ISA实施的流程框架探索

提要ISA（Information System Audit），也就是信息系统审计。实施信息系统审计已经成为审计工作中的一项重要工作，但在实践中仍然有着很多尚待解决的问题，包括观念上的落后、专业人才的缺乏，以及行业标准

与实务指南的不健全，等等。本文从信息系统实施的角度，初步探索其程序框架，作为实践中的借鉴。

一、我国信息系统审计实施过程中面临的问题

（一）审计观念的转变。观念问题也就是认识问题。如果不转换审计观念，仅将审计目标局限为查错纠弊，势必将信息系统审计与当前中心工作对立起来。把审计仅仅理解为“查账”，则对信息系统审计的理解也只能停留在计算机辅助审计或辅助审计软件开发及应用的层次上。只有全面树立系统基础审计或风险基础审计观念，才能理解信息系统审计的重要意义。

（二）信息系统审计的专业人才。开展信息系统审计需要一批既掌握现代审计理论与实务，又了解计算机技术的复合型知识结构的专业人才。目前，审计署干部培训中心开展的注册信息系统审计师培养及与之相关的在审计人员中进行计算机知识的培训工作，正是为了适应这一现实需要。

（三）行业标准与实务指南。信息系统审计发展到一定阶段，必须由行业组织出面将实践经验加以总结，并把有关概念、工作流程和技术方法固定、统一起来，形成行业的标准和规范，这将是信息系统审计进一步发展的基础。与国外相比，国内关于信息系统审计方面的标准尚处于空白状态。国际上关于信息系统审计方面可以参考的标准主要有信息及相关技术控制目标ISO17799、能力成熟度集成模型和IT基础架构库等。信息系统审计与控制协会于1996年公布的目前国际上通用的信息系统审计标准。它是一个在国际上公认的最先进、最权威的安全与信息技术管理和控制标准。

国内目前关于信息系统审计的依据主要有修订后的《中华人民共和国审计法》、《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》、2006年颁布的审计准则第20号――计算机信息系统环境下的审计等。目前首要的问题是信息系统审计在实践中没有一个统一的程序框架，这直接使得信息系统审计在实施过程中无法合理的完成工作。

二、对IS计划开发阶段的审计

（一）对IS计划阶段的审计。对IS计划开发阶段的审计包括对计划的审计和对开发的审计，可以采用事中审计，也可以是事后审计，事中审计更有意义，其审计结果有利于故障、问题的及早发现，利于开发顺序的改进。IS计划开发阶段的关键控制点有：计划是否有明确的目的、计划中是否明确描述系统的效果、是否明确了系统开发的组织、对整体计划进程是否正确预计、关于计划的过程和结果是否有文档记录等。

（二）对开发阶段的审计。系统开发阶段包括设计、编程和测试三部分。其中设计包括总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计；编程是依据系统设计阶段的设计图及数据库结构和编码设计，用计算机程序语言来实现系统的过程；测试包括动态测试和静态测试。开发阶段的关键控制点有：

设计控制点：设计界面是否方便用户使用，设计是否与业务内容相符，是否考虑故障对策等。

编程控制点：是否有程序说明书，并按照说明书进行编写，编程与设计是否相符，有无违背编程原则，是否有程序作者之外的第三人进行测试，编程的书写、变量的命名等是否规范。

测试控制点：测试数据的选取是否按计划及需要进行，是否具有代表性，测试是否站在公正客观的立场进行，测试结果是否正确记录等。

三、对IS运行维护阶段的审计

（一）对IS运行阶段的审计。对IS运行维护阶段的审计分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在IS正式运行阶段，针对IS是否被正确操作和是否有效地运行，从而真正实现IS的开发目标、满足用户需求而进行的审计。对IS运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。

输入审计的关键控制点有：是否制定并遵守输入管理规则，处理等的防错、保护措施，防错、保护措施是否有效等。通信系统审计的关键控制点有：是否制定并遵守通信规则，对网络存取控制及监控是否有效等。处理过程关键控制点有：被处理的数据、数据处理时间、数据处理后的结果、系统处理的差错率、平均无故障时间等。数据库审计关键控制点有：对数据的存取控制及监视是否有效，是否记录数据利用状况，是否有防错、保密功能等。

输出审计不同于测试阶段的输出审计，此时的输出是在实际数据的基础上进行的，对其进行审计可以对系统输出进行再控制，结合用户需求进行评价。关键控制点有：输出信息的获取及处理时是否有防止不正当行为和机密保护措施、输出信息的形式是否被客户所接受、是否记录输出出错情况并定期分析等。

运行管理审计是对人机系统中人的行为的审计。关键控制点有：操作顺序是否标准化、作业进度是否有优先级、操作是否按标准进行、人员交替是否规范、是否有经常性培训与教育等。

（二）对IS维护阶段的审计。维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键控制点有：维护组织的规模是否适应需要、人员分工是否明确、是否有一套管理机制和协调机制、维护过程发现的可改进点、维护记录是否有文档记载、是否定期分析、旧系统的废除是否在授权下进行等。

四、ISA的完成阶段

完成阶段是实质性的项目审计工作的结束，主要工作有：

（一）整理、评价执行审计业务过程中收集到的证据。在审计的现代化管理时期，收集到的数据已存储在管理系统中，审计人员只需对其进行分析和调用即可。

（二）复核审计底稿，完成二级复核。传统审计的三级复核制度对ISA同样适用，它是保证审计质量，降低审计风险的重要措施。一级复核是由审计项目经理在审计过程进行中对工作底稿的复核。二级复核是在外勤工作结束时，由审计部门经理对工作底稿进行的重点复核。

（三）汇总审计差异，与被审计单位沟通。这里的审计差异，指实际的信息系统同计划或需求系统在结构、功能、效率、效果上的差异，对这些差异的真实性还需要被审计单位的证实。

（四）评价审计结果，形成审计意见，完成三级复核，编制审计报告。审计师需要对重要性和审计风险进行最终的评价，所确定的可接受审计风险一定要有足够、充分、适当的审计证据支持。签发审计报告之前，应当对工作底稿进行最终（三级）复核，三级复核由事务所的主任会计师（审计师）进行，主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。三级复核制度的坚持是控制审计风险的重要手段。审计报告是审计工作的最终成果，审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见，同时提出改进建议。