IT审计教学案例设计

齐莹

《审计学》课程作为高校经管类专业的重点必修课之一，具有理论性强、综合性高、实务性专的特点。一般来说，《审计学》课程的教学内容围绕传统的审计理论体系展开，依据注册会计师鉴证业务基本准则规范，主要针对审计工作的基本要求、业务承接、制订审计计划、风险评估、风险应对、完成审计工作及出具审计报告的工作流程展开。

近年来随着信信息技术的快速发展和互联网的普及，越来越多的企业运用信息系统对核心业务进行处理，并在系统中生成、存储重要的业务及财务数据，例如新兴的网络游戏行业。传统的管理手段被信息系统替代，彻底改变了组织内部管理控制的方式和流程。因此，审计师必须在计划和执行审计工作时对企业信息技术进行全面考虑。

为了适应信息化环境，国内高校都高度重视综合性审计人才的培养，然而IT（信息技术）审计教学内容依然成为财经类专业审计教学内容中的孤岛，主要原因是众多专业的财经类老师对计算机审计技术并不了解，只有少部分财经类高校单独开设了计算机辅助审计与信息系统审计。更多的教师是将IT审计单独作为教学中的一章内容进行讲解。

在不单独开设IT审计课程的前提下，如何与传统审计理论结合讲解IT审计是本文探讨的内容。本文将以教学中采用的“网络游戏公司的IT审计程序”为例，说明IT审计在传统审计流程的切入点及工作流程。

IT审计教学目的

掌握IT审计的基本理论

IT审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效实现、使组织的资源得到高效使用等方面做出判断的过程。一般将IT审计工作分为公司层面IT控制（ITELC）、IT一般性控制（ITGC）及应用程序控制（ITAC）三个层次。

明晰执行IT审计的意义

通过详细介绍IT审计工作的意义，向学生传达正确观念，即IT审计是传统审计的有益补充而不是取缔传统审计。对比传统审计与IT审计，除了基本一致的工作原则及体系结构，IT审计是传统审计的有益补充，主要表现在以下方面：

1.降低审计风险。对于信息系统高度依赖的被审计单位，其日常单据和记录都是依赖信息系统生成、存储和输出，如果不对IT风险进行评估，就无法确认数据的真实性及完整性了这对审计效果有很大影响。目前，监管部门分别对信息系统安全性审计做了详细规范，主要目的是审查企业信息系统的故障风险、非法入侵风险、电子数据存储风险等安全隐患，对于信息安全问题予以重点关注。例如，针对游戏公司的收入发生认定，IT审计对游戏玩家充值记录进行分析，识别充值行为异常的玩家，确定是否存在游戏公司自充值的问题。

2.提高审计效率。IT审计较传统审计最大的不同在于其审计工作是以计算机为载体进行。利用计算机，IT审计人员可以通过对海量原始数据、信息系统和输出数据进行大量的审计工作，有效提高审计效率。实务中IT审计的工作人员往往都是信息技术人员，能够与企业IT人员进行有效沟通，通常企业IT人员能够对业务流程、系统架构、数据流转方面掌握和描述的更准确。

3.确保公司的合规性要求。证监会和深交所均对互联网行业的业务数据披露提出要求，并明确表示审计工作应当围绕公司业绩真实性进行专项核查。另外对IT审计人员素质及核查方法的独立性也有相应要求，通过扩充IT审计对公司合规性进行更严格的核查。例如，证监会2014、2017年分别对游戏公司业绩真实性、相关绩效指标及算法进行专线核查。北京注册会计师协会2016年发文规定网络游戏企业收入审计技巧和方法等。

4.客户增值服务。通过提供IT审计服务，审计师可以为被审计单位带来增值服务，包括但不限于完善IT治理架构、提高IT管理水平、改善IT处理环境、提高IT运行效率及降低IT风险。

理解IT审计与传统审计工作阶段的关系

IT审计并不是另成一派的审计方法，而是传统审计的有益补充，两者具有基本一致的工作原则及体系结构。然而，IT审计关注的重点与传统审计关注的内容不同（见表1）。

以网络游戏公司为例说明IT审计过程要点

以网络游戏公司为案例，一方面是手机游戏等已经非常普遍，这样的案例比较贴近学生生活，激发学生的研究兴趣；另一方面，熟悉公司存在大量的系统数据，传统的审计方法无法应对其产生的风险，只能利用IT审计方法来应对。授课前，将目标公司的基本资料发给学生进行课前预习，目标公司是一家集网络游戏及手机游戏研发、运营、发行于一体的互联网科技公司，其收入来源主要有游戏运营分成、游戏授权金及游戏外包。本文重点说明控制测试与实质性程序阶段。

执行控制测试

在确定审计计划后，IT审计人员应按时开展内部控制测试，并在传统审计工作的基础上，对公司依次进行公司层面IT控制、IT一般性控制及应用程序控制，及时沟通审计发现和结论。

1.公司层面IT控制。公司层面IT控制通常是对公司整体IT风险的判断，测试方法基于COSO內部控制框架的八个内部控制要素，此控制是对公司整体IT风险的判断，主要是站在IT管理的角度评估IT风险，了解公司的内控机制和相关管理制度，总体把握其业务结构和系统构成。各方面控制所需资料文件及对应要求如下表2。

2. IT一般性控制。该控制是审计人员风险评估及控制测试的主要层面。主要指针对被审计单位信息系统开发、变更管理、信息安全以及运行维护四大方面的控制，主要对象包含应用系统、数据库、操作系统、网络支持、硬件支持及物理环境。游戏公司的业务活动对信息系统的上述五方面都有高度的依赖性。IT审计人员首先需要确定公司的信息系统环境是否良好、其计算机硬件底层和操作系统中间层是否设计合理、系统的管理与维护是否有合理明确的制度要求等，才能探讨应用层的数据真实性及准确性。

对信息系统开发的审计。对系统开发的控制内容包括授权审批、需求分析、系统设计、代码编写、数据迁移、系统测试以及验收上线等，其中需求分析、系统设计、代码编写和测试数据是四个关键控制点，下图以系统开发为例说明IT审计过程中的要点。

对系统变更管理的审计主要是对变更管理的控制内容，主要包括需求确认、授权审批、变更测试、变更追踪、职责分离、文档管理等，其中授权审批、变更测试及变更追踪是三个关键控制点，控制所需资料文件及对应要求分别是每次的授权审批记录完整准确、内部及外部测评和用户测试记录完整、测试记录完整。

对信息安全的审计主要是对信息安全的控制，内容主要包括用户账号管理、定期审阅、口令安全设置、远程访问、物理安全和网络安全等，其中用户账号管理、口令安全设置、远程访问是三个关键控制点，资料质量要求分别是提供系统资料及管理记录真实完整、口令安全程序合理可靠并需要提供数据流程说明、访问指令设计合理可靠、访问及维护记录完整准确。

对运行维护的审计内容包括系统运维制度及人员管理、数据库管理、运行发生的时间与问题管理、通信系统管理和运行管理，资料质量要求分别是特殊事件及其处理手段和结果追踪记录完整、数据的传输是否遵守规则及操作顺序是否标准化。

3.IT应用程序控制。应用程序控制是指由程序执行的控制，用以替代很多由人工完成的基础性检查工作，它存在于每一个基于计算机应用系统的业务和数据处理中，主要包含系统自动控制和依赖IT的手工控制。对于游戏公司收入核算的部分需要大量应用程序控制，该类控制是否有效对财务报表的完整性和准确性以及公司内部控制的有效性有重要影响。

对于系统自动控制的审计，需要对信息系统底层应用编程代码及计算机语言逻辑的准确性进行检查，必要时需在企业IT技术人员的协助下提取相关编程语句，对应用的准确性和完整性进行验证与控制；对于依赖IT的手工控制， IT审计人员需要针对网络游戏收入的业务流程执行穿行测试，进而去客户化地识别公司程序的控制，最后根据控制类型确定测试方法。

实质性测试

以收入测试为例，游戏公司应该按照游戏币的消耗來确认收入，通过IT手段执行分析性复核程序及直接数据测试，验证游戏运营分成收入数据的准确性和完整性，并通过对游戏玩家行为的分析，验证收入的真实性，及时沟通审计发现及结论。审计期间内执行的核查程序如表4所示，做游戏公司的数据核查时，应该重点关注的四个指标“充值+赠送=消耗+剩余”。

在教学过程中，根据执行的每一种程序向学生展示数据结果图（如图1），并根据图形带领学生分析数据游戏公司收入的异常点。

案例思考及讨论

通过对游戏公司主要IT审计业务的介绍，启发学生思考。

1. IT风险与IT审计风险之间的区别，探讨被审计单位应该采取哪些防范措施降低企业的IT风险，而IT审计工作人员在审计工作过程中应该采用哪些方法降低IT审计风险。学生需要从被审计单位及审计师等不同角度反思审计理论中强调的“风险”概念。

2.讨论除了网络游戏公司外，目前还有哪些行业在审计工作中必须进行IT审计，并形成判断标准。启发学生从案例中归纳总结出需要进行IT审计的公司所具备的共同特点，提高审计执业敏感度。

3.讨论不同层次的信息技术控制与什么层次的重大错报风险评估对应，以及应对措施。将IT审计知识与其他审计理论融合，增强学生对审计理论的理解程度。

结 语

审计教学的难点在于与审计实务建立起密切的联系。只有理论与实务紧密结合，学生在课堂上所学的专业理论知识通过实践才能掌握得更好，理解得更深刻。本文研究的是在传统审计理论基础上，单独扩充IT审计一章。通过网络游戏公司的案例设计，将IT审计理论知识与实际业务相结合，提高学生融会贯通的能力。

课程教学改革需要在教学中不断进行，一方面要通过教学掌握学生在本课程学习中存在的问题，挖掘问题产生的原因，从而在现有教学条件的基础上不断地进行完善和改革，以提高教学效果。另一方面需要使教学内容紧跟时代，将最新的审计方法及理念传达给学生，才能激发学生的学习兴趣，提高教学质量和教学效果。

（北京工业大学）