六个忠实的仆人 带你走进IT审计

　　随着科技的发展，信息系统在当今社会所扮演的角色已经从幕后走到了台前，IT技术不再是仅仅用来提高计算速率的加分项，而是作为保证单位/企业顺利地开展业务、实现目标、获得利益的基础条件。IT审计迅速发展，仿佛突然之间成为高检索率的热门词汇阵营。我国IT审计的发展相对迟缓，对于IT审计的认识目前仍然主要停留在计算机辅助工具层面，认为IT审计只是通过使用计算机技术提高传统审计的效率，却很少或没有从审计对象的角度审视信息系统。因此，当身边的人们反复提起IT审计时，我们很自然会产生困惑：IT审计究竟是什么、有何特点、为什么要开展IT审计、如何开展IT审计、由谁执行IT审计、开展IT审计需要满足哪些条件，等等。本文将为读者一一解开这些谜团。

　　IT审计是什么

　　IT审计（Information Technology Audit），也称作信息系统审计。很多研究人员认为，IT审计的概念源于在20世纪60年代。1960年起，IBM公司相继出版了《The Auditor Encounters Electronic Data Processing》、《In-line Electronic Processing and Audit Trail》等一系列文献，介绍了电子数据环境下的内部审计规则和组织方法，并首次将计算机审计的概念带入人们的认识中；1968年，美国注册会计师协会出版了《会计审计与计算机》，指导会计师事务所对利用计算机较早、较为深入的金融行业开展审计。严格来讲，电子数据处理审计或计算机审计并非真正意义上的信息系统审计，计算机审计的定位是扩展传统财务审计的一种技术资源，为审计师开展涉及到电子数据的财务审计业务时提供必要的技术支持。

　　业界始终没有就IT审计的定义达成统一的意见，目前使用较广的是美国信息系统审计与控制协会ISACA 给出的描述。ISACA认为，IT审计是一个过程，在这个过程中IT审计师（CISA ）通过获取和评价相关证据，判断被审查的信息系统能否保证单位或企业的资产安全、数据完整，以及能否有效地利用资源并高效地实现目标。除ISACA的定义外，国际上认可度相对高的IT审计定义包括，国际权威的IT审计专家Ron Weber在《Information Systems Audit and Control》一书中对IT审计的定义，他认为IT审计是一个搜集并评价证据，以判断计算机系统（信息系统）能否在经济划算地利用资源的情况下，有效保护资产安全、维护数据完整并实现组织目标的过程；日本通产省情报处理开发协会信息系统审计委员会于1996年修订该协会11年前对计算机审计的定义，描述信息系统审计是“为保证信息系统安全、可靠、有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价，并向IT审计对象的最高领导层指出系统存在的问题及改进建议的一组连续的活动”。由于IT审计在我国的发展相对迟缓，目前尚未形成被普遍认可的IT审计定义。

　　虽然对IT审计的描述没有达成统一，但是我们不难发现，专家们对IT审计的理解至少在以下几个方面是一致的：首先，IT审计是一个过程，这个过程需要由获得CISA认证的IT审计师，以独立客观的身份执行；其次，IT审计的过程中，IT审计师需要获取证据并分析证据，目的是检查信息系统的安全性、可靠性、有效性以及高效性；第三，审计师得到结果并不意味IT审计过程的完结，还需要向被审计单位报告审计结果，指明审查过程中发现的、信息系统存在的问题，以及针对这些问题向被审计单位的高层提供改进的建议。

　　IT审计由谁审

　　IT审计要求执行者必须具备CISA资格认证。作为一门跨领域的边缘性学科，信息系统审计与控制协会严格考核从业者的知识和技能，从传统审计理论、信息系统管理理论、行为科学理论和计算机科学等四个领域的要求，综合评价申请者知识技能的掌握程度，判断是否认可申请者的IT审计从业资格。IT审计是一个对从业者无论知识技能还是实际经验，要求均非常高的专业领域。我们知道，信息系统本身具有很强的复杂性，当把多个复杂的对象糅合在一起，其结果很明显：正如一团乱麻，要求梳理这团乱麻的人员必须具备足够的素质才能获得期望中的结果，否则，结局只会是使眼前复杂的问题变得更加复杂。因此，IT审计师必须具备专业的能力和良好的素质，才能针对审计对象做出合理有效的评价。

　　IT审计要求审计师必须以独立客观的身份执行审查。独立客观，强调IT审计师执行某项IT审计任务时，必须与被审计信息系统不存在任何的利益关系。此处的利益关系，既包含不参与（包括不曾参与）信息系统生命周期的有关活动，信息系统生命周期包括设计、开发、测试、部署、维护等环节；也包含不涉及被审计信息系统的业务和经济利益。

　　传统财务审计活动中，明确要求审计师具有独立客观的性质，目的是避免因审计师舞弊风险，导致结果失去公平公正的基本原则，损害到被审计对象的利益相关者的合法利益。但是，如何将这一要求与IT审计师的独立客观性进行合理的关联？

　　信息技术的应用是一把双刃剑，在提高效率的同时，引入大量安全威胁。我们都很清楚，法律上明令要求，电子数据不能作为证据。这是由于电子数据具有易于修改的特征，正如笔者此刻假若修改本文的某一处字词，是非常容易的事情；尤其对于安全保护措施不完善的信息系统，其遭遇黑客攻击、蒙受损失的可能性要远高于其他部署了良好的信息安全防护手段并定期接受专家查验的系统。IT审计师作为第三方人员，负责检查信息系统情况，IT审计师具有比较大的权限，可以这样设想：如果，IT审计师与信息系统业务有关，则无法排除IT审计师利用其拥有的高权限，对业务信息进行修改，或者隐藏系统中的部分漏洞以便于利用这些漏洞窃取机密信息，为自己谋取福利，等等。这一系列行为的发生，哪怕只是发生其中的一件，足以导致企业蒙受巨大的损失。

　　可以如此理解IT审计对于审计师具备独立客观属性的要求：当IT审计师以不独立于被审计对象身份执行审计任务时，其带给被审计组织的价值就会发生变化，不但无法保证其针对信息系统使用和维护过程中相关控制有效评价，促进组织管理结构和控制框架完善，而是组织产生高系数的IT风险。

　　IT审计审什么

　　信息系统审计不同于传统的财务审计。当提及财务审计的时候，目标很明确，就是审查组织的财务报表，识别组织经济活动中的舞弊行为。可是，IT审计要审什么？也许会有部分读者认为：IT审计既然也称为信息系统审计，那么审计对象自然是信息系统。这个回答，然，亦不然。

　　然，是因为既然称作信息系统审计，必然与信息系统有着莫大的联系，至少IT审计必然是围绕信息系统展开；不然，是由于这个回答并不准确。审计作为独立于组织业务链之外的结构，监督并客观评价与业务相关的控制在设计和执行方面的效果、效率，为完善组织内控框架提供建议，确保组织的利益相关者的利益不遭受损害并能够顺利获得。我们不难发现，审计是围绕着组织的控制而设计并开展的一项活动，其价值最直接地表现在对于控制的监督和评价上。所以，当对审计业务细化并指明针对信息系统审查时，其内容也必须得到同等程度的明确，即，IT审计需要针对IT控制的设计和执行情况进行监督及评估。

　　对于IT控制的定义，相关的权威机构或最佳实践分别从不同的角度进行描述。例如，IT管理最佳实践框架COBIT从IT控制的形态及功能的角度进行描述，认为IT控制是为了确保实现企业目标、预防或发现和纠正意外事件的各种政策、程序、做法和组织结构；而ISACA的信息系统审计准则从信息系统阶段生命周期的角度进行描述，将IT控制概括为在IT系统和服务购买、实施、交付和支持方面的控制。

　　IT控制有多种不同的分类方式。例如，从普适性和针对性角度区分，IT控制可以分成一般控制和应用控制。其中，一般控制用以降低广义层面上信息系统软、硬件及方案整体的风险，强调适用于全部信息系统的通用的一类控制，这些控制与信息系统的具体业务没有直接联系；而应用控制强调集成在应用程序中的、具有明确针对性的控制手段，需要与信息系统的功能目标相符合。IT控制涉及信息系统的获取、实施、交付、支持等过程，需要从整个生命周期对信息系统的运行环境、组成要素、核心数据、功能应用及运作流程等进行全面的管理和监督。IT控制的作用范围既涉及到所有信息系统的共性需求，也必须满足其特有的功能目标，因此必须综合运用信息系统的一般控制与应用控制，才能确保信息系统处于安全、可靠、高效、可控的状态，确保系统的功能和效果与预期目标统一。

　　再如，依据控制的设计及效果进行区别，IT控制又可以分成预防性控制、检查性控制和纠正性控制。预防性控制是为了防止错误、遗漏或安全事故发生；检查性控制则用以检查绕过预防控制的错误或事故；而纠正性控制则是为了纠正被检测出的错误、遗漏及安全事故。预防性控制属于事前防范措施，有效部署预防性控制可以避免事故或问题发生，使危害或损失为零。检查性控制属于事中举措，虽然预防性控制的效果是最理想的，但是由于错误、遗漏及安全事故形态特征多样，无法确保一组控制措施足够完整可以对所有的问题做到有效地预防，因此在错误或事故发生的时刻能够及时对其识别是非常必要的。检查性措施和纠正性措施通常组合部署，这是由于仅仅识别出问题并没有完成控制的目标，在无法规避风险的条件下，只能退而求其次，采取措施使危害或损失的程度降至最低，这也是纠正性控制的作用；同时，纠正性控制能够有效发挥作用需要基于准确识别问题的前提，即，纠正性控制需要以检查性控制作为条件，二者不可分割。

　　对于IT控制的理解，还存在其他一些分类方式，例如，从组织架构的角度、基于IT控制设计和实施的相关角色的职责进行分类，IT控制又可以分成治理控制、管理控制和技术控制。治理层的IT控制涉及确保有效的信息管理与安全的方针、政策和过程是恰当的，并且通过对绩效的合规性指标进行度量，表明对框架的持续支持。在一个组织中，其治理控制的实体通常表现为组织的政策，体现组织的战略目标及宗旨。管理控制用以确保IT控制能够实现组织的既定目标，并且所有适用的IT控制具备可靠性及连续性。管理控制在组织中的实体通常以标准、组织和管理、物理与环境控制的形式存在。技术控制与设计、实现及维护信息系统功能和效果联系最紧密，是确保其他IT控制具备可靠性的基础，例如信息系统软件控制、获取和实施控制、基于应用的控制等等。

　　对于组织而言，引入并应用IT控制的目标集中在满足以下四个方面的要求：

　　（1）有效地交付可靠信息，确保安全的IT服务符合本组织的战略、政策、外部需求和风险偏好；

　　（2）保障利益相关者的利益；

　　（3）实现客户、商业伙伴和其他外部各方完成业务目标的互惠互利关系；

　　（4）适当地识别并应对威胁和潜在的情况。

　　IT审计作为监督评估IT控制的角色，需要在理解了IT控制的目标之后，有针对性的取证分析，做出客观的判断并向管理层汇报，同时针对不当的控制提出改进建议。

　　ISACA编订并发布COBIT指导信息系统实施单位和IT审计人员更清晰地了解和把握IT控制。COBIT（Control Object of Information related Technologies）作为IT管理和IT审计的最佳实践框架，目前的已发行到版本4.1。COBIT将包含IT基础设施、IT应用、人员和信息四类要素的IT资源分配到信息系统生命周期的4个域、34个流程的控制中，并针对每个流程依据包含机密、完整、可靠、合规、效果、效率、可用等七个属性的业务目标分别定义了各流程的IT控制目标及活动目标。COBIT的4个域包括：规划与组织PO（Planning and Organization）、获取与实施AI（Acquisition and Implementation）、交付与支持DS（Delivery and Support）、监控与评估ME（Monitoring and Evaluation）；每个域中包含一定数量的IT流程。

　　COBIT利用目标和指标的关系，实现信息系统与单位业务目标的完美融合。COBIT建议按照业务、信息系统整体、IT流程、流程活动的顺序自上而下的对业务目标进行分解，从而确保IT目标与业务目标的关联；同时按照从流程活动、IT流程、信息系统整体、业务的顺序自下而上的进行指标的衡量，以保证及时发现并纠正IT控制中的偏差，确保IT控制与业务目标的一致性。COBIT不仅适合指导单位依据IT控制目标对IT进行管理，同时也适合IT审计人员参考进行IT控制的审核。COBIT建议使用CMM模型描述被审计单位的IT控制情况，把IT控制流程作为基本对象分别进行成熟度的评价，以展现被审计单位在IT控制的现状及急需提升的环节。