谈论信息系统审计研究

信息系统审计是一种新的审计类型。国外对信息系统审计的研究很多，国内的研究与应用在近年来也呈上升趋势。本文通过对信息系统审计的内涵、信息系统审计方法、信息系统审计过程和信息系统审计建议的阐述使读者对信息系统审计有个基本的了解。

一、信息系统审计的内涵

信息系统审计的内涵与财务报表审计有较大的不同。以下通过对信息系统审计的定义、目标和类型来阐述信息系统审计的内涵。

1.信息系统审计的定义。

由于信息系统审计的发展很快，因此对其始终没有一个通用的定义。下面分别介绍三种比较有代表性的定义。

（1）日本通产省情报处理开发协会信息系统审计委员会1996年对信息系统审计定义为“为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导层，提出问题与建议的一系列活动”。该定义中强调独立性的问题。

（2）信息系统审计领域的著名专家威伯教授的定义（1999）是：“信息系统审计是收集并评估证据，以判断一个计算机系统是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。

（3）信息系统审计影响最大的国际组织——国际信息系统审计和控制协会（isaca）的定义是：信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率的利用组织的资源并有效果的实现组织目标的过程”。该定义比威伯的更详细一些。

通过对相关信息系统审计定义的分析，本文认为，所谓的信息系统审计，是指通过对被审单位的信息系统组成部分的审查来获取和评价审计证据，由此对信息系统的安全性、可靠性、数据的完整性以及信息系统能否经济的使用组织资源并有效地实现组织目标发表审计意见。我们必须清楚的识别信息系统审计、it审计、审计工程之间的区别。一般而言，1t审计（计算机审计）包括信息系统审计和审计工程。信息系统审计的研究对象是企业的信息系统或信息资产，采用的研究方法是传统的审计方法和计算机技术等；而审计工程的研究对象是企业的电子财务和业务数据，研究方法采用计算机技术、系统工程方法和数学理论等。

2.信息系统审计的目标

审计本质上是根据审计目标对收集的证据进行分析评价并得出结论的过程。一切的审计活动都是为了实现一定的审计目标，并围绕审计目标来进行。可以说，审计目标是审计工作的“纲”。它贯穿审计活动的各个方面和审计过程的始终。

（1）真实性。信息系统中的数据要真实的反映企业的生产经营活动。要通过数字签名等一系列技术手段和保留不可更改记录、定期审计等管理手段确保数据的真实性。

（2）完整性。完整性信息不被偶然或蓄意的删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、存储和传输。

（3）合法性。系统在购买、使用、开发、更新、维护、转移等过程中必须符合相关法律、法规、准则、行规以及企业内部的规定等。

（4）安全性。安全性是指信息系统在遭受各种因素破坏的情况下，仍然能够正常运行的概率。威胁信息系统安全的因素有外部和内部两种。外部主要是黑客的入侵、病毒的攻击、线路的侦听等；内部主要是被授权的用户访问和修改、删除等操作。安全性是真实性的基础之一。