信息系統(tǒng)審計最早稱為計算機審計，是隨著計算機在財務(wù)會計領(lǐng)域的應(yīng)用而產(chǎn)生的，作為傳統(tǒng)財務(wù)審計業(yè)務(wù)的一種輔助工具，對客戶的電子化會計數(shù)據(jù)進行處理和分析，為財務(wù)報表審計人員提供服務(wù)。

　　隨著信息技術(shù)的不斷發(fā)展，企業(yè)內(nèi)部的信息化程度也越來越高，信息化對企業(yè)各個業(yè)務(wù)環(huán)節(jié)的影響越來越大，企業(yè)在信息化過程中也急需專業(yè)人士提供有效控制信息系統(tǒng)風(fēng)險，提高信息化效益的服務(wù)。與此同時，信息系統(tǒng)審計概念也發(fā)生了變化：信息系統(tǒng)審計是指審計人員接受委托或授權(quán)，收集證據(jù)并評估以判斷一個計算機系統(tǒng)（信息系統(tǒng)）是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整并最有效率地完成組織目標(biāo)的活動過程。它既包括信息系統(tǒng)外部審計的鑒證目標(biāo)——即對被審計單位的信息系統(tǒng)保護資產(chǎn)安全及數(shù)據(jù)完整的鑒證，又包含內(nèi)部審計的管理目標(biāo)——即信息系統(tǒng)的有效性目標(biāo)。

　　一方面，信息系統(tǒng)審計可以促進被審計單位更有效地融入到社會經(jīng)濟生活中，同時促進被審計單位改進內(nèi)部控制、加強管理，提高信息系統(tǒng)實現(xiàn)組織目標(biāo)的效率、效果。

　　另一方面，信息系統(tǒng)審計在審計過程中發(fā)現(xiàn)系統(tǒng)控制缺陷或漏洞，可通過審計報告、管理建議書等形式報告給委托人或被審計單位管理當(dāng)局，并提出解決問題的建議，從而促進被審計單位提高管理水平，提高經(jīng)濟效益。俗話說“不識廬山真面目，只緣身在此山中”。信息系統(tǒng)審計的一個出發(fā)點在于從第三者的角度對被審計單位信息系統(tǒng)進行全面審視，可以發(fā)現(xiàn)系統(tǒng)使用者或系統(tǒng)開發(fā)者看不到的問題。

　　信息系統(tǒng)審計提供的外部審視的價值既表現(xiàn)在用新的思維方式、新的觀點去觀察企業(yè)，分析其存在的問題及原因，也表現(xiàn)在以科學(xué)的態(tài)度和創(chuàng)新精神，去設(shè)計解決問題的方案。

　　工作過程中，我們可以從如下幾個方面進行信息系統(tǒng)審計：

　　1、對系統(tǒng)中所體現(xiàn)的業(yè)務(wù)流程的審計。信息系統(tǒng)是建立在對業(yè)務(wù)流程進行優(yōu)化重組的基礎(chǔ)之上的，只有經(jīng)常對業(yè)務(wù)流程進行風(fēng)險管理和審計，才能使企業(yè)業(yè)務(wù)始終運行于相對較優(yōu)的流程環(huán)境之中。對業(yè)務(wù)流程的風(fēng)險管理審計大體包括以下幾個方面：應(yīng)該在系統(tǒng)中運行的業(yè)務(wù)是否全部通過系統(tǒng)運行；信息是否及時錄入系統(tǒng)；錄入的信息是否真實、準(zhǔn)確；系統(tǒng)運行是否正確，有無系統(tǒng)錯誤；流程是否通暢，有無缺陷或舞弊的可能，能否進行進一步的優(yōu)化；識別、評價和應(yīng)對流程風(fēng)險的效果如何等。

　　2、對關(guān)鍵控制點的審計。企業(yè)信息系統(tǒng)是由采購、倉儲、生產(chǎn)、銷售、財務(wù)、設(shè)備管理、人力資源等多個模塊高度集成起來的，每一模塊都有相應(yīng)的關(guān)鍵控制點，對企業(yè)的生產(chǎn)經(jīng)營起著至關(guān)重要的作用。企業(yè)應(yīng)該加強對關(guān)鍵控制點的風(fēng)險管理審計，關(guān)注以下問題：是否對關(guān)鍵控制點進行了識別，識別是否全面；是否建立了關(guān)鍵控制點的風(fēng)險評價體系；是否建立了關(guān)鍵控制點的預(yù)警機制和應(yīng)對機制；關(guān)鍵控制點的識別、評價、預(yù)警和應(yīng)對機制的適應(yīng)性和有效性如何；控制方法和手段是否可進一步優(yōu)化；有無控制不嚴(yán)或失控的現(xiàn)象和可能等。

　　3、對系統(tǒng)監(jiān)控的審計。信息系統(tǒng)應(yīng)用于企業(yè)的優(yōu)點之一就是對業(yè)務(wù)和績效能夠進行動態(tài)監(jiān)控。系統(tǒng)監(jiān)控功能運用得好，可以極大地降低企業(yè)風(fēng)險；可一旦運用不好，流程上的控制點就會失去控制，風(fēng)險也就會隨之加大。因此，我們有必要對系統(tǒng)監(jiān)控的風(fēng)險管理進行審計，審查和評價企業(yè)及其下屬單位是否利用信息系統(tǒng)進行了業(yè)務(wù)和績效的動態(tài)監(jiān)控、監(jiān)控點及其風(fēng)險如何識別和評價、監(jiān)控的權(quán)威性及其效果如何、發(fā)現(xiàn)問題的處理方式以及應(yīng)對風(fēng)險的效果如何、有無監(jiān)控盲區(qū)或監(jiān)控不力的區(qū)域、監(jiān)控結(jié)果的利用情況如何等。

　　信息系統(tǒng)審計需要信息系統(tǒng)審計師進行，要大力培養(yǎng)信息系統(tǒng)審計師，開展信息系統(tǒng)審計業(yè)務(wù)，有兩支力量可以挖掘：一是傳統(tǒng)的審計師。他們在傳統(tǒng)的財務(wù)報表鑒證業(yè)務(wù)方面具有長久不衰的聲譽和經(jīng)驗，在經(jīng)營慣例、交易處理的完整性、信息保護、內(nèi)部控制的評價與建議方面一直都具有專長。在提供信息系統(tǒng)及電子數(shù)據(jù)質(zhì)量的鑒證與咨詢服務(wù)方面，傳統(tǒng)審計師面臨著很大的挑戰(zhàn)。為適應(yīng)企業(yè)信息化建設(shè)的需要，滿足企業(yè)管理層對審計業(yè)務(wù)的擴展的需要，成為合格信息系統(tǒng)審計師，傳統(tǒng)的審計師需要：（1）提高技術(shù)能力；（2）繼續(xù)維護他們現(xiàn)有的作為相對獨立的、被信任的第三方的角色；（3）學(xué)習(xí)信息技術(shù)、網(wǎng)絡(luò)技術(shù)并將其知識融入傳統(tǒng)的鑒證、咨詢服務(wù)業(yè)務(wù)；（4）必須拓展在系統(tǒng)開發(fā)、系統(tǒng)可靠性、網(wǎng)絡(luò)安全、風(fēng)險確認(rèn)和影響分析等方面的審計業(yè)務(wù)。二是從事信息化咨詢的IT技術(shù)人員。

　　在電子商務(wù)時代，交易大部分是由系統(tǒng)自動完成的，人的參與較少，審計軌跡存在較少，在這種條件下，審計必須穿過信息系統(tǒng)進行。IT技術(shù)人員具備了相應(yīng)的技術(shù)技能：編程知識、系統(tǒng)運營、網(wǎng)絡(luò)技術(shù)、認(rèn)證技術(shù)、防火墻技術(shù)及其他安全技術(shù)等，這對于發(fā)現(xiàn)被審計信息系統(tǒng)及其控制的缺陷等相對較容易。但他們在鑒證、咨詢方面缺乏對管理與內(nèi)部控制認(rèn)識、評價的經(jīng)驗，缺少審計的理論與技能。

　　因此，IT技術(shù)人員從事信息系統(tǒng)審計業(yè)務(wù)，要補充審計理論知識，學(xué)會用審視的目光，關(guān)注信息技術(shù)的效益，從管理控制角度，而非純技術(shù)角度思考問題?，F(xiàn)階段，專業(yè)的信息系統(tǒng)審計師非常少，傳統(tǒng)審計師與IT技術(shù)專家配合進行信息系統(tǒng)審計，也能達到審計效果。但是，隨著信息系統(tǒng)審計專業(yè)的不斷完善發(fā)展，會需要越來越多的能夠獨立完成審計項目的IT審計師，信息化審計將大有發(fā)展。