IT審計教學案例設計

齊瑩

《審計學》課程作為高校經管類專業的重點必修課之一，具有理論性強、綜合性高、實務性專的特點。一般來說，《審計學》課程的教學內容圍繞傳統的審計理論體系展開，依據注冊會計師鑒證業務基本準則規范，主要針對審計工作的基本要求、業務承接、制訂審計計劃、風險評估、風險應對、完成審計工作及出具審計報告的工作流程展開。

近年來隨著信信息技術的快速發展和互聯網的普及，越來越多的企業運用信息系統對核心業務進行處理，并在系統中生成、存儲重要的業務及財務數據，例如新興的網絡游戲行業。傳統的管理手段被信息系統替代，徹底改變了組織內部管理控制的方式和流程。因此，審計師必須在計劃和執行審計工作時對企業信息技術進行全面考慮。

為了適應信息化環境，國內高校都高度重視綜合性審計人才的培養，然而IT（信息技術）審計教學內容依然成為財經類專業審計教學內容中的孤島，主要原因是眾多專業的財經類老師對計算機審計技術并不了解，只有少部分財經類高校單獨開設了計算機輔助審計與信息系統審計。更多的教師是將IT審計單獨作為教學中的一章內容進行講解。

在不單獨開設IT審計課程的前提下，如何與傳統審計理論結合講解IT審計是本文探討的內容。本文將以教學中采用的“網絡游戲公司的IT審計程序”為例，說明IT審計在傳統審計流程的切入點及工作流程。

IT審計教學目的

掌握IT審計的基本理論

IT審計是一個通過收集和評價審計證據，對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效實現、使組織的資源得到高效使用等方面做出判斷的過程。一般將IT審計工作分為公司層面IT控制（ITELC）、IT一般性控制（ITGC）及應用程序控制（ITAC）三個層次。

明晰執行IT審計的意義

通過詳細介紹IT審計工作的意義，向學生傳達正確觀念，即IT審計是傳統審計的有益補充而不是取締傳統審計。對比傳統審計與IT審計，除了基本一致的工作原則及體系結構，IT審計是傳統審計的有益補充，主要表現在以下方面：

1.降低審計風險。對于信息系統高度依賴的被審計單位，其日常單據和記錄都是依賴信息系統生成、存儲和輸出，如果不對IT風險進行評估，就無法確認數據的真實性及完整性了這對審計效果有很大影響。目前，監管部門分別對信息系統安全性審計做了詳細規范，主要目的是審查企業信息系統的故障風險、非法入侵風險、電子數據存儲風險等安全隱患，對于信息安全問題予以重點關注。例如，針對游戲公司的收入發生認定，IT審計對游戲玩家充值記錄進行分析，識別充值行為異常的玩家，確定是否存在游戲公司自充值的問題。

2.提高審計效率。IT審計較傳統審計最大的不同在于其審計工作是以計算機為載體進行。利用計算機，IT審計人員可以通過對海量原始數據、信息系統和輸出數據進行大量的審計工作，有效提高審計效率。實務中IT審計的工作人員往往都是信息技術人員，能夠與企業IT人員進行有效溝通，通常企業IT人員能夠對業務流程、系統架構、數據流轉方面掌握和描述的更準確。

3.確保公司的合規性要求。證監會和深交所均對互聯網行業的業務數據披露提出要求，并明確表示審計工作應當圍繞公司業績真實性進行專項核查。另外對IT審計人員素質及核查方法的獨立性也有相應要求，通過擴充IT審計對公司合規性進行更嚴格的核查。例如，證監會2014、2017年分別對游戲公司業績真實性、相關績效指標及算法進行專線核查。北京注冊會計師協會2016年發文規定網絡游戲企業收入審計技巧和方法等。

4.客戶增值服務。通過提供IT審計服務，審計師可以為被審計單位帶來增值服務，包括但不限于完善IT治理架構、提高IT管理水平、改善IT處理環境、提高IT運行效率及降低IT風險。

理解IT審計與傳統審計工作階段的關系

IT審計并不是另成一派的審計方法，而是傳統審計的有益補充，兩者具有基本一致的工作原則及體系結構。然而，IT審計關注的重點與傳統審計關注的內容不同（見表1）。

以網絡游戲公司為例說明IT審計過程要點

以網絡游戲公司為案例，一方面是手機游戲等已經非常普遍，這樣的案例比較貼近學生生活，激發學生的研究興趣；另一方面，熟悉公司存在大量的系統數據，傳統的審計方法無法應對其產生的風險，只能利用IT審計方法來應對。授課前，將目標公司的基本資料發給學生進行課前預習，目標公司是一家集網絡游戲及手機游戲研發、運營、發行于一體的互聯網科技公司，其收入來源主要有游戲運營分成、游戲授權金及游戲外包。本文重點說明控制測試與實質性程序階段。

執行控制測試

在確定審計計劃后，IT審計人員應按時開展內部控制測試，并在傳統審計工作的基礎上，對公司依次進行公司層面IT控制、IT一般性控制及應用程序控制，及時溝通審計發現和結論。

1.公司層面IT控制。公司層面IT控制通常是對公司整體IT風險的判斷，測試方法基于COSO內部控制框架的八個內部控制要素，此控制是對公司整體IT風險的判斷，主要是站在IT管理的角度評估IT風險，了解公司的內控機制和相關管理制度，總體把握其業務結構和系統構成。各方面控制所需資料文件及對應要求如下表2。

2. IT一般性控制。該控制是審計人員風險評估及控制測試的主要層面。主要指針對被審計單位信息系統開發、變更管理、信息安全以及運行維護四大方面的控制，主要對象包含應用系統、數據庫、操作系統、網絡支持、硬件支持及物理環境。游戲公司的業務活動對信息系統的上述五方面都有高度的依賴性。IT審計人員首先需要確定公司的信息系統環境是否良好、其計算機硬件底層和操作系統中間層是否設計合理、系統的管理與維護是否有合理明確的制度要求等，才能探討應用層的數據真實性及準確性。

對信息系統開發的審計。對系統開發的控制內容包括授權審批、需求分析、系統設計、代碼編寫、數據遷移、系統測試以及驗收上線等，其中需求分析、系統設計、代碼編寫和測試數據是四個關鍵控制點，下圖以系統開發為例說明IT審計過程中的要點。

對系統變更管理的審計主要是對變更管理的控制內容，主要包括需求確認、授權審批、變更測試、變更追蹤、職責分離、文檔管理等，其中授權審批、變更測試及變更追蹤是三個關鍵控制點，控制所需資料文件及對應要求分別是每次的授權審批記錄完整準確、內部及外部測評和用戶測試記錄完整、測試記錄完整。

對信息安全的審計主要是對信息安全的控制，內容主要包括用戶賬號管理、定期審閱、口令安全設置、遠程訪問、物理安全和網絡安全等，其中用戶賬號管理、口令安全設置、遠程訪問是三個關鍵控制點，資料質量要求分別是提供系統資料及管理記錄真實完整、口令安全程序合理可靠并需要提供數據流程說明、訪問指令設計合理可靠、訪問及維護記錄完整準確。

對運行維護的審計內容包括系統運維制度及人員管理、數據庫管理、運行發生的時間與問題管理、通信系統管理和運行管理，資料質量要求分別是特殊事件及其處理手段和結果追蹤記錄完整、數據的傳輸是否遵守規則及操作順序是否標準化。

3.IT應用程序控制。應用程序控制是指由程序執行的控制，用以替代很多由人工完成的基礎性檢查工作，它存在于每一個基于計算機應用系統的業務和數據處理中，主要包含系統自動控制和依賴IT的手工控制。對于游戲公司收入核算的部分需要大量應用程序控制，該類控制是否有效對財務報表的完整性和準確性以及公司內部控制的有效性有重要影響。

對于系統自動控制的審計，需要對信息系統底層應用編程代碼及計算機語言邏輯的準確性進行檢查，必要時需在企業IT技術人員的協助下提取相關編程語句，對應用的準確性和完整性進行驗證與控制；對于依賴IT的手工控制， IT審計人員需要針對網絡游戲收入的業務流程執行穿行測試，進而去客戶化地識別公司程序的控制，最后根據控制類型確定測試方法。

實質性測試

以收入測試為例，游戲公司應該按照游戲幣的消耗來確認收入，通過IT手段執行分析性復核程序及直接數據測試，驗證游戲運營分成收入數據的準確性和完整性，并通過對游戲玩家行為的分析，驗證收入的真實性，及時溝通審計發現及結論。審計期間內執行的核查程序如表4所示，做游戲公司的數據核查時，應該重點關注的四個指標“充值+贈送=消耗+剩余”。

在教學過程中，根據執行的每一種程序向學生展示數據結果圖（如圖1），并根據圖形帶領學生分析數據游戲公司收入的異常點。

案例思考及討論

通過對游戲公司主要IT審計業務的介紹，啟發學生思考。

1. IT風險與IT審計風險之間的區別，探討被審計單位應該采取哪些防范措施降低企業的IT風險，而IT審計工作人員在審計工作過程中應該采用哪些方法降低IT審計風險。學生需要從被審計單位及審計師等不同角度反思審計理論中強調的“風險”概念。

2.討論除了網絡游戲公司外，目前還有哪些行業在審計工作中必須進行IT審計，并形成判斷標準。啟發學生從案例中歸納總結出需要進行IT審計的公司所具備的共同特點，提高審計執業敏感度。

3.討論不同層次的信息技術控制與什么層次的重大錯報風險評估對應，以及應對措施。將IT審計知識與其他審計理論融合，增強學生對審計理論的理解程度。

結 語

審計教學的難點在于與審計實務建立起密切的聯系。只有理論與實務緊密結合，學生在課堂上所學的專業理論知識通過實踐才能掌握得更好，理解得更深刻。本文研究的是在傳統審計理論基礎上，單獨擴充IT審計一章。通過網絡游戲公司的案例設計，將IT審計理論知識與實際業務相結合，提高學生融會貫通的能力。

課程教學改革需要在教學中不斷進行，一方面要通過教學掌握學生在本課程學習中存在的問題，挖掘問題產生的原因，從而在現有教學條件的基礎上不斷地進行完善和改革，以提高教學效果。另一方面需要使教學內容緊跟時代，將最新的審計方法及理念傳達給學生，才能激發學生的學習興趣，提高教學質量和教學效果。

（北京工業大學）