信息系统变更审计的探讨
摘要
随着社会信息化的程度不断提高,信息系统已深入到社会的各个领域,各行各业对信息系统的依赖也日益增加。“并不是每一次的变更都会带来进步,但每一次进步都是变更引起的。”为保证企业的可持续发展,必须对信息系统的变更进行审计。
本文从讨论中外信息系统变更失败入手,先界定所研究的信息系统变更审计的范围,论证当前实施信息系统变更审计的必要性和可行性。进而对构建信息系统变更审计框架体系进行了探索性分析,即以信息系统变更审计的总体目标和具体目标为出发点,结合风险导向审计的理论和方法对信息系统变更审计的流程进行了梳理,包括风险评估、风险应对及对信息系统变更进行评价。针对风险应对这个流程,笔者根据实践工作设计了一个操作性强的调查问卷,信息系统变更的审计评价则主要借助软件能力成熟度模型的思路,分五个级别对企业的信息系统变更的优劣进行评价。最后针对提高信息系统变更的可审计性提出了几点可行性的建议。
笔者希望通过研究信息系统变更审计的相关内容,能给大家一个清晰的视角去了解信息系统变更审计,并为我国企业有效地对信息系统的变更进行审计提供一些参考。
As the improvement of social informationization, information system has penetrated deeply into every area of society, and all walks of life depend on information system more and more.“Not every change can bring progress, but all progress have been brought by change.”In order to guarantee company’s sustainable development, we have to audit information system change.
First, the article discusses some losing case of information system change, defines the scope of information system change, demonstrates the necessity and feasibility of carry out information system change audit. And then gives an exploratory analysis on construct a frame of information system change audit, to use total objective and detail objective as the start point, mixed risk-based theory and practice to demonstrate the process of information system change audit, which includes risk evaluate, risk response and give evaluation about information system change. The writer designs a questionnaire based on practical work. And audit evaluation of information system change is mainly get help of CMM, divides five ranks to evaluate the information system change. Finally, writer makes a few practical suggestions to the work of improve the auditability of information system change.
The writer hopes through the research of information system change to give a clear angle to understand information system change audit, and gives some consultation on how to audit information system change effectively.
本文从讨论中外信息系统变更失败入手,先界定所研究的信息系统变更审计的范围,论证当前实施信息系统变更审计的必要性和可行性。进而对构建信息系统变更审计框架体系进行了探索性分析,即以信息系统变更审计的总体目标和具体目标为出发点,结合风险导向审计的理论和方法对信息系统变更审计的流程进行了梳理,包括风险评估、风险应对及对信息系统变更进行评价。针对风险应对这个流程,笔者根据实践工作设计了一个操作性强的调查问卷,信息系统变更的审计评价则主要借助软件能力成熟度模型的思路,分五个级别对企业的信息系统变更的优劣进行评价。最后针对提高信息系统变更的可审计性提出了几点可行性的建议。
笔者希望通过研究信息系统变更审计的相关内容,能给大家一个清晰的视角去了解信息系统变更审计,并为我国企业有效地对信息系统的变更进行审计提供一些参考。
As the improvement of social informationization, information system has penetrated deeply into every area of society, and all walks of life depend on information system more and more.“Not every change can bring progress, but all progress have been brought by change.”In order to guarantee company’s sustainable development, we have to audit information system change.
First, the article discusses some losing case of information system change, defines the scope of information system change, demonstrates the necessity and feasibility of carry out information system change audit. And then gives an exploratory analysis on construct a frame of information system change audit, to use total objective and detail objective as the start point, mixed risk-based theory and practice to demonstrate the process of information system change audit, which includes risk evaluate, risk response and give evaluation about information system change. The writer designs a questionnaire based on practical work. And audit evaluation of information system change is mainly get help of CMM, divides five ranks to evaluate the information system change. Finally, writer makes a few practical suggestions to the work of improve the auditability of information system change.
The writer hopes through the research of information system change to give a clear angle to understand information system change audit, and gives some consultation on how to audit information system change effectively.
引文
1左天祖.中国IT服务管理指南.北京大学出版社2004.P48
2人民网:日本花旗银行出现重大电脑系统故障交易大混乱http://world.people.com.cn/GB/1029/42354/4362794.html 2006年05月11日
3新京报:女员工账户显示俩月工资98亿,余额尚有11亿http://news.sohu.com/20060911/n245263728.shtml 2006年09月11日
4杭州网-每日商报:恶意取款17万被判无期"故障"是ATM机下的套? http://www.chinanews.com.cn/sh/news/2007/12-23/1112336.shtml 2007年12月23日
5“Microsoft blames technicians for massive outage,”CNET News, Jan. 24, 2001.
6“RBC blames human error,”GLOBEANDMAIL.com, June 10, 2004
7 Ron Webber. Information Systems Control and Audit. Prentice-Hall Inc.1999, 27-33
8胡克瑾.IT审计[M].北京:电子工业出版社.2002.23-25.
9邓少灵.企业IT审计的框架[J]中国审计.2002(1): 58-60.
13吴沁红著.信息系统审计研究[D].财政部财政科学研究所博士论文.2002,P27.
14贝利,格拉姆林,拉姆蒂著.内部审计思想.王光远等译.北京:中国时代经济出版社.2006.1.P6
15 COSO企业风险管理-整合框架,来源http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary_Chinese_Simplified.pdf,2005-10-15.
16吴沁红著.信息系统审计研究[D].财政部财政科学研究所博士论文,2002.P54.
17詹姆斯.A .霍尔(James A .Hall)著.李丹,刘济平译.信息系统审计与鉴证[M].北京:中信出版社,2003.P230.
18欧先锦.谈信息系统审计[J].重庆职业技术学院学报2004(4):116-121
19周新玲.我国IT审计的发展对策[J].科技进步与对策2004(3):123-124
20伊恩.格雷(Lain.Gray),斯图尔特.曼森(Stuart.Manson)著.吕兆德,樊朝晖,吕睿智,李民,朱大庆译.审计流程:原理、实践与案例(第二版)[M].北京:中信出版社.2003.P275
21杨周南主编.会计电算化中级培训教材[M],北京:现代出版社,2003:P297.
22胡克瑾等编著.IT审计[M].北京:电子工业出版社,2002:P247.
23GTAG2-变更及补丁管理控制:组织成功的关键, from http://www.theiia.org.
[1]Global Technology Auditing Guide 2-Change and patch management control-critical for organizational success, Jay R. Taylor,General Motors Corp, Julia H. Allen, Carnegie Mellon University, Software Engineering Institute, Glenn L. Hyatt, General Motors Acceptance Corp, Gene H. Kim, from http://www.theiia.org.
[2] ISACA.Standards, Statements & Guidelines[J].Information Systems Control Journal, Volume 1, 2003.
[3] ISACA.CISA Review Manual 2007.
[4] The exposure draft (ED) of IT Control Objectives for Basel II, from http://www.isaca.org 2007.
[5] Ron Webber. Information Systems Control and Audit. Prentice-Hall Inc, 1999, 27-33,165-167
[6] ISACA. Standards for information systems auditing,from http://www.isaca.org , 2005.
[7] ISACA Control Objectives for Information and Related Technology (COBIT?) 4th Edition, 2007.
[8] David Coderre. CAATTs and Other Beasts for Auditors. Global Audit Publications, Vancouver B.C., Canada.
[9] ISACA.Change Control-audit program and internal control questionnaire,from http://www.isaca.org/, 2001.
[10] COSO.COSO ERM Executive Summary Chinese Simplified,from http//www.coso.org,2005-10-15.
[11] BS7799 Code of Practice for Information Security. British Standards Institution and International Organization for Standardization, 166-169.
[12] Frederick Gallegos.Information Technology Control and Audit,CRC Press LLC,2000.
[13] David Coderre. CAATTs and Other Beasts for Auditors. Global Audit Publications,Vancouver B.C., Canada.1996.
[14] Pennington, Robin Rene. The effects of information overload on information processing and judgment in an information systems audit task [D].University of South Carolina(Ph.D.),2002.
[15]袁小勇、王海洪.计算机审计,首都经济贸易大学出版社,2005.
[16]计算机审计系统国家审计署、中国农业银行联合开发项目组.《金融计算机审计系统大机环境数据迁移方案》,2003年8月.
[17]杨周南、赵纳晖、高宁,信息技术在会计和IT审计实务中的应用,清华人学出版社,2003年.
[18]詹姆斯.A.霍尔(James A.Hall)著;李丹、刘济平译.信息系统审计与鉴证[M],北京:中信出版社,2003.
[19]胡克瑾等编著.IT审计[M],北京:电子工业出版社,2002.
[20]孙强主编.信息系统审计:安全、风险管理与控制[M],北京:机械工业出版社,2003.
[21]中国工商银行内部审计局课题组.COBIT与商业银行的IT审计[J] .中国金融电脑2005(6):28-31.
[22]中国注册会计师协会:独立审计具体准则第20号-计算机信息系统环境下的审计,中国注册会计师:2000(4).
[23]孟秀转.信息系统审计:信息时代审计业务的发展[J].北京联合大学学报,2002(4).
[24]庄明来著.会计电算化研究[M],北京:中国金融出版社,2001.
[25]信息系统审计与控制协会,信息系统审计标准审计章程, http://www.isaca.org/Template.cfm?Section=Simplified_Chinese&CONTENTID=22371&TEMPLATE=/ContentManagement/ContentDisplay.cfm.
[26]COSO企业风险管理-整合框架,来源http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary_Chinese_Simplified.pdf,2005-10-15.
[27]邓少灵.企业IT审计的框架[J]中国审计,2002(1) .
[28]左天祖.中国IT服务管理指南.北京大学出版社2004. 48.
[29]吴沁红著.信息系统审计研究[D].财政部财政科学研究所博士论文,2002.
[30]Jan van Bon著;章斌译.IT服务管理-基于ITIL的全球最佳实践,清华大学出版社,2006.
[31]欧先锦.谈信息系统审计[J].重庆职业技术学院学报2004(4).
[32]周新玲.我国IT审计的发展对策[J].科技进步与对策2004(3).
[33]伊恩.格雷(Lain.Gray),斯图尔特.曼森(Stuart.Manson)著;吕兆德,樊朝晖,吕睿智,李民,朱大庆译.审计流程:原理、实践与案例(第二版)[M],北京:中信出版社,2003.
[34]杨周南主编.会计电算化中级培训教材[M],北京:现代出版社,2003:297.
[35]史蒂文.J.鲁特[美]著,刘霄仑主译.《超越COSO:强化公司治理的内部控制》,中信出版社,2004.
[36]上海证券交易所:《上海证券交易所上市公司内部控制指引》,2006年6月.
[37]深圳证券交易所:《深圳证券交易所上市公司内部控制指引》,2006年9月.
[38]莫勒尔著;刘霄仑等译. SOA与内部审计新规则北京:中国时代经济出版社,2007.1
[39]贝利,格拉姆林,拉姆蒂著.内部审计思想.王光远等译.北京:中国时代经济出版社,2006.1.6
[40]余忠良.从数据采集谈如何搞好计算机辅助审计来源:审计署, http://www.audit.gov.cn/cysite/docpage/c169/200508/0817_169_14239.htm,2005年10月5日
[41]马社亮.浅析联网审计中数据采集接口的设计.来源:审计署, http://www.audit.gov.cn/cysite/docpage/c169/200507/0713_169_14069.htm,2005年10月7日
[42]矫文成,张冬丽.信息系统开中应用ODBC访问不同的数据库.电脑应用技术.2006.参考网站:
[1]美国证券与交易委员会网站http://www.sec.gov
[2]中国证监会指定信息披露网站—巨潮资讯http://www.cninfo.com.cn
[3]上海证券交易所网站http:// www.sse.com.cn
[4]中国国家审计署http://www.audit.gov.cn
[5]中国注册会计师协会http://www.cicpa.org.cn
[6]信息系统审计与控制协会(美国)http://www.isaca.org
[7]美国注册会计师协会http://www.aicpa.org
[8]希赛网http://www.csai.cn
[9]中国IT治理研究中心http://www.itgov.org.cn
[10]中华财会网http://www.e521.com
[11]中国会计视野http://www.esnai.com/
[12]人民网:日本花旗银行出现重大电脑系统故障交易大混乱http://world.people.com.cn/GB/1029/42354/4362794.html 2006年05月11日.
[13]新京报:女员工账户显示俩月工资98亿,余额尚有11亿http://news.sohu.com/20060911/n245263728.shtml 2006年09月11日.
[14]杭州网-每日商报:恶意取款17万被判无期"故障"是ATM机下的套? http://www.chinanews.com.cn/sh/news/2007/12-23/1112336.shtml 2007年12月23日.
[15]“Microsoft blames technicians for massive outage,”CNET News, Jan. 24, 2001.
[16]“RBC blames human error,”GLOBEANDMAIL.com, June 10, 2004.
2人民网:日本花旗银行出现重大电脑系统故障交易大混乱http://world.people.com.cn/GB/1029/42354/4362794.html 2006年05月11日
3新京报:女员工账户显示俩月工资98亿,余额尚有11亿http://news.sohu.com/20060911/n245263728.shtml 2006年09月11日
4杭州网-每日商报:恶意取款17万被判无期"故障"是ATM机下的套? http://www.chinanews.com.cn/sh/news/2007/12-23/1112336.shtml 2007年12月23日
5“Microsoft blames technicians for massive outage,”CNET News, Jan. 24, 2001.
6“RBC blames human error,”GLOBEANDMAIL.com, June 10, 2004
7 Ron Webber. Information Systems Control and Audit. Prentice-Hall Inc.1999, 27-33
8胡克瑾.IT审计[M].北京:电子工业出版社.2002.23-25.
9邓少灵.企业IT审计的框架[J]中国审计.2002(1): 58-60.
13吴沁红著.信息系统审计研究[D].财政部财政科学研究所博士论文.2002,P27.
14贝利,格拉姆林,拉姆蒂著.内部审计思想.王光远等译.北京:中国时代经济出版社.2006.1.P6
15 COSO企业风险管理-整合框架,来源http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary_Chinese_Simplified.pdf,2005-10-15.
16吴沁红著.信息系统审计研究[D].财政部财政科学研究所博士论文,2002.P54.
17詹姆斯.A .霍尔(James A .Hall)著.李丹,刘济平译.信息系统审计与鉴证[M].北京:中信出版社,2003.P230.
18欧先锦.谈信息系统审计[J].重庆职业技术学院学报2004(4):116-121
19周新玲.我国IT审计的发展对策[J].科技进步与对策2004(3):123-124
20伊恩.格雷(Lain.Gray),斯图尔特.曼森(Stuart.Manson)著.吕兆德,樊朝晖,吕睿智,李民,朱大庆译.审计流程:原理、实践与案例(第二版)[M].北京:中信出版社.2003.P275
21杨周南主编.会计电算化中级培训教材[M],北京:现代出版社,2003:P297.
22胡克瑾等编著.IT审计[M].北京:电子工业出版社,2002:P247.
23GTAG2-变更及补丁管理控制:组织成功的关键, from http://www.theiia.org.
[1]Global Technology Auditing Guide 2-Change and patch management control-critical for organizational success, Jay R. Taylor,General Motors Corp, Julia H. Allen, Carnegie Mellon University, Software Engineering Institute, Glenn L. Hyatt, General Motors Acceptance Corp, Gene H. Kim, from http://www.theiia.org.
[2] ISACA.Standards, Statements & Guidelines[J].Information Systems Control Journal, Volume 1, 2003.
[3] ISACA.CISA Review Manual 2007.
[4] The exposure draft (ED) of IT Control Objectives for Basel II, from http://www.isaca.org 2007.
[5] Ron Webber. Information Systems Control and Audit. Prentice-Hall Inc, 1999, 27-33,165-167
[6] ISACA. Standards for information systems auditing,from http://www.isaca.org , 2005.
[7] ISACA Control Objectives for Information and Related Technology (COBIT?) 4th Edition, 2007.
[8] David Coderre. CAATTs and Other Beasts for Auditors. Global Audit Publications, Vancouver B.C., Canada.
[9] ISACA.Change Control-audit program and internal control questionnaire,from http://www.isaca.org/, 2001.
[10] COSO.COSO ERM Executive Summary Chinese Simplified,from http//www.coso.org,2005-10-15.
[11] BS7799 Code of Practice for Information Security. British Standards Institution and International Organization for Standardization, 166-169.
[12] Frederick Gallegos.Information Technology Control and Audit,CRC Press LLC,2000.
[13] David Coderre. CAATTs and Other Beasts for Auditors. Global Audit Publications,Vancouver B.C., Canada.1996.
[14] Pennington, Robin Rene. The effects of information overload on information processing and judgment in an information systems audit task [D].University of South Carolina(Ph.D.),2002.
[15]袁小勇、王海洪.计算机审计,首都经济贸易大学出版社,2005.
[16]计算机审计系统国家审计署、中国农业银行联合开发项目组.《金融计算机审计系统大机环境数据迁移方案》,2003年8月.
[17]杨周南、赵纳晖、高宁,信息技术在会计和IT审计实务中的应用,清华人学出版社,2003年.
[18]詹姆斯.A.霍尔(James A.Hall)著;李丹、刘济平译.信息系统审计与鉴证[M],北京:中信出版社,2003.
[19]胡克瑾等编著.IT审计[M],北京:电子工业出版社,2002.
[20]孙强主编.信息系统审计:安全、风险管理与控制[M],北京:机械工业出版社,2003.
[21]中国工商银行内部审计局课题组.COBIT与商业银行的IT审计[J] .中国金融电脑2005(6):28-31.
[22]中国注册会计师协会:独立审计具体准则第20号-计算机信息系统环境下的审计,中国注册会计师:2000(4).
[23]孟秀转.信息系统审计:信息时代审计业务的发展[J].北京联合大学学报,2002(4).
[24]庄明来著.会计电算化研究[M],北京:中国金融出版社,2001.
[25]信息系统审计与控制协会,信息系统审计标准审计章程, http://www.isaca.org/Template.cfm?Section=Simplified_Chinese&CONTENTID=22371&TEMPLATE=/ContentManagement/ContentDisplay.cfm.
[26]COSO企业风险管理-整合框架,来源http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary_Chinese_Simplified.pdf,2005-10-15.
[27]邓少灵.企业IT审计的框架[J]中国审计,2002(1) .
[28]左天祖.中国IT服务管理指南.北京大学出版社2004. 48.
[29]吴沁红著.信息系统审计研究[D].财政部财政科学研究所博士论文,2002.
[30]Jan van Bon著;章斌译.IT服务管理-基于ITIL的全球最佳实践,清华大学出版社,2006.
[31]欧先锦.谈信息系统审计[J].重庆职业技术学院学报2004(4).
[32]周新玲.我国IT审计的发展对策[J].科技进步与对策2004(3).
[33]伊恩.格雷(Lain.Gray),斯图尔特.曼森(Stuart.Manson)著;吕兆德,樊朝晖,吕睿智,李民,朱大庆译.审计流程:原理、实践与案例(第二版)[M],北京:中信出版社,2003.
[34]杨周南主编.会计电算化中级培训教材[M],北京:现代出版社,2003:297.
[35]史蒂文.J.鲁特[美]著,刘霄仑主译.《超越COSO:强化公司治理的内部控制》,中信出版社,2004.
[36]上海证券交易所:《上海证券交易所上市公司内部控制指引》,2006年6月.
[37]深圳证券交易所:《深圳证券交易所上市公司内部控制指引》,2006年9月.
[38]莫勒尔著;刘霄仑等译. SOA与内部审计新规则北京:中国时代经济出版社,2007.1
[39]贝利,格拉姆林,拉姆蒂著.内部审计思想.王光远等译.北京:中国时代经济出版社,2006.1.6
[40]余忠良.从数据采集谈如何搞好计算机辅助审计来源:审计署, http://www.audit.gov.cn/cysite/docpage/c169/200508/0817_169_14239.htm,2005年10月5日
[41]马社亮.浅析联网审计中数据采集接口的设计.来源:审计署, http://www.audit.gov.cn/cysite/docpage/c169/200507/0713_169_14069.htm,2005年10月7日
[42]矫文成,张冬丽.信息系统开中应用ODBC访问不同的数据库.电脑应用技术.2006.参考网站:
[1]美国证券与交易委员会网站http://www.sec.gov
[2]中国证监会指定信息披露网站—巨潮资讯http://www.cninfo.com.cn
[3]上海证券交易所网站http:// www.sse.com.cn
[4]中国国家审计署http://www.audit.gov.cn
[5]中国注册会计师协会http://www.cicpa.org.cn
[6]信息系统审计与控制协会(美国)http://www.isaca.org
[7]美国注册会计师协会http://www.aicpa.org
[8]希赛网http://www.csai.cn
[9]中国IT治理研究中心http://www.itgov.org.cn
[10]中华财会网http://www.e521.com
[11]中国会计视野http://www.esnai.com/
[12]人民网:日本花旗银行出现重大电脑系统故障交易大混乱http://world.people.com.cn/GB/1029/42354/4362794.html 2006年05月11日.
[13]新京报:女员工账户显示俩月工资98亿,余额尚有11亿http://news.sohu.com/20060911/n245263728.shtml 2006年09月11日.
[14]杭州网-每日商报:恶意取款17万被判无期"故障"是ATM机下的套? http://www.chinanews.com.cn/sh/news/2007/12-23/1112336.shtml 2007年12月23日.
[15]“Microsoft blames technicians for massive outage,”CNET News, Jan. 24, 2001.
[16]“RBC blames human error,”GLOBEANDMAIL.com, June 10, 2004.