當前，被審計單位會計信息系統(tǒng)高速發(fā)展，會計電算化及信息化程度越來越高，大量的業(yè)務數(shù)據(jù)和財務數(shù)據(jù)都存儲在計算機中，因而也存在著計算機會計舞弊的可能性。如果審計機關和審計人員停留在傳統(tǒng)的紙質賬目基礎審計上，不對信息系統(tǒng)進行審計監(jiān)督，勢必產生較大的審計風險，影響審計工作質量。

　　一、信息系統(tǒng)審計概述

　?。ㄒ唬┬畔⑾到y(tǒng)審計的概念

　　信息系統(tǒng)審計是審計全過程的一個組成部分，目前還沒有固定通用的定義，美國信息系統(tǒng)審計的權威專家RonWeber將它定義為“收集并評估證據(jù)以決定一個計算機系統(tǒng)（信息系統(tǒng)）是否有效做到保護資產、維護數(shù)據(jù)完整、完成組織目標，同時最經濟的使用資源”。筆者認為，信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程。它是立足于組織的戰(zhàn)略目標，為有效的實現(xiàn)組織戰(zhàn)略目標而采取的一切活動過程。其業(yè)務范圍包括與信息系統(tǒng)有關的所有領域，例如信息系統(tǒng)安全審計、網譽審計、電子簽名審計業(yè)務等。

　?。ǘ┬畔⑾到y(tǒng)審計的內容和方法

　?、睂π畔⑾到y(tǒng)功能的審計?？煞炙膫€方面進行：輸入控制審計、數(shù)據(jù)處理過程審計、輸出控制審計、系統(tǒng)安全審計。

　　①輸入控制審計。主要檢查軟件能否保證輸入數(shù)據(jù)的正確性、可靠性和完整性，有沒有設置對誤操作的防范和糾正功能。實地觀察輸入界面錄入要素是否全面，對關鍵要素的錄入是否進行了約束，分析數(shù)據(jù)庫數(shù)據(jù)，對系統(tǒng)輸入的字段進行驗證，主要驗證關鍵字段格式是否規(guī)范，內容是否正確、完整，相關數(shù)據(jù)的關系是否正確、合法。采用測試數(shù)據(jù)進行測試，設計一些虛擬數(shù)據(jù)，提交系統(tǒng)進行處理，以測試系統(tǒng)輸入控制是否存在。測試數(shù)據(jù)時要注意不要對信息系統(tǒng)數(shù)據(jù)造成影響。

　?、跀?shù)據(jù)處理過程審計。主要檢查軟件處理過程的正確性和合法性。審查軟件是否存在“后門”或“漏洞”，數(shù)據(jù)在處理過程中有無丟失、增加、重復或不恰當?shù)母淖?；審查軟件是否提供了支持系統(tǒng)進行非法處理或違法處理的功能。依據(jù)被審計單位的實際業(yè)務，設計一個模擬程序，將被審計單位的真實數(shù)據(jù)用模擬程序重新處理一遍，把處理的結果與被審程序的處理結果進行比較，以確定被審程序的處理和控制功能是否可靠或被修改。用一批預先設計好的檢測數(shù)據(jù)（包括正常的、有效的業(yè)務和不正常的、無效的業(yè)務數(shù)據(jù)），利用被審程序加以處理，并把處理的結果與預期的結果作比較，以確定被審程序的控制與處理功能是否恰當。

　?、圯敵隹刂茖徲?。主要檢查系統(tǒng)能否確保輸出數(shù)據(jù)沒有被丟失、誤導、破壞，確保輸出數(shù)據(jù)的完整性和正確性，確保輸出結果只提交給有權使用的人員。查閱各種紙質資料、報表，并與電子數(shù)據(jù)比較，分析有無非法修改數(shù)據(jù)的情況；依據(jù)業(yè)務性質和需要，確定輸出結果能否滿足工作需要。

　?、芟到y(tǒng)安全審計。主要檢查軟、硬件配置和網絡平臺是否能夠保證系統(tǒng)安全可靠地運行，有無數(shù)據(jù)丟失、損壞、泄密的風險。軟件安全控制主要審查軟件禁止非法使用和禁止越權使用的控制能力。包括軟件內部固化的操作流程、角色設置、權限分配、密碼控制。通過查閱軟件設計文檔、操作手冊，實際操作等方法，分析系統(tǒng)中角色設置、權限分配是否合理、可靠。通過分析后臺數(shù)據(jù)，檢查操作人員的口令是否加密保存，有無空口令、弱口令，系統(tǒng)是否設置了操作日志。對重要數(shù)據(jù)，系統(tǒng)是否提供了有痕跡的更正功能。檢查局域網與外接網絡的聯(lián)接方式，網絡中安全設備的設置是否正確、有效，數(shù)據(jù)傳輸是否安全，是否建立了系統(tǒng)備份和系統(tǒng)恢復機制并有效運行，系統(tǒng)管理人員對系統(tǒng)的日常維護是否及時。

　?、矊π畔⑾到y(tǒng)應用方面審計可分三個方面進行:內部控制審計、系統(tǒng)應用的合法性審計、信息系統(tǒng)的自我完善能力審計。①內部控制審計主要審查信息系統(tǒng)環(huán)境下的內部控制的健全性、合理性和有效性。實際崗位設置、人員分工是否與軟件中的角色設置、權限分配相適應，實際業(yè)務工作流程是否與軟件固化的工作流程相適應，不相容職能分離控制措施及執(zhí)行情況；②系統(tǒng)應用的合法性審計主要通過對數(shù)據(jù)分析來完成；③信息系統(tǒng)的自我完善能力審計主要從以下方面檢查：一是是否建立了有效的應用情況反饋機制；二是信息部門能否及時修正系統(tǒng)的不足和錯誤。

　　二、信息系統(tǒng)審計的必要性

　　20世紀90年代后期至今，會計電算化已逐步走向成熟，而企業(yè)的信息化建設并沒有就此止步，以ERP、MRP-Ⅱ為代表的企業(yè)信息系統(tǒng)的高度集成逐漸開始興起。這時的企業(yè)信息系統(tǒng)不僅僅是一個孤立的系統(tǒng)，而是集財務、人事、供銷、生產為一體的綜合性的信息系統(tǒng)，財務信息只是這個系統(tǒng)所處理信息的一部分，單獨的財務系統(tǒng)已不存在。在這種情況下，審計人員只有對整個系統(tǒng)進行全面了解，才能把握審計對象的總體情況，避免審計風險，將審計成果最大化。

　　從企業(yè)信息化的發(fā)展歷史可以看出，由于審計人員所面臨的審計對象的不斷變化，促使審計方式也隨之改變，信息系統(tǒng)審計便應運而生。由于我國的信息系統(tǒng)審計工作尚未完全開展，一些計算機審計的探索與嘗試仍然局限在電子數(shù)據(jù)的采集與處理領域，對信息系統(tǒng)的安全與控制的問題還沒有充分的認識。從邏輯上講，對系統(tǒng)的依賴是現(xiàn)代審計的基本策略，如果被審計對象全面采用計算機化的信息系統(tǒng)，而審計人員又沒有對信息系統(tǒng)進行了解和審計，那么這種審計得出結論的可靠性就要受到質疑。政府審計在這方面所面臨的問題日益嚴峻，“不搞計算機審計，我們就會失去審計的資格”已經逐漸成為審計界的共識，作為國家審計機關，在規(guī)劃審計工作時應意識到這一點，對被審計單位的信息系統(tǒng)進行審計已迫在眉睫

信息來源：會計視野網站---文庫