當(dāng)前，被審計(jì)單位會(huì)計(jì)信息系統(tǒng)高速發(fā)展，會(huì)計(jì)電算化及信息化程度越來(lái)越高，大量的業(yè)務(wù)數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)都存儲(chǔ)在計(jì)算機(jī)中，因而也存在著計(jì)算機(jī)會(huì)計(jì)舞弊的可能性。如果審計(jì)機(jī)關(guān)和審計(jì)人員停留在傳統(tǒng)的紙質(zhì)賬目基礎(chǔ)審計(jì)上，不對(duì)信息系統(tǒng)進(jìn)行審計(jì)監(jiān)督，勢(shì)必產(chǎn)生較大的審計(jì)風(fēng)險(xiǎn)，影響審計(jì)工作質(zhì)量。

　　一、信息系統(tǒng)審計(jì)概述

　?。ㄒ唬┬畔⑾到y(tǒng)審計(jì)的概念

　　信息系統(tǒng)審計(jì)是審計(jì)全過程的一個(gè)組成部分，目前還沒有固定通用的定義，美國(guó)信息系統(tǒng)審計(jì)的權(quán)威專家RonWeber將它定義為“收集并評(píng)估證據(jù)以決定一個(gè)計(jì)算機(jī)系統(tǒng)（信息系統(tǒng)）是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源”。筆者認(rèn)為，信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過程。它是立足于組織的戰(zhàn)略目標(biāo)，為有效的實(shí)現(xiàn)組織戰(zhàn)略目標(biāo)而采取的一切活動(dòng)過程。其業(yè)務(wù)范圍包括與信息系統(tǒng)有關(guān)的所有領(lǐng)域，例如信息系統(tǒng)安全審計(jì)、網(wǎng)譽(yù)審計(jì)、電子簽名審計(jì)業(yè)務(wù)等。

　?。ǘ┬畔⑾到y(tǒng)審計(jì)的內(nèi)容和方法

　?、睂?duì)信息系統(tǒng)功能的審計(jì)?？煞炙膫€(gè)方面進(jìn)行：輸入控制審計(jì)、數(shù)據(jù)處理過程審計(jì)、輸出控制審計(jì)、系統(tǒng)安全審計(jì)。

　?、佥斎肟刂茖徲?jì)。主要檢查軟件能否保證輸入數(shù)據(jù)的正確性、可靠性和完整性，有沒有設(shè)置對(duì)誤操作的防范和糾正功能。實(shí)地觀察輸入界面錄入要素是否全面，對(duì)關(guān)鍵要素的錄入是否進(jìn)行了約束，分析數(shù)據(jù)庫(kù)數(shù)據(jù)，對(duì)系統(tǒng)輸入的字段進(jìn)行驗(yàn)證，主要驗(yàn)證關(guān)鍵字段格式是否規(guī)范，內(nèi)容是否正確、完整，相關(guān)數(shù)據(jù)的關(guān)系是否正確、合法。采用測(cè)試數(shù)據(jù)進(jìn)行測(cè)試，設(shè)計(jì)一些虛擬數(shù)據(jù)，提交系統(tǒng)進(jìn)行處理，以測(cè)試系統(tǒng)輸入控制是否存在。測(cè)試數(shù)據(jù)時(shí)要注意不要對(duì)信息系統(tǒng)數(shù)據(jù)造成影響。

　?、跀?shù)據(jù)處理過程審計(jì)。主要檢查軟件處理過程的正確性和合法性。審查軟件是否存在“后門”或“漏洞”，數(shù)據(jù)在處理過程中有無(wú)丟失、增加、重復(fù)或不恰當(dāng)?shù)母淖儯粚彶檐浖欠裉峁┝酥С窒到y(tǒng)進(jìn)行非法處理或違法處理的功能。依據(jù)被審計(jì)單位的實(shí)際業(yè)務(wù)，設(shè)計(jì)一個(gè)模擬程序，將被審計(jì)單位的真實(shí)數(shù)據(jù)用模擬程序重新處理一遍，把處理的結(jié)果與被審程序的處理結(jié)果進(jìn)行比較，以確定被審程序的處理和控制功能是否可靠或被修改。用一批預(yù)先設(shè)計(jì)好的檢測(cè)數(shù)據(jù)（包括正常的、有效的業(yè)務(wù)和不正常的、無(wú)效的業(yè)務(wù)數(shù)據(jù)），利用被審程序加以處理，并把處理的結(jié)果與預(yù)期的結(jié)果作比較，以確定被審程序的控制與處理功能是否恰當(dāng)。

　?、圯敵隹刂茖徲?jì)。主要檢查系統(tǒng)能否確保輸出數(shù)據(jù)沒有被丟失、誤導(dǎo)、破壞，確保輸出數(shù)據(jù)的完整性和正確性，確保輸出結(jié)果只提交給有權(quán)使用的人員。查閱各種紙質(zhì)資料、報(bào)表，并與電子數(shù)據(jù)比較，分析有無(wú)非法修改數(shù)據(jù)的情況；依據(jù)業(yè)務(wù)性質(zhì)和需要，確定輸出結(jié)果能否滿足工作需要。

　?、芟到y(tǒng)安全審計(jì)。主要檢查軟、硬件配置和網(wǎng)絡(luò)平臺(tái)是否能夠保證系統(tǒng)安全可靠地運(yùn)行，有無(wú)數(shù)據(jù)丟失、損壞、泄密的風(fēng)險(xiǎn)。軟件安全控制主要審查軟件禁止非法使用和禁止越權(quán)使用的控制能力。包括軟件內(nèi)部固化的操作流程、角色設(shè)置、權(quán)限分配、密碼控制。通過查閱軟件設(shè)計(jì)文檔、操作手冊(cè)，實(shí)際操作等方法，分析系統(tǒng)中角色設(shè)置、權(quán)限分配是否合理、可靠。通過分析后臺(tái)數(shù)據(jù)，檢查操作人員的口令是否加密保存，有無(wú)空口令、弱口令，系統(tǒng)是否設(shè)置了操作日志。對(duì)重要數(shù)據(jù)，系統(tǒng)是否提供了有痕跡的更正功能。檢查局域網(wǎng)與外接網(wǎng)絡(luò)的聯(lián)接方式，網(wǎng)絡(luò)中安全設(shè)備的設(shè)置是否正確、有效，數(shù)據(jù)傳輸是否安全，是否建立了系統(tǒng)備份和系統(tǒng)恢復(fù)機(jī)制并有效運(yùn)行，系統(tǒng)管理人員對(duì)系統(tǒng)的日常維護(hù)是否及時(shí)。

　　⒉對(duì)信息系統(tǒng)應(yīng)用方面審計(jì)可分三個(gè)方面進(jìn)行:內(nèi)部控制審計(jì)、系統(tǒng)應(yīng)用的合法性審計(jì)、信息系統(tǒng)的自我完善能力審計(jì)。①內(nèi)部控制審計(jì)主要審查信息系統(tǒng)環(huán)境下的內(nèi)部控制的健全性、合理性和有效性。實(shí)際崗位設(shè)置、人員分工是否與軟件中的角色設(shè)置、權(quán)限分配相適應(yīng)，實(shí)際業(yè)務(wù)工作流程是否與軟件固化的工作流程相適應(yīng)，不相容職能分離控制措施及執(zhí)行情況；②系統(tǒng)應(yīng)用的合法性審計(jì)主要通過對(duì)數(shù)據(jù)分析來(lái)完成；③信息系統(tǒng)的自我完善能力審計(jì)主要從以下方面檢查：一是是否建立了有效的應(yīng)用情況反饋機(jī)制；二是信息部門能否及時(shí)修正系統(tǒng)的不足和錯(cuò)誤。

　　二、信息系統(tǒng)審計(jì)的必要性

　　20世紀(jì)90年代后期至今，會(huì)計(jì)電算化已逐步走向成熟，而企業(yè)的信息化建設(shè)并沒有就此止步，以ERP、MRP-Ⅱ?yàn)榇淼钠髽I(yè)信息系統(tǒng)的高度集成逐漸開始興起。這時(shí)的企業(yè)信息系統(tǒng)不僅僅是一個(gè)孤立的系統(tǒng)，而是集財(cái)務(wù)、人事、供銷、生產(chǎn)為一體的綜合性的信息系統(tǒng)，財(cái)務(wù)信息只是這個(gè)系統(tǒng)所處理信息的一部分，單獨(dú)的財(cái)務(wù)系統(tǒng)已不存在。在這種情況下，審計(jì)人員只有對(duì)整個(gè)系統(tǒng)進(jìn)行全面了解，才能把握審計(jì)對(duì)象的總體情況，避免審計(jì)風(fēng)險(xiǎn)，將審計(jì)成果最大化。

　　從企業(yè)信息化的發(fā)展歷史可以看出，由于審計(jì)人員所面臨的審計(jì)對(duì)象的不斷變化，促使審計(jì)方式也隨之改變，信息系統(tǒng)審計(jì)便應(yīng)運(yùn)而生。由于我國(guó)的信息系統(tǒng)審計(jì)工作尚未完全開展，一些計(jì)算機(jī)審計(jì)的探索與嘗試仍然局限在電子數(shù)據(jù)的采集與處理領(lǐng)域，對(duì)信息系統(tǒng)的安全與控制的問題還沒有充分的認(rèn)識(shí)。從邏輯上講，對(duì)系統(tǒng)的依賴是現(xiàn)代審計(jì)的基本策略，如果被審計(jì)對(duì)象全面采用計(jì)算機(jī)化的信息系統(tǒng)，而審計(jì)人員又沒有對(duì)信息系統(tǒng)進(jìn)行了解和審計(jì)，那么這種審計(jì)得出結(jié)論的可靠性就要受到質(zhì)疑。政府審計(jì)在這方面所面臨的問題日益嚴(yán)峻，“不搞計(jì)算機(jī)審計(jì)，我們就會(huì)失去審計(jì)的資格”已經(jīng)逐漸成為審計(jì)界的共識(shí)，作為國(guó)家審計(jì)機(jī)關(guān)，在規(guī)劃審計(jì)工作時(shí)應(yīng)意識(shí)到這一點(diǎn)，對(duì)被審計(jì)單位的信息系統(tǒng)進(jìn)行審計(jì)已迫在眉睫

信息來(lái)源：會(huì)計(jì)視野網(wǎng)站---文庫(kù)