信息系統(tǒng)審計是一種新的審計類型。國外對信息系統(tǒng)審計的研究很多，國內(nèi)的研究與應用在近年來也呈上升趨勢。本文通過對信息系統(tǒng)審計的內(nèi)涵、信息系統(tǒng)審計方法、信息系統(tǒng)審計過程和信息系統(tǒng)審計建議的闡述使讀者對信息系統(tǒng)審計有個基本的了解。

　　一、信息系統(tǒng)審計的內(nèi)涵

　　信息系統(tǒng)審計的內(nèi)涵與財務報表審計有較大的不同。以下通過對信息系統(tǒng)審計的定義、目標和類型來闡述信息系統(tǒng)審計的內(nèi)涵。

　　1.信息系統(tǒng)審計的定義。

　　由于信息系統(tǒng)審計的發(fā)展很快，因此對其始終沒有一個通用的定義。下面分別介紹三種比較有代表性的定義。（1）日本通產(chǎn)省情報處理開發(fā)協(xié)會信息系統(tǒng)審計委員會1996年對信息系統(tǒng)審計定義為“為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的信息系統(tǒng)審計師，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向信息系統(tǒng)審計對象的最高領(lǐng)導層，提出問題與建議的一系列活動”。該定義中強調(diào)獨立性的問題。（2）信息系統(tǒng)審計領(lǐng)域的著名專家威伯教授的定義（1999）是：“信息系統(tǒng)審計是收集并評估證據(jù)，以判斷一個計算機系統(tǒng)是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標，同時最經(jīng)濟的使用資源”。（3）信息系統(tǒng)審計影響最大的國際組織——國際信息系統(tǒng)審計和控制協(xié)會（ISACA）的定義是：信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率的利用組織的資源并有效果的實現(xiàn)組織目標的過程。該定義比威伯的更詳細一些。

　　通過對相關(guān)信息系統(tǒng)審計定義的分析，本文認為，所謂的信息系統(tǒng)審計，是指通過對被審單位的信息系統(tǒng)組成部分的審查來獲取和評價審計證據(jù)，由此對信息系統(tǒng)的安全性、可靠性、數(shù)據(jù)的完整性以及信息系統(tǒng)能否經(jīng)濟的使用組織資源并有效地實現(xiàn)組織目標發(fā)表審計意見。我們必須清楚的識別信息系統(tǒng)審計、IT審計、審計工程之間的區(qū)別。一般而言，1T審計（計算機審計）包括信息系統(tǒng)審計和審計工程。信息系統(tǒng)審計的研究對象是企業(yè)的信息系統(tǒng)或信息資產(chǎn)，采用的研究方法是傳統(tǒng)的審計方法和計算機技術(shù)等；而審計工程的研究對象是企業(yè)的電子財務和業(yè)務數(shù)據(jù)，研究方法采用計算機技術(shù)、系統(tǒng)工程方法和數(shù)學理論等。

　　2.信息系統(tǒng)審計的目標審計本質(zhì)上是根據(jù)審計目標對收集的證據(jù)進行分析評價并得出結(jié)論的過程。一切的審計活動都是為了實現(xiàn)一定的審計目標，并圍繞審計目標來進行?？梢哉f，審計目標是審計工作的“綱”。它貫穿審計活動的各個方面和審計過程的始終。（1）真實性。信息系統(tǒng)中的數(shù)據(jù)要真實的反映企業(yè)的生產(chǎn)經(jīng)營活動。要通過數(shù)字簽名等一系列技術(shù)手段和保留不可更改記錄、定期審計等管理手段確保數(shù)據(jù)的真實性。（2）完整性。完整性信息不被偶然或蓄意的刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成、存儲和傳輸。（3）合法性。系統(tǒng)在購買、使用、開發(fā)、更新、維護、轉(zhuǎn)移等過程中必須符合相關(guān)法律、法規(guī)、準則、行規(guī)以及企業(yè)內(nèi)部的規(guī)定等。（4）安全性。安全性是指信息系統(tǒng)在遭受各種因素破壞的情況下，仍然能夠正常運行的概率。威脅信息系統(tǒng)安全的因素有外部和內(nèi)部兩種。外部主要是黑客的入侵、病毒的攻擊、線路的偵聽等；內(nèi)部主要是被授權(quán)的用戶訪問和修改、刪除等操作。安全性是真實性的基礎之一。（5）可靠性?？煽啃允侵感畔⑾到y(tǒng)在遭受非人因素破壞或人為差錯影響的情況下仍然能夠正常運行的概率。威脅信息系統(tǒng)可靠性的因素包括自然災害對硬件和壞境的破壞以及誤操作對軟件和硬件的破壞等?？煽啃砸彩钦鎸嵭缘幕A之一閉。（6）效果和效率。效果是指應用信息系統(tǒng)以后，企業(yè)在生產(chǎn)控制、管理質(zhì)量、提供產(chǎn)品和服務等方面產(chǎn)生的變化。效率是指信息系統(tǒng)的應用在企業(yè)勞動生產(chǎn)率的提高方面所起的作用。

　　3.信息系統(tǒng)審計的類型根據(jù)信息系統(tǒng)審計的定義和審計目標，我們可以將信息系統(tǒng)審計分為三個基本類型：（l）信息系統(tǒng)的真實性審計是對傳統(tǒng)審計的補充，防止“錯”賬真審。（2）信息系統(tǒng)的安全性審計是對企業(yè)信息資產(chǎn)安全性的審核，防止由信息系統(tǒng)造成的經(jīng)營風險。（3）信息系統(tǒng)的績效審計是對信息系統(tǒng)投入產(chǎn)出比的審核。

　　二、信息系統(tǒng)審計的特點

　　信息系統(tǒng)審計具有其獨特的特點，具體特點如下：

　　1.信息系統(tǒng)審計是一個過程。它是一個獲取并評價證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程，它貫穿于信息系統(tǒng)生命周期的全過程。

　　2.信息系統(tǒng)審計的對象具有綜合性和復雜性。信息系統(tǒng)審計的對象是以計算機為核心的信息系統(tǒng)，它包含了除財務信息以外的其他與生產(chǎn)經(jīng)營流程有關(guān)的所有信息系統(tǒng)，其實質(zhì)是審計對象及內(nèi)容的拓展。從縱向（生命周期）看，覆蓋了信息系統(tǒng)從規(guī)劃、分析、設計到維護的全生命周期的各種業(yè)務；從橫向（信息系統(tǒng)構(gòu)成）看，它包含對軟硬件審計、應用程序?qū)徲?、安全審計等。從這個意義看，信息系統(tǒng)審計拓展了傳統(tǒng)審計的內(nèi)涵，將審計對象從財務范疇擴展到了同經(jīng)營活動有關(guān)的一切信息系統(tǒng)。

　　3.信息系統(tǒng)審計拓展了傳統(tǒng)審計的目標。傳統(tǒng)審計目標僅僅包括了“對被審計單位會計報表的合法性、公允性及會計處理方法的一貫性發(fā)表審計意見”，《中國獨立審計具體準則第20號——計算機信息系統(tǒng)環(huán)境下的審計》第四條也明確規(guī)定“注冊會計師在計算機信息系統(tǒng)環(huán)境下執(zhí)行會計報表審計業(yè)務，應當考慮其對審計的影響，但不應改變審計目的和范圍”，由此可見EDP審計、電算化審計和計算機審計都沒有改變審計的目標，但信息系統(tǒng)審計除了上述目標外，還包括信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的可靠性、有效性和效率性。

　　4.信息系統(tǒng)審計是事后、事前、事中審計的結(jié)合體。注冊會計師所執(zhí)行的財務報表審計往往是年度審計，屬于事后審計。而信息系統(tǒng)審計是事后、事前、事中審計兼而有之。如信息系統(tǒng)在開發(fā)過程中，由審計人員介入所進行的審計屬于事中審計，此項審計相對于系統(tǒng)運行后而對其所進行的審計而言又可以看作是事前審計；信息系統(tǒng)運行后，對其在一定期間的運作情況所進行的審計則為事后審計。

　　5.信息系統(tǒng)審計的內(nèi)容更加寬泛。信息系統(tǒng)審計包含了一切與信息系統(tǒng)有關(guān)的審計，除了整個生命周期過程及相關(guān)業(yè)務的審計外，隨著信息技術(shù)的發(fā)展，還必將包括聯(lián)網(wǎng)審計、電子商務審計、網(wǎng)站審計、ASP審計和XBRL審計等。

　　6.信息系統(tǒng)審計是一種基于風險基礎審計的理論和方法。很多組織都能意識到技術(shù)帶來的潛在好處，然而成功的組織還能夠理解和管理好與采用新技術(shù)相關(guān)的很多風險。信息系統(tǒng)有著與生俱來的風險，這些風險用不同方式?jīng)_擊著信息系統(tǒng)，審計者面臨著審計什么、何時審計以及如何幫助信息系統(tǒng)的管理者管理和控制風險從而實現(xiàn)企業(yè)的戰(zhàn)略目標的問題。

　　三、信息系統(tǒng)審計的過程

　　審計過程是審計工作從開始到結(jié)束的整個過程。信息系統(tǒng)審計一般可以分為計劃階段、實施階段和報告階段。由于信息系統(tǒng)審計的對象和具體業(yè)務不同，每個階段所包括的具體內(nèi)容與財務審計也不同。

　　1.計劃階段計劃階段是信息系統(tǒng)審計過程的起點?？茖W合理的審計計劃有利于幫助審計人員有的放矢的去調(diào)查、取證，形成正確的審計結(jié)論，實現(xiàn)審計目標。計劃階段的主要任務包括：調(diào)查被審單位的基本情況和內(nèi)部控制；初步評價審計風險；確定重要性水平；制定審計計劃。（1）調(diào)查被審單位的基本情況，初步評價固有風險為了做好審計工作，審計人員首先應了解被審單位的基本情況。需要了解的基本情況包括：第一，被審單位的業(yè)務性質(zhì)和生產(chǎn)經(jīng)營情況。第二，被審單位的組織結(jié)構(gòu)和管理水平。第三，被審單位信息系統(tǒng)一般情況，即信息系統(tǒng)的結(jié)構(gòu)，所使用的軟硬件和網(wǎng)絡設施以及運行環(huán)境。第四，被審單位應用系統(tǒng)及其所處理的交易和事項的類型。（2）調(diào)查被審單位信息系統(tǒng)內(nèi)部控制，評價控制風險在計劃階段，審計人員應了解被審單位的內(nèi)部控制特別是信息系統(tǒng)內(nèi)部控制，對內(nèi)部控制的健全和有效性進行評估，初步確定控制風險的大小。（3）評估審計風險，確定重要性水平。為了合理使用審計資源，有效的實現(xiàn)審計目標，在制定審計計劃時審計人員應評估審計風險，確定重要性水平。重要性水平是指在審計事項中，能夠容忍出現(xiàn)差錯的程度和大小。（4）編制審計計劃。在對被審單位的風險進行初步評估，確定重要性水平后，審計人員應當編制審計計劃。審計計劃的內(nèi)容應當包括：被審單位的基本情況、審計的范圍和重點、審計的步驟和時間安排、審計人員分工、運用的信息系統(tǒng)審計方法、審計中應當注意的事項和其他內(nèi)容等。

　　2.實施階段實施階段是根據(jù)計劃階段確定的范圍、重點、步驟和方法，進行有針對性的取評價，并形成審計結(jié)論的過程。主要由符合性測試和實質(zhì)性測試兩個階段構(gòu)成。（1）實施符合性測試。符合性測試的目的是檢查內(nèi)部控制措施是否健全有效。計人員需要對被審單位的控制系統(tǒng)進行識別、測試和評價。測試的性質(zhì)、范圍和程度。為了達到這個目的，審從而確定后續(xù)的實質(zhì)性控制系統(tǒng)識別。審計人員通過與相關(guān)人員面談、調(diào)查問卷以及查閱信息系統(tǒng)和控制系統(tǒng)說明文件等方，識別被審單位的控制系統(tǒng)以及控制環(huán)境，并將調(diào)查情況記錄在審計工作底稿中。（2）實施實質(zhì)性測試。實質(zhì)性測試是對信息系統(tǒng)控制進行的詳細測試，以獲得這些控制在審計期間是否真實存在并合法有效的審計證據(jù)。實質(zhì)性測試主要通過測試必要的數(shù)據(jù)，對信息系統(tǒng)達到特定的控制目標的程度進行評價。

　　3.報告階段審計報告階段，審計人員應運用專業(yè)判斷，綜合所收集到的相關(guān)證據(jù)，已經(jīng)過核實的審計證據(jù)為依據(jù)，形成審計意見，出具審計報告。審計報告中除了對被審單位信息系統(tǒng)的安全性、可靠性、有效性和效率性發(fā)表審計意見之外，還針對信息系統(tǒng)內(nèi)部控制和管理等方面的問題提出相關(guān)的建議。在正式發(fā)布審計報告之前，審計人員還應考慮其后事項的影響。在現(xiàn)場審計工作結(jié)束日到發(fā)布審計報告日之間一般都會有一段時間，審計人員應考慮在此期間被審單位及其信息系統(tǒng)是否發(fā)生導致重大變化的事項。審計報告階段的具體過程如下，審計組在現(xiàn)場審計工作完成之后，應編制審計報告初稿征求被審單位意見。被審單位反饋意見后，審計組應將審計報告初稿和被審單位的反饋意見一并報送審計機關(guān)，審計機關(guān)對審計組的審計報告進行審議并對被審單位的反饋意見進行研究后，提出審計機關(guān)的審計報告。