程继冉　刘春萌

[摘要]随着信息化的飞速发展，企业管理对信息系统的依赖度极大提高，对如何有效地管理和控制信息系统的安全性、可靠性、有效性和功能完善性的研究开始被人们关注。通过对高速公路运营管理企业信息系统审计的探索研究，充分认识企业管理中信息系统审计的意义与作用、范围和内容，探索研究符合高速公路管理特点的信息系统审计体系和方法，对实现高速公路运营管理企业的效益最大化至关重要，对推动其他行业企业管理中信息系统审计研究有着重要意义。

[关键词]信息系统审计 企业运营管理

中图分类号：F239文献标识码：A文章编号：1671－7597（2009）0320024－01

一、企业管理中信息系统审计的意义与作用

信息系统审计（Information System Audit简称IS审计）属于内部审计的一部分，是利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价并提出改进意见的过程，以降低企业日益面临的信息系统风险，使得企业IT目标与业务目标保持一致并有效地发挥资源优势，从而确保信息系统为企业提供增值效益服务。

随着信息技术的飞速发展，高速公路“省域联网一卡通”、“不停车收费”、“POS刷卡交费”、“全程监控”等先进的信息技术已在高速公路管理中得以广泛应用，高速公路信息系统已实现网络大型化、信息自动化。为此，企业需要定期对自身的信息系统进行全面和有效的审计，从而有效的控制因此导致的各种信息风险，如信息一致性风险、信息相关性风险和信息安全风险等。开展信息系统审计，提高控制信息风险的能力，对日益信息化的高速公路管理有着积极的意义。

高速公路管理中信息系统审计的作用主要有两方面：一是鉴证作用。信息系统审计的鉴证价值指通过审计，合理地保证信息系统及其处理、产生的信息的真实性、完整性与可靠性，政策遵循的一贯性。这主要体现在高速公路收费管理中，对于高速公路不同路段分属不同管理组织而产生拆账业务的收费系统、“POS刷卡交费”系统、ETC不停车收费系统等尤其重要。二是促进作用。指通过信息系统审计可以促进企业改进内部控制，加强管理，提高信息系统实现企业目标的效率、效果。在高速公路管理中体现在通过IS审计，检查IT目标与业务目标是否一致，资源是否得以充分利用，以提高信息系统的运行效益，实现企业资产的保值增值。

二、企业管理中信息系统审计的范围及内容

信息系统审计范围囊括与信息系统有关的所有领域，例如对企业的信息系统审计（主要集中在对信息技术的管理控制）、技术方面的信息系统审计（包括架构、数据中心、数据通信等）、应用的信息系统审计（包括经营、财务）、开发实施信息系统审计（包括需求识别、设计、开发以及实施后阶段）和信息系统是否符合国家或国际标准的审计以及电子签名审计业务等电子商务审计。

高速公路管理中的信息系统审计目前还处于探索阶段，应该加快这一研究。从高速公路管理中信息系统的业务功能以及IS审计的范围分析，高速公路管理中的IS审计主要包含以下内容：

1．系统规划设计阶段审计。高速公路管理中所应用的信息系统是为满足管理需求而量身定做的，在规划设计阶段进行审计，是为检查规划目标与需求目标是否相符，检查系统架构与发展战略、政策是否相符，评估技术、资源及相关标准等实施条件是否满足设计方案而进行的事前审计，是保证系统可行性、有效性的重要审计。

2．系统建设运营阶段审计。该阶段的审计主要是审计检查信息系统技术基础平台中软硬件的性能、兼容性、功能测试与系统设计要求是否一致，确保企业的IT目标满足业务需求，检查评估系统运行所可能面临的安全风险及系统灾难恢复与保证业务连续性的能力，对企业在保护系统安全、加强控制、预防内部员工的疏忽和外部黑客的入侵等方面的制度管理提供改进意见，是保证系统安全性、可靠性、功能完善性的重要审计。

3．关键系统的重点审计。高速公路管理信息系统大致包括通信、监控、收费、OA办公、财务结算等子系统。其中，收费系统与财务结算系统是高速公路管理中的关键系统，必须严格确保信息数据的真实可靠。

三、企业管理中信息系统审计的体系建设和方法

信息系统审计的目标是对被审计信息系统可靠性、安全性和有效性作出鉴证并得出结论，其对象是被审计的信息系统。信息系统审计的方法较多，也有传统的审计方法可以借鉴，高速公路管理中信息系统审计应结合自身信息系统的特点及实现的业务功能选取方法。

1．全面审计，也称系统检查。是一种常规的例行审计，每年或半年一次对信息系统进行全面的审计，通过符合性测试对信息系统进行全方位的检查和评价，评估系统的运行状况，向管理层和专业部门提出改进建议。高速公路信息系统包括多个子系统，内容复杂，系统庞大，同时随着高速公路通车里程的增加，信息系统也会随之扩容。利用全面审计方法，通过符合性测试进行系统检查评价，可以对优化信息系统结构，提高信息系统运行稳定性提供建议。

2．专项审计。专项审计是针对信息系统管理的某一方面或某一子系统进行的专门审计，可根据实际需要有选择的进行。如对高速公路信息系统中的监控系统进行部分功能性专项审计，可以对该系统在交通疏导、异常事件处置、应急指挥等安全管理中的运行情况进行评价、鉴定，提出管理建议和改进措施，对系统是否需要升级、改造等提出建设性意见。

3．风险评估。信息系统在运行过程中会面临各种各样的安全威胁，有来自组织内部的管理疏忽也有外部的非法入侵，还可能是系统本身潜在的逻辑错误带来的。风险评估管理就是对重要的威胁运用安全控制措施加以应对，并在威胁与影响之间达到成本效益平衡。风险评估是提高信息系统自身技术安全系数的重要IS审计方法。

4．数据检测法。在符合性测试或实质性测试阶段可以使用数据检测法进行连续跟踪审计。通常设计好一批检测数据，并对检测数据进行特殊的标记，在被审计系统中进行处理，与预期结果进行比较。运用数据检测法，适宜采用连续跟踪审计，抽样审计不易发现潜在的逻辑错误和风险。

5．S内部控制审计。也称IS治理，是在审计过程中对信息系统内部控制进行审计，通常运用实地观察、座谈、审核系统的文档资料等方法，然后用流程图法对内部控制进行描述，用测试法对内部控制进行评价。

四、结束语

信息系统在企业管理中的应用不仅提高了企业的管理与服务水平，而且获得了巨大的经济和社会效益，信息系统已成为企业非常重要的资产。研究企业管理中的信息系统审计，旨在加强对信息系统安全与风险的控制，最大限度地提高信息系统资源的利用率，确保信息系统这一重要资产的保值增值，提高企业的投资、管理及经营效率效益，帮助企业获取持续性的更大效益，加快这一研究势在必行。

参考文献：

[1]刘宝岭，信息系统审计实务手册[M].北京，2006.

[2]王进波，信息系统审计：现状及发展对策[J].财政监督，2008 第4期.