信息系统控制测试及实质性测试审计方法探析.doc

信息系统控制测试及实质性测试审计方法探析【摘要】随着信息技术的高速发展和企业信息化进程，信息系统成为各企业的重要资源。企业对信息系统的依赖程度日益增强，信息系统的安全性、可靠性、有效性直接影响到企业的运转以及企业财务报表的合法性和公允性。因此，审计中对信息系统的审计要求也日益增强。本文旨在探讨在信息系统审计中的审计方法。 【关键词】信息系统审计；审计方法；控制测试；实质性测试 “未来审计行业和审计技术的发展空间将主要来自于信息系统审计的发展”，信息系统审计已成为国内外会计、审计界的关注重点。其原因在于企业信息化程度的提高，企业的流程越来越多地由手工转向系统，信息也越来越多的以电子形式存在于系统之中。因此，针对系统及其数据的审计与传统的审计相比，在方法上必定有所不同。基于风险导向审计的模型为：审计风险=重大错报风险×检查风险。作为整个财务审计的一部分，我们对信息系统的审计在实施阶段也可以分为控制测试和实质性测试两部分，而在不同的测试阶段，我们应根据信息系统的特征和测试的需要选取不同的测试方法。 一、信息系统审计在控制测试阶段的审计方法 （1）观察。通过亲身到信息系统部门以及财务部门，实地观察人员的工作情况。（2）询问。第一，调查问卷。合理编制信息系统审计调查表，在现场审计前提交给被审计单位，获取信息系统的基本信息，如主要信息系统的软硬件环境、公司的网络架构、信息系统部门的岗位设置、主要系统中的权限设置等。第二，直接询问。在现场审计阶段，信息系统审计人员通过与被审计单位人员沟通。（3）检查。第一，检查记录和文件。获取并检查被审计单位信息系统相关的制度文件。信息系统人员首先根据这些文件评价流程中控制设计的合理性，再针对设计合理的控制获取相关的执行记录文档，如系统开发申审批报表、系统测试记录、系统上线审批表、运行维护记录、系统权限审批表等，测试控制执行的有效性。第二。直接上机查看信息系统的运行和功能。通过检查了解系统的运行情况，并对系统中内嵌的内部控制进行测试。结合控制流程图、系统流程图、文档流程图等分析各控制点是否在信息系统中得到了有效的实施。（4）穿行测试。穿行测试源于系统调试，是指审计人员跟踪执行一次完整业务的过程，追踪交易在信息系统中的处理过程。 二、信息系统审计在实质性测试阶段的审计方法 （1）数据结构检查法。通过数据字典，检查数据之间的逻辑关系，检查输入数据的正确性、保存数据的完整性、业务数据与财务数据的勾稽关系等确认系统输出数据的有效性。（2）程序流程图及程序清单检查法。信息系统审计人员获取关键信息系统的设计方案、流程图及程序清单进行手工审核或桌面校验，通过信息系统的程序流程图及程序清单来检查程序的控制功能是否可靠，业务处理逻辑是否正确。（3）程序编码检查法。信息系统审计人员直接获取系统的程序编码，或直接进入系统后台对编码进行检查，通过对程序编码进行检查，审计人员可以更为直接地对系统逻辑进行判断，同时识别出程序中的错误代码或非法代码。（4）测试数据法。信息系统审计人员通过设计有效数据或无效数据作为测试案例，来测试程序运算的准确性。在系统运行后，将程序运行的结果与期望结果相比较，以确定系统对数据的处理是否正确。（5）并行模拟法。并行模拟法是指获取真实的数据，再将真实数据放入信息系统审计人员依据程序逻辑而独立编写的程序中进行处理，然后比较系统结果与自行编写系统的输出结果。（6）程序监控嵌入审计模块技术。在被审计单位的应用系统中安装或安置一个审计模块，通过此附加的模块检查系统中的记录，并对识别出的非标准事项或处理进行筛选和输出，审计人员再对获取识别出的事项进行进一步的审查。 总之，虽然审计项目仍然是风险导向的审计，虽然在审计实施过程中仍然需要控制测试和实质性测试，但随着信息技术的发展，信息系统审计的审计手段已远远不限于传统的审计手段，我们也有理由相信，未来的信息系统审计也将进一步向更加智能化的方向发展。 参 考 文 献 [1]刘蓉．对计算机审计应用的辨证思考[J]．会计之友．2010：1（中）：60～62 [2]苏晨等．对信息系统审计业务的探讨[J]．中国注册会计师．2011（9）：105～107 [3]吕新民，柳巧玲．ERP环境下的审计问题探讨[J]．中国注册会计师．2011（10）：121～124 [4]胡亚敏．基于信息系统环境的审计方法研究[J]．财会通讯．2011（9）：132～133 [5]谢永春．浅谈会计信息系统审计技术[J]．中国对外贸易．2011（12）：100 1