一、開展信息系統審計應把握的重點

　　1、信息系統審計的目標和內容

　　信息系統審計目標：信息系統審計不僅要對系統信息的合法性、公允性進行審計，還要對信息系統的硬件和軟件，以及整個信息系統的安全性、穩定性、內部控制的健全性與有效性等方面進行審計，指出被審計單位信息系統內部管理和控制上的薄弱環節，提高其信息系統的可靠性和真實性，有效地防止利用信息技術隨意篡改系統信息或破壞磁介質上的數據等舞弊行為的發生。因此，信息系統審計目標不僅僅在于應用計算機進行審計（即傳統EDI審計或計算機輔助審計），更重要的是要對信息系統本身的安全性、穩定性及其實現組織目標的有效性進行實時的檢查、評價和改造。

　　信息系統審計內容：主要包括信息系統開發過程審計、一般控制審計和應用控制審計三個方面。

　　2、信息系統審計的職能和方式

　　為了實現審計目標，保證和咨詢應成為對信息系統進行審計的兩大基本職能。“保證”即“系統可靠性保證”，就是通過對信息系統運行過程、商業連續性能力、維護狀況進行評價，合理保證信息系統安全、穩定、有效，它是信息系統審計最基本的職能。“咨詢”是指審計人員能夠向信息系統的高層管理者以及使用者提供解決問題的方案，以達到改善經營和為組織增加價值的目的。

　　信息系統審計組織方式：一種是將信息系統審計作為常規項目審計的一部分，是為整個審計項目的總體目標服務的。檢查信息系統本身及其內部控制的可靠性和有效性，為數據審計服務，最終通過審計數據得出審計結論，即數據審計、信息系統審計和系統內控審計“三位一體”的結合方式。另一種是獨立立項的信息系統審計，直接針對信息系統進行審計，將信息系統本身的安全性、可靠性和有效性作為審計目標。 現階段開展的信息系統審計以第一種方式為主。

　　3、信息系統審計的依據和原則

　　審計人員執行信息系統審計時，主要以信息系統的管理制度、條例和法規、ISO9000、信息系統的實際運行情況等為主要依據。目前信息系統審計工作還處于探索階段，沒有一套成形的專業規范，信息系統審計人員可遵照ISACA（國際信息系統審計與控制協會）發布的《信息系統審計準則》執行信息系統審計業務。

　　審計信息系統審計原則：一是應堅持“先易后難、逐步推開”的原則，在條件具備的情況下選擇合適的審計項目進行試點和探索。二是應堅持“先上而下，上下結合”的原則，因為越往上，人才技術具備，且信息系統往往是自上而是下部署運用的，通過上級審計，就可以減少重復審計，降低審計成本，使審計成果利用最大化；三是應堅持財務與信息系統結合型審計和信息系統獨立型審計相結合的原則。在年度審計計劃確立上，要逐步安排結合型或者獨立型的項目；在審計的組織方式上，要使傳統的審計項目與信息系統審計的內容結合起來，保證信息系統審計的結果能夠應用于整個審計工作中，做好信息系統審計與整個審計工作的銜接。

　　4、信息系統審計的技術和方法

　　對信息系統審計的方法既包括一般方法即手工方法，也包括應用計算機審計的方法。信息系統審計的一般方法主要用于對信息系統的了解和描述，包括：面談法、系統文檔審閱法、觀察法、計算機系統文字描述法、表格描述法、圖形描述法等。應用計算機的方法一般用于對信息系統的控制測試，包括：測試數據法、平行模擬法、在線連續審計技術(通過嵌入審計模塊實現)、綜合測試法、受控處理法和受控再處理法等。

　　5、信息系統審計的流程和步驟

　　信息系統審計是一個獲取并評價證據，以研判信息系統是否能夠保證資產的安全、有效以及提供真實、完整的系統信息的動態循環流程。在審計的計劃階段，要對被審單位的計算機系統進行了解，初步確定在后續的審計步驟中是否打算領帶被審單位的計算機系統，并針對了解的內容制定實施階段的審計步驟中是否打算領帶被審單位的計算機系統，并針對了解的內容制定實施階段的審計計劃；在實施階段，按照制定的測試計劃，對計算機系統的控制進行測試。

　　信息系統審計的步驟：（1）審計準備階段。準備階段主要是初步調查被審計單位會計信息化的基本狀況，擬定科學合理的審計計劃；與被審計單位簽訂審計業務約定書，明確彼此的責任、權利和義務；確定審計范圍、確立審計重點、分析審計風險、制定審計計劃，審計人員必須提前進入被審單位，了解被審計單位基本情況，與單位的有關人員面談，查閱其會計信息系統的基本資料。了解被審單位信息系統開發和使用情況、計算機設備軟硬件情況、業務量大小以及數據完整程度，判斷在被審單位開展計算機審計是否符合成本效益原則、風險有多大。在對被審計單位的內部控制作出初步及深入審查之后，審計人員應獲取被審單位有關會計數據。詳細調查計算機環境下的計算機信息系統結構、業務處理流程、所采用的數據庫類型及數據結構。確定數據采集、轉換、定義以及分析中所需的計算機軟件及硬件設備，合理配置審計資源，編制審計計劃。

　　（2）審計實施階段。實施階段的工作是根據準備階段確定的范圍、重點、步驟、方法，進行取證、評價，綜合審計證據，借以形成審計結論，發表審計意見。實施階段是計算機審計工作的主要階段，在這個階段中首先要對被審單位的內部控制進行評價，并執行符合性測試。然后，根據符合性測試的結果，確定實質性測試的計劃水平，對被審單位業務數據的實質性進行審查。

　　（3）審計報告階段。審計報告階段是對會計信息系統進行測試后，整理審計工作底稿，編制審計報告，對被審計單位會計報表的合理性、公允性、一致性發表意見，做出審計結論；并對被審計單位的會計信息化系統的處理功能、內部控制進行評價，并提出改進意見。主要工作包括：整理審計工作底稿、分類歸納核實材料、編寫審計報告、作出審計結論和決定等。這一步驟借助于審計軟件的幫助，可以高效、準確地完成。

　　（4）異議和復審階段。被審計單位對審計結論和決定若有異議，可提出復審要求，審計部門可組織復審并做出復審結論和決定。特別是被審計單位會計信息化系統有了新的改進時，還需組織后續審計。對計算機內部數據處理的詳細過程直接進行審查。

　　6、信息系統審計的重點環節和內容

　　（1）內部控制環節。在計算機系統中，應檢查以下方面來證明內控制度的有效性：一是控制系統資源的存取。二是控制系統資源的使用。三是建立按用戶職能分配資源的制度。四是記錄系統的使用情況。五是確認處理過程的準確性。六是管理人員對財務信息系統的修改。七是保護財務信息系統免遭計算機病毒的襲擊。

　　（2）數據環節。在審計中，審計人員選擇一些交易對其進行詳細檢查，確認交易記錄是否符合一般的審計目標。一是檢查會計事項信息，要檢查它的完整性、時效性、合規性和信息披露等方面，檢查內容包括與本會計年度有關的交易是否全部記錄在冊；所有記錄的交易是否都是合理發生的并與本會計年度有關；記錄的交易是否數據準確，計算無誤；記錄的交易是否符合基本的和輔助的法律規定，符合特定權威機構的要求；對記錄的交易是否進行正確的分類，并符合信息對外披露的要求等。二是檢查財務報表信息，要檢查完整性、存在性、會計計量、所有權以及信息披露等方面，檢查內容包括是否記錄了所有的資產和負債，所有記錄的資產和負債是否都是存在的；對資產和負債的計量是否精確，計算方法是否符合按合理性、一致的標準制定的會計政策的要求；確認資產是被審主體所有的、負債是被審主體應該承擔的，并且資產和負債是否由合法的經濟活動產生的；資產、負債、資本和存貨是否都得到正確的披露。同時對信息系統提供的業務信息也要進行分析，并一直追蹤到信息源。對上述信息的分析可以采用計算機輔助審計技術，按照特定的標準對數據進行匯總、分類、排序、比較和選擇，并進行各種運算。

　　(3)數據傳輸轉移環節。在信息系統中，有些數據需要在兩個財務信息系統或財務信息系統與業務信息系統之間相互轉移，在此過程中可能會出現一些問題，尤其是在需要手工重新錄入時。因此在審計時要重點關注以下方面：在轉移過程中數據可能會發生變化；新的科目代碼表與老的可能不一樣，需要在兩個財務信息系統之間建立復雜的對應關系；中心數據庫可能被一些地理上分散的服務器取代；當前財務信息系統中的數據質量不佳；當用一個總的信息系統取代一個預定財務信息系統時，需要補充許多新的數據。在檢查這一環節時，一定要保證輸出的消息是經過批準、完整和精確的，保證輸出的消息在約定時間內準確地發送給指定的接收者，保證流入的消息是完整、準確和真實可靠的。

　　二、開展信息系統審計的對策措施

　　1、要大力增強全體審計人員信息系統審計的意識。“審計人員不掌握計算機技術，將失去審計資格”這一觀點基本得到了全體審計人員的認同。因此，為保證信息系統產生的數據真實完整，信息系統的安全、可靠和有效，重大的審計項目，只要被審計單位應用的是信息系統，我們就必須審計信息系統，檢查系統內部控制，只有這樣才能防止假賬真審。

　　2、要加快計算機信息系統審計人才的培養。計算機信息系統審計對審計人員的專業技能要求較高，除了需要審計人員具備相應的審計技能外，還要具備較高的計算機水平。對此，一是審計機關在配備人員時就要將計算機技能作為一個必要條件，在實際工作中不斷培養其審計技能；二是對現有審計人員進行計算機知識的培訓，并要對其進行持續不斷的后續教育，以增強其信息技術審計能力。三是要開展信息系統審計實務和理論研究，大力推進審計人員在信息系統審計實踐中不斷提煉總結，加強信息系統審計方法體系研究。

　　3、要加快制訂信息系統審計準則，保障信息系統審計快速健康發展。審計準則是規范化的管理框架，有助于提高審計質量和效率，降低審計風險。審計署應盡早出臺適合我國國家審計的信息系統審計準則，以解決當前信息系統審計目標不明，內容不清的現狀，以便于審計人員統一規范操作。

　　4、要上下聯動重點攻關搞好實踐。在當前基層審計機關難以全面推進信息系統審計的情況下，一方面，可以采取省市縣三級或者市縣二級聯手，選擇重點領域、重點項目進行聯合審計，這樣既可以讓基層審計人員在實踐中增長信息系統審計技能；又可以有步驟、有重點地對被審計單位信息系統進行全面審計，擴大審計成果，節約審計成本，減少重復勞動。另一方面，各級基層審計機關要堅持獨立自主的開展信息系統審計工作，不等不靠，抽調計算機專業人員和通過計算機中級考試的業務骨干組成的課題組，選擇重點項目，進行集中攻關，堅持邊學習邊實踐邊總結的工作方法，不斷提高實戰能力。