信息系统审计

　　信息系统审计是一个通过获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。从这一定义看，信息系统审计是保证信息系统的合规性、安全性、可靠性和有效性来实现组织目标的。这不仅需要关注信息系统本身产生的业务数据、财务数据、管理数据，还应该把保障信息系统运行的各种管理制度纳入审计范围。信息系统审计的主体，可以是政府审计机关，也可以是独立的信息系统审计中介机构；信息系统审计的客体是信息系统本身，而不仅仅是数据文档审计。信息系统生命周期的开发、运营、维护等各个阶段都是审计的对象。

　　审计程序一般可分为四个阶段，即准备阶段、实施阶段、审计结论和执行阶段、异议和复审阶段。信息系统审计也可分为这四个阶段，同时结合自身的特殊要求，运用本身特有的方法，对信息系统进行评价。

　　(一)准备阶段

　　在此阶段主要是初步调查被审计单位信息系统的基本状况，并拟定科学合理的计划。一般应包括以下主要工作：

　　1．调查了解被审计单位信息系统的基本情况，如信息系统的硬件配置，系统软件的选用，应用软件的范围，网络结构，系统的管理结构和职能分工、文档资料等，调查完成后将审前调查情况记录下来。

　　2．提前三天送达审计通知书，要求被审计单位对所提供资料的真实性、完整性作出书面承诺，明确彼此的责任、权利和义务。

　　3．初步评价被审计单位的内部控制制度，以便确定符合性测试的范围和重点。

　　4．确定审计重要性、确定审计范围。

　　5．分析审计风险。

　　6．制定审计实施方案。在审计实施方案中除了对时间、人员、工作步骤及任务分配等方面作出安排以外，还要合理确定符合性测试、实质性测试的时间和范围，以及测试时的审计方法和测试数据。

　　在安排利用计算机辅助审计时，还需列出所选用的通用软件或专用软件。对于复杂的信息系统，也可聘请专家，但必须明确审计人员的责任。

　　(二)实施阶段

　　实施阶段是审计工作的核心，也是信息系统审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法，进行取证、评价，综合审计证据，借以形成审计结论，发表审计意见。实施阶段的主要工作应包括以下两个方面的内容：

　　1．符合性测试。进行符合性测试应以系统安全可靠性的检查结果为前提。如果系统安全可靠性非常差，不值得审计人员信赖，则应当根据实际情况决定是否取消内控制度的符合性测试，而直接进行实质性测试并加大实质性测试的样本量。在信息系统的符合性测试项目中，主要内容应该是确认输入资料是否正确完整，计算机处理过程是否符合要求。如果系统安全可靠性比较高，则应对该系统给予较高的信赖，在实质性测试时，就可以相应地减少实质性测试的样本量。由于我国的信息系统审计刚起步，还没有相应的法律法规，相应的具体审计准则也没有出台，所以目前情况下，可暂时以财政部颁发的有关会计电算化的工作规范、条例、办法等作为参照，并以此作为符合性测试的主要内容。

　　2．实质性测试。实质性测试应该是对被审计单位信息系统的程序、数据、文件进行测试，并根据测试结果进行评价和鉴定。进行实质性测试须依赖于符合性测试的结果，如果符合性测试结果得出的审计风险偏高，而且被审计单位有利用信息系统进行舞弊的动机与可能，并且被审计单位又不能提供完整的会计文字资料，此时审计人员应考虑对会计报表发表保留意见或拒绝表示意见的审计报告。进行实质性测试时，可考虑采用通过计算机和利用计算机进行审计的方法，具体包括：

　　①“测试数据法”，就是将测试数据或模拟数据分别由审计人员进行手工核算和被审计单位信息系统进行处理，比较处理结果，作出评价；

　　②“受控处理法”，就是选择被审计单位一定时期(最好是12月份)实际业务的数据分别由审计人员和会计电算化系统同时处理，比较结果，作出评价。

　　3．利用辅助审计软件直接审查信息系统的数据文件。审计人员可利用现场审计实施系统软件（AO）直接对数据进行数据转换，数据查询，抽样审计，查账，账务分析等测试，得出结论，作出评价。

　　(三)审计结论和执行阶段

　　审计人员对信息系统进行符合性测试和实质性测试后，整理审计工作底稿，编制审计报告时，除对被审单位会计报表的合理性、公允性发表意见，作出审计结论外，还要对被审单位信息系统的处理功能和内部控制进行评价，并提出改进意见。

　　审计报告完成后，先要征求被审单位的意见，并报送审计机关和有关部门。审计报告一经审定，所作的审计结论和决定需通知并监督被审单位执行。

　　(四)异议和复审阶段

　　被审单位对审计结论和决定若有异议，可提出复审要求，审计部门可组织复审并作出复审结论和决定。特别是被审单位信息系统有了新的改进时，还需组织后续审计。

　　信息系统审计指南第六条规定：信息系统审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性，揭示信息系统存在的问题，提出完善信息系统控制的审计意见和建议，促进被审计单位信息系统实现组织目标；同时，通过检查和评价信息系统产生数据的真实性、完整性和正确性，防范和控制审计风险。具体来讲，信息系统审计的目标应包括以下几个方面：

　　1、安全性：信息系统的硬件、软件、网络和数据资源是否得到妥善保护，不因自然和人为的因素遭到破坏、更改或者泄露系统中的信息。

　　2、有效性：系统能否实现既定目标、系统的各项业务的处理过程是否符合国家有关法律法规的要求。

　　3、经济性：用最少的系统资源的投入，产生最多的拥护所需要的信息。

　　信息系统审计的内容是由信息系统审计的对象所决定的，主要由信息系统内部控制审计、信息系统组成部分审计以及信息系统生命周期审计所组成。一是信息系统内部控制审计，包括一般控制和应用控制审计。一般控制审计是对信息系统的开发、实施、维护及运行审计，主要对系统的开发维护过程以及信息系统的环境安全和技术安全进行审查。应用控制审计即业务流程审计，与一般控制审计相对应，主要对交易的完整性，准确性，有效性，机密性和可用性以及在应用处理中的数据的控制审计，通常分为应用程序级一般控制审计、业务流程控制审计、接口控制审计、数据管理系统控制审计等四类。二是信息系统组成部分审计，由计算机硬件、系统软件、应用软件所组成。这部分审计以应用软件审计为主要内容，主要对应用程序的控制措施、合法性、正确性和效率性进行审查。三是信息系统生命周期的审计，即信息系统的规划、开发、设计、编码、测试等全过程。主要是信息系统的可行性、全面性、适当性进行审查。

　　信息系统审计流程跟一般审计无根本性的区别，分为准备阶段、实施阶段和终结阶段，准备阶段和终结阶段的技术方法与一般审计相同。审计实施阶段的信息系统审计技术方法分为了解、描述和测试等方法。

　　（一）了解信息系统的基本情况。一是与被审计单位人员交谈，询问有关情况收集审计证据，询问前应收集相关的背景资料，确定合适的询问对象，询问过程中应做好记录并要求被询问对象签字。询问后应对谈话的内容进行评价和总结。二是是检查与信息系统有关的文档，以了解信息系统的总体情况、控制情况以及开发设计情况等。三是审计人员对信息系统的物理环境、硬件设施和办公场所，对信息系统的开发设计、构成和操作情况进行了解，对控制措施的实施进行实地查看。

　　（二）对信息系统进行测试。可以采用测试数据法、平行模拟、嵌入审计模块、虚拟实体、受控处理、受控再处理、程序代码检查等方法进行。一般按照如下程序进行测试：一是将被审计单位处理过的真实数据，在审计人员的监督下，在相同的信息系统或以前保存的程序副本上再处理一次，与以前处理的结果相比较。二是审计人员在对被审计单位的业务数据先进行核实，核实之后，在被审计单位的监督处理或亲自处理，并将处理结果与预期结果进行比较分析，以判断被审计单位的系统是否符合规定的要求。三是通过检查源程序代码的内部运行逻辑来发现存在的问题，并对程序是否符合规章制度的规定、能否完成预定功能及其质量进行评判的方法。该方法可以绕过输入输出直接检查程序内部代码，容易发现作弊程序，但对审计人员的计算机程序水平要求非常高。

　　（三）评估系统瑕疵所导致的后果。审计人员通过了解以及实质性的测试，从中发现信息系统存在的重大问题及漏洞，对整个信息系统做出合理的评价，提出改进建议。

　　（一）没有可借鉴的信息系统审计规范。信息系统审计规范是信息系统审计经验的总结，是对审计活动内在规范的反映，审计人员按照信息系统审计规范所确定的程序、步骤、技术和方法开展工作，能够少走弯路，提高信息系统审计效率，保障信息系统审计科学、高效运行，减低审计风险，当前信息系统审计正在探索和完善，没有可以借鉴的审计规范。

　　（二）信息系统审计目标不清晰。信息系统审计总体目标主要包括被审计单位信息系统的真实、合法、效益，在制定具体目标时，审计人员未能充分考虑行业不同带来的审计目标的区别，在审计实施过程中，部分审计机关及审计人员不能把握总体审计目标与具体目标的界限，笼统地进行表述，不具备操作性、指导性。

　　（三）信息系统审计缺乏计划性，后续审计跟不上。信息系统的审计是一个过程，包括审计计划、实施、审计报告以及后续审计阶段，而目前信息系统审计正处于探索阶段，根本谈不上审计计划，审计结束后后续整改的落实和反馈也跟不上。

　　（四）信息系统审计缺乏质量控制标准。目前在信息系统审计方面的质量控制尚处于空白状态，虽然国家审计署颁布了一些关于审计质量控制的标准和规范，但这些规范不是专门针对信息系统审计的，审计机关开展信息系统审计缺乏质量控制标准，增大了审计风险。

　　信息技术的兴起和企业对核心竞争力的追求，推动了信息技术在数据处理、存贮和交换等方面的广泛应用，信息系统已经渗透到社会生活的方方面面，它的高效和程序化给人们带来便利与效益的同时，也带来了很多负面影响，如计算机犯罪案件的频频发生等，系统安全问题日益严峻。信息系统审计作为一种可以确保信息系统的安全、可靠及高效运行的新的审计模式受到世界各国的普遍重视，随着我国以“信息化带动工业化”战略的全面实施，国民经济信息化被提到了前所未有的高度，加快发展我国的信息系统审计事业具有重要意义。

　　（一）信息系统审计是保证信息系统质量的重要工具

　　信息系统的可靠性、安全性、有效性和效率成为制约信息系统质量的重要因素，通过信息系统审计可以查出系统潜在的软件、硬件和数据资源安全隐患，并利用当前先进的技术进行防范或改进。首先，信息系统的可靠性需要信息系统审计；其次，信息系统的安全性需要信息系统审计；再次，信息系统的有效性需要信息系统审计；最后，信息系统的效率审计是信息系统质量的重要保证。

　　（二）信息系统审计是企业信息化发展的必然要求

　　计算机在企业管理中的应用使得会计信息的处理逐步电算化，促使信息系统审计的雏形一一电子数据处理审计(EDP审计)的产生及EDP审计师协会（EDPAA)的成立。指导信息系统审计的组织从传统的审计机关和组织发展成为专业的信息系统审计组织；信息系统审计的内容、依据、准则等也随着信息技术和信息系统的发展而不断发展和完善，由此可看出信息系统审计是企业信息化发展的必然要求。

　　（三）信息化建设的效益需要信息系统审计

　　有资料研究表明，我国企业每年IT投入近万亿元，每年仅在ERP项目上的投资就超过80亿元;中国电子政务建设的市场规模大约在1800-2000亿元之间。如此大规模的信息化建设，一旦由于缺乏审计，缺乏对权利的有效制约，将不可避免地出现轻率决策等问题，因此，在信息系统风险客观存在的情况下，在信息系统建设过程中对其进行风险审计和控制就显得尤为重要。

　　（四）信息系统审计有利于维护信息时代的市场经济秩序

　　在网络经济环境中，信息系统审计师能够以在线、实时的信息为基础提供实时鉴证服务并满足投资公众对决策有用信息的访问需要，这对保护公众利益和保护资本市场的有序发展是非常有意义的。可见，信息系统审计工作有利于降低风险并维护信息时代的市场经济秩序。