摘要：信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的目標得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。信息系統(tǒng)審計過程與一般審計過程一樣，分為準備階段、實施階段和報告階段。其中，準備階段和報告階段所涉及的技術方法與財務審計所運用的技術方法區(qū)別不大，而實施階段所涉及的技術方法則具有信息技術的特色。在實施階段，針對被審計的信息系統(tǒng)，審計人員所開展的工作可以分為三個層次，即了解、描述和測試。

　　關鍵詞：信息審計,審計管理,審計師論文下載

　　計算機信息系統(tǒng)環(huán)境下審計技術方法與手工環(huán)境下傳統(tǒng)的審計技術方法相比，相應增加了計算機技術的內(nèi)容。對信息系統(tǒng)審計的方法既包括一般方法即手工方法，也包括應用計算機審計的方法。信息系統(tǒng)審計的一般方法主要用于對信息系統(tǒng)的了解和描述，包括：面談法、系統(tǒng)文檔審閱法、觀察法、計算機系統(tǒng)文字描述法、表格描述法、圖形描述法等。應用計算機的方法一般用于對信息系統(tǒng)的控制測試，包括：測試數(shù)據(jù)法、平行模擬法、在線連續(xù)審計技術(通過嵌入審計模塊實現(xiàn))、綜合測試法、受控處理法和受控再處理法等。應用計算機技術的審計方法主要是指計算機輔助審計技術與工具的運用。但不能把計算機輔助審計技術與工具的使用過程與信息系統(tǒng)審計等同起來。在信息系統(tǒng)審計的過程中，仍然需要運用大量的手工審計技術。

　　在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個財務信息系統(tǒng)或財務信息系統(tǒng)與業(yè)務信息系統(tǒng)之間相互轉(zhuǎn)移，在此過程中可能會出現(xiàn)一些問題，尤其是在需要手工重新錄入時。因此在審計時要重點關注以下方面：在轉(zhuǎn)移過程中數(shù)據(jù)可能會發(fā)生變化;新的科目代碼表與老的可能不一樣，需要在兩個財務信息系統(tǒng)之間建立復雜的對應關系：中心數(shù)據(jù)庫可能被一些地理上分散的服務器取代;當前財務信息系統(tǒng)中的數(shù)據(jù)質(zhì)量不佳;當用一個總的信息系統(tǒng)取代一個預定財務信息系統(tǒng)時，需要補充許多新的數(shù)據(jù)。在檢查這一環(huán)節(jié)時，一定要保證輸出的消息是經(jīng)過批準、完整和精確的，保證輸出的消息在約定時間內(nèi)準確地發(fā)送給指定的接收者，保證流人的消息是完整、準確和真實可靠的。

　　21世紀是信息化的時代，信息技術的飛速發(fā)展也給審計領域帶來了巨大的沖擊，它促使對傳統(tǒng)業(yè)務流程的再造，以促進更加高效的運營，并加強企業(yè)內(nèi)部、企業(yè)與客戶、企業(yè)與供應商之間的溝通。然而，這種進步同時也會引發(fā)新的風險，需要企業(yè)有專門的內(nèi)部控制措施來控制這種新的風險，還需要新的技術來評估控制的有效性，確保企業(yè)數(shù)據(jù)以及生成這些數(shù)據(jù)的信息系統(tǒng)的安全性和準確性。

　　一、信息系統(tǒng)審計概況

　　(一)何謂信息系統(tǒng)審計

　　信息系統(tǒng)審計是指根據(jù)公認的標準和指導規(guī)范對信息系統(tǒng)及其業(yè)務應用的效能、效率、安全性進行監(jiān)測、評估和控制的過程，以確保預定的業(yè)務目標得以實現(xiàn)。日本通產(chǎn)省1996年對信息系統(tǒng)審計的定義為：“為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的IT審計師，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向IT審計對象的最高領導，提出問題與建議的一連串活動。”

　　由于將傳統(tǒng)的審計技術應用于信息系統(tǒng)之中，因此信息系統(tǒng)審計是一門綜合性交叉性學科。在IT環(huán)境下，審計理論基礎為審計理論與其他學科理論提供了一個公共區(qū)域，各學科理論知識相互交叉、滲透、融合，共同組成一個有序的、交互滲透的、相互關聯(lián)的動態(tài)網(wǎng)絡，服務于審計理論。

　　(二)信息系統(tǒng)審計的產(chǎn)生及發(fā)展

　　20世紀60年代，隨著第二代晶體管計算機的出現(xiàn)和計算機應用的普及，特別是會計電算化之后，開始出現(xiàn)了IT審計。在信息系統(tǒng)審計的萌芽階段，系統(tǒng)審計(System Audit)、電子數(shù)據(jù)處理審計(EDP Audit)和計算機審計(Computer Audit)這些概念之間并沒有很明確的界限劃分，它是作為傳統(tǒng)審計業(yè)務的擴展發(fā)展起來的，并且都是在計算機大量進入實用階段后產(chǎn)生的。

　　到了20世紀70年代，隨著利用計算機犯罪的案例開始出現(xiàn)，美國注冊會計師協(xié)會和內(nèi)部審計師協(xié)會先后發(fā)表了《內(nèi)部管理的調(diào)查與評價對EDP的影響》和《系統(tǒng)可審計性及規(guī)則的研究》兩份報告。同時日本注冊會計師協(xié)會也意識到了信息系統(tǒng)審計的重要性，于70年代中期設立了IT審計委員會。到了80年代，日本通產(chǎn)省在日本的軟件水平考試中添加“IT審計師”一級的考試，以作為該考試的最高級別。

　　20世紀90年代開始隨著信息系統(tǒng)的發(fā)展，系統(tǒng)越來越復雜化、大型化、多樣化和網(wǎng)絡化，再加上Internet的出現(xiàn)，使信息資源的作用得到充分發(fā)揮。互聯(lián)網(wǎng)可以成為電子商務、金融證券的運作平臺，當然也可以變成計算機犯罪的場所。別有用心者可以利用互聯(lián)網(wǎng)的便利制造混亂，危害社會經(jīng)濟安全，競爭對手之間也可以通過其攻擊或者竊取對方機密，大量事實證明信息系統(tǒng)的安全是可以關乎到國家安全的重要問題。因此，如何確保信息系統(tǒng)的安全、可靠和有效變得越來越重要。

　　說到信息系統(tǒng)審計，就不能不說ISACA。所謂ISACA，全稱為信息系統(tǒng)審計和控制協(xié)會(The Information System Audit and Control Association，ISACA)，其成立于1969年，是一個總部設在美國的芝加哥、擁有20000多名會員的跨國界、跨行業(yè)的專業(yè)機構，其前身為EDP審計師聯(lián)合會。ISACA目前在世界上100多個國家設有160多個分會，該協(xié)會還舉辦一年一度的注冊信息系統(tǒng)審計師(Certified Information System Auditor，CISA)考試，ISACA是目前唯一有權授予國際信息系統(tǒng)審計師資格的組織。

　　隨著信息化成為企業(yè)的中樞，左右著企業(yè)的命運，歐美的發(fā)達國家?guī)缀跛写笃髽I(yè)的管理者都認識到了IT審計的必要性。人們也越來越清楚地意識到利用IT審計能有效地管理信息及與信息相關的技術，是進入信息化社會的可靠保障，在發(fā)達國家IT審計已得到了普及。

　　(三)信息系統(tǒng)審計的范圍

　　信息系統(tǒng)審計的對象是指以電子計算機為核心的信息系統(tǒng)，并覆蓋信息系統(tǒng)從計劃、分析、設計、編程、測試、運行維護到系統(tǒng)報廢為止的全生命周期的各個環(huán)節(jié)。要保證信息系統(tǒng)的安全有效，僅把信息系統(tǒng)審計僅僅理解為是對計算機硬件與軟件的審計是不夠的，信息系統(tǒng)審計必須是針對整體的信息系統(tǒng)進行的，而整體信息系統(tǒng)是包括信息系統(tǒng)環(huán)境以及與此有關的業(yè)務等在內(nèi)的有機結合的整體，是以促使企業(yè)整體的健全的信息化為目標的。

　　二、信息系統(tǒng)審計的實施過程

　　由于信息系統(tǒng)在企業(yè)中的核心地位，因此對信息系統(tǒng)的審計要貫穿整個信息系統(tǒng)生命周期的始終。信息系統(tǒng)的生命周期可以分為系統(tǒng)規(guī)劃、系統(tǒng)設計、系統(tǒng)實施、系統(tǒng)運行和維護五個階段。所以信息系統(tǒng)審計的實施過程可分為：信息系統(tǒng)開發(fā)過程的審計、信息系統(tǒng)實施過程的審計和信息系統(tǒng)維護過程的審計。

　　(一)信息系統(tǒng)開發(fā)階段的審計

　　一個大型信息系統(tǒng)的開發(fā)需要花費大量人力、物力和財力，如果開發(fā)不當，投入運行后需要的維護費用甚至會大大超過開發(fā)費用。對信息系統(tǒng)開發(fā)過程的跟蹤審計是信息系統(tǒng)安全、可靠、有效的重要保證。在信息系統(tǒng)的開發(fā)過程中，每個階段都不可避免的會發(fā)生錯誤，而且前一個階段的錯誤必然會導致后一個階段相應的錯誤發(fā)生甚至擴大，這也就是軟件錯誤的“積累放大”效應。另一方面，在后期改正一個錯誤會比在早期改正同一個錯誤付出更多的代價。錯誤發(fā)現(xiàn)得越早，改正越容易，代價也越低。因此，通過對信息系統(tǒng)開發(fā)過程的中的每個階段進行跟蹤審計，可以及時發(fā)現(xiàn)并指出每個階段發(fā)生的錯誤，使這些錯誤能夠及時被修正，從而減輕開發(fā)過程中軟件錯誤的積累放大效應，進一步降低開發(fā)過程所花費的成本，同時保障整個信息系統(tǒng)的質(zhì)量。

　　(二)信息系統(tǒng)實施階段的審計

　　在系統(tǒng)開發(fā)過程中的系統(tǒng)實施階段，要建立數(shù)據(jù)庫，對應用程序進行編碼和測試，購買安裝設備，培訓雇員，整理系統(tǒng)文檔并安裝新系統(tǒng)。審計人員、編程人員、數(shù)據(jù)庫管理員、用戶和會計師都要參與實施過程。這一階段的活動耗費了大部分成本，通常花費更多的工時，超出系統(tǒng)開發(fā)其他所有階段的總和。

　　(三)信息系統(tǒng)維護階段的審計

　　一旦系統(tǒng)實施完成，便進入信息系統(tǒng)開發(fā)的第三階段――維護。這是系統(tǒng)生命周期中最長的階段，通常會跨越幾年時間。系統(tǒng)在這一階段并非靜止，實際上它們會經(jīng)歷一些或大或小的修改，使之適應用戶需求的變化。有時變化很小，例如修改系統(tǒng)以生成新的報告，或者改變應用程序的邏輯和用戶界面。維護同樣可以是大范圍的，例如對應用程序的邏輯和用戶界面進行大的變動。

　　如果對應用程序進行了維護，其完整性可能遭到破壞。因此審計師的檢查必須擴展到維護階段，以確定應用程序的完整性是否依然存在。

　　三、我國信息系統(tǒng)審計的現(xiàn)狀

　　90年代末，國內(nèi)有學者提出計算機審計，電算化審計，但概念還停留在對會計信息系統(tǒng)的審計上，基本上延伸手工會計信息系統(tǒng)審計，尚未全面探討信息時代給審計業(yè)務帶來的深刻變化。以我國在1999年頒布了《獨立審計準則第20號——計算機信息系統(tǒng)環(huán)境下的審計》為例，其更多關注的是會計信息系統(tǒng)。

　　中國審計協(xié)會為了規(guī)范審計機構及人員的信息系統(tǒng)審計活動，保證審計質(zhì)量，于2008年根據(jù)《內(nèi)部基本審計準則》的精神制定并頒布了《審計具體準則第28號——信息系統(tǒng)審計》。這是我國第一個真正意義上的信息系統(tǒng)審計準則，也為我國信息系統(tǒng)審計人員開展信息系統(tǒng)審計活動提供了法律依據(jù)。

　　我國開展信息系統(tǒng)審計已經(jīng)迫在眉睫，而開展信息系統(tǒng)審計將面臨審計觀念的轉(zhuǎn)變、缺乏信息系統(tǒng)審計的專業(yè)人才以及行業(yè)準則與實務指南缺失等問題，應加快行業(yè)準則與實務指南的制定，加大力度培養(yǎng)專門的信息系統(tǒng)審計師。

　　四、結語

　　目前，國內(nèi)有關信息系統(tǒng)審計的研究較少，大多的會計師事務所的業(yè)務仍主要是傳統(tǒng)的財務報表的審計。而在國外，信息系統(tǒng)審計的發(fā)展越來越快，因為企業(yè)的發(fā)展，越來越依賴信息系統(tǒng)正常、穩(wěn)定的運行，信息系統(tǒng)已經(jīng)成為企業(yè)戰(zhàn)略中的一部分。信息系統(tǒng)審計在國內(nèi)尚不受重視，歸結其原因，一方面是國內(nèi)企業(yè)僅僅把信息系統(tǒng)作為企業(yè)的輔助功能，沒有將其看作企業(yè)戰(zhàn)略的一部分;另一方面是我國目前缺乏相關的專業(yè)信息系統(tǒng)審計人才，大多數(shù)審計人員沒有IT背景，而IT人員又不了解審計知識。

　　因此，我們應加大信息系統(tǒng)審計的宣傳，讓人們了解什么是信息系統(tǒng)審計，為什么要進行信息系統(tǒng)審計。此外，要大力培養(yǎng)信息系統(tǒng)審計師，開展信息系統(tǒng)審計業(yè)務。還要盡快完善行業(yè)管理制度規(guī)范，如從事電子商務的企業(yè)必須經(jīng)過審計、上市公司的信息系統(tǒng)必須經(jīng)過審計等。借鑒會計師行業(yè)的經(jīng)驗，對信息系統(tǒng)審計職業(yè)的自律規(guī)范開展研究，包括資格考試制度、職業(yè)道德、執(zhí)業(yè)規(guī)范與懲戒等，使我國信息系統(tǒng)審計事業(yè)在健康規(guī)范的軌道上快速發(fā)展。