信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。隨著計算機(jī)及網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，審計機(jī)關(guān)要想完成“全面審計，突出重點(diǎn)”的審計目標(biāo)，擔(dān)負(fù)起社會經(jīng)濟(jì)運(yùn)行的“免疫系統(tǒng)”作用，就必須加快信息系統(tǒng)審計的步伐。為此，筆者認(rèn)為，審計機(jī)關(guān)要開展好信息系統(tǒng)審計，就必須把握重點(diǎn)，加強(qiáng)組織，制定措施，積極推進(jìn)。

　　一、開展信息系統(tǒng)審計應(yīng)把握的重點(diǎn)

　　1、信息系統(tǒng)審計的目標(biāo)和內(nèi)容

　　信息系統(tǒng)審計目標(biāo)：信息系統(tǒng)審計不僅要對系統(tǒng)信息的合法性、公允性進(jìn)行審計，還要對信息系統(tǒng)的硬件和軟件，以及整個信息系統(tǒng)的安全性、穩(wěn)定性、內(nèi)部控制的健全性與有效性等方面進(jìn)行審計，指出被審計單位信息系統(tǒng)內(nèi)部管理和控制上的薄弱環(huán)節(jié)，提高其信息系統(tǒng)的可靠性和真實(shí)性，有效地防止利用信息技術(shù)隨意篡改系統(tǒng)信息或破壞磁介質(zhì)上的數(shù)據(jù)等舞弊行為的發(fā)生。因此，信息系統(tǒng)審計目標(biāo)不僅僅在于應(yīng)用計算機(jī)進(jìn)行審計（即傳統(tǒng)EDI審計或計算機(jī)輔助審計），更重要的是要對信息系統(tǒng)本身的安全性、穩(wěn)定性及其實(shí)現(xiàn)組織目標(biāo)的有效性進(jìn)行實(shí)時的檢查、評價和改造。

　　信息系統(tǒng)審計內(nèi)容：主要包括信息系統(tǒng)開發(fā)過程審計、一般控制審計和應(yīng)用控制審計三個方面。

　　2、信息系統(tǒng)審計的職能和方式

　　為了實(shí)現(xiàn)審計目標(biāo)，保證和咨詢應(yīng)成為對信息系統(tǒng)進(jìn)行審計的兩大基本職能。“保證”即“系統(tǒng)可靠性保證”，就是通過對信息系統(tǒng)運(yùn)行過程、商業(yè)連續(xù)性能力、維護(hù)狀況進(jìn)行評價，合理保證信息系統(tǒng)安全、穩(wěn)定、有效，它是信息系統(tǒng)審計最基本的職能。“咨詢”是指審計人員能夠向信息系統(tǒng)的高層管理者以及使用者提供解決問題的方案，以達(dá)到改善經(jīng)營和為組織增加價值的目的。

　　信息系統(tǒng)審計組織方式：一種是將信息系統(tǒng)審計作為常規(guī)項(xiàng)目審計的一部分，是為整個審計項(xiàng)目的總體目標(biāo)服務(wù)的。檢查信息系統(tǒng)本身及其內(nèi)部控制的可靠性和有效性，為數(shù)據(jù)審計服務(wù)，最終通過審計數(shù)據(jù)得出審計結(jié)論，即數(shù)據(jù)審計、信息系統(tǒng)審計和系統(tǒng)內(nèi)控審計“三位一體”的結(jié)合方式。另一種是獨(dú)立立項(xiàng)的信息系統(tǒng)審計，直接針對信息系統(tǒng)進(jìn)行審計，將信息系統(tǒng)本身的安全性、可靠性和有效性作為審計目標(biāo)。 現(xiàn)階段開展的信息系統(tǒng)審計以第一種方式為主。

　　3、信息系統(tǒng)審計的依據(jù)和原則

　　審計人員執(zhí)行信息系統(tǒng)審計時，主要以信息系統(tǒng)的管理制度、條例和法規(guī)、ISO9000、信息系統(tǒng)的實(shí)際運(yùn)行情況等為主要依據(jù)。目前信息系統(tǒng)審計工作還處于探索階段，沒有一套成形的專業(yè)規(guī)范，信息系統(tǒng)審計人員可遵照ISACA（國際信息系統(tǒng)審計與控制協(xié)會）發(fā)布的《信息系統(tǒng)審計準(zhǔn)則》執(zhí)行信息系統(tǒng)審計業(yè)務(wù)。

　　審計信息系統(tǒng)審計原則：一是應(yīng)堅(jiān)持“先易后難、逐步推開”的原則，在條件具備的情況下選擇合適的審計項(xiàng)目進(jìn)行試點(diǎn)和探索。二是應(yīng)堅(jiān)持“先上而下，上下結(jié)合”的原則，因?yàn)樵酵?，人才技術(shù)具備，且信息系統(tǒng)往往是自上而是下部署運(yùn)用的，通過上級審計，就可以減少重復(fù)審計，降低審計成本，使審計成果利用最大化；三是應(yīng)堅(jiān)持財務(wù)與信息系統(tǒng)結(jié)合型審計和信息系統(tǒng)獨(dú)立型審計相結(jié)合的原則。在年度審計計劃確立上，要逐步安排結(jié)合型或者獨(dú)立型的項(xiàng)目；在審計的組織方式上，要使傳統(tǒng)的審計項(xiàng)目與信息系統(tǒng)審計的內(nèi)容結(jié)合起來，保證信息系統(tǒng)審計的結(jié)果能夠應(yīng)用于整個審計工作中，做好信息系統(tǒng)審計與整個審計工作的銜接。

　　4、信息系統(tǒng)審計的技術(shù)和方法

　　對信息系統(tǒng)審計的方法既包括一般方法即手工方法，也包括應(yīng)用計算機(jī)審計的方法。信息系統(tǒng)審計的一般方法主要用于對信息系統(tǒng)的了解和描述，包括：面談法、系統(tǒng)文檔審閱法、觀察法、計算機(jī)系統(tǒng)文字描述法、表格描述法、圖形描述法等。應(yīng)用計算機(jī)的方法一般用于對信息系統(tǒng)的控制測試，包括：測試數(shù)據(jù)法、平行模擬法、在線連續(xù)審計技術(shù)（通過嵌入審計模塊實(shí)現(xiàn)）、綜合測試法、受控處理法和受控再處理法等。

　　5、信息系統(tǒng)審計的流程和步驟

　　信息系統(tǒng)審計是一個獲取并評價證據(jù)，以研判信息系統(tǒng)是否能夠保證資產(chǎn)的安全、有效以及提供真實(shí)、完整的系統(tǒng)信息的動態(tài)循環(huán)流程。在審計的計劃階段，要對被審單位的計算機(jī)系統(tǒng)進(jìn)行了解，初步確定在后續(xù)的審計步驟中是否打算領(lǐng)帶被審單位的計算機(jī)系統(tǒng)，并針對了解的內(nèi)容制定實(shí)施階段的審計步驟中是否打算領(lǐng)帶被審單位的計算機(jī)系統(tǒng)，并針對了解的內(nèi)容制定實(shí)施階段的審計計劃；在實(shí)施階段，按照制定的測試計劃，對計算機(jī)系統(tǒng)的控制進(jìn)行測試。

　　信息系統(tǒng)審計的步驟：（1）審計準(zhǔn)備階段。準(zhǔn)備階段主要是初步調(diào)查被審計單位會計信息化的基本狀況，擬定科學(xué)合理的審計計劃；與被審計單位簽訂審計業(yè)務(wù)約定書，明確彼此的責(zé)任、權(quán)利和義務(wù)；確定審計范圍、確立審計重點(diǎn)、分析審計風(fēng)險、制定審計計劃，審計人員必須提前進(jìn)入被審單位，了解被審計單位基本情況，與單位的有關(guān)人員面談，查閱其會計信息系統(tǒng)的基本資料。了解被審單位信息系統(tǒng)開發(fā)和使用情況、計算機(jī)設(shè)備軟硬件情況、業(yè)務(wù)量大小以及數(shù)據(jù)完整程度，判斷在被審單位開展計算機(jī)審計是否符合成本效益原則、風(fēng)險有多大。在對被審計單位的內(nèi)部控制作出初步及深入審查之后，審計人員應(yīng)獲取被審單位有關(guān)會計數(shù)據(jù)。詳細(xì)調(diào)查計算機(jī)環(huán)境下的計算機(jī)信息系統(tǒng)結(jié)構(gòu)、業(yè)務(wù)處理流程、所采用的數(shù)據(jù)庫類型及數(shù)據(jù)結(jié)構(gòu)。確定數(shù)據(jù)采集、轉(zhuǎn)換、定義以及分析中所需的計算機(jī)軟件及硬件設(shè)備，合理配置審計資源，編制審計計劃。

　　（2）審計實(shí)施階段。實(shí)施階段的工作是根據(jù)準(zhǔn)備階段確定的范圍、重點(diǎn)、步驟、方法，進(jìn)行取證、評價，綜合審計證據(jù)，借以形成審計結(jié)論，發(fā)表審計意見。實(shí)施階段是計算機(jī)審計工作的主要階段，在這個階段中首先要對被審單位的內(nèi)部控制進(jìn)行評價，并執(zhí)行符合性測試。然后，根據(jù)符合性測試的結(jié)果，確定實(shí)質(zhì)性測試的計劃水平，對被審單位業(yè)務(wù)數(shù)據(jù)的實(shí)質(zhì)性進(jìn)行審查。

　?。?）審計報告階段。審計報告階段是對會計信息系統(tǒng)進(jìn)行測試后，整理審計工作底稿，編制審計報告，對被審計單位會計報表的合理性、公允性、一致性發(fā)表意見，做出審計結(jié)論；并對被審計單位的會計信息化系統(tǒng)的處理功能、內(nèi)部控制進(jìn)行評價，并提出改進(jìn)意見。主要工作包括：整理審計工作底稿、分類歸納核實(shí)材料、編寫審計報告、作出審計結(jié)論和決定等。這一步驟借助于審計軟件的幫助，可以高效、準(zhǔn)確地完成。

　?。?）異議和復(fù)審階段。被審計單位對審計結(jié)論和決定若有異議，可提出復(fù)審要求，審計部門可組織復(fù)審并做出復(fù)審結(jié)論和決定。特別是被審計單位會計信息化系統(tǒng)有了新的改進(jìn)時，還需組織后續(xù)審計。對計算機(jī)內(nèi)部數(shù)據(jù)處理的詳細(xì)過程直接進(jìn)行審查。

　　6、信息系統(tǒng)審計的重點(diǎn)環(huán)節(jié)和內(nèi)容

　?。?）內(nèi)部控制環(huán)節(jié)。在計算機(jī)系統(tǒng)中，應(yīng)檢查以下方面來證明內(nèi)控制度的有效性：一是控制系統(tǒng)資源的存取。二是控制系統(tǒng)資源的使用。三是建立按用戶職能分配資源的制度。四是記錄系統(tǒng)的使用情況。五是確認(rèn)處理過程的準(zhǔn)確性。六是管理人員對財務(wù)信息系統(tǒng)的修改。七是保護(hù)財務(wù)信息系統(tǒng)免遭計算機(jī)病毒的襲擊。

　?。?）數(shù)據(jù)環(huán)節(jié)。在審計中，審計人員選擇一些交易對其進(jìn)行詳細(xì)檢查，確認(rèn)交易記錄是否符合一般的審計目標(biāo)。一是檢查會計事項(xiàng)信息，要檢查它的完整性、時效性、合規(guī)性和信息披露等方面，檢查內(nèi)容包括與本會計年度有關(guān)的交易是否全部記錄在冊；所有記錄的交易是否都是合理發(fā)生的并與本會計年度有關(guān)；記錄的交易是否數(shù)據(jù)準(zhǔn)確，計算無誤；記錄的交易是否符合基本的和輔助的法律規(guī)定，符合特定權(quán)威機(jī)構(gòu)的要求；對記錄的交易是否進(jìn)行正確的分類，并符合信息對外披露的要求等。二是檢查財務(wù)報表信息，要檢查完整性、存在性、會計計量、所有權(quán)以及信息披露等方面，檢查內(nèi)容包括是否記錄了所有的資產(chǎn)和負(fù)債，所有記錄的資產(chǎn)和負(fù)債是否都是存在的；對資產(chǎn)和負(fù)債的計量是否精確，計算方法是否符合按合理性、一致的標(biāo)準(zhǔn)制定的會計政策的要求；確認(rèn)資產(chǎn)是被審主體所有的、負(fù)債是被審主體應(yīng)該承擔(dān)的，并且資產(chǎn)和負(fù)債是否由合法的經(jīng)濟(jì)活動產(chǎn)生的；資產(chǎn)、負(fù)債、資本和存貨是否都得到正確的披露。同時對信息系統(tǒng)提供的業(yè)務(wù)信息也要進(jìn)行分析，并一直追蹤到信息源。對上述信息的分析可以采用計算機(jī)輔助審計技術(shù)，按照特定的標(biāo)準(zhǔn)對數(shù)據(jù)進(jìn)行匯總、分類、排序、比較和選擇，并進(jìn)行各種運(yùn)算。

　　（3）數(shù)據(jù)傳輸轉(zhuǎn)移環(huán)節(jié)。在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個財務(wù)信息系統(tǒng)或財務(wù)信息系統(tǒng)與業(yè)務(wù)信息系統(tǒng)之間相互轉(zhuǎn)移，在此過程中可能會出現(xiàn)一些問題，尤其是在需要手工重新錄入時。因此在審計時要重點(diǎn)關(guān)注以下方面：在轉(zhuǎn)移過程中數(shù)據(jù)可能會發(fā)生變化；新的科目代碼表與老的可能不一樣，需要在兩個財務(wù)信息系統(tǒng)之間建立復(fù)雜的對應(yīng)關(guān)系；中心數(shù)據(jù)庫可能被一些地理上分散的服務(wù)器取代；當(dāng)前財務(wù)信息系統(tǒng)中的數(shù)據(jù)質(zhì)量不佳；當(dāng)用一個總的信息系統(tǒng)取代一個預(yù)定財務(wù)信息系統(tǒng)時，需要補(bǔ)充許多新的數(shù)據(jù)。在檢查這一環(huán)節(jié)時，一定要保證輸出的消息是經(jīng)過批準(zhǔn)、完整和精確的，保證輸出的消息在約定時間內(nèi)準(zhǔn)確地發(fā)送給指定的接收者，保證流入的消息是完整、準(zhǔn)確和真實(shí)可靠的。

　　二、開展信息系統(tǒng)審計的對策措施

　　1、要大力增強(qiáng)全體審計人員信息系統(tǒng)審計的意識。“審計人員不掌握計算機(jī)技術(shù)，將失去審計資格”這一觀點(diǎn)基本得到了全體審計人員的認(rèn)同。因此，為保證信息系統(tǒng)產(chǎn)生的數(shù)據(jù)真實(shí)完整，信息系統(tǒng)的安全、可靠和有效，重大的審計項(xiàng)目，只要被審計單位應(yīng)用的是信息系統(tǒng)，我們就必須審計信息系統(tǒng)，檢查系統(tǒng)內(nèi)部控制，只有這樣才能防止假賬真審。

　　2、要加快計算機(jī)信息系統(tǒng)審計人才的培養(yǎng)。計算機(jī)信息系統(tǒng)審計對審計人員的專業(yè)技能要求較高，除了需要審計人員具備相應(yīng)的審計技能外，還要具備較高的計算機(jī)水平。對此，一是審計機(jī)關(guān)在配備人員時就要將計算機(jī)技能作為一個必要條件，在實(shí)際工作中不斷培養(yǎng)其審計技能；二是對現(xiàn)有審計人員進(jìn)行計算機(jī)知識的培訓(xùn)，并要對其進(jìn)行持續(xù)不斷的后續(xù)教育，以增強(qiáng)其信息技術(shù)審計能力。三是要開展信息系統(tǒng)審計實(shí)務(wù)和理論研究，大力推進(jìn)審計人員在信息系統(tǒng)審計實(shí)踐中不斷提煉總結(jié)，加強(qiáng)信息系統(tǒng)審計方法體系研究。

　　3、要加快制訂信息系統(tǒng)審計準(zhǔn)則，保障信息系統(tǒng)審計快速健康發(fā)展。審計準(zhǔn)則是規(guī)范化的管理框架，有助于提高審計質(zhì)量和效率，降低審計風(fēng)險。審計署應(yīng)盡早出臺適合我國國家審計的信息系統(tǒng)審計準(zhǔn)則，以解決當(dāng)前信息系統(tǒng)審計目標(biāo)不明，內(nèi)容不清的現(xiàn)狀，以便于審計人員統(tǒng)一規(guī)范操作。

　　4、要上下聯(lián)動重點(diǎn)攻關(guān)搞好實(shí)踐。在當(dāng)前基層審計機(jī)關(guān)難以全面推進(jìn)信息系統(tǒng)審計的情況下，一方面，可以采取省市縣三級或者市縣二級聯(lián)手，選擇重點(diǎn)領(lǐng)域、重點(diǎn)項(xiàng)目進(jìn)行聯(lián)合審計，這樣既可以讓基層審計人員在實(shí)踐中增長信息系統(tǒng)審計技能；又可以有步驟、有重點(diǎn)地對被審計單位信息系統(tǒng)進(jìn)行全面審計，擴(kuò)大審計成果，節(jié)約審計成本，減少重復(fù)勞動。另一方面，各級基層審計機(jī)關(guān)要堅(jiān)持獨(dú)立自主的開展信息系統(tǒng)審計工作，不等不靠，抽調(diào)計算機(jī)專業(yè)人員和通過計算機(jī)中級考試的業(yè)務(wù)骨干組成的課題組，選擇重點(diǎn)項(xiàng)目，進(jìn)行集中攻關(guān)，堅(jiān)持邊學(xué)習(xí)邊實(shí)踐邊總結(jié)的工作方法，不斷提高實(shí)戰(zhàn)能力。