國(guó)家審計(jì)中信息系統(tǒng)審計(jì)相關(guān)準(zhǔn)則的探討

字號(hào):

如同開(kāi)展業(yè)務(wù)審計(jì)要具有相關(guān)法律法規(guī)作為審計(jì)依據(jù)一樣,開(kāi)展信息系統(tǒng)審計(jì)同樣需要審計(jì)依據(jù)。國(guó)內(nèi)信息系統(tǒng)審計(jì)方面的工作近幾年才剛剛開(kāi)始,基本仍處于摸索階段,而在國(guó)家審計(jì)中更是如此。目前,由于國(guó)內(nèi)關(guān)于信息系統(tǒng)審計(jì)方面的標(biāo)準(zhǔn)尚處于空白狀態(tài),在國(guó)家審計(jì)中開(kāi)展信息系統(tǒng)審計(jì)時(shí),主要以國(guó)際公認(rèn)的相關(guān)信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)為依據(jù),同時(shí)積極參考我國(guó)相關(guān)法律法規(guī)來(lái)進(jìn)行。
     目前,國(guó)際上關(guān)于信息系統(tǒng)審計(jì)方面可以參考的標(biāo)準(zhǔn)主要有信息及相關(guān)技術(shù)控制目標(biāo)COBIT(Control Objectives for Information and related Technology)、ISO17799、能力成熟度集成模型CMMI(Capability Maturity Model Integration)和IT基礎(chǔ)架構(gòu)庫(kù)ITIL(Information Technology Infrastructure Library)等。
    COBIT是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA(Information System Audit and Control Association)于1996年公布的目前國(guó)際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)。它是一個(gè)在國(guó)際上公認(rèn)為最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn),目前已經(jīng)更新至第四版。它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問(wèn)題之間架起了一座橋梁,以滿(mǎn)足管理的多方面需要。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用,指導(dǎo)這些組織有效利用信息資源,有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。
     COBIT將IT 過(guò)程,IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來(lái),形成一個(gè)三維的體系結(jié)構(gòu)。其中,IT準(zhǔn)則維集中反映了企業(yè)的戰(zhàn)略目標(biāo),主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來(lái)保證信息的安全性、可靠性、有效性; IT資源維主要包括以信息、應(yīng)用系統(tǒng)、設(shè)施及人在內(nèi)的信息相關(guān)的資源,這是IT治理過(guò)程的主要對(duì)象;IT過(guò)程維則是在IT準(zhǔn)則的指導(dǎo)下,對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理,從信息技術(shù)的規(guī)劃與組織、獲取與實(shí)施、交付與支持、監(jiān)督與評(píng)估等四個(gè)方面確定了34個(gè)信息技術(shù)處理過(guò)程,每個(gè)處理過(guò)程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針以對(duì)IT處理過(guò)程進(jìn)行評(píng)估。
     COBIT真正關(guān)注的問(wèn)題是一個(gè)企業(yè)是否具備適當(dāng)?shù)目刂屏Γ源_保其符合相關(guān)的管理規(guī)定。它可以幫助企業(yè)確定他們是否正在做他們想要做的事,以及他們是否可以證明這一點(diǎn)。例如,如果一家企業(yè)聲稱(chēng)可以通過(guò)登錄過(guò)程保證用戶(hù)進(jìn)入其數(shù)據(jù)中心的安全性,它就可以出示某一時(shí)段基于COBIT的完整日志。同時(shí),通過(guò)使用COBIT標(biāo)準(zhǔn)可以使企業(yè)檢查ITIL的執(zhí)行情況,以確保企業(yè)正確應(yīng)對(duì)經(jīng)營(yíng)活動(dòng)中存在的風(fēng)險(xiǎn)。
     ISO17799出自英國(guó)國(guó)家標(biāo)準(zhǔn)局制定的BS7799-1《信息安全管理實(shí)踐規(guī)范》,該規(guī)范于2000年12月被國(guó)際標(biāo)準(zhǔn)化組織采納,成為ISO17799。我國(guó)也即將采用BS7799-1使其成為CNS17799,因此在國(guó)內(nèi)采納BS7799-1是適宜的。 BS 7799-1包含100多個(gè)安全控制措施來(lái)幫助組織識(shí)別在運(yùn)做過(guò)程中對(duì)信息安全有影響的元素。這100多個(gè)控制措施被分成10個(gè)方面,成為組織實(shí)施信息安全管理的實(shí)用指南,這十個(gè)方面分別是:方針、安全組織、信息分類(lèi)與控制、人事安全、物理與環(huán)境安全、通信與運(yùn)營(yíng)安全、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維護(hù)、商務(wù)可持續(xù)運(yùn)營(yíng)、法律符合等。
     2005年,ISO發(fā)布了新版的信息安全管理實(shí)施細(xì)則,即ISO/IEC17799-2005,對(duì)2000年版的標(biāo)準(zhǔn)進(jìn)行了修訂,更加注重標(biāo)準(zhǔn)的通用性和實(shí)用性。實(shí)施證明:ISO/IEC17799關(guān)于信息安全策略,資產(chǎn)管理,薄弱點(diǎn)、故障、事故的管理,業(yè)務(wù)連續(xù)性管理方面都為組織提供了很好的實(shí)踐指南。實(shí)施信息安全管理體系的組織在樹(shù)立了風(fēng)險(xiǎn)管理的理念后,不論在組織的IT治理還是信息系統(tǒng)安全性上都有顯著的提升。
     ISO17799標(biāo)準(zhǔn)所建立的實(shí)踐標(biāo)準(zhǔn)不但可以用來(lái)確保在信息系統(tǒng)故障或發(fā)生其他中斷時(shí),業(yè)務(wù)能夠持續(xù)運(yùn)行,而且能夠控制對(duì)數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn),保護(hù)信息的機(jī)密性和完整性,防止對(duì)業(yè)務(wù)設(shè)施的非授權(quán)訪問(wèn),同時(shí)還能保證系統(tǒng)符合相關(guān)的管理規(guī)定。事實(shí)上,ITIL的安全管理指導(dǎo)方針就是建立在ISO 17799標(biāo)準(zhǔn)之上的。
     CMMI于1991年由卡內(nèi)基梅隆大學(xué)軟件工程協(xié)會(huì)發(fā)布。早期的CMMI1.02版本是應(yīng)用于軟件業(yè)項(xiàng)目的管理方法,而CMMI1.1版本已經(jīng)演進(jìn)為一種為軟件開(kāi)發(fā)、系統(tǒng)工程及研發(fā)提供流程改進(jìn)指導(dǎo)的框架,其專(zhuān)業(yè)領(lǐng)域已覆蓋軟件工程、系統(tǒng)工程、集成產(chǎn)品開(kāi)發(fā)和系統(tǒng)采購(gòu)等。CMMI雖然源于美國(guó),但在世界各地得到了廣泛的推廣與接受。在日本、歐洲、臺(tái)灣、印度等地都有很多企業(yè)在推廣與應(yīng)用CMMI模型,尤其在印度CMMI的應(yīng)用甚至超過(guò)了美國(guó)。有專(zhuān)家預(yù)測(cè)在未來(lái)的幾年內(nèi),CMMI將成為ISO9000之后的又一個(gè)國(guó)際上普遍接受的標(biāo)準(zhǔn)。
     CMMI框架通常被用來(lái)提高產(chǎn)品和服務(wù)質(zhì)量,加快開(kāi)發(fā)效率以及降低與開(kāi)發(fā)項(xiàng)目相關(guān)的風(fēng)險(xiǎn)。CMMI具有5個(gè)不同的“成熟度”級(jí)別,分別是完成級(jí)、管理級(jí)、定義級(jí)、量化管理級(jí)和優(yōu)化極,每個(gè)級(jí)別都代表著一套企業(yè)在實(shí)施流程改進(jìn)時(shí)所必須的實(shí)踐標(biāo)準(zhǔn)。
     CMMI目前有兩種不同的實(shí)施方法,分別是連續(xù)式模式和階段式模式。連續(xù)式模式主要衡量一個(gè)企業(yè)的項(xiàng)目能力。企業(yè)在接受評(píng)估時(shí)可以選擇自己希望評(píng)估的項(xiàng)目來(lái)進(jìn)行評(píng)估。因?yàn)槭瞧髽I(yè)自己挑選項(xiàng)目,其評(píng)估通過(guò)的可能性就較大一點(diǎn)。但是,它反映的內(nèi)容也比較窄,它僅僅表示企業(yè)在該項(xiàng)目或類(lèi)似項(xiàng)目的實(shí)施能力達(dá)到了某一等級(jí);階段式模式則主要衡量一個(gè)企業(yè)的成熟度,也就是企業(yè)在項(xiàng)目實(shí)施上的綜合實(shí)力。企業(yè)在進(jìn)行評(píng)估時(shí),一定要由評(píng)估師來(lái)挑選企業(yè)內(nèi)部的任何項(xiàng)目,甚至于任何項(xiàng)目的任何部分。一般地講,一個(gè)企業(yè)要想在階段性評(píng)估中得到三級(jí),其企業(yè)內(nèi)部的大部分項(xiàng)目要達(dá)到三級(jí),小部分項(xiàng)目可以在二級(jí),但絕不能夠有一級(jí)。
     ITIL是英國(guó)中央計(jì)算機(jī)和電信局CCTA(現(xiàn)在已并入英國(guó)商務(wù)部)于80年代中期為了提高政府部門(mén)IT服務(wù)的質(zhì)量和管理水平而開(kāi)發(fā)的規(guī)范化、財(cái)務(wù)計(jì)量化的IT資源管理方法論,基于保潔、匯豐銀行、美孚等諸多全球知名企業(yè)和政府關(guān)鍵業(yè)務(wù)的IT服務(wù)和運(yùn)維管理經(jīng)驗(yàn),目前已經(jīng)成為國(guó)際IT服務(wù)管理領(lǐng)域事實(shí)上的標(biāo)準(zhǔn)。
     在它的最新版2.0中,ITIL主要包括六個(gè)模塊,即業(yè)務(wù)管理、服務(wù)管理、信息通訊技術(shù)ICT基礎(chǔ)架構(gòu)管理、IT服務(wù)管理規(guī)劃與實(shí)施、應(yīng)用管理和安全管理。其中,服務(wù)管理是其最核心的模塊,這個(gè)模塊一共包括了10個(gè)流程和一項(xiàng)職能,這些流程和職能又被歸結(jié)為兩大流程組,即“服務(wù)提供”流程組和“服務(wù)支持”流程組。其中,服務(wù)支持流程組歸納了與IT管理相關(guān)的一項(xiàng)管理職能及5個(gè)運(yùn)營(yíng)級(jí)流程,即事故管理、問(wèn)題管理、配置管理、變更管理和發(fā)布管理;服務(wù)提供流程組歸納了與IT管理相關(guān)的5個(gè)戰(zhàn)術(shù)級(jí)流程,即服務(wù)級(jí)別管理、IT服務(wù)財(cái)務(wù)管理、能力管理、IT服務(wù)持續(xù)性管理和可用性管理。
     通過(guò)上面的介紹可以看出,COBIT提供了對(duì)數(shù)據(jù)、IT系統(tǒng)和相關(guān)風(fēng)險(xiǎn)進(jìn)行控制所需的參數(shù)框架;ISO 17799是適用于業(yè)務(wù)連續(xù)性、訪問(wèn)控制、遵從性以及其他領(lǐng)域的安全標(biāo)準(zhǔn);CMMI側(cè)重于軟件開(kāi)發(fā)、系統(tǒng)工程、研發(fā)及其他活動(dòng)中的流程改進(jìn);而ITIL則是IT服務(wù)管理的實(shí)踐標(biāo)準(zhǔn)。在當(dāng)前國(guó)家審計(jì)中開(kāi)展信息系統(tǒng)審計(jì)時(shí),我們可以主要參考COBIT和ISO17799標(biāo)準(zhǔn)。如在信息系統(tǒng)審計(jì)中,可以采用ISO17799作為內(nèi)部安全框架的實(shí)施與審計(jì)標(biāo)準(zhǔn),采用COBIT作為內(nèi)部詳細(xì)控制的實(shí)施與審計(jì)標(biāo)準(zhǔn)。
     國(guó)內(nèi)目前關(guān)于信息系統(tǒng)審計(jì)的依據(jù)主要有修訂后的《中華人民共和國(guó)審計(jì)法》、國(guó)辦發(fā)【2001】88號(hào)文件《國(guó)務(wù)院辦公廳關(guān)利用計(jì)算機(jī)信息系統(tǒng)開(kāi)展審計(jì)工作有關(guān)問(wèn)題的通知》等。如修訂后的審計(jì)法在第三十一條規(guī)定,審計(jì)機(jī)關(guān)有權(quán)要求被審計(jì)單位按照審計(jì)機(jī)關(guān)的規(guī)定提供預(yù)算或者財(cái)務(wù)收支計(jì)劃、預(yù)算執(zhí)行情況、決算、財(cái)務(wù)會(huì)計(jì)報(bào)告,運(yùn)用電子計(jì)算機(jī)儲(chǔ)存、處理的財(cái)政收支、財(cái)務(wù)收支電子數(shù)據(jù)和必要的電子計(jì)算機(jī)技術(shù)文檔;在第三十二條規(guī)定,審計(jì)機(jī)關(guān)進(jìn)行審計(jì)時(shí),有權(quán)檢查被審計(jì)單位的會(huì)計(jì)憑證、會(huì)計(jì)賬簿、財(cái)務(wù)會(huì)計(jì)報(bào)告和運(yùn)用電子計(jì)算機(jī)管理財(cái)政收支、財(cái)務(wù)收支電子數(shù)據(jù)的系統(tǒng)等。這些法律法規(guī)的出臺(tái)提供了審計(jì)部門(mén)對(duì)被審計(jì)單位信息系統(tǒng)開(kāi)展審計(jì)工作的依據(jù)。
     上面的法律法規(guī)只是給了我們開(kāi)展信息系統(tǒng)審計(jì)的法律保證,至于具體的審計(jì)依據(jù),則要在具體的信息系統(tǒng)審計(jì)項(xiàng)目中,以財(cái)政部1996年發(fā)布的《獨(dú)立審計(jì)具體準(zhǔn)則第20號(hào)——計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》和該行業(yè)的相關(guān)法律法規(guī)作為實(shí)際的審計(jì)依據(jù)。如在金融審計(jì)中,對(duì)銀行信貸業(yè)務(wù)系統(tǒng)開(kāi)展審計(jì),就要參考《中華人民共和國(guó)公司法》、《中華人民共和國(guó)擔(dān)保法》、《中華人民共和國(guó)票據(jù)法》、《中華人民共和國(guó)商業(yè)銀行法》、《貸款通則》、《汽車(chē)貸款管理辦法》、《個(gè)人住房貸款管理辦法》、《不良貸款認(rèn)定暫行辦法》、《某某銀行貸款業(yè)務(wù)操作規(guī)程》、《某某銀行信貸業(yè)務(wù)基本規(guī)程》等法律法規(guī)作為具體的審計(jì)依據(jù)來(lái)對(duì)相關(guān)審計(jì)事項(xiàng)進(jìn)行檢查和評(píng)估。