信息系統(tǒng)審計的 透視與思考

1、<p>　　信息系統(tǒng)審計的 透視與思考</p><p>　　【摘要】 隨著信息化建設(shè)的深入，信息系統(tǒng)已逐步成為審計領(lǐng)域無法繞開的話題，信息系統(tǒng)審計不再僅限于審計手段的信息化，它還包括了審計對信息系統(tǒng)的介入、監(jiān)督與評價。本文以廣州地鐵內(nèi)部審計為案例，從信息系統(tǒng)的審計內(nèi)容、實施策略、審計方法等方面，對信息系統(tǒng)審計進行透視與思考，探索信息系統(tǒng)審計發(fā)展的方向。 </p><p&g

2、t;　　【關(guān)鍵詞】 信息系統(tǒng)審計 審計內(nèi)容 審計方法 </p><p><b>　　一、引言 </b></p><p>　　相比于傳統(tǒng)審計，信息系統(tǒng)審計（Information System Auditing）是審計領(lǐng)域中的一個新概念。目前，關(guān)于信息系統(tǒng)審計，學術(shù)界和業(yè)界均無通用的定義。美國信息系統(tǒng)審計權(quán)威專家Ron.A.Weber提出：信息系統(tǒng)審計可定義為通過一定的

3、技術(shù)手段收集、分析證據(jù)，以對計算機系統(tǒng)是否能夠保證資產(chǎn)安全、維護數(shù)據(jù)完整、實現(xiàn)組織目標以及高效利用資源進行評價的過程。日本通產(chǎn)情報協(xié)會作了如下定義：信息系統(tǒng)審計是指，為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的信息系統(tǒng)審計師以第三方的立場對以計算機為核心的信息系統(tǒng)進行綜合檢查和評價，并向信息系統(tǒng)審計對象的最高領(lǐng)導者提出問題與建議的一連串活動。國際信息系統(tǒng)審計和控制協(xié)會（ISACA）將其定義為：信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判

4、斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程。 </p><p>　　針對以上觀點，我們將其要點歸納如下：信息系統(tǒng)審計是審計師對以計算機為核心的信息系統(tǒng)，通過專業(yè)判斷和評價，合理保證信息系統(tǒng)安全、穩(wěn)定、有效，并向信息系統(tǒng)的高層管理者及使用者提供問題解決方案，以達到改善經(jīng)營和為組織增加價值目的的一個過程。 </p><p>　　二、信息

5、系統(tǒng)審計的發(fā)展與現(xiàn)狀 </p><p>　　20世紀60年代，隨著計算機技術(shù)開始運用于企業(yè)的信息收集和整理中，會計信息處理逐漸無紙化，促使審計人員在執(zhí)行傳統(tǒng)審計業(yè)務時，必須關(guān)注以電子數(shù)據(jù)為載體的電子數(shù)據(jù)處理審計（EDP Electronic Data Processing）。20世紀70年代中期至80年代，電子數(shù)據(jù)處理和管理系統(tǒng)等在企業(yè)中逐漸普及，同時，計算機犯罪和計算機系統(tǒng)失效的事件頻頻發(fā)生，使得信息系統(tǒng)審計日

6、益得到重視并迅速發(fā)展。美國、日本先后成立了IT審計方面的協(xié)會組織，從事對IT審計規(guī)則的制定和實施指導。20世紀90年代，信息和信息系統(tǒng)已成為企業(yè)的重要資產(chǎn)，企業(yè)和社會對信息系統(tǒng)控制和審計的需求愈發(fā)強烈。發(fā)達國家的信息系統(tǒng)審計進入普及期，許多國家的審計機關(guān)、學者和組織對計算機環(huán)境下的信息系統(tǒng)審計進行了有益的探索。同時，東南亞各國也逐漸認識到信息系統(tǒng)審計的重要性，開始著手研究信息系統(tǒng)審計理論和實務。 </p><p>

7、;　　目前，我國信息系統(tǒng)審計僅有十幾年的歷史，尚處于探索階段，既缺乏開展信息系統(tǒng)審計業(yè)務的人才隊伍，也沒有形成專業(yè)規(guī)范體系，所進行的一些計算機審計方面的探索和嘗試以及計算機審計軟件的開發(fā)和應用還大都停留在對被審計單位電子數(shù)據(jù)進行處理的階段。存在的主要問題有：信息系統(tǒng)審計觀念落后；信息系統(tǒng)審計相關(guān)的準則、標準和規(guī)范尚不完善；信息系統(tǒng)審計專業(yè)人才匱乏；信息系統(tǒng)審計軟件開發(fā)工作滯后。 </p><p>　　1997年，

8、廣州地鐵開始公司“信息化”建設(shè)。最初，廣州地鐵經(jīng)營審計采用“繞過計算機審計”的方法，即對導出數(shù)據(jù)進行審計。審計過程中，其逐漸意識到了運用這種“黑箱原理”審計方法的風險。因此，2006年公司組建了專門的IT審計模塊，探索“如何利用計算機審計”和“通過計算機審計”。其后，廣州地鐵信息系統(tǒng)審計發(fā)展經(jīng)歷了借力、助力和自立三個階段。 </p><p>　　一是借力期：IT審計模塊成立初期，公司與外部顧問共同開展IT審計項目

9、，通過外部專業(yè)人員向?qū)徲嬋藛T傳輸IT審計技能，同時制定《IT審計實施細則》，在人員技能儲備和制度上為IT審計模塊的發(fā)展奠定了基礎(chǔ)。二是助力期：審計人員參照審計手冊，利用從外部顧問處學習到的審計技能，逐步開展信息系統(tǒng)審計工作，將IT審計工作模式調(diào)整為以自身力量為主，外部咨詢服務為輔的模式。三是自立期：2009年，廣州地鐵IT審計已基本實現(xiàn)自主化，且IT審計模塊逐步走向成熟，同時其還建立了具有自身特色的信息系統(tǒng)審計框架。 </p>

10、;<p>　　目前，IT審計已經(jīng)發(fā)展成為廣州地鐵內(nèi)部審計的一根“支柱”，連同“內(nèi)控審計”，作為基本的審計手段貫穿于各類專業(yè)審計工作中，支持審計體系的鞏固與發(fā)展。 </p><p>　　三、信息系統(tǒng)審計內(nèi)容 </p><p>　　1、國內(nèi)外關(guān)于信息系統(tǒng)審計內(nèi)容的研究 </p><p>　　開展信息系統(tǒng)審計首先要明確審計內(nèi)容。國際信息系統(tǒng)審計協(xié)會規(guī)定，信息

11、系統(tǒng)審計的主要內(nèi)容包括信息系統(tǒng)程序?qū)徲?、信息技術(shù)（IT）治理、系統(tǒng)生命周期管理、IT服務的交付與支持、信息資產(chǎn)的保護、災難恢復和業(yè)務連續(xù)性計劃。 </p><p>　　近十幾年來，國內(nèi)的學者和組織也對信息系統(tǒng)審計的內(nèi)容進行了探索和研究。審計署在2012年頒布的《信息系統(tǒng)審計指南――計算機審計實務公告第34號》中明確提出了：信息系統(tǒng)審計包括對應用控制、一般控制和項目管理的審計。其中，應用控制包括信息系統(tǒng)業(yè)務流程，數(shù)

12、據(jù)輸入、處理和輸出的控制，信息共享和業(yè)務協(xié)同；一般控制包括信息系統(tǒng)總體控制、信息安全技術(shù)控制、信息安全管理控制；項目管理包括信息系統(tǒng)建設(shè)的經(jīng)濟性、信息系統(tǒng)建設(shè)管理、信息系統(tǒng)績效。 </p><p>　　上述具有代表性的規(guī)定和研究成果對信息系統(tǒng)審計內(nèi)容的劃分，均是以對信息系統(tǒng)邏輯結(jié)構(gòu)的分析為基礎(chǔ)。全面分析信息系統(tǒng)的邏輯結(jié)構(gòu)，可從信息系統(tǒng)的構(gòu)成要素、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個維度進行描述：從構(gòu)成要素來看，信息

13、系統(tǒng)由人員、應用（包括軟件平臺和應用系統(tǒng)）、所采用的技術(shù)、硬件設(shè)備、數(shù)據(jù)文件運行規(guī)則組成；信息系統(tǒng)生命周期可劃分為信息系統(tǒng)的規(guī)劃階段、開發(fā)階段、運行維護階段和更新階段；從信息系統(tǒng)管理的維度來看，對系統(tǒng)的管理與控制活動貫穿于信息系統(tǒng)生命周期的始終，主要是通過有效執(zhí)行一系列健全有效的規(guī)章制度和管理規(guī)程來實現(xiàn)。 　　2、廣州地鐵信息系統(tǒng)審計實施框架 </p><p>　　結(jié)合廣州地鐵信息化項目多、系統(tǒng)更新快、數(shù)據(jù)集成

14、度高、系統(tǒng)控制與手工控制并重等特點，圍繞信息系統(tǒng)構(gòu)成要素、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個維度，廣州地鐵將信息系統(tǒng)審計的內(nèi)容劃分為整體計算機控制審計、應用控制審計和系統(tǒng)建設(shè)效能評價三個方面。其中，整體計算機控制審計是對信息系統(tǒng)運行中的控制活動進行審計，目的是合理保證由信息系統(tǒng)支持的業(yè)務流程控制是可靠的、生成的數(shù)據(jù)和報告是可信的。應用系統(tǒng)控制審計是對業(yè)務流程中的自動化控制活動進行審計，以合理保證交易的有效性、經(jīng)適當授權(quán)和記錄、完成的完整

15、性、準確性和及時性。項目及系統(tǒng)績效審計是對信息化項目的過程及成果對企業(yè)和業(yè)務產(chǎn)生的效益進行審計，用來合理保證信息化項目的投資/產(chǎn)出比例符合建設(shè)的目標，以及信息系統(tǒng)對企業(yè)戰(zhàn)略起到的預期的支撐作用。圍繞上述三個方面，廣州地鐵內(nèi)部審計確立了以下的實施框架。 </p><p>　?。?）確立整體計算機控制安全、操作、變更的三個評價維度，圍繞“信息系統(tǒng)全生命周期”，明確整體計算機控制十個流程。廣州地鐵通過學習和借鑒國際信息

16、系統(tǒng)技術(shù)管理和控制標準COBIT，建立起了一套自己的整體計算機控制審計框架?？蚣芸砂戳鞒毯涂刂祁愋蛢煞N方式進行劃分，兩種劃分方式在本質(zhì)上是一致的。在按流程劃分出的每個子流程中，信息系統(tǒng)審計人員需要從變更、安全、操作的角度去確認和評估具體的控制點；在按控制職能所作的劃分中，審計人員需要圍繞信息系統(tǒng)的策略與計劃、信息系統(tǒng)操作、與外部供應商關(guān)系、業(yè)務可持續(xù)計劃、應用系統(tǒng)開發(fā)、數(shù)據(jù)庫、軟件支持、網(wǎng)絡、硬件等十個子流程進行審計。 </p&g

17、t;<p>　　圍繞安全、變更、操作三個角度及十個子流程，廣州地鐵共梳理出有關(guān)整體計算機控制的41項審計內(nèi)容，并針對每一項內(nèi)容明確了控制目標和風險，建立起了一套完整的整體計算機控制矩陣。例如，信息系統(tǒng)策略和計劃子流程中，廣州地鐵明確了整體計算機控制的三大目標――信息系統(tǒng)戰(zhàn)略、規(guī)劃和預算應與實際業(yè)務和戰(zhàn)略目標保持一致，計算機處理環(huán)境應得到具有適當技能和經(jīng)驗的人員的充分支持和保證，以及計算機處理環(huán)境中的人員應接受適當?shù)呐嘤枺瑢?/p>

18、計人員在此基礎(chǔ)上針對各控制目標，識別并歸納出廣州地鐵現(xiàn)行的9個控制活動。在具體開展信息系統(tǒng)整體計算機控制審計時，信息系統(tǒng)審計人員根據(jù)審計項目的特點和要求，選擇需要評價的子流程，再對照子流程的控制活動進行評估及測試即可。 </p><p>　?。?）從內(nèi)部控制目標出發(fā)，將信息系統(tǒng)應用控制劃分為訪問控制、完整性控制及數(shù)據(jù)質(zhì)量控制三大方面。廣州地鐵將信息系統(tǒng)的應用控制劃分為應用系統(tǒng)訪問控制、流程和系統(tǒng)完整性控制以及數(shù)據(jù)

19、質(zhì)量控制三大類，并針對各類控制分別設(shè)計了不同的審計內(nèi)容。 </p><p>　　一是應用系統(tǒng)授權(quán)訪問控制審計包括對系統(tǒng)的認證方式、授權(quán)機制、權(quán)限的分配管理以及不相容職責分離在系統(tǒng)中的實現(xiàn)情況的審計，目的在于保證經(jīng)過允許的人才能訪問和操作系統(tǒng)。二是流程和系統(tǒng)完整性控制審計是對系統(tǒng)輸入、處理、輸出以及接口等各種系統(tǒng)運行規(guī)則的審計，用以保證所有經(jīng)允許處理的數(shù)據(jù)均轉(zhuǎn)換到介質(zhì)上并被處理，且處理的結(jié)果可通過適當?shù)姆绞郊右暂敵?/p>

20、，所有輸入、轉(zhuǎn)換、處理和輸出均在正常的時間內(nèi)準確地進行。三是數(shù)據(jù)質(zhì)量控制審計則是指對信息系統(tǒng)中的數(shù)據(jù)的完整性、規(guī)范性和有效性所進行的審計，旨在保證所有系統(tǒng)的輸出均反映為經(jīng)批準的有效的經(jīng)濟業(yè)務，所有經(jīng)過系統(tǒng)的數(shù)據(jù)真實、有效，且能滿足企業(yè)各項業(yè)務的使用要求。 </p><p>　?。?）圍繞“信息化項目”和“信息系統(tǒng)”，綜合評價信息化建設(shè)的效益。在開展整體計算機控制審計和應用控制審計的基礎(chǔ)上，廣州地鐵從企業(yè)經(jīng)營和投資

21、效益的視角出發(fā)，在信息系統(tǒng)審計中引入了3E審計的概念，嘗試對信息系統(tǒng)建設(shè)項目的成效、建成后系統(tǒng)的應用效能以及信息化對戰(zhàn)略的支撐效果進行審計。為了全面評價項目，廣州地鐵通常將對單個信息系統(tǒng)建設(shè)項目的合規(guī)性審計與項目效能審計結(jié)合在一起開展。 </p><p>　　一是信息系統(tǒng)建設(shè)成效審計旨在通過對系統(tǒng)建設(shè)全過程的審計，促進信息系統(tǒng)的建設(shè)規(guī)范性，提高信息系統(tǒng)建設(shè)的質(zhì)量。二是信息系統(tǒng)應用效能審計包括對業(yè)務需求的實現(xiàn)情況、

22、建成功能的使用情況的審計分析，以及對系統(tǒng)應用對業(yè)務管理規(guī)范化、標準化和精細化提升作用的綜合評價，目的在于促進系統(tǒng)使用價值的最大化，減少系統(tǒng)建設(shè)的投資浪費。三是戰(zhàn)略支撐效果審計是從支持戰(zhàn)略實現(xiàn)的角度，評價信息系統(tǒng)的建設(shè)效益，保證信息化建設(shè)在符合業(yè)務管理要求的同時，符合公司戰(zhàn)略的需要，支持公司戰(zhàn)略的實現(xiàn)。 </p><p>　　四、信息系統(tǒng)審計實施步驟 </p><p>　　信息系統(tǒng)審計步驟（

23、或流程），是審計工作從開始到結(jié)束的整個過程。信息系統(tǒng)審計流程一般可劃分為四個階段：計劃階段、實施階段、報告階段和后續(xù)階段。計劃階段是信息系統(tǒng)審計流程的起點，此階段的主要工作包括了解被審計系統(tǒng)的基本情況，初步評價被審計單位信息系統(tǒng)的內(nèi)部控制和外部控制，識別重要性和編制審計計劃。實施階段是根據(jù)計劃階段確定的審計范圍、重點、步驟和方法進行有針對性的取證、評價，并形成審計結(jié)論的過程。實施階段是信息系統(tǒng)審計工作的核心，主要由符合性測試和實質(zhì)性測試

24、兩個部分構(gòu)成。在報告階段，信息系統(tǒng)審計人員需運用專業(yè)判斷，整理、評價收集到的審計證據(jù)，以經(jīng)過核實的審計證據(jù)為依據(jù)，形成審計意見，出具審計報告。審計報告的出具并不意味著信息系統(tǒng)審計工作的終結(jié)。根據(jù)國際信息系統(tǒng)審計標準，信息系統(tǒng)審計人員對于系統(tǒng)中發(fā)現(xiàn)的重大問題和漏洞，需要對被審計單位所采取的糾正措施及其效果進行后續(xù)審計。審計人員需要將后續(xù)審計納入計劃，并安排必要的人員和時間進行后續(xù)審計。 </p><p>　　廣州地

25、鐵IT審計模塊成立之初，即明確了IT審計“對公司的系統(tǒng)流程與控制、項目進行審計”和“提供有益于增加公司價值的咨詢服務”兩項核心職責，并圍繞公司戰(zhàn)略，以“風險導向”、“服務戰(zhàn)略”理念為指導，從信息系統(tǒng)審計戰(zhàn)略規(guī)劃和具體項目執(zhí)行兩個層面分別制定信息系統(tǒng)審計的流程。 </p><p>　　1、以公司戰(zhàn)略為導向，制定信息系統(tǒng)審計的戰(zhàn)略規(guī)劃 　　一直以來，廣州地鐵奉行“源于戰(zhàn)略、服務于戰(zhàn)略”的現(xiàn)代審計理念。這一理念主要體

26、現(xiàn)在兩個方面：一是在制定內(nèi)審工作計劃時，從公司戰(zhàn)略出發(fā)，制定各個內(nèi)審業(yè)務及各專業(yè)審計模塊的戰(zhàn)略，并以業(yè)務戰(zhàn)略為指導，開展具體的審計工作；二是在開展審計項目的過程中，始終從保障公司戰(zhàn)略執(zhí)行的角度去發(fā)現(xiàn)問題、評價問題，提出整改意見和落實整改。信息系統(tǒng)審計的戰(zhàn)略規(guī)劃來源于公司的戰(zhàn)略，以及以公司戰(zhàn)略指導制定的公司信息系統(tǒng)戰(zhàn)略規(guī)劃和內(nèi)部審計業(yè)務戰(zhàn)略規(guī)劃；同時還須結(jié)合公司信息化現(xiàn)狀和IT審計模塊定位，明確廣州地鐵IT審計發(fā)展戰(zhàn)略目標。 </p

27、><p>　　2、通過風險評估，確定各信息系統(tǒng)風險等級，制定層次分明、重點突出的信息系統(tǒng)循環(huán)審計計劃 </p><p>　　為利用有限的審計資源掌握公司主要信息系統(tǒng)的建設(shè)、運營情況，保障信息資源的有效利用，降低公司信息系統(tǒng)的整體風險，廣州地鐵建立了一套“根據(jù)信息系統(tǒng)風險評級制定差異化的審計策略”。 </p><p>　?。?）梳理信息系統(tǒng)脈絡，全面掌握信息系統(tǒng)現(xiàn)狀。廣州

28、地鐵結(jié)合信息系統(tǒng)規(guī)劃、建設(shè)和運營的情況及系統(tǒng)分類梳理出被審計信息系統(tǒng)清單，并從系統(tǒng)構(gòu)成要素的角度收集系統(tǒng)相關(guān)的信息。這些信息包括系統(tǒng)名稱、功能模塊、采用產(chǎn)品等基本信息，以及項目的建設(shè)信息、系統(tǒng)的使用狀況和運維的基本情況。這些信息是風險評分的依據(jù)，也為后續(xù)開展具體審計工作時確定審計方案提供了指引。 </p><p>　　（2）開展信息系統(tǒng)風險評級，制定風險導向型審計計劃。內(nèi)審人員從通用風險、業(yè)務風險、項目風險、系統(tǒng)

29、風險、數(shù)據(jù)風險和人員風險六大風險類別出發(fā)，全面識別信息系統(tǒng)各類構(gòu)成要素中存在的風險；對信息系統(tǒng)進行風險評價，根據(jù)風險得分將信息系統(tǒng)按優(yōu)先級分別劃分為高、中、低三類。結(jié)合公司IT審計資源的情況，對優(yōu)先等級高的系統(tǒng)采用三年一審策略，中等級系統(tǒng)5―6年一個審計周期，風險等級低的系統(tǒng)則根據(jù)需要安排審計。在此審計策略的基礎(chǔ)上，再綜合考慮公司業(yè)務的十大風險、領(lǐng)導關(guān)注事項、上一年度內(nèi)控評價結(jié)果和審計項目成果、公司新一年的工作重點、公司信息系統(tǒng)的變動情

30、況，并制定出本年度的信息系統(tǒng)審計計劃。 </p><p>　　3、以風險為導向，開展信息系統(tǒng)審計 </p><p>　　在項目實施階段，審計人員必須從公司整體信息系統(tǒng)控制環(huán)境和被審計系統(tǒng)的狀況、流程與內(nèi)部控制兩個方面進一步收集被審計系統(tǒng)的相關(guān)資料，了解和確認被審計單位已建立的內(nèi)部控制措施，并對這些控制措施的設(shè)計是否達到控制目標進行評估。 </p><p>　?。?）

31、以“輪流循環(huán)+以點帶面”的方式開展整體計算機控制審計。公司的信息化業(yè)務采用統(tǒng)一集中管理的模式，整體計算機控制對各個系統(tǒng)具有一定的通用性。因此，在實務操作中，廣州地鐵采用“以點帶面”的策略，以單個信息系統(tǒng)整體計算機控制為切入點對整體計算機控制進行審計，評價整體信息系統(tǒng)的安全性；同時，考慮到信息系統(tǒng)在一定時間內(nèi)相對穩(wěn)定，因此在實施整體計算機控制審計時可采取輪流測試的方式，即每年從十個子流程中選取幾個進行測試，經(jīng)過一定周期后，完成對整體計算機

32、控制的全面審計。例如，在2011年開展的信息安全審計項目中，審計人員就圍繞信息安全這個審計主題，從十個子流程中選取了與信息安全直接相關(guān)的信息系統(tǒng)操作、信息系統(tǒng)安全、業(yè)務可持續(xù)計劃、應用系統(tǒng)開發(fā)與實施、數(shù)據(jù)庫開發(fā)與實施和系統(tǒng)軟件支持等六個流程進行審計。分步、循環(huán)開展整體計算機審計，在審計風險可控的情況下，大大節(jié)省了審計資源，也使得審計人員能夠更加深入地挖掘和分析整體計算機控制方面所存在問題以及問題的成因，提出更為切實可行、同時又符合公司信

33、息化業(yè)務發(fā)展現(xiàn)狀和要求的整改措施。 </p><p>　?。?）以風險為著眼點，確定應用控制審計重點。應用控制是各個信息系統(tǒng)內(nèi)部所建立的控制機制，應用控制審計必須針對某個具體信息系統(tǒng)開展。在開展應用控制審計的過程中，審計人員應緊緊圍繞“風險”這個著眼點，通過對原有業(yè)務成熟度和系統(tǒng)建設(shè)過程中風險的評估，選擇不同的審計側(cè)重點開展應用控制審計。例如，在合同管理系統(tǒng)審計項目中，由于合同管理系統(tǒng)是全新開發(fā)的系統(tǒng)，審計人員經(jīng)

34、分析，判定系統(tǒng)在應用系統(tǒng)訪問控制方面的風險較高。而在進行控制評估和測試后，審計人員發(fā)現(xiàn)業(yè)務人員在創(chuàng)建系統(tǒng)權(quán)限設(shè)置機制時完全套用了公司辦公自動化系統(tǒng)的權(quán)限機制，而未針對合同業(yè)務流程中不同于公司組織架構(gòu)下的角色設(shè)立相應的用戶組，導致系統(tǒng)無法實現(xiàn)合同經(jīng)辦人與審批人職責的分離，存在重大的內(nèi)控風險。 </p><p>　　五、信息系統(tǒng)審計方法 </p><p>　　在信息系統(tǒng)審計中，可因地制宜，綜合

35、運用多種學科的技術(shù)方法，包括：傳統(tǒng)審計中內(nèi)部控制測評的基本方法和審計取證的基本方法（包括審閱、核對、監(jiān)盤、觀察、查詢、函證、計算、分析性復核）；計算機科學的技術(shù)方法，如數(shù)據(jù)測試法、程序編碼審查法、受控處理法、受控再處理法、整體測試法、平行模擬法、程序比較法、漏洞掃描、入侵檢測、嵌入審計程序法等等；行為科學的技術(shù)方法，如運用組織發(fā)展的理論與方法、個體行為一般規(guī)律的理論和方法。這些方法與技術(shù)并不是孤立的，而是互相聯(lián)系的。 </p>

36、;<p>　　目前，廣州地鐵在信息系統(tǒng)審計中所運用的方法仍主要集中在傳統(tǒng)的內(nèi)控審計方法和信息系統(tǒng)管理的技術(shù)方法兩個領(lǐng)域，具體包括詢問、觀察、文件復核、抽樣、重新執(zhí)行、使用計算機輔助軟件等。在部分項目中，也采用了一些計算機科學的技術(shù)方法。受限于審計資源不足，廣州地鐵較少采用程序比較法、平行模擬法、程序編碼審查法等高成本的審計方法，而傾向于選用一些較為高效的測試方法。但這些高效方法的運用不能完全消除審計風險，這就需要審計人員根

37、據(jù)自身的經(jīng)驗盡量避免。 </p><p>　　1、傳統(tǒng)審計方法的運用 </p><p>　　廣州地鐵在開展信息系統(tǒng)審計過程中較多運用傳統(tǒng)審計的方法。例如，在對信息系統(tǒng)整體計算機控制進行審計時，通過對系統(tǒng)使用人員的訪談、調(diào)研和對系統(tǒng)各項操作的觀察，梳理出整體計算機控制相關(guān)的各種控制活動。在沒有測試環(huán)境的情況下對生產(chǎn)在用信息系統(tǒng)的人機交互界面和功能進行調(diào)查和確認時，審計人員大量運用了觀察的方法

38、。在對固定資產(chǎn)信息系統(tǒng)模塊進行審計中，審計人員通過觀察物資采購人員、資產(chǎn)管理人員、會計核算人員在系統(tǒng)中的操作界面、系統(tǒng)實現(xiàn)效果以及業(yè)務操作流程來了解系統(tǒng)功能的構(gòu)造。發(fā)現(xiàn)采購中的供應商信息在跨系統(tǒng)流程過程中丟失，導致財務系統(tǒng)和實物管理的MAXIMO系統(tǒng)的資產(chǎn)臺賬中均缺少供應商信息，致使日后采購同類物資時，采購人員無法獲取歷史采購信息作為參考，增加了市場調(diào)研成本。除內(nèi)控矩陣和訪談、觀察等方法之外，編制流程圖、數(shù)據(jù)流圖和報表流圖也是信息系統(tǒng)審

39、計經(jīng)常使用的方法。 　　2、計算機科學技術(shù)方法的運用 </p><p>　　計算機科學技術(shù)方法是信息系統(tǒng)審計特有的方法，來源于IT行業(yè)的信息技術(shù)的轉(zhuǎn)換應用，主要包括基于數(shù)據(jù)分析的方法和基于程序分析的方法，這些方法的綜合使用使得對信息系統(tǒng)的審計更加有效。具體方法的選用需視被審計系統(tǒng)的實際情況而定。在一個審計項目中，廣州地鐵審計人員經(jīng)常將多種方法結(jié)合使用。例如，在票務收入系統(tǒng)審計項目中，審計人員首先采用數(shù)據(jù)測試法，

40、使用正常及非正常的測試地鐵票搭乘地鐵，在系統(tǒng)中跟蹤測試票的處理情況，以驗證系統(tǒng)處理與控制功能是否均有效；在對系統(tǒng)中后期內(nèi)部開發(fā)的車站單程票售賣功能進行審計時，審計人員采用了程序編碼審查法，對系統(tǒng)的源程序編碼進行審查，審查后發(fā)現(xiàn)單程票售賣金額統(tǒng)計報表在進行數(shù)據(jù)處理時省略了小數(shù)點后的尾數(shù)，導致報表金額存在偏差；在對票務系統(tǒng)的清分報表進行驗證時，審計人員又采用了平行模擬法，抽取系統(tǒng)中一段時間內(nèi)的正式交易記錄，在系統(tǒng)外模擬系統(tǒng)的處理規(guī)則對交易記

41、錄進行處理，并將處理結(jié)果與系統(tǒng)的報表數(shù)據(jù)進行核對，結(jié)果發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)傳遞和處理過程中，由于系統(tǒng)對于異常數(shù)據(jù)的審核過于嚴格，導致部分正常數(shù)據(jù)被當作垃圾數(shù)據(jù)丟進異常庫，給公司造成票務損失。 </p><p>　　3、計算機輔助審計軟件的應用 </p><p>　　計算機輔助審計軟件的應用是信息系統(tǒng)審計的一個顯著特點，也是審計人員準備階段需要重點關(guān)注的問題之一。目前，廣州地鐵對計算機輔助審計軟件

42、的應用主要體現(xiàn)在以下兩個方面。 </p><p>　?。?）對系統(tǒng)中數(shù)據(jù)的準確性、完整性和一致性的檢查。例如，在合同管理系統(tǒng)審計項目中，為核對系統(tǒng)接口程序的可靠性，審計人員利用審計輔助軟件快速完成了對合同系統(tǒng)和財務系統(tǒng)數(shù)據(jù)一致性的核對，迅速查找出兩個系統(tǒng)中不一致的數(shù)據(jù)。經(jīng)過深入分析，審計人員發(fā)現(xiàn)由于財務核算人員在財務系統(tǒng)中復核合同支付數(shù)據(jù)時發(fā)現(xiàn)錯誤，將支付申請退回給合同系統(tǒng)再由合同經(jīng)辦人重新填報時，合同系統(tǒng)未對已

43、生成的支付信息進行更新，導致上述問題的出現(xiàn)。針對海量數(shù)據(jù)處理系統(tǒng)，數(shù)據(jù)驗證是審計的重點，計算機輔助軟件是“不可或缺”的審計工具。在地鐵票務收入保障審計項目中，審計人需要通過數(shù)據(jù)驗證的方式對業(yè)務處理的核心系統(tǒng)――自動售檢票（AFC）系統(tǒng)中的系統(tǒng)傳輸和處理機制進行驗證。為此，審計人員共設(shè)計了8大類29子類47個數(shù)據(jù)驗證主題。審計時，審計人員運用計算機輔助審計技術(shù)，在兩個月內(nèi)完成了對AFC系統(tǒng)中10天總計超過3億條運營數(shù)據(jù)的驗證工作。 <

44、;/p><p>　?。?）利用計算機輔助軟件進行對比測試。即審計人員從信息系統(tǒng)中抽取某部門樣本數(shù)據(jù)，將樣本數(shù)據(jù)輸入到與計算機輔助軟件中進行處理，把審計軟件輸出的結(jié)果與業(yè)務系統(tǒng)產(chǎn)生的結(jié)果進行對比分析，以判定業(yè)務系統(tǒng)的可靠性與準確性。廣州地鐵在已開展的運營票務收入保障審計項目中大量地使用了此種方式。審計人員將各車站站務人員在票務系統(tǒng)中錄入的售票數(shù)據(jù)導入到計算機輔助軟件中，按照業(yè)務規(guī)則對數(shù)據(jù)進行處理，將處理結(jié)果和系統(tǒng)輸出的

45、結(jié)果進行對比。經(jīng)對比，審計人員發(fā)現(xiàn)票務系統(tǒng)在處理異常數(shù)據(jù)時過于嚴格，導致部分非異常數(shù)據(jù)被系統(tǒng)當作異常數(shù)據(jù)丟入異常庫中，給公司造成票務損失。 </p><p>　　4、信息系統(tǒng)審計與業(yè)務內(nèi)控審計相結(jié)合 </p><p>　　企業(yè)管理流程信息化的過程中，會對原有的業(yè)務流程進行優(yōu)化甚至重構(gòu)。對原有手工流程的內(nèi)控評價在信息化環(huán)境中可能不再適用。因此，廣州地鐵在信息系統(tǒng)審計中添加了對業(yè)務流程的內(nèi)控評

46、價――先對業(yè)務的內(nèi)部控制情況進行評估，梳理并確定業(yè)務流程風險和關(guān)鍵控制點，再對照業(yè)務流程對系統(tǒng)的處理流程進行評價，確保信息系統(tǒng)審計評價的準確性。信息系統(tǒng)審計與業(yè)務內(nèi)控審計相結(jié)合的方法還體現(xiàn)在對一個流程中未在信息系統(tǒng)實現(xiàn)的控制環(huán)節(jié)可以通過內(nèi)控審計進行補充。實踐表明，信息系統(tǒng)審計與業(yè)務內(nèi)控審計相結(jié)合的方法在很大程度上提高了審計的全面性。 </p><p>　　由于信息技術(shù)自身的特點，例如電子數(shù)據(jù)的不可視性，加之被審計

47、單位信息系統(tǒng)內(nèi)部控制方面可能存在缺陷以及信息系統(tǒng)審計人員在專業(yè)技術(shù)和職業(yè)道德方面亦不完美，信息系統(tǒng)審計風險客觀存在。面對信息系統(tǒng)審計風險，需要審計人員通過深入調(diào)研，全面了解被審計系統(tǒng)的情況；需要培養(yǎng)專業(yè)人才，“以點帶面”提升團隊能力；結(jié)合企業(yè)發(fā)展情況，制定內(nèi)部信息系統(tǒng)審計標準；利用審計軟件，降低抽樣風險，提高審計效率等多種措施，不斷降低審計過程中的檢查風險，提高審計質(zhì)量。 </p><p><b>　　

48、【參考文獻】 </b></p><p>　　[1] Ron A.Weber，Information Systems Control and Audit，1st ed，NJ：Prentice Hall，1998. </p><p>　　[2] S. Anantha Sayana：The IS Audit Process[J].The ISACA Journal，2002（1）.

49、</p><p>　　[3] Craig S. Wright：The IT Regulatory and Standards Compliance Handbook：How to Survive Information Systems Audit and Assessments，1st ed，MA：Syngress， 2008. </p><p>　　[4] Robert E. Davis

50、：Information Systems Auditing：The IS Audit Planning Process，3rd ed，2010. </p><p>　　[5] Jack J. Champlain：Auditing Information Systems[J].2nd ed，NJ：John Wiley&Sons，2003. </p><p>　　[6] 盧紅柱：計算機

51、信息系統(tǒng)審計的探索之路[J].審計研究，2006（增刊）. </p><p>　　[7] 王進波、常衛(wèi)：信息系統(tǒng)審計的發(fā)展與現(xiàn)狀[J].財政監(jiān)督，2008（4）. </p><p>　　[8] 陳繼初：信息系統(tǒng)審計在我國的現(xiàn)狀及存在的問題[J].消費導刊，2008（12）. </p><p>　　[9] 吳沁紅：信息系統(tǒng)審計內(nèi)容分析[J].財會研究，2008（10）

52、. </p><p>　　[10] 胡曉明：信息系統(tǒng)審計理論體系的構(gòu)建[J].中國注冊會計師，2006（6）. </p><p>　　[11] 王艷、周劍：信息系統(tǒng)審計辨析[J].圖書情報工作，2004（48）. </p><p>　　[12] 田佳林：信息系統(tǒng)審計簡述[J].財政監(jiān)督，2008（4）. </p><p>　　[13] 陳婉玲

53、、楊文杰：COBIT及其在信息系統(tǒng)控制與審計中的應用[J].審計研究，2006（增刊）. </p><p>　　[14] 趙靜：COBIT框架在IT審計中的應用[J].中國內(nèi)部審計，2009（12）. </p><p>　　[15] 張妍：信息系統(tǒng)審計方法研究[J].審計月刊，2010（11）. </p><p>　　[16] 劉杰、羅繼榮：信息系統(tǒng)審計質(zhì)量控制準則

54、研究[J].財會通訊，2011（5）. </p><p>　　[17] 王振武、張子瑾：信息系統(tǒng)審計理論結(jié)構(gòu)框架研究[J].會計之友，2011（7）. </p><p>　　[18] 薛富平：信息系統(tǒng)審計風險[J].財會研究，2007（3）. </p><p>　　[19] 徐經(jīng)緯：淺談計算機審計風險評價及其防范對策[J].經(jīng)濟研究導刊，2009（16）. <