信息系统审计论文

信息系统审计论文（共8篇）

1.信息系统审计论文 篇一

一、审计及审计软件的简介

审计是一项具有独立性的经济监督活动，独立性是审计区别于其他经济监督的特征；审计的基本职能不仅是监督，而且是经济监督，是以第三者身份所实施的监督。审计的主体是从事审计工作的专职机构或专职的人员，是独立的第三者，如国家审计机关、会计师事务所及其人员。审计的对象是被审计单位的财政、财务收支及其他经济活动，这就是说审计对象不仅包括会计信息及其所反映的财政、财务收支活动，还包括其他经济信息及其所反映的其他经济活动。审计的基本工作方式是审查和评价，也即是搜集证据，查明事实，对照标准，做出好坏优劣的判断。审计的主要目标，不仅要审查评价会计资料及其反映的财政、财务收支的真实性和合法性，而且还要审查评价有关经济活动的效益性。

审计的重要性不言而喻，首先，审计具有强有力的制约作用。审计通过揭露和制止、处罚等手段，来制约经济活动中各种消极因素,有助于各种经济责任的正确履行和社会经济的健康发展。其次，审计还具有促进作用，审计通过调查、评价、提出建议等手段,来促进、服务宏观经济调控,促进微观经济管理，以助于国民经济管理水平和绩效的提高。

然而随着社会经济与科技的不断进步，审计的主体和客体的不断扩充，纯手工审计的方式尽管具有灵活运用的特点，但是因其效率低、错误率高而逐渐不能满足人们的需要，这时审计软件应运而生。审计软件是指用于审查电算化系统或利用计算机辅助审计而编写的各种计算机程序。广义上讲，审计软件是指用于帮助完成审计工作的各种软件工具。审计软件可分为四种类型：第一种现场作业软件、第二种法规软件、第三种专用审计软件、第四种是审计管理软件。

在我们专业实习之前，我们参与过鼎信诺审计软件的培训，比较可惜的是，在正式参与审计时，我们并没有利用专业审计软件进行审计和数据处理，仅利用EXCEL便完成了所有审计工作，但我也通过查阅资料书籍和询问事务所人员初步了解了中瑞岳华审计软件——鼎信诺的基本功能和操作，同时我也将在下文中大致描述EXCEL在审计中的运用。

二、XX会计师事务所审计软件——鼎信诺 简介

鼎信诺审计系统作为XX会计师事务所的主要审计软件，有如下11个主要功能：

1、前端数据采集

审计前端能够从金蝶K3、金蝶KIS、用友7系列、用友8系列、用友通系列、速达3000、速达5000、新中大、久其、安易、博科、浪潮、远光、远方、小蜜蜂等常见财务软件中取出数据；并且不需要安装可直接运行；前端是完全免费，可以直接从公司网站上下载；对于定制的或者不常见的财务软件，可通过粘贴数据到EXCEL取数模板的方式采集数据。

2、审计抽样

审计人员凭经验和职业判断手工抽取样本；也可以依据审计人员选择的抽样方法，如随机、由大到小

或由小到大和条件（抽取笔数或金额），由计算机计算出各种统计数据（包括：样本总量、已选样本量、剩余样本量、所占比例大小等等）；同时保留审计轨迹，并与抽样结果一起反映到检查表中。对于已抽出的凭证还可以生成凭证并打印出来。

3、自动生成实质性工作底稿

所有的实质性工作底稿都是自动生成的，实质性工作底稿包括：审计程序、审定表、明细表、检查表等等。对于往来款中有核算项目的，也可自动在明细表中列示。工作底稿

4、往来款账龄计算

往来款的实质性工作底稿中，系统可以依据多年的账套数据计算出账龄。

5、生成银行函证和往来单位函证

在实质性工作底稿中选择要发送函证的银行或往来单位，修改系统提供的函证模板后，系统自动生成一页一页WORD格式的函证。

6、合并会计报表

系统根据母子公司间投资关系等信息自动产生权益抵消、收益抵消，内部往来抵消和内部购销抵消四种抵消分录，用户还可以手工输入抵消分录。系统根据母子公司间投资关系自动产生包括全部母子公司的过渡表和集团合并会计报表。系统自动合成集团公司下属全部单体公司的报表附注，合并报表附注同样可以刷新到WORD中。

7、存货和固定资产的测试

存货或固定资产的实质性工作底稿中，系统可以自动提取前端已采集的相关数据，依据用户选择的不同方法进行测试。

8、数据分析

数据分析有报表分析、图表分析和指标分析三种，从不同的角度分析审计风险。数据

9、审计调整

输入一次审计调整后，该调整分录涉及到的底稿、报表、附注都能自动更新数据。调整分录，自动生成汇总表和审计会计报表。

10、生成未审会计报表

未审会计报表中，未审数是由科目得到，报表数是由企业提供。如果账表之间存在差异，以红色字体显示，用户可以据此进行账表差异调整，例如：往来款科目的负值调整。

11、自动生成会计报表附注

系统提供了财政部和国资委颁布的会计报表附注模版，会计报表附注的内容和格式是可以修改的。修改后的附注能够一次性全部刷新到WORD文档中。

显而易见，鼎信诺审计软件大大节约了审计的时间，提高了效率，在于同学和学姐交流时，使用过该软件的同学都普遍反映利用该软件效率提高了不少，仅以抽凭为例，我们利用EXCEL导出数据抽凭需要至少一整天的时间才能完成一家公司的电子抽凭工作，而导出数据的凭证号在实际抽凭过程中很多都是错的，而利用鼎信诺软件则需要不到半天的时间就能完成同等规模公司的抽凭工作，并且凭证号都能够对应的上。

而且审计工作底稿实现电子化后，审计人员能方便地通过公司内部的局域网或审计小组现场的对等网实现信息共享，相互之间查阅审计底稿只需l要点点鼠标即可轻松实现，而且审计人员之间互不影响，从而可以极大提高审计效率。审计人员只需要进行初始的数据录入，计算工作由计算机自动完成，计算结果准确无须验算，可节约时间，提高审计效率。

利用鼎信诺软件，审计底稿的素材范围得到了进一步的扩充，录音材料、录像材料、电子照片均能构成审计底稿，搜集证据不再单一化，更加方便快捷，审计风险也得到了降低，同时资料也变得容易方便携带起来。

三、EXCEL软件在审计中的应用

在事务所实习过程中，虽然我们并没有机会接触鼎信诺软件的使用，但是利用EXCEL也方便了我们的审计工作。

首先，事务所提供了带有公式链接和相应格式的EXCEL电子工作底稿和word底稿，企业财务软件erp不支持win7的使用，因此我们只能将相关数据导出到记事簿中，然后再粘贴进EXCEL中进行整理和使用。起初我们接触到的就是过期初数，平时我们认为简单的复制粘贴，但是要知道底稿中有很多公式，因此我们在粘贴时需要选择性粘贴，有一些审计调整要不要过进来也需要我们去自己把握。

接下来需要应用到的就是抽凭，删除或者隐藏掉不可排序行后按照排序或者条件性筛选我们便可以选取数额较大的或者关联方账目进行抽凭。再对数据进行分析时，我们还可以运用冻结窗格等功能，这对数据的整理十分重要，尤其是冻结首行，这对每一笔分录的借贷方更容易把控。

在填写附注阶段，在主表中有试算平衡表数据和明细表数据，只需要我们添加一个源公式，那么我们就能直接链接过来数据而不需要逐个粘贴，尤其是在试算平衡表中数据所变动的时候。这时，我们只需将附注中区域科目的明细下表科目链接到主表中，通过公式判断便可以验证数据是否一致。在逐个明细区域中，我们还是需要将主表中的数据链接过来，做一个简单的减法公式，如果结果显示的是“-”，那么证明两个数据相同；如果结果显示的是“0”，那么需要在该公式中复核加计round公式，若结果为“-”那么数据无误，否则数据出现错误。这是因为我们的数据在小数点后两位四舍五入，有时难免有误差。

这只是一些基本的功能，其实EXCEL还有很多功用，例如：利用Excel编制集团公司的经审合并报表、利用Excel进行分析性复核、对数据进行保护等等。但令我印象最深刻的是在对固定资产和应收账款账龄的测算中的应用，如果数据量小手工计算也不碍事，但是数据一旦成百上千，那么就需要EXCEL公式的综合运用了。

往来账款(应收账款、其他应收款、应付账款等)的账龄审计，是财务会计报表的基础审计工作，企业往来款项的明细账户动辄成百上千，账龄审计颇为繁琐。而利用Excel进行往来账款账龄审计却非常简单方便。利用Excel进行账龄审计，需要企业提供往来款项、分客户明细账户编制的“年初数、本年累计借方发生额、本年累计贷方发生额、年末余额”格式的会计数据资料。目前越来越多的企业采用会计软件进行核算，该资料可以利用会计软件提供的“数据导出”功能导出为Excel格式获得。将获取资料置于一个Excel工作簿内。运用Excel的数据排序功能将年末余额为负数的数据(需要报表重分类)剔除后，就可以在A、B、C、D单元格中设定函数公式。一是账龄1年以内的函数为：A＝IF(本年贷方发生额＞＝年初余额，年末余额，本年借方发生额)。二是接着利用Excel的数据排序功能，筛选出(年末余额一账龄1年以内金额)＞0的明细账户，获取其上年“年初数、本年累计借方发生额、本年累计贷方发生额、年末余额”格式的会计数据资料。在上表“单位名称”列左侧增加列，用以添加上年数据。账龄1～2年的函数为：B＝IF(本年贷方发生额十上年贷方发生额)＞：上年初余额，年末余额一账龄1年以内的金额A，上借方发生额)。三是筛选出(年末余额一账龄)1年以内金额一账龄1～2年的金额)＞0的明细账户，获取其更前一个的数据。账龄2～3年的函数为：C=IF((本年贷方发生额＋上年贷方发生额＋更上一年的贷方发生额)＞＝更上一个年初余额，年末余额—账龄1年以内的金额A-账龄1-2年的金额B，更上一个的借方发生额)。四是账龄3年以上的函数为：n：年末余额一账龄1年以内的金额A——账龄1-2年的金额B——账龄2--3年的金额C。输入完毕后，模板将自动计算年末账龄，方便准确。

四、审计软件的优势

如上文所述，审计电子化、信息化是一种高端审计方式，更是一种趋势，实现审计电子化，即用审计软件进行审计有如下优势：

1、审计信息化具有审计人员协同作业的优势。

审计信息化所面对的是比以前更加广泛和复杂的网络经济活动，审计的具体内容除了企业的经济活动和财务纪录以外还包括其使用的系统网络、外部网络及相关的企业，因此进一步分工协作成为必要。由于网络、计算机、现代通讯技术在审计中的运用，使得多个审计人员 协作、联合审计成为可能，能使审计资源得到更广泛而有效地配置和运用，从而大大提高审计能力。

2、审计信息化具备审计连续性优势

审计信息化使得远程审计与就地审计相结合，当前审计与以前审计、后续审计相结合，因此，使审计跨时空作业成为可能。而网络经济的无边界性和复杂性又使得跨时空审计成为必要。跨时空作业使审计单位能够综合调用、管理机构内外的资源完成审计项目，将原本复杂繁重的审计任务改变成简单、方便、快捷的审计作业。

3、审计信息化具有准确高效的优势

审计信息化通过网络可以充分发掘和发挥计算机高速准确的优势及审计软件的专业的优势。对海量的网络财务数据和业务数据进行检索、查询、追踪、转化、抽取、比较、归类、合并、统计、信息检索的高智能化，大大减轻审计人员收集资料以进行职业判断的工作量。

2.信息系统审计论文 篇二

一、信息化内部控制审计与信息系统审计的相关规范

国内外相关规范中的一系列规定表明, 现代内部控制审计必须充分重视信息技术的应用。信息技术在财务报告内部控制领域的应用, 主要的表现形式就是信息系统, 特别是会计信息系统的建立。信息化内部控制审计关注会计信息系统的内部控制有效性问题, 而这个问题也是信息系统审计关注的重要内容之一。而国内外一系列信息系统审计规范的陆续发布, 又使信息系统审计成为人们关注的热点。信息系统本身就包含了信息技术的应用, 信息技术的深入应用又对信息系统的内部控制产生重大影响。而信息系统, 特别是会计信息系统的内部控制, 同样是信息系统审计中重要的一环。

(一) 信息化内部控制审计

会计信息质量不仅取决于财务报告本身, 更取决于对财务报告产生过程的有效控制。内部控制是防范企业财务报告错误和舞弊行为, 保证企业财务报告真实、完整的内在机制。而内部控制审计的目的就是要评价内部控制的有效性。信息技术应用的不断深入使经营管理越来越依赖于利用信息技术建立起来的信息系统。理论界也密切注意着信息化环境下企业内部控制制度的变化, 许多学者纷纷探讨信息化环境对企业内部控制要素的影响、信息化环境下内部控制的构建等, 并认为应该利用信息技术来构建与完善内部控制系统。信息化环境下内部控制系统的变化, 必然导致内部控制规范的变化, 不论是美国内部控制规范体系中的COSO框架、SOX法案、SEC发布的《最终规则》、COBIT, 还是日本的《财务报告内部控制的评价和监督准则》等规范, 都充分地考虑了信息化环境对内部控制的影响。面对信息化环境下内部控制及其规范的变化, 评价内部控制有效性的内部控制审计就必须考虑信息化环境的影响, 从而就产生了信息化内部控制审计的问题。

内部控制审计考虑信息化环境的影响始于上世纪80年代。本世纪以来, 各国又陆续出台了一系列相关的规范。如, 美国上市公司会计监督委员会 (PCAOB) 于2004年3月发布了第2号审计准则《与财务报表审计协同进行的财务报告内部控制审计》 (简称AS NO.2) 。随后, PCAOB于2007年5月又颁布了第5号审计准则《与财务报表审计相结合的财务报告内部控制审计》 (简称AS NO.5) 以取代AS NO.2。此外, 美国注册会计师协会 (AICPA) ) 为了与AS No.5保持一致, 于2008年发布了鉴证准则第15号 (SSAE No.15) 。SOX法案302条款和404条款中的实质性条款也直接影响到了PCAOB、AICPA等对内部控制审计的相关规范。从AS NO.2到AS NO.5, 其内容都涉及到IT环境下的内部控制问题。AS NO.5对于IT的应用表现出了更多的关注, 如必须评价IT使用的范围, 必须认真评估IT对财务报告的影响及其带来的风险等。日本为体现IT的重要性, 直接将“对IT的应用”作为内部控制的一个基本组成部分。

我国审计对信息化环境的关注最早体现在审计署发布的相关规范中。1993年, 我国审计署发布了《关于计算机审计的暂行规定》, 1996年又发布了《审计机关计算机辅助审计办法》, 从而拉开了我国IT在审计领域应用的序幕。1999年, 中国注册会计师协会发布了《独立审计具体准则第20号——计算机信息系统环境下的审计》, 要求注册会计师应充分关注IT环境对被审计单位会计信息及内部控制的影响。2003年6月, 中国内部审计协会发布实施了《内部审计具体准则——内部控制审计》, 其中要求内部审计人员应评价组织获取及处理信息的能力。2006年, 财政部发布了《审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》, 认为内部控制应包括自动化成分, 在风险评估以及设计和实施进一步审计程序时, 应当考虑自动化特征及其影响;还应当从信息技术和人工系统中, 对交易生成、记录、处理和报告的程序了解与财务报告相关的信息系统。2007年, 财政部发布了《审计准则第1633号——电子商务对财务报表审计的影响》, 认为注册会计师应当考虑被审计单位在电子商务中运用的与审计相关的内部控制。2008年, 财政部等五部委联合发布了《内部控制审计指引》, 认为应当关注信息系统对内部控制及风险评估的影响。2011年10月, 中国注册会计师协会发布了《企业内部控制审计指引实施意见》, 认为内部控制审计要考虑信息技术控制环境的影响。

(二) 信息系统审计

信息系统审计源于EDP (Electronic Data Processing) 审计, 信息系统审计方面最早的文献是当时主要的计算机制造商IBM公司出版的《电子数据处理审计》和《内部电子处理和审计轨迹》等。这些文献充分考虑了电子数据环境对数据处理流程的影响, 提出了许多新的概念、术语和审计技术。

信息系统审计相关准则及规范的颁布进一步推动了信息系统审计理论与实务的不断发展。首先是国际会计师联合会颁布的一系列国际审计准则, 包括1984年颁布的国际审计准则第15号《电子数据处理环境下的审计》、国际审计准则第16号《计算机辅助审计技术》;1985年颁布的国际审计准则第20号《电子数据处理环境对会计制度和有关内部控制研究与评价的影响》;2004年颁布的国际审计准则第401号《计算机信息系统环境下的审计》等。在众多规范中, 影响最大的是国际信息系统审计协会 (ISACA) 制定的信息系统审计准则。其信息系统审计准则体系由标准、指南和程序等3个层次组成, 截至2010年1月, ISACA共发布了16个审计标准、42个审计指南和11个审计程序。

我国有关信息系统审计的规范相对比较零散。审计署于1993年发布了《关于计算机审计的暂行规定》, 1996年又发布了《审计机关计算机辅助审计办法》;中国注册会计师协会于1999发布了《独立审计准则第20号——计算机信息系统环境下的审计》, 2007发布了《审计准则第1633号——电子商务对财务报表审计的影响》;国务院于2001年下发了《关于利用计算机信息系统开展审计工作有关问题的通知》;2004年, 审计署在《2004至2007年审计信息化发展规划》中明确提出了要积极探索信息系统审计, 2008年, 《审计署2008至2012年信息化发展规划》再一次提出要探索符合我国国情的信息系统审计;2008年, 我国内部审计协会发布了《内部审计具体准则第28号——信息系统审计》, 这是我国发布的唯一专门针对信息系统审计的准则, 开创了我国信息系统审计准则制定的先河。

信息化内部控制审计与信息系统审计分属不同的审计范畴, 但却同时对信息技术的应用和内部控制的有效性予以关注。因此, 深入剖析信息化内部控制审计与信息系统审计的联系与区别, 对整合审计资源有着重要的意义。

二、信息化内部控制审计与信息系统审计的联系

财务报告信息是会计信息系统的产物, 会计信息系统的有效运行依赖于内部控制的有效性。在信息化环境下, 信息系统审计关注信息技术的应用与信息系统运行的有效性, 信息化内部控制审计关注信息技术的应用与内部控制的有效性, 因此, 信息化内部控制审计和信息系统审计存在着多方面联系。

(一) 最终目标一致

PCAOB的AS NO.5中明确规定, 财务报告内部控制审计的目标“是对公司财务报告内部控制的有效性发表意见”。我国《企业内部控制审计指引》也指出, 财务报告内部控制审计的目标是内部控制的“有效性”。根据《企业内部控制基本规范》 (2010) 的相关规定, “有效性”包括制度设计有效性和制度运行有效性两个方面。

ISACA的信息系统审计准则借助COB IT的“控制目标汇总”表确定各个IT过程的具体审计目标。我国《内部审计具体准则第28号——信息系统审计》明确指出, 信息系统审计的目的是对组织是否达成信息技术管理目标进行综合评价, 协助组织信息技术管理人员有效地履行其受托责任以达成组织的信息技术管理目标。

表面看来, 信息系统审计与信息化内部控制审计的目标并不一致, 但两者的最终目的是一致的, 都是合理保证报表使用者得到真实可靠的财务信息。而且, 信息系统审计目标的确定很大程度上都与内部控制密切相关。这是因为, 财务报告是信息系统的产物, 信息系统的运行依赖于内部控制的有效。所以, 内部控制的有效性, 是为了信息系统的有效运行, 是为了最终财务报告信息的质量。

(二) 业务类型一致

内部控制审计和信息系统审计都属于基于责任方认定的合理保证鉴证业务。在财务报告内部控制审计业务中, 管理层要先评估公司财务报告内部控制的有效性, 然后注册会计师再对管理层的评估进行审计, 这正是合理保证鉴证业务的范畴。我国《企业内部控制审计指引》中规定, “建立健全和有效实施内部控制, 评价内部控制的有效性是企业董事会的责任”, “对内部控制的有效性发表审计意见是注册会计师的责任”。因此, 财务报告内部控制审计也是基于责任方认定的鉴证业务。

信息系统审计的主要任务, 是以独立第三方的身份对被审计单位信息系统发表意见, 这种意见明显属于合理保证鉴证业务的范畴。COBIT框架明确提出, “管理层的责任是保护企业的所有资产, 为履行这一责任, 管理层应建立起一套完善的内部监控体系”。信息系统审计准则正是ISACA基于COBIT的思想建立的监控体系, 其目的也是要对管理层的责任认定进行鉴证。我国《内部审计具体准则第28号——信息系统审计》认为信息系统的开发、运行和维护以及信息技术相关的内部控制的设计、执行和监控是组织及其相关人员的责任, 实施信息系统审计工作并出具审计报告是信息系统审计人员的责任。这一规定同样说明了信息系统审计属于基于责任方认定的合理保证鉴证业务。

(三) 风险导向审计模式的应用

为了充分考虑IT环境的影响, PCAOB发布的AS NO.2和AS NO.5要求进行内部控制审计时采用自上而下的审计方法, 其中AS NO.5称之为风险基础的自上而下审计法, 即风险导向的审计模式。我国《企业内部控制审计指引》的亮点之一就是特别强调了风险导向审计思想, 根据《企业内部控制审计指引》的规定, 注册会计师按照自上而下的方法实施审计工作, 并将其作为识别风险、选择拟测试控制的基本思路, 这同样是风险导向审计模式的思想。

信息系统审计同样关注风险导向审计模式的应用。在ISACA发布的信息系统审计准则中, 与风险评估有关的审计标准有《S11:风险评估在审计计划中的应用》, 审计指南有《G13:风险评估在审计计划中的应用》, 审计程序有《P1:信息系统风险评估方法》、《P5:控制风险自我评估》等。胡晓明 (2007) 认为, 信息系统审计是信息系统风险防范的新途径, 应该实施风险导向的信息系统审计。我国《内部审计具体准则第28号——信息系统审计》专门讨论信息系统审计中对信息技术风险的评估, 同样体现了风险导向审计的思想。

(四) 审计程序相互关联, 工作成果能够相互利用

COSO框架认为, 信息与沟通是内部控制的五个要素之一, 自然是内部控制审计的关注点。而信息与沟通主要通过信息系统实现, 与现代信息技术相结合的信息系统具有开放化、实时化、电子化的技术特点, 从而影响到内部控制审计的规范实施。所以, 在信息化生态环境下, 内部控制要解决两个层面的问题, 一个是信息化环境下的业务内部控制问题, 另一个是其中的信息系统的内部控制问题。在信息化环境下, 安全审计应该成为内部控制审计的内容之一。COBIT作为一个综合内部控制模型, 既能够适应IT治理需要, 又可以确保信息与信息系统的完整性, 从而成为内部控制审计和信息系统审计共同的思想基础。PCAOB的AS NO.2和AS NO.5都强调应该在内部控制审计过程中充分注意信息系统的作用。日本的《财务报告内部控制的评价和监督准则》也指出, 要确保企业内部的信息处理系统能恰当地搜集和处理在各业务领域的数据并能反映在财务报告中。我国《内部审计具体准则——内部控制审计》认为保证管理信息系统的有序运行, 保证管理信息系统的安全可靠是内部控制审计过程中必须关注的内容。

信息系统审计通常要包括信息系统内部控制审计, 在ISACA发布的信息系统审计准则中, 与内部控制直接相关的审计标准有《S15:IT控制》, 审计指南有《G11:广泛的信息系统控制的效果》、《G16:在组织的IT控制中第三方的作用》、《G36:生物控制》、《G38:存取控制》, 审计程序有《P9:密码方法在管理控制中的评价》、《P10:商业应用改变控制》等。我国《内部审计具体准则第28号——信息系统审计》也认为信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。

因此, 内部控制审计和信息系统审计的很多审计程序相互关联, 工作成果能够相互利用。在内部控制审计中发现的控制缺陷能为注册会计师在信息系统审计中认定重点实施审计指明方向。在信息系统审计中对信息系统内部控制的关注可以作为内部控制审计的基础。

三、信息化内部控制审计与信息系统审计的区别

内部控制审计重在“控制有效性”, 信息系统审计重在“系统有效性”。因此, 二者的审计对象、审计重点等还是存在着差异。

(一) 审计对象与内容不同

内部控制审计的对象是企业的内部控制, 内部控制审计的内容主要包括内部控制制度的建立、内部控制制度的实施以及内部控制制度实施过程中的监管等方面。根据内部控制一般框架理论, 内部控制审计的对象还应包括内部控制的众多影响因素, 如内部控制的环境等。信息系统的审计对象是企业的信息系统。信息系统是个比较大的范畴, 其内容主要包括信息系统的开发与采纳、信息系统的实施、信息系统的控制、信息系统的维护与评价等。与内部控制审计的对象比较, 信息系统审计要包含信息系统内部控制的相关内容, 而信息系统化内部控制审计除了关注信息系统的内部控制之外, 还要关注企业其他方面的内容控制问题, 所以, 二者的审计对象与内容有所交叉, 但还是有明显的区别。

(二) 对内部控制的关注程度不同

首先, 从目的性来看, 二者对内部控制关注的目的不同。信息系统审计中评价内部控制的目的, 是为了判断是否可以相应减少实质性程序的工作量;内部控制审计中评价内部控制的目的, 则是为了对内部控制本身的有效性发表审计意见。其次, 从内部控制测试范围来看, 二者关注的内部控制的范围也不同。信息系统审计可以绕过内部控制测试程序进行审计, 而内部控制审计则不能绕过内部控制测试程序进行审计, 注册会计师必须针对每一审计领域获取控制有效性的证据, 以便对内部控制整体的有效性发表意见。此外, 在信息系统审计中, 对控制测试的可靠性要求相对较低, 而在内部控制审计中, 对控制测试的可靠性要求较严。

(三) 对控制缺陷的评价要求不同

在内部控制审计中, 注册会计师需要对内部控制缺陷进行严格的评估, 并区分出重大缺陷, 因为重大缺陷将影响到审计意见的类型。而在信息系统审计中, 注册会计师仅需区分出值得关注的内部控制缺陷和一般缺陷。

(四) 出具的审计报告不同

在信息系统审计中, 注册会计师主要是对信息系统的安全、可靠、有效和效率以及能否有效地组织资源, 实现组织目标等发表审计意见。在内部控制审计中, 注册会计师对内部控制整体的有效性发表意见。信息系统审计是对信息系统的合理鉴证, 内部控制审计是对内部控制有效性的合理鉴证。

四、结论

PCAOB的AS NO.5首次提出整合审计的模式, 认为财务报告审计与内部控制审计应进行整合。我国《企业内部控制审计指引》明确指出, “注册会计师可以单独进行内部控制审计, 也可将内部控制审计与财务报表审计整合进行”。因为整合审计既可以提高上市公司财务信息的质量, 又能提高审计效率, 降低审计风险, 所以, 整合审计是一种经济可行、切实兼顾了社会公众、被审计单位和注册会计师行业三者利益的制度安排。

财务报告信息产生于企业的会计信息系统, 而内部控制又是保证会计信息系统能够有效运行, 从而保证企业财务报告真实、完整的内在机制。内部控制与信息系统之间的必然联系, 以及信息技术的广泛应用, 使得信息化内部控制审计与信息系统审计之间的联系成为主要的、必然的联系。既然二者的审计模式、程序、方法等存在着相同之处, 二者的基础工作可以共享, 在一项审计中发现的问题还可以为另一项审计提供线索和思路, 那么就不得不考虑信息系统审计、内部控制审计与财务报告审计的关系问题。在信息化环境下, 应该把信息系统审计、内部控制审计和财务报告审计进行整合, 建立起完善的整合审计体系, 以保证财务报告信息的质量。

参考文献

[1]陈杰、黄正瑞:《网络环境下会计系统的安全审计》, 《会计研究》2000年第1期。

[2]陈志斌:《信息化生态环境下企业内部控制框架研究》, 《会计研究》2007年第1期。

[3]刘志远、刘洁:《信息技术条件下的企业内部控制》, 《会计研究》2001年第12期。

[4]骆良彬、张白:《企业信息化过程中内部控制问题研究》, 《会计研究》2008年第5期。

[5]谢晓燕、张龙平、李晓红:《我国上市公司整合审计研究》, 《会计研究》2009年第9期。

[6]章铁生:《信息技术条件下的内部控制规范:国际实践与启示》, 《会计研究》2007年第7期。

[7]胡晓明:《风险导向信息系统审计及其发展思路》, 《经济管理》2007年第2期。

[8]ISACA.Standards, Guidelines, and Tools and Techniques for Audit/Assurance and Control Professionals.http://www.isaca.org/KN O WLEDGECEN TER/STAN DAR DS/Pages/default.aspx.

3.信息系统审计初探实例 篇三

甲法院的信息系统是2011年9月与某科技公司（以下称乙公司）签订协议实施的，审计日已运行一年半。审计中先实地观察了审判管理系统的操作过程，向立案员、立案庭长、行政庭长、执行局长等了解了系统使用的基本情况及存在的问题和不足，查阅了甲法院与乙公司签订的协议书、选择项目建设单位的原由、系统建设、运行管理、运维服务、测试评估等相关文档资料。对法院信息管理系统的总体状况有了基本了解，选择了以应用控制为重点的审计思路。

一、信息系统业务流程控制审计

对业务流程控制审计的目的是通过检查被审计单位信息系统业务活动的整个流程，发现系统业务流程中存在的问题，评价系统业务流程控制的合理性和有效性，提出审计意见和建议。

审计中采用了资料审查法，查阅甲法院和乙公司签订的协议书对建设该信息系统的硬件配置、技术要求等；采取了系统检查法，对信息系统的重要控制环节和控制点进行了实地测试。

发现协议书就硬件配置、合同价款、双方权利和义务、售后服务、违约责任等进行了明确，但对法院审判管理系统、法院办公管理系统、数据移植等项目的技术要求和要达到的标准完全没有明确，技术要求依赖于乙公司对其业务的宣传，协议内容的不完善为信息系统建设的不成熟留下了隐患。发现审判系统结案控制点设置不严，在虚假信息输入后也能结案。行政庭执行非诉执行案件要求执行款执行到位、执行局执行案件收取执行费后才能结案，但是当案件结案时限已到，而这些事项未执行到位时，若迫于其它原因需要在系统终端体现该案已结，可以在不输入收费（或执行款）发票号码、日期、金额等情况下直接结案，终端显示该案已结案，导致是否交纳相应费用、标的款是否已执行、该案是否真实结案不清楚，致使某期间的结案实际情况需要到相应庭（局）了解才能弄清楚。

二、数据输入、处理和输出控制审计

数据输入、处理和输出控制审计的目的是通过检查被审计单位信息系统数据输入、处理和输出控制的有效性，发现系统数据控制的缺失，形成数据控制评价和结论，提出审计意见和建议。

审计中采取了系统检查法，对信息系统进行了数据输入、处理、输出等信息的检查。采取了数据验证法，利用直连式数据采集方法进行数据符合性验证；利用数据库数据转换、文本转换对数据库之间的数据转换的一致性和准确性进行检查验证；通过对数据库SQL语句进行转换解析，实现对各类业务活动的计量、计费、核算、汇总等数据处理的符合性与准确性进行验证。

发现前台输入数据操作见错不纠。立案系统对诉讼费的收取有三个窗口：应收受理费、预收受理费、实收受理费，若实收数小于应收数，实收窗口显示红色，表明还有诉讼费未收取。但对操作员不小心输错的数据，不能报错。如（20××）年××终字第×××号案卷反映，应收、实收受理费实际为11 884元，操作中将应收受理费输成111 884元，实收受理费11 884元，显示红色未能引起操作员注意。（20××年）××终字第×××号案卷反映，应收、实收受理费为2 300元，操作中将实收受理费录入为100元。（20××年）××终字第×××号案卷反映，应收、实收受理费7 204元，操作中将实收受理费输成100元，通过查找档案，上述二个案卷收费无误，若增设一个欠费窗口就可以很明确地知道输错、欠收事项。发现数据处理中，前后台数据未遵循一致性。在立案系统中，原告和被告是分栏信息输入的，但在后台备份数据中，这二项合并为当事人信息，没有分开。发现输出信息与输入信息不一致。汇总全年或一个阶段的立案情况，对立案的总数能准确统计，但在相应要素项中，后台数据不能显示减、免、缓交诉讼费的标识及分辨其案件，而该类案件在立案时会输入减、免、缓交诉讼费标识，要汇总核查该案件对诉讼费的减、免、缓情况需查对人工台账。

三、信息共享和业务协同审计

信息共享与业务协同审计的目的是通过检查被审计单位信息系统内、外部信息共享与业务协同，揭示共享与协同控制的缺失，形成评价和结论，提出审计意见和建议。

审计中采取了询问了解法，与信息系统管理人员沟通了解被审计单位信息系统在信息共享、业务协同等方面的情况，并延伸调查了上、下级人民法院使用信息管理系统的现状；采取了数据输入、导出、验证等方法检查了信息结果的符合性。

发现审判管理系统的信息共享和业务协同存在很大局限。立案时，系统对有一些重要要素不输入也能立案，如二审案件，在一审信息不输入的情况下也能立案，打开二审立案案件，看不到一审的立案、判决、审判法院等信息；信息系统建设单位对此的解释是：如果在本单位的一审案件，就可以获取相应信息，按我国审判上诉原则：本单位的一审案件，不在本单位进行二审；延伸了解省、县二级人民法院的审判管理系统，县人民法院只有少数单位采用了乙公司的审判管理系统，而且市、县审判系统未联网，省高级人民法院采用的是与乙公司完全不一样的审判管理系统，无法联网，该信息系统的审判信息共享和业务协同按乙公司的设计形同虚设。发现信息共享约束条件设置不合理。法院立案业务，案件号是唯一的，但导出后台数据通过SQL查询发现，同一案件的“文书标题”有几个事项时，会出现多次同一案件号；如（20××）××终字第××号案卷，有文书标题四个内容：调解书、调解协议、（20××）××终字第××号、×××号××调解书，后台数据显示该号案卷有四条记录。

出于审计风险及信息系统审计安全性考虑，没有采取工具检测等方法对该信息系统的一般控制及项目管理情况进行审计。

根据审计发现的问题，对甲法院提出了完善信息系统建设协议书、向信息系统建设单位提出法院审判的关键环节和控制点并要求按要求改进信息系统、进一步梳理和完善数据移植等方面的技术问题的建议。上述审计结果和建议得到了甲法院的认可，促进其改进信息系统，提高信息系统管理水平。

4.信息系统专项审计调查方案 篇四

根据《中华人民共和国审计法》规定，审计组决定对机关的信息化建设专项资金使用绩效情况开展专项审计调查。

一、基本情况

近3年信息化投入逐步加大，使得电子政务稳步展开，成为转变政府职能、提高行政效率、推进政务公开的有效手段。各部门利用信息技术，扩大信息公开，促进信息资源共享，推进政务协同，提高了行政效率，改善了公共服务，有效推动了政府职能转变。金字工程进展顺利，成效显著。

二、政务信息化审计调查的目标

通过审计调查，了解各部门信息化的建设、运行和资产管理基本现状，揭示在信息化建设程序、信息化资金使用效益、信息化资产管理效能、信息系统运行维护效率、信息共享机制等方面可能存在的问题，以保证信息化项目的真实、合理和有效，促进政务资源整合、信息共享和业务协同，提高政府公共服务、社会管理和综合监管水平。

三、审计调查范围和对象

本次审计调查主要选10家机关单位2007-2009年财政资金安排的信息化建设项目，对持续性建设项目适当延伸其他年度，并有选择地延伸信息化建设和维护的相关单位。

四、审计调查的内容和重点

（一）基本情况调查。

1．机构和人员。是否有专门的信息技术部门，部门性质（事业编制、参公、公务员等），部门职责；信息技术部门的分管领导和组织结构；信息部门人员技术水平和资格，责任分配和职权，分工是否明确。

调查部门举办的信息技术类培训班，以及培训的周期、师资和教学内容；调查信息技术人员近3年参加的信息技术类培训，评估知识更新情况。

2．规划和业务目标

信息化建设管理的相关内部控制制度是否健全和有效；关注各部门的信息技术规划和十一五规划或其他中长期规划，评判二者的契合度。

3.当前运行的项目情况

了解部门当前运行的信息系统，审查信息系统的立项，部署或购买时间，开发单位，上线运行时间，预算投入资金，实际投入资金，所有技术文档是否齐全，后继维护单位，维护方式。

4、近3年信息化专项资金情况

2007年初信息化专项自有资金和上年结余，各年信息化的预算新增资金和财政收回资金，各年信息化专项资金的会计科目支出结构以及所列经济功能分类，2009年底信息化专项资金结余，以及部门专项资金的收支余总额。

5.硬件状况

机房规模（面积、UPS功率、空调制冷功率），机柜数（其中服务器机柜数、屏蔽机柜、空臵数）、服务器数量（小型机、微机服务器等）。

（二）信息系统建设情况

选取政务网站和自行开发、合作开发、上级统一部署的业务系统进行信息系统审计。

1.检查项目建设的各项审批手续是否完备、合法，是否经过批准立项。

2.检查信息化项目主要硬件设备、系统软件采购是否符合政府采购的要求，调查采购方式的合适性和选择依据。检查项目实施合同是否符合标书或者立项文件的要求签订，合同是否明确建设成果形式，需要交接的资料，运行维护等条款。资金支付是否符合相关政策规定；是否严格遵照合同执行；

3.检查需求分析是否清晰到位，是否提交了需求分析报告，是否存在重大变更，检查项目实施中需求变更的合理性，变更手续齐全与否，是否与当前项目密切相关，有无擅自扩大工程规模和提高标准及挪作他用。

4.审阅项目验收资料，检查是否按照合同要求提供相关

资料，是否按期完成，是否进行了功能验证测试、安全测试、性能压力测试等，实现功能与需求的符合性是否达到立项要求；

5．检查信息化项目资产管理情况，是否建立管理台帐，是否计入部门资产。

6．检查网站防篡改系统，全文检索系统是否单独报价，以何种形式实现单点登录，网站和办公系统是否采用单点登录技术，检查部门网上办事业务开展程度。

7.审计项目建设经济的适用性，软件系统与硬件设备采购的资金比例；建成以来各年数据量和存储容量是否匹配，是否存在高配低用的情况。系统功能的实际利用情况，系统开发的成熟程度。

8．检查系统输出报告的应用情况，反映应用绩效性。信息化项目的政府公共服务和综合应用功能，包括在线申报、在线查询、在线补交、在线审批等功能，信息网上发布等应用情况，使用数量，问题反馈数据统计。

9.已经废弃的信息化项目情况，立项时间，建成时间，在线运行时间，估计已完成投资，剩余可利用资产以及运行评价，废弃的原因，替代系统。

10.调查信息系统的应用在环境变革方面的推动，是否在效率方面提高，是否在控制执行方面加强。

（三）信息系统运行维护审计

1.检查网站、业务系统等运行维护方式，维修计费方式和收费，维护是否进行政府采购，以及采购的方式和类型，是否签订维护合同，审查维护的成本与维护工作量的匹配性。

2.检查系统在运行中的稳定性、易于使用性和易于维护性。审查维修台帐或者询问相关人员，审查信息系统近3年主要故障内容和维护内容，分析维护类型（改正性、适应性、完善性、预防性、修正错误等），评判系统质量。

3.检查对信息技术部门人员的依赖程度或对外部信息技术服务的依赖程度，信息部门是否有人员专门进行日常维护，维护单位和人员是否可以替代；审计系统的变更、配臵

和发布管理实务，确保被详细记录；审计问题和事件管理实务，确保所有事件、问题和错误都被及时记录，分析和解决。

4.审计备份和恢复准备的充分性，审计组织的灾难恢复、业务连续性计划，确保一旦发生灾难，IT处理能力可以及时恢复；确保IT服务中断期间，基本业务运营不间断的能力。

5.维护中新需求的应用是否经过严格的测试、审核。

（四）信息技术标准化建设审计

1、检查信息系统技术规划、项目规划、实施方案中是否有关于信息资源共享和业务系统交互的要求，审查信息系统中信息共享的设计思路，是否对全行业提出统一的建设标准并检查执行情况。

2、行业数据是否建立标准化数据库，检查部门信息化部门是否掌握业务数据库设计的相关文档，是否有人员分工负责。检查现有文档与在线运行的数据库结构一致程度。

3、对于考虑横向对外提供服务的业务系统，检查合同中是否明确提出标准化公开接口，以及接口的形式（文本文件、XML文件、WebService等），这些接口在验收中是否提供相关文档，检查这些接口在实际中是否处于可以使用状态，现被审计单位是否需要借助其他力量配合检查。

4、审查第三方是否可以独立调用系统数据。对于第三方使用业务系统的数据，是否必须由开发单位参与，信息技术部门是否独立具有业务系统协同能力。信息化部门是否有人员已经接受系统培训。

5、应提交的文档，是否按照软件工程的要求全部提交。包括系统需求分析、系统概要设计、系统数据库设计，系统编码，系统维护手册，系统使用手册。

五、审计人员以及分工

本次审计调查组成员5人，组长总体负责，……，组员各抽查一项业务系统按

（二）至

（四）内容进行审计。

六、审计调查时间安排

2010年7月20日-8月20日，实施现场调查工作，8月

23日-9月10日汇总结果，起草审计调查报告。

六、工作要求

（一）审计组在审计过程中要严格审计纪律，遵守“八不准”审计纪律和“四条禁令”，规范行为，遵守纪律。严格执行审计保密和廉政纪律，增强自律意识。

（二）严谨细致，提高质量。按《审计机关专项审计调查准则》（简称3号令）、《审计机关审计项目质量控制办法（试行）》（简称6号令）有关要求，及专项审计调查实施办法和专项审计调查工作方案，组织实施本审计项目的审计，依法审计、履行程序。

（三）计算机审计。积极开展计算机辅助审计，进行财务业务数据分析，利用数据库技术进行系统分析，重点应用AO软件的审计管理功能，完成日记，签证单和底稿，提高审计效率。着重从软件系统分析角度检查和思考被审计单位信息系统实现方式。

（四）创新方法，加强分析，提升成果。在审计调查中要积极探索应用效益审计的方法和思路，充分应用调查问卷、座谈会、实地查看等手段，注重发现重大问题或线索，对于政策和管理方面存在的问题，要与被审计调查单位研究探讨，充分听取意见和建议。

2010年7月12日

5.信息系统审计也得搜事儿 篇五

来源：CIO时代网

相对于会计而言，更是笼罩着一层神秘的面纱。我记得在杰克。C.罗伯逊的经典着作《审计学》中曾有这么一段妙语：

岳母：杰克，你的工作是什麽？

杰克：我是一名审计师。

岳母的朋友：杰克的工作是什麽？

杰克的岳母：他的工作是在别人的账本中搜事儿（He snoops around in other peoples books）。的确老百姓对审计知之甚少，不过话又说回来，如果将审计理解成监督会计账目，“搜事儿”之说也不完全错误。老百姓是在用最简单的话语来总结审计的功能，事实上这也没有太大的错。

但随着时代的进步，再用“搜事儿”来形容审计可能就不那么准确了。目前审计出现了多个分枝，除了传统的会计账目审计、报表审计外，还出现了绩效审计、经济责任审计、价格审计、信息系统审计，以及为防止舞弊发展出的专项舞弊审计，当然最新的就是信息系统审计了。

随着计算机的发明及IT科技的迅猛发展，这给传统意义上的审计带来了无法抗拒的新挑战。随着电脑与人工处理的整合，内部审计与信息系统审计间的界限也越来越模糊。举例说，随着及的逐步推行，在企业内部，会计成为整体信息化的一个相互关联的组成部分。企业的库存材料可由计算机管理，当领用材料降低到危险水平，可能影响生产时，计算机会自动发出指令，通过网络向供应商订货，并纪录会计账项供应商也会自动处理订单，发货，并收款，记录会计账项。在这过程中人为因素减少，所有纪录均电子化，审计师所需的审计线索、证据难以寻找；而且，这一过程是机器按软件程序进行，对审计师而言，计算机是“黑箱”，谁知道计算机在里面做什麽？所以，对被审计单位的信息系统的了解、测试和评价也成为审计师的工作范围。

中国的信息化建设也急需信息系统审计，尤其是信息化建设项目的绩效审计。作为一个媒体工作人员，我在与一些企业的接触过程中，对一些企业由于电脑升级换代，调试时线路发生故障，引发系统瘫痪的事也履有耳闻。越来越多的传统企业大规模实施企业信息化，在提高了企业效率的同时，也带来了种种困惑，网络经常掉线，宕机，邮件发不出去，病毒肆虐，客户资料被盗等等。而在这方面，信息系统审计能发挥极大的作用，通过在IT系统上“搜事儿”，使得企业在IT系统上的投资发挥最大效能。所以，把信息系统审计说成是在帐务和IT系统上“搜事儿”也没错。

应该说，信息系统审计还是一门边缘性学科，跨越传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个科学领域。所以对相关从业人员的要求就相当高，是指一批既通晓信息系统的软件、硬件、开发、运营、维护、管理和，又熟悉经济管理的核心要义的专家级人士，他们能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造，以降低组织日益面临的信息系统，有效率使用信息系统审计，使到组织IT目标与业务目标保持一致。

6.信息系统审计论文 篇六

随着央行业务信息化的发展，数据信息系统成为内审部门新的必须开展的审计内容，我国中央银行利用信息技术对业务系统进行审计起步较晚，与业务系统电子化发展相比，审计信息技术的发展很不匹配，存在明显滞后，从实际运用来看，内审部门的信息技术手段仍很落后，特别是基层央行，对业务的审计仍以手工为主，检查的重点还停留在制度执行层面，风险洞察水平不高，严重影响了审计质量。

一、央行业务系统审计面临的现状与困境

1、业务系统可审性差。随着央行内审功能定位的清晰，内审工作的审计领域逐步拓宽，审计内容也日渐丰富，但对业务系统领域的审计还没有完全展开。目前，所有业务系统几乎都没有预置审计接口与审计用户，连简单的数据查询都需要通过被审计对象才能进行，同时由于信息量大，再加上内审部门缺乏相应的技术审计手段与审计力量，用有限人工的方法查找海量电子化信息，效率太低，要想筛选出有价值的线索无异于“大海捞针”；因没有设置监控点，最大限度保留、记录审计线索，各项违规操作、异常操作无从查找。

2、计算机辅助审计运用不广。由于应用系统开发各自为阵，各个系统由不同的开发单位开发，所采用的开发、应用平台不同、开发语言不同，数据库不同，没有一个统一的标准的数据化接口，加上内审部门没有专用的通用审计软件，使业务系统数据采集、转换、分析困难，另外，数据采集还涉及到数据导出后的保密问题，也成了数据采集困难的因素之一。加之内审部门计算机配备不足，能熟练掌握计算机专业知识及业务知识的人员偏少，计算机辅助审计仅停留在文字处理和电子表格处理层面，更深层次的数据筛选、数据分析、函数计算、数据统计和图形分析应用不多。

3、审计服务平台搭建不力。目前，央行内审业务尚未搭建起支持信息化审计的高效的服务平台，严重滞后于信息化审计工作的发展，成为难以突破的“瓶颈”。主要表现为：一是审计依据的更新不及时，给依据的查找、问题的定性带来极大的不便，许多审计人员反映，在依据查找、问题定性方面投入的工作量占整个工作量的近三分之一。二是审计成果难以利用，没有审计结果电子档案，审计部门难以及时了解、全面掌握审计对象的基本情况及其动态。三是审计分析难以深入，不便掌握内控运行趋势和找出内控薄弱环节轨迹。四是经验交流不实时，在审计实施中容易走弯路、重复审计，增加审计成本。

4、软件开发应用介入缺位。在目前的审计实践中，对业务系统的审计却往往绕过计算机审计，未能实现穿过计算机审计，仅对业务系统的运行环境、操作员控制、制度建设与管理等方面进行审计，对业务系统自身的可靠性、可行性审计这一关键环节却无能为力；二是业务系统培训、运用，审计人员缺少参与。各个业务系统在培训推广时，内审人员很少有机会参加，相应的制度及培训资料也难以获取。

四、央行业务系统信息化审计方法与途径探讨

1、深化辅助审计软件的有效应用。在内部审计实施过程中，计算机不能仅作为文字处理工具，而要进一步深化辅助审计软件的有效应用。在文字处理、电子表格、数据库分析管

理和图形分析四个方面，可建立符合基层央行业务特点的审计数学模型，探索开发中央银行通用审计软件。借助通用审计软件中相应的数据接口模块在不同的业务系统中采集数据，用转换工具，把取得的数据进行转换，从而有效地转换到审计软件中，形成统一的数据格式，以便进一步审计分析。

2、建立业务系统的嵌入式审计窗口。一是对现有的业务系统进行补丁，建立起由内部审计人员登录并提供由系统本身自动产生有操作风险或较严重误操作的记录的嵌入式审计窗口，从而增加对审计对象的介入深度和改进审计方式；二是对今后开发的业务系统，审计部门要提前介入，提供切合实际、有针对性的系统控制、程序控制和风险点控制等方面的需求报告，供开发人员研究设计，未经审计部门介入的业务系统软件，不能擅自推广应用。

4、加快建设信息化审计网络服务平台。信息化审计网络服务平台是为内部审计工作提供全方位的服务网络系统。网络服务平台可以包括：审计人才资源、审计对象与方法、审计依据法规、风险点及控制、审计成果转化与应用等，形成一个多层面、多角度、立体式的网络服务平台。

5、规避信息化审计风险。规避信息化审计风险是审计人员面临的新课题。信息化系统所固有的特性，使审计风险再所难免。如何最大限度地降低审计风险，只有靠审计人员敏锐的嗅觉、实战经验和一定的计算机应用系统分析水平。在审计实战中，一要运用电子数据易快速分类、排序、统计的特性，对电子数据进行关联、抽样分析等，以发现审计线索；二要检查业务系统的操作员分工、权限设置是否合理、严密，职责是否明确，分析密码管理机制是否安全、有效，系统各个功能模块设计是否符合央行内控要求；三要检查业务系统本身是否具有合理的安全保护措施，如容错性和系统灾难恢复机制等；四要检查被审计单位所提供的数据资料的真实性、时效性、完整性和连续性，必要时应进行复核；五要采用灵活的审计方式，如可采用就地审计或突击审计的方式，事先不通知被审单位计算机管理员，先取得备份数据，以防操作员将数据篡改、删除等。

7.论会计系统的信息审计 篇七

长期以来, 在应用信息技术 (IT) 过程中, 人们总是过多关注其中的技术 (T) , 而缺少对其中的信息 (I) 给予足够的重视, 然而, 当人们欣喜地看到IT使会计信息的相关性得以加强之际, 又更应当为会计信息的可靠性所受到的威胁深感担忧。为此, CO SO的风险管理框架、SO X法案、CIBIT等一系列IT控制规范相继出台, 而国际信息系统审计与控制协会 (ISA CA) 发布的诸多标准、指南和程序更是直接将焦点对准组织的信息资产的安全之上。我国《企业内部控制基本规范》和《企业内部控制应用指引18——信息系统》等规范文件的发布, 强调信息化环境下的会计信息的安全性与可靠性, 随后, 财政部于2009年发布的《关于全面推进我国会计信息化工作的指导意见》中, 提出未来5~10年会计信息化首要的工作目标, 是要建立健全会计信息化法规体系和会计信息化标准体系。国内外诸多IT控制与审计制度的不断涌现, 充分说明在构建会计信息化标准化体系之中, 当务之急是建立会计信息的生产与传递严密的控制与审计标准体系, 为此, 笔者在梳理国内外信息审计基本理论的基础上, 分析信息审计在会计系统中应用的必要性, 进而提出会计系统应用信息审计的若干思考, 以求这一工具与方法在我国会计系统中早日得以应用。

二、信息审计研究概述

对信息审计的研究, 主要集中在信息审计的基本概念、基本目标及信息审计的主要内容等方面。

(一) 信息审计的基本概念

目前, 信息审计内涵尚未有一个被理论界认同的概念。美国信息学家D.Ellis (1993) 首次将信息审计定义为:“审查已有的信息管理系统, 找出问题, 提供解决问题的备选方案” (任玉珍, 2009) , 试图将信息审计与信息系统审计合二而一, 以求寻找解决问题的方案。布彻南 (Buchanan, 1998) 和吉伯 (G ibb) 则将信息审计界定为:“对组织信息资源和信息流进行发现、控制和评估, 以实施、维护或改进组织的信息管理的过程”, 这一定义将信息审计的内容确定为信息资源与信息流两大部分至今影响至深。奥那 (O rna, 2004) 则将信息审计的对象拓展为人、文档和信息, 并认为, 信息审计是通过对一个组织中的人、文档等的查证, 系统地检查信息产生、利用和流动的情况, 进而确定其支持目标。英国信息管理协会 (A slib) 拓展了信息审计的内容, 指出它是参考组织的人员和已有文献, 对组织的信息资源、信息流和信息需求等方面进行的系统检查, 以确定其对组织目标的贡献程度。我国学者娄策勤和高策 (2009) 则结合当前新的信息环境和信息理论, 将信息审计看作是一种管理工具, 认为它是一种发现、解决组织信息管理缺陷的管理工具。黄亦西 (2005) 也指出, 信息审计是为了充分开发信息价值, 通过对组织的信息流和信息资源的调查、评估, 从而识别组织的信息需求, 确定组织的信息环境, 并制定相应政策的过程。

必须强调的是, 信息审计中的“信息”是一个广义信息的概念, 包括严格意义上的信息和数据两类。笔者认为, 处于IT广泛应用的今天, 信息与数据的细分必不可少, 它对人们研究信息审计的对象、内容和范围至关重要, 因此, 笔者将对应于数据审计的信息审计称为狭义信息审计, 以括号注明“狭义”。而将涵盖数据、信息的审计视为广义信息审计。

(二) 信息审计的基本目标

美国学者查菲 (Chaffey) 和伍德 (W ood, 2008) 指出, 信息审计是用来评价当前信息质量和管理行为的水平, 即“是什么”的问题。它也可作为一种状态分析的工具, 用以协助构建信息政策和评价信息战略的目标是否已经实现, 将信息审计看成是信息质量与管理不可或缺的工具。赖茂生 (2005) 认为, 信息审计的目的是为了实施、维护或提高组织机构的信息管理。胡善勤则从IT视角出发, 指出用以记录网络上各计算机行为的信息审计, 其目标有两个:一是可定期对各种网络行为进行采集、统计和分析等, 发现存在的漏洞并及时修补;二是在发生安全事故后可以进行信息分析, 找到事故原因, 进而采取相应的措施。可见, 信息审计的根本目标, 主要在于提升信息质量, 由于信息质量的优劣首先取决于信息资源对企业实现目标所作的贡献, 故而在当前情况下, 信息审计所面对的必然是企业的IT系统 (如ER P系统) , 基于IT视角可使人们进一步明确信息审计目标, 并为企业IT环境确定信息审计的内容与范围。

(三) 信息审计的主要内容

随着IT应用的深入, 众多学者认为, 不应把信息审计看成是一种选择, 而是达到确定信息资源的价值、功能和用途, 以便充分开发其战略价值的必要步骤。信息审计包括信息资源和信息需求两大内容, 但它是否也应包括信息流则是众说纷纭。鉴于信息流审计和信息流程重组中的众多理论和流程具有相似性, 有些学者认为信息流审计不应归属于信息审计范畴之内 (高策, 2009) 。笔者认为, 处于IT应用的初始阶段, 将信息流纳入信息审计的主要内容, 对于企业的系统信息流程的标准化与规范化建设具有重要的意义。这是因为, 信息流与企业组织流、业务流密切相关, 面对网络环境, 企业流程再造的本质就是实施三者的同步发展。而从企业ER P系统应用层面来看, 信息资源、信息流与信息需求三者不能单独割裂开来, 只有将信息流与信息需求、信息资源同步考察, 才能对企业的信息管理水平加以客观地评价, 并提出相应的改进意见。

信息审计对象应当涵盖信息图谱中的数据、信息和知识三个部分, 但对我国企业而言, 当前的数据审计与信息审计 (狭义) 首当其冲, 只有这二者真正得以成功实施, 并取得一定实效之后, 知识审计才可望顺利进行, 为此, 笔者重点分析数据审计与信息审计 (狭义) 的具体内容。

注:根据任玉珍:《信息审计的内容框架分析》, 《农业网络信息》2009年第7期, p120汇总整理。

从企业经营的业务内容看, 信息审计的对象可细分为采购、生产、销售、会计等各子系统的数据审计与信息审计 (狭义) , 这样才能根据各子系统的数据特点与具体内容, 对各类信息资源、信息流和信息的使用提出针对性的信息管理评价意见。不难想象, 那种既想获取企业信息审计的客观公正的评价意见, 又不涉足各业务内容深入考察的做法, 将难以实现审计目标。

三、信息审计在会计系统中的地位与作用

会计的价值并非来自于技术, 而是取决于会计信息的质量, 会计信息的增值首先是通过信息流的改善以降低资源的需求量, 通过高质量信息的共享对决策提供支持。为此, 采用信息审计以保证会计信息的高质量, 也就使会计系统信息管理与控制新增了一道坚实的屏障。

(一) 会计系统信息审计与财务报表审计并行不悖

财务报表审计的目标是对财务报表是否按照适用的会计准则和相关会计制度的规定编制, 是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量两大方面发表审计意见, 以提高财务报表的可信赖程度。而对会计系统而言, 作为IT时代的必然产物的信息审计, 其审计对象首先是以财务为主的信息资源, 以确保该信息资源的价值、功能和用途, 进而实施、维护或改进组织的信息管理的过程。虽然两者都有保证信息高质量的目标, 但审计内容与审计方法却大相径庭。而从两种审计的审计对象看, 虽然都是针对企业的信息资源, 但信息审计的范围要宽泛得多, 它不仅包括企业的货币、财务等定量信息, 而且还包含企业的非货币、非财务等定性信息。财务报表审计必须对被审单位财务报表的会计准则和制度的遵行性, 对财务状况、经营成果和现金流量的公允性发表审计意见。而信息审计则是从对企业信息资源、信息流程和信息需求等内容的价值、功能和用途加以评价, 发表审计意见。前者注重企业核心信息的合规性, 后者则注重企业信息管理质量的提升。从时空上来看, 前者注重对所产生财务信息的结果进行评价, 而后者则是对信息管理过程进行评价。尽管信息审计之初衷在于整个企业, 但在我国首先在会计系统中加以施行, 则是纲举目张之举。

(二) 会计系统信息审计与信息系统审计异曲同工

企业信息化的实践证明, 那种认为只要企业应用信息系统或相应的信息技术就能实现信息化、提高企业信息管理水平的认识有失偏颇, 企业信息化建设中的根本因素是信息资源建设问题。目前普遍存在的企业信息资源存量绝对值不足、信息需求匹配度不高、信息资源利用率低、信息资源成本高收益低等弊端。因此, 信息审计的当务之急, 是要对企业财务信息资源进行控制和评估, 以实施、维护或改进企业信息管理的水平。

尽管有学者将信息审计对象界定为信息管理系统, 但近20年来信息审计的实践及诸多研究成果表明, 审计信息管理系统的任务非信息系统审计莫属, 信息审计尽管与信息系统审计有着千丝万缕的联系, 但两者的审计目标、对象、范围、内容却有许多不同。R on.W eber (1999) 指出, 信息系统审计的目标在于判断被审的信息系统是否能够保证信息资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程, 它主要通过获取和评价所收集的证据来保证这一判断的客观公允性。信息系统是其审计对象, 获取和评价所收集的证据是其手段与方法。而信息审计的审计对象是数据与信息 (狭义) , 评价产生信息的被审系统则是其手段与方法。两者相辅相成、优势互补的同步, 可以从不同途径保证会计系统和信息的高效与高质。

(三) 会计系统信息审计与IT环境共生互动

自20世纪90年代初期以来, 越来越多的企业流程已经将大型信息系统纳入其中。由于这一技术转变, 数据和信息相对于产品的重要性正在凸显。目前很大一部分企业价值已经不在资产负债表之内, 在使用大量知识和信息的领域, 差异越发明显, 以至于越来越多的人想抛弃已经接受的簿记原则 (杰普.布勒姆等, 2008) 。可见, 会计系统的信息资源与信息需求面临着重新确认等问题, 而亨茨尔 (H enczel, 2001) 所提出的, 信息审计是通过识别组织的信息需求, 从而有效地确定组织当前信息环境的过程, 这一将识别信息需求作为信息审计的主要内容的观点, 对重新认识会计系统的信息需求具有十分重要的意义。会计的发展取决于两个因素, 一是环境的影响;二是用户对会计的信息需求, 信息技术的飞速发展, 促使会计系统与这一技术环境的共生和互动关系日趋明显, 而经济全球化的竞争态势又驱使会计信息不能局限于眼前以财务为主的经济信息的支持。因此, 会计系统面临着信息资源与信息需求的信息审计。

会计信息要力求增值, 无疑应当对其数据与信息的采集、处理与生成的基本流程逐一进行分析和提炼, 以便求得各流程、工序的精益求精。同时, 由于目前大中型企业纷纷使用ER P系统, 因而使会计子系统与其他子系统的数据联系越来越密切, 而其会计子系统中的管理会计、内部审计等子系统与财务会计子系统的无缝连接越发凸显, 为此, 针对数以万计存储于企业数据仓库之中的信息资源文件重新进行梳理与管理势在必行。而从审计的角度看, IT环境需要IT治理和IT控制, 这是因为这一环境所带来的系统、流程、技术等错综复杂的高风险局面, 许多大公司由于难以应对这一高风险局面而陷入信息危机与信息犯罪的旋涡之中。作为信息安全保证的必备工具与方法手段, 信息审计在当前会计系统的安全控制不足的状况下尤为必要。

四、信息审计在会计系统中应用的若干思考

尽管会计系统相对于企业其他子系统具有较为严格的信息生产程序、流程和规范, 但面对与ER P系统诸多子系统的日益交融局面, 会计子系统的数据与信息的管理产生许多问题, 如缺少对信息的集中化管理, 致使某些有用信息过于分散而难以被决策者获取与使用, 又如信息过载使得信息用户难以腾出足够的时间从纷繁复杂的信息中选择其所需要的信息等。诚如信息审计专家H.Botha和J.A.Boon所指出的, 需要对信息审计进行更多的研究, 在实践中测试更多的方法, 使信息专家能够开发出可以放心使用的可靠信息审计方法。笔者认为, 当务之急是在对信息审计的必要性取得共识的基础上, 探讨会计系统信息审计的主体与内容、审计方法、审计频率与审计重点等问题, 以使信息审计在我国早日应用。

(一) 会计系统信息审计的主体与内容

本质上说, 企业信息审计是企业内部审计的一个有机组成部分, 其规划、实施、完善的组织协调工作主要应由企业的内部审计机构为主体加以实施, 在聘请外部专家参与信息审计的基础上, 辅以企业内外部的相关审计人员来完善审计工作。但由于当前企业信息审计力量不足、缺乏专业胜任能力的人员, 故应形成由企业内部审计人员与信息主管人员为主的专业团队。

如前所述, 会计系统的信息审计包含会计数据审计与会计信息审计 (狭义) , 从实务上看, 前者的审计重点是会计数据的保护、采集、存储、记录和处理规范的管理, 而后者的审计重点则是对会计系统所产出的财务报告和提供决策支持信息的管理。从理论研究内容上看, 会计数据的审计应当研究会计数据的来源, 数据的检索与分析, 以及基于信息需求而对会计凭证和账簿等数据的采集、整理及记录规则等方面的管理。而会计信息审计的研究重点则是与流程、选择合适信息系统、信息获取及使用、各类会计信息对相应流程的重要程度, 以及与会计信息需求的目标相适应的信息体系的构建等。

(二) 信息审计的审计方法

作为人造系统, 会计这一应用系统的信息审计应以信息技术为手段, 围绕企业各应用子系统的应用过程与应用结果, 以及系统安全的合理性、过程行为的合法性、结果数据的真实性, 进行客观、适时的监测与审核, 将各种违规、可疑事件及时发出警报, 并提交改进信息管理的审计报告。

信息审计与信息系统审计同为内部审计的组成部分, 但其各自的审计方法不尽相同, 亨茨尔 (H enczel, 2001) 强调信息审计是一个循环的过程, 包括计划、数据收集、数据分析、数据评价、建议交流以及实施这样一个定期重复的过程。目前比较成熟的信息审计方法有信息地图法、集成审计法、信息流法和亨茨尔 (H enczel) 法等多种 (娄策勤、高策, 2009) , 针对会计系统的特点, 笔者认为选用信息流法和亨茨尔 (H enczel) 法为宜。信息流法既重视信息资源的识别, 又能同时对企业信息流进行分析, 这正是目前我国会计系统信息审计起步伊始所必须的。而亨茨尔法则是在分析信息流法和集成审计法的基础上, 提出了较为科学的信息审计7大步骤, 即计划筹备审计计划和准备, 通过案例分析取得高层支持;数据收集通过调研建立组织信息资源数据库;数据分析对收集到的数据进行标准化分析;数据评估进行数据判读, 提出建议;建议交流报告信息审计结果, 交流意见;实施建议开展信息审计建议改革项目;二次审计使信息审计经常化、规律化。对会计系统而言, 信息流中的电子凭证审核、记账凭证形成、账簿登录、银行对账和报表编制等沿用手工会计流程的做法, 能否符合信息管理与用户信息需求, 十分有必要在信息审计过程中进行重新审视与评价。

由于当前尚未形成标准化的信息审计方法体系, 因此在实际中, 许多信息审计项目多采用了传统的财务审计方法, 如成本/效益方法等, 这给信息审计实践造成了很大的困惑和混乱, 有的学者主张应将财务审计人员的经验与信息审计实践相融合, 尽早开发出一套适用于信息审计方法体系 (任玉珍, 2009) 。笔者认为, 借鉴财务审计的基本方法与经验, 固然是信息审计的实现途径之一, 但信息审计方法不能落入财务报表审计方法之中, 否则将有可能影响到信息审计任务的完成, 两者的审计目标相去甚远, 因而其审计方法也必然有很大的不同。鉴于信息系统审计与信息审计所具备的诸多共性, 借鉴日益成熟的信息系统审计中的信息流程审计与数据审计的方法不失为一种事半功倍的做法。

(三) 会计系统信息审计的频率与重点

会计系统的信息审计, 首先要明确信息用户对会计信息需求, 其次是要对目前可使用信息与信息用户所需要的信息进行信息资源差异对比分析, 进而根据当前状况提出消除上述差异解决方案, 并制定信息提供与信息流程再造的行动计划。从以上的审计过程看, 会计系统信息审计的频率与该系统的使用状况相联系, 即信息审计频率与系统使用时间相对应, 会计系统一旦受到升级或改进, 信息审计就应当紧随其后加以进行。然而, 应当注意的是, 在信息资源、信息流和信息需求三大信息审计内容中, 与系统升级或改进联系最紧的当属信息流。因此, 信息审计的频率可以因审计内容而定, 一旦会计系统的信息流受到改变, 就必须对其实施审计, 而信息资源与信息需求则可采用定期审计的方法, 根据企业经营决策与竞争的需求, 定期实施会计系统的数据审计与信息审计 (狭义) 。

信息审计包括数据审计与信息审计 (狭义) , 对会计系统而言, 数据审计应用研究的重点是会计数据的保护、采集、存储、记录和处理规范等方面, 而其理论研究的重点则是会计数据的来源、会计数据的检索与分析、会计凭证和账簿等数据的作用, 以及这些数据处理过程中的规范要求。而信息审计 (狭义) 应用研究的重点是会计系统所产出的财务报告和提供决策支持的信息, 其理论研究的重点则是与流程、选择合适信息系统、信息获取及使用、各类会计信息对相应流程的重要程度, 以及会计信息需求的目标等相关。

五、结论

疾速形成的网络化与无纸化等信息化环境, 促使会计系统的信息审计成为必然, 而作为信息化助推器的信息审计, 其审计目标、审计内容和审计方法等又确立了其在会计系统中数据与信息安全保障体系中的重要地位。伴随着我国信息审计理论研究的开展, 信息审计的成功应用可望水到渠成。届时, 信息审计与信息系统审计的并驾齐驱, 必然为我国会计系统信息的可靠与相关、信息管理的高质与高效提供强有力的支持。

参考文献

[1]任玉珍:《信息审计的内容框架分析》, 《农业网络信息》2009年第7期。

[2]娄策勤、高策:《信息审计方法比较研究》, 《图书情报工作》2009年第1期。

[3]黄亦西:《信息审计与知识审计的比较研究》, 《情报杂志》2005年第10期。

[4]赖茂生:《信息资源管理的技术方法》, http://irm.im pku.edu.en/ow nload/e07.pdf, 2005-12-17。

[5]胡善勤:《网络信息审计的设计与实现》, 吉林大学2008年工学硕士论文。

[6]高策:《企业信息审计研究》, 华中师范大学2009年硕士学位论文。

[7]戴维.查菲、史蒂夫.伍德著, 赵苹、陈守龙译:《企业信息管理:用信息系统改进绩效》, 中国人民大学出版社2008年版。

[8][荷]杰普.布勒姆、梅农.范多恩、皮亚士.米托尔著, 程治刚、张翎、张劲译:《SO X环境下的IT治理》, 东北财经大学出版社2008年版。

[9]Buchanan, S.and Gibb, F.The information audit:an integrated strategic approach.International journal of information management, 1998.

[10]Orna E.Information Strategy in Practice.Aldershol:Gower, 2004.

[11]Ron Weber, Information System s Control and Audit, Prentice-H allInc, 1999.

8.浅谈信息化过程中的信息系统审计 篇八

关键词：信息系统审计;企业信息化;信息系统

信息化是国家现代化的基本标志，也是一个国家综合国力的集中体现。信息化建设是一项长期的、综合的系统工程，在改善企业运作管理水平、提高工作效率的同时，也产生了巨大的风险。因此，建立信息系统审计制度，发展信息系统审计是信息化过程中必不可少的制度保证和手段。

一、信息系统审计的概述

1.信息系统审计的定义

信息系统审计（Information System Audit信息系统，简称ISA）目前还没有公认的通用定义，国际信息系统审计领域的权威专家Ron Weber将它定义为：收集并评估证据，以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源。可通俗的理解为是对信息系统的规划、开发、实施、运行和维护等各个环节进行评价，确保其符合企业经营目标的过程。

2.信息系统审计的业务内容

信息系统审计的业务内容包括计算机资源管理审计、软硬件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计。

信息系统审计项目按生命周期来划分，一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计。

信息系统开发过程中的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的。信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计；信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计。

3.信息系统审计的流程

信息系统审计流程包括三个阶段即:审计计划阶段、审计实施阶段和审计完成阶段。

计划阶段是信息系统审计流程的第一步，主要任务是了解被审系统的基本情况；与委托单位签订业务约定书；初步评价被审系统的内部控制及外部控制；确定重要性水平；分析审计风险和编制审计计划。

实施阶段的主要任务是根据重要性水平、风险和计划获取有关资料；进行符合性测试和实质性测试；对测试结果进行分析；找出导致结果的原因。

完成阶段的主要任务是整理、评价审计证据；复核工作底稿，完成二级复核，汇总审计差异，同被审系统管理层交流；对重要性水平和风险进行最终评价，形成审计意见，编制审计报告，完成三级复核。

二、信息系统审计的方法、技术与工具

由于信息系统本身的多样性和复杂性，信息系统审计的难度也随之增加。面对错综复杂的信息系统和审计环境，要求审计师可以根据审计组织及信息系统的实际情况，结合审计目标、成本效益、审计小组的人员与设备配置情况等，采用多种方法、技术和工具来帮助他们进行审计工作。

1.常规的审计方法、技术与工具

常规的审计方法包括面谈法、问卷调查法、系统评审会、流程图检查、程序代码检查、程序代码比较和测试等。但在高度计算机化的信息系统中，只采用常规审计法显然是不够的，无论是审计证据的收集、评价，还是实现审计工作的现代化，都需要借助计算机来高效完成。

2.计算机辅助审计的技术与工具

信息系统被普遍应用与企业生产、管理及经营活动的各个环节，审计师为达到审计目的，必须要收集大量储存于计算机中的数据，并借助于计算机对这些数据进行分析，以得出审计的结论。因此审计师在收集证据并分析证据时，必需利用计算机辅助审计工作，计算机辅助审计技术（Computer Assisted Audit Techniques，简称CAAT）越来越成为审计师不可或缺的手段。

计算机辅助审计技术可以使信息系统审计师独立收集审计信息，按照预定审计目标访问和分析数据、报告系统产生和维护的记录的可靠性等审计发现。所用信息来源的可靠性为得出审计结论提供了再保证。

常用的计算机辅助审计软件与技术：共用软件、测试数据、应用程序检查、审计专家系统、整体测试、快照、系统控制审计审核文档、其他特殊的审计软件等。

三、信息系统审计的应用价值

信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。信息系统审计为企业信息系统的有效管理提供了一系列详细的审计方法，从项目计划开始介入信息系统建设的每个环节，从项目的初始阶段一直到运营阶段的全过程，给予项目投资者风险控制的评价和建议，提高信息系统的投资效益。

信息系统审计可以查出各种错误和舞弊，合理地保证企业信息系统及其处理、产生的信息的真实性、完整性与可靠性；可以促进企业更有效地融入到社会生活中；可以促进企业改进内部控制，加强管理，提高信息系统实现组织目标的效率。信息系统审计在信息化过程中，帮助企业建立健全的内部控制制度，进行系统诊断。确定信息化的目标和内容，帮助企业调整现有的管理框架和流程或修改软件产品使其更好地服务于管理的需要。

参考文献:

[1]胡克瑾:IT审计[M].电子工业出版社，2004.

[2]孙 强:信息系统审计:安全、风险管理与控制[M].机械工业出版,2003.

[3]关莉莉:谈企业信息化过程中的IT审计[J]商业时代,2009(4)