在当前信息化扩张的时代，我们内部审计面临一项新的问题：内部审计应当如何对企业信息系统进行监督和检查？这也为我们提出了一个新的审计领域，即信息系统审计。
大 | 中 | 小
    一、前言

    （一）研究背景

    当前，随着计算机与互联网的迅速普及，人类对计算机的依赖达到了前所未有的程度，全社会各行各业信息化进程不断加快，我国许多企业在实现各部门信息化的同时，也已着手整合与集成其信息化应用系统.但是，多年来国内外企业的实践经验明：信息化是有风险的，且系统规模越大，功能越复杂，风险也就越大。

    我国在2003年3月发布的《审计署关于内部审计工作的规定》将内部审计定义为：使独立监督和评价本单位及所属单位财政开支、财务开支、经济活动真实、合法和效益的行为，以促进加强经济管理和实现经济目标。这些对现代内部审计的重新定义标志着内部审计的范围和对象的扩展，从传统的财务审计延伸到企业的经济管理和风险控制环节。

    在当前信息化扩张的时代，我们内部审计面临一项新的问题：内部审计应当如何对企业信息系统进行监督和检查？这也为我们提出了一个新的审计领域，即信息系统审计。

    （二）信息环境下内部审计对象的变化和特征

    1．数据处理的集中化与自动化

    手工岗位分工操作的各个工作，在信息系统环境下都由计算机集中处理，每一台计算某一特定的任务，一组数据一经输入，便可以被不同的用户共享。随着系统的复杂性越高，数据处理就越为集中。在数据的原始数据的采集一般都以代码为标识。自动化是指计算机的程序自动控制处理过程，人工操作人为干预较少。

    2．数据存储的磁性化

    在信息系统中，数据以文件形式存储，而这种存储的介质，又都以磁性材料为主。存储于磁介质上的数据，与其它电子数据一样，都具有存取方便、修改与删除不留痕迹的特点，而这一特点有给数据的可靠性与安全性带来了极大的威胁，也使日后的审计工作困难重重。

    3．内部控制程序化

    信息系统建立后，内部控制的内涵与外延发生了很大的变化，由于采用计算机，人们就不能不对其硬件和软件工作环境的安全性、可靠性详加考虑，采取各种严密的措施，确保相关信息的真实准确。而要做到这点，必须将各种控制方法嵌入程序之中，通过程序的运行，核对数据勾稽关系、数据处理顺序等。

    （三）信息系统审计的概念

    信息系统审计最早也被称为计算机审计，是随着计算机在财务会计领域的运用而产生的。早期的计算机审计应用比较简单，相应的，计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务，从财务报表审计的角度来看的，这一阶段的主要业务内容是对交易金额和账户、报表余额进行的核对和检查，属于程序中的实质性测试环节。此时，它只是传统财务审计业务的一种辅助工具，对客户的电子化会计数据进行处理和分析，为财务报表审计人员提供效率性服务。

    随着计算机技术应用领域的不断扩大，计算机对被审计单位个个业务环节的影响越来越大，计算机审计更多关注的内容也从单纯的对电子数据的处理，延伸到对计算机系统的可靠性、安全性进行了解和评价。风险基础的审计模式的采用以及信息系统的被审计单位的各个领域的广泛应用，信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密，并且直接或间接地影响到财务报表的真实、公允。在这种情况下，对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段，计算机审计的业务范围已经覆盖了一项审计业务的全过程，计算机审计这一概念已经不能反映这一业务的全部内涵，而分解为信息系统审计和计算机审计两个概念。

二、建立内部审计信息化流程框架的分析

    （一）审计证据的获取与鉴定

    1．审计证据的获取

    收集审计证据是审计人员实施审计证据决策的首要环节。信息系统审计的证据也是通过查询文档、问卷调查、数据抽样等方式获得。

    在现代计算机技术、通信技术日益发达的条件下，由于计算机技术和信息系统日益复杂，实时性越来越高，导致系统的输入和输出之间的对应关系日趋薄弱，系统中的数据处理几乎不会留下痕迹。传统的审计线索可能完全消失，传统意义上的单据没有了，纸质记录消失了，各种单据、票证和账簿等都以肉眼无法直接辨识的电磁信息的形式在网上传递并存储于磁性介质中，这些存储在磁性介质上的信息是机器可读的，它们不再是肉眼所能直接识别的了。此外，原始单据进入计算机以后，中间的交易处理由计算机自动完成，并且这些线索还具有被无痕删改、不能永久保存等缺点。传统的审计线索在这里中断、消失了，传统的审计方法，有的已不适用。同时，EDI、ERP等的应用使对会计凭证、帐簿、报表等的审计扩展到了整个业务处理过程中，包括定单、采购、分销、运输等，各个部门的信息都集成在一个中心数据库中，各个信息子系统可以根据交易的执行情况取用、补充、修改和更新中心数据库的资料。因此，信息系统审计人员必须深入系统内部各功能模块，才能获得精准可靠的数据资料，不能仅仅通过简单的输入输出审计就做出定论。

     2．审计证据真实性鉴定

    审计人员从收集审计证据的全过程来鉴定证据本身的真实程度。传统审计理论认为，证据受个人支配的程度越小，被篡改和伪造的机会越少，真实性越高；在良好内部控制制度下收集的证据比不健全内部控制制度下收集的证据真实性高；直接产生于经济活动的业务凭证比通过加工汇总整理的资料更可靠。在网络化的信息系统中，通过计算机系统完成的交易在很大程度上可以排除交易中个人的支配作用，而且由系统自动生成的经济事项记录、汇总、分析资料可以减少人工出错的可能性。比如，在EDI系统中，采购行为由参与交易的各方通过计算机与计算机之间通信而配合完成，可以在很大程度减少传统采购过程中采购员的舞弊行为；又如在网络化的会计系统中，凭证记录的经济业务数据直接由采购、销售、运输等其他部门中的原始交易数据生成，可以大大减少手工的重复输入可能带来的有意或无意的错弊。但是，无论什么计算机系统最终都离不开人的操作，如果没有的健全的内部控制，系统的程序和数据同样面临被人篡改的可能。
 
    网络技术的应用已使企业内部控制环节发生了重大变化，许多传统的控制手段已经失去意义，评价和改进内部控制必须以信息系统的运转为基础，传统的内部控制中的职责分工、相互牵制在网络化的信息系统中失去效用，必须要建立新的内控制度测试系统。因此，审计人员不仅要对信息系统产生的审计证据是否真实、正确、合法进行鉴定，而且还要对信息系统的硬件和软件，进而对整个信息系统的安全性、可靠性、内部控制的健全性与有效性等方而进行测试和鉴定，提高信息的可靠性和真实性，有效地防止利用计算机随意篡改数据或破坏磁性介质上的数据等舞弊行为的发生。
 
    （二）信息系统审计操作流程
 
    1．审计计划阶段
 
    计划阶段是整个审计过程的起点。其主要工作包括：
 
    （1）了解被审系统基本情况
 
    了解被审系统基本情况是实施任何信息系统审计的必经程序，对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象，以决定是否对该系统进行审计，明确审计的难度，所需时间以及人员配备情况等。
 
    了解了基本情况，审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点，以决定是否对其进行审计。
 
    （2）初步评价被审单位系统的内部控制及外部控制
 
    传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用，企业信息系统进一步向深层次发展，这些变革无疑给企业带来了巨大的效益，但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境，信息系统内控制度的审计内容包括一般控制和应用控制两类。
 
    一般控制是系统运行环境方而的控制，指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障，影响到计算机应用的成败及应用控制的强弱。主要包括：组织控制、操作控制、硬件及系统软件控制和系统安全控制。
 
    应用控制是对信息系统中具体的数据处理活动所进行的控制，是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施，信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性，不同的应用系统有着不同的处理方式和处理环节，因而有着不同的控制问题和不同的控制要求，但是一般可把它划分为：输入控制、处理控制和输出控制。
 
    通过对信息系统组织机构控制，系统开发与维护控制，安全性控制，硬件、软件资源控制，输入控制，处理控制，输出控制等方而的审计分析，建立内部控制强弱评价的指标系统及评价模型，审计人员通过交互式人机对话，输入各评价指标的评分，内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计，实现对系统的预防性控制，检测性控制和纠正性控制。
 
    （3）识别重要性
 
    为了有效实现审计目标，合理使用审计资源，在制定审计计划时，信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准，系统的服务对象及业务性质，内控的初评结果。重要性的判断离不开特定环境，审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统，就越需要获取充分的审计证据，以支持审计结论或意见。
 
    （4）编制审计计划
 
    经过以上程序，为编制审计计划提供了良好准备，审计人员就可以据以编制总体及具体审计计划。
 
    总体计划包括：被审单位基本情况；审计目的、审计范围及策略；重要问题及重要审计领域；工作进度及时间；审计小组成员分工；重要性确定及风险评估等。
 
    具体计划包括：具体审计目标；审计程序；执行人员及时间限制等。

   2．审计实施阶段
 
    做好上诉材料的充分的准备，便可进行审计实施，具体包括以下内容：
 
    （1）对信息系统计划开发阶段的审计
 
    对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计，可以采用事中审计，也可以是事后审计。比较而言事中审计更有意义，审计结果的得出利于故障、问题的及早发现，利于调整计划，利于开发顺序的改进。
 
    信息系统计划阶段的关键控制点有：计划是否有明确的目的，计划中是否明确描述了系统的效果，是否明确了系统开发的组织，对整体计划进程是否正确预计，计划能否随经营环境改变而及时修正，计划是否制定有可行性报告，关于计划的过程和结果是否有文档记录等等。
 
    系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计，用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试，是系统开发完毕，进入试运行之前的必经程序。其关键控制点有:
 
    分析控制点：是否己细致分析企业组织结构；是否确定用户功能和性能需求；是否确定用户的数据需求等。
 
    设计控制点：设计界面是否方便用户使用；设计是否与业务内容相符；性能能否满足需要，是否考虑故障对策和安全保护等。
 
    编程控制点：是否有程序说明书，并按照说明书进行编写；编程与设计是否相符，有无违背编程原则；程序作者是否进行自测；是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。
 
    测试控制点：测试数据的选取是否按计划及需要进行，是否具有代表性；测试是否站在公正客观的立场进行，是否有用户参与测试；测试结果是否正确记录等。
 
    （2）对信息系统运行维护阶段的审计
 
    对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段，针对信息系统是否被正确操作和是否有效地运行，从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。
 
    输入审计的关键控制点有：是否制定并遵守输入管理规则，是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。
 
    通信系统实施的是实际数据的传输，通信系统中，审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键控制点有：是否制定并遵守通信规则，对网络存取控制及监控是否有效等。
 
    处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程，此时的审计主要针对数据输入系统后是否被正确处理。关键控制点有：被处理的数据，数据处理器，数据处理时间，数据处理后的结果，数据处理实现的目的，系统处理的差错率，平均无故障时间，可恢复性和平均恢复时间等。
 
    数据库审计是保障数据库正确行使了其职能，如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失，数据回滚以保证数据的一致性)。其关键控制点有：对数据的存取控制及监视是否有效，是否记录数据利用状况，并定期分析，是否考虑数据的保护功能，是否有防错、保密功能，防错、保密功能是否有效等。
 
    输出审计不同于测试阶段的输出审计，此时的输出是在实际数据的基础上进行的，对其进行审计可以对系统输出进行再控制，结合用户需求进行评价。关键控制点有：输出信息的获取及处理时是否有防止不正当行为和机密保护措施，输出信息是否准确、及时，输出信息的形式是否被客户所接受，是否记录输出出错情况并定期分析等。
 
    运行管理审计是对人机系统中人的行为的审计。关键控制点有：操作顺序是否标准化，作业进度是否有优先级，操作是否按标准进行，人员交替是否规范，能否对预计于实际运行的差异进行分析，遇问题时能否相互沟通，是否有经常性培训与教育等。
 
    维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键控制点有：维护组织的规模是否适应需要，人员分工是否明确，是否有一套管理机制和协调机制，维护过程发现的可改进点，维护是否得到维护负责人同意，是否对发现问题作了修正，维护记录是否有文档记载，是否定期分析，旧系统的废除是否在授权下进行等。
 
    3．审计完成阶段
 
    完成阶段是实质性的整个信息系统审计工作的结束，主要工作有:
 
    整理、评价执行审计业务过程中收集到的证据。在信息系统审计的现代化管理时期，收集到的数据己存储在管理系统中，审计人员只需对其进行分析和调用即可。
 
    复核审计底稿，完成二级复核。传统审计的三级复核制度对信息系统审计同样适用，它是保证审计质量、降低审计风险的重要措施。一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核，这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论；二级复核是在外勤工作结束时，由审计部门领导对工作底稿进行的重点复核。在审计工作办公自动化的今天，二级复核制度同样可以通过网上报送及调用得以实现。
 
    评价审计结果，形成审计意见，完成三级复核，编制审计报告。评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进行最终的评价。这是审计人员决定发表何种类型审计意见的必要过程，所确定的可接受审计风险一定要有足够充分适当的审计证据支持。签发审计报告之前，应当随工作底稿进行最终(三级)复核，三级复核由审计部门的主任进行，主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。三级复核制度的坚持是控制审计风险的重要手段。审计报告是审计工作的最终成果，审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见，同时提出改进建议。

 三、内部审计信息化的发展
 
    （一）信息系统审计的未来发展前景
 
    未来审计技术发展的动力来自于信息系统审计的发展。同时信息系统审计将扩展审计的领域。有专家预言，随着企业信息系统所覆盖的领域不断扩大，会计作为一个独立的信息系统将逐渐消失，但这并不意味着审计行业的消失。相反它对审计提出了更高的要求，审计人员对被审计对象的了解必须更加深入、全面。从内部审计来看，这种趋势导致传统财务报表审计的业务比例减少，由于企业信息系统将逐渐庞大，内部审计将更多地将工作重心转移到对企业信息管理的风险、效率、控制和稽查方面。
 
    正如对财务信息的可靠性的要求造就了注册会计师行业一样，信息社会的到来使得人们对信息系统的可靠性更加依赖，这种依赖为信息系统审计提供了十分广阔的发展空间，也代表了审计未来发展的一个重要方向。预见这一发展方向，并着手准各，踏实工作，积极应对这场审计革命的到来，就一定会把握住这个机遇，使我国的内部审计事业焕发出更加强盛的生命力。
 
    （二）对开展信息系统审计的几点建议
 
    1．审计观念的转变
 
    观念问题也就是认识问题。如果不转换审计观念，将审计的目标局限为查错纠弊，势必将信息系统审计与当前中心工作对立起来。把内部审计仅仅理解为“查账”，则对信息系统审计的理解也只能停留在计算机辅助审计或辅助审计软件开发及应用的层次上。只有全面树立系统基础审计或风险基础审计的观念，才能理解信息系统审计的重要意义。审计中发现的很多错弊，由于都是管理上出了漏洞，也就是系统出了问题。一个管理完善的、控制良好的信息系统，应该能够防止、发现或纠正自身存在的问题。内部审计的任务就是帮助被审计者建立、健全这种机制，而不应该是代替被审计者去履行他们的“管理责任”或“会计责任”。
 
    2．审计标准的制定
 
    信息系统的审计需要尽可能参照IIA的GAIT（Guide to the Assessment of IT General Controls Scope Based on Risk，即“基于风险的信息系统控制评价指南”）。GAIT是一套原则和方法，用于帮组评价企业信息系统控制的成本收益以及效率效果，通过制定GAIT,IIA一方面帮助企业识别信息系统控制中的关键因素，避免财务数据错弊的发生；另一方面知道管理层和审计人员识别信息系统的关键控制点，以满足企业遵守404条款的要求。
 
    GAIT包括4项原则：
 
    对信息系统控制程序风险和相关控制此案的识别应该保持之上而下的连续性，并且利用一种风险导向的方法来识别关键的帐户，这些帐户存在的风险，以及在业务程序中关键控制点。
 
    需要识别的信息系统控制程序的风险，应该是那些对财务处理及相关财务信息的产生重要影响的关键信息系统功能。
 
    信息系统控制程序的风险需要爱不同的程序以及不同的信息系统层面上进行识别：运用程序代码、数据库、操作系统，以及网络。
 
    信息系统控制程序的风险只可能通过达到信息系统控制目标得到降低，而不会因为个人的控制而减少。
 
    3．专业人才的培养
 
    开展信息系统审计最重要的在于人才的准备，需要一批既掌握现代审计理论与实务又了解计算机技术的复合型知识结构的专业人才，但目前内部审计人员数量和知识结构上看，还远远达不到这一要求。由于企业开展信息系统审计的必要性，因此企业迫切需要信息系统审计人员。短时间里让企业培养出信息系统审计复合型人才不太现实，故目前可以采取使用两种知识类型的人员共同完成审计任务的方式。每个信息系统审计项目都配备专业审计人员和专业技术人员，由两种类型人员分别执行审计中的不同任务，同时也根据需要密切配合，这也是目前许多企业内部审计部门进行计算机辅助审计所采取的有效方式。但从长远看，信息系统审计人员仍应是兼具两种知识的复合型人员，这些人才的获得可以通过培养现有的审计人员，补充和丰富其技术方而的知识来得到；也可以由技术人员充实管理知识后获得。新形势下对内部审计人员提出的更高要求，只有通过不断的学习和接受挑战的心理才能适应审计的发展需要。
 
    4．加强联网的建设
 
    随着企业信息处理系统的大规模网络建设，审计人员不得不面对被审计单位越来越复杂的信息系统。在审计人员少、任务重的情况下，要充分意识到IT技术对审计工作的巨大挑战和影响，从另一个角度来说，我们也可以利用计算机提高工作效率和质量。
 
    因此，审计人员要适应信息技术的发展，将高新技术运用于审计工作。现在看来，经济领域的很多问题靠传统的审计手段去审是不行的。一些大型企业在进行企业信息系统建设的时候，也充分考虑到内部审计和外部审计需求，并预留相应的接口。一些企业还自主开发了适应本企业特点的审计软件。信息系统审计软件要与企业的经营管理和会计核算信息系统联网，随时取得所需的电子数据和相关资料，实现对在线处理数据(磁盘或光盘数据)的审计，建立在计算机环境下新的审计模式。这样，审计人员不用到被审计单位的现场，就可以对其实现随时跟踪、分析和审查，实现联网审计，改变必须将时间安排为集中审计的局面，而且审计人员还可以通过积累的数据库进行历史的、横向的分析比较，发现手工方式下难以查出的问题。
 
    四、结束语
 
    由于我国计算机、网络技术发展起步较晚，基础建设还相对比较落后，企业业务之间的整合性还相对缺乏，真正涉及到企业内部网络和业务流程的信息系统还处于发展初期。但网络化的会计信息系统正在被企业所接受，因而计算机信息系统的审计却还停留在审计理论界的探索之中，同时存在一定的问题。一方面，国内许多企业的内部审计工作还未真正受到管理层的重视，内部审计的基础工作还不能得到企业大量资源的投入；另一方而，信息系统审计开展的难度、对审计人员的高素质要求等都制约了目前信息系统审计的实施和理论的构建。因此，要建立健全的信息系统审计理论和方法还有一段路要走。（作者：四川航天技术研究院审计中心 张杨 ）