（会计学专业论文）论我国的信息系统审计.pdf

论文摘要论文摘要 全文共分四章，主要是探讨了信息系统审计的概念、特点、内容、方法与流 程，论证了在我国开展信息系统审计的必要性与可行性，再通过对信息系统审计 在国内外发展现状的分析与研究， 揭示出我国信息系统审计在发展过程中存在的 问题，最后提出笔者关于我国信息系统审计发展的策略建议。 第一章 信息系统审计概述。首先对与信息系统审计相近的几个概念进行了 辨析，然后归纳出信息系统审计的概念，在与相近概念分析比较的基础上总结出 了信息系统审计的特点；接着在第二节探讨了信息系统审计的内容与方法，并结 合风险基础审计的理论和方法提出了信息系统审计的具体流程。 第二章 信息系统审计的必要性与可行性。主要论证了在我国开展信息系统 审计的必要性与可行性。 第三章 信息系统审计的发展现状与问题。首先对信息系统审计的发展历程 进行了回顾，介绍了国外信息系统审计的发展概况；然后对我国信息系统审计的 发展现状进行深入的分析， 最后揭示出我国信息系统审计在发展过程中存在的问 题。 第四章 我国信息系统审计的发展对策。在前面论述的基础上，针对现状和 问题，从思想认识、准则体系的构建、审计工具的开发、人才培养和制度建设上 提出了笔者关于我国信息系统审计发展的策略建议。 关键词：关键词：信息系统审计；现状；策略 abstract this thesis has four chapters.it mainly discusses the concept , characteristic , content ,method and process of isa, and demonstrates the necessity and feasibility of isa developing in our country. it also points out some existing problems in the process of isa development by studing and analysising the present condition of isa development both in china and abroad. finally the author brings forward her own opinions on the strategies for isa development in china. chapter one: the general introduction of isa. first the thesis distinguishes isa concept from other similar concepts of isa .then it concludes the concepts of isa . on the basis of comparing the above similar concepts of isa,it concludes the characteristic of isa. in section two the thesis discusses the contents and methods of isa , and then it brings forward the process of isa in the light of the theory and methods of the risk_based auditing. chapter two : the necessity and feasibility of isa. it mainly demonstrates the necessity and feasibility of isa development in china. chapter three: the current situation and the existing problems of isa development. firstly it review the history of isa development and introduce the general existing state of isa in foreign countries.then it analyses the developing state of isa in china and points out some existing problems in the process of isa development. chapter four :the countermeasure for isa development in china . contraposing the present condition and existing problems, the author concludes her own opinions on the strategies for the development of isa in china based on the analysis above. key words: information systems auditing(isa)；current situation ；strategies 厦门大学学位论文原创性声明厦门大学学位论文原创性声明 兹呈交的学位论文， 是本人在导师指导下独立完成的研究成 果。本人在论文写作中参考的其他个人或集体的研究成果，均在 文中以明确方式标明。 本人依法享有和承担由此论文产生的权利 和责任。 声明人（签名） ： 年 月 日 厦门大学学位论文著作权使用声明厦门大学学位论文著作权使用声明 本人完全了解厦门大学有关保留、使用学位论文的规定。厦 门大学有权保留并向国家主管部门或其指定机构送交论文的纸 质版和电子版， 有权将学位论文用于非赢利目的的少量复制并允 许论文进入学校图书馆被查阅， 有权将学位论文的内容编入有关 数据库进行检索，有权将学位论文的标题和摘要汇编出版。保密 的学位论文在解密后适用本规定。 本学位论文属于 1、保密（ ） ，在 年解密后适用本授权书。 2、不保密（ ） （请在以上相应括号内打“” ） 作者签名： 日期： 年 月 日 导师签名： 日期： 年 月 日 引言 1 引言引言 一、本文选题的意义和研究思路一、本文选题的意义和研究思路 信息系统审计作为新兴的研究与应用领域，近年来逐渐升温，注册信息系统 审计师（cisa）的数量正以每年 4050的速度增加，这充分显示了信息系 统审计的发展需求。一方面，由于信息技术的发展，引起审计的对象、范围、内 容和方法发生了变化，审计也由传统的手工审计、edp 审计和计算机辅助审计， 发展成为今天的对包括会计信息系统在内的所有信息系统的可靠性、安全性、保 密性、完整性及其实现企业目标的有效性进行的审计信息系统审计；另一方 面，信息技术的进一步发展与普及，使得企业越来越依赖于信息系统，要求对 it 技术相关风险进行审计，并及时修正其内部控制来监控和管理这些风险。目前我 国在信息系统审计领域的研究刚刚起步，因此，探索信息系统审计的理论体系， 分析信息系统审计发展的现状和存在的问题， 探讨我国信息系统审计的发展策略 对于有效促进信息系统审计的理论与应用体系的发展， 指导我国信息化建设具有 重要的理论和现实意义。 本文在大量阅读国内外有关信息系统审计资料的基础上， 吸收借鉴前人的研 究成果，主要采用规范研究的方法，通过对信息系统审计概念、特点和内容的探 讨，结合风险基础审计的理论和方法提出了信息系统审计的具体流程，论证了在 我国开展信息系统审计的必要性与可行性， 再通过对信息系统审计在国内外发展 现状的分析，揭示出我国信息系统审计在发展过程中存在的问题，并针对现状和 存在的问题结合我国的国情，在参照国际审计准则和信息系统审计与控制协会 （isaca）发布的准则体系以及最新颁布的 coso 报告下的内部控制的新发展 企业风险管理总体框架(enterprise risk management- integrated framework，简称 erm)的基础上，笔者提出了关于我国信息系统审计发展的策 略建议，以期起到抛砖引玉的作用。 二、本文的创新和不足二、本文的创新和不足 本文的主要创新在于结合风险基础审计的理论和方法提出了信息系统审计 的详细流程，大胆构建了我国信息系统审计的执业准则体系和管理运作机制。 论我国的信息系统审计 2 本文的主要不足在于，由于信息系统审计在我国发展的历程较短，笔者对信 息系统审计的认识尚不够深刻，本文的研究主要停留在理论的探讨上；同时由于 笔者学识水平、能力等方面的欠缺，在外文资料收集方面尚不够全面，在行文上 可能会出现用词的偏差以及理论糅合上的漏洞。 三、本文的框架结构三、本文的框架结构 全文共分四章，主要是探讨了信息系统审计的概念、特点、内容、方法与流 程，论证了在我国开展信息系统审计的必要性和可行性，再通过对信息系统审计 在国内外发展现状的分析与研究， 揭示了我国信息系统审计在发展过程中存在的 问题，提出笔者关于我国信息系统审计发展的策略建议。 第一章 信息系统审计概述。首先对与信息系统审计相近的几个概念进行了 辨析，然后归纳出信息系统审计的概念，在与相近概念分析比较的基础上总结出 了信息系统审计的特点；接着在第二节探讨了信息系统审计的内容与方法，再结 合风险基础审计的理论和方法提出了信息系统审计的详细流程。 第二章 信息系统审计的必要性与可行性。主要论证了在我国开展信息系统 审计的必要性与可行性。 第三章 信息系统审计的发展现状与问题。首先对信息系统审计的发展历程 进行了回顾，介绍了国外信息系统审计的发展概况；然后对我国信息系统审计的 发展现状进行总结分析，最后找出我国信息系统审计在发展过程中存在的问题。 第四章 我国信息系统审计的发展对策。在前面论述的基础上，针对现状和 问题，笔者大胆构建了我国信息系统审计执业准则体系和管理运作机制，提出了 开发信息系统审计软件，统一规范数据接口标准等策略建议。 第一章 信息系统审计概述 3 第一章第一章 信息系统审计概述信息系统审计概述 第一节第一节 信息系统审计的概念及特点信息系统审计的概念及特点 随着 it 技术应用的深入，信息系统审计正在迅速展开。与信息系统审计同 时出现的名词还有 edp 审计、电算化审计、计算机审计、计算机辅助审计、it 审计等，由于目前还没有比较权威的文献能同时对这几种概念作出明确的界定， 常造成人们对这些概念理解的偏差， 因此笔者认为有必要在此对这些概念进行逐 一辨析，以帮助人们清楚地认识信息系统审计的含义。 一、与信息系统审计相关的几个概念一、与信息系统审计相关的几个概念 1、 edp 审计（审计（electronic data processing audit，edpa） edp 审计就是指针对电子数据及其处理过程的审计，它是在计算机技术应 用于电子数据处理， 特别是应用于管理和会计核算的电子数据处理时出现和发展 起来的。世界上最早出现的 edp 审计专业组织是 1969 年在美国成立的 edp 审 计师协会，早期的 edp 审计的对象不是进行电子数据处理的计算机信息系统， 而是被审计机构的电子数据处理过程和结果及相关的控制，因此“edp 审计可 看作是信息系统审计的雏形” 。 2、 电算化审计（电算化审计（computerized audit ，ca） 电算化审计 是随着我国会计电算化的发展而逐步发展起来的，是指对使用 电算化会计信息系统的企业单位所进行的审计， 它强调审计对象是电算化会计信 息系统，而不论审计手段是手工的还是计算机化的。 3、 计算机审计（计算机审计（computer audit ，ca） 计算机审计是全球通用的概念，在我国较早见之于肖泽忠教授的计算机审 计一书。虽然至今尚无一致的解释，但一般认为，计算机审计是与传统手工审 计相对应的概念，主要是指运用计算机审计技术对与财政、财务收支有关的计算 庄明来 著 会计电算化研究m，北京：中国金融出版社，2001：p278 论我国的信息系统审计 4 机应用系统实施的审计，具体来说包括两方面的内容 ： （1）对包括会计电算化 在内的信息系统的设计进行审计， 以及对包括会计电算化在内的信息系统的数据 处理过程和处理结果进行审计。 （2）审计人员利用计算机辅助审计技术把计 算机作为工具，将计算机及网络技术等各种手段引入审计工作，建立审计信息系 统，帮助审计人员完成部分审计工作，实现审计工作的办公自动化。 4、 计算机辅助审计（计算机辅助审计（computer assisted audit，caa） 计算机辅助审计 （caa） 实际上是指计算机辅助审计工具与技术 （computer assisted audit tools and techniques，caatts） ，它强调的是审计方法、技 术和手段的计算机化。国际审计实务委员会认为“按照国际审计准则 15 电子数据处理环境下的审计的解释，在电子数据处理的环境下进行审计时，并 不改变审计的总体目标和范围。但是，审计程序的运用，可能要求审计人员考虑 利用计算机技术作为一项审计的工具。 计算机在这方面的各种使用称之为计算机 辅助审计技术。 ”国家审计署 则认为“计算机辅助审计，是指审计机关、审计人 员将计算机作为辅助审计的工具，对被审计单位财政、财务收支及其计算机应用 系统实施的审计。本办法所称计算机应用系统，是指被审计单位与财政、财务收 支有关的计算机应用系统。 ”本文也采用国家审计署对计算机辅助审计（caa） 的定义。 5、 信息技术审计（信息技术审计（information technology audit ，ita） 信息技术审计（简称 it 审计）常常被当作是信息系统审计（information systems auditing，isa）的代名词，但严格来说，it 审计与信息系统审计是不完 全相同的， 信息技术审计虽然也是针对系统的审计但更加强调对信息技术的审计 以及审计过程中信息技术手段的运用；而信息系统审计则是对信息系统的审计， 强调的是系统的概念。从英文含义看，使用 isa 这一概念对这一活动的描述较 ita 更为全面。 二、信息系统审计的基本概念二、信息系统审计的基本概念 信息系统审计，简称 is 审计（information systems audit，isa） ，至今还没 郭宗文，张红卫，胡仁昱 编著 计算机审计m，北京：清华大学出版社，2005 邓春梅，李嘉明，马宁信息系统审计及其相关问题分析j重庆大学学报 2004 （6） ：151-154 审计署：审法发1996376 号文件 审计机关计算机辅助审计办法，财会月刊：1997（4） ：5657 第一章 信息系统审计概述 5 有一致的定义，目前比较有代表性的定义有： 1. “信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证 资产的安全、 数据的完整以及有效率地利用组织的资源并有效果地实现组织目标 的过程” （ron weber，1999） 。 2. “为了信息系统的安全、可靠与有效，由独立于审计对象的 it 审计师， 以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价， 向it 审计对象的最高领导，提出问题与建议的一连串的活动 ” （日本通产省，1996） 。 我国学者胡克瑾 也借用和认可了日本的这一定义。 3. “is 审计是指对信息系统从计划、研发、实施到运行维护各个过程进行 审查与评价的活动，以审查企业信息系统是否安全、可靠、有效，保证信息系统 得出准确可靠的数据” （邓少灵，2002） 。 从 ron weber 的定义可看出， 信息系统审计既包括信息系统外部审计的鉴证 目标即对被审计单位的信息系统保护资产安全及数据完整的鉴证， 又包括内 部审计的管理目标即信息系统的有效性目标。 从日本通产省的定义则可以看 出 ：从过程角度而言，信息系统审计对象存在于信息系统的整个生命周期之中， 它是指各类以计算机为核心的信息系统及其相关的技术和管理活动， 在信息系统 建设整个生命周期的任何一个阶段，都能够指出其不合理之处(不只是技术的不 合理，还包括在客户业务与 it 技术的结合处存在的一些错误或不确定的因素)的 一种手段或方式。信息系统审计的主要目标是保证信息系统的可靠性、安全性和 有效性，实现委托方的组织目标。 综上所述，edp 审计强调的是对电子数据处理过程及结果的审计；电算化 审计则是我国学者创立的概念，强调的是对电算化会计信息系统的审计，而不论 审计手段是手工的还是计算机化的；计算机辅助审计强调的是计算机技术的应 用，是一种审计的技术与方法；而计算机审计概念相对最广，只要是审计师一方 使用计算机技术或是被审计单位一方使用计算机技术， 该审计过程都可以称为计 算机审计，故计算机审计概念至今仍然为全球所使用，从某种意义上说信息系统 ron weber information systems control and auditprentice-hall, inc1999 胡克瑾 等编著it 审计 m，北京：电子工业出版社，2002：p8 胡克瑾 等编著it 审计 m，北京：电子工业出版社，2002：p8 邓少灵企业 it 审计的框架j 中国审计，2002（1） ：58-60 郝晓玲信息系统审计与控制框架初探j上海管理科学 2003（4） ：4143 论我国的信息系统审计 6 审计也属于计算机审计的一部分；而对于信息技术审计（即 it 审计） ，目前业界 基本上把它与信息系统审计等同， 我们可以把it审计看作是is审计的一种别称。 但是不管是 edp 审计、电算化审计还是计算机审计目前在理论和实践上都停留 在与财政、财务收支有关的会计信息系统审计的层面上，审计的目标仅是会计数 据处理的合法性、合规性以及结果的正确性及完整性。 通过以上概念的辨析，我们可将“信息系统审计”界定为：信息系统审计是 指根据公认的标准和指导规范，对信息系统及其业务应用的效能、效率、安全性 进行监测、评估和控制的过程，以确认预定的业务目标得以实现。具体而言，信 息系统审计就是以企业或政府等组织的信息系统为审计对象， 通过现代的审计理 论和 it 管理理论，从信息资产的安全性、数据的完整性以及系统的可靠性、有 效性和效率性等方面出发，对信息系统从开发、运行到维护的整个生命周期过程 进行全面审查与评价，以确定其是否能够有效可靠地达到组织的战略目标，并为 改善和健全组织对信息系统的控制提出建议的过程。 三、信息系统审计的特点三、信息系统审计的特点 和上述与信息系统审计相关的审计概念相比，信息系统审计具有其独特的 个性，具体特点如下： 首先，信息系统审计是一个过程。它是一个获取并评价证据，以判断信息系 统是否能够保证资产的安全、 数据的完整以及有效率地利用组织的资源并有效果 地实现组织目标的过程，它贯穿于信息系统生命周期的全过程。 其次，信息系统审计的对象具有综合性和复杂性。isa 的对象是以计算机为 核心的信息系统， 它包含了除财务信息以外的其他与生产经营流程有关的所有信 息系统，其实质是审计对象及内容的拓展。从纵向(生命周期)看，覆盖了信息系 统从开发、运行、维护到报废的全生命周期的各种业务；从横向(各阶段截面)看， 它包含对软硬件的获取审计、应用程序审计、安全审计等。从这个意义看，isa 拓展了传统审计的内涵， 将审计对象从财务范畴扩展到了同经营活动有关的一切 信息系统。 第三， 信息系统审计拓展了传统审计的目标。 传统审计目标 仅仅包括了 “对 朱荣恩审计学m北京高等教育出版社，2000：p28 第一章 信息系统审计概述 7 被审计单位会计报表的合法性、 公允性及会计处理方法的一贯性发表审计意见” ， 中国独立审计具体准则第 20 号计算机信息系统环境下的审计第四条也 明确规定“注册会计师在计算机信息系统环境下执行会计报表审计业务，应当考 虑其对审计的影响，但不应改变审计目的和范围” ，由此可见 edp 审计、电算化 审计和计算机审计都没有改变审计的目标，但 isa 除了上述目标 外，还包括信 息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性。 第四，信息系统审计是事后、事前、事中审计的结合体。注册会计师所执行 的财务报表审计往往是年度审计， 属于事后审计。 而信息系统审计是事后、 事前、 事中审计兼而有之 。如信息系统在开发过程中，由审计人员介入所进行的审计 属于事中审计， 此项审计相对于系统运行后而对其所进行的审计而言又可以看作 是事前审计；信息系统运行后，对其在一定期间的运作情况所进行的审计则为事 后审计。 第五，信息系统审计的内容更加宽泛。信息系统审计包含了一切与信息系统 有关的审计， 除了整个生命周期过程及相关业务的审计外， 随着信息技术的发展， 还必将包括联网审计、电子商务审计、网站审计、asp 审计和 xbrl 审计等。 第六，信息系统审计是一种基于风险基础审计的理论和方法。很多组织都能 意识到技术带来的潜在好处， 然而成功的组织还能够理解和管理好与采用新技术 相关的很多风险。信息系统有着与生俱来的风险，这些风险用不同方式冲击着信 息系统，审计者面临着审计什么、何时审计以及如何帮助信息系统的管理者管理 和控制风险从而实现企业的战略目标的问题。因此，信息系统审计从基于控制 （control-based）的方法演变为基于风险（risk-based）的方法，其内涵包括企 业风险管理的整体框架 ：内部环境的控制、目标的设定、风险事项的识别、风 险的评估、风险的管理与应对、控制、信息与沟通以及对风险的监控。 孙强 主编信息系统审计：安全、风险管理与控制m，北京：机械工业出版社，2003：p90p91 吴沁红信息技术环境下财务审计与信息系统审计的比较j中国注册会计师，2004（8） ：38-40 金彧昉，李若山，徐明磊coso 报告下的内部控制新发展从中航油事件看企业风险管理j会计研 究，2005（2） ：3239 论我国的信息系统审计 8 第二节第二节 信息系统审计的内容、方法与流程信息系统审计的内容、方法与流程 一、信息系统审计的基本内容一、信息系统审计的基本内容 信息系统审计的对象是以包括信息系统环境以及与此有关的业务在内的以 网络及计算机为核心的信息系统，覆盖了信息系统从规划、开发、运行、维护到 报废的整个生命周期的过程。它拓展了传统审计的内涵，将审计对象从财务范畴 扩展到了同经营活动有关的一切信息系统， 具体来说信息系统审计的基本内容包 括 ： 1. 计算机资源管理审计 2. 硬件、软件的获取审计 3. 系统软件审计 4. 程序审计 5. 数据完整性审计 6. 系统开发审计 7. 应用系统开发审计 8. 系统运行审计 9. 系统维护审计 10. 操作审计 11. 安全审计 其中系统开发审计、系统运行审计和系统维护审计合称系统生命周期审计。 “美国公认信息系统审计师考试” 将信息系统审计的这些基本内容的相互关联关 系概括如图 1 所示，它表明了执行信息系统审计业务时的先后顺序，其中应用系 统开发审计、 系统维护审计和安全审计都与程序审计有关， 都要检查系统的程序。 胡克瑾 等编著it 审计 m，北京：电子工业出版社，2002：p12p13 第一章 信息系统审计概述 9 图 1 信息系统审计基本内容相互关系关联图 图 1 信息系统审计基本内容相互关系关联图 资料来源：胡克瑾 等编著it 审计 m，北京：电子工业出版社，2002：p13 二、信息系统审计的流程二、信息系统审计的流程 信息系统审计的流程是指信息系统审计工作从开始到结束的整个过程， 它包 括三个阶段：审计计划阶段、审计实施阶段和审计报告阶段。 （一）信息系统审计计划阶段 计划阶段是整个信息系统审计过程的起点， 主要任务是通过调查被审计单位 的内部环境 ，初步评价审计风险，接受审计委托，制定审计计划。对风险的分 析构成了对一个组织内部控制的总体了解， 一般来讲信息系统审计计划阶段主要 工作包括： 1. 调查了解被审计单位经营的外部环境，初步评价固有风险，以决定是否 接受审计委托，见表 11 步骤 1 信息系统审计人员需要从行业分析中确认客户经营处于什么样的竞争形势 之中，面临着什么样的风险威胁以及可能会遇到哪些棘手的问题，具体包括收集 被审计单位所处行业的整体情况及其在行业中的位置与处境， 初步认定行业固有 风险，确认影响被审计单位经营管理的主要外部因素，并根据初步评价的固有风 险的大小决定是否接受审计委托。 2. 与被审计单位签订审计业务约定书，见表 11 步骤 2 根据最新颁布的 coso 报告 企业风险管理总体框架 (coso_erm)内部环境包括风险管理理念和风 险容量、诚信和道德价值观，以及他们所处的经营环境。 论我国的信息系统审计 10 审计业务约定书是会计师事务所与客户达成的关于审计业务的协议， 是执行 具体审计项目所依据的框架， 它规定了信息系统审计工作的范围以及与审计相关 的其他各项条款。 3. 调查了解被审计单位及其信息系统的内部环境，继续评价固有风险，见 表 11 步骤 3 需要了解的基本情况主要包括 ：第一，被审计单位的业务性质、组织结构、 现行的信息系统以及信息系统的战略规划；第二，被审计单位的经营管理工作对 信息系统的需求，这有助于信息系统审计人员确定被审计信息系统资源的重要 性；第三，收集关于被审计单位关键管理人员的背景和品行，以及管理层对内部 环境变化的反应和被审计单位权力结构状况的信息；第四，被审计单位的应用系 统信息处理的具体情况；第五，被审计单位对外包给其他组织的信息系统活动的 依赖程度。 4. 初步评价被审计单位的内部控制制度，确定重要性，进行风险的分析与 评估，见表 11 步骤 4 审计风险的分析是计划阶段的重要工作， 审计人员应了解被审计单位的内部 控制制度特别是信息系统的内部控制制度，对内部控制的健全性进行初步评估， 以确定需要测试的项目，确定重要性水平，制定测试计划，具体包括了解：信息 系统的结构、所使用的硬件和软件，以及应用系统的控制等。 这是审计证据收集过程的重要环节，通过评价被审计单位的内部控制制度， 进行风险的分析与评估，可以确定将要执行的审计证据收集的工作量，确定风险 领域。 5. 编制审计计划，并向管理层递交审计计划书，见表 11 步骤 5 审计计划应形成书面文件，并在审计工作底稿中加以记录。审计计划的基本 内容应当包括： 被审计单位的基本情况、 审计范围和重点、 审计步骤和时间安排、 人员分工、运用的信息系统审计方法、审计中应注意的事项和其他有关内容。 （二）信息系统审计实施阶段 信息系统审计实施阶段，是根据计划阶段确定的范围、要点、步骤、方法， 吴沁红 著信息系统审计研究d 财政部财政科学研究所博士论文，2002：p42 杨周南 主编会计电算化中级培训教材 m，北京：现代出版社， 2003：p284p287 吴沁红 著信息系统审计研究d 财政部财政科学研究所博士论文，2002：p42p48 第一章 信息系统审计概述 11 进行取证、评价，借以形成审计结论，实现审计目标的中间过程。它是信息系统 审计全过程的中心环节，主要由符合性测试阶段和实质性测试阶段构成。 1. 实施符合性测试 符合性测试的目标是审查被审计单位信息系统的内部控制制度的建立及遵 守情况，根据测试结果修订审计计划，确定后续测试实质性测试的程度。为 此信息系统审计人员需要对信息系统的一般控制和应用控制执行一系列的测试， 具体步骤 如下： （1）目标设定 主要是为审计工作预先设定各个独立的信息系统和控制系统各自的目标， 见 表 11 步骤 6。 （2）事项识别 通过记录被审计单位执行中的信息系统和控制系统，以及整体的控制环境 （见表 11 步骤 7） ， 证实所记录的信息系统和控制系统设计科学、 运行有效 （见 表 11 步骤 8） 。 （3）风险评估 通过复核对被审计单位控制系统记录、测试的结果，据此对控制系统进行评 价，确定控制风险的估计水平（见表 11 步骤 9） 。 （4）风险应对措施 审核抽查结果确定是否符合规定的程序（见表 11 步骤 10） ，如果不符合 则识别实际程序（见表 11 步骤 11） ，并将实际程序和补偿性控制与规定的程 序进行比较（见表 11 步骤 12） ，如果实际程序不适当则表明控制程序不适当 或没有一贯应用（见表 11 步骤 13） ，说明这是一个无效的信息控制系统，应该 执行大量的实质性测试（见表 11 步骤 14） ；如果抽查结果符合规定的程序，或 者虽然抽查结果没有符合规定的程序但是实际程序和补偿性控制与规定的程序 适当，则说明控制程序适当并一贯应用（见表 11 步骤 15） ，这是一个有效的 信息控制系统，应当执行有限的实质性测试（见表 11 步骤 16） 。 在符合性测试的结论中，审计人员应对控制程序的遵守情况予以记录和说 参照了最新发布的 coso 报告企业风险管理总体框架 （coso_erm）中有关企业风险管理的八 个构成要素的规定。 论我国的信息系统审计 12 明， 并就规定的程序和补偿性控制是否适当及其在该组织中是否一贯应用得出结 论。根据符合性测试的结果，审计人员要确定所需要执行的实质性测试的程度并 修订审计计划，以便为确定控制过程是否适当提供合理保证。一般来说内部控制 越强（内部控制程序适当并一贯应用） ，信息系统出现差错的机率就越小，审计 人员则可以相应地减少实质性测试的范围与数量， 执行有限的实质性测试。 反之， 内控制控制越弱（内部控制程序不适当或没有一贯应用） ，信息系统出现问题的 机率就越大，审计人员则应加大实质性测试的范围与数量，执行大量的实质性测 试。 2. 实施实质性测试 实质性测试是对交易和事项的详细测试或分析性复核测试， 以获得审计期间 这些事项或交易合法、完整、准确或真实存在的审计证据。 信息系统条件下的实质性测试与手工会计核算系统中的实质性测试在目的 是相同的，只是在测试手段、内容、方法、对象和时机上有所不同。例如为评价 数据是否完整、准确、一致，信息系统审计人员需要从系统的安全性角度出发来 对应用系统所处理的有关交易进行实质性测试；再比如为评价系统的效率，审计 人员要对提交给应用系统的交易抽样审查其响应时间， 以确定响应时间是否在可 接受的范围之内。 实质性测试的目的就是要实施必要的数据测试， 对能否达到组织特定的控制 目标向管理层提供最终的保证或不保证，其结果是发布信息系统审计报告的依 据。具体步骤如下： 第一，根据符合性测试的结果，为了证实交易都得到了有效控制，审计人员 需要确定进行实质性测试的交易的范围、 数量以及抽样方法 （见表 11 步骤 17） 。 第二，判断是否需要大量测试（见表 11 步骤 18） ，如果符合性测试结果 表明是一个无效的信息控制系统则应该进行大量的随机或统计抽样（见表 11 步 骤 19） ，否则就执行有限的随机或判断抽样（见表 11 步骤 20） 。 第三，由于审计人员对每一类交易事项的评价都必须有充足的关于交易记录准确 性与完整性的审计证据的支持，因此需要确认所有的交易事项均已经被准确记录的 可能性（见表 11 步骤 21） 。 第四，判断就样本而言是否达到控制目标（见表 11 步骤 21）？对能否达 第一章 信息系统审计概述 13 到组织的控制目标向管理层提供最终的保证或不保证（见表 11 步骤 24、23） 。 （三）信息系统审计报告阶段 信息系统审计报告阶段也称为信息系统审计完成阶段， 信息系统审计人员必 须运用专业判断，综合所收集到的各种证据（见表 11 步骤 25） ，以经过核实 的审计证据为依据， 形成审计意见， 出具信息系统审计报告 （见表 11 步骤 26） 。 根据国际信息系统审计与控制协会（isaca）发布的信息系统审计准则 070.010 的相关规定，信息系统审计报告没有统一强制性的报告形式，但审计报告中应说 明信息系统审计范围、目标、期间和所执行的审计工作的性质和范围，以及信息 系统审计结论、信息系统审计建议。此外，信息系统审计报告中还应指明信息系 统审计所采用的依据和信息系统审计技术，以及与之有关的审计结果。信息系统 审计人员在审计过程中受到被审计单位或客观环境的限制， 而对某些重要事项不 能提供充分完整的资料，也应在信息系统审计报告中予以说明。 综上所述，信息系统审计的流程可以概括为如下表 11 所示： information systems audit and control associationstandards for information systems auditing，from http：// , 2005 论我国的信息系统审计 14 表表 11 信息系统审计流程：审计阶段、审计证据收集程序和主要审计目标信息系统审计流程：审计阶段、审计证据收集程序和主要审计目标 第一章 信息系统审计概述 15 论我国的信息系统审计 16 本表综合参考了： 英 伊恩格雷（laingray） ， 斯图尔特曼森（stuartmanson）著；吕兆德，樊朝晖，吕睿智， 李民，朱大庆 译审计流程：原理、实践与案例（第二版）m，北京：中信出版社，2003：p153p157 杨周南 主编会计电算化中级培训教材 m，北京：现代出版社， 2003：p284p287 吴沁红 著信息系统审计研究d 财政部财政科学研究所博士论文，2002：p42p48 information systems audit and control association standards，guidelines and procedures for is auditing， 2002 cobit audit guidelines, april 1998 2nd edition . released by the cobit steering committee and the information systems audit and control foundation: p214. 美 詹姆斯a 霍尔（james a hall）著；李丹，刘济平 译 信息系统审计与鉴证 m，北京： 第一章 信息系统审计概述 17 中信出版社，2003：p7p8 三、信息系统审计的方法三、信息系统审计的方法 由于信息系统的复杂性，信息系统审计与传统的财务审计在审计对象、目标 与方法上存在很大的不同， 当然在执行信息系统审计时传统财务审计的某些方法 依然适用， 例如可以通过面谈法和问卷调查法了解被审计信息系统的基本情况及 内部控制的总体情况。但信息系统审计主要是利用计算机辅助审计技术和工具 （computer assisted audit techniques and tools，简称 caatts）进行， caatts 贯穿于信息系统审计的全过程。在信息系统审计工作中常用的计算机辅 助审计技术有： （一）测试数据法 测试数据法 是指由审计人员将预先设计好的测试数据（包括正常的、有效 的业务数据和不正常的、无效的业务数据）输入被测试程序加以处理，并将处理 结果与事先计算的结果进行对比分析， 从而验证有关应用程序处理逻辑和控制的 有效性、可靠性和完整性的方法。其原理和技术流程如图 2 所示： 图图 2 测试数据法测试数据法 资料来源： 美 詹姆斯a 霍尔（james a hall）著，李丹 刘济平 译 信息系统审计与鉴 证 m，北京：中信出版社，2003：p228 测试数据法有三大优点：第一，它能够为审计人员提供有关应用程序功能的 明确而详细的证据，适用范围较广；第二，测试数据的运行对公司运作的干扰最 吴沁红 著信息系统审计研究d 财政部财政科学研究所博士论文，2002：p54 论我国的信息系统审计 18 小；第三，它对审计人员中计算机专家的数量要求较少。但其缺点 也是明显的： 首先，审计人员必须从被审单位那里获得一份用来测试的应用程序，这就隐含一 个风险被审单位可能有意或无意地向审计人员提供错误版本的应用程序， 从 而可能降低了审计证据的可靠性；其次，测试数据法只是在一个时点上提供有关 应用程序完整性的静态画面，而不能收集有关持续运行中应用程序功能的证据； 最后，由于是对应用程序的逻辑功能的测试，因此需要审计人员充分了解应用程 序的内部逻辑，并建立测试数据，这导致它的实施成本高且难度较大。 （二）综合测试工具法（itf） 综合测试工具（integrated test facility，简称 itf）是应用程序在系统的开发 过程中设计的一个或多个模块， 它的原理是在应用系统中嵌入 itf 模块处理审计 测试数据，然后将测试结果与预期结果进行对照分析，从而核实处理过程的真实 性、正确性和完整性，它能够使审计人员在应用程序的正常操作过程中测试程序 的内部逻辑和控制。 在设计综合测试工具审计模块时应该注意使其能够区分综合 测试工具交易（虚拟的交易）和正常生产交易（实际的交易） ，以免干扰被审计 信息系统的正常工作。图 3 阐明了综合测试工具的原理和技术流程。 图图 3 综合测试工具法综合测试工具法 资料来源： 美 詹姆斯a 霍尔（james a hall）著；李丹，刘济平 译 信息系统审计与 鉴证 m，北京：中信出版社，2003：p232 美 詹姆斯a 霍尔（james a hall）著；李丹，刘济平 译 信息系统审计与鉴证 m，北京： 中信出版社，2003：p230 第一章 信息系统审计概述 19 综合测试工具法与测试数据法相比，有两大优点 ：第一、itf 可以执行持 续不断的测试， 从而能满足 coso 委员会 审计准则公告第 78 号 （sas no. 78） 对控制持续监督的要求，并且不会引起系统操作成本的大幅度提高，因为它不需 要对现有计算机处理程序做特殊的修改；第二，itf 能够经济地测试应用程序， 而不必干扰用户的操作和干涉计算机服务人员。 但是 itf 有可能会破坏被审计单 位的数据文件和由于混淆综合测试工具的测试交易和实际交易而对被审计单位 的财务报告造成重大影响。 （三）系统控制审计评审文件法（scarf） 系统控制审计评审文件法（system control audit review file，简称 scarf） 也称为嵌入审计程序法， 是指预先在应用系统的重要控制点上嵌入审计软件对系 统中的事务进行连续监控，收集有关系统事务及其处理的重要信息，并存放在一 个特殊的审计文件scarf 主文件中，审计人员通过审查该文件提取审计证 据从而判断被审计程序的处理和控制功能的可靠性 ，其原理和运行方法如图 4 所示。具体来说 就是当用 scarf 来审计交易时，审计人员将一个预先设置好 的代码或参数放到系统的程序里，当任何交易达到预设的标准时，就被抽取来进 行测试，从而判断系统控制是否正确。 scarf 可以大量地应用于业务数据的实质性测试，也可用于测试应用程序 的控制是否有效执行，它可以在日常业务处理的同时获取审计证据，并且可以避 免被审程序不是实际运行的程序的风险。但是由于是在应用系统中嵌入程序模 块，这样可能会增加系统负荷从而会降低被审计单位系统的工作效率；并且当被 审计应用系统变化时（如需求改变而导致程序变化） ，嵌入的审计模块也要随之 更改，从而可能增加审计成本。 欧先锦谈信息系统审计j重庆职业技术学院学报 2004（4） ：116-121 周新玲我国 it 审计的发展对策j科技进步与对策 2004（3） ：123124 英 伊恩格雷（laingray） ，斯图尔特曼森（stuartmanson）著；吕兆德，樊朝晖，吕睿智， 李民，朱大庆 译审计流程：原理、实践与案例（第二版）m，北京：中信出版社，2003：p275 论我国的信息系统审计 20 图图 4 系统控制审计评审文件系统控制审计评审文件 scarf 转引自：david coderre. caatts and other beasts for auditors. global audit publications,vancouver b.c.,canada （四）快拍技术 快拍技术 （snapshot） ，也称为程序追踪法，是指在应用系统中的重要处理 点嵌入可以 “拍照” 的审计程序， 当事务流经应用系统时嵌入式审计软件可以 “捕 获”事务的前映像和后映像，通过检验前映像和后映像及其转换情况，据以评价 应用系统事务处理的真实性、正确性和完整性。其原理和技术流程如图 5 所示。 快拍技术一般可用来测试被审计程序的控