ISA实施流程框架探索.docVIP

ISA实施的流程框架探索 　　提要ISA（Information System Audit），也就是信息系统审计。实施信息系统审计已经成为审计工作中的一项重要工作，但在实践中仍然有着很多尚待解决的问题，包括观念上的落后、专业人才的缺乏，以及行业标准 　　与实务指南的不健全，等等。本文从信息系统实施的角度，初步探索其程序框架，作为实践中的借鉴。 　　 　　一、我国信息系统审计实施过程中面临的问题 　　 　　（一）审计观念的转变。观念问题也就是认识问题。如果不转换审计观念，仅将审计目标局限为查错纠弊，势必将信息系统审计与当前中心工作对立起来。把审计仅仅理解为“查账”，则对信息系统审计的理解也只能停留在计算机辅助审计或辅助审计软件开发及应用的层次上。只有全面树立系统基础审计或风险基础审计观念，才能理解信息系统审计的重要意义。 　　（二）信息系统审计的专业人才。开展信息系统审计需要一批既掌握现代审计理论与实务，又了解计算机技术的复合型知识结构的专业人才。目前，审计署干部培训中心开展的注册信息系统审计师培养及与之相关的在审计人员中进行计算机知识的培训工作，正是为了适应这一现实需要。 　　（三）行业标准与实务指南。信息系统审计发展到一定阶段，必须由行业组织出面将实践经验加以总结，并把有关概念、工作流程和技术方法固定、统一起来，形成行业的标准和规范，这将是信息系统审计进一步发展的基础。与国外相比，国内关于信息系统审计方面的标准尚处于空白状态。国际上关于信息系统审计方面可以参考的标准主要有信息及相关技术控制目标ISO17799、能力成熟度集成模型和IT基础架构库等。信息系统审计与控制协会于1996年公布的目前国际上通用的信息系统审计标准。它是一个在国际上公认的最先进、最权威的安全与信息技术管理和控制标准。 　　国内目前关于信息系统审计的依据主要有修订后的《中华人民共和国审计法》、《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》、2006年颁布的审计准则第20号――计算机信息系统环境下的审计等。目前首要的问题是信息系统审计在实践中没有一个统一的程序框架，这直接使得信息系统审计在实施过程中无法合理的完成工作。 　　 　　二、对IS计划开发阶段的审计 　　 　　（一）对IS计划阶段的审计。对IS计划开发阶段的审计包括对计划的审计和对开发的审计，可以采用事中审计，也可以是事后审计，事中审计更有意义，其审计结果有利于故障、问题的及早发现，利于开发顺序的改进。IS计划开发阶段的关键控制点有：计划是否有明确的目的、计划中是否明确描述系统的效果、是否明确了系统开发的组织、对整体计划进程是否正确预计、关于计划的过程和结果是否有文档记录等。 　　（二）对开发阶段的审计。系统开发阶段包括设计、编程和测试三部分。其中设计包括总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计；编程是依据系统设计阶段的设计图及数据库结构和编码设计，用计算机程序语言来实现系统的过程；测试包括动态测试和静态测试。开发阶段的关键控制点有： 　　设计控制点：设计界面是否方便用户使用，设计是否与业务内容相符，是否考虑故障对策等。 　　编程控制点：是否有程序说明书，并按照说明书进行编写，编程与设计是否相符，有无违背编程原则，是否有程序作者之外的第三人进行测试，编程的书写、变量的命名等是否规范。 　　测试控制点：测试数据的选取是否按计划及需要进行，是否具有代表性，测试是否站在公正客观的立场进行，测试结果是否正确记录等。 　　 　　三、对IS运行维护阶段的审计 　　 　　（一）对IS运行阶段的审计。对IS运行维护阶段的审计分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在IS正式运行阶段，针对IS是否被正确操作和是否有效地运行，从而真正实现IS的开发目标、满足用户需求而进行的审计。对IS运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。 　　输入审计的关键控制点有：是否制定并遵守输入管理规则，处理等的防错、保护措施，防错、保护措施是否有效等。通信系统审计的关键控制点有：是否制定并遵守通信规则，对网络存取控制及监控是否有效等。处理过程关键控制点有：被处理的数据、数据处理时间、数据处理后的结果、系统处理的差错率、平均无故障时间等。数据库审计关键控制点有：对数据的存取控制及监视是否有效，是否记录数据利用状况，是否有防错、必威体育官网网址功能等。 　　输出审计不同于测试阶段的输出审计，此时的输出是在实际数据的基础上进行的，对其进行审计可以对系统输出进行再控制，结合用户需求进行评价。关键控制点有：输出信息的获取及处理时是否有防止不正当行为和机密保护措施、输出