時寶軍

摘 要：隨著信息系統(tǒng)在企業(yè)內(nèi)部的廣泛應(yīng)用，企業(yè)經(jīng)營管理模式、業(yè)務(wù)操作方法等都隨之發(fā)生了巨大變化，同時也對內(nèi)部審計的傳統(tǒng)理念和技術(shù)手段帶來了多方面的沖擊。在這樣的環(huán)境壓力下，內(nèi)部審計只有適時地開展信息系統(tǒng)審計理論的研究及應(yīng)用，才能有效地規(guī)避審計風(fēng)險，發(fā)揮內(nèi)部審計作用，提高審計質(zhì)量。

關(guān)鍵詞：信息系統(tǒng);審計內(nèi)容;審計方法

1 信息系統(tǒng)審計的內(nèi)容及程序

為了實現(xiàn)信息系統(tǒng)審計目的，信息系統(tǒng)審計內(nèi)容應(yīng)包括：系統(tǒng)開發(fā)審計、應(yīng)用程序?qū)徲?、?shù)據(jù)文件審計、內(nèi)部控制系統(tǒng)審計等內(nèi)容。

1.1 系統(tǒng)開發(fā)審計。由于系統(tǒng)開發(fā)審計是對信息系統(tǒng)開發(fā)過程所進(jìn)行一種事前審計，因此內(nèi)部審計人員不僅要參與開發(fā)，一方面要在檢查開發(fā)活動是否受到適當(dāng)?shù)目刂疲到y(tǒng)開發(fā)的方法是否科學(xué)、合理，系統(tǒng)開發(fā)過程中是否產(chǎn)生了必要的系統(tǒng)文檔以及這些文檔資料是否符合規(guī)范的過程中指出現(xiàn)有措施的不足，提出改進(jìn)意見，另一方面還要在系統(tǒng)開發(fā)過程中選擇關(guān)鍵控制點對開發(fā)工作本身進(jìn)行測試和評價，保證計算機(jī)信息系統(tǒng)運行以后的數(shù)據(jù)處理結(jié)果正確、完整，系統(tǒng)運行效率達(dá)到設(shè)計目的。

1.2 應(yīng)用程序?qū)徲?。實踐證明程序是差錯和舞弊最容易發(fā)生的地方，因此應(yīng)用程序?qū)徲嬍怯嬎銠C(jī)信息系統(tǒng)審計中最困難的任務(wù)之一，也是對信息系統(tǒng)做出公正評價的關(guān)鍵。

在應(yīng)用程序?qū)徲嬤^程中內(nèi)部審計人員可以選擇計算機(jī)輔助審計與手工審計相結(jié)合的審計方法，通過對應(yīng)用程序的直接審查或通過數(shù)據(jù)在程序上的運行進(jìn)行間接的測試，實現(xiàn)對程序控制系統(tǒng)的健全性，程序運算和邏輯的合法、有效、正確、可靠性測試的目的。

對程序控制健全性的審計主要內(nèi)容包括：對程序輸入控制的審計，程序處理控制的審計，程序輸出控制的審計。重點應(yīng)審查輸入程序是否能夠保證只有經(jīng)過授權(quán)批準(zhǔn)的業(yè)務(wù)才能完整、準(zhǔn)確地輸入計算機(jī);對輸入計算機(jī)的正確業(yè)務(wù)能否進(jìn)行被完整的處理，對不正確的業(yè)務(wù)能否檢查處理并拒絕處理;經(jīng)計算機(jī)處理的業(yè)務(wù)是否能夠連續(xù)、完整、正確地輸出。

在對程序合法性審查中，我們應(yīng)重點審查程序中是否含有非法編碼，因為非法編碼通常是指為了舞弊而設(shè)計的編碼，他們在滿足某種條件下執(zhí)行產(chǎn)生非法結(jié)果。例如：程序員如果在對物資采購計劃程序中添加遇到某類物資計劃自動鎖定某供應(yīng)商為指定供貨廠商的程序，將會給比價采購帶來干擾。此外審計人員還要審查程序編碼是否有錯誤，這些錯誤包括程序語法和邏輯錯誤。這些錯誤的存在也會給系統(tǒng)帶來處理錯誤，例如錯誤計算成本、利潤等，都將給企業(yè)的經(jīng)營決策帶來干擾。

1.3 數(shù)據(jù)文件審計。數(shù)據(jù)文件審計是通過將存儲于硬盤及軟盤等空間里的電子數(shù)據(jù)打印出來或直接進(jìn)行檢查的方式，對數(shù)據(jù)文件進(jìn)行的實質(zhì)性測試及對一般控制或應(yīng)用控制進(jìn)行的符合性測試。

在計算機(jī)信息系統(tǒng)中，輸入的原始數(shù)據(jù)、處理的中間結(jié)果和最后結(jié)果都是以數(shù)據(jù)文件的形式存儲在電、磁介質(zhì)上或打印輸出在紙面上。對打印輸出的數(shù)據(jù)文件進(jìn)行審計可以采取手工對帳的方法，直接檢查所有經(jīng)濟(jì)業(yè)務(wù)記錄，如查證應(yīng)付福利費用等集體的恰當(dāng)性，核對總賬與明細(xì)賬的余額是否相符等。也可以對信息進(jìn)行綜合分析性復(fù)核，如重要賬戶的余額和發(fā)生額進(jìn)行趨勢分析、結(jié)構(gòu)分析，將有關(guān)數(shù)據(jù)進(jìn)行比較。

對存儲在電、磁介質(zhì)上的數(shù)據(jù)進(jìn)行審計要借助與審計輔助軟件進(jìn)行，利用審計軟件中的功能分析程序分析被審計數(shù)據(jù)的正確、完整、合法性。

1.4 內(nèi)部控制系統(tǒng)審計。信息系統(tǒng)審計是以在計算機(jī)信息系統(tǒng)環(huán)境下加強、完善內(nèi)部控制體系，監(jiān)督處理結(jié)果正確性為目的的測試評價過程。它包括一般控制系統(tǒng)審計及應(yīng)用控制系統(tǒng)審計兩個方面。一般控制系統(tǒng)審計多適用于測試信息系統(tǒng)有無涉及威脅應(yīng)用程序完整性的風(fēng)險審計。而應(yīng)用控制系統(tǒng)審計主要是用于測試應(yīng)用系統(tǒng)本身的漏洞或直接威脅到數(shù)據(jù)的安全、準(zhǔn)確等特定應(yīng)用系統(tǒng)的風(fēng)險審計。

2 計算機(jī)信息系統(tǒng)審計的方法

計算機(jī)信息系統(tǒng)審計的方法可以分為：繞過計算機(jī)審計（Audit Around the Computer）、通過計算機(jī)審計（Audit Through the Computer）和利用計算機(jī)審計（Audit With the Computer）三種。

繞過計算機(jī)審計也叫“黑箱”審計法，它是建立在理解計算機(jī)的功能、相信其處理正確性的前提下，只對輸入數(shù)據(jù)和打印輸出的數(shù)據(jù)資料及其管理制度進(jìn)行審查，而對計算機(jī)內(nèi)程序和文件不進(jìn)行審查的審計方法。在這種審計方法的應(yīng)用中審計人員可以用事先準(zhǔn)備的模擬數(shù)據(jù)進(jìn)行輸入，然后把預(yù)先核算的結(jié)果與信息系統(tǒng)程序運行結(jié)果進(jìn)行比對，評價程序功能的正確性;也可以在輸出結(jié)果之后，利用輸入數(shù)據(jù)來核算驗證。它應(yīng)用技術(shù)簡單，較少干擾被審計系統(tǒng)工作，但是由于受到打印輸出文件的充分性限制，審計結(jié)論可靠性較弱。

通過計算機(jī)審計有人也叫他“白箱”審計法（是以計算機(jī)系統(tǒng)為基礎(chǔ)的審計，除對審查輸入輸出文件外進(jìn)行審查外還要對計算機(jī)內(nèi)程序和文件進(jìn)行審查，所以應(yīng)用這種審計方法得到的審計結(jié)果全面可靠，但審計技術(shù)復(fù)雜，要求審計人員必須能夠看懂程序編碼，難度巨大。但是我們也可以尋找到一些簡單易行的辦法進(jìn)行審計。如：在計算機(jī)信息系統(tǒng)條件下，根據(jù)可逆規(guī)則編寫出程序，自動追溯被審計單位提供數(shù)據(jù)真實性。如會計原始憑證與記賬憑證不一致，表明記賬憑證有被修改的風(fēng)險，記賬憑證與賬表不一致時，賬表有被修改的痕跡。還可以通過對系統(tǒng)操作日志的審計，跟蹤信息系統(tǒng)軟件中的操作日志記錄，檢查日志真實記錄的操作者代號、姓名、操作的日期、時間、使用模塊、運行狀態(tài)、處理數(shù)據(jù)動作等，有效地發(fā)現(xiàn)以反復(fù)核、反登賬、反結(jié)賬的手段進(jìn)行賬戶調(diào)整的審計線索。

對于利用計算機(jī)審計來說開發(fā)和使用審計軟件是實現(xiàn)計算機(jī)信息系統(tǒng)審計的一個重要步驟，但在沒有審計軟件時也可以利用信息系統(tǒng)功能模塊基礎(chǔ)上的多種為了滿足內(nèi)部控制與決策要求的輔助功能，進(jìn)行測試。這些功能通常包括：①利用數(shù)據(jù)庫自動生成滿足決策需要的各種分析性報表和中間數(shù)據(jù)表，例如能夠描述業(yè)務(wù)軌跡的數(shù)據(jù)表;②可以把生成的數(shù)據(jù)文件存儲成其它文件格式，如EXCEL文件等。這些功能都可以較為輕松方便地被審計人員利用來對數(shù)據(jù)進(jìn)行進(jìn)一步的加工處理得出審計結(jié)論。充分利用這些功能要比開發(fā)單獨的審計軟件容易得多，而且最后企業(yè)所承擔(dān)的綜合成本也會大大降低。

參考文獻(xiàn)：

[1]S.拉奧.瓦萊布哈內(nèi)尼.CIA考試指南經(jīng)營分析和信息技術(shù)[M].

2006.6.

[2]張金城.計算機(jī)信息系統(tǒng)控制與審計[M].2002.4.