浅议IT审计

一、IT审计概述

IT审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。

IT审计过程与一般审计过程一样，分为准备阶段、实施阶段和报告阶段。其中，准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大，而实施阶段所涉及的技术方法则具有信息技术的特色。在实施阶段，针对被审计的信息系统，审计人员所开展的工作可以分为三个层次，即了解、描述和测试。

计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比，相应增加了计算机技术的内容。对IT审计的方法既包括一般方法即手工方法，也包括应用计算机审计的方法。IT审计的一般方法主要用于对信息系统的了解和描述，包括：面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试，包括：测试数据法、平行模拟法、在线连续审计技术（通过嵌入审计模块实现）、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用。但不能把计算机辅助审计技术与工具的使用过程与IT审计等同起来。在IT审计的过程中，仍然需要运用大量的手工审计技术。

二、国内IT审计现状及其未来发展

随着IT技术在企业业务和管理中的广泛运用，IT逐渐从传统的后台支持而步入前台，成为企业竞争的重要支撑，企业凭借信息系统的强大功能优势，完成其业务的自动化，但与此同时，从信息系统安全性、效率性、合规性方面都存在风险，传统的控制、管理、检查和审计技术都受到了巨大的挑战。

其次，从应用企业类型来看，目前IT审计主要集中在信息化程度要求较高、生产安全紧密相关的单位。

企业对于IT审计人才的培养也处于初级阶段，目前的状况是懂IT的人才不少，但是这些专业人才往往缺少对企业的业务、审计的相关知识。

基于COBIT的IT综合审计是目前IT审计界的一个技术新趋势，COBIT着眼于与企业业务密切相关的IT资源的审计与评估，通过对IT审计流程的分析解剖，确认IT事件审计风险点、控制目标，从业务效果、效率、保密性、完整性、可用性、合规性、可靠性多个维度给出IT审计评价。以COBIT为基础是IT审计的重要发展方向。

IT审计（IT审计）实施方法简单概括一下：

1）IT审计总体框架

以监管部门的监管要求为基础，并将其与COBIT的IT治理控制框架进行整合，IT审计范围可包括IT原则、IT架构、IT基础设施、IT应用、IT投入等方面的制度建设和执行情况。

2）制定IT审计方案

IT审计应在行业信息技术特点和监管部门要求的基础上，将信息技术审计过程控制表按照COBIT四个控制领域，即规划与组织、获取与实施、交付与支持、监控与评价，进行划分和完善，形成包含34个高级控制流程、438个详细控制活动的审计方案和审计指南。

3）IT审计实施

IT审计实施过程按照审计控制域与IT管理职能、IT系统进行交叉，通过现场访谈、问卷调查和IT相关控制测试等不同的方式展开，最终归纳和整理形成了不同专业领域的IT审计底稿。

4）审计报告

重点对IT审计发现的事项进行描述，并被审计方进行确认，以审慎的态度验证审计发现的准确性与合理性。在被审计方确认审计发现的基础上，对所有审计发现进行汇总，出具IT审计报告。

三、针对国内IT审计针对性问题的合理对策

（一）信息系统的设计和开发没考虑审计的需求

IT审计进入我国较晚，较长一段时间以来，人们对它的认识还不全面、系统，信息产业更是缺乏对IT审计思想及必要性的认识，使得系统审计职能一直没有真正进入信息系统工程领域，在信息系统建设过程中，在系统的设计、开发环节没有考虑系统审计的需求，导致目前常规的IT审计方法与技术在具体实施过程中屡屡碰壁，证据取得困难，程序追踪困难，审计过程效率低、效果差。

同时有相当一部分信息系统的设计者、开发者认为软件测试可以取代IT审计。其实，测试只要求功能的实现，而审计需要功能的规范实现，要考虑更多的企业内部控制的需求。另外，系统测试只在软件开发阶段有效，而审计是覆盖信息系统整个生命周期的，因此，信息系统测试不能代替IT审计。

（二）IT审计人才匮乏

IT审计归根结底是从传统财务审计衍生出来的一种新审计分支，从业人员多数也是从传统审计转化而来。但是，IT审计涉及审计学、信息科学、系统科学等学科，是一个多学科交叉的新领域，对从业人员提出了更高的要求，需要同时具备相关知识的复合型人才。

四、IT审计对策

（一）深化对IT审计的认识

通过培训和教育，使有关部门和单位明确IT审计对于信息化建设工作的重要性。IT审计工作应随着系统建设的开展而开展，应当落实好涵盖所有相关信息资源、信息系统声明周期、信息系统管理维护的全方位的IT审计。

进一步理顺和划清IT审计与计算机审计等相关概念的联系和区别，以主管部门正式文件的形式规定各自的职责目标、业务范围、适用准则与技术，为IT审计的研究和实践打好基础。

（二）推广和建设审计信息系统

信息系统是数据与业务逻辑的集合体，在支持企业内部控制及外部审计方面具有先天优势。例如，在信息系统中可以设置内部控制审计轨迹保留机制，用来记录用户、应用程序及系统的关键活动。同样在信息系统中也可以增加会计记录随机抽样功能，并将抽样保存于安全数据库中，这样就可以有效防范“反记账”和“反结账”。

统一财务软件的数据结构与数据接口，做好信息系统的规范工作，强制要求信息系统提供审计接口，将会计信息系统是否支持标准数据格式、是否具有审计线索保留功能作为评价其质量高低的评价标准。

在信息系统建设过程中推广和应用时间戳技术、电子签名技术、XBRL技术对于审计数据的规范共享、提高审计证据的真实性有重要作用。

（三）加强IT审计人才培养

针对IT审计人才匮乏的现状，可以多渠道开展IT审计人才培养，弥补人才的不足。

1.鼓励现有审计人员学习IT审计知识，扩展和充实职业技能，应对IT审计业务的快速增长。他们具备完备的审计专业知识，只要适当地补充与IT审计相关的信息技术，就可胜任IT审计的职业要求。

2.在高校开展IT审计专业人才培养。针对审计专业的学生或者信息系统专业的学生开展交叉教学，培养复合型人才。

3.鼓励从业人员、学生参加注册IT审计师考试。ISACA针对IT审计的职业技能要求，推出了国际注册IT审计师考试，目前在我国北京、上海、广州、南京四个城市设有考点。准备和参加考试不仅可以学习和检验专业技能，同时可以了解相关领域的最新发展。

（四）加紧制定IT审计标准与规范，促进行业规范发展

尽管从技术角度来看，ISACA的标准、指南和程序已经日臻完善和成熟，我国似乎没有必要发展自己的准则，但是由于我国企业种类繁多，信息化水平地区差异大，许多内外环境与国外存在较大差异，如果没有切合国情的准则、程序对IT审计加以指导，则可能影响这项新审计业务的发展。因此，需要在借鉴国外先进经验，追踪国际惯例的基础上，结合我国IT审计的现实状况，由主管部门分期相应规章与规范性文件，逐步规范我国的IT审计。

五、结论

随着社会信息化的推进，信息系统已成为各类社会组织开展工作的基础平台，IT审计需要依据特定的规范，运用科学系统的程序方法对信息系统进行监督审计，确定信息系统的可靠性、安全性和有效性。我国的IT审计工作还面临认识不足、准则不完善和人才匮乏等问题。只有不断深化相关领域对于IT审计工作重要性的认识，结合国情完善行业规范，积极培养领域人才，进一步研究相关技术，才能保证我国IT审计工作健康有序发展。