摘要：信息系統(tǒng)審計(jì)是一個(gè)通過收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。信息系統(tǒng)審計(jì)過程與一般審計(jì)過程一樣，分為準(zhǔn)備階段、實(shí)施階段和報(bào)告階段。其中，準(zhǔn)備階段和報(bào)告階段所涉及的技術(shù)方法與財(cái)務(wù)審計(jì)所運(yùn)用的技術(shù)方法區(qū)別不大，而實(shí)施階段所涉及的技術(shù)方法則具有信息技術(shù)的特色。在實(shí)施階段，針對(duì)被審計(jì)的信息系統(tǒng)，審計(jì)人員所開展的工作可以分為三個(gè)層次，即了解、描述和測(cè)試。

　　關(guān)鍵詞：信息審計(jì),審計(jì)管理,審計(jì)師論文下載

　　計(jì)算機(jī)信息系統(tǒng)環(huán)境下審計(jì)技術(shù)方法與手工環(huán)境下傳統(tǒng)的審計(jì)技術(shù)方法相比，相應(yīng)增加了計(jì)算機(jī)技術(shù)的內(nèi)容。對(duì)信息系統(tǒng)審計(jì)的方法既包括一般方法即手工方法，也包括應(yīng)用計(jì)算機(jī)審計(jì)的方法。信息系統(tǒng)審計(jì)的一般方法主要用于對(duì)信息系統(tǒng)的了解和描述，包括：面談法、系統(tǒng)文檔審閱法、觀察法、計(jì)算機(jī)系統(tǒng)文字描述法、表格描述法、圖形描述法等。應(yīng)用計(jì)算機(jī)的方法一般用于對(duì)信息系統(tǒng)的控制測(cè)試，包括：測(cè)試數(shù)據(jù)法、平行模擬法、在線連續(xù)審計(jì)技術(shù)(通過嵌入審計(jì)模塊實(shí)現(xiàn))、綜合測(cè)試法、受控處理法和受控再處理法等。應(yīng)用計(jì)算機(jī)技術(shù)的審計(jì)方法主要是指計(jì)算機(jī)輔助審計(jì)技術(shù)與工具的運(yùn)用。但不能把計(jì)算機(jī)輔助審計(jì)技術(shù)與工具的使用過程與信息系統(tǒng)審計(jì)等同起來。在信息系統(tǒng)審計(jì)的過程中，仍然需要運(yùn)用大量的手工審計(jì)技術(shù)。

　　在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個(gè)財(cái)務(wù)信息系統(tǒng)或財(cái)務(wù)信息系統(tǒng)與業(yè)務(wù)信息系統(tǒng)之間相互轉(zhuǎn)移，在此過程中可能會(huì)出現(xiàn)一些問題，尤其是在需要手工重新錄入時(shí)。因此在審計(jì)時(shí)要重點(diǎn)關(guān)注以下方面：在轉(zhuǎn)移過程中數(shù)據(jù)可能會(huì)發(fā)生變化;新的科目代碼表與老的可能不一樣，需要在兩個(gè)財(cái)務(wù)信息系統(tǒng)之間建立復(fù)雜的對(duì)應(yīng)關(guān)系：中心數(shù)據(jù)庫(kù)可能被一些地理上分散的服務(wù)器取代;當(dāng)前財(cái)務(wù)信息系統(tǒng)中的數(shù)據(jù)質(zhì)量不佳;當(dāng)用一個(gè)總的信息系統(tǒng)取代一個(gè)預(yù)定財(cái)務(wù)信息系統(tǒng)時(shí)，需要補(bǔ)充許多新的數(shù)據(jù)。在檢查這一環(huán)節(jié)時(shí)，一定要保證輸出的消息是經(jīng)過批準(zhǔn)、完整和精確的，保證輸出的消息在約定時(shí)間內(nèi)準(zhǔn)確地發(fā)送給指定的接收者，保證流人的消息是完整、準(zhǔn)確和真實(shí)可靠的。

　　21世紀(jì)是信息化的時(shí)代，信息技術(shù)的飛速發(fā)展也給審計(jì)領(lǐng)域帶來了巨大的沖擊，它促使對(duì)傳統(tǒng)業(yè)務(wù)流程的再造，以促進(jìn)更加高效的運(yùn)營(yíng)，并加強(qiáng)企業(yè)內(nèi)部、企業(yè)與客戶、企業(yè)與供應(yīng)商之間的溝通。然而，這種進(jìn)步同時(shí)也會(huì)引發(fā)新的風(fēng)險(xiǎn)，需要企業(yè)有專門的內(nèi)部控制措施來控制這種新的風(fēng)險(xiǎn)，還需要新的技術(shù)來評(píng)估控制的有效性，確保企業(yè)數(shù)據(jù)以及生成這些數(shù)據(jù)的信息系統(tǒng)的安全性和準(zhǔn)確性。

　　一、信息系統(tǒng)審計(jì)概況

　　(一)何謂信息系統(tǒng)審計(jì)

　　信息系統(tǒng)審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過程，以確保預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)。日本通產(chǎn)省1996年對(duì)信息系統(tǒng)審計(jì)的定義為：“為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)，提出問題與建議的一連串活動(dòng)。”

　　由于將傳統(tǒng)的審計(jì)技術(shù)應(yīng)用于信息系統(tǒng)之中，因此信息系統(tǒng)審計(jì)是一門綜合性交叉性學(xué)科。在IT環(huán)境下，審計(jì)理論基礎(chǔ)為審計(jì)理論與其他學(xué)科理論提供了一個(gè)公共區(qū)域，各學(xué)科理論知識(shí)相互交叉、滲透、融合，共同組成一個(gè)有序的、交互滲透的、相互關(guān)聯(lián)的動(dòng)態(tài)網(wǎng)絡(luò)，服務(wù)于審計(jì)理論。

　　(二)信息系統(tǒng)審計(jì)的產(chǎn)生及發(fā)展

　　20世紀(jì)60年代，隨著第二代晶體管計(jì)算機(jī)的出現(xiàn)和計(jì)算機(jī)應(yīng)用的普及，特別是會(huì)計(jì)電算化之后，開始出現(xiàn)了IT審計(jì)。在信息系統(tǒng)審計(jì)的萌芽階段，系統(tǒng)審計(jì)(System Audit)、電子數(shù)據(jù)處理審計(jì)(EDP Audit)和計(jì)算機(jī)審計(jì)(Computer Audit)這些概念之間并沒有很明確的界限劃分，它是作為傳統(tǒng)審計(jì)業(yè)務(wù)的擴(kuò)展發(fā)展起來的，并且都是在計(jì)算機(jī)大量進(jìn)入實(shí)用階段后產(chǎn)生的。

　　到了20世紀(jì)70年代，隨著利用計(jì)算機(jī)犯罪的案例開始出現(xiàn)，美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)和內(nèi)部審計(jì)師協(xié)會(huì)先后發(fā)表了《內(nèi)部管理的調(diào)查與評(píng)價(jià)對(duì)EDP的影響》和《系統(tǒng)可審計(jì)性及規(guī)則的研究》兩份報(bào)告。同時(shí)日本注冊(cè)會(huì)計(jì)師協(xié)會(huì)也意識(shí)到了信息系統(tǒng)審計(jì)的重要性，于70年代中期設(shè)立了IT審計(jì)委員會(huì)。到了80年代，日本通產(chǎn)省在日本的軟件水平考試中添加“IT審計(jì)師”一級(jí)的考試，以作為該考試的最高級(jí)別。

　　20世紀(jì)90年代開始隨著信息系統(tǒng)的發(fā)展，系統(tǒng)越來越復(fù)雜化、大型化、多樣化和網(wǎng)絡(luò)化，再加上Internet的出現(xiàn)，使信息資源的作用得到充分發(fā)揮。互聯(lián)網(wǎng)可以成為電子商務(wù)、金融證券的運(yùn)作平臺(tái)，當(dāng)然也可以變成計(jì)算機(jī)犯罪的場(chǎng)所。別有用心者可以利用互聯(lián)網(wǎng)的便利制造混亂，危害社會(huì)經(jīng)濟(jì)安全，競(jìng)爭(zhēng)對(duì)手之間也可以通過其攻擊或者竊取對(duì)方機(jī)密，大量事實(shí)證明信息系統(tǒng)的安全是可以關(guān)乎到國(guó)家安全的重要問題。因此，如何確保信息系統(tǒng)的安全、可靠和有效變得越來越重要。

　　說到信息系統(tǒng)審計(jì)，就不能不說ISACA。所謂ISACA，全稱為信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(The Information System Audit and Control Association，ISACA)，其成立于1969年，是一個(gè)總部設(shè)在美國(guó)的芝加哥、擁有20000多名會(huì)員的跨國(guó)界、跨行業(yè)的專業(yè)機(jī)構(gòu)，其前身為EDP審計(jì)師聯(lián)合會(huì)。ISACA目前在世界上100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì)，該協(xié)會(huì)還舉辦一年一度的注冊(cè)信息系統(tǒng)審計(jì)師(Certified Information System Auditor，CISA)考試，ISACA是目前唯一有權(quán)授予國(guó)際信息系統(tǒng)審計(jì)師資格的組織。

　　隨著信息化成為企業(yè)的中樞，左右著企業(yè)的命運(yùn)，歐美的發(fā)達(dá)國(guó)家?guī)缀跛写笃髽I(yè)的管理者都認(rèn)識(shí)到了IT審計(jì)的必要性。人們也越來越清楚地意識(shí)到利用IT審計(jì)能有效地管理信息及與信息相關(guān)的技術(shù)，是進(jìn)入信息化社會(huì)的可靠保障，在發(fā)達(dá)國(guó)家IT審計(jì)已得到了普及。

　　(三)信息系統(tǒng)審計(jì)的范圍

　　信息系統(tǒng)審計(jì)的對(duì)象是指以電子計(jì)算機(jī)為核心的信息系統(tǒng)，并覆蓋信息系統(tǒng)從計(jì)劃、分析、設(shè)計(jì)、編程、測(cè)試、運(yùn)行維護(hù)到系統(tǒng)報(bào)廢為止的全生命周期的各個(gè)環(huán)節(jié)。要保證信息系統(tǒng)的安全有效，僅把信息系統(tǒng)審計(jì)僅僅理解為是對(duì)計(jì)算機(jī)硬件與軟件的審計(jì)是不夠的，信息系統(tǒng)審計(jì)必須是針對(duì)整體的信息系統(tǒng)進(jìn)行的，而整體信息系統(tǒng)是包括信息系統(tǒng)環(huán)境以及與此有關(guān)的業(yè)務(wù)等在內(nèi)的有機(jī)結(jié)合的整體，是以促使企業(yè)整體的健全的信息化為目標(biāo)的。

　　二、信息系統(tǒng)審計(jì)的實(shí)施過程

　　由于信息系統(tǒng)在企業(yè)中的核心地位，因此對(duì)信息系統(tǒng)的審計(jì)要貫穿整個(gè)信息系統(tǒng)生命周期的始終。信息系統(tǒng)的生命周期可以分為系統(tǒng)規(guī)劃、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)運(yùn)行和維護(hù)五個(gè)階段。所以信息系統(tǒng)審計(jì)的實(shí)施過程可分為：信息系統(tǒng)開發(fā)過程的審計(jì)、信息系統(tǒng)實(shí)施過程的審計(jì)和信息系統(tǒng)維護(hù)過程的審計(jì)。

　　(一)信息系統(tǒng)開發(fā)階段的審計(jì)

　　一個(gè)大型信息系統(tǒng)的開發(fā)需要花費(fèi)大量人力、物力和財(cái)力，如果開發(fā)不當(dāng)，投入運(yùn)行后需要的維護(hù)費(fèi)用甚至?xí)蟠蟪^開發(fā)費(fèi)用。對(duì)信息系統(tǒng)開發(fā)過程的跟蹤審計(jì)是信息系統(tǒng)安全、可靠、有效的重要保證。在信息系統(tǒng)的開發(fā)過程中，每個(gè)階段都不可避免的會(huì)發(fā)生錯(cuò)誤，而且前一個(gè)階段的錯(cuò)誤必然會(huì)導(dǎo)致后一個(gè)階段相應(yīng)的錯(cuò)誤發(fā)生甚至擴(kuò)大，這也就是軟件錯(cuò)誤的“積累放大”效應(yīng)。另一方面，在后期改正一個(gè)錯(cuò)誤會(huì)比在早期改正同一個(gè)錯(cuò)誤付出更多的代價(jià)。錯(cuò)誤發(fā)現(xiàn)得越早，改正越容易，代價(jià)也越低。因此，通過對(duì)信息系統(tǒng)開發(fā)過程的中的每個(gè)階段進(jìn)行跟蹤審計(jì)，可以及時(shí)發(fā)現(xiàn)并指出每個(gè)階段發(fā)生的錯(cuò)誤，使這些錯(cuò)誤能夠及時(shí)被修正，從而減輕開發(fā)過程中軟件錯(cuò)誤的積累放大效應(yīng)，進(jìn)一步降低開發(fā)過程所花費(fèi)的成本，同時(shí)保障整個(gè)信息系統(tǒng)的質(zhì)量。

　　(二)信息系統(tǒng)實(shí)施階段的審計(jì)

　　在系統(tǒng)開發(fā)過程中的系統(tǒng)實(shí)施階段，要建立數(shù)據(jù)庫(kù)，對(duì)應(yīng)用程序進(jìn)行編碼和測(cè)試，購(gòu)買安裝設(shè)備，培訓(xùn)雇員，整理系統(tǒng)文檔并安裝新系統(tǒng)。審計(jì)人員、編程人員、數(shù)據(jù)庫(kù)管理員、用戶和會(huì)計(jì)師都要參與實(shí)施過程。這一階段的活動(dòng)耗費(fèi)了大部分成本，通常花費(fèi)更多的工時(shí)，超出系統(tǒng)開發(fā)其他所有階段的總和。

　　(三)信息系統(tǒng)維護(hù)階段的審計(jì)

　　一旦系統(tǒng)實(shí)施完成，便進(jìn)入信息系統(tǒng)開發(fā)的第三階段――維護(hù)。這是系統(tǒng)生命周期中最長(zhǎng)的階段，通常會(huì)跨越幾年時(shí)間。系統(tǒng)在這一階段并非靜止，實(shí)際上它們會(huì)經(jīng)歷一些或大或小的修改，使之適應(yīng)用戶需求的變化。有時(shí)變化很小，例如修改系統(tǒng)以生成新的報(bào)告，或者改變應(yīng)用程序的邏輯和用戶界面。維護(hù)同樣可以是大范圍的，例如對(duì)應(yīng)用程序的邏輯和用戶界面進(jìn)行大的變動(dòng)。

　　如果對(duì)應(yīng)用程序進(jìn)行了維護(hù)，其完整性可能遭到破壞。因此審計(jì)師的檢查必須擴(kuò)展到維護(hù)階段，以確定應(yīng)用程序的完整性是否依然存在。

　　三、我國(guó)信息系統(tǒng)審計(jì)的現(xiàn)狀

　　90年代末，國(guó)內(nèi)有學(xué)者提出計(jì)算機(jī)審計(jì)，電算化審計(jì)，但概念還停留在對(duì)會(huì)計(jì)信息系統(tǒng)的審計(jì)上，基本上延伸手工會(huì)計(jì)信息系統(tǒng)審計(jì)，尚未全面探討信息時(shí)代給審計(jì)業(yè)務(wù)帶來的深刻變化。以我國(guó)在1999年頒布了《獨(dú)立審計(jì)準(zhǔn)則第20號(hào)——計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》為例，其更多關(guān)注的是會(huì)計(jì)信息系統(tǒng)。

　　中國(guó)審計(jì)協(xié)會(huì)為了規(guī)范審計(jì)機(jī)構(gòu)及人員的信息系統(tǒng)審計(jì)活動(dòng)，保證審計(jì)質(zhì)量，于2008年根據(jù)《內(nèi)部基本審計(jì)準(zhǔn)則》的精神制定并頒布了《審計(jì)具體準(zhǔn)則第28號(hào)——信息系統(tǒng)審計(jì)》。這是我國(guó)第一個(gè)真正意義上的信息系統(tǒng)審計(jì)準(zhǔn)則，也為我國(guó)信息系統(tǒng)審計(jì)人員開展信息系統(tǒng)審計(jì)活動(dòng)提供了法律依據(jù)。

　　我國(guó)開展信息系統(tǒng)審計(jì)已經(jīng)迫在眉睫，而開展信息系統(tǒng)審計(jì)將面臨審計(jì)觀念的轉(zhuǎn)變、缺乏信息系統(tǒng)審計(jì)的專業(yè)人才以及行業(yè)準(zhǔn)則與實(shí)務(wù)指南缺失等問題，應(yīng)加快行業(yè)準(zhǔn)則與實(shí)務(wù)指南的制定，加大力度培養(yǎng)專門的信息系統(tǒng)審計(jì)師。

　　四、結(jié)語

　　目前，國(guó)內(nèi)有關(guān)信息系統(tǒng)審計(jì)的研究較少，大多的會(huì)計(jì)師事務(wù)所的業(yè)務(wù)仍主要是傳統(tǒng)的財(cái)務(wù)報(bào)表的審計(jì)。而在國(guó)外，信息系統(tǒng)審計(jì)的發(fā)展越來越快，因?yàn)槠髽I(yè)的發(fā)展，越來越依賴信息系統(tǒng)正常、穩(wěn)定的運(yùn)行，信息系統(tǒng)已經(jīng)成為企業(yè)戰(zhàn)略中的一部分。信息系統(tǒng)審計(jì)在國(guó)內(nèi)尚不受重視，歸結(jié)其原因，一方面是國(guó)內(nèi)企業(yè)僅僅把信息系統(tǒng)作為企業(yè)的輔助功能，沒有將其看作企業(yè)戰(zhàn)略的一部分;另一方面是我國(guó)目前缺乏相關(guān)的專業(yè)信息系統(tǒng)審計(jì)人才，大多數(shù)審計(jì)人員沒有IT背景，而IT人員又不了解審計(jì)知識(shí)。

　　因此，我們應(yīng)加大信息系統(tǒng)審計(jì)的宣傳，讓人們了解什么是信息系統(tǒng)審計(jì)，為什么要進(jìn)行信息系統(tǒng)審計(jì)。此外，要大力培養(yǎng)信息系統(tǒng)審計(jì)師，開展信息系統(tǒng)審計(jì)業(yè)務(wù)。還要盡快完善行業(yè)管理制度規(guī)范，如從事電子商務(wù)的企業(yè)必須經(jīng)過審計(jì)、上市公司的信息系統(tǒng)必須經(jīng)過審計(jì)等。借鑒會(huì)計(jì)師行業(yè)的經(jīng)驗(yàn)，對(duì)信息系統(tǒng)審計(jì)職業(yè)的自律規(guī)范開展研究，包括資格考試制度、職業(yè)道德、執(zhí)業(yè)規(guī)范與懲戒等，使我國(guó)信息系統(tǒng)審計(jì)事業(yè)在健康規(guī)范的軌道上快速發(fā)展。