时宝军

摘 要：随着信息系统在企业内部的广泛应用，企业经营管理模式、业务操作方法等都随之发生了巨大变化，同时也对内部审计的传统理念和技术手段带来了多方面的冲击。在这样的环境压力下，内部审计只有适时地开展信息系统审计理论的研究及应用，才能有效地规避审计风险，发挥内部审计作用，提高审计质量。

关键词：信息系统;审计内容;审计方法

1 信息系统审计的内容及程序

为了实现信息系统审计目的，信息系统审计内容应包括：系统开发审计、应用程序审计、数据文件审计、内部控制系统审计等内容。

1.1 系统开发审计。由于系统开发审计是对信息系统开发过程所进行一种事前审计，因此内部审计人员不仅要参与开发，一方面要在检查开发活动是否受到适当的控制，系统开发的方法是否科学、合理，系统开发过程中是否产生了必要的系统文档以及这些文档资料是否符合规范的过程中指出现有措施的不足，提出改进意见，另一方面还要在系统开发过程中选择关键控制点对开发工作本身进行测试和评价，保证计算机信息系统运行以后的数据处理结果正确、完整，系统运行效率达到设计目的。

1.2 应用程序审计。实践证明程序是差错和舞弊最容易发生的地方，因此应用程序审计是计算机信息系统审计中最困难的任务之一，也是对信息系统做出公正评价的关键。

在应用程序审计过程中内部审计人员可以选择计算机辅助审计与手工审计相结合的审计方法，通过对应用程序的直接审查或通过数据在程序上的运行进行间接的测试，实现对程序控制系统的健全性，程序运算和逻辑的合法、有效、正确、可靠性测试的目的。

对程序控制健全性的审计主要内容包括：对程序输入控制的审计，程序处理控制的审计，程序输出控制的审计。重点应审查输入程序是否能够保证只有经过授权批准的业务才能完整、准确地输入计算机;对输入计算机的正确业务能否进行被完整的处理，对不正确的业务能否检查处理并拒绝处理;经计算机处理的业务是否能够连续、完整、正确地输出。

在对程序合法性审查中，我们应重点审查程序中是否含有非法编码，因为非法编码通常是指为了舞弊而设计的编码，他们在满足某种条件下执行产生非法结果。例如：程序员如果在对物资采购计划程序中添加遇到某类物资计划自动锁定某供应商为指定供货厂商的程序，将会给比价采购带来干扰。此外审计人员还要审查程序编码是否有错误，这些错误包括程序语法和逻辑错误。这些错误的存在也会给系统带来处理错误，例如错误计算成本、利润等，都将给企业的经营决策带来干扰。

1.3 数据文件审计。数据文件审计是通过将存储于硬盘及软盘等空间里的电子数据打印出来或直接进行检查的方式，对数据文件进行的实质性测试及对一般控制或应用控制进行的符合性测试。

在计算机信息系统中，输入的原始数据、处理的中间结果和最后结果都是以数据文件的形式存储在电、磁介质上或打印输出在纸面上。对打印输出的数据文件进行审计可以采取手工对帐的方法，直接检查所有经济业务记录，如查证应付福利费用等集体的恰当性，核对总账与明细账的余额是否相符等。也可以对信息进行综合分析性复核，如重要账户的余额和发生额进行趋势分析、结构分析，将有关数据进行比较。

对存储在电、磁介质上的数据进行审计要借助与审计辅助软件进行，利用审计软件中的功能分析程序分析被审计数据的正确、完整、合法性。

1.4 内部控制系统审计。信息系统审计是以在计算机信息系统环境下加强、完善内部控制体系，监督处理结果正确性为目的的测试评价过程。它包括一般控制系统审计及应用控制系统审计两个方面。一般控制系统审计多适用于测试信息系统有无涉及威胁应用程序完整性的风险审计。而应用控制系统审计主要是用于测试应用系统本身的漏洞或直接威胁到数据的安全、准确等特定应用系统的风险审计。

2 计算机信息系统审计的方法

计算机信息系统审计的方法可以分为：绕过计算机审计（Audit Around the Computer）、通过计算机审计（Audit Through the Computer）和利用计算机审计（Audit With the Computer）三种。

绕过计算机审计也叫“黑箱”审计法，它是建立在理解计算机的功能、相信其处理正确性的前提下，只对输入数据和打印输出的数据资料及其管理制度进行审查，而对计算机内程序和文件不进行审查的审计方法。在这种审计方法的应用中审计人员可以用事先准备的模拟数据进行输入，然后把预先核算的结果与信息系统程序运行结果进行比对，评价程序功能的正确性;也可以在输出结果之后，利用输入数据来核算验证。它应用技术简单，较少干扰被审计系统工作，但是由于受到打印输出文件的充分性限制，审计结论可靠性较弱。

通过计算机审计有人也叫他“白箱”审计法（是以计算机系统为基础的审计，除对审查输入输出文件外进行审查外还要对计算机内程序和文件进行审查，所以应用这种审计方法得到的审计结果全面可靠，但审计技术复杂，要求审计人员必须能够看懂程序编码，难度巨大。但是我们也可以寻找到一些简单易行的办法进行审计。如：在计算机信息系统条件下，根据可逆规则编写出程序，自动追溯被审计单位提供数据真实性。如会计原始凭证与记账凭证不一致，表明记账凭证有被修改的风险，记账凭证与账表不一致时，账表有被修改的痕迹。还可以通过对系统操作日志的审计，跟踪信息系统软件中的操作日志记录，检查日志真实记录的操作者代号、姓名、操作的日期、时间、使用模块、运行状态、处理数据动作等，有效地发现以反复核、反登账、反结账的手段进行账户调整的审计线索。

对于利用计算机审计来说开发和使用审计软件是实现计算机信息系统审计的一个重要步骤，但在没有审计软件时也可以利用信息系统功能模块基础上的多种为了满足内部控制与决策要求的辅助功能，进行测试。这些功能通常包括：①利用数据库自动生成满足决策需要的各种分析性报表和中间数据表，例如能够描述业务轨迹的数据表;②可以把生成的数据文件存储成其它文件格式，如EXCEL文件等。这些功能都可以较为轻松方便地被审计人员利用来对数据进行进一步的加工处理得出审计结论。充分利用这些功能要比开发单独的审计软件容易得多，而且最后企业所承担的综合成本也会大大降低。

参考文献：

[1]S.拉奥.瓦莱布哈内尼.CIA考试指南经营分析和信息技术[M].

2006.6.

[2]张金城.计算机信息系统控制与审计[M].2002.4.