1. 信息系统审计简介

 

现代各行各业都要进行信息审计，以便国家进行宏观调控，也便于企业领导制定下一步规划。信息系统审计没有统一的概念，不同的学者从不同的角度解释，但每个人都认识到ISACA对信息系统审计的定义，即信息系统审计是一个过程，在此过程中，相关人员需要获得证据，评估证据，根据判断计算机软件中的数据是否真实可靠，记录的资产是否安全等。信息系统审计主要包括三个方面：一是真实性审计，主要目的是补充传统审计，确保财务管理的真实性和准确性，避免虚假账户；二是安全审计，针对信息启动和资产，避免信息系统问题，给企业带来业务风险；最后，绩效审计针对投入和产出。事实上，这三个方向的审计都是根据审计目标的要求对证据进行综合评价，最终得到相应的评价结果。信息系统审计的目标是确保数据的真实性、合法性和可靠性，以确保信息系统的安全性、保密性和可用性。审计目标贯穿于审计工作，是每个内部审计人员都应遵循的标准。

 

2. 现阶段铁路信息系统全生命周期审计现状

 

2.1 许多信息系统的整个生命周期审计只是事后审计

 

许多铁路信息系统审计人员不注意事先和事中的审计，而是注意事后的审计，因此很难发现和解决问题。目前，我国在铁路信息系统审计方面，审计工作通常在信息系统建设完成后进行，尤其是绩效和专项审计，这是事后审计。虽然事后审计也很重要，但仅仅依靠事后审计肯定会导致审计不全面，即使在审计过程中发现问题，也很难追溯到源头，可能会影响整个项目。但是，如果能提前和事中进行审计，发现问题后可以立即处理，不会对整个项目造成太大影响。

 

2.2 不重视信息系统运行维护期间的审计工作

 

由于受信息系统固有特征的影响，在整个生命周期内存在很大的安全隐患。调查显示，这些隐患通常发生在操作和维护期间。信息系统的产生、开发和灭亡是一个整个生命周期。与其他行业最大的区别在于，信息系统投入使用后，工作人员仍然需要从事大量工作，以便随时纠正软件错误，确保信息系统能够随时随地满足社会需求。相关数据显示，铁路信息系统维护期间成本几乎达到整个项目的一半，但纠正和修改会影响信息系统的安全，对铁路运行风险较大。因此，做好信息系统运维期间的审计工作是非常必要的，既能节约成本，又能提高信息系统软件的使用寿命。

 

2.3 系统化程度不高

 

信息系统审计所采用的技术并不专业，因此许多内部审计人员在规定的审计时间内没有发现特别有价值的东西。目前，我国铁路企业使用的信息系统一般为大型网络数据库系统，不仅规模大，而且设计程序非常复杂，审计人员难以找到有效的信息数据。同时，铁路信息系统在应用前进行检测，正常运行环境难以发现安全漏洞。但在铁路信息系统项目审计中，部分项目未投产，无法检测，内部审计人员难以发现安全漏洞。

 

3. 结语

 

讨论铁路信息系统的全生命周期审计是非常必要的，因为我国早期使用的铁路信息系统在设计、开发和维护方面都存在很大的问题。经过全生命周期审计，可以防止许多问题，对促进我国铁路事业的发展发挥积极作用，也有利于我国铁路公司信息技术的应用。