信息系統(tǒng)審計最早稱為計算機審計，是隨著計算機在財務會計領域的應用而產(chǎn)生的，作為傳統(tǒng)財務審計業(yè)務的一種輔助工具，對客戶的電子化會計數(shù)據(jù)進行處理和分析，為財務報表審計人員提供服務。

　　隨著信息技術的不斷發(fā)展，企業(yè)內(nèi)部的信息化程度也越來越高，信息化對企業(yè)各個業(yè)務環(huán)節(jié)的影響越來越大，企業(yè)在信息化過程中也急需專業(yè)人士提供有效控制信息系統(tǒng)風險，提高信息化效益的服務。與此同時，信息系統(tǒng)審計概念也發(fā)生了變化：信息系統(tǒng)審計是指審計人員接受委托或授權，收集證據(jù)并評估以判斷一個計算機系統(tǒng)（信息系統(tǒng)）是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整并最有效率地完成組織目標的活動過程。它既包括信息系統(tǒng)外部審計的鑒證目標——即對被審計單位的信息系統(tǒng)保護資產(chǎn)安全及數(shù)據(jù)完整的鑒證，又包含內(nèi)部審計的管理目標——即信息系統(tǒng)的有效性目標。

　　一方面，信息系統(tǒng)審計可以促進被審計單位更有效地融入到社會經(jīng)濟生活中，同時促進被審計單位改進內(nèi)部控制、加強管理，提高信息系統(tǒng)實現(xiàn)組織目標的效率、效果。

　　另一方面，信息系統(tǒng)審計在審計過程中發(fā)現(xiàn)系統(tǒng)控制缺陷或漏洞，可通過審計報告、管理建議書等形式報告給委托人或被審計單位管理當局，并提出解決問題的建議，從而促進被審計單位提高管理水平，提高經(jīng)濟效益。俗話說“不識廬山真面目，只緣身在此山中”。信息系統(tǒng)審計的一個出發(fā)點在于從第三者的角度對被審計單位信息系統(tǒng)進行全面審視，可以發(fā)現(xiàn)系統(tǒng)使用者或系統(tǒng)開發(fā)者看不到的問題。

　　信息系統(tǒng)審計提供的外部審視的價值既表現(xiàn)在用新的思維方式、新的觀點去觀察企業(yè)，分析其存在的問題及原因，也表現(xiàn)在以科學的態(tài)度和創(chuàng)新精神，去設計解決問題的方案。

　　工作過程中，我們可以從如下幾個方面進行信息系統(tǒng)審計：

　　1、對系統(tǒng)中所體現(xiàn)的業(yè)務流程的審計。信息系統(tǒng)是建立在對業(yè)務流程進行優(yōu)化重組的基礎之上的，只有經(jīng)常對業(yè)務流程進行風險管理和審計，才能使企業(yè)業(yè)務始終運行于相對較優(yōu)的流程環(huán)境之中。對業(yè)務流程的風險管理審計大體包括以下幾個方面：應該在系統(tǒng)中運行的業(yè)務是否全部通過系統(tǒng)運行；信息是否及時錄入系統(tǒng)；錄入的信息是否真實、準確；系統(tǒng)運行是否正確，有無系統(tǒng)錯誤；流程是否通暢，有無缺陷或舞弊的可能，能否進行進一步的優(yōu)化；識別、評價和應對流程風險的效果如何等。

　　2、對關鍵控制點的審計。企業(yè)信息系統(tǒng)是由采購、倉儲、生產(chǎn)、銷售、財務、設備管理、人力資源等多個模塊高度集成起來的，每一模塊都有相應的關鍵控制點，對企業(yè)的生產(chǎn)經(jīng)營起著至關重要的作用。企業(yè)應該加強對關鍵控制點的風險管理審計，關注以下問題：是否對關鍵控制點進行了識別，識別是否全面；是否建立了關鍵控制點的風險評價體系；是否建立了關鍵控制點的預警機制和應對機制；關鍵控制點的識別、評價、預警和應對機制的適應性和有效性如何；控制方法和手段是否可進一步優(yōu)化；有無控制不嚴或失控的現(xiàn)象和可能等。

　　3、對系統(tǒng)監(jiān)控的審計。信息系統(tǒng)應用于企業(yè)的優(yōu)點之一就是對業(yè)務和績效能夠進行動態(tài)監(jiān)控。系統(tǒng)監(jiān)控功能運用得好，可以極大地降低企業(yè)風險；可一旦運用不好，流程上的控制點就會失去控制，風險也就會隨之加大。因此，我們有必要對系統(tǒng)監(jiān)控的風險管理進行審計，審查和評價企業(yè)及其下屬單位是否利用信息系統(tǒng)進行了業(yè)務和績效的動態(tài)監(jiān)控、監(jiān)控點及其風險如何識別和評價、監(jiān)控的權威性及其效果如何、發(fā)現(xiàn)問題的處理方式以及應對風險的效果如何、有無監(jiān)控盲區(qū)或監(jiān)控不力的區(qū)域、監(jiān)控結果的利用情況如何等。

　　信息系統(tǒng)審計需要信息系統(tǒng)審計師進行，要大力培養(yǎng)信息系統(tǒng)審計師，開展信息系統(tǒng)審計業(yè)務，有兩支力量可以挖掘：一是傳統(tǒng)的審計師。他們在傳統(tǒng)的財務報表鑒證業(yè)務方面具有長久不衰的聲譽和經(jīng)驗，在經(jīng)營慣例、交易處理的完整性、信息保護、內(nèi)部控制的評價與建議方面一直都具有專長。在提供信息系統(tǒng)及電子數(shù)據(jù)質(zhì)量的鑒證與咨詢服務方面，傳統(tǒng)審計師面臨著很大的挑戰(zhàn)。為適應企業(yè)信息化建設的需要，滿足企業(yè)管理層對審計業(yè)務的擴展的需要，成為合格信息系統(tǒng)審計師，傳統(tǒng)的審計師需要：（1）提高技術能力；（2）繼續(xù)維護他們現(xiàn)有的作為相對獨立的、被信任的第三方的角色；（3）學習信息技術、網(wǎng)絡技術并將其知識融入傳統(tǒng)的鑒證、咨詢服務業(yè)務；（4）必須拓展在系統(tǒng)開發(fā)、系統(tǒng)可靠性、網(wǎng)絡安全、風險確認和影響分析等方面的審計業(yè)務。二是從事信息化咨詢的IT技術人員。

　　在電子商務時代，交易大部分是由系統(tǒng)自動完成的，人的參與較少，審計軌跡存在較少，在這種條件下，審計必須穿過信息系統(tǒng)進行。IT技術人員具備了相應的技術技能：編程知識、系統(tǒng)運營、網(wǎng)絡技術、認證技術、防火墻技術及其他安全技術等，這對于發(fā)現(xiàn)被審計信息系統(tǒng)及其控制的缺陷等相對較容易。但他們在鑒證、咨詢方面缺乏對管理與內(nèi)部控制認識、評價的經(jīng)驗，缺少審計的理論與技能。

　　因此，IT技術人員從事信息系統(tǒng)審計業(yè)務，要補充審計理論知識，學會用審視的目光，關注信息技術的效益，從管理控制角度，而非純技術角度思考問題?，F(xiàn)階段，專業(yè)的信息系統(tǒng)審計師非常少，傳統(tǒng)審計師與IT技術專家配合進行信息系統(tǒng)審計，也能達到審計效果。但是，隨著信息系統(tǒng)審計專業(yè)的不斷完善發(fā)展，會需要越來越多的能夠獨立完成審計項目的IT審計師，信息化審計將大有發(fā)展。