內容摘要：企業信息化可以提高組織的工作效率和經濟效益，但風險控制不當，也會給企業帶來巨大的損失。因此，必須對企業信息化過程進行風險評估和IT審計。適當的運用IT審計方法、技術和工具，進行企業信息系統的綜合評價，幫助企業控制信息化風險，實現信息系統的高效運作。

　　關鍵詞：企業信息化 IT審計 信息系統

　　在當今競爭激烈和快速變化的商業環境中，企業面臨嚴峻的挑戰，傳統的企業管理模式產生變革，信息技術正在滲透到企業業務環境的各個環節，信息化已經成為企業的中樞，影響到企業的生存與發展。但是，企業信息化在改善企業運作管理水平、提高工作效率的同時，也產生了巨大的風險。除了傳統意義上的經營風險、控制風險和財務風險外，企業信息系統的安全問題，諸如系統的低效使用和頻繁故障，程序的漏洞和黑客的侵犯等都會給企業以重創。而企業信息化又使得企業內部控制環節發生改變，傳統的控制手段失去意義。信息技術對企業的挑戰是空前的，企業決策層需要采用IT審計，進行企業信息系統的綜合評價，幫助企業進行風險管理，迎接信息化的挑戰。

　　企業信息系統的IT審計

　　（一）企業信息系統IT審計的產生

　　為了保證企業信息化過程中的安全，要對信息系統進行IT審計，將信息系統的風險降到最低。“審計”（Audit）起源于會計審計和帳目稽查。隨著第二代晶體管計算機的出現和計算機技術的日益成熟與普及，特別是會計電算化之后，開始出現了IT審計。IT審計是指獨立于審計對象的IT審計師，站在客觀立場，對以計算機為核心的信息系統，從計劃、設計、編程、運行、維護以至淘汰的整個生命周期實施審計，對信息系統的可靠性、安全性和有效性進行檢查和評價，將結果報告給企業的最高領導，并提出問題和建議。IT審計的目的是使企業信息系統有效利用及去除弊病，使信息系統能夠真正為經營者服務，為企業創造價值。

　?。ǘ┢髽I信息系統IT審計的內容

　　企業信息系統的IT審計一般分為信息系統開發過程的審計、信息系統運行維護過程的審計和信息系統生命周期共同業務的審計。一個大型信息系統的開發需要花費企業大量的人力、物力和財力，如果開發不當，投入運行后需要的維護費用通常要超過開發費用，因此，對待系統開發必須慎重。對信息系統開發過程的每個環節跟蹤審計，及時發現并修正每個階段發生的錯誤，從而減輕開發過程中軟件錯誤的積累放大效應，保障整個信息系統的質量。

　　對信息系統開發過程的審計是伴隨著系統規劃、系統分析、系統設計、編碼、測試和系統試運行這幾個階段同步進行的。在信息系統運行維護階段，信息系統已經建立起來，但是一個信息系統的成功不僅包括成功的系統開發，同時也包括對信息系統正確良好的操作和維護，使其保持最佳的運行狀態，只有對信息系統進行正確操作和維護才能保證信息系統真正實現其最初的設計目標，以最高的效率提供服務。與系統開發階段不同，運行維護階段更加側重于從系統的實際運行、維護狀況和用戶對系統的運行管理方面進行IT審計。

　　信息系統運行過程中的審計包括系統輸入審計、通信過程審計、處理過程審計、數據庫審計、系統輸出審計和運行管理審計；信息系統維護過程中的審計包括維護組織審計、維護順序審計、維護計劃審計、維護實施審計、維護確認審計、改良系統試運行審計和舊信息系統報廢審計。

　　IT審計還需要按照信息系統的生命周期展開，作為一種外部監督和控制手段，在系統開發之初參與進來，并貫穿于系統分析、系統設計、系統開發、系統測試、系統運行和維護各個階段。而這些階段有一些相同的業務，如人員的管理、文檔的管理、進度的管理、委托業務的管理和災難對策等，都需要對這些業務進行IT審計。按照共同業務審計的內容和原則，生命周期共同業務審計分為文檔管理審計、信息系統進度管理審計、信息系統人員管理審計、信息系統委托業務管理審計、災難恢復審計等內容如圖1所示。

　　IT審計的方法、技術和工具

　　IT審計方法、技術和工具是IT審計的重要組成部分。企業信息系統從功能、應用環境、規模到開發方式等方面存在多樣性和復雜性，IT審計難度很大，對審計師提出了嚴峻的挑戰，面對錯綜復雜的信息系統和審計環境，審計師常常要用到許多種方法、技術和工具來幫助他們完成審計工作。常規的審計方法包括面談法、問卷調查法、系統評審會、流程圖檢查、程序代碼檢查、程序代碼比較和測試等。但在高度計算機化的信息系統中，只采用常規審計法顯然是不夠的，無論是審計證據的收集、評價，還是實現審計工作的現代化，都需要借助計算機來高效完成。計算機輔助審計技術與工具CAAT（Computer Assisted Audit Techniques & Tools）使審計人員有了一種能有效地提高審計效率的工具，即審計人員可以使用各種CAAT軟件進行符合性測試和實質性測試。CAAT軟件大致上可以分為三類：項目測試輔助軟件、系統測試輔助軟件和系統模擬軟件。

　　項目測試輔助軟件是審計人員為完成個別的審計項目的測試而編制使用的CAAT軟件，幫助審計人員進行抽樣審計的樣本抽取、計算、分析和評價等。

　　系統測試輔助軟件是審計人員為完成的企業信息系統而編制使用的CAAT軟件。這些軟件一般包括兩種類型，一種是對比測試軟件，即審計人員從企業信息系統中的原始數據中抽取一個樣本數據，將樣本數據輸入到與企業信息系統類似的CAAT軟件中進行處理，把CAAT軟件的結果與企業信息系統產生的結果進行對比分析，以判定企業信息系統的可靠性、安全性；另一種是將用于測試的CAAT軟件鏈接到企業信息系統中，審計人員輸入一些特別準備的測試數據，由企業信息系統進行處理，并將處理結果轉移到CAAT軟件的一個測試文件中去，審計人員檢查這一測試文件是否符合預期的結果，從而判斷企業信息系統的可靠性、安全性。系統測試輔助軟件也可以把兩種類型的CAAT軟件結合在一起使用。

　　系統模擬軟件是審計人員運用已建立的數學模型在計算機上對企業的經營活動進行模擬，以判斷企業經營活動可能應產生的結果，從而審查企業各項措施、決策的有效性和合理性。審計人員也可以模擬企業日常經營活動，并將模擬結果與企業實際成果進行比較分析，找出存在的差異，分析差異產生的原因。系統模擬軟件一般用于經濟效益審計或企業內部審計。

　　在實際工作中，審計師可以根據被審計組織及信息系統的實際情況，結合審計目標、成本效益、審計小組的人員和設備配置情況、工作能力或工作習慣等，來選擇合適的IT審計方法、技術和工具，同時盡可能綜合應用，優勢互補，提高審計效率。

　　IT審計在企業信息系統中的應用

　　IT審計為企業信息系統的有效管理提供了一系列詳細的審計方法，對企業信息系統進行審計時，審計師需要對信息系統的整體效能進行綜合評估，進一步整體全面地評價企業信息系統目標實現的充分程度以及企業的收益程度。

　　對信息系統整體效能進行綜合評估的主要評價項有：信息系統是否實現其設計目標，是否需要廢置或繼續，是否需要進行某些方面的修改以便更好地實現目標；信息系統開發過程是否合理，是否需要借此改善系統開發標準，系統開發人員可以獲得更好的開展工作的反饋；信息系統是否能使管理更新，形成信息時代的經營管理；信息系統是否使管理組織體系發生根本改觀，即高度集中又機動靈活，提高了合理性和科學性；信息系統是否能使組織真正面向市場并組織生產和經營，并使規模生產轉變為敏捷生產成為可能；信息系統是否能使組織交流靈活，使原本僵化的部分劃分得到改善，跨越傳統部門界限形成團隊合力；信息系統是否提高了組織員工的工作效率和質量，提供了員工的向心力；信息系統是否改善了組織與市場和客戶緊密相連的手段和可能；信息系統是否成為組織核心競爭力的主要組成，是組織獲得競爭優勢的工具；信息系統是否有效降低了企業成本（尤其是時間成本），提高了企業效益。

　　信息化時代，企業運營需要依賴各種信息系統，IT審計可以避免信息系統的盲目開發和頻發故障給企業帶來的巨大損失。IT審計作為企業信息化過程中的重要環節，可以高效管理與企業信息系統開發、運行、維護及在整個生命周期中共同業務的相關風險，確保信息系統的安全。企業信息系統進行IT審計，客觀評價系統實現其目標的完成程度和企業的收益程度，并對系統的實施和風險加以控制。IT審計對企業信息系統整體效能提升影響顯著，是企業信息化的可靠保證。

　　參考文獻：

　　1.胡克瑾.IT審計[M].電子工業出版社，2004

　　2.郭順利，楊小虎.COBIT控制目標體系研究及在電子政務中的應用[J].計算機工程與設計，2004

　　3.胡克瑾.IT治理在電子政務中的應用[J].中國計算機用戶，2006