一、信息系统审计的定义

 

　　信息系统审计，是对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程，以检查系统的有效性。具体而言，信息系统审计就是通过现代的审计理论，以企业或政府等组织的信息系统为审计对象，从信息资产的安全性、数据的完整性以及系统的稳定性、效率性等方面出发，对信息系统的整个生命周期过程，包括系统从开发、运行到维护的整个过程进行全面审查与评价，确定其是否能够有效可靠地达到组织的战略目标，最终达到改善和健全信息系统的控制并且提出建议的目的。

 

　　二、信息系统审计的现状及存在的问题

 

　　现代企业的业务运作更加依赖于计算机网络信息系统，但由于信息系统本身特点所具有的脆弱性，将使信息系统环境下审计风险加大，使审计遇到风险。审计风险因客户的会计系统和内部控制使用计算机而呈现出新的特征。信息化带动工业化，客观上提高了我国的信息化水平。新经济时代的到来，电子商务的蓬勃开展，信息化建设的普及，必将催生信息系统审计在我国的蓬勃发展。然而，信息系统审计在实践运用中存在不少问题，主要集中在以下几个方面。

 

　　（一）没有完备的理论体系

 

　　一种职业要牢牢地立足于社会，就必须要建立一套成熟的理论体系。否则，它将仅仅是一门实践学，是一种手艺，而不是一门科学。从计算机审计角度来看，审计一般要经历绕过计算机审计、透过计算机审计、利用计算机审计等三个阶段。目前，我国的审计实务还停留在绕过计算机审计阶段，信息系统审计工作目前还处于探索阶段，还没有形成一套成形的专业规范理论结构。关于信息系统审计的程序标准、准则和法律还没有出台或并不完备，有些甚至还是完全空白。

 

　　（二）我国信息系统审计的制度不完备

 

　　信息系统审计相比较传统的审计在审计方法、对象、技术上都发生了很大的变化，传统的审计制度准则、法律法规体系已不能适应指导和规范信息系统审计的实践，而新的关于信息系统审计的准则和法律还有待进一步完善。近几年，国务院、审计署、注册会计师协会先后颁布了《中华人民共和国计算机信息系统安全保护条例》、《审计署关于计算机审计的暂行规定》、《审计机关计算机辅助审计办法》等，对于规范信息系统审计起到了一定的推动作用，但总体来说，我国的信息系统审计制度还不完善。

 

　　（三）信息技术的核心技术被垄断

 

　　核心技术被少数的大公司所掌握，他们为保持其垄断地位不会轻易公开其技术秘密，这种现象无疑使以信息系统为审计对象的信息系统审计的范围受到限制。例如信息系统普遍依赖的操作系统和数据库系统的核心技术就掌握在少数的大公司手上，这些技术对信息系统的可靠性和安全性有重大影响，但信息系统审计人员由于不了解这些信息技术及其源代码，难以找到科学有效的方法对其进行审计。

 

　　（四）信息系统审计人才缺乏

 

　　由于计算机行业飞速发展，许多审计人员的计算机水平和其专业审计知识得不到同步提高。而信息系统审计对审计人员综合素质的要求很高，不仅要具有扎实的专业基础知识、电算化知识、网络信息技术知识，还要有较强的职业判断水平、分析与表达能力、对信息系统输人输出的控制能力，在数据处理过程中对有可能发生的舞弊情况有深刻的把握和认识。这促使一种新的职业——信息系统审计师诞生，但这类综合素质优秀的审计人才在目前十分缺乏，这将制约着审计信息化在我国的建设和发展。

 

　　（五）缺乏合适的信息系统审计工具软件

 

　　国外审计软件的研制与开发始于20世纪60年代中期，迄今已开发出功能强大为审计人员广泛接受的产品，其中ACL软件和IDEA软件最具代表性，这些通用审计软件具有强大的数据存取、访问和报告功能，但是其局限性也是明显的：首先，他们只能进行事后审计而不能实施并行审计；其次，他们对应用系统处理逻辑的验证有缺陷，通常通用审计软件是使用现场数据对应用系统进行测试的，但现场数据并不能代表例外事项，致使应用系统对例外事项处理的准确性和完整性得不到测试，针对这种情况，审计人员必须自行设计测试数据；再次，通用审计软件不能取得应用系统能否恰当适应用户需求的证据，审计人员必须采用其它方式才能取得。由此看出，目前还缺乏有效易用的通用信息系统审计工具软件。

 

　　三、完善信息系统审计的建议

 

　　（一）优化完善信息系统

 

　　随着人们对信息系统依赖性的日益增强，对信息系统安全性和稳定性的控制已经成了信息系统管理的核心内容，如果企业无法对其信息系统妥善维护管理，系统一旦瘫痪，将导致大量宝贵的数据流失。此外，信息系统不仅要安全、稳定，而且要经济、高效。就目前来看，我国信息系统审计的成本不断攀升，一些审计人员的水平仅停留在简单的办公自动化和信息收集、资料检索等阶段，而缺乏整理归纳审计资料的能力，造成企业资源的浪费。所以，构建完善的信息系统审计首先要从系统的优化做起。

 

　　（二）开发实用高效的信息系统审计软件

 

　　为了配合信息系统的优化，企业应当从实际出发，研究开发适合不同信息化平台、运行环境以及不同审计内容的信息系统软件，来促进信息系统审计软件的集成化、多元化、网络化的发展。在软件开发方面，还要考虑审计作业的发展趋势。例如，在现有审计软件基础上开发研制新的适用信息系统审计的分析工具，信息系统应该具有充分保留和提供审计线索的功能。此外，系统软件的开发还要考虑到审计人员的工作方式和习惯，所以信息系统审计软件的开发最好由审计业务人员和计算机专业开发人员共同来完成。

 

　　（三）建立完善的风险评估体系和风险应对措施

 

　　一般来说，一个企业的计算机网络信息系统基本上覆盖了企业的营销、计划、生产、采购、仓储、财务、人力资源等企业运营管理的各个层面，各个环节都可能出现产生审计风险，就要求审计人员设计一套有针对性是检查程序，在进行调研和风险评估中运用专业知识以确定可接受的审计风险水平。对被审计单位的信息系统的可靠性和内部控制进行初步的评价，以保证信息系统财务数据的安全、完整。

 

　　（四）加强对信息系统审计专业人才的培养