关于信息系统审计的思考

　　摘要：随着计算机技术在会计记账、财务管理等方面的应用不断普及，业务数据和财务数据高度集成，计算机对被审计单位各个业务环节的影响越来越大，改变了传统的审计方式和方法，使审计工作面临的主客观环境发生了重大变化，传统的审计工作思维方式、工作模式和工作手段已不能适应现代信息技术的发展需要，对信息系统进行审计逐渐成为审计工作中的一个新的领域。该文从当前开展信息系统审计存在的问题以及如何开展信息系统审计进行了分析与论述。
　　关键词：信息系统审计；思考；探索
　　中图分类号：TP311 文献标识码：A文章编号：1009-3044(2011)26-6536-01
　　1 信息系统审计概述
　　信息系统审计是对计算机信息系统及其业务应用的安全性、稳定性和有效性进行监测、评估和控制，以确认目标得以实现，并提出改进建议的过程。
　　2 如何开展信息系统审计
　　信息系统审计内容主要是运用一定的技术手段对计算机信息系统的安全性、可靠性和有效性进行审查与评价的活动，其主要包括以下三项内容：系统开发审计、系统运行审计和系统控制审计。
　　1）信息系统开发审计：信息系统开发审计是指对计算机处理的财务信息和业务信息开发过程进行的审计，其目的是让审计人员理解计算机技术人员是如何研发会计核算软件，按照软件开发人员的思路分析、理解软件的逻辑结构，并通过实验加以验证，以增强对电子数据的感性认识。信息系统开发审计的意义不在于让审计人员成为信息系统设计的专家，而是让审计人员参与系统地分析、设计和调试，使审计人员熟悉系统的结构、原理，理解计算机技术人员的工作并能与之进行良好的沟通对话，并对系统设计提出建设性意见。
　　2）信息系统运行审计：系统运行审计主要是指对信息系统应用程序进行审计。信息系统是否遵循国家的财经政策和制度，经济业务的处理是否合规、合法、正确等，都体现在应用程序之中。信息系统运行审计应是审计的重点。信息系统运行审计，不是直接在被审计单位运行的系统上进行审计，采用的审计方法可以是联网审计或在被审计单位安装前置机，在被审的应用程序中嵌入为执行特定的审计功能而设计的程序段来实现，信息系统运行审计实现了事后审计向事中审计过渡。
　　3）信息系统控制审计：信息系统控制审计，一般应审查输入控制、处理控制和输出控制。系统数据的输入是信息系统运行的基础，输入审计重点主要关注是否制定并遵守了数据录入的规则，是否按照输入管理规则进行，输入数据的生成顺序、处理等是否有防止差错的措施、防止不正当行为及机密保护的对策，输入数据的防止差错、防止不正当行为及机密保护的对策是否有效，输入数据的保管及废除是否按照输入管理规则进行。处理系统要有防止或及时发现在处理过程中数据丢失、重复或出错的控制措施。输出要有相应权限的人才能执行输出操作，并要登记操作记录，从而达到限制接触输出信息的目的。
　　3 当前开展信息系统审计存在的问题
　　1）信息系统审计复合型人才缺，制约发展：信息系统审计人员，除了应具备会计、审计、法律和审计业务的专门知识外，还应通晓信息系统的硬件、软件、开发、维护、管理和安全，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行检查、审计和评价，但我国信息系统审计人才短缺，制约信息系统审计发展。客观原因是当前审计人员年龄偏大，业务老化，知识结构单一，对开发应用计算机不感兴趣或仅满足于办公需要，真正具有较高计算机应用水平的人员并不多，既精通计算机编程又熟悉审计业务的复合型人才则更少，与审计信息化建设和发展的需要还有较大差距。同时由于计算机技术的飞速发展与知识更新培训的不足，许多审计人员的计算机应用水平及相关技能无法得到同步提高，计算机应用仍停留在较低水平上，计算机功能也没有得到充分发挥。当前审计机关要加大对信息系统审计人才的培训力度，从现有的审计队伍中选拔有一定信息技能基础的审计人员提供信息系统审计培训，拓展其相应知识、技术、能力，掌握信息系统审计的基本原则和技能，以适应现代信息系统审计的需要。
　　2）信息系统审计统一规范体系未建立，影响推广：我国的信息系统审计起步较晚，尚未建立专门用于信息系统审计的规范体系，现有的规范体系主要是对一般性的计算机审计方面的规定。如1993年审计署发布的《审计署关于计算机审计的暂行规定》，1996年审计署发布的《审计机关计算机辅助审计方法》。2001年国务院办公厅颁布了《关于利用信息系统开展审计工作有关问题的通知》（国办发〔2001〕88号文），这是审计机关利用信息系统开展审计工作的重要法规依据。通知中除了重申审计机关有权检查被审计单位运用计算机管理财政财务收支的信息系统之外，还明确规定当审计机关对被审计单位电子数据真实性产生疑问时，可以对信息系统进行测试，这是在法律法规层次上第一次对信息系统审计内容做出的规定。但我国仍没有出台信息系统审计程序、准则和内容，在具体的审计实践中，由于无严谨的规程可循，只能凭经验各显神通，加大了审计风险，影响信息系统审计的推广。当前，应尽快出台信息系统审计具体程序、内容和准则，能够给审计人员以全面、具体的规范和指导，以有利于信息系统审计广泛开展。
　　参考文献：
　　[1] 张金城.信息系统审计[M].北京:清华大学