信息系統審計策略

鄒先娥

關鍵詞：信息系統;審計;策略

隨著信息技術的迅速發展，計算機技術在企業管理方面的迅速普及，電子商務和電子政務的廣泛運用，信息系統審計的地位和作用日益凸顯。由于法規依據、專業規范、審計資源等諸多因素的制約，我國信息系統審計仍處于起步階段。加強信息系統審計理論的研討，對促進信息系統審計的發展具有十分重要的意義。

國際上對信息系統審計還沒有固定、統一的定義。國際信息系統審計委員會（ISACA）認為“信息系統審計是一個獲取并評價證據，以判斷計算機系統是否能夠保證資產的安全、數據的完整以及有效率利用組織的資源并有效果地實現組織目標的過程”。據此，對于影響信息系統的安全性、穩定性和有效性的所有元素，都應納入信息系統審計的內容，包括信息系統管理與控制、信息系統基礎設施、信息防護、應急計劃和災難恢復等，可以采取全面審計或專項審計、定期審計或非定期審計方式開展，在開展過程中應貫徹以下策略：

一、審計依據策略—加強法規、標準和制度建設

與一般審計一樣，信息系統審計應有相應的法律制度依據。目前，指導信息系統審計的法律依據主要有《中華人民共和國審計法）、《獨立審計具體準則第20號一計算機信息系統環境下的審計》等，在審計實踐中，這些依據暴露出缺乏具體、可操作性的缺點;同時，大多數組織內部也沒有完善的制度規定，造成信息系統審計缺乏有力的制度支撐。因此需要加快法規制度建設，為開展信息系統審計提供依據。一是加快相關的實施細則的制訂。在信息時代，系統中的控制及相互依賴已經沒有了組織與地理位置的限制，不管是什么規模的組織，都需要有一套控制指南來有效地管理信息系統和技術，并隨著業務環境的變化和新技術的發展及時更新系統;二是各行業可將國際公認的信息安全標準與我國法律、法規、標準相結合，制定比較具體的信息化建設的規劃和技術標準;三是將信息系統審計納人企業內部控制框架之中，推動信息化管理內控制度建設，為實施信息化管理提供制度保障，使信息、系統審計逐步作為制度化的、日常的審計業務來開展。

二、審計目標策略一系統價值最大化

信息系統審計有四大目標，即：安全性、可靠性、效率性和效用性。這四個目標具有遞進性關系，安全性是基礎，績效性是歸宿。由于這四個目標之間并不總是正相關的關系，存在內在的矛盾性，所以需要在各目標之間進行權衡，以實現信息系統價值的最大化。如何評定系統價值最大化呢？筆者認為，可以根據組織的實際情況，為各目標設定一個權重，然后對各目標進行獨立評分，取加權平均值最大的作為系統價值最大化的評判標準;信息系統價值最大化，可以引導資金的合理流動、促進資源的有效配置、保護產權，降低內耗，進而實現企業價值最大化，與組織目標保持高度彌合。

三、審計范圍策略一以點帶面逐步推開

由于信息、系統審計處干起步階段，信息系統審計方面的法規、技術等尚不成熟，審計人員對所有業務系統缺乏全面的了解，各組織信息化程度層次不齊，所以在我國全面開展信息系統審計還不大現實。只能選擇條件成熟的行業和業務系統開展審計實踐，以點帶面逐步推開。筆者認為，可以選擇下述內容進行開展：一是對信息程度較高的企事業單位率先開展。如金融、電信、政府等信息化程度較高，具備了開展信息系統審計的條件，其自身也有內在需求;二是對關鍵的業務應用系統率先開展，如會計電算化系統、企業辦公自動化系統（OA）、企業資源規劃系統（ERP）、電子商務系統（EC）等，依靠對這些系統審計方面的突破，引導建立成熟的信息系統審計體系。

四、審計重點策略一風險導向審計

風險導向審計是一種有效審計策略。信息系統審計作為審計不可或缺的一部分，理應建立風險導向審計策略。國內外的實踐表明：信息化是有風險的，信息系統規模越大，功能越復雜，風險也就越大，如果不加選擇地開展，在資源利用上是不經濟的，也違背了成本效益原則。以風險為導向來確定審計重點，可以起到事半功倍的效果。通過對系統所固定的風險和系統內部控制機制進行評估和分析的基礎上，對系統高風險和控制環節進行重點檢查和檢測。按風險大小對各項業務進行排序，對風險高的業務優先審計，增加審計頻率。

五、審計方法策略一堅持繼承與創新

繼承傳統的審計方法，并根據信息系統審計的需要進行創新，可以大大提高審計的質效。如對基礎設施審計可采用現場觀察或測試，對系統控制與運行審計可采用查看運行日志與記錄等傳統的審計方法，同時又可根據信息系統的特征進行必要的創新，如對系統運行狀況采用平行模擬測試、試探性操作，對關鍵系統采用嵌入式審計模塊等。堅持繼承和創新，通過審計實踐，逐步建立起一套系統的、成熟的、適合該系統的審計方法體系。

六、審計溝通策略一參與式審計

以解決問題為導向的參與式審計是西方現代內部審計的精髓。參與式審計可以營造和諧的審計環境，提高審計的質效。參與式審計就是審計人員抱著信任的態度，本著服務的宗旨出發，與被審計單位充分討論審計實施方案，聽取其想法，共同探討審計中發現的問題和改進的措施，更容易贏得理解與信任，推動審計成果運用。

[1]盧紅柱.計算機信息系統審計的探索之路[J].審計研究;2006年S1期.

[2]管亞梅，數據式審計及其在我國的運用[J]財會通訊（綜合），2007，（10）

[3]李希福，知識經濟條件下的審計創新對策[J]財會通訊，2000，（1）

[4]張永雄.信息系統審計產生及發展研究[J].審計與理財.2005年S2期

[5]黎克雙.電算化會計信息系統的內部控制[J].吉首大學學報（自然科學版）.2001年02期