史建樹

當(dāng)前，隨著計(jì)算機(jī)與互聯(lián)網(wǎng)的迅速普及，人類對計(jì)算機(jī)的依賴達(dá)到了前所未有的程度，全社會各行各業(yè)信息化進(jìn)程不斷加快，我國許多企業(yè)在實(shí)現(xiàn)各部門信息化的同時，也已著手整合與集成其信息化應(yīng)用系統(tǒng)。但是，多年來國內(nèi)外企業(yè)的實(shí)踐經(jīng)驗(yàn)表明：信息化是有風(fēng)險(xiǎn)的，且系統(tǒng)規(guī)模越大，功能越復(fù)雜，風(fēng)險(xiǎn)也就越大。在當(dāng)前信息化擴(kuò)張的時代，我們內(nèi)部審計(jì)面臨一項(xiàng)新的問題：內(nèi)部審計(jì)應(yīng)當(dāng)如何對企業(yè)信息系統(tǒng)進(jìn)行監(jiān)督和檢查？這也為我們提出了一個新的審計(jì)領(lǐng)域，即信息系統(tǒng)審計(jì)。

一、IT環(huán)境下內(nèi)部審計(jì)對象的變化和特征

1.數(shù)據(jù)處理的集中化與自動化

手工崗位分工操作的各個工作，在信息系統(tǒng)環(huán)境下都由計(jì)算機(jī)集中處理，每一臺計(jì)算某一特定的任務(wù)，一組數(shù)據(jù)一經(jīng)輸入，便可以被不同的用戶共享。隨著系統(tǒng)的復(fù)雜性越高，數(shù)據(jù)處理就越為集中。在數(shù)據(jù)的原始數(shù)據(jù)的采集一般都以代碼為標(biāo)識。

2.數(shù)據(jù)存儲的磁性化

在信息系統(tǒng)中，數(shù)據(jù)以文件形式存儲，而這種存儲的介質(zhì)，又都以磁性材料為主。存儲于磁介質(zhì)上的數(shù)據(jù)，與其它電子數(shù)據(jù)一樣，都具有存取方便、修改與刪除不留痕跡的特點(diǎn)，而這一特點(diǎn)有給數(shù)據(jù)的可靠性與安全性帶來了極大的威脅，也使日后的審計(jì)工作困難重重。

3.內(nèi)部控制程序化

信息系統(tǒng)建立后，內(nèi)部控制的內(nèi)涵與外延發(fā)生了很大的變化，由于采用計(jì)算機(jī)，人們就不能不對其硬件和軟件工作環(huán)境的安全性、可靠性詳加考慮，采取各種嚴(yán)密的措施，確保相關(guān)信息的真實(shí)準(zhǔn)確。而要做到這點(diǎn)，必須將各種控制方法嵌入程序之中，通過程序的運(yùn)行，核對數(shù)據(jù)勾稽關(guān)系、數(shù)據(jù)處理順序等。

二、信息系統(tǒng)審計(jì)的概念

信息系統(tǒng)審計(jì)最早也被稱為計(jì)算機(jī)審計(jì)，是隨著計(jì)算機(jī)在財(cái)務(wù)會計(jì)領(lǐng)域的運(yùn)用而產(chǎn)生的。隨著計(jì)算機(jī)技術(shù)應(yīng)用領(lǐng)域的不斷擴(kuò)大，計(jì)算機(jī)對被審計(jì)單位個個業(yè)務(wù)環(huán)節(jié)的影響越來越大，計(jì)算機(jī)審計(jì)更多關(guān)注的內(nèi)容也從單純的對電子數(shù)據(jù)的處理，延伸到對計(jì)算機(jī)系統(tǒng)的可靠性、安全性進(jìn)行了解和評價。計(jì)算機(jī)審計(jì)的業(yè)務(wù)范圍已經(jīng)覆蓋了一項(xiàng)審計(jì)業(yè)務(wù)的全過程，計(jì)算機(jī)審計(jì)這一概念已經(jīng)不能反映這一業(yè)務(wù)的全部內(nèi)涵。

三、建立內(nèi)部審計(jì)信息化流程框架的分析

1.審計(jì)證據(jù)的獲取與鑒定

①審計(jì)證據(jù)的獲?。菏占瘜徲?jì)證據(jù)是審計(jì)人員實(shí)施審計(jì)證據(jù)決策的首要環(huán)節(jié)。信息系統(tǒng)審計(jì)的證據(jù)也是通過查詢文檔、問卷調(diào)查、數(shù)據(jù)抽樣等方式獲得。

②審計(jì)證據(jù)真實(shí)性鑒定：審計(jì)人員從收集審計(jì)證據(jù)的全過程來鑒定證據(jù)本身的真實(shí)程度。審計(jì)人員對整個信息系統(tǒng)的安全性、可靠性、內(nèi)部控制的健全性與有效性等方而進(jìn)行測試和鑒定，提高信息的可靠性和真實(shí)性，有效地防止利用計(jì)算機(jī)隨意篡改數(shù)據(jù)或破壞磁性介質(zhì)上的數(shù)據(jù)等舞弊行為的發(fā)生。

2.信息系統(tǒng)審計(jì)操作流程

①審計(jì)計(jì)劃階段：了解被審系統(tǒng)基本情況；初步評價被審單位系統(tǒng)的內(nèi)部控制及外部控制；識別重要性；編制審計(jì)計(jì)劃。

②審計(jì)實(shí)施階段：對信息系統(tǒng)計(jì)劃開發(fā)階段的審計(jì)；對信息系統(tǒng)運(yùn)行維護(hù)階段的審計(jì)；

③審計(jì)完成階段：整理、評價執(zhí)行審計(jì)業(yè)務(wù)過程中收集到的證據(jù)。評價審計(jì)結(jié)果，形成審計(jì)意見，完成三級復(fù)核，編制審計(jì)報(bào)告。

四、對開展信息系統(tǒng)審計(jì)的幾點(diǎn)建議

1.審計(jì)觀念的轉(zhuǎn)變

觀念問題也就是認(rèn)識問題。如果不轉(zhuǎn)換審計(jì)觀念，將審計(jì)的目標(biāo)局限為查錯糾弊，勢必將信息系統(tǒng)審計(jì)與當(dāng)前中心工作對立起來。把內(nèi)部審計(jì)僅僅理解為“查賬”，則對信息系統(tǒng)審計(jì)的理解也只能停留在計(jì)算機(jī)輔助審計(jì)或輔助審計(jì)軟件開發(fā)及應(yīng)用的層次上。只有全面樹立系統(tǒng)基礎(chǔ)審計(jì)或風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的觀念，才能理解信息系統(tǒng)審計(jì)的重要意義。審計(jì)中發(fā)現(xiàn)的很多錯弊，由于都是管理上出了漏洞，也就是系統(tǒng)出了問題。一個管理完善的、控制良好的信息系統(tǒng)，應(yīng)該能夠防止、發(fā)現(xiàn)或糾正自身存在的問題。內(nèi)部審計(jì)的任務(wù)就是幫助被審計(jì)者建立、健全這種機(jī)制，而不應(yīng)該是代替被審計(jì)者去履行他們的“管理責(zé)任”或“會計(jì)責(zé)任”。

2.審計(jì)標(biāo)準(zhǔn)的制定

信息系統(tǒng)的審計(jì)需要盡可能參照“基于風(fēng)險(xiǎn)的信息系統(tǒng)控制評價指南”（GAIT）。GAIT是一套原則和方法，用于幫助評價企業(yè)信息系統(tǒng)控制的成本收益以及效率效果，通過制定GAIT，IIA一方面幫助企業(yè)識別信息系統(tǒng)控制中的關(guān)鍵因素，避免財(cái)務(wù)數(shù)據(jù)錯弊的發(fā)生；另一方面知道管理層和審計(jì)人員識別信息系統(tǒng)的關(guān)鍵控制點(diǎn)，以滿足企業(yè)遵守404條款的要求。

3.專業(yè)人才的培養(yǎng)

開展信息系統(tǒng)審計(jì)最重要的在于人才的準(zhǔn)備，需要一批既掌握現(xiàn)代審計(jì)理論與實(shí)務(wù)又了解計(jì)算機(jī)技術(shù)的復(fù)合型知識結(jié)構(gòu)的專業(yè)人才，但目前內(nèi)部審計(jì)人員數(shù)量和知識結(jié)構(gòu)上看，還遠(yuǎn)遠(yuǎn)達(dá)不到這一要求。由于企業(yè)開展信息系統(tǒng)審計(jì)的必要性，因此企業(yè)迫切需要信息系統(tǒng)審計(jì)人員。短時間里讓企業(yè)培養(yǎng)出信息系統(tǒng)審計(jì)復(fù)合型人才不太現(xiàn)實(shí)，故目前可以采取使用兩種知識類型的人員共同完成審計(jì)任務(wù)的方式。每個信息系統(tǒng)審計(jì)項(xiàng)目都配備專業(yè)審計(jì)人員和專業(yè)技術(shù)人員，由兩種類型人員分別執(zhí)行審計(jì)中的不同任務(wù)，同時也根據(jù)需要密切配合，這也是目前許多企業(yè)內(nèi)部審計(jì)部門進(jìn)行計(jì)算機(jī)輔助審計(jì)所采取的有效方式。但從長遠(yuǎn)看，信息系統(tǒng)審計(jì)人員仍應(yīng)是兼具兩種知識的復(fù)合型人員，這些人才的獲得可以通過培養(yǎng)現(xiàn)有的審計(jì)人員，補(bǔ)充和豐富其技術(shù)方面的知識來得到；也可以由技術(shù)人員充實(shí)管理知識后獲得。新形勢下對內(nèi)部審計(jì)人員提出的更高要求，只有通過不斷的學(xué)習(xí)和接受挑戰(zhàn)的心理才能適應(yīng)審計(jì)的發(fā)展需要。

4.加強(qiáng)聯(lián)網(wǎng)的建設(shè)

隨著企業(yè)信息處理系統(tǒng)的大規(guī)模網(wǎng)絡(luò)建設(shè)，審計(jì)人員不得不面對被審計(jì)單位越來越復(fù)雜的信息系統(tǒng)。在審計(jì)人員少、任務(wù)重的情況下，要充分意識到IT技術(shù)對審計(jì)工作的巨大挑戰(zhàn)和影響，從另一個角度來說，我們也可以利用計(jì)算機(jī)提高工作效率和質(zhì)量。

因此，審計(jì)人員要適應(yīng)信息技術(shù)的發(fā)展，將高新技術(shù)運(yùn)用于審計(jì)工作?，F(xiàn)在看來，經(jīng)濟(jì)領(lǐng)域的很多問題靠傳統(tǒng)的審計(jì)手段去審是不行的。一些大型企業(yè)在進(jìn)行企業(yè)信息系統(tǒng)建設(shè)的時候，也充分考慮到內(nèi)部審計(jì)和外部審計(jì)需求，并預(yù)留相應(yīng)的接口。一些企業(yè)還自主開發(fā)了適應(yīng)本企業(yè)特點(diǎn)的審計(jì)軟件。信息系統(tǒng)審計(jì)軟件要與企業(yè)的經(jīng)營管理和會計(jì)核算信息系統(tǒng)聯(lián)網(wǎng)，隨時取得所需的電子數(shù)據(jù)和相關(guān)資料，實(shí)現(xiàn)對在線處理數(shù)據(jù)（磁盤或光盤數(shù)據(jù)）的審計(jì)，建立在計(jì)算機(jī)環(huán)境下新的審計(jì)模式。這樣，審計(jì)人員不用到被審計(jì)單位的現(xiàn)場，就可以對其實(shí)現(xiàn)隨時跟蹤、分析和審查，實(shí)現(xiàn)聯(lián)網(wǎng)審計(jì)，改變必須將時間安排為集中審計(jì)的局面，而且審計(jì)人員還可以通過積累的數(shù)據(jù)庫進(jìn)行歷史的、橫向的分析比較，發(fā)現(xiàn)手工方式下難以查出的問題。

五、結(jié)束語

由于我國計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)發(fā)展起步較晚，基礎(chǔ)建設(shè)還相對比較落后，企業(yè)業(yè)務(wù)之間的整合性還相對缺乏，真正涉及到企業(yè)內(nèi)部網(wǎng)絡(luò)和業(yè)務(wù)流程的信息系統(tǒng)還處于發(fā)展初期。但網(wǎng)絡(luò)化的會計(jì)信息系統(tǒng)正在被企業(yè)所接受，因而計(jì)算機(jī)信息系統(tǒng)的審計(jì)卻還停留在審計(jì)理論界的探索之中，同時存在一定的問題。一方面，國內(nèi)許多企業(yè)的內(nèi)部審計(jì)工作還未真正受到管理層的重視，內(nèi)部審計(jì)的基礎(chǔ)工作還不能得到企業(yè)大量資源的投入；另一方面，信息系統(tǒng)審計(jì)開展的難度、對審計(jì)人員的高素質(zhì)要求等都制約了目前信息系統(tǒng)審計(jì)的實(shí)施和理論的構(gòu)建。因此，要建立健全的信息系統(tǒng)審計(jì)理論和方法還有一段路要走。