內(nèi)容摘要：企業(yè)信息化可以提高組織的工作效率和經(jīng)濟效益，但風險控制不當，也會給企業(yè)帶來巨大的損失。因此，必須對企業(yè)信息化過程進行風險評估和IT審計。適當?shù)倪\用IT審計方法、技術(shù)和工具，進行企業(yè)信息系統(tǒng)的綜合評價，幫助企業(yè)控制信息化風險，實現(xiàn)信息系統(tǒng)的高效運作。

　　關(guān)鍵詞：企業(yè)信息化 IT審計 信息系統(tǒng)

　　在當今競爭激烈和快速變化的商業(yè)環(huán)境中，企業(yè)面臨嚴峻的挑戰(zhàn)，傳統(tǒng)的企業(yè)管理模式產(chǎn)生變革，信息技術(shù)正在滲透到企業(yè)業(yè)務(wù)環(huán)境的各個環(huán)節(jié)，信息化已經(jīng)成為企業(yè)的中樞，影響到企業(yè)的生存與發(fā)展。但是，企業(yè)信息化在改善企業(yè)運作管理水平、提高工作效率的同時，也產(chǎn)生了巨大的風險。除了傳統(tǒng)意義上的經(jīng)營風險、控制風險和財務(wù)風險外，企業(yè)信息系統(tǒng)的安全問題，諸如系統(tǒng)的低效使用和頻繁故障，程序的漏洞和黑客的侵犯等都會給企業(yè)以重創(chuàng)。而企業(yè)信息化又使得企業(yè)內(nèi)部控制環(huán)節(jié)發(fā)生改變，傳統(tǒng)的控制手段失去意義。信息技術(shù)對企業(yè)的挑戰(zhàn)是空前的，企業(yè)決策層需要采用IT審計，進行企業(yè)信息系統(tǒng)的綜合評價，幫助企業(yè)進行風險管理，迎接信息化的挑戰(zhàn)。

　　企業(yè)信息系統(tǒng)的IT審計

　?。ㄒ唬┢髽I(yè)信息系統(tǒng)IT審計的產(chǎn)生

　　為了保證企業(yè)信息化過程中的安全，要對信息系統(tǒng)進行IT審計，將信息系統(tǒng)的風險降到最低。“審計”（Audit）起源于會計審計和帳目稽查。隨著第二代晶體管計算機的出現(xiàn)和計算機技術(shù)的日益成熟與普及，特別是會計電算化之后，開始出現(xiàn)了IT審計。IT審計是指獨立于審計對象的IT審計師，站在客觀立場，對以計算機為核心的信息系統(tǒng)，從計劃、設(shè)計、編程、運行、維護以至淘汰的整個生命周期實施審計，對信息系統(tǒng)的可靠性、安全性和有效性進行檢查和評價，將結(jié)果報告給企業(yè)的最高領(lǐng)導，并提出問題和建議。IT審計的目的是使企業(yè)信息系統(tǒng)有效利用及去除弊病，使信息系統(tǒng)能夠真正為經(jīng)營者服務(wù)，為企業(yè)創(chuàng)造價值。

　?。ǘ┢髽I(yè)信息系統(tǒng)IT審計的內(nèi)容

　　企業(yè)信息系統(tǒng)的IT審計一般分為信息系統(tǒng)開發(fā)過程的審計、信息系統(tǒng)運行維護過程的審計和信息系統(tǒng)生命周期共同業(yè)務(wù)的審計。一個大型信息系統(tǒng)的開發(fā)需要花費企業(yè)大量的人力、物力和財力，如果開發(fā)不當，投入運行后需要的維護費用通常要超過開發(fā)費用，因此，對待系統(tǒng)開發(fā)必須慎重。對信息系統(tǒng)開發(fā)過程的每個環(huán)節(jié)跟蹤審計，及時發(fā)現(xiàn)并修正每個階段發(fā)生的錯誤，從而減輕開發(fā)過程中軟件錯誤的積累放大效應，保障整個信息系統(tǒng)的質(zhì)量。

　　對信息系統(tǒng)開發(fā)過程的審計是伴隨著系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計、編碼、測試和系統(tǒng)試運行這幾個階段同步進行的。在信息系統(tǒng)運行維護階段，信息系統(tǒng)已經(jīng)建立起來，但是一個信息系統(tǒng)的成功不僅包括成功的系統(tǒng)開發(fā)，同時也包括對信息系統(tǒng)正確良好的操作和維護，使其保持最佳的運行狀態(tài)，只有對信息系統(tǒng)進行正確操作和維護才能保證信息系統(tǒng)真正實現(xiàn)其最初的設(shè)計目標，以最高的效率提供服務(wù)。與系統(tǒng)開發(fā)階段不同，運行維護階段更加側(cè)重于從系統(tǒng)的實際運行、維護狀況和用戶對系統(tǒng)的運行管理方面進行IT審計。

　　信息系統(tǒng)運行過程中的審計包括系統(tǒng)輸入審計、通信過程審計、處理過程審計、數(shù)據(jù)庫審計、系統(tǒng)輸出審計和運行管理審計；信息系統(tǒng)維護過程中的審計包括維護組織審計、維護順序?qū)徲嫛⒕S護計劃審計、維護實施審計、維護確認審計、改良系統(tǒng)試運行審計和舊信息系統(tǒng)報廢審計。

　　IT審計還需要按照信息系統(tǒng)的生命周期展開，作為一種外部監(jiān)督和控制手段，在系統(tǒng)開發(fā)之初參與進來，并貫穿于系統(tǒng)分析、系統(tǒng)設(shè)計、系統(tǒng)開發(fā)、系統(tǒng)測試、系統(tǒng)運行和維護各個階段。而這些階段有一些相同的業(yè)務(wù)，如人員的管理、文檔的管理、進度的管理、委托業(yè)務(wù)的管理和災難對策等，都需要對這些業(yè)務(wù)進行IT審計。按照共同業(yè)務(wù)審計的內(nèi)容和原則，生命周期共同業(yè)務(wù)審計分為文檔管理審計、信息系統(tǒng)進度管理審計、信息系統(tǒng)人員管理審計、信息系統(tǒng)委托業(yè)務(wù)管理審計、災難恢復審計等內(nèi)容如圖1所示。

　　IT審計的方法、技術(shù)和工具

　　IT審計方法、技術(shù)和工具是IT審計的重要組成部分。企業(yè)信息系統(tǒng)從功能、應用環(huán)境、規(guī)模到開發(fā)方式等方面存在多樣性和復雜性，IT審計難度很大，對審計師提出了嚴峻的挑戰(zhàn)，面對錯綜復雜的信息系統(tǒng)和審計環(huán)境，審計師常常要用到許多種方法、技術(shù)和工具來幫助他們完成審計工作。常規(guī)的審計方法包括面談法、問卷調(diào)查法、系統(tǒng)評審會、流程圖檢查、程序代碼檢查、程序代碼比較和測試等。但在高度計算機化的信息系統(tǒng)中，只采用常規(guī)審計法顯然是不夠的，無論是審計證據(jù)的收集、評價，還是實現(xiàn)審計工作的現(xiàn)代化，都需要借助計算機來高效完成。計算機輔助審計技術(shù)與工具CAAT（Computer Assisted Audit Techniques & Tools）使審計人員有了一種能有效地提高審計效率的工具，即審計人員可以使用各種CAAT軟件進行符合性測試和實質(zhì)性測試。CAAT軟件大致上可以分為三類：項目測試輔助軟件、系統(tǒng)測試輔助軟件和系統(tǒng)模擬軟件。

　　項目測試輔助軟件是審計人員為完成個別的審計項目的測試而編制使用的CAAT軟件，幫助審計人員進行抽樣審計的樣本抽取、計算、分析和評價等。

　　系統(tǒng)測試輔助軟件是審計人員為完成的企業(yè)信息系統(tǒng)而編制使用的CAAT軟件。這些軟件一般包括兩種類型，一種是對比測試軟件，即審計人員從企業(yè)信息系統(tǒng)中的原始數(shù)據(jù)中抽取一個樣本數(shù)據(jù)，將樣本數(shù)據(jù)輸入到與企業(yè)信息系統(tǒng)類似的CAAT軟件中進行處理，把CAAT軟件的結(jié)果與企業(yè)信息系統(tǒng)產(chǎn)生的結(jié)果進行對比分析，以判定企業(yè)信息系統(tǒng)的可靠性、安全性；另一種是將用于測試的CAAT軟件鏈接到企業(yè)信息系統(tǒng)中，審計人員輸入一些特別準備的測試數(shù)據(jù)，由企業(yè)信息系統(tǒng)進行處理，并將處理結(jié)果轉(zhuǎn)移到CAAT軟件的一個測試文件中去，審計人員檢查這一測試文件是否符合預期的結(jié)果，從而判斷企業(yè)信息系統(tǒng)的可靠性、安全性。系統(tǒng)測試輔助軟件也可以把兩種類型的CAAT軟件結(jié)合在一起使用。

　　系統(tǒng)模擬軟件是審計人員運用已建立的數(shù)學模型在計算機上對企業(yè)的經(jīng)營活動進行模擬，以判斷企業(yè)經(jīng)營活動可能應產(chǎn)生的結(jié)果，從而審查企業(yè)各項措施、決策的有效性和合理性。審計人員也可以模擬企業(yè)日常經(jīng)營活動，并將模擬結(jié)果與企業(yè)實際成果進行比較分析，找出存在的差異，分析差異產(chǎn)生的原因。系統(tǒng)模擬軟件一般用于經(jīng)濟效益審計或企業(yè)內(nèi)部審計。

　　在實際工作中，審計師可以根據(jù)被審計組織及信息系統(tǒng)的實際情況，結(jié)合審計目標、成本效益、審計小組的人員和設(shè)備配置情況、工作能力或工作習慣等，來選擇合適的IT審計方法、技術(shù)和工具，同時盡可能綜合應用，優(yōu)勢互補，提高審計效率。

　　IT審計在企業(yè)信息系統(tǒng)中的應用

　　IT審計為企業(yè)信息系統(tǒng)的有效管理提供了一系列詳細的審計方法，對企業(yè)信息系統(tǒng)進行審計時，審計師需要對信息系統(tǒng)的整體效能進行綜合評估，進一步整體全面地評價企業(yè)信息系統(tǒng)目標實現(xiàn)的充分程度以及企業(yè)的收益程度。

　　對信息系統(tǒng)整體效能進行綜合評估的主要評價項有：信息系統(tǒng)是否實現(xiàn)其設(shè)計目標，是否需要廢置或繼續(xù)，是否需要進行某些方面的修改以便更好地實現(xiàn)目標；信息系統(tǒng)開發(fā)過程是否合理，是否需要借此改善系統(tǒng)開發(fā)標準，系統(tǒng)開發(fā)人員可以獲得更好的開展工作的反饋；信息系統(tǒng)是否能使管理更新，形成信息時代的經(jīng)營管理；信息系統(tǒng)是否使管理組織體系發(fā)生根本改觀，即高度集中又機動靈活，提高了合理性和科學性；信息系統(tǒng)是否能使組織真正面向市場并組織生產(chǎn)和經(jīng)營，并使規(guī)模生產(chǎn)轉(zhuǎn)變?yōu)槊艚萆a(chǎn)成為可能；信息系統(tǒng)是否能使組織交流靈活，使原本僵化的部分劃分得到改善，跨越傳統(tǒng)部門界限形成團隊合力；信息系統(tǒng)是否提高了組織員工的工作效率和質(zhì)量，提供了員工的向心力；信息系統(tǒng)是否改善了組織與市場和客戶緊密相連的手段和可能；信息系統(tǒng)是否成為組織核心競爭力的主要組成，是組織獲得競爭優(yōu)勢的工具；信息系統(tǒng)是否有效降低了企業(yè)成本（尤其是時間成本），提高了企業(yè)效益。

　　信息化時代，企業(yè)運營需要依賴各種信息系統(tǒng)，IT審計可以避免信息系統(tǒng)的盲目開發(fā)和頻發(fā)故障給企業(yè)帶來的巨大損失。IT審計作為企業(yè)信息化過程中的重要環(huán)節(jié)，可以高效管理與企業(yè)信息系統(tǒng)開發(fā)、運行、維護及在整個生命周期中共同業(yè)務(wù)的相關(guān)風險，確保信息系統(tǒng)的安全。企業(yè)信息系統(tǒng)進行IT審計，客觀評價系統(tǒng)實現(xiàn)其目標的完成程度和企業(yè)的收益程度，并對系統(tǒng)的實施和風險加以控制。IT審計對企業(yè)信息系統(tǒng)整體效能提升影響顯著，是企業(yè)信息化的可靠保證。

　　參考文獻：

　　1.胡克瑾.IT審計[M].電子工業(yè)出版社，2004

　　2.郭順利，楊小虎.COBIT控制目標體系研究及在電子政務(wù)中的應用[J].計算機工程與設(shè)計，2004

　　3.胡克瑾.IT治理在電子政務(wù)中的應用[J].中國計算機用戶，2006