首页资料文库正文

信息安全审计十篇

时间：2023-04-11 23:36:25

信息安全审计

信息安全审计篇1

以审计信息和业务的基本流转特征以及在各个方面所进行的防护规划和整体策略等发面出发，有效分析在审计业务范围要求之内的所开展的信息安全防护，以及在国产化装备的应用下有效强化信息化建设活动中的整体性信息安全防御工作，进而有效推动系统化的有效应用和整体运维服务体系的建设活动，其中主要包括制度、系统、资金行业方式、队伍等的建设，以及实现系统建设同运维活动的协调一致。

【关键词】

国家审计信息化；信息安全；运维建设

国家审计是在国家开展宏观经济综合监督体系的重要环节，实现其运行系统和整体信息安全的有效性是极为必要的。通过审计信息化系统建设项目有效结合了审计基本业务特征环节的信息安全防护以及实现系统健康运行的监控运维服务体系，在实现系统化的体系建设且开展综合性的防护保障措施之后，以有效保障国家审计在进行信息系统建设整体系统的健康安全运行[1]。

一、结合审计业务特征所开展的信息安全防护工作

信息安全防护在国家电子中进行应用时，需要严格遵守国家在相关方面的政策制定和规划性要求，更需要明确政务职能环节业务信息的风险和特征，然后从根本实际出发开展有针对性的信息安全防护规划工作，保障所采取的措施能够有效解决实际问题，确保安全防护工作的顺利有效。

1.1对审计信息和业务的流转型特征展开研究

一般而言，国际审计中包络初期的数据采集及有效形成核查环节的审计信息记录和证据整合，并通过互联网的应用将相关信息报送审计机关的非专网中，这就涉及到业务活动中的信息安全性，如果在流转环节出现审计信息的泄露，因为国家审计所具有的设密性和权威性，将构成重大的安全风险[2]。

1.2针对审计业务的整体特征开展有效的安全防护规划

在国家审计要求范围之下，对国家电子政务信息安全和信息化的协调发展给出了总体性的规划要求，实现审计信息化系统项目建设的三网安全规范，通过审计门户网、审计专网、审计内网三个环节实现对电子政务信息的安全防护，有效保障信息的安全性。此外，还需要根据四级互联审计专网对于信息安全防护的要求，在有效倚仗外网的信息信任体系来实现覆盖全国的信息系统建设，构建有效的病毒中心防御系统，为信息的安全防护提供基础环节的保障。

1.3根据国家审计的信息特征出发进行安全防护策略的研究

国家审计业务具有一定的流转性，这就需要对该环节的信息安全进行有效的风险评估，以避免出现泄漏状况，在国家信息保密和安全主管部门的支持和指导管理下，在进行信息化系统建设项目时采取了信息交换和安全交互以及三网隔离的主体策略，以有效保障审计信息在流转环节的安全性。

二、保障国家审计信息安全的运维服务体系建设

通过实现运维服务体系的建设有效保障了国家审计信息的整体安全性。在审计信息化系统建设项目中，运维体系的建设主要在整体队伍、方式、系统和制度以及资金等方面，在这个过程中要有效保障整体建设同运维服务的关系。

2.1运维服务系统

在审计信息化系统建设项目中，运行监管系统和信息服务系统构成了运维服务的整体系统。其中信息服务系统中的现场审计和审计管理系统已经面向全国的审计系统，以更好地实现两项系统应用的有效性，另外，审计署还建立了面向全国审计系统的热线电话和服务网站的整体服务体系，而且国家审计系统还发行了同信息安全建设运维系统相关的指导性信息和文件，以保障信息系统应用的有效性。运行监管系统侧重于对整体系统建设中的各项子系统的运行状态实现有效的监管控制，以有效纳入整体的安全系统实现统一的管理，整体性的满足了多层级的系统运维监管任务，极大地提升了监管力度，使得国家审计信息系统以及所属子系统的运行都能够具有稳定、安全的整体环境。

2.2运维服务队伍

审计信息化系统建设项目实现了国家审计总数的服务部门和省级的工程服务办的两级服务系统构建，并建设完成了中央省市县的四级审计机关的信息系统的整体运行服务队伍。在进行子系统集中管理的基础前提下，审计署建立了面向下属各个机关和部门及全国性地方审计的“呼叫中心”运维服务队伍，有效保障了热线电话和服务网站的整体有效性运行，将疑难问题和咨询答复等交由运行后台专家，并得到专业性的确定答案之后予以恢复，有效实现了整体运维服务体系的建设。

2.3运维服务制度

就审计信息化系统建设项目的相关制度而言，均是由审计署所制定的相关指导办法和体系，以有效明确运维过程中的职责分工和机构设置，有效实现对运维内容和机制的执行。另外，在进行运维资金的使用和管理方面也制定了一定的制度规范和要求，以确定在运行中经费使用的有效性以及利用的最大化。通过各项管理制度确定，使得整体的运维体系科学、合理，并能够在制度的支持下实现对相关专业人员的专业素质和技能培训以及使用经费和规范化服务等相关内容的引导，进一步强化了整体的运维服务体系建设[3]。

2.4运维服务外包方式

在实际的发展过程中，审计署将审计信息化系统建设项目中的“呼叫中心”服务队伍建设实行了外包政策，并在逐渐的发展中，在运维服务系统的整体性要求性下，将该环节在内的网络系统和应用系统通过集成商的方式通过外包服务实现有效的运维服务体系建设。另外在运维服务体系的信息系统建设中，也实现了政府对技术人员队伍建设的外包服务组建方式。

2.5完善整体系统与运维服务的体系构建

在国家审计信息系统建设环节中，运维保障和信息系统建设是支撑前进的两大驱动力量，这就需要正视两者之间的关系，在启动运维保应用的基础上开设有效的指导性栏目或者咨询通道。此外，还可以构建全国性的运维体系效能保障，实现普及性的管理建设，并在运维体系的支撑下强化整体系统的集中统一管理。最后，需要实现有效的监控运维提下，实现对整体运维服务的监控和管理，确保整体运行的安全性和有效性。

三、结束语

审计信息系统建设项目需要有效的网络效能支持，这就需要保障在管理应用中的安全有效性，尤其是国家审计环节中的文件，因其本身所具有的严肃性和影响性，在这样的基本认知下，就需要从根本实际现状出发开展有效的安全防护工作以及相应的运维服务体系的完善和建设，以保障国家审计信息的整体安全性。

作者：薛拥华邓冲施泽寰刘板浩黄仙阳单位：精诚瑞宝计算机系统有限公司

参考文献

[1]刘勇.审计信息化系统的研究与实践[D].四川大学,2006.

信息安全审计篇2

一、开展基层央行信息安全审计的难点

1.信息系统运行环境复杂。一是随着央行电子化业务快速发展，基层央行科技工作量越来越大，目前绝大多数行人均已超过了一台电脑，所使用的各种业务信息系统达三、四十个以上，且软件系统频繁升级，各种“补丁”不断。二是目前基层央行使用的各业务系统有总行统一开发，也有自主开发的，由于各业务系统开发环境不一致，涉及操作系统、数据库多，增加了运行维护难度，并且部分设备老化严重，存在一定风险隐患。基层行科技人员除要办理自身业务工作外，还负责各部门系统安装和升级、日常管理及维护、网络安全、病毒防范、安全培训等，使得信息安全检查、系统风险评估工作较难有效开展，客观上就给基层央行信息安全内部审计带来了一定的难点。

2.部门业务系统难以适应信息安全审计需要。基层央行所使用的业务系统几乎都没有预置审计接口和审计用户，连简单的数据查询都需要通过被审计对象提取，同时由于信息量大，再加上内审部门缺乏相应的技术审计手段与审计力量，用有限的人工方法查找海量的电子化信息，不仅效率低，而且要想筛选出有价值的线索如同“大海捞针”。

3.信息安全审计技术落后。央行内部审计在信息安全审计方面除合规性审计外，还对信息系统、网络安全、机房环境开展风险导向性的事前审计，但由于基层央行现有审计技术的局限性，大多数内审人员对信息安全管理知识了解较少，开展审计时边学边审，导致审计证据较难获取，难以充分发挥信息系统审计的真正作用，大大影响了审计效果。另外，由于内审部门和人员不能及时介入系统的研发、推广、培训，导致对系统了解较少，再加上大部分系统都由总行开发，基层央行难以独立开展高质量的信息系统审计项目，从而制约了信息安全审计开展的深度和广度。

4.信息安全审计力量薄弱。目前基层央行审计人员数量和知识结构远远不能满足信息安全审计的要求，能熟练掌握计算机专业知识及业务知识的人员偏少，仅停留在简单的机械式的运用层面，更深层次的数据筛选、数据分析、函数计算、数据统计和图形分析应用不多，大多内审人员对信息安全审计的特点、方法和存在的风险缺乏深入了解和掌握，无法有效地开展相关审计工作。

二、加强基层央行信息安全审计的对策

1.建立央行信息系统审计标准与规范。结合央行实际，确立央行信息系统审计标准与规范，进一步明确信息安全审计的技术角色，强化信息系统审计的技术特色。同时，推广先进的审计技术，建立科学的信息安全审计模式。

2.提高计算机辅助审计软件的实用性、针对性。一是各业务部门在业务系统建设开发中要针对不同的审计需求，预留审计访问接口，注意把握好数据转出分析模块的设计思路，使审计中获取的电子数据可以作为审计证据使用，以降低审计风险。二是内审部门要介入业务处理系统开发、应用及相关制约机制设立的全过程，对系统业务处理的合法合规性、安全可靠性、可维护性、可审计性及制约机制的完善性进行分析、评价，尽可能地提高系统效率，降低风险。

3.强化科技管理。一是以针对性和时效性、便于操作为出发点，建立健全各项科技管理制度，做到有章可循。二是重视科技实体建设，科学合理投入资金，保证硬件设施安全。三是加强科技力量，充实科技人员，将科技管理与维护岗位分离，实现岗位互相约束、监督，强化信息安全检查、系统风险评估等工作。四是加大信息安全培训力度。通过组织开展岗位业务技能训练和业务达标活动，提升全员的整体科技素质、计算机安全意识和业务技术操作水平，逐步消除对科技人员的过分依赖。

4.改变传统审计方法。由上级行集中研发、业务及审计部门力量，统一制定资源管理、软件程序、数据完整性及系统维护等审计模型，开发信息安全审计系统，对网络安全、运行环境审计等各类风险因素进行评估，量化确定各类风险的大小，提高审计效率。

5.培养信息安全审计专业人才。一是整合人力资源，将审计业务、央行业务和计算机专业知识娴熟的复合型人才充实到内审队伍，调整知识和专业结构。二是加大对现有审计人员信息技术的培训力度，利用互联网的便利性实施网上培训，辅之以岗位练兵、以查代训、自学等方式，让内审人员及时掌握央行各类信息系统发展的趋势和信息风险的一般规律，使信息技术真正成为基层央行实施业务监督和风险控制的有力工具。三是做好现有审计系统的普及工作，使内审人员人人会操作，个个会应用，提高内审工作效率。

（作者单位：人民银行赣州市中心支行）

信息安全审计篇3

0引言

随着社会信息化程度的加深，各大中型企事业单位逐渐形成了科学化、多样化的各类信息系统，往往一个企业的信息化系统就多达十余个，在这种复杂的多系统条件下，如何实现细粒度的精准信息安全审计已成为审计领域一个热点问题。

本文首先对目前信息化环境下的细粒度安全审计进行了概要描述，接下来详细分析了各种安全审计方法特点，最后对异构性多信息化系统环境下的有效审计手段进行分析总结。

1信息系统安全审计简介

1.1 信息系统安全审计定义

信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动，谁(哪个用户)对这个活动负责;主要功能包括：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等[1]。

1.2 信息系统主要安全审计手段

对信息化系统环境下用户操作行为的安全审计可以通过以下几种典型手段实现：

(1)基础日志层面审计：对信息化系统的基础IT支撑硬件环境内设备的自身日志进行分析的手段。

(2)网络层面审计：通过采集网络数据包后进行协议解析还原来分析信息系统网络活动的审计手段。

(3)业务层面审计：对信息化系统中业务操作行为日志进行记录审计的手段。

(4)敏感数据专项审计：针对信息化系统定义的具有高风险的企业敏感数据进行细粒度审计的手段。

2安全审计技术特点分析

2.1 概述

基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计是4种比较典型的对信息化系统的审计手段，本文将对各种审计手段的特点进行分析。

2.2安全审计手段特点分析

2.2.1基础层面日志审计

基础层面日志审计面向IT支撑系统中的设备层面，是安全审计的基础手段之一，通过对设备自身运行日志、配置变更日志等底层设备日志的审计分析，可对目前设备的自身安全运行状态得出基础判断。

2.2.2网络层面审计

网络层面审计需利用网络抓包分析手段对网络中的数据流进行分析。在分析过程中，主要需重点关注访问源地址异常、访问协议异常、访问次数异常的数据流[2]。

2.2.3业务层面审计

业务层面审计需依赖于良好的业务梳理，形成业务合规操作定义。进行业务审计前，需对信息化系统中业务操作进行日志记录，结合合规操作定义进行比对审计。

2.2.4 敏感数据专项审计

信息化环境下保有的大量数据中存在着对企业来讲极为重要的数据，这些重要的、涉及企业较大利益的敏感数据在安全审计层面需要通过专项审计来满足审计需求。敏感数据审计通过定义需审计的具体数据内容、数据具体存放位置、数据可被访问的手段等具体内容，针对违反上述定义的情况对数据进行逐一的细粒度重点审计。

3安全审计手段整合技术

用基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计等手段虽然可对信息化系统进行安全审计，但复杂多信息化系统环境下大量的审计数据的获取、过滤、关联，必然耗费较大的人力且容易出现审计风险[3]。为避免上述问题，本文综合现有安全审计需求，提出如图1所示的安全审计手段整合架构。首先将各信息化系统的全量日志送入多日志采集平台，由平台统一将各类日志进行标准化处理、过滤后送往不同的二次分析模块(分为网络类与设备类及业务数据类两种)，由分析模块根据自己的审计策略进行关联分析，最后将各自模块处理后的数据送入综合审计平台，由综合审计平台对各层面日志进行关联化的综合审计。

4结论

多信息化系统环境下安全审计的精准实现，需要采用精准化的日志处理及多级关联审计策略，将日志处理为标准可读日志后按照信息化系统的审计需求，横向关联多层面日志、纵向关联多时间段日志，最终满足灵活多变的安全审计需求。

信息安全审计篇4

论文摘要：本文强调审计工作的安全、高效和信息化，从审计工作的现状、发展瓶颈到信息化审计的制度健全、引入主机系统安全审计、业务系统安全审计等相关管理办法、新技术或新理念和待解决的问题等方面，论述构建安全高效的审计信息化安全保障体系的措施。

审计是客观评价个人，组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息，还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见，审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表，通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为，检查、考证目标的完整性、准确性，以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化，有利于管理层迅速准确的做出决定，对于政企业发展、社会经济的进步都具有重要作用。目前，我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题，有待进一步加强和改进。

审计的基础工作是内部审计，内审是审计监督体系中不可或缺的重要组成部分，是全面经济管理必不可少的手段，是加强任何机构内部管理的必要，推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的，促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中，在防范风险中发挥着重要作用，也有助于领导层做出正确决策。

一、审计工作的现状及存在的问题

随着我国经济迅猛发展，审计监督力度不断增强，审计范围也不断扩大。当前，审计方式已由财政财务审计向效益审计发展，由账项基础审计向制度基础审计、风险基础审计发展，由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系，要求审计机关把审计管理工作前移，把质量控制体系贯穿与审计工作中。在此趋势下，传统的审计方法暴露出其效率低、审计范围小等劣势，使得完成审计任务，达到审计目标越发缺乏及时性。

(一)内部审计性质认定较为模糊。内部审计是市场经济条件下，基于加强经营管理的内在需要，也是内部审计赖以存在的客观基础。但是，现代内部审计的产生却是一个行政命令产物，强调外向。这种审计模式使人们对内部审计在性质认定上产生模糊，阻碍了内部审计的发展。内部审计很难融入经营管理中，审计工作很难正常开展，很难履行监督评价职能和开展保证咨询活动，因此就不能充分发挥其应有的内向的作用。

(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率，其职能是监督和服务。但是，我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能，而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素，影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高，也有不重视法律、法规的因素，还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段，停留在调账、纠正错误上，还不能多角度、深层次分析问题，没有较国际先进的审计理念，我国内部审计的作用尚待开发。审计人员的计算机知识匮乏，不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练，软件知识了解也不足，因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同，功能也不完整，因此全面推广计算机辅助审计就有一定难度，导致审计人员的知识和审计手段滞后于信息化的发展。

二、信息化审计体系的健全

当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化，逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进，国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的，三个“公共”的主旨是：国家财政资金的使用更注重民生；使用重点更注重服务；使用效益更注重民意。

信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标，同时能更经济的使用资源。信息安全审计与信息安全管理密切相关，信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全，从而达到安全审计的目的，提高信息系统的安全性。由此，国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织iso的认可，正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件，基本规范了内部审计机制，健全了内部审计机构；强调机构应加强内审工作，机构内部要形成有权就有责、用权受监督的最佳氛围；审计委员会直接对领导班子负责，其成员需具有相应的独立性，委员会成员具良好的职业操守和能力，内审人员应当具备内审人员从业资格，其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题，视具体情况，可以直接向审计委员会或者领导层报告。

三、主机系统安全审计

信息技术审计，或信息系统审计，是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。

以技术划分，信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计，综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计，主机审计可以从已有的系统审计记录中提取相关信息，并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之，为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段，而对计算机信息系统的薄弱环节进行检测、评估及分析，都可称作安全审计。

主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上，并按照设计思路监视用户操作行为，同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。

四、待解决的若干问题

计算机与信息系统广泛使用，如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系，也就是建立安全策略体系、安全管理体系和安全技术体系。

保护网络设备、设施、介质，对操作系统、数据库及服务系统进行漏洞修补和安全加固，对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理，形成一套比较完备的信息系统安全管理保障体系。

防火墙是保证网络安全的重要屏障，也是降低网络安全风险的重要因素。vpn可以通过一个公用网络建立一个临时的、安垒的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防ddos系统，可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的，需要从技术、管理等方面进行全面的安全设计和建设，有效提高信息系统的防护、检侧、响应、恢复能力，以抵御不断出现的安全威胁与风险，保证系统长期稳定可靠的运行。严格的安全管理制度，明确的安全职责划分，合理的人员角色定义，都可以在很大程度上减少网络的安全隐患。

从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系，明确安全管理的相关组织、机构和职责，建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时，能得到及时的响应和支援，信息系统必须建立和逐步完善应急响应支援体系，确保整个信息系统的安全稳定运行。

参考文献：

[1]宋新月，内部审计在经济管理中的重要作用浅析[j]，知识经济，2009

信息安全审计篇5

21世纪是信息化的社会，计算机技术不断进步，并在生产领域得到深入应用。特别是会计电算化的推广，把以电子计算机为代表的现代化数据处理工具及以信息论、系统论、数据库、计算机网络等新兴理论和技术应用于会计核算、财务管理工作中以提高财务管理水平和经济效益，实现会计工作的现代化。目前，越来越多的企业开始全业务的采用信息系统，形成了一个网络经济时代，各个企业、事业单位的信息化情况表现出了前所未有的综合性和开放性。这种信息化的高度集中带来了高效益，但同时，也带来了高度的风险，信息系统审计也就在这种历史背景下应运而生。

一、信息系统审计的内涵和外延难以把握

随着信息技术的发展，信息系统在财务、管理领域的应用程度不断提高，功能日趋完善，其软硬件结构的复杂性和涉及领域的广泛性以及信息处理技术更新的频繁性使得审计人员难以同步把握信息系统审计的内涵和外延。从外延上看，信息系统审计主要包括两个部分，一是对信息系统主体的审计，二是对信息系统应用环境的审计，包括网络环境、使用环境、管理使用情况等。一般说来，审计信息系统本身相对容易，但审计信息系统的应用环境却存在较多不确定因素，比如某公司的信息系统通过防火墙连接到互联网，而在防火墙内还存在其它系统，其它系统是不是也在审计范围之内？

从内涵上看，信息系统审计主要是对信息系统的安全性和可靠性进行评估、评价。安全性、可靠性是一个比较广泛的概念，以系统安全性为例，它包括：ISO开放系统互连安全体系结构、TCP／IP安全体系、开放系统互连的安全管理、安全服务和功能配置；系统安全涉及的信息安全技术包括：密码技术、访问控制技术、机密性和完整性保护技术、数字签名技术、抗抵赖技术、预（报）警机制、公证技术、防火墙技术、漏洞检测技术、网络隔离技术、计算机病毒防范等。由于信息技术本身的限制性，绝大部分信息系统本身均存在安全性问题（如防护级别最高、防护技术最好的美国国防部也常有被攻击的情况）。

把握不准信息系统审计的外延和内涵，就难以解决以下三个问题：一是难以解决审计力量与审计任务之间的矛盾，难以控制审计风险，即不该审的审了，该审的却未审；二是由于绝大部分信息系统本身均存在安全性问题，信息系统审计很容易演变成“信息系统是否存在问题源自于审计人员的技术水平，而不是系统本身的安全性和可靠性”，即，绝大部分信息系统均存在不安全、不可靠因素，就看审计人员能否发现由于信息系统的安全性问题是绝对的，而审计人员的视角和技术水平是相对的，信息系统审计的成果部分取决于审计人员对信息系统审计内容的把握程度；三是由于审计需要大量的证据支撑，对于未造成损失但信息系统存在不安全隐患的问题难以定性,即便是造成了损失，也难以界定这些损失与信息系统不安全、不可靠因素之间联系。

因此，审计部门应根据“全面审计、突出重点”及“先易后难”、“先系统本身后系统环境”的原则，参照国家信息技术部的有关标准，界定信息系统工作的外延和内涵，将信息系统审计的主要方向定在：被审计单位的信息系统的安全性、可靠性是否达到应有的水平或标准，而不是系统是否有安全性和可靠性问题。

二、信息系统审计评价标准很难确定

信息系统安全审计，涉及会计信息处理自动化、表示代码化、信息处理与存储集中化、内部控制程序化等诸多广泛、复杂的计算机专业技术环节，其技术性较高。而我国信息系统审计正处于起步阶段，对审计机关如何开展信息系统审计尚在积极探索中，因此，目前尚没有一个完整的、成熟的具有示范作用的审计案例，也缺少具备实际指导意义的相关信息系统审计准则和操作指南。

近年来，国家安全部门相继出台了多个安全标准，例如公安部出台的《计算机信息系统安全保护等级划分准则》（GB17859－1999）、《信息安全等级保护管理办法》，还有相应的安全技术规范《信息安全技术信息系统通用安全技术要求》（GB／T20271－2006）、《信息安全技术网络基础安全技术要求》（GB／T20270－2006）、《信息安全技术操作系统安全技术要求》（GB／T20272－2006）、《信息安全技术数据库管理系统安全技术要求》（GB／T20273－2006）、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》（GA／T671－2006）等技术标准。但在实际操作中，这些标准在可操作性上还有待提高，一是信息系统安全等级的确定，缺乏一个等级认定的部门，目前是由各个单位自己定级报送，会存在低报等级风险；二是等级要求没有量化和详细解释，等级认定存在困难。这些都给具体的审计实务工作带来极大的困难。

因此建议审计部门及时组织总结实践经验，规范信息系统安全审计的有关概念、审计内容、工作流程和技术方法、形成信息系统安全审计准则、操作指南或实务公告的准则体系，这是信息系统安全审计得以健康发展的基础。

三、信息系统审计缺乏相应的人才

我国目前尚缺乏既熟悉审计业务又掌握计算机技术同时了解国内标准信息系统流程的复合型人才，进行信息系统审计所涉及的知识面非常广，涉及会计、审计、管理和计算机等知识，而进行信息系统安全性审计主要从系统总体安全、系统运行安全、数据中心安全、硬件设备安全和网络安全情况五个方面来进行，每个方面都涉及不同的知识点。当对系统总体安全进行审计时，则要求审计人员具有系统总体分析、系统设计和系统安全分析的知识；当对系统运行进行审计时，则要求审计人员具有系统运行管理、系统维护和系统安全管理的知识；当对数据中心安全进行审计时，则要求审计人员具有工程建设、数据中心安全维护和灾备等知识；当对硬件设备安全进行审计时，则要求审计人员具有设备采购、设备维护和设备安全分析等知识；当对网络安全情况进行审计时，则要求审计人员具有网络安全分析和网络防范等知识。但在当前情况下，审计人员能够掌握上述某一方面的知识都已经难能可贵，更不用说要掌握所有的知识面。

建议审计部门加强对审计人员理论培训，并组织审计人员进行实践，通过实践经验来巩固理论知识，培养出更多的信息系统审计复合型人才和相应的专业性人才。

四、信息系统审计需要相应的法规支持和成果考核标准

我们通常依据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》及《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》（〔2001〕88号）的规定：“被审计单位应当按照审计机关的要求，提供与财政收支、财务收支有关的电子数据和必要的计算机技术文档等资料”，要求被审计单位提供电子数据，开展电子数据式审计工作。但开展信息系统安全审计的方法、步骤要求我们必须获取被审计单位信息系统底层数据库的数据字典、程序开发文档、甚至程序源代码等核心文档已经高级管理用户的权限。但事实上大多数被审计单位也不掌握这些核心文档，软件开发公司又以知识产权应收保护为由拒绝提供文档。特别是要求SAP、Oracle等国外软件开发商提供开发文档非常困难。因此，应出台更为明确的法规以支持信息系统安全审计工作。其次，信息系统审计的实施需要耗费大量的人力物力，在目前审计机关工作繁重的背景下，开展此项工作需要审计工作方案以及考评指标的支撑。因此，审计相关部门应该考虑把信息系统审计纳入年初审计工作计划，并出台相应的考评标准。

五、信息系统审计自身风险较大

数据分析式计算机辅助审计是要求被审计单位按照审计的需求提供电子数据，审计人员将数据转换后导入计算机进行分析。这种过程避免了直接操作被审计单位信息系统所带来的风险。然而，信息系统安全性审计的很多步骤必须要在被审计单位信息系统上直接执行，这种在真实系统上的操作必然存在安全风险。如对电信公司计费系统的审计，如果测试时间不当或测试用例不完善都可能影响计费系统的正常运行。

信息安全审计篇6

关键词：信息化环境；审计；重点；难点

新时期，基层信息系统审计工作逐渐代替了传统的手工审计，使审计工作进入了一个全新发展的阶段。计算机网络技术在审计工作的大范围应用，加速了信息系统审计时代的进程。但是，基层审计机关的信息系统审计工作仍然面临着许多重点与难点问题，如何又好又快的做好信息系统审计工作，对于每一个基层审计机关来说，都是值得认真思考和探讨的问题。

一、信息化环境下基层审计工作的重点

1.基层审计机关要加强对审计信息系统的完善。信息技术的发展使传统的基层审计工作向信息系统审计转变。以计算机网络为核心的信息系统让审计过程变得复杂，作为基层审计机关，不仅仅只是简单的审计各种数据，还要充分利用信息系统审计的有效性提高审计效率。所以，作为信息系统审计工作的重点，完善的信息系统需要有与之相适应的政策法规，有了法律的保护信息系统的审计工作才能得以顺利开展。另外，创新的信息系统审计理论与模式，对信息系统软件实用性的不断提高，同样也是我们基层审计工作不能忽视的重要方面。

2.以维护整个审计信息系统安全为重点。信息化环境下，审计工作面临着系统安全性的保障。那么如何保障信息系统的安全工作，是基层审计机关的重要工作。审计风险依赖于信息系统安全运行。新形势下，要防范信息系统审计安全，不仅要依靠审计人员有安全意识，更要将信息安全作为国家经济安全工作来抓。基层审计机关要高度重视信息系统审计工作的重要意义。[1]

3.基层审计机关要以防范审计风险为重点。由于计算机网络信息技术的飞快发展，基层审计机关面临的审计业务量也逐渐增多。为了确保其审计过程取材的真实性和正确性，基层审计机关需要谨慎，不能将“假账真查”。所以，基层审计机关要降低和防范审计风险，就必须通过开展信息系统审计，提高审计质量，维护系统安全，维护国家信息安全。

二、信息化环境下基层审计工作的难点

1.信息化环境下基层审计工作如何有效开展。众所周知，传统的审计工作主要是凭借眼睛可见的报表、纸质凭证和账簿为线索。进入新时期，信息化环境下审计工作引入了计算机网路技术，审计线索多以存储于机内磁盘，具有删除和修改会计数据的功能，并且难以发现痕迹。这些都给审计工作带来了一定的难度，使审计人员发现错误的机会减少了。所以，为了适应现代化审计的要求，基层审计机关有必要改进审计收集方法，例如可以在信息系统设计的时候，事先安装收集审计信息的程序、嵌入审计模块。这样当基础审计人员想要获取审计信息时，就可以从专业的审计软件中去获寻。更长远的方法是逐步改进和创新审计程序，降低审计程序漏洞，适应现代化审计要求。

2.有关审计风险的难点。审计工作本身就存在一定的风险。控制风险、固有风险、检查风险是组成审计风险的三个主要部分。[2] 在网络信息时代，审计的风险变数增多，原因是由于电脑木马病毒的入侵和电脑黑客的存在，以及各种电脑故障、程序错误、网络故障等问题的出现，使得审计控制风险变得复杂化了。那么降低审计风险需要注意三个方面：其一，基层审计机关要完善内部控制，必须对相关的审计人员要权责分离，让每个审计人员要对自己使用的软件信息做好保密工作，并且引进先进的信息技术和软硬件设备以减少数据异常。其二，完善信息系统的设计，通过增强网络安全，确保信息的完整与真实性。一般来说，为了防止和降低会计与业务数据出现丢失、被篡改、盗用的可能性，基层审计机关需要保证信息安全，建立安全系数高的局域网，运用先进加密算法；另外还需要提高系统硬件设备的配置。

其三，如今，基层审计机关面临新的审计环境，要敢于学习，善于学习，广大审计人员不但要学会使用计算机和常用的审计软件，还要努力掌握一定的信息技术，最终以先进的审计方法与有效的审计程序，降低检查风险。

3.信息化环境下审计人员面临的挑战。信息系统审计工作对审计人员的的审计工作提出了新的要求。目前，在我国基层审计机关，还缺乏很多能够熟练运用信息系统进行独立审计工作的人员，审计业务水平不高，不少人计算机水平有限，不善于利用计算机程序，这给基层审计工作带来了不利的影响。然而信息化环境下，我们急需一批懂得信息系统审计、并熟练运用信息系统进行审计工作的高素质人才。那么，对于审计人才的培养显得十分紧迫，而对于已经具有一定计算机水平并能熟练运用计算机进行审计工作的骨干，更要加紧培训，进一步培养出自己的“信息系统审计师”。各个地方的基层审计机关要加强相互的沟通，及时分享交流信息系统审计工作经验，提高基层审计机关的整体水平。

4.建设信息化审计工作存在难度。新时期，信息与电脑技术在审计信息化建设的运用中密不可分，审计管理的思想观念的转变尤为重要。只是，虽然这些年我国基层审计机关的计算机硬件设施有所提高，但利用的程度却不高，效益也较低。部分审计人员的电脑水平还仅仅停留在信息收集、检索资料等方面，不能真正的发挥其作用，对电脑网络管理、分析、数据处理等功能不熟悉。这也导致了信息系统审计工作效率的低下，增加了审计成本。

三、结论

总之，在信息化环境下，基层审计机关要想做好信息系统审计工作，是需要一定的过程。但不能被困难吓倒，也不能冒进，更不能因循守旧。基层审计机关要充分发挥主观能动性，以实际为准，合理利用已有的审计资源，并激发广大基层审计人员的工作积极性。最终为我国基层审计机关在新时期、信息化环境下的审计工作做出重要的贡献。

【参考文献】

[1]曾宣洋，陈鹏.基层审计机关信息系统审计初探.审计与理财.吉安市审计局.2011（12）

[2]罗国泰.信息化环境下审计的重点和难点探讨.现代商贸工业.广东佛山市诚信税务师事务所.2008,20(8)

信息安全审计篇7

一、信息系统审计的内涵

信息系统审计的内涵与财务报表审计有较大的不同。以下通过对信息系统审计的定义、目标和类型来阐述信息系统审计的内涵。

1.信息系统审计的定义

由于信息系统审计的发展很快，因此对其始终没有一个通用的定义。下面分别介绍三种比较有代表性的定义。（1）日本通产省情报处理开发协会信息系统审计委员会1996年对信息系统审计定义为“为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导层，提出问题与建议的一系列活动”。该定义中强调独立性的问题。（2）信息系统审计领域的著名专家威伯教授的定义（1999）是：“信息系统审计是收集并评估证据，以判断一个计算机系统是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。（3）信息系统审计影响最大的国际组织——国际信息系统审计和控制协会（ISACA）的定义是：信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率的利用组织的资源并有效果的实现组织目标的过程”。该定义比威伯的更详细一些。

通过对相关信息系统审计定义的分析，本文认为，所谓的信息系统审计，是指通过对被审单位的信息系统组成部分的审查来获取和评价审计证据，由此对信息系统的安全性、可靠性、数据的完整性以及信息系统能否经济的使用组织资源并有效地实现组织目标发表审计意见。我们必须清楚的识别信息系统审计、IT审计、审计工程之间的区别。一般而言，1T审计（计算机审计）包括信息系统审计和审计工程。信息系统审计的研究对象是企业的信息系统或信息资产，采用的研究方法是传统的审计方法和计算机技术等；而审计工程的研究对象是企业的电子财务和业务数据，研究方法采用计算机技术、系统工程方法和数学理论等。

2.信息系统审计的目标

审计本质上是根据审计目标对收集的证据进行分析评价并得出结论的过程。一切的审计活动都是为了实现一定的审计目标，并围绕审计目标来进行。可以说，审计目标是审计工作的“纲”。它贯穿审计活动的各个方面和审计过程的始终。（1）真实性。信息系统中的数据要真实的反映企业的生产经营活动。要通过数字签名等一系列技术手段和保留不可更改记录、定期审计等管理手段确保数据的真实性。（2）完整性。完整性信息不被偶然或蓄意的删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、存储和传输。（3）合法性。系统在购买、使用、开发、更新、维护、转移等过程中必须符合相关法律、法规、准则、行规以及企业内部的规定等。（4）安全性。安全性是指信息系统在遭受各种因素破坏的情况下，仍然能够正常运行的概率。威胁信息系统安全的因素有外部和内部两种。外部主要是黑客的入侵、病毒的攻击、线路的侦听等；内部主要是被授权的用户访问和修改、删除等操作。安全性是真实性的基础之一。（5）可靠性。可靠性是指信息系统在遭受非人因素破坏或人为差错影响的情况下仍然能够正常运行的概率。威胁信息系统可靠性的因素包括自然灾害对硬件和坏境的破坏以及误操作对软件和硬件的破坏等。可靠性也是真实性的基础之一闭。（6）效果和效率。效果是指应用信息系统以后，企业在生产控制、管理质量、提品和服务等方面产生的变化。效率是指信息系统的应用在企业劳动生产率的提高方面所起的作用。

3.信息系统审计的类型

根据信息系统审计的定义和审计目标，我们可以将信息系统审计分为三个基本类型：（l）信息系统的真实性审计是对传统审计的补充，防止“错”账真审。（2）信息系统的安全性审计是对企业信息资产安全性的审核，防止由信息系统造成的经营风险。（3）信息系统的绩效审计是对信息系统投入产出比的审核。

二、信息系统审计的特点

信息系统审计具有其独特的特点，具体特点如下：

1.信息系统审计是一个过程。它是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程，它贯穿于信息系统生命周期的全过程。

2.信息系统审计的对象具有综合性和复杂性。信息系统审计的对象是以计算机为核心的信息系统，它包含了除财务信息以外的其他与生产经营流程有关的所有信息系统，其实质是审计对象及内容的拓展。从纵向（生命周期）看，覆盖了信息系统从规划、分析、设计到维护的全生命周期的各种业务；从横向（信息系统构成）看，它包含对软硬件审计、应用程序审计、安全审计等。从这个意义看，信息系统审计拓展了传统审计的内涵，将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

3.信息系统审计拓展了传统审计的目标。传统审计目标仅仅包括了“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”，《中国独立审计具体准则第20号--计算机信息系统环境下的审计》第四条也明确规定“注册会计师在计算机信息系统环境下执行会计报表审计业务，应当考虑其对审计的影响，但不应改变审计目的和范围”，由此可见EDP审计、电算化审计和计算机审计都没有改变审计的目标，但信息系统审计除了上述目标外，还包括信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性。

4.信息系统审计是事后、事前、事中审计的结合体。注册会计师所执行的财务报表审计往往是年度审计，属于事后审计。而信息系统审计是事后、事前、事中审计兼而有之。如信息系统在开发过程中，由审计人员介入所进行的审计属于事中审计，此项审计相对于系统运行后而对其所进行的审计而言又可以看作是事前审计；信息系统运行后，对其在一定期间的运作情况所进行的审计则为事后审计。

5.信息系统审计的内容更加宽泛。信息系统审计包含了一切与信息系统有关的审计，除了整个生命周期过程及相关业务的审计外，随着信息技术的发展，还必将包括联网审计、电子商务审计、网站审计、ASP审计和XBRL审计等。

6.信息系统审计是一种基于风险基础审计的理论和方法。很多组织都能意识到技术带来的潜在好处，然而成功的组织还能够理解和管理好与采用新技术相关的很多风险。信息系统有着与生俱来的风险，这些风险用不同方式冲击着信息系统，审计者面临着审计什么、何时审计以及如何帮助信息系统的管理者管理和控制风险从而实现企业的战略目标的问题。

三、信息系统审计的过程

审计过程是审计工作从开始到结束的整个过程。信息系统审计一般可以分为计划阶段、实施阶段和报告阶段。由于信息系统审计的对象和具体业务不同，每个阶段所包括的具体内容与财务审计也不同。

1.计划阶段

计划阶段是信息系统审计过程的起点。科学合理的审计计划有利于帮助审计人员有的放矢的去调查、取证，形成正确的审计结论，实现审计目标。计划阶段的主要任务包括：调查被审单位的基本情况和内部控制；初步评价审计风险；确定重要性水平；制定审计计划。（1）调查被审单位的基本情况，初步评价固有风险为了做好审计工作，审计人员首先应了解被审单位的基本情况。需要了解的基本情况包括：第一，被审单位的业务性质和生产经营情况。第二，被审单位的组织结构和管理水平。第三，被审单位信息系统一般情况，即信息系统的结构，所使用的软硬件和网络设施以及运行环境。第四，被审单位应用系统及其所处理的交易和事项的类型。（2）调查被审单位信息系统内部控制，评价控制风险在计划阶段，审计人员应了解被审单位的内部控制特别是信息系统内部控制，对内部控制的健全和有效性进行评估，初步确定控制风险的大小。（3）评估审计风险，确定重要性水平。为了合理使用审计资源，有效的实现审计目标，在制定审计计划时审计人员应评估审计风险，确定重要性水平。重要性水平是指在审计事项中，能够容忍出现差错的程度和大小。（4）编制审计计划。在对被审单位的风险进行初步评估，确定重要性水平后，审计人员应当编制审计计划。审计计划的内容应当包括：被审单位的基本情况、审计的范围和重点、审计的步骤和时间安排、审计人员分工、运用的信息系统审计方法、审计中应当注意的事项和其他内容等。

2.实施阶段

实施阶段是根据计划阶段确定的范围、重点、步骤和方法，进行有针对性的取评价，并形成审计结论的过程。主要由符合性测试和实质性测试两个阶段构成。（1）实施符合性测试。符合性测试的目的是检查内部控制措施是否健全有效。计人员需要对被审单位的控制系统进行识别、测试和评价。测试的性质、范围和程度。为了达到这个目的，审从而确定后续的实质性控制系统识别。审计人员通过与相关人员面谈、调查问卷以及查阅信息系统和控制系统说明文件等方，识别被审单位的控制系统以及控制环境，并将调查情况记录在审计工作底稿中。（2）实施实质性测试。实质性测试是对信息系统控制进行的详细测试，以获得这些控制在审计期间是否真实存在并合法有效的审计证据。实质性测试主要通过测试必要的数据，对信息系统达到特定的控制目标的程度进行评价。

信息安全审计篇8

一、信息系统审计的内涵

信息系统审计的内涵与财务报表审计有较大的不同。以下通过对信息系统审计的定义、目标和类型来阐述信息系统审计的内涵。

1.信息系统审计的定义。

2.信息系统审计的目标审计本质上是根据审计目标对收集的证据进行分析评价并得出结论的过程。一切的审计活动都是为了实现一定的审计目标，并围绕审计目标来进行。可以说，审计目标是审计工作的“纲”。它贯穿审计活动的各个方面和审计过程的始终。（1）真实性。信息系统中的数据要真实的反映企业的生产经营活动。要通过数字签名等一系列技术手段和保留不可更改记录、定期审计等管理手段确保数据的真实性。（2）完整性。完整性信息不被偶然或蓄意的删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、存储和传输。（3）合法性。系统在购买、使用、开发、更新、维护、转移等过程中必须符合相关法律、法规、准则、行规以及企业内部的规定等。（4）安全性。安全性是指信息系统在遭受各种因素破坏的情况下，仍然能够正常运行的概率。威胁信息系统安全的因素有外部和内部两种。外部主要是黑客的入侵、病毒的攻击、线路的侦听等；内部主要是被授权的用户访问和修改、删除等操作。安全性是真实性的基础之一。（5）可靠性。可靠性是指信息系统在遭受非人因素破坏或人为差错影响的情况下仍然能够正常运行的概率。威胁信息系统可靠性的因素包括自然灾害对硬件和坏境的破坏以及误操作对软件和硬件的破坏等。可靠性也是真实性的基础之一闭。（6）效果和效率。效果是指应用信息系统以后，企业在生产控制、管理质量、提供产品和服务等方面产生的变化。效率是指信息系统的应用在企业劳动生产率的提高方面所起的作用。

3.信息系统审计的类型根据信息系统审计的定义和审计目标，我们可以将信息系统审计分为三个基本类型：（l）信息系统的真实性审计是对传统审计的补充，防止“错”账真审。（2）信息系统的安全性审计是对企业信息资产安全性的审核，防止由信息系统造成的经营风险。（3）信息系统的绩效审计是对信息系统投入产出比的审核。

二、信息系统审计的特点

信息系统审计具有其独特的特点，具体特点如下：

3.信息系统审计拓展了传统审计的目标。传统审计目标仅仅包括了“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”，《中国独立审计具体准则第20号——计算机信息系统环境下的审计》第四条也明确规定“注册会计师在计算机信息系统环境下执行会计报表审计业务，应当考虑其对审计的影响，但不应改变审计目的和范围”，由此可见EDP审计、电算化审计和计算机审计都没有改变审计的目标，但信息系统审计除了上述目标外，还包括信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性。

三、信息系统审计的过程

1.计划阶段计划阶段是信息系统审计过程的起点。科学合理的审计计划有利于帮助审计人员有的放矢的去调查、取证，形成正确的审计结论，实现审计目标。计划阶段的主要任务包括：调查被审单位的基本情况和内部控制；初步评价审计风险；确定重要性水平；制定审计计划。（1）调查被审单位的基本情况，初步评价固有风险为了做好审计工作，审计人员首先应了解被审单位的基本情况。需要了解的基本情况包括：第一，被审单位的业务性质和生产经营情况。第二，被审单位的组织结构和管理水平。第三，被审单位信息系统一般情况，即信息系统的结构，所使用的软硬件和网络设施以及运行环境。第四，被审单位应用系统及其所处理的交易和事项的类型。（2）调查被审单位信息系统内部控制，评价控制风险在计划阶段，审计人员应了解被审单位的内部控制特别是信息系统内部控制，对内部控制的健全和有效性进行评估，初步确定控制风险的大小。（3）评估审计风险，确定重要性水平。为了合理使用审计资源，有效的实现审计目标，在制定审计计划时审计人员应评估审计风险，确定重要性水平。重要性水平是指在审计事项中，能够容忍出现差错的程度和大小。（4）编制审计计划。在对被审单位的风险进行初步评估，确定重要性水平后，审计人员应当编制审计计划。审计计划的内容应当包括：被审单位的基本情况、审计的范围和重点、审计的步骤和时间安排、审计人员分工、运用的信息系统审计方法、审计中应当注意的事项和其他内容等。

信息安全审计篇9

［关键词］审计风险；防范措施；信息系统审计

在信息化环境下，信息系统在安全性、可靠性和有效性上可能存在缺陷或发生错误的隐患，行业的信息系统中可能存在一系列风险因素，进而增加经营管理风险的可能性，对信息系统进行充分审计利于降低甚至规避相关的风险。

1信息系统审计风险类型

信息系统审计风险包括以下三个方面：其一是被审计单位信息系统自身潜在的风险，即固有风险；其二是被审计单位内部控制存在缺陷产生的风险，即控制风险；其三是审计师在信息系统审计过程中产生的风险，即检查风险。下面具体分析面临的审计风险。

1.1固有风险

固有风险的产生是由于企业自身的因素，与信息系统审计没有关系。固有风险是在信息系统不存在相关内部控制的前提下，信息系统或其子系统发生重大错误的可能性。当企业的信息系统存在安全漏洞，系统内的相关电子数据或程序遭受破坏时，信息系统存在的固有风险偏高。信息系统审计的固有风险与计算机硬件配置、软件质量以及网络安全有关。主要表现在：①系统设计风险。由于信息不对称和知识结构的不完善使得系统开发人员设计出的信息系统与系统使用者的需求不匹配，那么就必然带来漏洞。②系统风险。信息系统的硬件配置不完善，软件质量不可靠，系统自控功能较弱而产生系统风险。③系统环境风险。电子数据大量集中在系统的信息中心，同时信息系统实现数据的高速处理，在此过程中，系统内数据遭到破坏或者处理时出现失误。

1.2控制风险

控制风险也与信息系统审计无关，是信息系统或其子系统发生重大错误并且没有被内部控制及时防止或发现纠正而产生的风险。信息系统在处理相关数据时，绝大多数的处理流程和相应的控制程序存在于系统中。在信息系统环境中，其控制范围发生一定的变化，具有其特殊性，包括系统组织操作、安全和数据处理等方面，所以很多一般的控制活动会失效。主要表现在：①约束机制失效风险。在信息系统环境下，交易授权直接由电子数据处理功能取得，信息系统中各岗位不相容职责分配较为集中，因不恰当的授权而促使舞弊行为发生。②系统数据的安全性风险。为保证系统数据的安全性和保密性，与书面资料相一致，防止系统数据被篡改或非法复制，监控和管理信息系统的有效运行，需要对人员权限进行适当有效的控制，对日常电子数据进行维护，保障信息系统的安全。

1.3检查风险

检查风险主要是与信息系统审计有关，是信息系统审计人员作为独立第三方通过实质性测试程序未能检查出其存在重大错误而产生的风险。信息系统审计的检查风险贯穿于审计过程，是唯一可以通过审计人员控制的风险。在信息系统环境下，审计人员的自身素养以及信息技术水平是影响检查风险的重要因素。主要表现在：①审计人员执业能力风险。信息系统的复杂性要求审计人员必须具备更加丰富的知识和技能，不仅要掌握会计、财务、审计知识，还要熟悉网络技术、信息处理以及管理技术。同时，人工操作将逐渐减少，信息技术是否有效运用的检查逐渐体现出了现实价值。②审计人员职业道德风险。在审计过程中，审计人员应保持其作为第三方的独立性。审计人员在信息系统环境下应保持其职业谨慎性，恰当地选择审计程序和方法，完成审计任务，降低审计过程中的检查风险。

2信息系统审计风险的特征

信息系统审计与其他审计不同，导致审计风险发生了很大变化，并且表现出不同的特征。其主要表现在以下几个方面。

2.1隐蔽性

信息系统审计工作主要面对被审计单位系统中大量的电子数据，操作人员使用信息系统负责处理数据输入和输出环节的信息，中间流程的数据处理几乎完全由计算机自己完成。与一般的审计证据不同，审计人员在获取审计证据时要考虑电子数据复杂和易被破坏的特点，在对数据信息采集、整理和分析过程中审计风险隐蔽性加大，不易怀疑计算机系统的数据处理能力，从而不易发现其存在的问题，审计人员的控制方法不能得以有效实施。

2．2不可控性

信息系统拥有高质量硬件软件可以保障系统的稳定性。审计人员对更新的审计软件的熟悉程度影响其在信息系统审计过程中的操作和分析。信息系统数据处理相对集中高效，磁介质存储信息使得数据存储载体发生改变，系统内部控制转而以计算机系统内部控制为主。而系统自身的运行有效、控制失灵等安全隐患也造成了审计风险的不可控性。

2.3群发性

信息系统中同种业务的数据处理采用相同程序，该程序设计开发错误未被发现，那么会出现错误的反复性。信息系统数据处理的整个流程几乎完全由计算机完成，某一审计程序未能发现信息系统存在的审计风险可能会连续地引发接下来的程序中的风险，一旦上个流程出现错误，必然导致下面的业务处理流程的数据失真，最终对企业生产经营决策产生重大影响。

3信息系统审计风险产生的原因

信息化环境造成了信息系统审计的困难，使审计风险愈发复杂，以下将从客观原因和主观原因进行简单剖析。

3.1客观原因

客观原因是其由信息化环境引起的。信息化环境下，一方面，电子数据易被更改、破坏，影响了审计证据的可靠性。信息网络自身风险较大，出现突发性故障的概率较高，外在不和谐因素如病毒的入侵，黑客破坏随时威胁系统的安全，导致信息系统环境风险增大。同时系统的设计存在缺陷，计算机硬件配置与软件质量较差，使得系统自控较弱，容易造成审计线索缺失；另一方面，行业的信息系统中可能存在功能缺陷、控制缺陷、不恰当授权等风险因素，加大审计风险，影响审计效率和质量。目前我国信息系统审计还处于初步发展阶段，对于信息系统审计没有健全的法律法规和审计准则，相关的法规准则缺失，审计人员在执行审计业务时没有相应的职业规范可循，必然影响审计工作质量，加大了信息系统审计方面的风险。

3.2主观原因

主观原因主要是其由审计人员自身特点引起的。由于信息技术的不断更新和发展，审计证据的难获取性，审计线索的隐蔽性等，信息系统审计人员不具备应有的专业能力，审计人员的执业水平与信息系统发展不协调。信息系统中大量的电子数据需要处理，此过程都在计算机内进行，审计线索更加隐蔽，审计人员很难发现问题或者错误，所以审计人员必须利用先进的审计技术，从而降低检查风险。审计人员对会计软件和计算机系统知识掌握薄弱，信息技术运用不灵活，必然带来审计风险。信息化环境下存在信息系统安全风险和审计软件风险，当审计人员对审计软件了解不足或对审计业务不够熟悉时，造成审计上的漏洞甚至发生错误。企业的信息系统中蕴含海量的电子数据，审计人员需要在保证企业信息系统正常工作的情况下进行审计业务，造成联网的其他企业与之相关的非经济业务活动的困扰，审计人员在获取有用的信息难度加大。

4信息系统审计风险的防范措施

通过对信息系统审计风险的分析后，为了降低审计风险，必须采取有效的应对措施，从而保障信息系统审计的内外部环境优化，提升审计质量。

4.1建立和健全信息系统审计法律法规和准则体系

在信息化环境下，信息系统审计的审计对象、技术和方法等发生了转变，传统的法律法规和审计准则不能完全适用于该审计，而我国目前尚未制定和出台相关信息系统审计准则和法律。在国际上，国际信息系统审计协会（ISACA）的信息系统审计准则是目前国际上通用的信息系统准则，其中包括了审计准则、审计指南和审计程序三个方面①。此外，其他组织如国际会计师联合会和国际内部审计师协会也制定了相关的规范。我国在借鉴国际信息系统审计的实践经验的同时，可以结合国内注册会计师管理情况，制定出我国特色的信息系统审计准则和法律，为降低信息系统审计风险提供有力保障。

4.2加强信息系统内部控制建设

信息系统运行得安全可靠需要健全有效的信息系统内部控制。在高度自动化的信息环境中，信息系统的设计开发者和使用者是系统内部控制及其审计的主要参与人员，其应当全面投入到信息系统的内部控制构建中去。为有效降低审计风险，建立信息系统内部控制体系势在必行。具体表现在：一是要改善内部控制环境并加强风险评估程序，将制定的内控制度落到实处并自行评估和评价，对其有效性进行信息反馈，便于进一步完善信息系统的内部控制；二是强化内部控制的技术应用。只有涉及内部控制相关的技术得到有效运用，才能降低被审计单位对内控的依赖程度。此类技术包括监控系统、综合分析平台、防火墙的建立和权限管理等。

4.3运用先进的信息系统审计技术方法

先进审计技术方法的运用便于提高审计效率和提升审计质量。审计人员获得充分适当的审计证据来实现审计目标需要其具备熟练的技术方法。目前我国信息系统审计技术保持迅速发展的态势，并逐渐缩小与欧美发达国家的差距。先进的信息系统审计技术包括了相关的安全审计技术、数据挖掘技术以及信息系统审计证据生成技术等，我国需要对这些技术领域的研究全面加强，同时在其完善后应及时投入运用，不断推进审计技术的更新，从而使之达到先进水平。

4.4加大信息系统审计人才培养力度

信息系统审计人员的职业能力和专业素养是提升信息系统审计质量的保障。在信息系统环境下，审计人员需要具备全面的知识，包括审计、会计、计算机技术和信息系统管理等，同时这样全方位的审计人才又相当缺乏，所以培养高素质的审计人才，任务显得尤为重要和艰难。我国信息系统的人才培养需要学历教育、社会实践和培训有效结合，各高校开设审计与计算机融合的相关专业和课程，加强信息系统理论知识的学习，审计机构适时提供培训，并安排审计人员真正应用实践，这样才能有力地促进信息系统审计人才的培养。

主要参考文献

［1］孙晶．浅谈信息系统审计风险与控制［J］．中国管理信息化，2012（22）：18－19．

［2］胡晓明．风险导向信息系统审计及其发展思路［J］．经济管理，2007（2）：63－66．

［3］谢岳山．联网环境下信息系统审计的体系架构［J］．审计研究，2009（5）：37－39．

［4］王振武，张子瑾．信息系统审计理论结构框架研究［J］．会计之友，2011（21）：91－96．

［5］刘园瑶．信息系统审计国内研究综述［J］．现代商贸工业，2011，23（16）：48－49．

［6］薛丽．信息化环境下审计风险的防范［J］．安徽工业大学学报，2009，26（3）：53－54．

［7］唐琳，付达杰．网络环境下的信息系统审计问题及其发展策略［J］．科技广场，2012（6）：148－150．

信息安全审计篇10

在网络会计环境下,由于会计信息系统的开放性和网络化,使得会计信息资源在极大的范围内得以交流和共享。会计信息涉及交易关联方的各个方面,同时能访问会计信息的用户可能涉及整个网上用户。因此,为了防止信息的使用者恶意破坏和更改会计数据以及会计数据在传输过程中被截取和篡改,审计空间范围必须扩大到交易关联方以及网上有关信息用户。另外网络会计环境下,各业务部门执行的只是子系统中的一部分功能,任何一个工作站所提供的信息都是日常经济活动中不可缺少的组成部分,网络会计的支持还需要一些软硬件的配备。因此,要对计算机网络会计整个系统作出正确的评价,审计的范围将要扩大到服务器、工作站、传输介质、计算机网络会计软件等。

二、网络会计审计的内容

1.网络安全审计。网络安全审计是指,对被审计单位计算机网络系统的管理和防护、监控、恢复三种技术能力以及可能带来的经营风险等进行评估。在网络会计环境下,一方面提供了会计信息的共享性,提高了会计工作的效率;另一方面,电子形式的会计信息容易受到诸如网络故障、计算机病毒、黑客袭击和非法者的入侵等潜在威胁的影响。这些都会严重威胁会计信息和数据的安全。虽然一般的软件都采用了保障信息安全的措施,但是这些措施是否有效、合理,需要网络会计审计来检验鉴证,并作出监控反馈。

2.网络内部控制审计。在网络会计信息系统中,内部控制的重点、方式、内容和范围均发生了变化,使得网络审计不同于传统审计和计算机桌面审计,呈现出新的特点。网络内部控制审计可分为一般控制审计和应用控制审计。针对网络会计信息系统的特征,通过网络内部控制审计,以评价网络会计信息系统的内部控制是否健全、有效,提示内部控制的弱点。

3.应用程序审计。在对一个网络化会计信息系统进行符合性和实质性测试时,由于受到计算机网络程序复杂化和自动化的影响,往往不能仅仅检验数据本身,还须对网络程序的处理和控制进行审计。网络审计中对网络信息系统应用程序的审计目标体现在两个方面:第一,程序处理过程是否与有关的标准及法规相符;第二,考查网络系统程序对错误的检验和控制情况,如对输入网络信息系统中的数据正误的检验,会计证、账、表的试算平衡措施等。不进行相关应用程序审计将会给系统的运行留下隐患。

三、网络会计审计的工作方式

在网络环境下,几乎所有资产都由计算机实时动态管理,企业所有的会计资料和相关资料都存放于互联网上,网络高度的信息共享性、实时性和动态性以及网络信息系统自身强大的核对、检查和内部控制功能,使传统意义上的审计工作被大大简化。审计人员就可采用网络交谈和发电子邮件等方式进行查询和函证,也可进行检查、观察、计算和分析性复核,审计信息输出、审计信息存储和检查等都将充分利用互联网和企业内部网进行,实现了审计工作办公自动化。

四、网络会计审计应注意的问题

1.网络会计审计风险及相应安全控制

在网络环境下,一方面提供了会计信息的共享性,提高了会计工作的效率;另一方面,电子形式的会计信息容易受到诸如网络故障、计算机病毒、黑客袭击和非法者的入侵等潜在威胁的影响,存在诸多安全问题,安全性是必须考虑的核心问题。因此网络会计审计应把网络会计系统的安全审计作为重点。审计人员应在了解企业网络基本情况、安全控制目标、安全控制情况及潜在漏洞等基础上,对企业现存的安全控制措施进行测试。如是否有有效的口令控制,数据是否加密,职能权限的管理是否恰当,是否有持续的供电设备和有关备份设备,对计算机病毒的防范与控制措施是否得当等。

2.网络会计审计频率增大

在网络环境下,由于各个部门可以随时将本部门的数据输入并进行处理,因此数据更新速度快,如果审计人员不能跟上系统更新的频率,不能及时调查和获取一些中间结果,就很难作出审计判断。也就是说,网络会计的实时性促使审计工作也具有了“实时”的特点。