信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的目標得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。隨著計算機及網(wǎng)絡技術的迅速發(fā)展，審計機關要想完成“全面審計，突出重點”的審計目標，擔負起社會經(jīng)濟運行的“免疫系統(tǒng)”作用，就必須加快信息系統(tǒng)審計的步伐。為此，筆者認為，審計機關要開展好信息系統(tǒng)審計，就必須把握重點，加強組織，制定措施，積極推進。

　　一、開展信息系統(tǒng)審計應把握的重點

　　1、信息系統(tǒng)審計的目標和內(nèi)容

　　信息系統(tǒng)審計目標：信息系統(tǒng)審計不僅要對系統(tǒng)信息的合法性、公允性進行審計，還要對信息系統(tǒng)的硬件和軟件，以及整個信息系統(tǒng)的安全性、穩(wěn)定性、內(nèi)部控制的健全性與有效性等方面進行審計，指出被審計單位信息系統(tǒng)內(nèi)部管理和控制上的薄弱環(huán)節(jié)，提高其信息系統(tǒng)的可靠性和真實性，有效地防止利用信息技術隨意篡改系統(tǒng)信息或破壞磁介質(zhì)上的數(shù)據(jù)等舞弊行為的發(fā)生。因此，信息系統(tǒng)審計目標不僅僅在于應用計算機進行審計（即傳統(tǒng)EDI審計或計算機輔助審計），更重要的是要對信息系統(tǒng)本身的安全性、穩(wěn)定性及其實現(xiàn)組織目標的有效性進行實時的檢查、評價和改造。

　　信息系統(tǒng)審計內(nèi)容：主要包括信息系統(tǒng)開發(fā)過程審計、一般控制審計和應用控制審計三個方面。

　　2、信息系統(tǒng)審計的職能和方式

　　為了實現(xiàn)審計目標，保證和咨詢應成為對信息系統(tǒng)進行審計的兩大基本職能。“保證”即“系統(tǒng)可靠性保證”，就是通過對信息系統(tǒng)運行過程、商業(yè)連續(xù)性能力、維護狀況進行評價，合理保證信息系統(tǒng)安全、穩(wěn)定、有效，它是信息系統(tǒng)審計最基本的職能。“咨詢”是指審計人員能夠向信息系統(tǒng)的高層管理者以及使用者提供解決問題的方案，以達到改善經(jīng)營和為組織增加價值的目的。

　　信息系統(tǒng)審計組織方式：一種是將信息系統(tǒng)審計作為常規(guī)項目審計的一部分，是為整個審計項目的總體目標服務的。檢查信息系統(tǒng)本身及其內(nèi)部控制的可靠性和有效性，為數(shù)據(jù)審計服務，最終通過審計數(shù)據(jù)得出審計結(jié)論，即數(shù)據(jù)審計、信息系統(tǒng)審計和系統(tǒng)內(nèi)控審計“三位一體”的結(jié)合方式。另一種是獨立立項的信息系統(tǒng)審計，直接針對信息系統(tǒng)進行審計，將信息系統(tǒng)本身的安全性、可靠性和有效性作為審計目標。 現(xiàn)階段開展的信息系統(tǒng)審計以第一種方式為主。

　　3、信息系統(tǒng)審計的依據(jù)和原則

　　審計人員執(zhí)行信息系統(tǒng)審計時，主要以信息系統(tǒng)的管理制度、條例和法規(guī)、ISO9000、信息系統(tǒng)的實際運行情況等為主要依據(jù)。目前信息系統(tǒng)審計工作還處于探索階段，沒有一套成形的專業(yè)規(guī)范，信息系統(tǒng)審計人員可遵照ISACA（國際信息系統(tǒng)審計與控制協(xié)會）發(fā)布的《信息系統(tǒng)審計準則》執(zhí)行信息系統(tǒng)審計業(yè)務。

　　審計信息系統(tǒng)審計原則：一是應堅持“先易后難、逐步推開”的原則，在條件具備的情況下選擇合適的審計項目進行試點和探索。二是應堅持“先上而下，上下結(jié)合”的原則，因為越往上，人才技術具備，且信息系統(tǒng)往往是自上而是下部署運用的，通過上級審計，就可以減少重復審計，降低審計成本，使審計成果利用最大化；三是應堅持財務與信息系統(tǒng)結(jié)合型審計和信息系統(tǒng)獨立型審計相結(jié)合的原則。在年度審計計劃確立上，要逐步安排結(jié)合型或者獨立型的項目；在審計的組織方式上，要使傳統(tǒng)的審計項目與信息系統(tǒng)審計的內(nèi)容結(jié)合起來，保證信息系統(tǒng)審計的結(jié)果能夠應用于整個審計工作中，做好信息系統(tǒng)審計與整個審計工作的銜接。

　　4、信息系統(tǒng)審計的技術和方法

　　對信息系統(tǒng)審計的方法既包括一般方法即手工方法，也包括應用計算機審計的方法。信息系統(tǒng)審計的一般方法主要用于對信息系統(tǒng)的了解和描述，包括：面談法、系統(tǒng)文檔審閱法、觀察法、計算機系統(tǒng)文字描述法、表格描述法、圖形描述法等。應用計算機的方法一般用于對信息系統(tǒng)的控制測試，包括：測試數(shù)據(jù)法、平行模擬法、在線連續(xù)審計技術（通過嵌入審計模塊實現(xiàn)）、綜合測試法、受控處理法和受控再處理法等。

　　5、信息系統(tǒng)審計的流程和步驟

　　信息系統(tǒng)審計是一個獲取并評價證據(jù)，以研判信息系統(tǒng)是否能夠保證資產(chǎn)的安全、有效以及提供真實、完整的系統(tǒng)信息的動態(tài)循環(huán)流程。在審計的計劃階段，要對被審單位的計算機系統(tǒng)進行了解，初步確定在后續(xù)的審計步驟中是否打算領帶被審單位的計算機系統(tǒng)，并針對了解的內(nèi)容制定實施階段的審計步驟中是否打算領帶被審單位的計算機系統(tǒng)，并針對了解的內(nèi)容制定實施階段的審計計劃；在實施階段，按照制定的測試計劃，對計算機系統(tǒng)的控制進行測試。

　　信息系統(tǒng)審計的步驟：（1）審計準備階段。準備階段主要是初步調(diào)查被審計單位會計信息化的基本狀況，擬定科學合理的審計計劃；與被審計單位簽訂審計業(yè)務約定書，明確彼此的責任、權利和義務；確定審計范圍、確立審計重點、分析審計風險、制定審計計劃，審計人員必須提前進入被審單位，了解被審計單位基本情況，與單位的有關人員面談，查閱其會計信息系統(tǒng)的基本資料。了解被審單位信息系統(tǒng)開發(fā)和使用情況、計算機設備軟硬件情況、業(yè)務量大小以及數(shù)據(jù)完整程度，判斷在被審單位開展計算機審計是否符合成本效益原則、風險有多大。在對被審計單位的內(nèi)部控制作出初步及深入審查之后，審計人員應獲取被審單位有關會計數(shù)據(jù)。詳細調(diào)查計算機環(huán)境下的計算機信息系統(tǒng)結(jié)構(gòu)、業(yè)務處理流程、所采用的數(shù)據(jù)庫類型及數(shù)據(jù)結(jié)構(gòu)。確定數(shù)據(jù)采集、轉(zhuǎn)換、定義以及分析中所需的計算機軟件及硬件設備，合理配置審計資源，編制審計計劃。

　　（2）審計實施階段。實施階段的工作是根據(jù)準備階段確定的范圍、重點、步驟、方法，進行取證、評價，綜合審計證據(jù)，借以形成審計結(jié)論，發(fā)表審計意見。實施階段是計算機審計工作的主要階段，在這個階段中首先要對被審單位的內(nèi)部控制進行評價，并執(zhí)行符合性測試。然后，根據(jù)符合性測試的結(jié)果，確定實質(zhì)性測試的計劃水平，對被審單位業(yè)務數(shù)據(jù)的實質(zhì)性進行審查。

　?。?）審計報告階段。審計報告階段是對會計信息系統(tǒng)進行測試后，整理審計工作底稿，編制審計報告，對被審計單位會計報表的合理性、公允性、一致性發(fā)表意見，做出審計結(jié)論；并對被審計單位的會計信息化系統(tǒng)的處理功能、內(nèi)部控制進行評價，并提出改進意見。主要工作包括：整理審計工作底稿、分類歸納核實材料、編寫審計報告、作出審計結(jié)論和決定等。這一步驟借助于審計軟件的幫助，可以高效、準確地完成。

　?。?）異議和復審階段。被審計單位對審計結(jié)論和決定若有異議，可提出復審要求，審計部門可組織復審并做出復審結(jié)論和決定。特別是被審計單位會計信息化系統(tǒng)有了新的改進時，還需組織后續(xù)審計。對計算機內(nèi)部數(shù)據(jù)處理的詳細過程直接進行審查。

　　6、信息系統(tǒng)審計的重點環(huán)節(jié)和內(nèi)容

　?。?）內(nèi)部控制環(huán)節(jié)。在計算機系統(tǒng)中，應檢查以下方面來證明內(nèi)控制度的有效性：一是控制系統(tǒng)資源的存取。二是控制系統(tǒng)資源的使用。三是建立按用戶職能分配資源的制度。四是記錄系統(tǒng)的使用情況。五是確認處理過程的準確性。六是管理人員對財務信息系統(tǒng)的修改。七是保護財務信息系統(tǒng)免遭計算機病毒的襲擊。

　?。?）數(shù)據(jù)環(huán)節(jié)。在審計中，審計人員選擇一些交易對其進行詳細檢查，確認交易記錄是否符合一般的審計目標。一是檢查會計事項信息，要檢查它的完整性、時效性、合規(guī)性和信息披露等方面，檢查內(nèi)容包括與本會計年度有關的交易是否全部記錄在冊；所有記錄的交易是否都是合理發(fā)生的并與本會計年度有關；記錄的交易是否數(shù)據(jù)準確，計算無誤；記錄的交易是否符合基本的和輔助的法律規(guī)定，符合特定權威機構(gòu)的要求；對記錄的交易是否進行正確的分類，并符合信息對外披露的要求等。二是檢查財務報表信息，要檢查完整性、存在性、會計計量、所有權以及信息披露等方面，檢查內(nèi)容包括是否記錄了所有的資產(chǎn)和負債，所有記錄的資產(chǎn)和負債是否都是存在的；對資產(chǎn)和負債的計量是否精確，計算方法是否符合按合理性、一致的標準制定的會計政策的要求；確認資產(chǎn)是被審主體所有的、負債是被審主體應該承擔的，并且資產(chǎn)和負債是否由合法的經(jīng)濟活動產(chǎn)生的；資產(chǎn)、負債、資本和存貨是否都得到正確的披露。同時對信息系統(tǒng)提供的業(yè)務信息也要進行分析，并一直追蹤到信息源。對上述信息的分析可以采用計算機輔助審計技術，按照特定的標準對數(shù)據(jù)進行匯總、分類、排序、比較和選擇，并進行各種運算。

　?。?）數(shù)據(jù)傳輸轉(zhuǎn)移環(huán)節(jié)。在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個財務信息系統(tǒng)或財務信息系統(tǒng)與業(yè)務信息系統(tǒng)之間相互轉(zhuǎn)移，在此過程中可能會出現(xiàn)一些問題，尤其是在需要手工重新錄入時。因此在審計時要重點關注以下方面：在轉(zhuǎn)移過程中數(shù)據(jù)可能會發(fā)生變化；新的科目代碼表與老的可能不一樣，需要在兩個財務信息系統(tǒng)之間建立復雜的對應關系；中心數(shù)據(jù)庫可能被一些地理上分散的服務器取代；當前財務信息系統(tǒng)中的數(shù)據(jù)質(zhì)量不佳；當用一個總的信息系統(tǒng)取代一個預定財務信息系統(tǒng)時，需要補充許多新的數(shù)據(jù)。在檢查這一環(huán)節(jié)時，一定要保證輸出的消息是經(jīng)過批準、完整和精確的，保證輸出的消息在約定時間內(nèi)準確地發(fā)送給指定的接收者，保證流入的消息是完整、準確和真實可靠的。

　　二、開展信息系統(tǒng)審計的對策措施

　　1、要大力增強全體審計人員信息系統(tǒng)審計的意識。“審計人員不掌握計算機技術，將失去審計資格”這一觀點基本得到了全體審計人員的認同。因此，為保證信息系統(tǒng)產(chǎn)生的數(shù)據(jù)真實完整，信息系統(tǒng)的安全、可靠和有效，重大的審計項目，只要被審計單位應用的是信息系統(tǒng)，我們就必須審計信息系統(tǒng)，檢查系統(tǒng)內(nèi)部控制，只有這樣才能防止假賬真審。

　　2、要加快計算機信息系統(tǒng)審計人才的培養(yǎng)。計算機信息系統(tǒng)審計對審計人員的專業(yè)技能要求較高，除了需要審計人員具備相應的審計技能外，還要具備較高的計算機水平。對此，一是審計機關在配備人員時就要將計算機技能作為一個必要條件，在實際工作中不斷培養(yǎng)其審計技能；二是對現(xiàn)有審計人員進行計算機知識的培訓，并要對其進行持續(xù)不斷的后續(xù)教育，以增強其信息技術審計能力。三是要開展信息系統(tǒng)審計實務和理論研究，大力推進審計人員在信息系統(tǒng)審計實踐中不斷提煉總結(jié)，加強信息系統(tǒng)審計方法體系研究。

　　3、要加快制訂信息系統(tǒng)審計準則，保障信息系統(tǒng)審計快速健康發(fā)展。審計準則是規(guī)范化的管理框架，有助于提高審計質(zhì)量和效率，降低審計風險。審計署應盡早出臺適合我國國家審計的信息系統(tǒng)審計準則，以解決當前信息系統(tǒng)審計目標不明，內(nèi)容不清的現(xiàn)狀，以便于審計人員統(tǒng)一規(guī)范操作。

　　4、要上下聯(lián)動重點攻關搞好實踐。在當前基層審計機關難以全面推進信息系統(tǒng)審計的情況下，一方面，可以采取省市縣三級或者市縣二級聯(lián)手，選擇重點領域、重點項目進行聯(lián)合審計，這樣既可以讓基層審計人員在實踐中增長信息系統(tǒng)審計技能；又可以有步驟、有重點地對被審計單位信息系統(tǒng)進行全面審計，擴大審計成果，節(jié)約審計成本，減少重復勞動。另一方面，各級基層審計機關要堅持獨立自主的開展信息系統(tǒng)審計工作，不等不靠，抽調(diào)計算機專業(yè)人員和通過計算機中級考試的業(yè)務骨干組成的課題組，選擇重點項目，進行集中攻關，堅持邊學習邊實踐邊總結(jié)的工作方法，不斷提高實戰(zhàn)能力。