亚洲成人av在线|一本大道东京热精品人妻|高清在线无码视屏|91久久久久久久久久久|国产AV一区二区三区|在线看成年人黄色片|99国产精品人8无码免费|A级黄色大片网站|国产精品人人做人人爽人人添|av高清国产欧美香蕉在线

　?。壅?要］信息系統(tǒng)審計是指根據(jù)公認的標準和指導(dǎo)規(guī)范對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進行監(jiān)測、評估和控制的過程，以確認預(yù)定的業(yè)務(wù)目標得以實現(xiàn)。信息系統(tǒng)審計由審計證據(jù)管理、安全標準、安全評估、項目管理審計和法律標準等5個子系統(tǒng)組成，其業(yè)務(wù)范圍包括與信息系統(tǒng)有關(guān)的所有領(lǐng)域。信息系統(tǒng)審計方面的標準尚處于空白狀態(tài)。信息系統(tǒng)審計是未來審計發(fā)展的必然。
　?。坳P(guān)鍵詞］信息系統(tǒng)審計；系統(tǒng)組成；范圍；準則
　　［中圖分類號］F239.1［文獻標識碼］A［文章編號］1673-0194（2007）01-0066-03
　　
　　 “實現(xiàn)工業(yè)化仍然是我國現(xiàn)代化進程中艱巨的歷史性任務(wù)。信息化是我國加快實現(xiàn)工業(yè)化和現(xiàn)代化的必然選擇?！苯陙?，信息技術(shù)在提高企業(yè)管理創(chuàng)新、集中管控能力、執(zhí)行力和市場反應(yīng)能力等方面，取得了意想不到的效果。但是，信息系統(tǒng)給社會帶來的危害也凸現(xiàn)出來。首先，突發(fā)事件的影響。由于1993年紐約世界貿(mào)易大廈爆炸事件，使得當時入住的多數(shù)企業(yè)的商業(yè)數(shù)據(jù)如數(shù)喪失，導(dǎo)致企業(yè)這一年內(nèi)的很多商業(yè)活動無法進行。其次，錯誤操作、不正當使用和濫用信息技術(shù)。1998年發(fā)生的CIH病毒，造成全球數(shù)百萬臺計算機硬件損壞，導(dǎo)致近百億美元的經(jīng)濟損失。再次，信息系統(tǒng)開發(fā)失敗。1994年，Standish Group對IT行業(yè)8 400個項目（投資250億美元）的研究結(jié)果表明，有34％的項目徹底失敗，50％的項目在補救后完成，預(yù)算平均超出90％，進度平均超出120％。因此，迫切需要對正在使用或即將投產(chǎn)的信息系統(tǒng)的安全性、真實性、完整性、有效性進行鑒證。信息系統(tǒng)審計已成為企業(yè)管理人員迫切需要開展的重要工作。在我國信息化推進過程中也存在很多問題，主要表現(xiàn)在規(guī)劃制訂不夠科學，項目管理不夠嚴格，監(jiān)理機制不夠健全，系統(tǒng)運行效益不夠明顯，致使相當一部分信息化項目失敗或未能實現(xiàn)預(yù)期目標，浪費了大量資源。究其根源，主要原因之一是信息化建設(shè)第三方監(jiān)管機制的缺失和標準的不健全。
　　
　　一、信息系統(tǒng)審計
　　
　　信息系統(tǒng)審計是指根據(jù)公認的標準和指導(dǎo)規(guī)范對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進行監(jiān)測、評估和控制的過程，以確認預(yù)定的業(yè)務(wù)目標得以實現(xiàn)。
　　在建立信息系統(tǒng)審計制度，開展信息系統(tǒng)審計研究方面，美國走在了前面。早在計算機進入實用階段時，美國就開始提出系統(tǒng)審計（System Audit）。1969年在洛杉磯成立了電子數(shù)據(jù)處理審計師協(xié)會（EDPAA），1994年該協(xié)會更名為信息系統(tǒng)審計與控制協(xié)會（Information System Audit and Control Association，ISACA），總部設(shè)在美國芝加哥。目前該組織是從事信息系統(tǒng)審計的專業(yè)人員唯一的國際性組織。
　　在很多大型公司內(nèi)部，信息系統(tǒng)審計部門已經(jīng)成為一個獨立的對外提供多種服務(wù)的部門。尤其是互聯(lián)網(wǎng)和電子商務(wù)的興起，更是為信息系統(tǒng)審計業(yè)務(wù)帶來了無盡的商機。為財務(wù)報表審計提供服務(wù)只占信息系統(tǒng)審計部門業(yè)務(wù)內(nèi)容很小的一部分。與信息安全相關(guān)的防火墻審計、安全診斷、信息技術(shù)認證以及ERP相關(guān)的新型咨詢業(yè)務(wù)也不斷涌現(xiàn)?！拔磥韺徲嬓袠I(yè)和審計技術(shù)的發(fā)展動力將主要來自于信息系統(tǒng)審計的發(fā)展”，這一觀點已經(jīng)逐漸成為國外會計、審計界的一個共識。信息系統(tǒng)審計師的地位也在不斷提高。在國外的一些大型會計公司中已經(jīng)出現(xiàn)了沒有CPA資格的合伙人，他們持有的專業(yè)資格就是CISA。據(jù)專家介紹，國際信息系統(tǒng)審計師（簡稱IT審計師）目前已經(jīng)成為全球范圍最搶手的高級人才。
　　在初期，信息系統(tǒng)審計是作為傳統(tǒng)審計業(yè)務(wù)的一部分，在審計師對由計算機系統(tǒng)處理的數(shù)據(jù)的質(zhì)量進行判斷時提供技術(shù)支持。有信息系統(tǒng)審計技能的審計師被看作是會計師事務(wù)所的技術(shù)資源，在必要時為同事提供技術(shù)支持。信息系統(tǒng)審計需求領(lǐng)域很廣，如對組織的信息系統(tǒng)審計(主要集中在對信息技術(shù)的管理控制)、技術(shù)方面的信息系統(tǒng)審計(包括架構(gòu)、數(shù)據(jù)中心、數(shù)據(jù)通信等)、應(yīng)用的信息系統(tǒng)審計(包括經(jīng)營、財務(wù))、開發(fā)實施信息系統(tǒng)審計(包括需求識別、設(shè)計、開發(fā)以及實施后階段)和信息系統(tǒng)是否符合國家或國際標準的審計等等。
　　
　　二、構(gòu)建信息系統(tǒng)審計
　　
　　信息系統(tǒng)審計的建立是一項復(fù)雜的系統(tǒng)工程，所以應(yīng)制訂長遠的開發(fā)規(guī)劃，由簡到繁分階段逐步實現(xiàn)。它的功能應(yīng)該是：實現(xiàn)審計信息的收集、處理和共享；實現(xiàn)審計日常管理的自動化；通過計算機建立程序化的標準審計方法和統(tǒng)一的審計標準，從而提高審計工作的效率和質(zhì)量;實現(xiàn)審計管理規(guī)范化；保證審計作業(yè)規(guī)范化；促進審計文檔規(guī)范化；審計質(zhì)量監(jiān)督規(guī)范化；提高審計結(jié)論的層次?；谏鲜龅南到y(tǒng)目標，信息系統(tǒng)審計當前應(yīng)由審計證據(jù)管理子系統(tǒng)、信息系統(tǒng)安全標準子系統(tǒng)、信息系統(tǒng)安全評估子系統(tǒng)、項目管理審計子系統(tǒng)和信息系統(tǒng)審計法律標準子系統(tǒng)等5個子系統(tǒng)組成。
　?。ㄒ唬徲嬜C據(jù)管理子系統(tǒng)
　　１． 審計證據(jù)收集
　?。?）傳統(tǒng)方法收集審計證據(jù)；
　?。?）通過數(shù)據(jù)接口直接向計算機會計信息系統(tǒng)獲取審計證據(jù)；
　?。?）在線系統(tǒng)審計證據(jù)收集；
　?。?）計算機網(wǎng)絡(luò)系統(tǒng)審計證據(jù)收集。
　　2． 審計證據(jù)評價
　　（1）真實性。查明審計證據(jù)的來源、形成的時間、地點、制作過程及設(shè)備情況，有無偽造和刪改的可能性；
　?。?）合法性。包括收集手段是否合法和形式要件是否合理兩部分。有些審計證據(jù)其本身也有證據(jù)力，但在收集過程中，違背了規(guī)定的手續(xù)和程序，因而也就不具有法律效力，也不能用來證實問題。為此，鑒定分析審計證據(jù)時，要了解證據(jù)是以什么方法、在什么情況下取得的，是否違背了法定的程序和要求，是否符合法律規(guī)定的形式要件，這樣有利于判明審計證據(jù)的真?zhèn)纬潭群托ЯΓ?
　?。?）相關(guān)性。查明審計證據(jù)反映的事實與被審計事項有無關(guān)系，只有與被審計事項的事實或邏輯上是相關(guān)的事實才能被認為是證據(jù)； ?。?）結(jié)合其他證據(jù)鑒定分析。
　?。ǘ┬畔⑾到y(tǒng)安全標準子系統(tǒng)
　　 構(gòu)建通用的信息系統(tǒng)安全標準，作為信息系統(tǒng)審計工作中的參考標準。信息系統(tǒng)安全標準是由高級管理人員制定的最小標準、規(guī)則構(gòu)成的集合，所以必須加以實現(xiàn)，以確保信息系統(tǒng)安全政策的實現(xiàn)。信息系統(tǒng)安全標準需要指明每個信息系統(tǒng)控制的詳細要求。它為管理人員提供一個基準或底線，可以照此對單個信息系統(tǒng)控制的適當性進行評估。信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程。它立足于組織的戰(zhàn)略目標，為有效地實現(xiàn)組織戰(zhàn)略目標而采取的一切活動過程都在審計師的業(yè)務(wù)之內(nèi)。
　?。ㄈ┬畔⑾到y(tǒng)安全評估子系統(tǒng)
　　信息系統(tǒng)審計集中反映了企業(yè)的戰(zhàn)略目標，主要從質(zhì)量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；信息系統(tǒng)審計資源主要包括信息、應(yīng)用系統(tǒng)、設(shè)施、人等相關(guān)的資源，這是信息系統(tǒng)審計治理過程的主要對象；信息系統(tǒng)審計過程則是在信息系統(tǒng)審計準則的指導(dǎo)下，對信息及相關(guān)資源進行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、獲取與實施、交付與支持、監(jiān)督與評估等方面確定了信息技術(shù)處理過程，每個處理過程還包括更加詳細的控制目標和審計方針，以對信息系統(tǒng)審計處理過程進行評估。
　　（四）項目管理審計子系統(tǒng)
　　項目管理系統(tǒng)是對審計過程進行全面指導(dǎo)、幫助和控制的軟件，它通過對標準審計方法的各個工作流程的合理細分，使每個子流程都對應(yīng)相應(yīng)的計算機處理模塊。從而使一個完整的審計項目可通過計算機輔助而完成，并產(chǎn)生各個工作環(huán)節(jié)應(yīng)該生成的底稿和報告，有利于提高工作效率，為進行審計質(zhì)量考核提供了極大的方便。
　　
　?。ㄎ澹┬畔⑾到y(tǒng)審計法律標準子系統(tǒng)
　　此系統(tǒng)主要是實現(xiàn)信息資料的收集和共享。內(nèi)容定期進行更新，包括：審計工作所需要的各類法律、法規(guī)、規(guī)章制度等。一般來講，按不同層次設(shè)立，信息的共享通過系統(tǒng)內(nèi)互聯(lián)的企業(yè)網(wǎng)實現(xiàn)，還可根據(jù)信息的保密要求，設(shè)定不同的信息訪問權(quán)限。
　　
　　三、規(guī)范信息系統(tǒng)審計范圍
　　
　　其業(yè)務(wù)范圍包括與信息系統(tǒng)有關(guān)的所有領(lǐng)域，例如對組織的信息系統(tǒng)審計（主要集中在對信息技術(shù)的管理控制）、技術(shù)方面的信息系統(tǒng)審計（包括架構(gòu)、數(shù)據(jù)中心、數(shù)據(jù)通信等）、應(yīng)用的信息系統(tǒng)審計（包括經(jīng)營、財務(wù)）、開發(fā)實施信息系統(tǒng)審計（包括需求識別、設(shè)計、開發(fā)以及實施后階段）和信息系統(tǒng)是否符合國家或國際標準的審計以及網(wǎng)譽審計、電子簽名審計業(yè)務(wù)等電子商務(wù)審計。具體包括以下幾方面內(nèi)容：
　?。?）信息系統(tǒng)開發(fā)計劃、管理及組織架構(gòu)的戰(zhàn)略、政策、標準及相應(yīng)實踐過程的評估；
　?。?）技術(shù)基礎(chǔ)設(shè)施及運行實踐的效能和效率的評估；
　　（3）信息資源在邏輯訪問、運行環(huán)境以及IT基礎(chǔ)設(shè)施各方面的安全性的評估；
　?。?）系統(tǒng)災(zāi)難恢復(fù)及保證業(yè)務(wù)連續(xù)性的能力的評估；
　?。?）業(yè)務(wù)應(yīng)用系統(tǒng)開發(fā)、實施與維護的方法和過程的評估；
　?。?）業(yè)務(wù)流程的風險管理水平的評估；
　?。?）財務(wù)系統(tǒng)的評估。
　　信息系統(tǒng)的作用有以下3方面：
　　第一，鑒證作用。信息系統(tǒng)審計的鑒證價值是指通過審計，合理地保證被審計單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實性、完整性與可靠性，政策遵循的一貫性。
　　第二，促進作用。促進價值體現(xiàn)在兩個方面，一是指信息系統(tǒng)審計可以促進被審計單位更有效地融入到社會經(jīng)濟生活中；二是指審計可以促進被審計單位改進內(nèi)部控制，加強管理，提高信息系統(tǒng)實現(xiàn)組織目標的效率、效果。
　　第三，咨詢作用。信息技術(shù)的發(fā)展為組織的管理變革提供了技術(shù)手段，組織扁平化、工作豐富化等管理變革都要信息技術(shù)來實現(xiàn)。信息化已是大勢所趨。
　　
　　四、創(chuàng)建行業(yè)標準與實務(wù)指南
　　
　　如同開展業(yè)務(wù)審計要具有相關(guān)法律法規(guī)作為審計依據(jù)一樣，開展信息系統(tǒng)審計同樣需要審計依據(jù)。國內(nèi)信息系統(tǒng)審計方面的工作近幾年才剛剛開始，基本仍處于摸索階段，而在國家審計中更是如此。目前，由于國內(nèi)關(guān)于信息系統(tǒng)審計方面的標準尚處于空白狀態(tài)。
　　國際上關(guān)于信息系統(tǒng)審計方面可以參考的標準主要有信息及相關(guān)技術(shù)控制目標COBIT（Control Objectives for Information and related Technology）、ISO17799、能力成熟度集成模型CMMI（Capability Maturity Model Integration）和IT基礎(chǔ)架構(gòu)庫ITIL（Information Technology Infrastructure Library）等。
　　信息系統(tǒng)審計與控制協(xié)會ISACA（Information System Audit and Control Association）于1996年公布的目前國際上通用的信息系統(tǒng)審計的標準。它將IT 過程、IT資源及信息與企業(yè)的策略與目標聯(lián)系起來，形成一個三維的體系結(jié)構(gòu)。它是一個在國際上公認為最先進、最權(quán)威的安全與信息技術(shù)管理和控制的標準。
　　英國國家標準局制定的BS7799-1《信息安全管理實踐規(guī)范》于2000年12月被國際標準化組織采納，成為ISO17799。ISO/IEC17799標準最初于1993年由英國貿(mào)易工業(yè)部立項，由標準化協(xié)會籌備起草并作為英國的標準。1995年，首次發(fā)布BS 7799-1:1995《信息安全管理業(yè)務(wù)規(guī)范》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定各類信息系統(tǒng)通用控制范圍的唯一參考基準，并且適用于大、中、小組織以及政府部門；1998年，標準化協(xié)會發(fā)表標準的第二部分BS 7799-2《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系與信息安全控制要求，是一個組織的全面或部分信息安全管理體系評估的基礎(chǔ)，它還可以作為一個正式認證方案的根據(jù)；BS 7799-1與BS 7799-2經(jīng)過修訂于1999年重新予以發(fā)布，此次考慮了信息處理技術(shù)，尤其是考慮了在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的最新發(fā)展情況；2000年12月，BS 7799-1:1999《信息安全管理業(yè)務(wù)規(guī)范》通過了國際標準化組織ISO的認可，正式成為國際標準，即ISO/IEC17799-1:2000《信息技術(shù)——信息安全管理業(yè)務(wù)規(guī)范》標準。2005年，ISO發(fā)布了新版的信息安全管理實施細則，即ISO/IEC17799-2005，對2000年版的標準進行了修訂，更加注重標準的通用性和實用性。 　日本的系統(tǒng)審計是從20世紀80年代開始，1983年通產(chǎn)省公開發(fā)表了《系統(tǒng)審計標準》，并在全國軟件水平考試中增加了“系統(tǒng)審計師”一級的考試，著手培養(yǎng)從事信息系統(tǒng)審計的骨干隊伍。近幾年東南亞各國也開始制定電子商務(wù)法規(guī)，成立專門機構(gòu)開展信息系統(tǒng)審計業(yè)務(wù)，并制定技術(shù)標準。
　　國內(nèi)目前關(guān)于信息系統(tǒng)審計的依據(jù)主要有修訂后的《中華人民共和國審計法》、國辦發(fā)［2001］88號文件《國務(wù)院辦公廳關(guān)于利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》、1999年頒布的獨立審計準則第20號——計算機信息系統(tǒng)環(huán)境下的審計等，同時可以參考COBIT和ISO17799標準。
　　但是我國信息系統(tǒng)審計才剛起步，審計技術(shù)、審計規(guī)范、制度等都有待研究。隨著我國信息化水平的提高，對信息系統(tǒng)的有效控制與審計將逐漸成為研究熱點。
　　
　　五、開展信息系統(tǒng)審計的意義
　　
　　1． 信息系統(tǒng)審計是未來審計發(fā)展的必然
　　未來審計行業(yè)和審計技術(shù)的發(fā)展動力將主要來自于信息系統(tǒng)審計的發(fā)展。
　　2． 維護信息時代的市場經(jīng)濟秩序
　　市場經(jīng)濟是建立在信用基礎(chǔ)上的，信息系統(tǒng)審計應(yīng)當充當信息時代經(jīng)濟生活中公正的鑒證人，起著維護市場經(jīng)濟穩(wěn)定的作用。信息時代競爭的加劇，信息流的電子傳播方式等，使市場對及時和相關(guān)信息的需求越來越多，現(xiàn)有財務(wù)報告模式的局限性日漸突出?，F(xiàn)有財務(wù)報告是以歷史成本為計量基礎(chǔ)的、周期性地向利益相關(guān)者報告。在新經(jīng)濟環(huán)境中，信息系統(tǒng)審計師應(yīng)能夠以在線、實時的信息為基礎(chǔ)提供鑒證，通過多種方式來保護公眾利益、提供鑒證服務(wù)并滿足投資公眾對決策有用信息的訪問需要。提供實時報告鑒證對保護公眾利益和保護資本市場的有序發(fā)展是非常有意義的。
　　3． 為信息化建設(shè)保駕護航
　　“以信息化帶動工業(yè)化”，推進“電子政務(wù)”及“電子商務(wù)”，許多企業(yè)也已著手整合與升級其信息化應(yīng)用系統(tǒng)。可以預(yù)計，全國將有更多、更大的信息系統(tǒng)建設(shè)項目展開。但是，信息化是有風險的，信息系統(tǒng)規(guī)模越大，功能越復(fù)雜，風險也就越大。信息系統(tǒng)審計師的出現(xiàn)，可以從項目計劃開始介入信息系統(tǒng)建設(shè)的每個環(huán)節(jié)，以他們的專業(yè)素養(yǎng)，從項目的初始階段一直到運營的全過程，給予項目投資者風險控制的評估與建議，提高信息系統(tǒng)的投資效益。
　　
　　主要參考文獻
　　[1] 〔美〕Jack J Champlain著.審計信息系統(tǒng)（第二版）[M].張金城等譯.北京：清華大學出版社，2004.
　　[2] 陳偉，劉思峰，邱廣華. 計算機審計中數(shù)據(jù)處理新方法探討[J]. 審計與經(jīng)濟研究,2006，（1）.
　　[3] 陳丹萍. 信息環(huán)境下現(xiàn)代審計技術(shù)的探索：實時在線審計[J]. 審計與經(jīng)濟研究，2005，（4）.
　　[4] 姚太明. 關(guān)于電子證據(jù)可采性與證明力的若干問題探討[J]. 審計研究，2005，（1）.
　　[5] 秦宇. 會計電算化條件下的計算機審計[J].會計之友，2005，（3）.