信息系统审计研究论文

【摘要】在计算机信息系统环境下，由于各种不确定因素的影响，使审计质量受到影响，要想提高审计质量必须对计算机内部数据处理的详细过程直接进行审查，并加快发展信息系统审计来完善审计工作。

众所周知，审计质量是评价审计工作水平高低的标准，是会计师事务所的生命。审计质量的高低直接影响审计目标的实现，对社会经济的发展与稳定产生着直接或间接的影响。由于早期计算机应用比较简单，计算机审计业务主要关注被审计单位电子数据的取得、分析、计算等数据处理业务，还称不上信息系统审计；随着信息时代的到来，网络的普及及计算机信息系统的建立为信息系统审计带来了前所未有的机遇和挑战。

一、计算机信息系统环境下对审计质量的影响

（一）审计线索的减少

审计线索，亦称“审计轨迹”，在计算机信息系统环境下，会计核算主要由计算机完成，计算机只记录最后处理结果，忽略中间处理过程，数据形成依据的记录减少。储存于磁性介质上的会计数据具有存取方便、修改与删除不留痕迹的特点，这又给审计的追踪带来重重困难。因此，计算机信息系统环境下审计线索的减少和追踪困难的增加，必定给审计质量带来重大影响。

（二）审计对象的限制

审计对象是审计监督、检查和评价的客体，具体体现为被审计单位的各项经济活动及其反映的资料。在计算机信息系统环境下，注册会计师进行审计的依据是计算机的输出信息，审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息，其他敏感性信息则极有可能被人为掩藏。这样，注册会计师处于被动地位，难以获取充足的审计证据支持其审计结论，审计质量显然要受到影响。

（三）审计内容的扩展

手工系统中，审计内容就是有关财务会计的信息，而计算机环境下的审计内容还包括会计电算化系统的开发与设计、会计软件的程序以及数据库管理系统。此外，注册会计师还应该确定系统的开发与设计方法是否合理，是否严格按照分析、设计，测试、运行、维护的步骤进行，分析是否全面、设计是否恰当、测试是否充分，会计软件执行程序是否与实际操作中的业务流程一致，数据库管理系统是否有效，会计软件是否能够予以信赖，并以会计软件处理输出的结果作为审计对象。

（四）审计方法的落后

目前，被审计单位的财务工作多采用计算机进行数据处理，会计电算化软件功能日臻完善，但是审计软件的发展远远没有跟上会计软件发展的步伐，同时大部分注册会计师对计算机信息系统还不太熟悉，绝大多数审计业务仍停留在绕过计算机进行审计的阶段。但是这种方法的运用以系统必须留有足够的、肉眼可以识别的审计线索为条件，如前文所述，审计线索缺乏是计算机环境的一个特点，因此，绕过计算机审计的方法难以保证计算机环境下的审计质量。

（五）注册会计师计算机知识的缺乏

在计算机环境下，从审计计划的制定到审计程序的确定，从审计技术的选择到审计方法的采用，都必须由注册会计师操作和指挥。这要求注册会计师不仅要有丰富的会计、财务、审计知识和技能，熟悉财经法律以及其他的审计依据，而且还应当掌握计算机知识及应用技术，掌握数据处理和管理技术；不仅要懂得审计软件的操作方法，而且还应当根据审计过程中所出现的种种问题，即时编写出各种测试、审计程序模块。

二、计算机信息系统环境下提高审计质量的对策

为了提高在计算机信息系统环境下的审计质量，在财务审计中，变绕过计算机审计为穿过计算机审计，对计算机内部数据处理的详细过程直接进行审查。内容包括以下几个方面。

（一）积极开展计算机信息系统的事前审计

通过事前审计监督，对计算机信息系统建立的内部控制的严密完善性、系统的合规合法性以及系统的可审性等进行评价，保证计算机信息系统运行以后数据处理结果的真实性和正确性，防止和减少计算机信息系统信息失真风险的发生。

（二）定期对被审系统的内部控制制度进行审计

对计算机信息系统的内部控制进行审查和评价是提高计算机信息系统环境下审计质量的有效措施之一。通过对被审计系统内部控制制度的健全性调查和实际执行情况的符合性测试，找出控制的弱点，提出强化内部控制措施，督促被审计单位完善内部控制系统。（三）重视计算机信息系统的事后审计

通过事后审计，对计算机信息系统的电子账以及打印输出资料的真实性、合法性进行评价，防止和揭露计算机信息失真的风险。

通过以上分析，在计算机信息系统环境下审计的业务范围已经扩展到了符合性测试领域。为财务报表审计提供服务只是信息系统审计业务内容很小的一部分，与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务在不断涌现。

三、加快发展信息系统审计

信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中，传统审计服务的收入比例在迅速下降，风险控制服务和管理咨询服务收入的比重大大提高，而这些收入中增长的部分往往又和IT环境审计和信息系统安全审计服务有关。所以，应该从三个方面发展信息系统审计工作。

（一）内部控制环节的变化，使许多传统的控制手段已经失去意义，评价和改进内部控制必须以信息系统的运转为基础

计算机信息系统下的内部控制虽然与手工会计系统的目标是一致的，但是与手工会计系统相比，由于计算机有自动处理的功能，内部处理的不可控制性要求采用更为严格的方法。所以在控制方式、内容、手段等方面均不同于手工会计系统的内部控制。

1．职权制审查：即从组织机构角度审查信息系统中各种人员的职责与权利、联系与牵制。

2．人员素质审查：即是否有以提高人员素质为目的的控制措施。

3．硬件及环境审查：即对存档的系统设计文本中有关硬件的资料审查。

4．运行审查：即对计算机在输入、处理、输出过程中的运行情况审查。

5．修改方式及保密措施审查：审查操作修改程序是否只有一个入口，即凭证输入口；发现错误是否采用重新输入凭证的方式加以修改；是否修改后有修改痕迹；各主要功能模块是否设置操作口令，程序是否建立保密制度。

（二）控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点

由于企业经营越来越依赖于信息系统，除了传统意义上的经营风险、控制风险和财务风险之外，企业信息系统安全性导致的信息风险也日益增长。非授权用户常常利用信息系统本身存在的脆弱性对系统进行非法访问，这种非法访问使系统中储存信息的完整性受到威胁，使信息被修改或破坏而不能继续使用，更为严重的是系统中有价值的信息被非法篡改、伪造、窃取或删改而不留任何痕迹。此外，计算机还容易受各种自然灾害和各种误操作的破坏。必须认识到信息系统的这种脆弱性，采取有效措施来保证信息系统的安全。

减少被审计单位的信息风险、提高信息系统的安全性，其中最重要的手段是系统开发审计。在信息系统开发过程中控制信息系统中的不安全因素，使信息系统减少有意的或无意的差错。目前，我国大多数企业正处于信息系统的应用及逐步完善阶段，系统开发审计应该是我国信息系统审计师的主要业务范围。

随着经济的不断发展，企业的经营规模正在不断扩大，使得企业的经营管理日益复杂，企业对内部和外部的信息交流需求也日益提高，传统的信息交流模式已不能满足其需要。Internet/Intranet已经逐渐成为企业成功不可缺少的工具。Intranet网的应用在给企业注入了新的活力的同时，也给传统的审计工作提出了很严峻的挑战。加快发展信息系统审计是我们完善审计工作的重要内容之一。