信息系统审计的透视与思考 ——基于广州地铁IT 审计案例的分析

        信息系统审计是审计师对以计算机为核心的信息系统，通过专业判断和评价，合理保证信息系统安全、稳定、有效，并向信息系统的高层管理者及使用者提供问题解决方案，以达到改善经营和为组织增加价值目的的一个过程。结合企业发展情况，制定内部信息系统审计标准，利用审计软件，降低抽样风险，提高审计效率等多种措施，不断降低审计过程中的检查风险，提高审计质量。本文主要以分析广州地下铁道总公司IT审计案例来对信息系统审计进行透视与思考。

1广州地铁信息系统审计的现状

       2009 年，广州地铁IT审计已基本实现自主化，并开始尝试对多管理模块集成的信息系统进行审计，先后独立开展了资金集中管理有效性审计、合同管理系统审计、固定资产管理相关信息系统审计等一系列IT 专项审计项目。。广州地铁的IT审计模块逐步走向成熟。在参考业界信息系统审计理论和指导原则的基础上，结合广州地铁公司实际，广州地铁建立了具有自身特色的信息系统审计框架。

      目前，IT 审计已经发展成为广州地铁内部审计的一根“支柱”，连同“内控审计”，作为基本的审计手段贯穿于各类专业审计工作中，支持审计体系的巩固与发展。广州地铁公司以IT 审计与内控审计为支撑，工程审计、经营绩效审计为主线的审计新结构如图1 所示：

2广州地铁信息系统审计内容框架

      结合广州地铁信息化项目多、系统更新快、数据集成度高、系统控制与手工控制并重等特点，围绕信息系统构成要素、信息系统生命周期和信息系统管理三个维度，广州地铁公司将信息系统审计的内容划分为整体计算机控制审计、应用控制审计和系统建设效能评价三个方面。其逻辑推导过程及具体框架如图2 所示：

       其中，整体计算机控制审计是对信息系统运行中的控制活动进行审计，目的是合理保证由信息系统支持的业务流程控制是可靠的、生成的数据和报告是可信的。应用系统控制审计是对业务流程中的自动化控制活动进行审计，以合理保证交易的有效性、经适当授权和记录、完成的完整性、准确性和及时性。项目及系统绩效审计是对信息化项目的过程及成果对企业和业务产生的效益进行审计，用来合理保证信息化项目的投资产出比例符合建设的目标，以及信息系统对企业战略起到了预期的支撑作用。

3广州地铁信息系统审计内容详述

⑴围绕“信息系统全生命周期”，规范整体计算机控制审计框架

       广州地铁通过学习和借鉴国际信息系统技术管理和控制标准COBIT，建立起了一套自己的整体计算机控制审计框架，按流程和控制类型两种方式进行划分“三个方面和十个子流程”。其中“三个方面”包括：信息系统安全，信息系统操作和信息系统变更；“十个子流程”包括：信息系统策划与计划，信息系统操作，与外部供应商关系，信息系统安全，业务可持续计划，应用开发与实施，数据库开发与实施，系统软件支持，网络支持和硬件支持。

      围绕这三个方面，十个子流程，广州地铁共梳理出有关整体计算机控制的41 项审计内容，并针对每一项内容明确了控制目标和风险，建立起了一套完整的整体计算机控制矩阵。如表1 所示：

⑵从内部控制角度出发，细化信息系统应用控制审计的内容

      广州地铁从控制目标出发，结合业务内部控制要求和信息系统内部控制要求，梳理出了广州地铁应用控制审计的主要内容。将信息系统的应用控制划分为应用系统访问控制、流程和系统完整性控制以及数据质量控制三大类，并针对各类控制分别设计了不同的审计内容（如图4 所示）：

       一是应用系统授权访问控制审计包括对系统的认证方式、授权机制、权限的分配管理以及不相容职责分离在系统中的实现情况的审计；二是流程和系统完整性控制审计是对系统输入、处理、输出以及接口等各种系统运行规则的审计；三是数据质量控制审计则是对信息系统中的数据的完整性、规范性和有效性所进行的审计。

⑶围绕“信息化项目”和“信息系统”，综合评价信息化建设的效能

       在开展整体计算机控制审计和应用控制审计的基础上，广州地铁内部审计人员从企业经营和投资效益的视角出发，在信息系统审计中引入了经营审计中绩效审计（即3E审计）的概念，尝试对信息系统建设项目的成效、建成后系统的应用效能以及信息化最终对战略实现的支撑效果进行审计。由于审计对象同为信息系统建设项目，为了全面评价项目，也为更加便利地获取审计证据，广州地铁通常将对单个信息系统建设项目的合规性审计与项目效能审计结合在一起开展。

4信息系统审计步骤及实施策略

⑴以公司战略为导向，制定信息系统审计的战略

       一直以来，广州地铁奉行“源于战略、服务于战略”的现代审计理念。信息系统审计的战略规划来源于公司的战略，以及以公司战略指导制定的公司信息系统战略规划和内部审计业务战略规划；结合对公司信息化现状和IT审计模块定位的考虑，广州地铁公司制定了广州地铁信息系统审计战略规划。如图5所示：

⑵通过风险评估，确定各信息系统风险等级，制定层次分明、重点突出的信息系统循环审计计划 

      为利用有限的审计资源掌握公司主要信息系统的建设、运营情况，保障信息资源的有效利用，降低公司信息系统的整体风险，广州地铁建立了一套“根据信息系统风险评级制定差异化的审计策略”的方法：梳理信息系统脉络，全面掌握信息系统现状；开展信息系统评分，制定风险导向型审计计划；以风险为导向，开展信息系统审计项目。如图6：

⑶建立广州地铁信息系统审计标准体系，提高审计质量势

      IT审计模块成立之初，广州地铁立足于自身实际情况，引入了国内外组织制定的信息系统审计准则，并借鉴了外部审计的先进经验，逐步建立了信息系统审计标准，并编制了《信息系统审计工作手册》。该手册明确了信息系统审计的内容，以及各项内容对应的控制目标、所涉及的审计对象、审计重点以及可采用的审计方法等；确立了“十步走”的审计流程，对每一步骤中的工作内容、工作成果和要求进行了说明，并对应每个审计步骤，通过建立成果模板的方式明确审计过程文件的标准要求。如图7所示：

      建立信息系统审计作业标准作为广州地铁内部审计业务的一种管理方式，已经从最初的培养人员、累积知识、提高效率的方法，转变成为促进内审业务规范化、标准化、精细化管理的手段，成为内部审计质量管理的主要抓手。

中国内部审计整理发布

声明：除发布的文章无法追溯到作者并获得授权外，我们均会注明作者和文章来源。如作者见到请及时联系我们，我们再得到您的授权后重新发布或第一时间删改，谢谢！