第3章信息系统审计的质量控制计算机审计质量控制模型(第2版)第3章信息系统审计的质量控制 信息系统审计的主要审计对象是被审计单位的现行计算机信息系统,也就是被审计单位已经投入使用和正在运行的信息系统。对系统中的硬件、软件、人员、工作环境等因素进行测试与评价,重点检查与评价各种类型信息系统的合法性、安全性、可靠性、有效性和效率性。这里所讲的信息系统含义较为广泛,不仅包括传统的电子数据处理(EDP)系统、管理信息系统(MIS),还包括用于科学计算和工程设计的专用信息系统。根据我国的实际情况,信息系统审计的目标应包括以下五个部分。 1. 保护计算机信息系统资源 信息系统的资源包括硬件、软件、人员(知识)、数据、系统文献等。信息系统的资源存在一定的安全风险。例如,硬件被恶意损害,具有自主产权的软件和其他数据被窃取或毁坏,软件和数据通常集中存储在一个或少数存储介质(如一张磁盘或光盘)上,可能受到损害而不能恢复等。因此,在单位内部它们与其他资源一样需要被保护。对很多单位而言,如财政、海关、税务、银行、证券、科研等单位,保护计算机信息系统资源已成为一个重要的目标。 2. 检验计算机信息系统的合法合规性 在传统的审计活动中,审计人员通过审计经济活动产生的书面资料以检查这些已经发生或正在发生的经济活动是否符合有关的法律法规,是否真实、有效。在计算机信息技术广泛使用的今天,被审计行业和单位纷纷采用计算机信息系统进行生产、经营和管理,大部分业务数据和财务数据从纸质书面形式转变成了电子数据的形式,由信息系统存储、处理和输出。审计人员通过审计这些电子化的数据可以检查相应的信息系统的处理逻辑是否符合法律法规,进而判断被审计行业和单位的生产、经营和管理活动是否存在违法违规的现象。在审计的实务中,一些单位利用信息系统进行的舞弊行为,就是通过信息系统的审计被发现的。 3. 保护数据的完整性 数据完整性是信息系统审计的一个重要内容。数据完整性是指数据未被修改过,数据是真实、完整、正确的。数据完整性是一个至关重要的问题。对被审计单位来讲,如果信息系统的数据完整性得不到保证,单位将无法了解自身和相关事件的信息,可能因此造成决策失误而失去竞争优势。对于审计或其他管理部门、投资者来讲,就是无法正确评价被审计单位。 4. 信息系统的有效性 一个有效的信息系统要能完成用户交给的工作。对信息系统有效性的审计通常在系统运行一段时间以后进行,管理人员往往根据审计的结果判定系统是否达到要求,由此决定对原有的系统是继续使用、做一定程度的修改还是完全更新改造。信息系统的有效性的审计工作也可在系统的设计阶段进行,此时需要系统设计人员与用户进行充分的沟通,与用户就系统应有的功能达成一致。 5. 信息系统的高效性 一个高效的信息系统要能以最少的资源完成所需要的工作。其中的资源包括机器时间、外部设备、软件以及人力等。通过信息系统的审计,可以促进被审计单位对信息系统的各种资源进行合理配置,提高信息系统的效率,降低生产、经营或管理成本。 信息系统审计的主要内容包括一般控制审计、应用控制审计、信息系统生命周期的审计和应用软件的审计,下面将分别介绍它们的质量控制。 3.1适用的控制标准〖4/5〗3.1.1有效性面对众多的信息系统审计技术和方法,审计组应选择自己能顺利使用的、相对而言更有效、更简便的技术和方法。 3.1.2选择性 审计人员只就与审计需求相关的信息系统的内容进行检查。审计组在进行信息系统审计的过程中,必须把握审计方案中明确的审计范围、审计内容及重点,结合审前调查获得的被审计单位有关信息系统的情况,来确定信息系统审计的内容和重点,并确保审计完成方案规定的各项内容。 3.1.3安全性 确保审计组在审计过程中获取的被审计单位信息系统的所有技术性、制度性资料不被审计组内外无关、无权人员获知。 3.2一般控制审计〖4/5〗3.2.1一般控制审计的概述控制是企业管理的一个重要手段,企业通过控制去发现漏洞和错误,并加以纠正,保证企业能有效和高效地实现既定的目标。为了使信息系统更好地为实现企业的目标服务,需要在信息系统中引入相应的控制。所谓信息系统的控制是一个可以预防、检测和纠正信息系统中的漏洞和错误的系统的总称。这个定义中有三个重要的方面值得说明。第一,控制是一个系统,也就是说控制包含一系列的相关的措施,它们共同作用以达到一个共同的控制目标。所以在理解控制的概念时,应把控制看成一个系统而不是一个属性。例如我们都知道采用口令的控制技术,但口令本身并不是一个控制,口令控制代表一组相关的措施(口令的安全发布、安全存储、安全传输、口令的认证等),它们一起工作来确保只有授权的用户才能使用计算机资源。所以当我们评估一个控制的时候,应从系统的高度来考虑它的可靠程度。第二,控制的对象是信息系统中的漏洞和错误。第三,控制的最终目标是杜绝信息系统中漏洞和错误的发生,保证信息系统更好地为企业的目标服务。 按控制实施的范围和对象分,信息系统的内部控制可分为一般控制和应用控制。一般控制是从管理的角度对信息系统进行控制,而应用控制是从技术的角度对信息系统进行控制。一般控制适用于整个计算机信息系统,它为信息系统提供良好的工作条件和必要的安全保证,是应用控制的基础。一般控制的审计的任务主要是检查组织内部是否存在相应的管理措施来实现相应的控制目标。信息系统的一般控制包括组织管理的控制、数据资源管理的控制、系统环境安全管理的控制和系统运行管理的控制。 本节介绍对一般控制中组织管理控制、数据资源管理控制、系统环境安全管理控制和系统运行管理控制的审计的质量控制。 3.2.2对组织管理控制的审计〖2〗3.2.2.1控制目标及控制点1. 控制目标通过检查被审计单位内部的工作规章制度和员工的管理制度,确认被审计单位从管理制度上实现了职责分离和人员管理的控制。 2. 控制点 完整获取被审计单位工作规章制度和员工管理制度。 3.2.2.2实现的方法 1. 确认从管理上实现了职责分离 阅读工作规章制度,重点检查以下控制措施是否存在: 是否制定了职责分离的规章制度。 业务人员的工作职责是否明确清晰。 信息技术部门应只负责信息系统的开发和维护工作,而日常的业务操作只能由相关业务部门的工作人员进行。 信息技术人员未经批准不能接触备份的数据,不能在无监督的情况下进行数据库备份和恢复的工作。 系统的输入人员与复核记账人员不能相互兼任。 业务操作人员不能保管除操作手册以外的系统技术文档。 业务操作人员不能管理系统产生的重要的业务档案。 2. 确认从管理上实现了对人员管理的控制 阅读员工的管理制度,重点检查以下控制措施是否存在: 聘用人员与工作岗位是否相符。 与因工作需要接触秘密数据的工作人员签订保密协议书。 对关键性业务配备了后备人员。 定期对工作人员的工作进行考核。 定期对信息系统人员进行培训。 关键技术由多人掌握。 人员离岗后,信息系统的账号和口令及时删除。 人员离岗后,归还所有的报告、文档和书籍。 3.2.3对系统环境安全管理控制的审计〖2〗3.2.3.1控制目标及控制点1. 控制目标通过对信息系统运行环境、配置和管理制度的检查,确认被审计单位从管理制度上杜绝信息系统运行环境中影响信息系统正常运行的安全隐患,保护信息系统中的各种资源免受毁坏、替换、盗窃和丢失的威胁。 2. 控制点 对信息系统运行环境、配置和管理制度安全性的检查。 3.2.3.2实现方法 1. 检查预防灾害(火灾、水灾)的控制措施 对信息系统运行环境、配置和管理制度进行检查,重点检查以下控制措施是否存在: 计算机房或数据存放中心应远离加油站、储气站和蓄水池。 计算机房或存放数据的房间配备了干粉灭火器。 计算机房或存放数据的房间设置了火灾探测器和水灾探测器。 计算机房制定了防止水灾、火灾的规章制度。 制订了灾难应急计划。 2. 检查预防电源变化的控制措施 对信息系统运行环境、配置进行检查,重点检查以下控制措施是否存在: 计算机房配置了备用电源或独立的备份供电。 计算机房配置了电源稳压装置。 计算机设备的电源与空调、照明和其他动力用电的电源相互独立。 3. 检查防潮、防尘的控制措施 对信息系统运行环境、配置和管理制度进行检查,重点检查以下控制措施是否存在: 定期对计算机房空气进行净化处理。 计算机房具有防潮和恒温设备。 制定了防尘和防潮的规章制度。 4. 检查预防非法入侵的控制措施 对信息系统运行环境、配置和管理制度进行检查,重点检查以下控制措施是否存在: 制定了人员出入机房的制度。 机房和数据存放地设置了门禁系统和门卫。 人员出入机房和数据存放地时使用门禁卡并进行登记。 安装了闭路电视或摄像系统、报警系统等监视装置。 重要的设备使用了电磁屏蔽,防止重要数据通过电磁辐射泄漏。 重要的数据采用加密传输和加密保存。 重要数据的备份由专人负责存放。 生产机或存放有重要数据的计算机设备不能直接和公网(如互联网)相连。 5. 检查预防计算机病毒侵害的控制措施 对信息系统的管理制度进行检查,重点检查以下控制措施是否存在: 明文规定禁止下载或使用来历不明的软件。 在重要的机器上使用软盘、光盘或移动存储设备时,先用查病毒软件查杀病毒,确认无病毒后才使用。 使用外来的软件和数据之前,先查毒再使用。 定期对信息系统中的计算机系统进行查毒或杀毒。 3.2.4对数据资源管理控制的审计〖2〗3.2.4.1控制目标及控制点1. 控制目标通过对数据资源的使用环境和数据资源的管理制度进行检查,确认被审计单位从管理制度上保证数据资源的安全性和完整性。 2. 控制点 对数据资源的使用环境和数据资源的管理制度完善性的检查。 3.2.4.2实现方法 1. 对数据资源的备份控制进行检查 检查数据资源的管理制度,重点检查以下控制措施是否存在: 定期备份重要的数据。 在对数据资源进行重要的处理之前(如结账),对数据进行备份。 备份的数据异地存放。 备份的数据由非技术人员中的专人保管。 信息技术人员未经批准不能接触备份的数据。 备份数据的恢复工作需要经过授权批准。 数据库备份和恢复的工作需要在有监督的情况下进行。 系统的维护工作需要在有监督的情况下进行。 由专人负责重要的数据的备份和恢复工作。 备份数据的存放和领用有相应的记录日志。 需要授权才能领取备份的数据。 对备份或恢复工作日志进行了记录。 明文规定了数据备份和恢复工作的规范步骤。 2. 对数据资源的访问控制进行检查 检查数据资源的管理制度,重点检查以下控制措施是否存在: 对系统的操作人员实施密码控制,防止无关人员使用系统。 对系统的操作人员实施权限控制,保证不同权限的人员只能操作权限规定的功能或只能访问权限规定的数据。 对操作人员的管理建立日志,记录有关操作人员的增加、删除以及对操作人员的口令或权限的更改的详细情况。 对操作人员的工作建立审计日志,记录进入系统工作的人员、时间、调用的功能模块、访问的数据以及所做的操作等情况。 3. 对数据资源的保密控制进行检查 检查数据资源的管理制度,重点检查以下控制措施是否存在: 业务报告或报表要经过批准才能产生。 操作人员未经批准不能擅自拷贝数据。 对高度敏感的数据以加密的方式存储和传输。 4. 对数据资源的存储控制进行检查 检查数据资源的存放环境和数据资源的管理制度,重点检查以下控制措施是否存在: 存放数据的房间能够防潮、恒温、防霉和防止强磁场干扰。 定期检查并记录存放数据的介质是否存在故障。 3.2.5对系统运行管理控制的审计〖2〗3.2.5.1控制目标及控制点1. 控制目标通过对信息系统的日常操作管理、文档管理、软件和硬件的管理以及信息系统的日志管理四个部分的检查, 确认被审计单位从管理制度上保证: (1)系统能够正常运行;(2)系统文档和日志的安全和完整;(3)系统的硬件和软件的兼容性和安全性。 2. 控制点 对信息系统运行管理制度完善性的检查。 3.2.5.2实现方法 1. 对系统日常操作的管理进行审计 对系统日常的操作管理制度进行检查,重点检查以下控制措施是否存在: 制定了信息系统的上机守则。 操作人员经过培训。 对不同的操作岗位,定期进行轮换。 任何外来的数据源(磁盘、光盘、网络等)必须经过批准才能输入信息系统。 定期发布病毒公告并安装相应的补丁程序。 定期检查信息系统的运行和性能并向管理部门汇报。 配有专门的系统维护技术人员。 2. 对系统文档管理进行审计 对系统的文档管理制度进行检查,重点检查以下控制措施是否存在: 信息系统日常运行所需的文档齐全,信息系统日常运行所需要的文档包括工作计划和日程安排、系统或软件的使用手册和操作指南、软件的概要设计文档、软件的详细设计文档、数据库设计文档。 技术人员调离岗位时应收回其拥有的技术文档。 业务人员调离岗位时应收回其拥有的操作文档。 信息系统中重要的技术和业务文档由专人保管。 信息系统中重要的文档只有通过授权才能阅读。 对信息系统中重要的文档进行了备份。 3. 对系统软件和硬件的管理进行审计 对系统软件和硬件的管理制度进行检查,重点检查以下控制措施是否存在: 添置和更换硬件设备时应说明新设备的扩展性和与原有设备的兼容性。 记录硬件的升级或更新日志。 记录计算机软件的升级或更新日志。 信息系统中重要的软件及其文档资料应由专人保管。 对信息系统中重要的软件及其文档资料进行了备份。 信息系统中重要的软件及其文档资料只有经过授权才能拷贝。 4. 对信息系统的日志管理进行审计 对信息系统的日志管理制度进行检查,重点检查以下控制措施是否存在: 每天记录系统的运行日志。 记录出现故障的情况和相应的维修日志。 系统记录了操作人员的操作日志和程序的运行日志。 3.3应用控制的审计〖4/5〗3.3.1应用控制审计概述为了保证信息系统正确、可靠和高效地运行,需要从管理制度和技术两个方面对信息系统的开发、使用和维护进行控制。前面介绍的一般控制就是通过管理的手段实现的,而从技术的角度对信息系统进行的控制称为应用控制。应用控制是在较为具体的技术层面对信息系统的输入、处理、输出、数据传输和存储管理进行控制。一般控制是应用控制的基础,应用控制是一般控制的深化和加强。一般控制的审计的主要任务是检查组织内部是否存在相应的管理措施来实现相应的控制目标,而应用控制的审计的主要任务是检查组织内部是否存在相应的技术措施来实现相应的控制目标。本节详细介绍信息系统应用控制审计的质量控制。 3.3.2对输入控制的审计〖2〗3.3.2.1控制目标及控制点1. 控制目标 通过对信息系统的输入程序进行检查,确信信息系统从技术上能保证输入数据的正确性、合理性、安全性和完整性。 2. 控制点 对输入程序技术性控制措施的检查。 3.3.2.2实现方法 1. 对输入操作的控制进行检查 检查信息系统的输入程序,重点检查以下控制措施是否存在: 只有批准的人才能进行输入操作,系统要做操作日志记录。 审计人员分别以授权的用户和未授权的用户登录信息系统,应该只有授权的用户才能进入输入界面进行输入操作,而未授权的用户不能进行输入操作。审计人员还应查看信息系统是否对输入操作进行了日志记录。 2. 对确保输入数据的正确性、合理性、完整性和防止重复的控制进行检查 检查信息系统的输入程序,重点检查以下控制措施是否存在: 对输入数据的正确性进行检查。 输入数据的正确性包括如下情况: ◆输入的数据与信息系统内的其他数据满足一定的关系(如借贷平衡关系)。 ◆输入的数据是按顺序排列的(例如账号、序号等)。 ◆输入的数据是实际业务中存在的数据。 ◆审计人员输入不正确的数据,信息系统应能提示输入出错并拒绝接收错误的数据。另外信息系统对于重要的数据应提供复核功能,信息系统只接收输入与复核完全一致的数据。 对输入数据的合理性进行检查: 审计人员通过输入界面输入格式、类型或范围错误的数据,信息系统应能提示输入出错并拒绝接收错误的数据。 对输入数据的完整性进行检查: 审计人员通过输入界面输入不完整的数据,信息系统应能提示输入出错并拒绝接收不完整的数据。 对输入数据的重复性进行检查。 如果信息系统要求数据不能重复,则审计人员通过输入界面输入重复的数据时,信息系统应能提示出错并拒绝接收重复的数据。 3. 对输入界面进行检查 检查信息系统的输入程序的界面,重点检查以下控制措施是否存在: 输入的界面应该简单、清晰、一致。 审计人员通过亲自操作或咨询用户来了解输入界面的情况,一个良好的输入界面应该具有简单、清晰和一致的特点。 3.3.3对处理控制的审计〖2〗3.3.3.1控制目标及控制点1. 控制目标通过对信息系统的处理程序进行检查,确信信息系统从技术上能够保证处理结果的正确性、合理性、安全性和完整性。 2. 控制点 对信息系统处理程序的控制措施的检查。 3.3.3.2实现方法 1. 对信息系统处理程序中确保系统处理结果正确性、完整性和合理性的控制进行检查 检查信息系统的处理程序,重点检查以下控制措施是否存在。 在进行处理之前系统自动检查数据的处理条件是否满足: 审计人员模拟一个不满足处理条件的数据让信息系统进行处理,信息系统应提示出错并拒绝处理此数据。 程序对待处理数据的合理性进行自动检查: 审计人员模拟一个格式、类型或范围错误的数据让信息系统进行处理,信息系统应提示出错并拒绝处理此数据。 通过阅读信息系统设计说明书和咨询用户来了解信息系统的处理过程是否实施了以下控制措施: ◆系统对处理结果的正确性进行自动检查。 ◆系统对处理结果的合理性进行自动检查。 ◆在程序中采取措施防止数据经过处理以后发生丢失的情况。 ◆在程序中采取措施保证所有需要处理的数据都被处理。 ◆在程序中保证需要处理的数据不会被重复处理。 ◆在进行数据处理之前,保证将要处理的数据是需要处理的数据。 ◆对处理过程错误的控制。 ◆当信息系统处理过程发生错误的时候,信息系统必须终止进一步的处理,向操作人员提示出错,把信息系统内部数据的状态恢复到处理之前的状态,并记录错误信息。 2. 对信息系统处理程序中确保系统处理结果安全性的控制进行检查 检查信息系统的处理程序,重点检查以下控制措施是否存在。 只有批准的人才能执行信息系统中的数据处理工作: 审计人员分别以授权的用户和未授权的用户登录信息系统,应该只有授权的用户才能执行数据的处理操作,而未授权的用户不能执行数据的处理操作。 3.3.4对通信控制的审计〖2〗3.3.4.1控制目标及控制点1. 控制目标通过对信息系统数据传输过程进行检查,确信信息系统从技术上能保证数据通信的正确性、保密性和完整性。 2. 控制点 对信息系统通信程序保密性和传输完整性的检查。 3.3.4.2实现方法 对系统通信程序中确保通信数据的正确性、保密性和完整性的控制进行检查,通过阅读系统设计说明书来检查信息系统的通信程序,重点检查以下控制措施是否存在。 对敏感的数据实行加密通信。 对敏感的数据或需要明确责任的数据在通信之前进行了数字签名。 通信的数据能够正确可靠地到达目的地。 在网络通信中,为了保证通信的数据能够正确可靠地到达对方,采取的措施有: ◆在通信的数据中插入能发现错误或具有自动纠错能力的校验码。 ◆在数据通信过程中使用确认应答与超时重传机制。 ◆如果在数据通信中采用TCP协议,则能够确保数据可靠地传输到目的地。 3.3.5对数据库控制的审计〖2〗3.3.5.1控制目标及控制点1. 控制目标通过对数据库的操作过程、数据的保存方式以及数据库的备份和恢复的检查,确信信息系统从技术上能够保证数据库的安全性和完整性。 2. 控制点 对访问或操作数据库的程序的检查。 3.3.5.2实现方法 1. 对数据库的安全性控制进行检查 通过阅读系统设计说明书来了解信息系统中是否已实现如下控制措施: 通过口令对使用数据库的人员进行鉴别。 通过程序保证只有授权的人员才能进行备份和恢复操作。 对数据库中的数据进行存取控制。 对数据库中高度敏感的数据加密保存。 对数据库的所有操作进行审计记录。