信息系统审计的内容、范围、流程和策略的探讨

1、信息系统审计的内容、范围、流程和策略的探讨吴本长 谢岗吴斌 赵承康女徽电力公司课题纟n国际信息系统市计委员会（1saca）在1996年对信息系统审计定义为：信息系统审计是为了信息 系统的安全、可靠与有效，山独立于市计对象的信息系统市计师，以第三方的客观立场对以计算机为 核心的信息系统进行综合的检查与评价，向信息系统审计对彖的最高领导层，提出问题与建议的一连 串的活动。由此可以看出，信息系统审计所关注的内容不单纯是对电了数据的处理，更不仅仅是财务 信息，而是对企业整个信息系统的可靠性、安全性进行了解和评价，是一项通过审杳与评价信息系统 的规划、开发、实施、运行和维护等一系列活动，以确定信息系统运

2、行是否安全、可靠、有效，信息 系统得出的数据是否可靠准确以及数据是否能有效的存储的过程。一、信息系统审计的内容和特点国际信息系统市计协会规定了信息系统审计主要内容：1. 信息系统审计程序。依据信息系统审计标准、准则和最住实务等捉供信息系统审计服务，以 帮助组织确保其信息技术和运营系统得到保护并受控；2. tt治理（信息技术治理）。确保纽织拥冇适当的结构、政策、工作职责、运营管理机制和监 督实务，以达到公司治理中对it方面的要求；3. 系统和基础建设牛命周期管理。系统的开发、采购、测试、实施、维护和配査、使用，与基础 松架，确保实现组织的目标；4. it服务的交付与支持。it服务管理实务可确保提

3、供所耍求的等级、类别的服务，来满足组 织的fi标；5. 信息资产的保护。通过适当的安全体系（如安全政策、标准和控制），保证信息资产的机密 性、完整性和有效性；6. 灾难恢复和业务连续性计划。一旦连续的业务被中断或破坏，灾难恢复计划确保灾难对业务 彫响最小化的同时，及时恢复被中断的it服务。从信息系统审计的上述定义和内容，町以看出，信息系统审计除了传统审计所具冇的特性外，还 具有以下几个专有特点：1、审计的所有领域将全面运用现代信息技术。这就是在审计的理论研究、实务工作、管理模式、 知识构等方而都将运用现代信息技术，使技术与审计高度融通，大大捉高审计的工作质量和效率。在 实务工作方面，耍使审计工

4、作而向计算机內在审计和使用计算机审计转变；审计人员不再只依赖于纸 张记录的会计数据而大部分或全部依赖于磁盘、光盘等介质记录的电了数据，或直接从网络下载的了 数据，诸如电子商务之类；审计底稿和审计证据及有关审计档案也全部电子化；审计工作将从定期的 现场市转向实时或定时的在线网络审计，即通过网络分散和连续抽取证据进行审计。在管理模式上， 要利用现代信技术來管理责任与风险俱在的审计行业。知识结构上，市计人员除了掌握传统审计的基 本知识外，还应掌握计算知识及其应用技术、数据处理和管理技术，掌握现信息技术的应用等；不仅 要会操作审计软件，而h要能根据需要编写出测试审查程序；使所审计人员都应成为完全意义上

5、的 it审计人员。2、信息数据安全性、可靠性是it审计的特点。在会计信息化条件下，企业所提供的最主要的会 计信息将是各种切细信息，因此，审计的工作重点是验证信息的真实可靠性，以及审核进入外网络的 明细信息的安全性。企业内部形成的明细信息的真实可靠性如何，取决企业会计信息化系统内部控制 的强弱程度，而审计人员主要工作将是证实从数据库存取信息的町靠性。为此，应当侧垂于验证机内 原始凭证数据是否真实可靠，会计凭证数据库的存取是否得当，以及这些数据被不胡痕迹修改的风险 有多大等问题。对丁进入外部网的明细信息，必须通过对整个系统的网络进行安全控制以保证此信息 的安全性。在会计信息化条件下，必须对会计信息

6、进行连续市计，这种市计不仅应延伸到进入企业内 部网络的明细信息，1处几应延伸到进入外部网络系统的详细信息。3、计算机专家参与审计工作。在会计信息化环境下，审计工作所面临的会计系统非常复杂，对 审计人员的信息技术掌握程度要求非常高，审计人员必须充分利用计算机专家的专业能力进行审计工 作。需要计算机专家参与的工作是深层次的、与技术高度融合的审计工作，如数据库的分析评价、网 络系统的健全评价、实时监控和市计软件的开发、信息系统应用软件市计等。这些工作，单纯依靠审 计人员是难以完成的。审计人员在开展实质性工作前，应与计算机专家交流并拟定专家工作的项冃和 收集、评价审计证据的索引，以便能充分利用计算机专

7、家的工作结果进行审计判断。4、审计的覆盖血将扩人。在会计信息化环境下，审计的对象是以计算机为手段的信息处理系统, 这是信息系统审计区别于其他审计的标志，同时这也表明不仅会计信息是审计的对象，其他计算机信 息处理系统如企业人力资源管理子系统等也是审计的对象。5、对审计人员的素质要求提高。在会计信息化条件下，由于审计线索的变化、内部控制的变化、 审计对象和内容的扩人及审计方法的变化，决定了对审计人员要求的提高。审计人员必须从传统的审 计时空观转换为信息化条件下的电子时空观，具体表现为审计人员进行审计时不再局限于传统纸张上 的书而数据，也不局限于会计系统，而是部分或全部依赖于电子数据。同吋，审计人员

8、除了掌握传统 审计的基本知识外，还应掌握计算机知识及其应用技术，学握数据处理和管理技术，掌握现代信息技 术的应用；不仅要会操作审计软件，而r要能根据需要编写出各种测试审查程序模块。二、信息系统审计的工作流程信息系统审计过程与一般审计过程一样，分为准备阶段、实就阶段、报告阶段以及后续审计阶段。 其中，准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大，而实施阶段所 涉及的技术方法则具有信息技术的特色。各阶段的审计的内容主要如下：（一）准备阶段准备阶段主要是初步调查被审计单位会计拮息系统的基木情况，并拟定合理的计划。一般包括以 下主耍工作：1、调查了解被审计单位会计信息系统的基本

9、情况，如会计信息系统的硬件配置、系统软件的选川、 应用软件的范用、网络结构、系统的管理结构和职能分工以及文档资料等。2、与被审计单位明确会计责任和审计责任以及双方的权利、义务和职责等。3、初步评价被市计单位的内部控制制度，以便确定符合性测试的范围和重点。4、确定审计重要性、确定审计范围。5、分析审计风险。6、制定审计方案。在审计计划阶段，除了对时间、人员、工作步骤以及任务分配等方面做出安排以外，还要合理确 定符合性测试、实质性测试的吋间和范围，以及测试的市计方法和测试数据。（二）实施阶段实施阶段使审计工作的核心，也是会计信息系统审计的核心。主要t作是根据准备阶段确定的范 围、要点、步骤、方法，

10、进行取证、评价、综合审计证据，形成审计结论，发表审计意见。实施阶段主要工作应包括以下两个方而:1、符合性测试符合性测试是以系统的安全可靠性的检查结果为前提。如果系统安全可靠性非常差，不能讣审计 人员侑赖，则应当根据实际情况决定是否取消内部控制的符合性测试，而直接进行实质性测试并加大 实质性测试的样本量。在会计信息系统的符合性测试项冃中，主耍内容应该是确认输入资料是否正确 完整，计算机处理过程是否符合要求。如果系统安全町靠性比较高，则应对该系统给与较高的信赖， 在实质性测试时，就可以相应的减少实质性测试的样本量。2、实质性测试实质性测试应该是对被审计单位会计信息系统的程序、数据、文件进行测试，并

11、根据测试结來进 行评价和鉴定。进行实质性测试时需耍依赖符合性测试的结果。如果符合性测试结果得出的审计风险 偏高，而r被审计单位冇可能利用会计信息系统进行舞弊的动机与可能，h又不能提供完整的会计文 字资料，此时应该发表保附意见或拒绝表达意见的审计报告。在实质性测试时，可考虑采用通过计算 机进行审计的方法，具体包括：（1）数据测试法，即将测试数据或模拟数据分别由审计人员经手工 核算和被审计单位会计信息系统进行处理比较处理结果，做出评价。（2）受控处理法即选择被市计 单位一定时期的实际业务数据分别由审计人员和会计信息系统同时处理，比较结果，做出评价。3、利用辅助审计软件直接在会计信息系统下进行数据转

12、换，数据查询，抽样审计，查账，账务分析 测试等，得出结论，做出评价。（三）市计结论和执行阶段审计人员对会计信息系统进行符合性测试和实质性测试后，整理审计工作底稿，编制审计报告时, 除对被审计单位会计报表的合理性、公允性和一贯性发表审计意见，做出审计结论外，还要地被审计 单位的会计信息系统的处理功能和内部控制进行评价，并提出改进意见。审计报告完成后，先要征求被审计单位的意见。审计报告一经审定，所作的审计结论需通知并监督被 审计单位执行。（四）异议和复审阶段被审计单位对审计结论如侑异议，可提出复审要求。审计部门可组织复审结论和决定。特别是被 审计单位会计信息系统有了新的改进时，还需要组织后续审计。

13、三、信息系统审计的内容和重点审计环节会计信息系统市计是由会计数据体系、计算机硕件和软件以及系统工作和维护人员组成，所以会 计信息系统的审计内容与传统的手工会计系统也存在着较大的差别。会计倍息系统审计主要包括以下 内容：1、对内部控制进行审计一方血是企业的内部控制能在多大程度上确保会计信息系统中会计记录的正确性和可靠性，如输 入、输出的授权控制，业务受理的审核等。另一方面是内部控制的有效执行能在多大程度上保护资产 的完整性。通过以上两方而的评价，可以判断企业内部控制系统能在多大程度上防止或发现会计报表 中的错误以及经营过程的舞弊。2、对会计信息系统程序的审计会计信息系统的核心就是会计软件。会计软

14、件程序质最的高与低直接决定了会计信息系统整体水 平的高低。审计的主要内容是审计会计软件程序对数据进行处理和控制的及时性、正确性和可靠性， 以及程序的纠错能力和容错能力。会计软件程序的审计可通过计算机市计的方法以及利用计算机辅助 审计数据转换的功能来完成。3、对会计数据的审计会计数据处理的真实性、正确性、可靠性肓接影响会计信息的真实性、正确性、可靠性，所以会 计数据的审计是至关重要的。审计人员町釆用抽查原始凭证机内凭证相对比，抽查打卬日记账与机 内fi记账相核对等方法，同吋也可采用利用计算机辅助市计软件的功能來完成审计，从而降低市计风 险4、对会计信息系统开发质量的审计会计信息系统是一项系统工程

15、，主要包括系统分析、系统设计、系统实施以及系统维护等。会计 信息系统的纸來、运行水平，一方而依赖于日常的管理和维护，另一方面也取决于会计信息系统开发 过程的质量。对会计信息系统审计，应关注三个重点环节：1. 数据环节在审计中，必须使用一种方法能够向前、向后追踪单个交易和资产记录，以便使审计人员选择- 些交易对其进行详细检查，确认交易记录是否符合一般的审计目标。如对会计事项信息的检査，要检 查它的完整性、时效性、合规性和信息披霧等方面，检查内容包括与本会计年度冇关的交易是否全部 记录在册；所冇记录的交易是否都是合理发生的并与木会计年度有关；记录的交易是否数据准确，计 算无误：记录的交易是否符合基

16、本的和辅助的法律规定，符合特定权威机构的要求；对记录的交易是 否进行正确的分类，并符合信息对外披露的要求等。对财务报表信息的检查，要检查完整性、存在性、 会计计量、所有权以及信息披露等方面，检查內容包括是否记录了所有的资产和负债：所有记录的资 产和负债是否都是存在的；对资产和负债的计量是否精确，计算方法是否符合按合理性、一致的标准 制定的会计政策的要求：确认资产是被审主体所有的、负债是被审主体应该承担的，并且资产和负债 是否由合法的经济活动产牛的；资产、负债、资本和存货是否都得到正确的披露。同时对信息系统提 供的业务信息也要进行分析，例如每月的工资总数、某阶段的付款清单和订货信息等，要弄清基木

17、的 交易怙:况，并一直追踪到信息源。对上述信息的分析对以采用计算机辅助审计技术，按照特定的标准 对数据进行汇总、分类、排序、比较和选择，并进行各种运算。2. 内部控制环节内部控制一般而言是指组织经营管理者为了维护财产物资的安全、完整，保证会计信息的真实、 可靠，保证经营管理活动的经济性、效率性和效來性以及各项法律和规范的遵守，而对经营管理活动 进行调整、检查和制约所形成的內部管理机制，是组织为实现管理h标而形成的口律系统。计算机系 统的内部控制主要分为应用控制、一般控制和管理控制等三个方面，在审计过程中要对被审计单位内 控制度进行评价，包括电算化系统的内控制度。为了对系统的内控制度进行评价，审

18、计人员必须验证 内部控制系统是否存在，并能提供令人满意的证据，证明它正在有效地发挥作用。在计算机系统中， 应检查以下方而来证明内控制度的有效性：（1）控制系统资源的存取。包括物理资源，例如终端、服 务器、连接盒、相关文档等；述包括逻辑资源，如软件、系统文件和表、数据等。（2）控制系统资源 的使用。用户应该只能对授权给他们的那些资源进行操作。建立按川户职能分配资源的制度。把 重要的任务功能按用户或用户组进行分离，以减少无意的课操作、滥用系统资源和对数据的非授权修 改。（4）记录系统的使用情况。按时间顺序建立一个使用记录，记录内容应包括例外事例和与安全有 关的事件是山谁触发的，财务倍息的创建、修改

19、和删除是山谁完成的。（5）确认处理过程的准确性。 用产生财务控制信息，确认处理过程的准确完成。（6）管理人员对财务信息系统的修改。应该保证财 务信息系统的所冇修改都是经过授权、冇文档记录、经过彻底（独立地）测试的，确认最后以一种冇控 制的方式投入使用。（7）保护财务信息系统免遭计算机病毒的袭击。必须建立一套控制措施，检测病 毒，防止病壽感染财务信息系统。3. 数据传输转移环节在信息系统中，冇些数据需要在两个财务信息系统或财务信息系统与业务信息系统z间相互转 移，在此过程屮可能会出现一些问题，尤其是在需要手工重新录入时。因此在审计时要重点关注以下 方面：在转移过程中数据可能会发牛变化；新的科目代

20、码表与老的可能不一样，需要在两个财务信息 系统之间建立复朵的对应关系：中心数据库可能被一些地理上分散的服务器取代；当丽财务信息系统 中的数据质量不佳；当用一个总的信息系统取代一个预定财务信息系统时，需要补充许多新的数据。 在检查这一环节时，一定要保证输出的消息是经过批准、完整和精确的，保证输出的消息在约定时间 内准确地发送给指定的接收者，保证流人的消息是完整、准确和真实可靠的。四、信息系统审计的风险以及策略在信息系统审计条件下，审计面临着新的风险，主要冇以下几个方面：篡改数据，不留审计线索。在网络环境屮,数据的电子化并以磁介质为主要存储载体，这为舞弊 者对原始数据进行非法修改和删除，且不留篡改

21、痕迹成为可能，这将无法保证数据的完整性和真实性， 给市计监督带来了风险。信息丢失。主耍有三种原因:一是运行间的断电和死机等故障;二是计算机病毒破坏;三是人为 的毁损。(3) 黑客侵入和数据失窃。计算机黑客为了获取重要的商业秘密、数据资源经常用tp地址欺骗攻 击网络系统。黑客伪装为源口内部主机的一个外部站点，利用一定的技术进入目标系统窃取或破坏数 据。(4) 职责分离不恰当引起内控失灵。在网络环境下如果对数据维护、系统管理和数据输入、数据 核对确认等岗位不作适当的分离,就会冇人利川网络的弱点故意修改数据、舞弊或窃取秘密信息从中 捞取利益。市计风险的防范和控制为了有效地降低网络市计风险,就必须采取

22、相应的防范和控制描施，具体 为：1、加强审计软件的开发。对信息系统审计，如果仍然采用常规的手工系统的那一套审计技术与 方法，很难达到审计的fi的。由于审计的范围己经扩大到会计信息系统及其它计算机信息处理系统， 迫使审计人员在采用传统的各种审计技术的同时，采用计算机辅助审计技术，用口益先进的计算机审 计软件去对付单机、网络、多用户等各种工作平台下的会计软件。审计软件是大量审计方法的技术的集成，一般包括内部控制评价、审计计划管理、数据转换、抽样市计、实质性测试、会计报表牛成、 审计底稿打印和管理，审计证据归集和评价，审计报告生成等功能。为适应会计信息化环境下的各种 财务软件的发展，我们必须要提高开

23、发审计软件的速度，加快审计软件更新换代的步伐，开发通用审 计软件和专用审计软件，还可以引进计算机审计软件的技术，组织对有推广价值的审计软件进行评审, 促进审计软件的商站化。同时，要强化市计人员对数据库程序的学习，总接对数据库中的数据进行采 集和转换，利用查询语句对财务数据进行分析和整理，完成审计任务，这样就能从根本上上摆脱财务 软件升级或有意识改动带來的束缚，克服审计工作中存在的各种技术。2、提高审计风险的防范能力。随着网络系统地运用，信息的载体已经由纸介质过拨到磁性介质。 磁性介质的保存有较高的要求，易受到高温、磁性物质、剧烈震动的影响。因此，档案保存的风险还 很大，而且这种存储媒体是易变的

24、，通过信息技术容易被访问和滥用，犯罪人员可以通过获取口令或 非法访问数据库中的所有数据，是存储的信息数据易受舞弊犯罪人员（黑客）的攻击。这些都增加了 审计风险。因此必须采取积极措施进行分险防范，如建立一个在监管部门严格监控下的网络财务信息 强制存档制度，可以牵制网上财务信息的披露，这样既可以提高工作效率，又可以降低审计风险，制 定各种严格的风险防范规章制度进行规范，包括网络管理规定、系统运行屮的安全保密规定、会计核 算软件运行管理规定、计算机软件开发的规定等。此外还可以通过加强企业的内部控制保护企业的安 全，保证会计信息的准确性和对维护性。完善的内部控制可有效的降低审计风险。通过充分利用防火 墙和加密技术，制定具体的防病毒制度并定期组织全系统的防毒检查，町防范病毒和“黑客”入侵， 从而降低审计的风险。3、加强审计专业人员的培养。会计信息化便审计的范围不断扩大，给审计人员带来了巨大的压 力。国际市计准则15号规定，在电子数据处理环境下进行市计时，审计人员应对市计系统的计 算机硕件、软件和处理系统有充分了解，以进一步对委托审计的条件做出计划并了解电子数据处理对 内部控制的研究与评估的影响和需采用的审计程序，包括计算机辅助审计软件的应用。这对我国当前 审计人员知识结构不完整的现状是一个巨人的挑战。因此，审计机构从现在开始就应注重多渠道对现