信息系統(tǒng)審計(jì)的內(nèi)容、范圍、流程和策略的探討

1、信息系統(tǒng)審計(jì)的內(nèi)容、范圍、流程和策略的探討吳本長(zhǎng) 謝崗吳斌 趙承康女徽電力公司課題纟n國(guó)際信息系統(tǒng)市計(jì)委員會(huì)（1saca）在1996年對(duì)信息系統(tǒng)審計(jì)定義為：信息系統(tǒng)審計(jì)是為了信息 系統(tǒng)的安全、可靠與有效，山獨(dú)立于市計(jì)對(duì)象的信息系統(tǒng)市計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為 核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向信息系統(tǒng)審計(jì)對(duì)彖的最高領(lǐng)導(dǎo)層，提出問(wèn)題與建議的一連 串的活動(dòng)。由此可以看出，信息系統(tǒng)審計(jì)所關(guān)注的內(nèi)容不單純是對(duì)電了數(shù)據(jù)的處理，更不僅僅是財(cái)務(wù) 信息，而是對(duì)企業(yè)整個(gè)信息系統(tǒng)的可靠性、安全性進(jìn)行了解和評(píng)價(jià)，是一項(xiàng)通過(guò)審杳與評(píng)價(jià)信息系統(tǒng) 的規(guī)劃、開發(fā)、實(shí)施、運(yùn)行和維護(hù)等一系列活動(dòng)，以確定信息系統(tǒng)運(yùn)

2、行是否安全、可靠、有效，信息 系統(tǒng)得出的數(shù)據(jù)是否可靠準(zhǔn)確以及數(shù)據(jù)是否能有效的存儲(chǔ)的過(guò)程。一、信息系統(tǒng)審計(jì)的內(nèi)容和特點(diǎn)國(guó)際信息系統(tǒng)市計(jì)協(xié)會(huì)規(guī)定了信息系統(tǒng)審計(jì)主要內(nèi)容：1. 信息系統(tǒng)審計(jì)程序。依據(jù)信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、準(zhǔn)則和最住實(shí)務(wù)等捉供信息系統(tǒng)審計(jì)服務(wù)，以 幫助組織確保其信息技術(shù)和運(yùn)營(yíng)系統(tǒng)得到保護(hù)并受控；2. tt治理（信息技術(shù)治理）。確保紐織擁冇適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運(yùn)營(yíng)管理機(jī)制和監(jiān) 督實(shí)務(wù)，以達(dá)到公司治理中對(duì)it方面的要求；3. 系統(tǒng)和基礎(chǔ)建設(shè)牛命周期管理。系統(tǒng)的開發(fā)、采購(gòu)、測(cè)試、實(shí)施、維護(hù)和配査、使用，與基礎(chǔ) 松架，確保實(shí)現(xiàn)組織的目標(biāo)；4. it服務(wù)的交付與支持。it服務(wù)管理實(shí)務(wù)可確保提

3、供所耍求的等級(jí)、類別的服務(wù)，來(lái)滿足組 織的fi標(biāo)；5. 信息資產(chǎn)的保護(hù)。通過(guò)適當(dāng)?shù)陌踩w系（如安全政策、標(biāo)準(zhǔn)和控制），保證信息資產(chǎn)的機(jī)密 性、完整性和有效性；6. 災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃。一旦連續(xù)的業(yè)務(wù)被中斷或破壞，災(zāi)難恢復(fù)計(jì)劃確保災(zāi)難對(duì)業(yè)務(wù) 彫響最小化的同時(shí)，及時(shí)恢復(fù)被中斷的it服務(wù)。從信息系統(tǒng)審計(jì)的上述定義和內(nèi)容，町以看出，信息系統(tǒng)審計(jì)除了傳統(tǒng)審計(jì)所具冇的特性外，還 具有以下幾個(gè)專有特點(diǎn)：1、審計(jì)的所有領(lǐng)域?qū)⑷孢\(yùn)用現(xiàn)代信息技術(shù)。這就是在審計(jì)的理論研究、實(shí)務(wù)工作、管理模式、 知識(shí)構(gòu)等方而都將運(yùn)用現(xiàn)代信息技術(shù)，使技術(shù)與審計(jì)高度融通，大大捉高審計(jì)的工作質(zhì)量和效率。在 實(shí)務(wù)工作方面，耍使審計(jì)工

4、作而向計(jì)算機(jī)內(nèi)在審計(jì)和使用計(jì)算機(jī)審計(jì)轉(zhuǎn)變；審計(jì)人員不再只依賴于紙 張記錄的會(huì)計(jì)數(shù)據(jù)而大部分或全部依賴于磁盤、光盤等介質(zhì)記錄的電了數(shù)據(jù)，或直接從網(wǎng)絡(luò)下載的了 數(shù)據(jù)，諸如電子商務(wù)之類；審計(jì)底稿和審計(jì)證據(jù)及有關(guān)審計(jì)檔案也全部電子化；審計(jì)工作將從定期的 現(xiàn)場(chǎng)市轉(zhuǎn)向?qū)崟r(shí)或定時(shí)的在線網(wǎng)絡(luò)審計(jì)，即通過(guò)網(wǎng)絡(luò)分散和連續(xù)抽取證據(jù)進(jìn)行審計(jì)。在管理模式上， 要利用現(xiàn)代信技術(shù)來(lái)管理責(zé)任與風(fēng)險(xiǎn)俱在的審計(jì)行業(yè)。知識(shí)結(jié)構(gòu)上，市計(jì)人員除了掌握傳統(tǒng)審計(jì)的基 本知識(shí)外，還應(yīng)掌握計(jì)算知識(shí)及其應(yīng)用技術(shù)、數(shù)據(jù)處理和管理技術(shù)，掌握現(xiàn)信息技術(shù)的應(yīng)用等；不僅 要會(huì)操作審計(jì)軟件，而h要能根據(jù)需要編寫出測(cè)試審查程序；使所審計(jì)人員都應(yīng)成為完全意義上

5、的 it審計(jì)人員。2、信息數(shù)據(jù)安全性、可靠性是it審計(jì)的特點(diǎn)。在會(huì)計(jì)信息化條件下，企業(yè)所提供的最主要的會(huì) 計(jì)信息將是各種切細(xì)信息，因此，審計(jì)的工作重點(diǎn)是驗(yàn)證信息的真實(shí)可靠性，以及審核進(jìn)入外網(wǎng)絡(luò)的 明細(xì)信息的安全性。企業(yè)內(nèi)部形成的明細(xì)信息的真實(shí)可靠性如何，取決企業(yè)會(huì)計(jì)信息化系統(tǒng)內(nèi)部控制 的強(qiáng)弱程度，而審計(jì)人員主要工作將是證實(shí)從數(shù)據(jù)庫(kù)存取信息的町靠性。為此，應(yīng)當(dāng)側(cè)垂于驗(yàn)證機(jī)內(nèi) 原始憑證數(shù)據(jù)是否真實(shí)可靠，會(huì)計(jì)憑證數(shù)據(jù)庫(kù)的存取是否得當(dāng)，以及這些數(shù)據(jù)被不胡痕跡修改的風(fēng)險(xiǎn) 有多大等問(wèn)題。對(duì)丁進(jìn)入外部網(wǎng)的明細(xì)信息，必須通過(guò)對(duì)整個(gè)系統(tǒng)的網(wǎng)絡(luò)進(jìn)行安全控制以保證此信息 的安全性。在會(huì)計(jì)信息化條件下，必須對(duì)會(huì)計(jì)信息

6、進(jìn)行連續(xù)市計(jì)，這種市計(jì)不僅應(yīng)延伸到進(jìn)入企業(yè)內(nèi) 部網(wǎng)絡(luò)的明細(xì)信息，1處幾應(yīng)延伸到進(jìn)入外部網(wǎng)絡(luò)系統(tǒng)的詳細(xì)信息。3、計(jì)算機(jī)專家參與審計(jì)工作。在會(huì)計(jì)信息化環(huán)境下，審計(jì)工作所面臨的會(huì)計(jì)系統(tǒng)非常復(fù)雜，對(duì) 審計(jì)人員的信息技術(shù)掌握程度要求非常高，審計(jì)人員必須充分利用計(jì)算機(jī)專家的專業(yè)能力進(jìn)行審計(jì)工 作。需要計(jì)算機(jī)專家參與的工作是深層次的、與技術(shù)高度融合的審計(jì)工作，如數(shù)據(jù)庫(kù)的分析評(píng)價(jià)、網(wǎng) 絡(luò)系統(tǒng)的健全評(píng)價(jià)、實(shí)時(shí)監(jiān)控和市計(jì)軟件的開發(fā)、信息系統(tǒng)應(yīng)用軟件市計(jì)等。這些工作，單純依靠審 計(jì)人員是難以完成的。審計(jì)人員在開展實(shí)質(zhì)性工作前，應(yīng)與計(jì)算機(jī)專家交流并擬定專家工作的項(xiàng)冃和 收集、評(píng)價(jià)審計(jì)證據(jù)的索引，以便能充分利用計(jì)算機(jī)專

7、家的工作結(jié)果進(jìn)行審計(jì)判斷。4、審計(jì)的覆蓋血將擴(kuò)人。在會(huì)計(jì)信息化環(huán)境下，審計(jì)的對(duì)象是以計(jì)算機(jī)為手段的信息處理系統(tǒng), 這是信息系統(tǒng)審計(jì)區(qū)別于其他審計(jì)的標(biāo)志，同時(shí)這也表明不僅會(huì)計(jì)信息是審計(jì)的對(duì)象，其他計(jì)算機(jī)信 息處理系統(tǒng)如企業(yè)人力資源管理子系統(tǒng)等也是審計(jì)的對(duì)象。5、對(duì)審計(jì)人員的素質(zhì)要求提高。在會(huì)計(jì)信息化條件下，由于審計(jì)線索的變化、內(nèi)部控制的變化、 審計(jì)對(duì)象和內(nèi)容的擴(kuò)人及審計(jì)方法的變化，決定了對(duì)審計(jì)人員要求的提高。審計(jì)人員必須從傳統(tǒng)的審 計(jì)時(shí)空觀轉(zhuǎn)換為信息化條件下的電子時(shí)空觀，具體表現(xiàn)為審計(jì)人員進(jìn)行審計(jì)時(shí)不再局限于傳統(tǒng)紙張上 的書而數(shù)據(jù)，也不局限于會(huì)計(jì)系統(tǒng)，而是部分或全部依賴于電子數(shù)據(jù)。同吋，審計(jì)人員

8、除了掌握傳統(tǒng) 審計(jì)的基本知識(shí)外，還應(yīng)掌握計(jì)算機(jī)知識(shí)及其應(yīng)用技術(shù)，學(xué)握數(shù)據(jù)處理和管理技術(shù)，掌握現(xiàn)代信息技 術(shù)的應(yīng)用；不僅要會(huì)操作審計(jì)軟件，而r要能根據(jù)需要編寫出各種測(cè)試審查程序模塊。二、信息系統(tǒng)審計(jì)的工作流程信息系統(tǒng)審計(jì)過(guò)程與一般審計(jì)過(guò)程一樣，分為準(zhǔn)備階段、實(shí)就階段、報(bào)告階段以及后續(xù)審計(jì)階段。 其中，準(zhǔn)備階段和報(bào)告階段所涉及的技術(shù)方法與財(cái)務(wù)審計(jì)所運(yùn)用的技術(shù)方法區(qū)別不大，而實(shí)施階段所 涉及的技術(shù)方法則具有信息技術(shù)的特色。各階段的審計(jì)的內(nèi)容主要如下：（一）準(zhǔn)備階段準(zhǔn)備階段主要是初步調(diào)查被審計(jì)單位會(huì)計(jì)拮息系統(tǒng)的基木情況，并擬定合理的計(jì)劃。一般包括以 下主耍工作：1、調(diào)查了解被審計(jì)單位會(huì)計(jì)信息系統(tǒng)的基本

9、情況，如會(huì)計(jì)信息系統(tǒng)的硬件配置、系統(tǒng)軟件的選川、 應(yīng)用軟件的范用、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)的管理結(jié)構(gòu)和職能分工以及文檔資料等。2、與被審計(jì)單位明確會(huì)計(jì)責(zé)任和審計(jì)責(zé)任以及雙方的權(quán)利、義務(wù)和職責(zé)等。3、初步評(píng)價(jià)被市計(jì)單位的內(nèi)部控制制度，以便確定符合性測(cè)試的范圍和重點(diǎn)。4、確定審計(jì)重要性、確定審計(jì)范圍。5、分析審計(jì)風(fēng)險(xiǎn)。6、制定審計(jì)方案。在審計(jì)計(jì)劃階段，除了對(duì)時(shí)間、人員、工作步驟以及任務(wù)分配等方面做出安排以外，還要合理確 定符合性測(cè)試、實(shí)質(zhì)性測(cè)試的吋間和范圍，以及測(cè)試的市計(jì)方法和測(cè)試數(shù)據(jù)。（二）實(shí)施階段實(shí)施階段使審計(jì)工作的核心，也是會(huì)計(jì)信息系統(tǒng)審計(jì)的核心。主要t作是根據(jù)準(zhǔn)備階段確定的范 圍、要點(diǎn)、步驟、方法，

10、進(jìn)行取證、評(píng)價(jià)、綜合審計(jì)證據(jù)，形成審計(jì)結(jié)論，發(fā)表審計(jì)意見(jiàn)。實(shí)施階段主要工作應(yīng)包括以下兩個(gè)方而:1、符合性測(cè)試符合性測(cè)試是以系統(tǒng)的安全可靠性的檢查結(jié)果為前提。如果系統(tǒng)安全可靠性非常差，不能訃審計(jì) 人員侑賴，則應(yīng)當(dāng)根據(jù)實(shí)際情況決定是否取消內(nèi)部控制的符合性測(cè)試，而直接進(jìn)行實(shí)質(zhì)性測(cè)試并加大 實(shí)質(zhì)性測(cè)試的樣本量。在會(huì)計(jì)信息系統(tǒng)的符合性測(cè)試項(xiàng)冃中，主耍內(nèi)容應(yīng)該是確認(rèn)輸入資料是否正確 完整，計(jì)算機(jī)處理過(guò)程是否符合要求。如果系統(tǒng)安全町靠性比較高，則應(yīng)對(duì)該系統(tǒng)給與較高的信賴， 在實(shí)質(zhì)性測(cè)試時(shí)，就可以相應(yīng)的減少實(shí)質(zhì)性測(cè)試的樣本量。2、實(shí)質(zhì)性測(cè)試實(shí)質(zhì)性測(cè)試應(yīng)該是對(duì)被審計(jì)單位會(huì)計(jì)信息系統(tǒng)的程序、數(shù)據(jù)、文件進(jìn)行測(cè)試，并

11、根據(jù)測(cè)試結(jié)來(lái)進(jìn) 行評(píng)價(jià)和鑒定。進(jìn)行實(shí)質(zhì)性測(cè)試時(shí)需耍依賴符合性測(cè)試的結(jié)果。如果符合性測(cè)試結(jié)果得出的審計(jì)風(fēng)險(xiǎn) 偏高，而r被審計(jì)單位冇可能利用會(huì)計(jì)信息系統(tǒng)進(jìn)行舞弊的動(dòng)機(jī)與可能，h又不能提供完整的會(huì)計(jì)文 字資料，此時(shí)應(yīng)該發(fā)表保附意見(jiàn)或拒絕表達(dá)意見(jiàn)的審計(jì)報(bào)告。在實(shí)質(zhì)性測(cè)試時(shí)，可考慮采用通過(guò)計(jì)算 機(jī)進(jìn)行審計(jì)的方法，具體包括：（1）數(shù)據(jù)測(cè)試法，即將測(cè)試數(shù)據(jù)或模擬數(shù)據(jù)分別由審計(jì)人員經(jīng)手工 核算和被審計(jì)單位會(huì)計(jì)信息系統(tǒng)進(jìn)行處理比較處理結(jié)果，做出評(píng)價(jià)。（2）受控處理法即選擇被市計(jì) 單位一定時(shí)期的實(shí)際業(yè)務(wù)數(shù)據(jù)分別由審計(jì)人員和會(huì)計(jì)信息系統(tǒng)同時(shí)處理，比較結(jié)果，做出評(píng)價(jià)。3、利用輔助審計(jì)軟件直接在會(huì)計(jì)信息系統(tǒng)下進(jìn)行數(shù)據(jù)轉(zhuǎn)

12、換，數(shù)據(jù)查詢，抽樣審計(jì)，查賬，賬務(wù)分析 測(cè)試等，得出結(jié)論，做出評(píng)價(jià)。（三）市計(jì)結(jié)論和執(zhí)行階段審計(jì)人員對(duì)會(huì)計(jì)信息系統(tǒng)進(jìn)行符合性測(cè)試和實(shí)質(zhì)性測(cè)試后，整理審計(jì)工作底稿，編制審計(jì)報(bào)告時(shí), 除對(duì)被審計(jì)單位會(huì)計(jì)報(bào)表的合理性、公允性和一貫性發(fā)表審計(jì)意見(jiàn)，做出審計(jì)結(jié)論外，還要地被審計(jì) 單位的會(huì)計(jì)信息系統(tǒng)的處理功能和內(nèi)部控制進(jìn)行評(píng)價(jià)，并提出改進(jìn)意見(jiàn)。審計(jì)報(bào)告完成后，先要征求被審計(jì)單位的意見(jiàn)。審計(jì)報(bào)告一經(jīng)審定，所作的審計(jì)結(jié)論需通知并監(jiān)督被 審計(jì)單位執(zhí)行。（四）異議和復(fù)審階段被審計(jì)單位對(duì)審計(jì)結(jié)論如侑異議，可提出復(fù)審要求。審計(jì)部門可組織復(fù)審結(jié)論和決定。特別是被 審計(jì)單位會(huì)計(jì)信息系統(tǒng)有了新的改進(jìn)時(shí)，還需要組織后續(xù)審計(jì)。

13、三、信息系統(tǒng)審計(jì)的內(nèi)容和重點(diǎn)審計(jì)環(huán)節(jié)會(huì)計(jì)信息系統(tǒng)市計(jì)是由會(huì)計(jì)數(shù)據(jù)體系、計(jì)算機(jī)碩件和軟件以及系統(tǒng)工作和維護(hù)人員組成，所以會(huì) 計(jì)信息系統(tǒng)的審計(jì)內(nèi)容與傳統(tǒng)的手工會(huì)計(jì)系統(tǒng)也存在著較大的差別。會(huì)計(jì)倍息系統(tǒng)審計(jì)主要包括以下 內(nèi)容：1、對(duì)內(nèi)部控制進(jìn)行審計(jì)一方血是企業(yè)的內(nèi)部控制能在多大程度上確保會(huì)計(jì)信息系統(tǒng)中會(huì)計(jì)記錄的正確性和可靠性，如輸 入、輸出的授權(quán)控制，業(yè)務(wù)受理的審核等。另一方面是內(nèi)部控制的有效執(zhí)行能在多大程度上保護(hù)資產(chǎn) 的完整性。通過(guò)以上兩方而的評(píng)價(jià)，可以判斷企業(yè)內(nèi)部控制系統(tǒng)能在多大程度上防止或發(fā)現(xiàn)會(huì)計(jì)報(bào)表 中的錯(cuò)誤以及經(jīng)營(yíng)過(guò)程的舞弊。2、對(duì)會(huì)計(jì)信息系統(tǒng)程序的審計(jì)會(huì)計(jì)信息系統(tǒng)的核心就是會(huì)計(jì)軟件。會(huì)計(jì)軟

14、件程序質(zhì)最的高與低直接決定了會(huì)計(jì)信息系統(tǒng)整體水 平的高低。審計(jì)的主要內(nèi)容是審計(jì)會(huì)計(jì)軟件程序?qū)?shù)據(jù)進(jìn)行處理和控制的及時(shí)性、正確性和可靠性， 以及程序的糾錯(cuò)能力和容錯(cuò)能力。會(huì)計(jì)軟件程序的審計(jì)可通過(guò)計(jì)算機(jī)市計(jì)的方法以及利用計(jì)算機(jī)輔助 審計(jì)數(shù)據(jù)轉(zhuǎn)換的功能來(lái)完成。3、對(duì)會(huì)計(jì)數(shù)據(jù)的審計(jì)會(huì)計(jì)數(shù)據(jù)處理的真實(shí)性、正確性、可靠性肓接影響會(huì)計(jì)信息的真實(shí)性、正確性、可靠性，所以會(huì) 計(jì)數(shù)據(jù)的審計(jì)是至關(guān)重要的。審計(jì)人員町釆用抽查原始憑證機(jī)內(nèi)憑證相對(duì)比，抽查打卬日記賬與機(jī) 內(nèi)fi記賬相核對(duì)等方法，同吋也可采用利用計(jì)算機(jī)輔助市計(jì)軟件的功能來(lái)完成審計(jì)，從而降低市計(jì)風(fēng) 險(xiǎn)4、對(duì)會(huì)計(jì)信息系統(tǒng)開發(fā)質(zhì)量的審計(jì)會(huì)計(jì)信息系統(tǒng)是一項(xiàng)系統(tǒng)工程

15、，主要包括系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施以及系統(tǒng)維護(hù)等。會(huì)計(jì) 信息系統(tǒng)的紙來(lái)、運(yùn)行水平，一方而依賴于日常的管理和維護(hù)，另一方面也取決于會(huì)計(jì)信息系統(tǒng)開發(fā) 過(guò)程的質(zhì)量。對(duì)會(huì)計(jì)信息系統(tǒng)審計(jì)，應(yīng)關(guān)注三個(gè)重點(diǎn)環(huán)節(jié)：1. 數(shù)據(jù)環(huán)節(jié)在審計(jì)中，必須使用一種方法能夠向前、向后追蹤單個(gè)交易和資產(chǎn)記錄，以便使審計(jì)人員選擇- 些交易對(duì)其進(jìn)行詳細(xì)檢查，確認(rèn)交易記錄是否符合一般的審計(jì)目標(biāo)。如對(duì)會(huì)計(jì)事項(xiàng)信息的檢査，要檢 查它的完整性、時(shí)效性、合規(guī)性和信息披霧等方面，檢查內(nèi)容包括與本會(huì)計(jì)年度冇關(guān)的交易是否全部 記錄在冊(cè)；所冇記錄的交易是否都是合理發(fā)生的并與木會(huì)計(jì)年度有關(guān)；記錄的交易是否數(shù)據(jù)準(zhǔn)確，計(jì) 算無(wú)誤：記錄的交易是否符合基

16、本的和輔助的法律規(guī)定，符合特定權(quán)威機(jī)構(gòu)的要求；對(duì)記錄的交易是 否進(jìn)行正確的分類，并符合信息對(duì)外披露的要求等。對(duì)財(cái)務(wù)報(bào)表信息的檢查，要檢查完整性、存在性、 會(huì)計(jì)計(jì)量、所有權(quán)以及信息披露等方面，檢查內(nèi)容包括是否記錄了所有的資產(chǎn)和負(fù)債：所有記錄的資 產(chǎn)和負(fù)債是否都是存在的；對(duì)資產(chǎn)和負(fù)債的計(jì)量是否精確，計(jì)算方法是否符合按合理性、一致的標(biāo)準(zhǔn) 制定的會(huì)計(jì)政策的要求：確認(rèn)資產(chǎn)是被審主體所有的、負(fù)債是被審主體應(yīng)該承擔(dān)的，并且資產(chǎn)和負(fù)債 是否由合法的經(jīng)濟(jì)活動(dòng)產(chǎn)牛的；資產(chǎn)、負(fù)債、資本和存貨是否都得到正確的披露。同時(shí)對(duì)信息系統(tǒng)提 供的業(yè)務(wù)信息也要進(jìn)行分析，例如每月的工資總數(shù)、某階段的付款清單和訂貨信息等，要弄清基木

17、的 交易怙:況，并一直追蹤到信息源。對(duì)上述信息的分析對(duì)以采用計(jì)算機(jī)輔助審計(jì)技術(shù)，按照特定的標(biāo)準(zhǔn) 對(duì)數(shù)據(jù)進(jìn)行匯總、分類、排序、比較和選擇，并進(jìn)行各種運(yùn)算。2. 內(nèi)部控制環(huán)節(jié)內(nèi)部控制一般而言是指組織經(jīng)營(yíng)管理者為了維護(hù)財(cái)產(chǎn)物資的安全、完整，保證會(huì)計(jì)信息的真實(shí)、 可靠，保證經(jīng)營(yíng)管理活動(dòng)的經(jīng)濟(jì)性、效率性和效來(lái)性以及各項(xiàng)法律和規(guī)范的遵守，而對(duì)經(jīng)營(yíng)管理活動(dòng) 進(jìn)行調(diào)整、檢查和制約所形成的內(nèi)部管理機(jī)制，是組織為實(shí)現(xiàn)管理h標(biāo)而形成的口律系統(tǒng)。計(jì)算機(jī)系 統(tǒng)的內(nèi)部控制主要分為應(yīng)用控制、一般控制和管理控制等三個(gè)方面，在審計(jì)過(guò)程中要對(duì)被審計(jì)單位內(nèi) 控制度進(jìn)行評(píng)價(jià)，包括電算化系統(tǒng)的內(nèi)控制度。為了對(duì)系統(tǒng)的內(nèi)控制度進(jìn)行評(píng)價(jià)，審

18、計(jì)人員必須驗(yàn)證 內(nèi)部控制系統(tǒng)是否存在，并能提供令人滿意的證據(jù)，證明它正在有效地發(fā)揮作用。在計(jì)算機(jī)系統(tǒng)中， 應(yīng)檢查以下方而來(lái)證明內(nèi)控制度的有效性：（1）控制系統(tǒng)資源的存取。包括物理資源，例如終端、服 務(wù)器、連接盒、相關(guān)文檔等；述包括邏輯資源，如軟件、系統(tǒng)文件和表、數(shù)據(jù)等。（2）控制系統(tǒng)資源 的使用。用戶應(yīng)該只能對(duì)授權(quán)給他們的那些資源進(jìn)行操作。建立按川戶職能分配資源的制度。把 重要的任務(wù)功能按用戶或用戶組進(jìn)行分離，以減少無(wú)意的課操作、濫用系統(tǒng)資源和對(duì)數(shù)據(jù)的非授權(quán)修 改。（4）記錄系統(tǒng)的使用情況。按時(shí)間順序建立一個(gè)使用記錄，記錄內(nèi)容應(yīng)包括例外事例和與安全有 關(guān)的事件是山誰(shuí)觸發(fā)的，財(cái)務(wù)倍息的創(chuàng)建、修改

19、和刪除是山誰(shuí)完成的。（5）確認(rèn)處理過(guò)程的準(zhǔn)確性。 用產(chǎn)生財(cái)務(wù)控制信息，確認(rèn)處理過(guò)程的準(zhǔn)確完成。（6）管理人員對(duì)財(cái)務(wù)信息系統(tǒng)的修改。應(yīng)該保證財(cái) 務(wù)信息系統(tǒng)的所冇修改都是經(jīng)過(guò)授權(quán)、冇文檔記錄、經(jīng)過(guò)徹底（獨(dú)立地）測(cè)試的，確認(rèn)最后以一種冇控 制的方式投入使用。（7）保護(hù)財(cái)務(wù)信息系統(tǒng)免遭計(jì)算機(jī)病毒的襲擊。必須建立一套控制措施，檢測(cè)病 毒，防止病壽感染財(cái)務(wù)信息系統(tǒng)。3. 數(shù)據(jù)傳輸轉(zhuǎn)移環(huán)節(jié)在信息系統(tǒng)中，冇些數(shù)據(jù)需要在兩個(gè)財(cái)務(wù)信息系統(tǒng)或財(cái)務(wù)信息系統(tǒng)與業(yè)務(wù)信息系統(tǒng)z間相互轉(zhuǎn) 移，在此過(guò)程屮可能會(huì)出現(xiàn)一些問(wèn)題，尤其是在需要手工重新錄入時(shí)。因此在審計(jì)時(shí)要重點(diǎn)關(guān)注以下 方面：在轉(zhuǎn)移過(guò)程中數(shù)據(jù)可能會(huì)發(fā)牛變化；新的科目代

20、碼表與老的可能不一樣，需要在兩個(gè)財(cái)務(wù)信息 系統(tǒng)之間建立復(fù)朵的對(duì)應(yīng)關(guān)系：中心數(shù)據(jù)庫(kù)可能被一些地理上分散的服務(wù)器取代；當(dāng)麗財(cái)務(wù)信息系統(tǒng) 中的數(shù)據(jù)質(zhì)量不佳；當(dāng)用一個(gè)總的信息系統(tǒng)取代一個(gè)預(yù)定財(cái)務(wù)信息系統(tǒng)時(shí)，需要補(bǔ)充許多新的數(shù)據(jù)。 在檢查這一環(huán)節(jié)時(shí)，一定要保證輸出的消息是經(jīng)過(guò)批準(zhǔn)、完整和精確的，保證輸出的消息在約定時(shí)間 內(nèi)準(zhǔn)確地發(fā)送給指定的接收者，保證流人的消息是完整、準(zhǔn)確和真實(shí)可靠的。四、信息系統(tǒng)審計(jì)的風(fēng)險(xiǎn)以及策略在信息系統(tǒng)審計(jì)條件下，審計(jì)面臨著新的風(fēng)險(xiǎn)，主要冇以下幾個(gè)方面：篡改數(shù)據(jù)，不留審計(jì)線索。在網(wǎng)絡(luò)環(huán)境屮,數(shù)據(jù)的電子化并以磁介質(zhì)為主要存儲(chǔ)載體，這為舞弊 者對(duì)原始數(shù)據(jù)進(jìn)行非法修改和刪除，且不留篡改

21、痕跡成為可能，這將無(wú)法保證數(shù)據(jù)的完整性和真實(shí)性， 給市計(jì)監(jiān)督帶來(lái)了風(fēng)險(xiǎn)。信息丟失。主耍有三種原因:一是運(yùn)行間的斷電和死機(jī)等故障;二是計(jì)算機(jī)病毒破壞;三是人為 的毀損。(3) 黑客侵入和數(shù)據(jù)失竊。計(jì)算機(jī)黑客為了獲取重要的商業(yè)秘密、數(shù)據(jù)資源經(jīng)常用tp地址欺騙攻 擊網(wǎng)絡(luò)系統(tǒng)。黑客偽裝為源口內(nèi)部主機(jī)的一個(gè)外部站點(diǎn)，利用一定的技術(shù)進(jìn)入目標(biāo)系統(tǒng)竊取或破壞數(shù) 據(jù)。(4) 職責(zé)分離不恰當(dāng)引起內(nèi)控失靈。在網(wǎng)絡(luò)環(huán)境下如果對(duì)數(shù)據(jù)維護(hù)、系統(tǒng)管理和數(shù)據(jù)輸入、數(shù)據(jù) 核對(duì)確認(rèn)等崗位不作適當(dāng)?shù)姆蛛x,就會(huì)冇人利川網(wǎng)絡(luò)的弱點(diǎn)故意修改數(shù)據(jù)、舞弊或竊取秘密信息從中 撈取利益。市計(jì)風(fēng)險(xiǎn)的防范和控制為了有效地降低網(wǎng)絡(luò)市計(jì)風(fēng)險(xiǎn),就必須采取

22、相應(yīng)的防范和控制描施，具體 為：1、加強(qiáng)審計(jì)軟件的開發(fā)。對(duì)信息系統(tǒng)審計(jì)，如果仍然采用常規(guī)的手工系統(tǒng)的那一套審計(jì)技術(shù)與 方法，很難達(dá)到審計(jì)的fi的。由于審計(jì)的范圍己經(jīng)擴(kuò)大到會(huì)計(jì)信息系統(tǒng)及其它計(jì)算機(jī)信息處理系統(tǒng)， 迫使審計(jì)人員在采用傳統(tǒng)的各種審計(jì)技術(shù)的同時(shí)，采用計(jì)算機(jī)輔助審計(jì)技術(shù)，用口益先進(jìn)的計(jì)算機(jī)審 計(jì)軟件去對(duì)付單機(jī)、網(wǎng)絡(luò)、多用戶等各種工作平臺(tái)下的會(huì)計(jì)軟件。審計(jì)軟件是大量審計(jì)方法的技術(shù)的集成，一般包括內(nèi)部控制評(píng)價(jià)、審計(jì)計(jì)劃管理、數(shù)據(jù)轉(zhuǎn)換、抽樣市計(jì)、實(shí)質(zhì)性測(cè)試、會(huì)計(jì)報(bào)表牛成、 審計(jì)底稿打印和管理，審計(jì)證據(jù)歸集和評(píng)價(jià)，審計(jì)報(bào)告生成等功能。為適應(yīng)會(huì)計(jì)信息化環(huán)境下的各種 財(cái)務(wù)軟件的發(fā)展，我們必須要提高開

23、發(fā)審計(jì)軟件的速度，加快審計(jì)軟件更新?lián)Q代的步伐，開發(fā)通用審 計(jì)軟件和專用審計(jì)軟件，還可以引進(jìn)計(jì)算機(jī)審計(jì)軟件的技術(shù)，組織對(duì)有推廣價(jià)值的審計(jì)軟件進(jìn)行評(píng)審, 促進(jìn)審計(jì)軟件的商站化。同時(shí)，要強(qiáng)化市計(jì)人員對(duì)數(shù)據(jù)庫(kù)程序的學(xué)習(xí)，總接對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行采 集和轉(zhuǎn)換，利用查詢語(yǔ)句對(duì)財(cái)務(wù)數(shù)據(jù)進(jìn)行分析和整理，完成審計(jì)任務(wù)，這樣就能從根本上上擺脫財(cái)務(wù) 軟件升級(jí)或有意識(shí)改動(dòng)帶來(lái)的束縛，克服審計(jì)工作中存在的各種技術(shù)。2、提高審計(jì)風(fēng)險(xiǎn)的防范能力。隨著網(wǎng)絡(luò)系統(tǒng)地運(yùn)用，信息的載體已經(jīng)由紙介質(zhì)過(guò)撥到磁性介質(zhì)。 磁性介質(zhì)的保存有較高的要求，易受到高溫、磁性物質(zhì)、劇烈震動(dòng)的影響。因此，檔案保存的風(fēng)險(xiǎn)還 很大，而且這種存儲(chǔ)媒體是易變的

24、，通過(guò)信息技術(shù)容易被訪問(wèn)和濫用，犯罪人員可以通過(guò)獲取口令或 非法訪問(wèn)數(shù)據(jù)庫(kù)中的所有數(shù)據(jù)，是存儲(chǔ)的信息數(shù)據(jù)易受舞弊犯罪人員（黑客）的攻擊。這些都增加了 審計(jì)風(fēng)險(xiǎn)。因此必須采取積極措施進(jìn)行分險(xiǎn)防范，如建立一個(gè)在監(jiān)管部門嚴(yán)格監(jiān)控下的網(wǎng)絡(luò)財(cái)務(wù)信息 強(qiáng)制存檔制度，可以牽制網(wǎng)上財(cái)務(wù)信息的披露，這樣既可以提高工作效率，又可以降低審計(jì)風(fēng)險(xiǎn)，制 定各種嚴(yán)格的風(fēng)險(xiǎn)防范規(guī)章制度進(jìn)行規(guī)范，包括網(wǎng)絡(luò)管理規(guī)定、系統(tǒng)運(yùn)行屮的安全保密規(guī)定、會(huì)計(jì)核 算軟件運(yùn)行管理規(guī)定、計(jì)算機(jī)軟件開發(fā)的規(guī)定等。此外還可以通過(guò)加強(qiáng)企業(yè)的內(nèi)部控制保護(hù)企業(yè)的安 全，保證會(huì)計(jì)信息的準(zhǔn)確性和對(duì)維護(hù)性。完善的內(nèi)部控制可有效的降低審計(jì)風(fēng)險(xiǎn)。通過(guò)充分利用防火 墻和加密技術(shù)，制定具體的防病毒制度并定期組織全系統(tǒng)的防毒檢查，町防范病毒和“黑客”入侵， 從而降低審計(jì)的風(fēng)險(xiǎn)。3、加強(qiáng)審計(jì)專業(yè)人員的培養(yǎng)。會(huì)計(jì)信息化便審計(jì)的范圍不斷擴(kuò)大，給審計(jì)人員帶來(lái)了巨大的壓 力。國(guó)際市計(jì)準(zhǔn)則15號(hào)規(guī)定，在電子數(shù)據(jù)處理環(huán)境下進(jìn)行市計(jì)時(shí)，審計(jì)人員應(yīng)對(duì)市計(jì)系統(tǒng)的計(jì) 算機(jī)碩件、軟件和處理系統(tǒng)有充分了解，以進(jìn)一步對(duì)委托審計(jì)的條件做出計(jì)劃并了解電子數(shù)據(jù)處理對(duì) 內(nèi)部控制的研究與評(píng)估的影響和需采用的審計(jì)程序，包括計(jì)算機(jī)輔助審計(jì)軟件的應(yīng)用。這對(duì)我國(guó)當(dāng)前 審計(jì)人員知識(shí)結(jié)構(gòu)不完整的現(xiàn)狀是一個(gè)巨人的挑戰(zhàn)。因此，審計(jì)機(jī)構(gòu)從現(xiàn)在開始就應(yīng)注重多渠道對(duì)現(xiàn)