摘要：信息系統審計是一個通過收集和評價審計證據，對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面作出判斷的過程。信息系統審計過程與一般審計過程一樣，分為準備階段、實施階段和報告階段。其中，準備階段和報告階段所涉及的技術方法與財務審計所運用的技術方法區別不大，而實施階段所涉及的技術方法則具有信息技術的特色。在實施階段，針對被審計的信息系統，審計人員所開展的工作可以分為三個層次，即了解、描述和測試。

　　關鍵詞：信息審計,審計管理,審計師論文下載

　　計算機信息系統環境下審計技術方法與手工環境下傳統的審計技術方法相比，相應增加了計算機技術的內容。對信息系統審計的方法既包括一般方法即手工方法，也包括應用計算機審計的方法。信息系統審計的一般方法主要用于對信息系統的了解和描述，包括：面談法、系統文檔審閱法、觀察法、計算機系統文字描述法、表格描述法、圖形描述法等。應用計算機的方法一般用于對信息系統的控制測試，包括：測試數據法、平行模擬法、在線連續審計技術(通過嵌入審計模塊實現)、綜合測試法、受控處理法和受控再處理法等。應用計算機技術的審計方法主要是指計算機輔助審計技術與工具的運用。但不能把計算機輔助審計技術與工具的使用過程與信息系統審計等同起來。在信息系統審計的過程中，仍然需要運用大量的手工審計技術。

　　在信息系統中，有些數據需要在兩個財務信息系統或財務信息系統與業務信息系統之間相互轉移，在此過程中可能會出現一些問題，尤其是在需要手工重新錄入時。因此在審計時要重點關注以下方面：在轉移過程中數據可能會發生變化;新的科目代碼表與老的可能不一樣，需要在兩個財務信息系統之間建立復雜的對應關系：中心數據庫可能被一些地理上分散的服務器取代;當前財務信息系統中的數據質量不佳;當用一個總的信息系統取代一個預定財務信息系統時，需要補充許多新的數據。在檢查這一環節時，一定要保證輸出的消息是經過批準、完整和精確的，保證輸出的消息在約定時間內準確地發送給指定的接收者，保證流人的消息是完整、準確和真實可靠的。

　　21世紀是信息化的時代，信息技術的飛速發展也給審計領域帶來了巨大的沖擊，它促使對傳統業務流程的再造，以促進更加高效的運營，并加強企業內部、企業與客戶、企業與供應商之間的溝通。然而，這種進步同時也會引發新的風險，需要企業有專門的內部控制措施來控制這種新的風險，還需要新的技術來評估控制的有效性，確保企業數據以及生成這些數據的信息系統的安全性和準確性。

　　一、信息系統審計概況

　　(一)何謂信息系統審計

　　信息系統審計是指根據公認的標準和指導規范對信息系統及其業務應用的效能、效率、安全性進行監測、評估和控制的過程，以確保預定的業務目標得以實現。日本通產省1996年對信息系統審計的定義為：“為了信息系統的安全、可靠與有效，由獨立于審計對象的IT審計師，以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價，向IT審計對象的最高領導，提出問題與建議的一連串活動。”

　　由于將傳統的審計技術應用于信息系統之中，因此信息系統審計是一門綜合性交叉性學科。在IT環境下，審計理論基礎為審計理論與其他學科理論提供了一個公共區域，各學科理論知識相互交叉、滲透、融合，共同組成一個有序的、交互滲透的、相互關聯的動態網絡，服務于審計理論。

　　(二)信息系統審計的產生及發展

　　20世紀60年代，隨著第二代晶體管計算機的出現和計算機應用的普及，特別是會計電算化之后，開始出現了IT審計。在信息系統審計的萌芽階段，系統審計(System Audit)、電子數據處理審計(EDP Audit)和計算機審計(Computer Audit)這些概念之間并沒有很明確的界限劃分，它是作為傳統審計業務的擴展發展起來的，并且都是在計算機大量進入實用階段后產生的。

　　到了20世紀70年代，隨著利用計算機犯罪的案例開始出現，美國注冊會計師協會和內部審計師協會先后發表了《內部管理的調查與評價對EDP的影響》和《系統可審計性及規則的研究》兩份報告。同時日本注冊會計師協會也意識到了信息系統審計的重要性，于70年代中期設立了IT審計委員會。到了80年代，日本通產省在日本的軟件水平考試中添加“IT審計師”一級的考試，以作為該考試的最高級別。

　　20世紀90年代開始隨著信息系統的發展，系統越來越復雜化、大型化、多樣化和網絡化，再加上Internet的出現，使信息資源的作用得到充分發揮。互聯網可以成為電子商務、金融證券的運作平臺，當然也可以變成計算機犯罪的場所。別有用心者可以利用互聯網的便利制造混亂，危害社會經濟安全，競爭對手之間也可以通過其攻擊或者竊取對方機密，大量事實證明信息系統的安全是可以關乎到國家安全的重要問題。因此，如何確保信息系統的安全、可靠和有效變得越來越重要。

　　說到信息系統審計，就不能不說ISACA。所謂ISACA，全稱為信息系統審計和控制協會(The Information System Audit and Control Association，ISACA)，其成立于1969年，是一個總部設在美國的芝加哥、擁有20000多名會員的跨國界、跨行業的專業機構，其前身為EDP審計師聯合會。ISACA目前在世界上100多個國家設有160多個分會，該協會還舉辦一年一度的注冊信息系統審計師(Certified Information System Auditor，CISA)考試，ISACA是目前唯一有權授予國際信息系統審計師資格的組織。

　　隨著信息化成為企業的中樞，左右著企業的命運，歐美的發達國家幾乎所有大企業的管理者都認識到了IT審計的必要性。人們也越來越清楚地意識到利用IT審計能有效地管理信息及與信息相關的技術，是進入信息化社會的可靠保障，在發達國家IT審計已得到了普及。

　　(三)信息系統審計的范圍

　　信息系統審計的對象是指以電子計算機為核心的信息系統，并覆蓋信息系統從計劃、分析、設計、編程、測試、運行維護到系統報廢為止的全生命周期的各個環節。要保證信息系統的安全有效，僅把信息系統審計僅僅理解為是對計算機硬件與軟件的審計是不夠的，信息系統審計必須是針對整體的信息系統進行的，而整體信息系統是包括信息系統環境以及與此有關的業務等在內的有機結合的整體，是以促使企業整體的健全的信息化為目標的。

　　二、信息系統審計的實施過程

　　由于信息系統在企業中的核心地位，因此對信息系統的審計要貫穿整個信息系統生命周期的始終。信息系統的生命周期可以分為系統規劃、系統設計、系統實施、系統運行和維護五個階段。所以信息系統審計的實施過程可分為：信息系統開發過程的審計、信息系統實施過程的審計和信息系統維護過程的審計。

　　(一)信息系統開發階段的審計

　　一個大型信息系統的開發需要花費大量人力、物力和財力，如果開發不當，投入運行后需要的維護費用甚至會大大超過開發費用。對信息系統開發過程的跟蹤審計是信息系統安全、可靠、有效的重要保證。在信息系統的開發過程中，每個階段都不可避免的會發生錯誤，而且前一個階段的錯誤必然會導致后一個階段相應的錯誤發生甚至擴大，這也就是軟件錯誤的“積累放大”效應。另一方面，在后期改正一個錯誤會比在早期改正同一個錯誤付出更多的代價。錯誤發現得越早，改正越容易，代價也越低。因此，通過對信息系統開發過程的中的每個階段進行跟蹤審計，可以及時發現并指出每個階段發生的錯誤，使這些錯誤能夠及時被修正，從而減輕開發過程中軟件錯誤的積累放大效應，進一步降低開發過程所花費的成本，同時保障整個信息系統的質量。

　　(二)信息系統實施階段的審計

　　在系統開發過程中的系統實施階段，要建立數據庫，對應用程序進行編碼和測試，購買安裝設備，培訓雇員，整理系統文檔并安裝新系統。審計人員、編程人員、數據庫管理員、用戶和會計師都要參與實施過程。這一階段的活動耗費了大部分成本，通常花費更多的工時，超出系統開發其他所有階段的總和。

　　(三)信息系統維護階段的審計

　　一旦系統實施完成，便進入信息系統開發的第三階段――維護。這是系統生命周期中最長的階段，通常會跨越幾年時間。系統在這一階段并非靜止，實際上它們會經歷一些或大或小的修改，使之適應用戶需求的變化。有時變化很小，例如修改系統以生成新的報告，或者改變應用程序的邏輯和用戶界面。維護同樣可以是大范圍的，例如對應用程序的邏輯和用戶界面進行大的變動。

　　如果對應用程序進行了維護，其完整性可能遭到破壞。因此審計師的檢查必須擴展到維護階段，以確定應用程序的完整性是否依然存在。

　　三、我國信息系統審計的現狀

　　90年代末，國內有學者提出計算機審計，電算化審計，但概念還停留在對會計信息系統的審計上，基本上延伸手工會計信息系統審計，尚未全面探討信息時代給審計業務帶來的深刻變化。以我國在1999年頒布了《獨立審計準則第20號——計算機信息系統環境下的審計》為例，其更多關注的是會計信息系統。

　　中國審計協會為了規范審計機構及人員的信息系統審計活動，保證審計質量，于2008年根據《內部基本審計準則》的精神制定并頒布了《審計具體準則第28號——信息系統審計》。這是我國第一個真正意義上的信息系統審計準則，也為我國信息系統審計人員開展信息系統審計活動提供了法律依據。

　　我國開展信息系統審計已經迫在眉睫，而開展信息系統審計將面臨審計觀念的轉變、缺乏信息系統審計的專業人才以及行業準則與實務指南缺失等問題，應加快行業準則與實務指南的制定，加大力度培養專門的信息系統審計師。

　　四、結語

　　目前，國內有關信息系統審計的研究較少，大多的會計師事務所的業務仍主要是傳統的財務報表的審計。而在國外，信息系統審計的發展越來越快，因為企業的發展，越來越依賴信息系統正常、穩定的運行，信息系統已經成為企業戰略中的一部分。信息系統審計在國內尚不受重視，歸結其原因，一方面是國內企業僅僅把信息系統作為企業的輔助功能，沒有將其看作企業戰略的一部分;另一方面是我國目前缺乏相關的專業信息系統審計人才，大多數審計人員沒有IT背景，而IT人員又不了解審計知識。

　　因此，我們應加大信息系統審計的宣傳，讓人們了解什么是信息系統審計，為什么要進行信息系統審計。此外，要大力培養信息系統審計師，開展信息系統審計業務。還要盡快完善行業管理制度規范，如從事電子商務的企業必須經過審計、上市公司的信息系統必須經過審計等。借鑒會計師行業的經驗，對信息系統審計職業的自律規范開展研究，包括資格考試制度、職業道德、執業規范與懲戒等，使我國信息系統審計事業在健康規范的軌道上快速發展。