史建树

当前，随着计算机与互联网的迅速普及，人类对计算机的依赖达到了前所未有的程度，全社会各行各业信息化进程不断加快，我国许多企业在实现各部门信息化的同时，也已着手整合与集成其信息化应用系统。但是，多年来国内外企业的实践经验表明：信息化是有风险的，且系统规模越大，功能越复杂，风险也就越大。在当前信息化扩张的时代，我们内部审计面临一项新的问题：内部审计应当如何对企业信息系统进行监督和检查？这也为我们提出了一个新的审计领域，即信息系统审计。

一、IT环境下内部审计对象的变化和特征

1.数据处理的集中化与自动化

手工岗位分工操作的各个工作，在信息系统环境下都由计算机集中处理，每一台计算某一特定的任务，一组数据一经输入，便可以被不同的用户共享。随着系统的复杂性越高，数据处理就越为集中。在数据的原始数据的采集一般都以代码为标识。

2.数据存储的磁性化

在信息系统中，数据以文件形式存储，而这种存储的介质，又都以磁性材料为主。存储于磁介质上的数据，与其它电子数据一样，都具有存取方便、修改与删除不留痕迹的特点，而这一特点有给数据的可靠性与安全性带来了极大的威胁，也使日后的审计工作困难重重。

3.内部控制程序化

信息系统建立后，内部控制的内涵与外延发生了很大的变化，由于采用计算机，人们就不能不对其硬件和软件工作环境的安全性、可靠性详加考虑，采取各种严密的措施，确保相关信息的真实准确。而要做到这点，必须将各种控制方法嵌入程序之中，通过程序的运行，核对数据勾稽关系、数据处理顺序等。

二、信息系统审计的概念

信息系统审计最早也被称为计算机审计，是随着计算机在财务会计领域的运用而产生的。随着计算机技术应用领域的不断扩大，计算机对被审计单位个个业务环节的影响越来越大，计算机审计更多关注的内容也从单纯的对电子数据的处理，延伸到对计算机系统的可靠性、安全性进行了解和评价。计算机审计的业务范围已经覆盖了一项审计业务的全过程，计算机审计这一概念已经不能反映这一业务的全部内涵。

三、建立内部审计信息化流程框架的分析

1.审计证据的获取与鉴定

①审计证据的获取：收集审计证据是审计人员实施审计证据决策的首要环节。信息系统审计的证据也是通过查询文档、问卷调查、数据抽样等方式获得。

②审计证据真实性鉴定：审计人员从收集审计证据的全过程来鉴定证据本身的真实程度。审计人员对整个信息系统的安全性、可靠性、内部控制的健全性与有效性等方而进行测试和鉴定，提高信息的可靠性和真实性，有效地防止利用计算机随意篡改数据或破坏磁性介质上的数据等舞弊行为的发生。

2.信息系统审计操作流程

①审计计划阶段：了解被审系统基本情况；初步评价被审单位系统的内部控制及外部控制；识别重要性；编制审计计划。

②审计实施阶段：对信息系统计划开发阶段的审计；对信息系统运行维护阶段的审计；

③审计完成阶段：整理、评价执行审计业务过程中收集到的证据。评价审计结果，形成审计意见，完成三级复核，编制审计报告。

四、对开展信息系统审计的几点建议

1.审计观念的转变

观念问题也就是认识问题。如果不转换审计观念，将审计的目标局限为查错纠弊，势必将信息系统审计与当前中心工作对立起来。把内部审计仅仅理解为“查账”，则对信息系统审计的理解也只能停留在计算机辅助审计或辅助审计软件开发及应用的层次上。只有全面树立系统基础审计或风险基础审计的观念，才能理解信息系统审计的重要意义。审计中发现的很多错弊，由于都是管理上出了漏洞，也就是系统出了问题。一个管理完善的、控制良好的信息系统，应该能够防止、发现或纠正自身存在的问题。内部审计的任务就是帮助被审计者建立、健全这种机制，而不应该是代替被审计者去履行他们的“管理责任”或“会计责任”。

2.审计标准的制定

信息系统的审计需要尽可能参照“基于风险的信息系统控制评价指南”（GAIT）。GAIT是一套原则和方法，用于帮助评价企业信息系统控制的成本收益以及效率效果，通过制定GAIT，IIA一方面帮助企业识别信息系统控制中的关键因素，避免财务数据错弊的发生；另一方面知道管理层和审计人员识别信息系统的关键控制点，以满足企业遵守404条款的要求。

3.专业人才的培养

开展信息系统审计最重要的在于人才的准备，需要一批既掌握现代审计理论与实务又了解计算机技术的复合型知识结构的专业人才，但目前内部审计人员数量和知识结构上看，还远远达不到这一要求。由于企业开展信息系统审计的必要性，因此企业迫切需要信息系统审计人员。短时间里让企业培养出信息系统审计复合型人才不太现实，故目前可以采取使用两种知识类型的人员共同完成审计任务的方式。每个信息系统审计项目都配备专业审计人员和专业技术人员，由两种类型人员分别执行审计中的不同任务，同时也根据需要密切配合，这也是目前许多企业内部审计部门进行计算机辅助审计所采取的有效方式。但从长远看，信息系统审计人员仍应是兼具两种知识的复合型人员，这些人才的获得可以通过培养现有的审计人员，补充和丰富其技术方面的知识来得到；也可以由技术人员充实管理知识后获得。新形势下对内部审计人员提出的更高要求，只有通过不断的学习和接受挑战的心理才能适应审计的发展需要。

4.加强联网的建设

随着企业信息处理系统的大规模网络建设，审计人员不得不面对被审计单位越来越复杂的信息系统。在审计人员少、任务重的情况下，要充分意识到IT技术对审计工作的巨大挑战和影响，从另一个角度来说，我们也可以利用计算机提高工作效率和质量。

因此，审计人员要适应信息技术的发展，将高新技术运用于审计工作。现在看来，经济领域的很多问题靠传统的审计手段去审是不行的。一些大型企业在进行企业信息系统建设的时候，也充分考虑到内部审计和外部审计需求，并预留相应的接口。一些企业还自主开发了适应本企业特点的审计软件。信息系统审计软件要与企业的经营管理和会计核算信息系统联网，随时取得所需的电子数据和相关资料，实现对在线处理数据（磁盘或光盘数据）的审计，建立在计算机环境下新的审计模式。这样，审计人员不用到被审计单位的现场，就可以对其实现随时跟踪、分析和审查，实现联网审计，改变必须将时间安排为集中审计的局面，而且审计人员还可以通过积累的数据库进行历史的、横向的分析比较，发现手工方式下难以查出的问题。

五、结束语

由于我国计算机、网络技术发展起步较晚，基础建设还相对比较落后，企业业务之间的整合性还相对缺乏，真正涉及到企业内部网络和业务流程的信息系统还处于发展初期。但网络化的会计信息系统正在被企业所接受，因而计算机信息系统的审计却还停留在审计理论界的探索之中，同时存在一定的问题。一方面，国内许多企业的内部审计工作还未真正受到管理层的重视，内部审计的基础工作还不能得到企业大量资源的投入；另一方面，信息系统审计开展的难度、对审计人员的高素质要求等都制约了目前信息系统审计的实施和理论的构建。因此，要建立健全的信息系统审计理论和方法还有一段路要走。