信息系統(tǒng)審計(jì)的內(nèi)容范圍流程與策略的探討

1、信息系統(tǒng)審計(jì)的內(nèi)容、范圍、流程和策略的探討 吳本長(zhǎng) 謝崗 吳斌 趙承康安徽電力公司課題組      國(guó)際信息系統(tǒng)審計(jì)委員會(huì)（ISACA）在1996年對(duì)信息系統(tǒng)審計(jì)定義為：信息系統(tǒng)審計(jì)是為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的信息系統(tǒng)審計(jì)師，以第三方的客觀(guān)立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向信息系統(tǒng)審計(jì)對(duì)象的最高領(lǐng)導(dǎo)層，提出問(wèn)題與建議的一連串的活動(dòng)。由此可以看出，信息系統(tǒng)審計(jì)所關(guān)注的內(nèi)容不單純是對(duì)電子數(shù)據(jù)的處理，更不僅僅是財(cái)務(wù)信息，而是對(duì)企業(yè)整個(gè)信息系統(tǒng)的可靠性、安全性進(jìn)行了解和評(píng)價(jià)，是一項(xiàng)通過(guò)審查與評(píng)價(jià)信息

2、系統(tǒng)的規(guī)劃、開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù)等一系列活動(dòng)，以確定信息系統(tǒng)運(yùn)行是否安全、可靠、有效，信息系統(tǒng)得出的數(shù)據(jù)是否可靠準(zhǔn)確以及數(shù)據(jù)是否能有效的存儲(chǔ)的過(guò)程。一、信息系統(tǒng)審計(jì)的內(nèi)容和特點(diǎn)     國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)規(guī)定了信息系統(tǒng)審計(jì)主要內(nèi)容：    1信息系統(tǒng)審計(jì)程序。依據(jù)信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、準(zhǔn)則和最佳實(shí)務(wù)等提供信息系統(tǒng)審計(jì)服務(wù)，以幫助組織確保其信息技術(shù)和運(yùn)營(yíng)系統(tǒng)得到保護(hù)并受控；    2. IT治理（信息技術(shù)治理）。確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運(yùn)營(yíng)管理機(jī)制和監(jiān)督實(shí)務(wù)，以達(dá)到公司治理中對(duì)IT

3、 方面的要求；    3.系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理。系統(tǒng)的開(kāi)發(fā)、采購(gòu)、測(cè)試、實(shí)施、維護(hù)和配置、使用，與基礎(chǔ)框架，確保實(shí)現(xiàn)組織的目標(biāo)；    4. IT 服務(wù)的交付與支持。IT 服務(wù)管理實(shí)務(wù)可確保提供所要求的等級(jí)、類(lèi)別的服務(wù)，來(lái)滿(mǎn)足組織的目標(biāo)；    5. 信息資產(chǎn)的保護(hù)。通過(guò)適當(dāng)?shù)陌踩w系（如安全政策、標(biāo)準(zhǔn)和控制），保證信息資產(chǎn)的機(jī)密性、完整性和有效性；    6. 災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃。一旦連續(xù)的業(yè)務(wù)被中斷或破壞，災(zāi)難恢復(fù)計(jì)劃確保災(zāi)難對(duì)業(yè)務(wù)影響最小化的同時(shí)，及時(shí)恢復(fù)被

4、中斷的IT 服務(wù)。     從信息系統(tǒng)審計(jì)的上述定義和內(nèi)容，可以看出，信息系統(tǒng)審計(jì)除了傳統(tǒng)審計(jì)所具有的特性外，還具有以下幾個(gè)專(zhuān)有特點(diǎn)：    1、審計(jì)的所有領(lǐng)域?qū)⑷孢\(yùn)用現(xiàn)代信息技術(shù)。這就是在審計(jì)的理論研究、實(shí)務(wù)工作、管理模式、知識(shí)構(gòu)等方面都將運(yùn)用現(xiàn)代信息技術(shù)，使技術(shù)與審計(jì)高度融通，大大提高審計(jì)的工作質(zhì)量和效率。在實(shí)務(wù)工作方面，要使審計(jì)工作面向計(jì)算機(jī)內(nèi)在審計(jì)和使用計(jì)算機(jī)審計(jì)轉(zhuǎn)變；審計(jì)人員不再只依賴(lài)于紙張記錄的會(huì)計(jì)數(shù)據(jù)而大部分或全部依賴(lài)于磁盤(pán)、光盤(pán)等介質(zhì)記錄的電子數(shù)據(jù)，或直接從網(wǎng)絡(luò)下載的子數(shù)據(jù)，諸如電子商務(wù)之類(lèi)；審計(jì)底稿和審計(jì)

5、證據(jù)及有關(guān)審計(jì)檔案也全部電子化；審計(jì)工作將從定期的現(xiàn)場(chǎng)審轉(zhuǎn)向?qū)崟r(shí)或定時(shí)的在線(xiàn)網(wǎng)絡(luò)審計(jì)，即通過(guò)網(wǎng)絡(luò)分散和連續(xù)抽取證據(jù)進(jìn)行審計(jì)。在管理模式上，要利用現(xiàn)代信技術(shù)來(lái)管理責(zé)任與風(fēng)險(xiǎn)俱在的審計(jì)行業(yè)。知識(shí)結(jié)構(gòu)上，審計(jì)人員除了掌握傳統(tǒng)審計(jì)的基本知識(shí)外，還應(yīng)掌握計(jì)算知識(shí)及其應(yīng)用技術(shù)、數(shù)據(jù)處理和管理技術(shù)，掌握現(xiàn)信息技術(shù)的應(yīng)用等；不僅要會(huì)操作審計(jì)軟件，而且要能根據(jù)需要編寫(xiě)出測(cè)試審查程序；使所審計(jì)人員都應(yīng)成為完全意義上的IT審計(jì)人員。    2、信息數(shù)據(jù)安全性、可靠性是IT審計(jì)的特點(diǎn)。在會(huì)計(jì)信息化條件下，企業(yè)所提供的最主要的會(huì)計(jì)信息將是各種明細(xì)信息，因此，審計(jì)的工作重點(diǎn)是驗(yàn)證信息的真實(shí)可

6、靠性，以及審核進(jìn)入外網(wǎng)絡(luò)的明細(xì)信息的安全性。企業(yè)內(nèi)部形成的明細(xì)信息的真實(shí)可靠性如何，取決企業(yè)會(huì)計(jì)信息化系統(tǒng)內(nèi)部控制的強(qiáng)弱程度，而審計(jì)人員主要工作將是證實(shí)從數(shù)據(jù)庫(kù)存取信息的可靠性。為此，應(yīng)當(dāng)側(cè)重于驗(yàn)證機(jī)內(nèi)原始憑證數(shù)據(jù)是否真實(shí)可靠，會(huì)計(jì)憑證數(shù)據(jù)庫(kù)的存取是否得當(dāng)，以及這些數(shù)據(jù)被不留痕跡修改的風(fēng)險(xiǎn)有多大等問(wèn)題。對(duì)于進(jìn)入外部網(wǎng)的明細(xì)信息，必須通過(guò)對(duì)整個(gè)系統(tǒng)的網(wǎng)絡(luò)進(jìn)行安全控制以保證此信息的安全性。在會(huì)計(jì)信息化條件下，必須對(duì)會(huì)計(jì)信息進(jìn)行連續(xù)審計(jì)，這種審計(jì)不僅應(yīng)延伸到進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)的明細(xì)信息，而且應(yīng)延伸到進(jìn)入外部網(wǎng)絡(luò)系統(tǒng)的詳細(xì)信息。    3、計(jì)算機(jī)專(zhuān)家參與審計(jì)工作。在會(huì)計(jì)信息

7、化環(huán)境下，審計(jì)工作所面臨的會(huì)計(jì)系統(tǒng)非常復(fù)雜，對(duì)審計(jì)人員的信息技術(shù)掌握程度要求非常高，審計(jì)人員必須充分利用計(jì)算機(jī)專(zhuān)家的專(zhuān)業(yè)能力進(jìn)行審計(jì)工作。需要計(jì)算機(jī)專(zhuān)家參與的工作是深層次的、與技術(shù)高度融合的審計(jì)工作，如數(shù)據(jù)庫(kù)的分析評(píng)價(jià)、網(wǎng)絡(luò)系統(tǒng)的健全評(píng)價(jià)、實(shí)時(shí)監(jiān)控和審計(jì)軟件的開(kāi)發(fā)、信息系統(tǒng)應(yīng)用軟件審計(jì)等。這些工作，單純依靠審計(jì)人員是難以完成的。審計(jì)人員在開(kāi)展實(shí)質(zhì)性工作前，應(yīng)與計(jì)算機(jī)專(zhuān)家交流并擬定專(zhuān)家工作的項(xiàng)目和收集、評(píng)價(jià)審計(jì)證據(jù)的索引，以便能充分利用計(jì)算機(jī)專(zhuān)家的工作結(jié)果進(jìn)行審計(jì)判斷。    4、審計(jì)的覆蓋面將擴(kuò)大。在會(huì)計(jì)信息化環(huán)境下，審計(jì)的對(duì)象是以計(jì)算機(jī)為手段的信息處理系統(tǒng)，這是

8、信息系統(tǒng)審計(jì)區(qū)別于其他審計(jì)的標(biāo)志，同時(shí)這也表明不僅會(huì)計(jì)信息是審計(jì)的對(duì)象，其他計(jì)算機(jī)信息處理系統(tǒng)如企業(yè)人力資源管理子系統(tǒng)等也是審計(jì)的對(duì)象。    5、對(duì)審計(jì)人員的素質(zhì)要求提高。在會(huì)計(jì)信息化條件下，由于審計(jì)線(xiàn)索的變化、內(nèi)部控制的變化、審計(jì)對(duì)象和內(nèi)容的擴(kuò)大及審計(jì)方法的變化，決定了對(duì)審計(jì)人員要求的提高。審計(jì)人員必須從傳統(tǒng)的審計(jì)時(shí)空觀(guān)轉(zhuǎn)換為信息化條件下的電子時(shí)空觀(guān)，具體表現(xiàn)為審計(jì)人員進(jìn)行審計(jì)時(shí)不再局限于傳統(tǒng)紙張上的書(shū)面數(shù)據(jù)，也不局限于會(huì)計(jì)系統(tǒng)，而是部分或全部依賴(lài)于電子數(shù)據(jù)。同時(shí)，審計(jì)人員除了掌握傳統(tǒng)審計(jì)的基本知識(shí)外，還應(yīng)掌握計(jì)算機(jī)知識(shí)及其應(yīng)用技術(shù)，掌握數(shù)據(jù)處理和管理技術(shù)，掌

9、握現(xiàn)代信息技術(shù)的應(yīng)用；不僅要會(huì)操作審計(jì)軟件，而且要能根據(jù)需要編寫(xiě)出各種測(cè)試審查程序模塊。 二、信息系統(tǒng)審計(jì)的工作流程     信息系統(tǒng)審計(jì)過(guò)程與一般審計(jì)過(guò)程一樣，分為準(zhǔn)備階段、實(shí)施階段、報(bào)告階段以及后續(xù)審計(jì)階段。其中，準(zhǔn)備階段和報(bào)告階段所涉及的技術(shù)方法與財(cái)務(wù)審計(jì)所運(yùn)用的技術(shù)方法區(qū)別不大，而實(shí)施階段所涉及的技術(shù)方法則具有信息技術(shù)的特色。各階段的審計(jì)的內(nèi)容主要如下：（一）準(zhǔn)備階段     準(zhǔn)備階段主要是初步調(diào)查被審計(jì)單位會(huì)計(jì)信息系統(tǒng)的基本情況，并擬定合理的計(jì)劃。一般包括以下主要工作：1、調(diào)查了解被審計(jì)單位會(huì)計(jì)信息系統(tǒng)的

10、基本情況，如會(huì)計(jì)信息系統(tǒng)的硬件配置、系統(tǒng)軟件的選用、應(yīng)用軟件的范圍、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)的管理結(jié)構(gòu)和職能分工以及文檔資料等。2、與被審計(jì)單位明確會(huì)計(jì)責(zé)任和審計(jì)責(zé)任以及雙方的權(quán)利、義務(wù)和職責(zé)等。3、初步評(píng)價(jià)被審計(jì)單位的內(nèi)部控制制度，以便確定符合性測(cè)試的范圍和重點(diǎn)。4、確定審計(jì)重要性、確定審計(jì)范圍。5、分析審計(jì)風(fēng)險(xiǎn)。6、制定審計(jì)方案。    在審計(jì)計(jì)劃階段，除了對(duì)時(shí)間、人員、工作步驟以及任務(wù)分配等方面做出安排以外，還要合理確定符合性測(cè)試、實(shí)質(zhì)性測(cè)試的時(shí)間和范圍，以及測(cè)試的審計(jì)方法和測(cè)試數(shù)據(jù)。 （二）實(shí)施階段    實(shí)施階段使審計(jì)工作的

11、核心，也是會(huì)計(jì)信息系統(tǒng)審計(jì)的核心。主要工作是根據(jù)準(zhǔn)備階段確定的范圍、要點(diǎn)、步驟、方法，進(jìn)行取證、評(píng)價(jià)、綜合審計(jì)證據(jù)，形成審計(jì)結(jié)論，發(fā)表審計(jì)意見(jiàn)。實(shí)施階段主要工作應(yīng)包括以下兩個(gè)方面： 1、符合性測(cè)試    符合性測(cè)試是以系統(tǒng)的安全可靠性的檢查結(jié)果為前提。如果系統(tǒng)安全可靠性非常差，不能讓審計(jì)人員信賴(lài)，則應(yīng)當(dāng)根據(jù)實(shí)際情況決定是否取消內(nèi)部控制的符合性測(cè)試，而直接進(jìn)行實(shí)質(zhì)性測(cè)試并加大實(shí)質(zhì)性測(cè)試的樣本量。在會(huì)計(jì)信息系統(tǒng)的符合性測(cè)試項(xiàng)目中，主要內(nèi)容應(yīng)該是確認(rèn)輸入資料是否正確完整，計(jì)算機(jī)處理過(guò)程是否符合要求。如果系統(tǒng)安全可靠性比較高，則應(yīng)對(duì)該系統(tǒng)給與較高的信賴(lài)，在實(shí)質(zhì)性

12、測(cè)試時(shí)，就可以相應(yīng)的減少實(shí)質(zhì)性測(cè)試的樣本量。2、實(shí)質(zhì)性測(cè)試    實(shí)質(zhì)性測(cè)試應(yīng)該是對(duì)被審計(jì)單位會(huì)計(jì)信息系統(tǒng)的程序、數(shù)據(jù)、文件進(jìn)行測(cè)試，并根據(jù)測(cè)試結(jié)果進(jìn)行評(píng)價(jià)和鑒定。進(jìn)行實(shí)質(zhì)性測(cè)試時(shí)需要依賴(lài)符合性測(cè)試的結(jié)果。如果符合性測(cè)試結(jié)果得出的審計(jì)風(fēng)險(xiǎn)偏高，而且被審計(jì)單位有可能利用會(huì)計(jì)信息系統(tǒng)進(jìn)行舞弊的動(dòng)機(jī)與可能，且又不能提供完整的會(huì)計(jì)文字資料，此時(shí)應(yīng)該發(fā)表保留意見(jiàn)或拒絕表達(dá)意見(jiàn)的審計(jì)報(bào)告。在實(shí)質(zhì)性測(cè)試時(shí)，可考慮采用通過(guò)計(jì)算機(jī)進(jìn)行審計(jì)的方法，具體包括：（1）數(shù)據(jù)測(cè)試法，即將測(cè)試數(shù)據(jù)或模擬數(shù)據(jù)分別由審計(jì)人員經(jīng)手工核算和被審計(jì)單位會(huì)計(jì)信息系統(tǒng)進(jìn)行處理比較處理結(jié)果，做出評(píng)價(jià)。（2）受

13、控處理法即選擇被審計(jì)單位一定時(shí)期的實(shí)際業(yè)務(wù)數(shù)據(jù)分別由審計(jì)人員和會(huì)計(jì)信息系統(tǒng)同時(shí)處理，比較結(jié)果，做出評(píng)價(jià)。3、利用輔助審計(jì)軟件直接在會(huì)計(jì)信息系統(tǒng)下進(jìn)行數(shù)據(jù)轉(zhuǎn)換，數(shù)據(jù)查詢(xún)，抽樣審計(jì)，查賬，賬務(wù)分析測(cè)試等，得出結(jié)論，做出評(píng)價(jià)。 （三）審計(jì)結(jié)論和執(zhí)行階段    審計(jì)人員對(duì)會(huì)計(jì)信息系統(tǒng)進(jìn)行符合性測(cè)試和實(shí)質(zhì)性測(cè)試后，整理審計(jì)工作底稿，編制審計(jì)報(bào)告時(shí)，除對(duì)被審計(jì)單位會(huì)計(jì)報(bào)表的合理性、公允性和一貫性發(fā)表審計(jì)意見(jiàn)，做出審計(jì)結(jié)論外，還要地被審計(jì)單位的會(huì)計(jì)信息系統(tǒng)的處理功能和內(nèi)部控制進(jìn)行評(píng)價(jià)，并提出改進(jìn)意見(jiàn)。審計(jì)報(bào)告完成后，先要征求被審計(jì)單位的意見(jiàn)。審計(jì)報(bào)告一經(jīng)審定，所作的審

14、計(jì)結(jié)論需通知并監(jiān)督被審計(jì)單位執(zhí)行。 （四）異議和復(fù)審階段    被審計(jì)單位對(duì)審計(jì)結(jié)論如有異議，可提出復(fù)審要求。審計(jì)部門(mén)可組織復(fù)審結(jié)論和決定。特別是被審計(jì)單位會(huì)計(jì)信息系統(tǒng)有了新的改進(jìn)時(shí)，還需要組織后續(xù)審計(jì)。 三、信息系統(tǒng)審計(jì)的內(nèi)容和重點(diǎn)審計(jì)環(huán)節(jié)     會(huì)計(jì)信息系統(tǒng)審計(jì)是由會(huì)計(jì)數(shù)據(jù)體系、計(jì)算機(jī)硬件和軟件以及系統(tǒng)工作和維護(hù)人員組成，所以會(huì)計(jì)信息系統(tǒng)的審計(jì)內(nèi)容與傳統(tǒng)的手工會(huì)計(jì)系統(tǒng)也存在著較大的差別。會(huì)計(jì)信息系統(tǒng)審計(jì)主要包括以下內(nèi)容：1、對(duì)內(nèi)部控制進(jìn)行審計(jì)    一方面是企業(yè)的內(nèi)部控

15、制能在多大程度上確保會(huì)計(jì)信息系統(tǒng)中會(huì)計(jì)記錄的正確性和可靠性，如輸入、輸出的授權(quán)控制，業(yè)務(wù)受理的審核等。另一方面是內(nèi)部控制的有效執(zhí)行能在多大程度上保護(hù)資產(chǎn)的完整性。通過(guò)以上兩方面的評(píng)價(jià)，可以判斷企業(yè)內(nèi)部控制系統(tǒng)能在多大程度上防止或發(fā)現(xiàn)會(huì)計(jì)報(bào)表中的錯(cuò)誤以及經(jīng)營(yíng)過(guò)程的舞弊。2、對(duì)會(huì)計(jì)信息系統(tǒng)程序的審計(jì)    會(huì)計(jì)信息系統(tǒng)的核心就是會(huì)計(jì)軟件。會(huì)計(jì)軟件程序質(zhì)量的高與低直接決定了會(huì)計(jì)信息系統(tǒng)整體水平的高低。審計(jì)的主要內(nèi)容是審計(jì)會(huì)計(jì)軟件程序?qū)?shù)據(jù)進(jìn)行處理和控制的及時(shí)性、正確性和可靠性，以及程序的糾錯(cuò)能力和容錯(cuò)能力。會(huì)計(jì)軟件程序的審計(jì)可通過(guò)計(jì)算機(jī)審計(jì)的方法以及利用計(jì)算機(jī)輔助審計(jì)數(shù)

16、據(jù)轉(zhuǎn)換的功能來(lái)完成。3、對(duì)會(huì)計(jì)數(shù)據(jù)的審計(jì)    會(huì)計(jì)數(shù)據(jù)處理的真實(shí)性、正確性、可靠性直接影響會(huì)計(jì)信息的真實(shí)性、正確性、可靠性，所以會(huì)計(jì)數(shù)據(jù)的審計(jì)是至關(guān)重要的。審計(jì)人員可采用抽查原始憑證與機(jī)內(nèi)憑證相對(duì)比，抽查打印日記賬與機(jī)內(nèi)日記賬相核對(duì)等方法，同時(shí)也可采用利用計(jì)算機(jī)輔助審計(jì)軟件的功能來(lái)完成審計(jì)，從而降低審計(jì)風(fēng)險(xiǎn)4、對(duì)會(huì)計(jì)信息系統(tǒng)開(kāi)發(fā)質(zhì)量的審計(jì)    會(huì)計(jì)信息系統(tǒng)是一項(xiàng)系統(tǒng)工程，主要包括系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施以及系統(tǒng)維護(hù)等。會(huì)計(jì)信息系統(tǒng)的紙來(lái)、運(yùn)行水平，一方面依賴(lài)于日常的管理和維護(hù)，另一方面也取決于會(huì)計(jì)信息系統(tǒng)開(kāi)發(fā)過(guò)程的質(zhì)量。

17、60;    對(duì)會(huì)計(jì)信息系統(tǒng)審計(jì)，應(yīng)關(guān)注三個(gè)重點(diǎn)環(huán)節(jié)：    1.數(shù)據(jù)環(huán)節(jié)    在審計(jì)中，必須使用一種方法能夠向前、向后追蹤單個(gè)交易和資產(chǎn)記錄，以便使審計(jì)人員選擇一些交易對(duì)其進(jìn)行詳細(xì)檢查，確認(rèn)交易記錄是否符合一般的審計(jì)目標(biāo)。如對(duì)會(huì)計(jì)事項(xiàng)信息的檢查，要檢查它的完整性、時(shí)效性、合規(guī)性和信息披露等方面，檢查內(nèi)容包括與本會(huì)計(jì)年度有關(guān)的交易是否全部記錄在冊(cè)；所有記錄的交易是否都是合理發(fā)生的并與本會(huì)計(jì)年度有關(guān)；記錄的交易是否數(shù)據(jù)準(zhǔn)確，計(jì)算無(wú)誤：記錄的交易是否符合基本的和輔助的法律規(guī)定，符合特定權(quán)威機(jī)構(gòu)的要求；對(duì)記錄

18、的交易是否進(jìn)行正確的分類(lèi)，并符合信息對(duì)外披露的要求等。對(duì)財(cái)務(wù)報(bào)表信息的檢查，要檢查完整性、存在性、會(huì)計(jì)計(jì)量、所有權(quán)以及信息披露等方面，檢查內(nèi)容包括是否記錄了所有的資產(chǎn)和負(fù)債：所有記錄的資產(chǎn)和負(fù)債是否都是存在的；對(duì)資產(chǎn)和負(fù)債的計(jì)量是否精確，計(jì)算方法是否符合按合理性、一致的標(biāo)準(zhǔn)制定的會(huì)計(jì)政策的要求：確認(rèn)資產(chǎn)是被審主體所有的、負(fù)債是被審主體應(yīng)該承擔(dān)的，并且資產(chǎn)和負(fù)債是否由合法的經(jīng)濟(jì)活動(dòng)產(chǎn)生的；資產(chǎn)、負(fù)債、資本和存貨是否都得到正確的披露。同時(shí)對(duì)信息系統(tǒng)提供的業(yè)務(wù)信息也要進(jìn)行分析，例如每月的工資總數(shù)、某階段的付款清單和訂貨信息等，要弄清基本的交易情況，并一直追蹤到信息源。對(duì)上述信息的分析可以采用計(jì)算機(jī)輔

19、助審計(jì)技術(shù)，按照特定的標(biāo)準(zhǔn)對(duì)數(shù)據(jù)進(jìn)行匯總、分類(lèi)、排序、比較和選擇，并進(jìn)行各種運(yùn)算。    2.內(nèi)部控制環(huán)節(jié)    內(nèi)部控制一般而言是指組織經(jīng)營(yíng)管理者為了維護(hù)財(cái)產(chǎn)物資的安全、完整，保證會(huì)計(jì)信息的真實(shí)、可靠，保證經(jīng)營(yíng)管理活動(dòng)的經(jīng)濟(jì)性、效率性和效果性以及各項(xiàng)法律和規(guī)范的遵守，而對(duì)經(jīng)營(yíng)管理活動(dòng)進(jìn)行調(diào)整、檢查和制約所形成的內(nèi)部管理機(jī)制，是組織為實(shí)現(xiàn)管理目標(biāo)而形成的自律系統(tǒng)。計(jì)算機(jī)系統(tǒng)的內(nèi)部控制主要分為應(yīng)用控制、一般控制和管理控制等三個(gè)方面，在審計(jì)過(guò)程中要對(duì)被審計(jì)單位內(nèi)控制度進(jìn)行評(píng)價(jià)，包括電算化系統(tǒng)的內(nèi)控制度。為了對(duì)系統(tǒng)的內(nèi)控制度進(jìn)行評(píng)價(jià)，審計(jì)人

20、員必須驗(yàn)證內(nèi)部控制系統(tǒng)是否存在，并能提供令人滿(mǎn)意的證據(jù)，證明它正在有效地發(fā)揮作用。在計(jì)算機(jī)系統(tǒng)中，應(yīng)檢查以下方面來(lái)證明內(nèi)控制度的有效性：(1)控制系統(tǒng)資源的存取。包括物理資源，例如終端、服務(wù)器、連接盒、相關(guān)文檔等；還包括邏輯資源，如軟件、系統(tǒng)文件和表、數(shù)據(jù)等。(2)控制系統(tǒng)資源的使用。用戶(hù)應(yīng)該只能對(duì)授權(quán)給他們的那些資源進(jìn)行操作。(3)建立按用戶(hù)職能分配資源的制度。把重要的任務(wù)功能按用戶(hù)或用戶(hù)組進(jìn)行分離，以減少無(wú)意的誤操作、濫用系統(tǒng)資源和對(duì)數(shù)據(jù)的非授權(quán)修改。(4)記錄系統(tǒng)的使用情況。按時(shí)間順序建立一個(gè)使用記錄，記錄內(nèi)容應(yīng)包括例外事例和與安全有關(guān)的事件是由誰(shuí)觸發(fā)的，財(cái)務(wù)信息的創(chuàng)建、修改和刪除是由誰(shuí)

21、完成的。(5)確認(rèn)處理過(guò)程的準(zhǔn)確性。用產(chǎn)生財(cái)務(wù)控制信息，確認(rèn)處理過(guò)程的準(zhǔn)確完成。(6)管理人員對(duì)財(cái)務(wù)信息系統(tǒng)的修改。應(yīng)該保證財(cái)務(wù)信息系統(tǒng)的所有修改都是經(jīng)過(guò)授權(quán)、有文檔記錄、經(jīng)過(guò)徹底(獨(dú)立地)測(cè)試的，確認(rèn)最后以一種有控制的方式投入使用。(7)保護(hù)財(cái)務(wù)信息系統(tǒng)免遭計(jì)算機(jī)病毒的襲擊。必須建立一套控制措施，檢測(cè)病毒，防止病毒感染財(cái)務(wù)信息系統(tǒng)。    3.數(shù)據(jù)傳輸轉(zhuǎn)移環(huán)節(jié)    在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個(gè)財(cái)務(wù)信息系統(tǒng)或財(cái)務(wù)信息系統(tǒng)與業(yè)務(wù)信息系統(tǒng)之間相互轉(zhuǎn)移，在此過(guò)程中可能會(huì)出現(xiàn)一些問(wèn)題，尤其是在需要手工重新錄入時(shí)。因此在審計(jì)時(shí)要重點(diǎn)關(guān)注以

22、下方面：在轉(zhuǎn)移過(guò)程中數(shù)據(jù)可能會(huì)發(fā)生變化；新的科目代碼表與老的可能不一樣，需要在兩個(gè)財(cái)務(wù)信息系統(tǒng)之間建立復(fù)雜的對(duì)應(yīng)關(guān)系：中心數(shù)據(jù)庫(kù)可能被一些地理上分散的服務(wù)器取代；當(dāng)前財(cái)務(wù)信息系統(tǒng)中的數(shù)據(jù)質(zhì)量不佳；當(dāng)用一個(gè)總的信息系統(tǒng)取代一個(gè)預(yù)定財(cái)務(wù)信息系統(tǒng)時(shí)，需要補(bǔ)充許多新的數(shù)據(jù)。在檢查這一環(huán)節(jié)時(shí)，一定要保證輸出的消息是經(jīng)過(guò)批準(zhǔn)、完整和精確的，保證輸出的消息在約定時(shí)間內(nèi)準(zhǔn)確地發(fā)送給指定的接收者，保證流人的消息是完整、準(zhǔn)確和真實(shí)可靠的。 四、信息系統(tǒng)審計(jì)的風(fēng)險(xiǎn)以及策略     在信息系統(tǒng)審計(jì)條件下，審計(jì)面臨著新的風(fēng)險(xiǎn)，主要有以下幾個(gè)方面：  

23、  (1)篡改數(shù)據(jù),不留審計(jì)線(xiàn)索。在網(wǎng)絡(luò)環(huán)境中,數(shù)據(jù)的電子化并以磁介質(zhì)為主要存儲(chǔ)載體,這為舞弊者對(duì)原始數(shù)據(jù)進(jìn)行非法修改和刪除,且不留篡改痕跡成為可能,這將無(wú)法保證數(shù)據(jù)的完整性和真實(shí)性,給審計(jì)監(jiān)督帶來(lái)了風(fēng)險(xiǎn)。    (2)信息丟失。主要有三種原因:一是運(yùn)行間的斷電和死機(jī)等故障;二是計(jì)算機(jī)病毒破壞;三是人為的毀損。    (3)黑客侵入和數(shù)據(jù)失竊。計(jì)算機(jī)黑客為了獲取重要的商業(yè)秘密、數(shù)據(jù)資源經(jīng)常用IP地址欺騙攻擊網(wǎng)絡(luò)系統(tǒng)。黑客偽裝為源自?xún)?nèi)部主機(jī)的一個(gè)外部站點(diǎn),利用一定的技術(shù)進(jìn)入目標(biāo)系統(tǒng)竊取或破壞數(shù)據(jù)。  

24、60; (4)職責(zé)分離不恰當(dāng)引起內(nèi)控失靈。在網(wǎng)絡(luò)環(huán)境下如果對(duì)數(shù)據(jù)維護(hù)、系統(tǒng)管理和數(shù)據(jù)輸入、數(shù)據(jù)核對(duì)確認(rèn)等崗位不作適當(dāng)?shù)姆蛛x,就會(huì)有人利用網(wǎng)絡(luò)的弱點(diǎn)故意修改數(shù)據(jù)、舞弊或竊取秘密信息從中撈取利益。    審計(jì)風(fēng)險(xiǎn)的防范和控制為了有效地降低網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn),就必須采取相應(yīng)的防范和控制措施,具體為:    1、加強(qiáng)審計(jì)軟件的開(kāi)發(fā)。對(duì)信息系統(tǒng)審計(jì)，如果仍然采用常規(guī)的手工系統(tǒng)的那一套審計(jì)技術(shù)與方法，很難達(dá)到審計(jì)的目的。由于審計(jì)的范圍已經(jīng)擴(kuò)大到會(huì)計(jì)信息系統(tǒng)及其它計(jì)算機(jī)信息處理系統(tǒng)，迫使審計(jì)人員在采用傳統(tǒng)的各種審計(jì)技術(shù)的同時(shí)，采用計(jì)算機(jī)輔助審計(jì)技術(shù)，用日

25、益先進(jìn)的計(jì)算機(jī)審計(jì)軟件去對(duì)付單機(jī)、網(wǎng)絡(luò)、多用戶(hù)等各種工作平臺(tái)下的會(huì)計(jì)軟件。審計(jì)軟件是大量審計(jì)方法的技術(shù)的集成，一般包括內(nèi)部控制評(píng)價(jià)、審計(jì)計(jì)劃管理、數(shù)據(jù)轉(zhuǎn)換、抽樣審計(jì)、實(shí)質(zhì)性測(cè)試、會(huì)計(jì)報(bào)表生成、審計(jì)底稿打印和管理，審計(jì)證據(jù)歸集和評(píng)價(jià)，審計(jì)報(bào)告生成等功能。為適應(yīng)會(huì)計(jì)信息化環(huán)境下的各種財(cái)務(wù)軟件的發(fā)展，我們必須要提高開(kāi)發(fā)審計(jì)軟件的速度，加快審計(jì)軟件更新?lián)Q代的步伐，開(kāi)發(fā)通用審計(jì)軟件和專(zhuān)用審計(jì)軟件，還可以引進(jìn)計(jì)算機(jī)審計(jì)軟件的技術(shù)，組織對(duì)有推廣價(jià)值的審計(jì)軟件進(jìn)行評(píng)審，促進(jìn)審計(jì)軟件的商品化。同時(shí)，要強(qiáng)化審計(jì)人員對(duì)數(shù)據(jù)庫(kù)程序的學(xué)習(xí)，直接對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行采集和轉(zhuǎn)換，利用查詢(xún)語(yǔ)句對(duì)財(cái)務(wù)數(shù)據(jù)進(jìn)行分析和整理，完成審

26、計(jì)任務(wù)，這樣就能從根本上上擺脫財(cái)務(wù)軟件升級(jí)或有意識(shí)改動(dòng)帶來(lái)的束縛，克服審計(jì)工作中存在的各種技術(shù)。    2、提高審計(jì)風(fēng)險(xiǎn)的防范能力。隨著網(wǎng)絡(luò)系統(tǒng)地運(yùn)用，信息的載體已經(jīng)由紙介質(zhì)過(guò)渡到磁性介質(zhì)。磁性介質(zhì)的保存有較高的要求，易受到高溫、磁性物質(zhì)、劇烈震動(dòng)的影響。因此，檔案保存的風(fēng)險(xiǎn)還很大，而且這種存儲(chǔ)媒體是易變的，通過(guò)信息技術(shù)容易被訪(fǎng)問(wèn)和濫用，犯罪人員可以通過(guò)獲取口令或非法訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)中的所有數(shù)據(jù)，是存儲(chǔ)的信息數(shù)據(jù)易受舞弊犯罪人員（黑客）的攻擊。這些都增加了審計(jì)風(fēng)險(xiǎn)。因此必須采取積極措施進(jìn)行分險(xiǎn)防范，如建立一個(gè)在監(jiān)管部門(mén)嚴(yán)格監(jiān)控下的網(wǎng)絡(luò)財(cái)務(wù)信息強(qiáng)制存檔制度，可以牽制網(wǎng)上財(cái)

27、務(wù)信息的披露，這樣既可以提高工作效率，又可以降低審計(jì)風(fēng)險(xiǎn)，制定各種嚴(yán)格的風(fēng)險(xiǎn)防范規(guī)章制度進(jìn)行規(guī)范，包括網(wǎng)絡(luò)管理規(guī)定、系統(tǒng)運(yùn)行中的安全保密規(guī)定、會(huì)計(jì)核算軟件運(yùn)行管理規(guī)定、計(jì)算機(jī)軟件開(kāi)發(fā)的規(guī)定等。此外還可以通過(guò)加強(qiáng)企業(yè)的內(nèi)部控制保護(hù)企業(yè)的安全，保證會(huì)計(jì)信息的準(zhǔn)確性和可維護(hù)性。完善的內(nèi)部控制可有效的降低審計(jì)風(fēng)險(xiǎn)。通過(guò)充分利用防火墻和加密技術(shù)，制定具體的防病毒制度并定期組織全系統(tǒng)的防毒檢查，可防范病毒和“黑客”入侵，從而降低審計(jì)的風(fēng)險(xiǎn)。    3、加強(qiáng)審計(jì)專(zhuān)業(yè)人員的培養(yǎng)。會(huì)計(jì)信息化使審計(jì)的范圍不斷擴(kuò)大，給審計(jì)人員帶來(lái)了巨大的壓力。國(guó)際審計(jì)準(zhǔn)則15號(hào)規(guī)定，在電子數(shù)據(jù)處理環(huán)境下進(jìn)行審計(jì)時(shí)，審計(jì)人員應(yīng)對(duì)審計(jì)系統(tǒng)的計(jì)算機(jī)硬件、軟件和處理系統(tǒng)有充分了解，以進(jìn)一步對(duì)委托審計(jì)的條件做出計(jì)劃并了解電子數(shù)據(jù)處理對(duì)內(nèi)部控制的研究與評(píng)估的影響和需采用的審計(jì)程序，包括計(jì)算機(jī)輔助審計(jì)軟件的應(yīng)用。這對(duì)我國(guó)當(dāng)前審計(jì)人員知識(shí)結(jié)構(gòu)不完整的現(xiàn)狀是一個(gè)巨大的挑戰(zhàn)。因此，審計(jì)機(jī)構(gòu)從現(xiàn)在