小議信息系統審計探研

導語：小議信息系統審計探研一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

信息系統審計是一種新的審計類型。國外對信息系統審計的研究很多，國內的研究與應用在近年來也呈上升趨勢。本文通過對信息系統審計的內涵、信息系統審計方法、信息系統審計過程和信息系統審計建議的闡述使讀者對信息系統審計有個基本的了解。

一、信息系統審計的內涵

信息系統審計的內涵與財務報表審計有較大的不同。以下通過對信息系統審計的定義、目標和類型來闡述信息系統審計的內涵。

1.信息系統審計的定義

由于信息系統審計的發展很快，因此對其始終沒有一個通用的定義。下面分別介紹三種比較有代表性的定義。（1）日本通產省情報處理開發協會信息系統審計委員會1996年對信息系統審計定義為“為了信息系統的安全、可靠與有效，由獨立于審計對象的信息系統審計師，以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價，向信息系統審計對象的最高領導層，提出問題與建議的一系列活動”。該定義中強調獨立性的問題。（2）信息系統審計領域的著名專家威伯教授的定義（1999）是：“信息系統審計是收集并評估證據，以判斷一個計算機系統是否有效做到保護資產、維護數據完整、完成組織目標，同時最經濟的使用資源”。（3）信息系統審計影響最大的國際組織——國際信息系統審計和控制協會（ISACA）的定義是：信息系統審計是一個獲取并評價證據，以判斷計算機系統是否能夠保證資產的安全、數據的完整以及有效率的利用組織的資源并有效果的實現組織目標的過程”。該定義比威伯的更詳細一些。

通過對相關信息系統審計定義的分析，本文認為，所謂的信息系統審計，是指通過對被審單位的信息系統組成部分的審查來獲取和評價審計證據，由此對信息系統的安全性、可靠性、數據的完整性以及信息系統能否經濟的使用組織資源并有效地實現組織目標發表審計意見。我們必須清楚的識別信息系統審計、IT審計、審計工程之間的區別。一般而言，1T審計（計算機審計）包括信息系統審計和審計工程。信息系統審計的研究對象是企業的信息系統或信息資產，采用的研究方法是傳統的審計方法和計算機技術等；而審計工程的研究對象是企業的電子財務和業務數據，研究方法采用計算機技術、系統工程方法和數學理論等。

2.信息系統審計的目標

審計本質上是根據審計目標對收集的證據進行分析評價并得出結論的過程。一切的審計活動都是為了實現一定的審計目標，并圍繞審計目標來進行。可以說，審計目標是審計工作的“綱”。它貫穿審計活動的各個方面和審計過程的始終。（1）真實性。信息系統中的數據要真實的反映企業的生產經營活動。要通過數字簽名等一系列技術手段和保留不可更改記錄、定期審計等管理手段確保數據的真實性。（2）完整性。完整性信息不被偶然或蓄意的刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成、存儲和傳輸。（3）合法性。系統在購買、使用、開發、更新、維護、轉移等過程中必須符合相關法律、法規、準則、行規以及企業內部的規定等。（4）安全性。安全性是指信息系統在遭受各種因素破壞的情況下，仍然能夠正常運行的概率。威脅信息系統安全的因素有外部和內部兩種。外部主要是黑客的入侵、病毒的攻擊、線路的偵聽等；內部主要是被授權的用戶訪問和修改、刪除等操作。安全性是真實性的基礎之一。（5）可靠性。可靠性是指信息系統在遭受非人因素破壞或人為差錯影響的情況下仍然能夠正常運行的概率。威脅信息系統可靠性的因素包括自然災害對硬件和壞境的破壞以及誤操作對軟件和硬件的破壞等。可靠性也是真實性的基礎之一閉。（6）效果和效率。效果是指應用信息系統以后，企業在生產控制、管理質量、提供產品和服務等方面產生的變化。效率是指信息系統的應用在企業勞動生產率的提高方面所起的作用。

3.信息系統審計的類型

根據信息系統審計的定義和審計目標，我們可以將信息系統審計分為三個基本類型：（l）信息系統的真實性審計是對傳統審計的補充，防止“錯”賬真審。（2）信息系統的安全性審計是對企業信息資產安全性的審核，防止由信息系統造成的經營風險。（3）信息系統的績效審計是對信息系統投入產出比的審核。

二、信息系統審計的特點

信息系統審計具有其獨特的特點，具體特點如下：

1.信息系統審計是一個過程。它是一個獲取并評價證據，以判斷信息系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程，它貫穿于信息系統生命周期的全過程。

2.信息系統審計的對象具有綜合性和復雜性。信息系統審計的對象是以計算機為核心的信息系統，它包含了除財務信息以外的其他與生產經營流程有關的所有信息系統，其實質是審計對象及內容的拓展。從縱向（生命周期）看，覆蓋了信息系統從規劃、分析、設計到維護的全生命周期的各種業務；從橫向（信息系統構成）看，它包含對軟硬件審計、應用程序審計、安全審計等。從這個意義看，信息系統審計拓展了傳統審計的內涵，將審計對象從財務范疇擴展到了同經營活動有關的一切信息系統。

3.信息系統審計拓展了傳統審計的目標。傳統審計目標僅僅包括了“對被審計單位會計報表的合法性、公允性及會計處理方法的一貫性發表審計意見”，《中國獨立審計具體準則第20號--計算機信息系統環境下的審計》第四條也明確規定“注冊會計師在計算機信息系統環境下執行會計報表審計業務，應當考慮其對審計的影響，但不應改變審計目的和范圍”，由此可見EDP審計、電算化審計和計算機審計都沒有改變審計的目標，但信息系統審計除了上述目標外，還包括信息資產的安全性、數據的完整性以及系統的可靠性、有效性和效率性。

4.信息系統審計是事后、事前、事中審計的結合體。注冊會計師所執行的財務報表審計往往是年度審計，屬于事后審計。而信息系統審計是事后、事前、事中審計兼而有之。如信息系統在開發過程中，由審計人員介入所進行的審計屬于事中審計，此項審計相對于系統運行后而對其所進行的審計而言又可以看作是事前審計；信息系統運行后，對其在一定期間的運作情況所進行的審計則為事后審計。

5.信息系統審計的內容更加寬泛。信息系統審計包含了一切與信息系統有關的審計，除了整個生命周期過程及相關業務的審計外，隨著信息技術的發展，還必將包括聯網審計、電子商務審計、網站審計、ASP審計和XBRL審計等。

6.信息系統審計是一種基于風險基礎審計的理論和方法。很多組織都能意識到技術帶來的潛在好處，然而成功的組織還能夠理解和管理好與采用新技術相關的很多風險。信息系統有著與生俱來的風險，這些風險用不同方式沖擊著信息系統，審計者面臨著審計什么、何時審計以及如何幫助信息系統的管理者管理和控制風險從而實現企業的戰略目標的問題。

三、信息系統審計的過程

審計過程是審計工作從開始到結束的整個過程。信息系統審計一般可以分為計劃階段、實施階段和報告階段。由于信息系統審計的對象和具體業務不同，每個階段所包括的具體內容與財務審計也不同。

1.計劃階段

計劃階段是信息系統審計過程的起點。科學合理的審計計劃有利于幫助審計人員有的放矢的去調查、取證，形成正確的審計結論，實現審計目標。計劃階段的主要任務包括：調查被審單位的基本情況和內部控制；初步評價審計風險；確定重要性水平；制定審計計劃。（1）調查被審單位的基本情況，初步評價固有風險為了做好審計工作，審計人員首先應了解被審單位的基本情況。需要了解的基本情況包括：第一，被審單位的業務性質和生產經營情況。第二，被審單位的組織結構和管理水平。第三，被審單位信息系統一般情況，即信息系統的結構，所使用的軟硬件和網絡設施以及運行環境。第四，被審單位應用系統及其所處理的交易和事項的類型。（2）調查被審單位信息系統內部控制，評價控制風險在計劃階段，審計人員應了解被審單位的內部控制特別是信息系統內部控制，對內部控制的健全和有效性進行評估，初步確定控制風險的大小。（3）評估審計風險，確定重要性水平。為了合理使用審計資源，有效的實現審計目標，在制定審計計劃時審計人員應評估審計風險，確定重要性水平。重要性水平是指在審計事項中，能夠容忍出現差錯的程度和大小。（4）編制審計計劃。在對被審單位的風險進行初步評估，確定重要性水平后，審計人員應當編制審計計劃。審計計劃的內容應當包括：被審單位的基本情況、審計的范圍和重點、審計的步驟和時間安排、審計人員分工、運用的信息系統審計方法、審計中應當注意的事項和其他內容等。

2.實施階段

實施階段是根據計劃階段確定的范圍、重點、步驟和方法，進行有針對性的取評價，并形成審計結論的過程。主要由符合性測試和實質性測試兩個階段構成。（1）實施符合性測試。符合性測試的目的是檢查內部控制措施是否健全有效。計人員需要對被審單位的控制系統進行識別、測試和評價。測試的性質、范圍和程度。為了達到這個目的，審從而確定后續的實質性控制系統識別。審計人員通過與相關人員面談、調查問卷以及查閱信息系統和控制系統說明文件等方，識別被審單位的控制系統以及控制環境，并將調查情況記錄在審計工作底稿中。（2）實施實質性測試。實質性測試是對信息系統控制進行的詳細測試，以獲得這些控制在審計期間是否真實存在并合法有效的審計證據。實質性測試主要通過測試必要的數據，對信息系統達到特定的控制目標的程度進行評價。

3.報告階段

審計報告階段，審計人員應運用專業判斷，綜合所收集到的相關證據，已經過核實的審計證據為依據，形成審計意見，出具審計報告。審計報告中除了對被審單位信息系統的安全性、可靠性、有效性和效率性發表審計意見之外，還針對信息系統內部控制和管理等方面的問題提出相關的建議。在正式審計報告之前，審計人員還應考慮其后事項的影響。在現場審計工作結束日到審計報告日之間一般都會有一段時間，審計人員應考慮在此期間被審單位及其信息系統是否發生導致重大變化的事項。審計報告階段的具體過程如下，審計組在現場審計工作完成之后，應編制審計報告初稿征求被審單位意見。被審單位反饋意見后，審計組應將審計報告初稿和被審單位的反饋意見一并報送審計機關，審計機關對審計組的審計報告進行審議并對被審單位的反饋意見進行研究后，提出審計機關的審計報告。