、信息系统委托业务管理审计、灾难恢复审计等内容如图1所示。
IT审计的方法、技术和工具
IT审计方法、技术和工具是IT审计的重要组成部分。企业信息系统从功能、应用环境、规模到开发方式等方面存在多样性和复杂性,IT审计难度很大,对审计师提出了严峻的挑战,面对错综复杂的信息系统和审计环境,审计师常常要用到许多种方法、技术和工具来帮助他们完成审计工作。常规的审计方法包括面谈法、问卷调查法、系统评审会、流程图检查、程序代码检查、程序代码比较和测试等。但在高度计算机化的信息系统中,只采用常规审计法显然是不够的,无论是审计证据的收集、评价,还是实现审计工作的现代化,都需要借助计算机来高效完成。计算机辅助审计技术与工具CAAT(Computer Assisted Audit Techniques & Tools)使审计人员有了一种能有效地提高审计效率的工具,即审计人员可以使用各种CAAT软件进行符合性测试和实质性测试。CAAT软件大致上可以分为三类:项目测试辅助软件、系统测试辅助软件和系统模拟软件。
项目测试辅助软件是审计人员为完成个别的审计项目的测试而编制使用的CAAT软件,帮助审计人员进行抽样审计的样本抽取、计算、分析和评价等。
系统测试辅助软件是审计人员为完成的企业信息系统而编制使用的CAAT软件。这些软件一般包括两种类型,一种是对比测试软件,即审计人员从企业信息系统中的原始数据中抽取一个样本数据,将样本数据输入到与企业信息系统类似的CAAT软件中进行处理,把CAAT软件的结果与企业信息系统产生的结果进行对比分析,以判定企业信息系统的可靠性、安全性;另一种是将用于测试的CAAT软件链接到企业信息系统中,审计人员输入一些特别准备的测试数据,由企业信息系统进行处理,并将处理结果转移到CAAT软件的一个测试文件中去,审计人员检查这一测试文件是否符合预期的结果,从而判断企业信息系统的可靠性、安全性。系统测试辅助软件也可以把两种类型的CAAT软件结合在一起使用。
系统模拟软件是审计人员运用已建立的数学模型在计算机上对企业的经营活动进行模拟,以判断企业经营活动可能应产生的结果,从而审查企业各项措施、决策的有效性和合理性。审计人员也可以模拟企业日常经营活动,并将模拟结果与企业实际成果进行比较分析,找出存在的差异,分析差异产生的原因。系统模拟软件一般用于经济效益审计或企业内部审计。
在实际工作中,审计师可以根据被审计组织及信息系统的实际情况,结合审计目标、成本效益、审计小组的人员和设备配置情况、工作能力或工作习惯等,来选择合适的IT审计方法、技术和工具,同时尽可能综合应用,优势互补,提高审计效率。
IT审计在企业信息系统中的应用
IT审计为企业信息系统的有效管理提供了一系列详细的审计方法,对企业信息系统进行审计时,审计师需要对信息系统的整体效能进行综合评估,进一步整体全面地评价企业信息系统目标实现的充分程度以及企业的收益程度。
对信息系统整体效能进行综合评估的主要评价项有:信息系统是否实现其设计目标,是否需要废置或继续,是否需要进行某些方面的修改以便更好地实现目标;信息系统开发过程是否合理,是否需要借此改善系统开发标准,系统开发人员可以获得更好的开展工作的反馈;信息系统是否能使管理更新,形成信息时代的经营管理;信息系统是否使管理组织体系发生根本改观,即高度集中又机动灵活,提高了合理性和科学性;信息系统是否能使组织真正面向市场并组织生产和经营,并使规模生产转变为敏捷生产成为可能;信息系统是否能使组织交流灵活,使原本僵化的部分划分得到改善,跨越传统部门界限形成团队合力;信息系统是否提高了组织员工的工作效率和质量,提供了员工的向心力;信息系统是否改善了组织与市场和客户紧密相连的手段和可能;信息系统是否成为组织核心竞争力的主要组成,是组织获得竞争优势的工具;信息系统是否有效降低了企业成本(尤其是时间成本),提高了企业效益。
信息化时代,企业运营需要依赖各种信息系统,IT审计可以避免信息系统的盲目开发和频发故障给企业带来的巨大损失。IT审计作为企业信息化过程中的重要环节,可以高效管理与企业信息系统开发、运行、维护及在整个生命周期中共同业务的相关风险,确保信息系统的安全。企业信息系统进行IT审计,客观评价系统实现其目标的完成程度和企业的收益程度,并对系统的实施和风险加以控制。IT审计对企业信息系统整体效能提升影响显著,是企业信息化的可靠保证。
参考文献:
1.胡克瑾.IT审计[M].电子工业出版社,2004
2.郭顺利,杨小虎.COBIT控制目标体系研究及在电子政务中的应用[J].计算机工程与设计,2004
3.胡克瑾.IT治理在电子政务中的应用[J].中国计算机用户,2006