信息系统审计若干问题的探讨.pdfVIP

图1信息系统审计业务内容关联图 二、信息系统审计与传统审计的关系 在辨析信息系统审计与传统审计的关系之前，首先应当追溯一下信息系统审计的诞生背景。 随着现代社会信息化程度日益加深，信息系统广泛地渗透到政治、经济、军事、科学、文化等各 个领域，成为了现代生活的基石，也导致了整个社会对信息系统的极大依赖性。一旦信息系统出 现故障或漏洞，其所在领域的各种活动就失去了支撑与保障，进而对社会生活的其他方面产生影 响，对生命和财产都会造成损失。像因为系统设计失误引起的交通阻塞和供电中断，以及因为黑 客入侵导致客户资料泄露等事件早已有了先例。因此，如何确保信息系统的可靠、安全和有效， 成为信息化过程中必须解决的一个问题。 事实上，当我们回顾现代会计的发展历程时，就会发现会计行业也陷入过类似的困境：作为 整个社会经济生活基础的会计信息质量得不到保证，信息披露不完全，弄虚作假严重，导致投资 者损失惨重。最终，会计师们通过建立起一整套审计理论、方法和程序，有效地提高了会计信息 的质量，重新获得了社会的信任，成功地化解了危机。因此，当嗅觉敏锐的美国注册会计师们察 觉到信息系统建设中存在的问题时，轻车熟路地拿起了他们最拿手的审计工具，迅速地建立起第 一套专门针对计算机数据处理的审计标准和审计方法。 应当指出的是，‘这一事件的发生并不是偶然的。事实上，随着审计的对象从会计领域向整个 管理领域的延伸，内部控制制度已经成为了审计的重要内容。美国审计总署也将“审计”一词的 含义从“审查会计记录、财务事项和财务报表”扩展为：“(1)查核各项工作是否遵守有关的法 律和规章制度； (2)查核各项工作是否经济和有效率：(3)查核各项工作的结果，以便评价其 是否已有效地达到了预期的结果(包括立法机构规定的目标)。”因此，作为管理工具和内控手 段中的重要组成部分，信息系统被纳入审计范畴也就水到渠成了。 根据以上分析可以看出，信息系统审计是审计从传统的会计领域向整个管理领域迈进过程中 的一项重要拓展。信息系统审计继承了传统审计的基本理论与方法，它要求审计人员站在独立的 第三方立场上，以批判的眼光去审视、评价被审计的信息系统，判断其与既定标准的符合程度， 采用询问、检查、绘制内部控制流程图、分析性复核等方法获得审计证据，经过审计计划阶段、 符合性测试与实质性测试阶段、审计报告阶段完成审计工作，实现审计目标。与此同时，由于信 息系统本身的特殊性，信息系统审计在传统审计技术基础上，结合自身审计对象的特点，发展出 更多的审计方法与审计程序。 三、信息系统审计的发展及其对会计信息系统的影响 252 会计信息系统作为企业信息系统的重要组成部分，同时也是信息系统审计的重点之一．目前， 对会计信息系统的审计较多地集中在合规性审计上。比如， 《会计核算软件数据接口国家标准》 (GB／T 软件的合规性检测。这一标准的实旄在事实上对会计信息系统软件的开发产生了深远的影晌。 随着现代审计理论从制度基础审计向风险导向审计的迁移，信息系统审计也将随之不断的发 展变化，在信息系统审计中引入风险评估的方法，根据系统风险评估结果，确定审计计划，根据 对固有风险和控制风险的测算，确定审计重点，制定审计方案。而信息系统审计的目标也从系统 运行合规性审计逐步转变为对信息系统的规划、开发、实施、运行和维护等各个环节进行风险评 估，确保与信息系统相关的风险控制在可接受的水平上。另外，根据信息系统的特点，在信息系 统审计中将更为强调事前性，目的在于发现潜在的风险和可能发生的损失。 据此，会计信息系统审计的目标主要可以归纳为以下三个方面： (1)确保会计信息系统项 目管理风险控制在合理水平：(2)确保会计业务流程再造中与信息系统相关的风险控制在可接受 水平： (3)确保会计信息和会计信息系统的安全。 会计信息系统审计的第一个目标，就是通过评价项目管理过程中内部控制的适当性，确保风 险控制在合理水平。与会计信息系统项目相关的风险包括：项目目标与企业目标不一致、项目部 分或全部失败、开发商倒闭、与开发商的合同存在的风险、项目外包风险和财务风险等。以项目 目标与企业目标不一致为例，实际上涉及到会计信息系统的战略问题，需要解决两个动态过程的 匹配问题：一个是变化很快的企业环境，另一个是更新很快的信息技术。 会计信息系统审计的第二个目标，就是控制会计业务流程再造中的相关风险。信息系统与业 务流程再造是密不可分的，业务流程再