對信息系統審計工作的思考

隨著計算機技術的迅猛發展，審計部門如果想更加勝任年度審計目標任務，著力提高審計的效率和效果，充分發揮審計 “免疫系統”的功能作用，就必須加快信息系統審計的步伐。信息系統審計的定義，是指通過評價、收集審計證據的方式，對被審單位的信息系統能否維護數據的完整、保護資產的安全、使被審計單位的目標能夠得到實現，使單位的各項資源得到高效地使用等方面做出判斷的過程。那么，在新形勢下審計部門必須充分提高信息系統對審計重要意義的認識，切實把握信息審計的基本要點，加強組織，強勢推進。

一、信息系統審計的基本要點

（一）目標內容

信息系統審計的目標不僅在于審計人員在審計過程中要學會注重運用計算機進行審計，對被審單位的信息系統本身的安全性、穩定性的審查，以及實現對部門單位的有效管理目標是更加重要的方面，進行實時的檢查、改造和評價；通過評價整個信息系統的穩定性、安全性、內部控制的健全性與有效性，以及對系統信息的公允性、合法性和軟硬件的審計，發現管理上的漏洞，指出信息系統內部控制的缺陷，防止利用信息技術破壞磁介質上的數據或隨意篡改系統信息等，提高信息系統的可靠性和真實性，使信息系統在部門單位經濟管理中發揮更多大的功能作用。

信息系統審計的內容重點是檢查部門單位信息系統開發程序是否恰當，系統應用控制是否有效，一般控制是否合理，主要包括對信息系統的一般控制、應用控制和 開發過程這三個方面的審計內容。

（二）依據原則

當前信息系統審計工作還處于初始階段，各級審計部門還在不斷地探索之中，且未形成一套成熟的專業規范，在此情況下，審計人員主要是依據信息系統的管理制度、條例和法規、ISO9000、信息系統的實際運行情況以及參考ISACA發布的《信息系統審計準則》來開展信息系統審計業務的，這就需要審計人員在信息系統審計過程中不斷地總結經驗，探索地方信息系統審計工作指南，為上級審計機關制定信息系統審計準則提供更為科學的依據。

信息系統審計總體應堅持三項基本原則。一是堅持“自上而下，上下聯動”的原則。越是層次高的審計部門，懂得計算機信息系統審計的人才就越多，審計技術水平就超高，而且信息系統一般都是自上而下進行部署運用的，這樣通過上級審計部門先行審計，不斷地探索信息系統的審計方式方法，進而可以有效降低重復審計，最大化利用審計成果，有效提高信息系統審計效率。二是堅持“循序漸進、逐步推開”的原則。在審計部門和審計人員條件均具備的情況下，先易后難，先選擇合適的審計項目試點，再逐步推開。三是堅持單一型和復合型審計融合的原則。盡量安排信息系統單一型或者復合型的審計項目在年初審計計劃上，讓審計人員在實踐中不斷提高信息系統審計水平；在審計的實施階段過程中，要使傳統的財務審計項目與信息系統審計的有機地結合起來，使信息系統審計與整個審計工作銜接，確保信息系統審計的結果能夠運用到整個審計工作中。

（三）職能方式

信息系統審計的基本職能主要包括“保證”和“咨詢”兩大基本職能?！氨ＷC職能”就是看系統可靠性保證程度高低如何。通過對信息系統運行過程、維護狀況和商業連續性能力進行測試和評價，以確定信息系統的安全、有效、穩定是否得到合理地保證?！白稍兟毮堋本褪侵笇徲嬋藛T通過對部門單位的信息系統審計，發現信息系統運行過程中存在的問題和不足，通過為信息系統的使用者以及高層管理者提供問題的解決方案，為部門單位改善經營和增加經濟效益的。

信息系統審計組織方式主要有兩種。一是獨立型審計方式。就是年初審計部門單獨對信息系統進行立項審計，將信息系統本身的有效性、安全性和可靠性作為審計最終目標。二是結合型審計方式。就是將信息系統審計作為日常項目審計的內容之一，將信息系統審計與財務審計和內控審計三者有機地結合起來，檢查信息系統本身及其內部控制的有效性和可靠性，最終通過審計數據得出審計結論予以驗證，進而為整個審計項目總體目標搞好服務。

（四）重點環節

1.內部控制環節。重點檢查信息控制系統資源的存取、使用、分配、記錄、確認、修改、保護等七個方面的內容，以全面測試計算機系統內控制度的有效性。

2.數據記錄環節。審計人員通過選擇一些正常財務活動業務記錄的數據資料，對信息系統進行詳細檢查，確認財務會計記錄和系統交易數據是否符合審計目標，信息記錄的數據是否真實可靠。一方面要重點檢查會計事項信息的時效性、完整性、真實性和信息披露的合規性；另一方面要重點檢查會計計量以及信息披露的真實性，財務報表信息的存在性、所有權、完整性。

3.數據傳輸環節。經常遇到在計算機信息系統的使用中，有部分數據需在財務信息系統與業務信息系統之間，以及兩個財務信息系統之間進行相互轉移，這就需要審計人員在審計時要重點關注在轉移過程中數據可能會發生變化。因此，審計人員在檢查這一傳輸環節時，一定檢查傳輸的手續是否齊全、程序是否合規，以保證輸出的數據是精確和完整、經過批準的，保證傳輸的數據資料與原始記錄相符，保證輸出的數據是在約定時間內準確地發送給指定的接收者，確保輸入的數據具備真實性、準確性和完整性。

（五）技術方法

信息系統審計的方法包括手工方法和計算機輔助審計兩種方法。手工方法主要包括觀察法、面談法、系統文檔審閱法、表格描述法、圖形描述法、計算機系統文字描述法等方式，主要用于對信息系統的描述和理解。計算機輔助審計方法主要包括平行模擬法、數據測試法、綜合測試法、受控處理法、在線連續審計技術和受控再處理法等，主要用于信息系統的控制方面測試。

（六）流程步驟

審前調查和審計實施兩個階段，是信息系統審計的主要流程。依靠所獲取的證據并進行評價，從而判斷信息系統可否確保資產的安全、有效，以及可否給出真實、完整的系統信息，是一個動態循環流程，在審計調查階段，首先要初步測試被審單位的計算機系統，在后續的審計步驟中被審單位的計算機系統是否需要檢查，通過所掌握的情況制定階段審計的實施計劃；在審計的實施階段，對照審計計劃，進行認真的審查和測試計算機系統的控制。

信息系統審計的步驟如下。

1.審前準備階段。主要是調查被審計單位會計信息化的基本狀況，了解被審單位計算機業務處理流程及數據結構，信息系統結構、數據庫類型、查看被審單位信息系統開發情況、計算機設備軟硬件情況、數據完整程度以及業務量大小，被審單位實施計算機審計是否能降成本增效率、審計的風險大小。在此基礎上，進一步明確信息系統審計范圍、分析審計潛在風險、確立審計工作重點。同時，審計人員要認真調查被審單位的經濟性質、管理體制、機構設置、人員編制情況，財政財務隸屬關系或者國有資產監督管理關系情況，采集被審單位有關會計數據，召開審前調查工作座談會，同被審單位的領導、財務人員以及職工代表等有關人員進行面談，查看其會計信息系統的基本資料，搞好內部控制制度測試。在對被審計單位作出上述詳細的審前調查之后，審計人員必須制定審計計劃，優化配置審計資源，確定在數據定義、采集、轉換以及分析中需要的軟件及硬件設備。

2.審計實施階段。實施階段是信息系統審計的主要階段，審計人員首先要對被審單位做好符合性測試，以便對內部控制進行評價。依靠所獲的符合性測試的結果，審查被審單位的業務數據。審計人員可依靠準備階段制定的審計計劃所確定的審計重點、范圍、方法和步驟，進行認真的測試，仔細的審計取證，并對審計所采集的證據進行運用和分析，以便得到審計結論，做好審計評價，發表審計意見。

3.審計報告階段。審計人員在對會計信息系統進行審計測試后，要及時分類歸納核實材料，并依據審計收集的證據，編制審計工作底稿，認真撰寫審計報告，對被審計單位財務收支的真實性、合法性、效益性和會計報表的公允性、一致性、合理性提出意見，得出審計結論；評價被審計單位的會計信息化系統的處理功能、內部控制情況，提出進一步完善的意見。

4.審后復審階段。如果被審計單位進行會計信息化系統改造升級后，審計人員還需要進行后續審計，認真詳細審查計算機內部數據處理的過程。如果被審計單位對審計結論和決定有異議的，可以提出復審的要求，審計人員可組織復審并作出復審決定和結論。

二、做好信息系統審計工作的對策措施

（一）加強審計人員進行信息系統審計意義的認識

當前，一些地方審計機關審計人員對計算機信息系統審計工作認識不足，不能適應形勢發展的要求。認為計算機輔助審計專業性太強，高不可攀，這些問題必須立即改正。審計部門應加強目標考核，將計算機審計作為一項重要指標，落實到每個審計人員身上，每個審計項目中，以增強審計人員運用計算機信息系統審計的緊迫感和責任感。長遠來看，審計人員如果不掌握計算機技術，就必將會失去審計資格。進一步明確重大的審計項目，防止假賬真審。審計部門必須加強其被審計單位應用的信息系統的審計，保證信息系統產生的數據真實完整，信息系統的可靠、安全和有效，檢查被審計單位信息系統內部控制功能。

（二）加強信息系統審計隊伍的培養

計算機信息系統審計是一項技術性、業務性很強的工作，這就要求審計人員既要具備較強的審計業務技能，又要具備較高的計算機水平。對此，一是要強化對現有審計人員計算機輔助審計業務知識的培訓，持續不斷的進行后續培訓教育，不斷增強審計人員計算機信息技術審計的實際操作能力。二是審計部門在選配審計人員時必須將計算機技能作為一個必要條件，在實際工作中要注重安排信息系統審計內容，加大信息系統審計的考核力度，讓審計人員在實戰中不斷加強其信息審計業務技能的培養；三是要開展信息系統審計實務和理論研究，大力推進審計人員在信息系統審計實踐中不斷提煉總結，加強信息系統審計方法體系研究。

（三）加快信息系統審計準則制訂

審計準則是規范化的管理框架，有利于提高審計效率和質量，降低審計風險。因此，要使審計人員規范地做好信息系統審計工作，這就需要審計署盡早出臺信息系統審計準則或者審計操作指南，以克服當前審計部門信息系統審計工作目標不明，內容不清的現狀，以利于審計人員統一規范操作。

（四）上下聯動重點攻關搞好實踐

在當前基層審計機關難以全面推進信息系統審計的情況下，一方面，可以采取省市縣三級或者市縣二級聯手，選擇重點領域、重點項目進行聯合審計，這樣既可以讓基層審計人員在實踐中增長信息系統審計技能；又可以有步驟、有重點地對被審計單位信息系統進行全面審計，擴大審計成果，節約審計成本，減少重復勞動。另一方面，各級基層審計機關要堅持獨立自主的開展信息系統審計工作，不等不靠，抽調計算機專業人員和通過計算機中級考試的業務骨干組成的課題組，選擇重點項目，進行集中攻關，堅持邊學習邊實踐邊總結的工作方法，不斷提高實戰能力。