（撰稿：崔颖，摄影：刘荣光）什么是信息系统审计？信息系统审计是获取并评价证据安全，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标的过程。

为什么要进行信息系统审计？目前的审计准则要求审计人员对企业，尤其是互联网企业进行信息系统审计，而且被审计单位对信息系统的内部控制与使用对审计人员的审计方法和审计测试中采用的技术产生了影响。

怎样进行信息系统审计呢？首先，审计人员要对被审计单位的整体环境进行了解；其次，应当了解被审计单位的信息系统风险，例如程序数据的访问有没有受到合理限制、自动控制或程序是否合理设计或有效运行；然后，应当了解企业风险应对体系，一般被审计单位的风险应对体系分为三个层次——一般控制、应用控制、数据审计，一般控制主要包括程序开发、程序变更、数据和程序的访问以及计算机系统的日常运维，应用控制包括系统自动化控制、系统自动计算、权限管理、职责分离等；审计人员经过一系列的信息系统了解工作之后，再进行审计范围和审计方法的选择，从而执行审计工作。

   刘梅玲老师以“光大乌龙指”事件为例，来讲述当企业的信息系统存在问题时会产生的问题。

1.“乌龙指”事件经过

2.事件发生的原因

（1）内控方面的问题：①光大银行在开发系统时，职位安排没有遵循不相容岗位相分离的原则。光大证券开发策略交易系统时，由策略投资部交易员提出需求，由程序员一人进行开发和测试。当策略交易系统的测试与开发工作由同一人完成时，就增加了软件系统可靠的风险。这属于光大银行内部控制流程中存在的问题；②交易员越过程序员直接进行业务操作。8月16日上午9点41分，交易员分析判断180ETF出现套利机会，因此需要通过策略交易系统进行下单，但是使用系统进行下单的过程中部分交易没有实现，之后，交易员想通过系统的“重下”功能对未交易成功的股票进行补单，在请教程序员操作流程的过程中，程序员远程操控了交易员的电脑，越过交易员的操作权限直接按下“重下”按钮。

（2）信息系统存在的问题：程序员在开发软件时，编码出现错误。订单生成系统中ETF 套利模块的“重下”功能（用于未成交股票的重新申报）中将“买入个股函数”写成了“买入ETF一篮子股票”函数；订单执行系统错误地将市价委托订单的股票买入价格默认为“0”，系统对市价委托订单是否超出账户授信额度不能进行正确校验。前者使得交易员在交易时，一旦按下“重下”按钮，就会发生交易错误。后者使得交易员发出下单指令后，就算客户账户中为“零余额”，交易依然会顺利发生。

3.课堂讨论

    刘老师在讲解完光大乌龙指事件中暴露出来的信息系统建设和风险点后，提出了如何对企业的信息化建设开展审计的疑问，同学们也都踊跃进行发言。

    有同学认为，审计人员在开展审计之前首先需要了解企业的整体IT环境，查看企业在一般控制层面是否存在问题，如对于账号的管理是否合规，是否满足不相容职位相分离的要求，相关人员的账号权限是否合规等；其次，在风险评估环节，审计人员应该查看IT部门的长期发展战略、阶段总结、部门计划等是否与企业自身的整体发展战略一致。

    还有同学提出审计人员应该查看IT部门的内部会议纪要以及IT部门与业务部门的沟通纪要，查看企业的信息与沟通是否顺畅，业务部门进行操作时遇到的问题是否得到及时解决，处理器的性能是否能跟上企业的业务处理。

    其他同学也提出，审计人员在进行信息系统审计时，需要关注操作软件的操作日志，而且查看企业的操作日志是否不能被任何人修改。

4.校外导师——吴笑凡老师的看法

    吴老师就职于审计署驻南京特派员办事处，对于信息系统审计工作有多年的实践经验。他提出，目前我国的信息系统审计现状是：无法追随最先进的系统审计国际标准进行审计工作，一方面是由于我国的人员、技术、时间、经费等资源限制了审计工作的展开，另一方面，就我国当前的审计目标来看没有必要进行全面审计，但也不能因此不进行技术改革与创新，既需要有国际理论的指导，又需要量力而行，把能做的工作做好。

    他以保险公司信息系统审计为例，指出信息系统审计重点内容主要为应用控制和一般控制。在应用控制层面，主要运用数据分析、前台观察及测试、访谈等方法对系统的新契约录入控制的完整性和有效性，核保、保全、理赔和收付费处理控制的合规性和有效性，系统与银行、其他信息系统接口控制的可靠性与有效性进行审计；在一般控制层面，采用查阅资料、访谈、抽查、实地检查、发放调查问卷等方法，对信息技术管理制度的完备性和落实情况、运行和管理中存在的风险和问题、资产管理及安全性问题、服务管理的满意度及有效性、数据中心建设情况进行审计。