信息系统审计的内涵及适用性探讨

信息系统审计的内涵及适用性探讨中图分类号：F239.4文献标识：A文章编号：1009-4202（2013）03-000-01摘要随着计算机技术普及，信息系统在企业运营中起到越来越重要的作用，信息系统审计也受到了各方的关注，但是由于信息系统审计发展的时间短，人们对其的认识还不够全面。本文将在明确信息系统审计内涵的基础上，深入探讨信息系统审计的组织方式及其适用性。关键词信息系统审计内涵组织方式适用性随着计算机技术普及，各种信息系统在帮助企业改善运作与管理水平的同时，也带来了许多风险。这些风险如果得不到及时发现和控制将会对企业形成巨大威胁，因此对信息系统的审计被日益关注。但是其发展历史还不长，此概念为我国企业管理人员和社会审计人员所认识已经是21世纪。因此，我们对于信息系统审计的认识还不够全面深刻。本文将通过对信息系统审计内涵的深入剖析，引申出其审计的方式，并针对不同的审计方式初步探讨信息系统审计的适用性。一、信息系统审计的内涵信息系统审汁是在电子数据处理审计基础上发展起来的。目前学术界对信息系统审计概念没有统一的意见，但主流概念有两种：一是RonWeber在1999年提出的“信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程”；二是日本通产省在1996年提出的“为了信息系统的安全、可靠与有效，由于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导，提出问题与建议的一连串的活动”。这两种概念都是审计目标出发来定义的，信息系统审计的目标都是针对信息系统的安全、可靠、有效来实施的。二、信息系统审计的两种组织方式审计是为了解除受托方对委托方的责任而产生的，能集中反应受托方的履约责任的载体是一个企业的财务报告，因此，审计的主要对象一直是集中在财务审计上的。而信息系统审计根据其与财务审计关系可以分为两种组织形式：与财务审计相结合的组织方式和专门进行信息系统审计的组织方式。（一）与财务审计相结合的组织方式的目标和特点与财务审计相结合的信息系统审计是从财务审计出发的，以财务审计为主，信息系统审计为辅，这种信息系统审计是为减少财务审计风险服务，为财务审计提供最低限度保证。其审计目标可以确定为两方面：一是保证系统软件和相关模块未被非法篡改。在当今信息化企业系统中，被审计单位财务数据都要通过信息系统进行处理，如果信息系统本身即被非法篡改，那么财务数据的真实合法无从谈起；二是保证与信息系统相关的内部控制存在并有效。信息系统是企业内控重要组成内容，确保企业信息系统的真实、合法、有效等目标是内控应达到的目标之一。信息系统的内部控制是否存在且有效直接影响了其真实、合法和有效，进而影响了财务审计中财务收支数据的真实、合法和准确。（二）专门进行信息系统审计组织方式的目标和特点专门进行信息系统审计的组织方式，即经过单项、单独实施并且单独出具审计报告进行信息系统审计的方式。这种审计必须是单项批准的，不从属于其他财务审计项目，其地位与从属于其他审计项目时是不同的。单独实施信息系统审计时要为信息系统审计配备专门的人员，在时间、经费等审计资源方面也与其他审计分开，与其他审计没有必然的联系，也不为其他审计服务，其有自身的目标。由于信息系统审计在审计的内容、过程、方法以及审计人员的知识结构等方面，都与其他审计有很大区别，因此单独实施是信息系统审计自身的内在要求。最后，专门进行的信息系统审计还必须单独出具审计报告。审计报告作为审计工作的最终成果，在审计项目中具有标志性意义。专门进行的信息系统审计，既然是单项又是单独实施的，就应单独出具审计报告。三、信息系统审计两种组织方式的适用性任何一种组织方式都不会完全正确或完全错误，都有其各自的适用性，其自身的特点决定在什么情况下能发挥出最大的作用，那么在这种情况下其就是最好的。本文根据这两种组织方式各自的特点确定其适用的范围。与财务审计相结合的信息系统审计一般是伴随着财务审计进行的，其目的主要是为财务审计服务，减少财务审计风险。在财务审计之前，审前调查发现被审计单位可能存在信息系统方面的问题，为了减少审计风险，可先对信息系统进行审计，然后再针对信息系统薄弱环节，有针对性地进行财务审计。根据此特点，显然与财务审计相结合的信息系统审计方式适用于前述第一种类型的企业，在这样的企业中，信息系统对于财务数据的正确与否起到作用，而对企业的其他方面起的作用较小，其是企业财务的组成部分，那么在审计过程中与财务审计相结合是一种经济有效的方式。如果对这样的企业实施专门信息系统审计则是没有必要的。专门进行的信息系统审计是单纯的信息系统审计，并不伴随着财务审计同时进行。这种审计方式适用于前述第二种企业，在这样的企业中信息系统关系到企业运营的方方面面，贯穿于企业的整体，如果不对其进行专门的审计，不从信息系统周期的角度对其进行关注是无法发现其中存在的问题的，在次情况下专门信息系统审计是必须的可行的。审计人员为了对某信息系统的安全、可靠、有效和效率性以及信息系统是否符合组织目标进行评价，可以进行专门的信息系统审计，并根据所获得审计证据得出审计结论。在此情况下，可以应用审计的一般方法和计算机方法相结合，并且对计算机方法着重关注。参考文献：1周小又.信息系统审计初探.科技情报开发与经济.2008（16）.2吴沁红.信息