信息系統(tǒng)審計的內容范圍流程與策略的探討

1、信息系統(tǒng)審計的內容、范圍、流程和策略的探討 吳本長 謝崗 吳斌 趙承康安徽電力公司課題組      國際信息系統(tǒng)審計委員會（ISACA）在1996年對信息系統(tǒng)審計定義為：信息系統(tǒng)審計是為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的信息系統(tǒng)審計師，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向信息系統(tǒng)審計對象的最高領導層，提出問題與建議的一連串的活動。由此可以看出，信息系統(tǒng)審計所關注的內容不單純是對電子數(shù)據(jù)的處理，更不僅僅是財務信息，而是對企業(yè)整個信息系統(tǒng)的可靠性、安全性進行了解和評價，是一項通過審查與評價信息

2、系統(tǒng)的規(guī)劃、開發(fā)、實施、運行和維護等一系列活動，以確定信息系統(tǒng)運行是否安全、可靠、有效，信息系統(tǒng)得出的數(shù)據(jù)是否可靠準確以及數(shù)據(jù)是否能有效的存儲的過程。一、信息系統(tǒng)審計的內容和特點     國際信息系統(tǒng)審計協(xié)會規(guī)定了信息系統(tǒng)審計主要內容：    1信息系統(tǒng)審計程序。依據(jù)信息系統(tǒng)審計標準、準則和最佳實務等提供信息系統(tǒng)審計服務，以幫助組織確保其信息技術和運營系統(tǒng)得到保護并受控；    2. IT治理（信息技術治理）。確保組織擁有適當?shù)慕Y構、政策、工作職責、運營管理機制和監(jiān)督實務，以達到公司治理中對IT

3、 方面的要求；    3.系統(tǒng)和基礎建設生命周期管理。系統(tǒng)的開發(fā)、采購、測試、實施、維護和配置、使用，與基礎框架，確保實現(xiàn)組織的目標；    4. IT 服務的交付與支持。IT 服務管理實務可確保提供所要求的等級、類別的服務，來滿足組織的目標；    5. 信息資產的保護。通過適當?shù)陌踩w系（如安全政策、標準和控制），保證信息資產的機密性、完整性和有效性；    6. 災難恢復和業(yè)務連續(xù)性計劃。一旦連續(xù)的業(yè)務被中斷或破壞，災難恢復計劃確保災難對業(yè)務影響最小化的同時，及時恢復被

4、中斷的IT 服務。     從信息系統(tǒng)審計的上述定義和內容，可以看出，信息系統(tǒng)審計除了傳統(tǒng)審計所具有的特性外，還具有以下幾個專有特點：    1、審計的所有領域將全面運用現(xiàn)代信息技術。這就是在審計的理論研究、實務工作、管理模式、知識構等方面都將運用現(xiàn)代信息技術，使技術與審計高度融通，大大提高審計的工作質量和效率。在實務工作方面，要使審計工作面向計算機內在審計和使用計算機審計轉變；審計人員不再只依賴于紙張記錄的會計數(shù)據(jù)而大部分或全部依賴于磁盤、光盤等介質記錄的電子數(shù)據(jù)，或直接從網絡下載的子數(shù)據(jù)，諸如電子商務之類；審計底稿和審計

5、證據(jù)及有關審計檔案也全部電子化；審計工作將從定期的現(xiàn)場審轉向實時或定時的在線網絡審計，即通過網絡分散和連續(xù)抽取證據(jù)進行審計。在管理模式上，要利用現(xiàn)代信技術來管理責任與風險俱在的審計行業(yè)。知識結構上，審計人員除了掌握傳統(tǒng)審計的基本知識外，還應掌握計算知識及其應用技術、數(shù)據(jù)處理和管理技術，掌握現(xiàn)信息技術的應用等；不僅要會操作審計軟件，而且要能根據(jù)需要編寫出測試審查程序；使所審計人員都應成為完全意義上的IT審計人員。    2、信息數(shù)據(jù)安全性、可靠性是IT審計的特點。在會計信息化條件下，企業(yè)所提供的最主要的會計信息將是各種明細信息，因此，審計的工作重點是驗證信息的真實可

6、靠性，以及審核進入外網絡的明細信息的安全性。企業(yè)內部形成的明細信息的真實可靠性如何，取決企業(yè)會計信息化系統(tǒng)內部控制的強弱程度，而審計人員主要工作將是證實從數(shù)據(jù)庫存取信息的可靠性。為此，應當側重于驗證機內原始憑證數(shù)據(jù)是否真實可靠，會計憑證數(shù)據(jù)庫的存取是否得當，以及這些數(shù)據(jù)被不留痕跡修改的風險有多大等問題。對于進入外部網的明細信息，必須通過對整個系統(tǒng)的網絡進行安全控制以保證此信息的安全性。在會計信息化條件下，必須對會計信息進行連續(xù)審計，這種審計不僅應延伸到進入企業(yè)內部網絡的明細信息，而且應延伸到進入外部網絡系統(tǒng)的詳細信息。    3、計算機專家參與審計工作。在會計信息

7、化環(huán)境下，審計工作所面臨的會計系統(tǒng)非常復雜，對審計人員的信息技術掌握程度要求非常高，審計人員必須充分利用計算機專家的專業(yè)能力進行審計工作。需要計算機專家參與的工作是深層次的、與技術高度融合的審計工作，如數(shù)據(jù)庫的分析評價、網絡系統(tǒng)的健全評價、實時監(jiān)控和審計軟件的開發(fā)、信息系統(tǒng)應用軟件審計等。這些工作，單純依靠審計人員是難以完成的。審計人員在開展實質性工作前，應與計算機專家交流并擬定專家工作的項目和收集、評價審計證據(jù)的索引，以便能充分利用計算機專家的工作結果進行審計判斷。    4、審計的覆蓋面將擴大。在會計信息化環(huán)境下，審計的對象是以計算機為手段的信息處理系統(tǒng)，這是

8、信息系統(tǒng)審計區(qū)別于其他審計的標志，同時這也表明不僅會計信息是審計的對象，其他計算機信息處理系統(tǒng)如企業(yè)人力資源管理子系統(tǒng)等也是審計的對象。    5、對審計人員的素質要求提高。在會計信息化條件下，由于審計線索的變化、內部控制的變化、審計對象和內容的擴大及審計方法的變化，決定了對審計人員要求的提高。審計人員必須從傳統(tǒng)的審計時空觀轉換為信息化條件下的電子時空觀，具體表現(xiàn)為審計人員進行審計時不再局限于傳統(tǒng)紙張上的書面數(shù)據(jù)，也不局限于會計系統(tǒng)，而是部分或全部依賴于電子數(shù)據(jù)。同時，審計人員除了掌握傳統(tǒng)審計的基本知識外，還應掌握計算機知識及其應用技術，掌握數(shù)據(jù)處理和管理技術，掌

9、握現(xiàn)代信息技術的應用；不僅要會操作審計軟件，而且要能根據(jù)需要編寫出各種測試審查程序模塊。 二、信息系統(tǒng)審計的工作流程     信息系統(tǒng)審計過程與一般審計過程一樣，分為準備階段、實施階段、報告階段以及后續(xù)審計階段。其中，準備階段和報告階段所涉及的技術方法與財務審計所運用的技術方法區(qū)別不大，而實施階段所涉及的技術方法則具有信息技術的特色。各階段的審計的內容主要如下：（一）準備階段     準備階段主要是初步調查被審計單位會計信息系統(tǒng)的基本情況，并擬定合理的計劃。一般包括以下主要工作：1、調查了解被審計單位會計信息系統(tǒng)的

10、基本情況，如會計信息系統(tǒng)的硬件配置、系統(tǒng)軟件的選用、應用軟件的范圍、網絡結構、系統(tǒng)的管理結構和職能分工以及文檔資料等。2、與被審計單位明確會計責任和審計責任以及雙方的權利、義務和職責等。3、初步評價被審計單位的內部控制制度，以便確定符合性測試的范圍和重點。4、確定審計重要性、確定審計范圍。5、分析審計風險。6、制定審計方案。    在審計計劃階段，除了對時間、人員、工作步驟以及任務分配等方面做出安排以外，還要合理確定符合性測試、實質性測試的時間和范圍，以及測試的審計方法和測試數(shù)據(jù)。 （二）實施階段    實施階段使審計工作的

11、核心，也是會計信息系統(tǒng)審計的核心。主要工作是根據(jù)準備階段確定的范圍、要點、步驟、方法，進行取證、評價、綜合審計證據(jù)，形成審計結論，發(fā)表審計意見。實施階段主要工作應包括以下兩個方面： 1、符合性測試    符合性測試是以系統(tǒng)的安全可靠性的檢查結果為前提。如果系統(tǒng)安全可靠性非常差，不能讓審計人員信賴，則應當根據(jù)實際情況決定是否取消內部控制的符合性測試，而直接進行實質性測試并加大實質性測試的樣本量。在會計信息系統(tǒng)的符合性測試項目中，主要內容應該是確認輸入資料是否正確完整，計算機處理過程是否符合要求。如果系統(tǒng)安全可靠性比較高，則應對該系統(tǒng)給與較高的信賴，在實質性

12、測試時，就可以相應的減少實質性測試的樣本量。2、實質性測試    實質性測試應該是對被審計單位會計信息系統(tǒng)的程序、數(shù)據(jù)、文件進行測試，并根據(jù)測試結果進行評價和鑒定。進行實質性測試時需要依賴符合性測試的結果。如果符合性測試結果得出的審計風險偏高，而且被審計單位有可能利用會計信息系統(tǒng)進行舞弊的動機與可能，且又不能提供完整的會計文字資料，此時應該發(fā)表保留意見或拒絕表達意見的審計報告。在實質性測試時，可考慮采用通過計算機進行審計的方法，具體包括：（1）數(shù)據(jù)測試法，即將測試數(shù)據(jù)或模擬數(shù)據(jù)分別由審計人員經手工核算和被審計單位會計信息系統(tǒng)進行處理比較處理結果，做出評價。（2）受

13、控處理法即選擇被審計單位一定時期的實際業(yè)務數(shù)據(jù)分別由審計人員和會計信息系統(tǒng)同時處理，比較結果，做出評價。3、利用輔助審計軟件直接在會計信息系統(tǒng)下進行數(shù)據(jù)轉換，數(shù)據(jù)查詢，抽樣審計，查賬，賬務分析測試等，得出結論，做出評價。 （三）審計結論和執(zhí)行階段    審計人員對會計信息系統(tǒng)進行符合性測試和實質性測試后，整理審計工作底稿，編制審計報告時，除對被審計單位會計報表的合理性、公允性和一貫性發(fā)表審計意見，做出審計結論外，還要地被審計單位的會計信息系統(tǒng)的處理功能和內部控制進行評價，并提出改進意見。審計報告完成后，先要征求被審計單位的意見。審計報告一經審定，所作的審

14、計結論需通知并監(jiān)督被審計單位執(zhí)行。 （四）異議和復審階段    被審計單位對審計結論如有異議，可提出復審要求。審計部門可組織復審結論和決定。特別是被審計單位會計信息系統(tǒng)有了新的改進時，還需要組織后續(xù)審計。 三、信息系統(tǒng)審計的內容和重點審計環(huán)節(jié)     會計信息系統(tǒng)審計是由會計數(shù)據(jù)體系、計算機硬件和軟件以及系統(tǒng)工作和維護人員組成，所以會計信息系統(tǒng)的審計內容與傳統(tǒng)的手工會計系統(tǒng)也存在著較大的差別。會計信息系統(tǒng)審計主要包括以下內容：1、對內部控制進行審計    一方面是企業(yè)的內部控

15、制能在多大程度上確保會計信息系統(tǒng)中會計記錄的正確性和可靠性，如輸入、輸出的授權控制，業(yè)務受理的審核等。另一方面是內部控制的有效執(zhí)行能在多大程度上保護資產的完整性。通過以上兩方面的評價，可以判斷企業(yè)內部控制系統(tǒng)能在多大程度上防止或發(fā)現(xiàn)會計報表中的錯誤以及經營過程的舞弊。2、對會計信息系統(tǒng)程序的審計    會計信息系統(tǒng)的核心就是會計軟件。會計軟件程序質量的高與低直接決定了會計信息系統(tǒng)整體水平的高低。審計的主要內容是審計會計軟件程序對數(shù)據(jù)進行處理和控制的及時性、正確性和可靠性，以及程序的糾錯能力和容錯能力。會計軟件程序的審計可通過計算機審計的方法以及利用計算機輔助審計數(shù)

16、據(jù)轉換的功能來完成。3、對會計數(shù)據(jù)的審計    會計數(shù)據(jù)處理的真實性、正確性、可靠性直接影響會計信息的真實性、正確性、可靠性，所以會計數(shù)據(jù)的審計是至關重要的。審計人員可采用抽查原始憑證與機內憑證相對比，抽查打印日記賬與機內日記賬相核對等方法，同時也可采用利用計算機輔助審計軟件的功能來完成審計，從而降低審計風險4、對會計信息系統(tǒng)開發(fā)質量的審計    會計信息系統(tǒng)是一項系統(tǒng)工程，主要包括系統(tǒng)分析、系統(tǒng)設計、系統(tǒng)實施以及系統(tǒng)維護等。會計信息系統(tǒng)的紙來、運行水平，一方面依賴于日常的管理和維護，另一方面也取決于會計信息系統(tǒng)開發(fā)過程的質量。

17、60;    對會計信息系統(tǒng)審計，應關注三個重點環(huán)節(jié)：    1.數(shù)據(jù)環(huán)節(jié)    在審計中，必須使用一種方法能夠向前、向后追蹤單個交易和資產記錄，以便使審計人員選擇一些交易對其進行詳細檢查，確認交易記錄是否符合一般的審計目標。如對會計事項信息的檢查，要檢查它的完整性、時效性、合規(guī)性和信息披露等方面，檢查內容包括與本會計年度有關的交易是否全部記錄在冊；所有記錄的交易是否都是合理發(fā)生的并與本會計年度有關；記錄的交易是否數(shù)據(jù)準確，計算無誤：記錄的交易是否符合基本的和輔助的法律規(guī)定，符合特定權威機構的要求；對記錄

18、的交易是否進行正確的分類，并符合信息對外披露的要求等。對財務報表信息的檢查，要檢查完整性、存在性、會計計量、所有權以及信息披露等方面，檢查內容包括是否記錄了所有的資產和負債：所有記錄的資產和負債是否都是存在的；對資產和負債的計量是否精確，計算方法是否符合按合理性、一致的標準制定的會計政策的要求：確認資產是被審主體所有的、負債是被審主體應該承擔的，并且資產和負債是否由合法的經濟活動產生的；資產、負債、資本和存貨是否都得到正確的披露。同時對信息系統(tǒng)提供的業(yè)務信息也要進行分析，例如每月的工資總數(shù)、某階段的付款清單和訂貨信息等，要弄清基本的交易情況，并一直追蹤到信息源。對上述信息的分析可以采用計算機輔

19、助審計技術，按照特定的標準對數(shù)據(jù)進行匯總、分類、排序、比較和選擇，并進行各種運算。    2.內部控制環(huán)節(jié)    內部控制一般而言是指組織經營管理者為了維護財產物資的安全、完整，保證會計信息的真實、可靠，保證經營管理活動的經濟性、效率性和效果性以及各項法律和規(guī)范的遵守，而對經營管理活動進行調整、檢查和制約所形成的內部管理機制，是組織為實現(xiàn)管理目標而形成的自律系統(tǒng)。計算機系統(tǒng)的內部控制主要分為應用控制、一般控制和管理控制等三個方面，在審計過程中要對被審計單位內控制度進行評價，包括電算化系統(tǒng)的內控制度。為了對系統(tǒng)的內控制度進行評價，審計人

20、員必須驗證內部控制系統(tǒng)是否存在，并能提供令人滿意的證據(jù)，證明它正在有效地發(fā)揮作用。在計算機系統(tǒng)中，應檢查以下方面來證明內控制度的有效性：(1)控制系統(tǒng)資源的存取。包括物理資源，例如終端、服務器、連接盒、相關文檔等；還包括邏輯資源，如軟件、系統(tǒng)文件和表、數(shù)據(jù)等。(2)控制系統(tǒng)資源的使用。用戶應該只能對授權給他們的那些資源進行操作。(3)建立按用戶職能分配資源的制度。把重要的任務功能按用戶或用戶組進行分離，以減少無意的誤操作、濫用系統(tǒng)資源和對數(shù)據(jù)的非授權修改。(4)記錄系統(tǒng)的使用情況。按時間順序建立一個使用記錄，記錄內容應包括例外事例和與安全有關的事件是由誰觸發(fā)的，財務信息的創(chuàng)建、修改和刪除是由誰

21、完成的。(5)確認處理過程的準確性。用產生財務控制信息，確認處理過程的準確完成。(6)管理人員對財務信息系統(tǒng)的修改。應該保證財務信息系統(tǒng)的所有修改都是經過授權、有文檔記錄、經過徹底(獨立地)測試的，確認最后以一種有控制的方式投入使用。(7)保護財務信息系統(tǒng)免遭計算機病毒的襲擊。必須建立一套控制措施，檢測病毒，防止病毒感染財務信息系統(tǒng)。    3.數(shù)據(jù)傳輸轉移環(huán)節(jié)    在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個財務信息系統(tǒng)或財務信息系統(tǒng)與業(yè)務信息系統(tǒng)之間相互轉移，在此過程中可能會出現(xiàn)一些問題，尤其是在需要手工重新錄入時。因此在審計時要重點關注以

22、下方面：在轉移過程中數(shù)據(jù)可能會發(fā)生變化；新的科目代碼表與老的可能不一樣，需要在兩個財務信息系統(tǒng)之間建立復雜的對應關系：中心數(shù)據(jù)庫可能被一些地理上分散的服務器取代；當前財務信息系統(tǒng)中的數(shù)據(jù)質量不佳；當用一個總的信息系統(tǒng)取代一個預定財務信息系統(tǒng)時，需要補充許多新的數(shù)據(jù)。在檢查這一環(huán)節(jié)時，一定要保證輸出的消息是經過批準、完整和精確的，保證輸出的消息在約定時間內準確地發(fā)送給指定的接收者，保證流人的消息是完整、準確和真實可靠的。 四、信息系統(tǒng)審計的風險以及策略     在信息系統(tǒng)審計條件下，審計面臨著新的風險，主要有以下幾個方面：  

23、  (1)篡改數(shù)據(jù),不留審計線索。在網絡環(huán)境中,數(shù)據(jù)的電子化并以磁介質為主要存儲載體,這為舞弊者對原始數(shù)據(jù)進行非法修改和刪除,且不留篡改痕跡成為可能,這將無法保證數(shù)據(jù)的完整性和真實性,給審計監(jiān)督帶來了風險。    (2)信息丟失。主要有三種原因:一是運行間的斷電和死機等故障;二是計算機病毒破壞;三是人為的毀損。    (3)黑客侵入和數(shù)據(jù)失竊。計算機黑客為了獲取重要的商業(yè)秘密、數(shù)據(jù)資源經常用IP地址欺騙攻擊網絡系統(tǒng)。黑客偽裝為源自內部主機的一個外部站點,利用一定的技術進入目標系統(tǒng)竊取或破壞數(shù)據(jù)。  

24、60; (4)職責分離不恰當引起內控失靈。在網絡環(huán)境下如果對數(shù)據(jù)維護、系統(tǒng)管理和數(shù)據(jù)輸入、數(shù)據(jù)核對確認等崗位不作適當?shù)姆蛛x,就會有人利用網絡的弱點故意修改數(shù)據(jù)、舞弊或竊取秘密信息從中撈取利益。    審計風險的防范和控制為了有效地降低網絡審計風險,就必須采取相應的防范和控制措施,具體為:    1、加強審計軟件的開發(fā)。對信息系統(tǒng)審計，如果仍然采用常規(guī)的手工系統(tǒng)的那一套審計技術與方法，很難達到審計的目的。由于審計的范圍已經擴大到會計信息系統(tǒng)及其它計算機信息處理系統(tǒng)，迫使審計人員在采用傳統(tǒng)的各種審計技術的同時，采用計算機輔助審計技術，用日

25、益先進的計算機審計軟件去對付單機、網絡、多用戶等各種工作平臺下的會計軟件。審計軟件是大量審計方法的技術的集成，一般包括內部控制評價、審計計劃管理、數(shù)據(jù)轉換、抽樣審計、實質性測試、會計報表生成、審計底稿打印和管理，審計證據(jù)歸集和評價，審計報告生成等功能。為適應會計信息化環(huán)境下的各種財務軟件的發(fā)展，我們必須要提高開發(fā)審計軟件的速度，加快審計軟件更新?lián)Q代的步伐，開發(fā)通用審計軟件和專用審計軟件，還可以引進計算機審計軟件的技術，組織對有推廣價值的審計軟件進行評審，促進審計軟件的商品化。同時，要強化審計人員對數(shù)據(jù)庫程序的學習，直接對數(shù)據(jù)庫中的數(shù)據(jù)進行采集和轉換，利用查詢語句對財務數(shù)據(jù)進行分析和整理，完成審

26、計任務，這樣就能從根本上上擺脫財務軟件升級或有意識改動帶來的束縛，克服審計工作中存在的各種技術。    2、提高審計風險的防范能力。隨著網絡系統(tǒng)地運用，信息的載體已經由紙介質過渡到磁性介質。磁性介質的保存有較高的要求，易受到高溫、磁性物質、劇烈震動的影響。因此，檔案保存的風險還很大，而且這種存儲媒體是易變的，通過信息技術容易被訪問和濫用，犯罪人員可以通過獲取口令或非法訪問數(shù)據(jù)庫中的所有數(shù)據(jù)，是存儲的信息數(shù)據(jù)易受舞弊犯罪人員（黑客）的攻擊。這些都增加了審計風險。因此必須采取積極措施進行分險防范，如建立一個在監(jiān)管部門嚴格監(jiān)控下的網絡財務信息強制存檔制度，可以牽制網上財

27、務信息的披露，這樣既可以提高工作效率，又可以降低審計風險，制定各種嚴格的風險防范規(guī)章制度進行規(guī)范，包括網絡管理規(guī)定、系統(tǒng)運行中的安全保密規(guī)定、會計核算軟件運行管理規(guī)定、計算機軟件開發(fā)的規(guī)定等。此外還可以通過加強企業(yè)的內部控制保護企業(yè)的安全，保證會計信息的準確性和可維護性。完善的內部控制可有效的降低審計風險。通過充分利用防火墻和加密技術，制定具體的防病毒制度并定期組織全系統(tǒng)的防毒檢查，可防范病毒和“黑客”入侵，從而降低審計的風險。    3、加強審計專業(yè)人員的培養(yǎng)。會計信息化使審計的范圍不斷擴大，給審計人員帶來了巨大的壓力。國際審計準則15號規(guī)定，在電子數(shù)據(jù)處理環(huán)境下進行審計時，審計人員應對審計系統(tǒng)的計算機硬件、軟件和處理系統(tǒng)有充分了解，以進一步對委托審計的條件做出計劃并了解電子數(shù)據(jù)處理對內部控制的研究與評估的影響和需采用的審計程序，包括計算機輔助審計軟件的應用。這對我國當前審計人員知識結構不完整的現(xiàn)狀是一個巨大的挑戰(zhàn)。因此，審計機構從現(xiàn)在