我国IT审计面对的挑战

　  ［摘 要］ 随着各组织对信息系统运用的增多，信息系统在为企业带来高收益的同时也带来了巨大风险，因此引入ＩＴ审计成为一种趋势。本文从ＩＴ审计的概念特点介绍出发，分析当前我国ＩＴ审计面临的挑战，并提出了应对措施。
　　［关键词］ ＩＴ审计；挑战；策略
　　　 随着信息技术的兴起，信息系统已经渗透到社会生活的方方面面，它在给人们带来便利与效益的同时，也带来了很多负面影响，如计算机犯罪案件的频频发生等，系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计（Ｉｎｆｏｒｍａｔｉｏｎ Ｔｅｃｈｎｏｌｏｇｙ Ａｕｄｉｔ，以下简称ＩＴ审计），保证信息系统安全，摆在我们面前。本文拟对此进行探讨。
　　
　　一、ＩＴ审计的定义及其特点
　　
　　ＩＴ审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动，以审查企业信息系统是否安全、可靠、有效，保证信息系统得出准确可靠的数据。由以上定义可知，ＩＴ审计的目标是保证ＩＴ系统的可用性、安全性、完整性和有效性，最终达到强化企业内部控制的目的。
　　该审计过程具有以下特点：
　　１.ＩＴ审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现，它贯穿于整个信息系统生命周期的全过程。
　　２.ＩＴ审计的对象综合且复杂。ＩＴ审计从纵向（生命周期）看，覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务；从横向（各阶段截面）看，它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
　　３.ＩＴ审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”；但ＩＴ审计除了上述目标外，还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
　　４.ＩＴ审计是一种基于风险基础审计的理论和方法。ＩＴ审计从基于控制的方法演变为基于风险的方法，其内涵包括企业风险管理的整体框架，如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
　　
　　二、我国ＩＴ审计面对的挑战
　　
　　ＩＴ审计和传统审计相比具有的上述特点是吸引我国众多企业引入IT审计的重要原因，但是这种方法的应用又会给企业提出巨大的挑战。
　　１.传统审计线索的消失。在手工会计环境下，审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表，这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹，这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上，无纸张记录，审计人员用肉眼无法直接看到这些数据如何记录，且非法修改删除原始数据也可以不留篡改的痕迹，从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出，使用绕开计算机系统的审计方法，并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改，则其派生的记账凭证金额和账户余额及报表数据也一定会出错，打印出的数据也不能作为审计证据。因此即使打印出所有电子数据，传统审计线索也会在计算机信息系统下完全消失。
　　２.计算机信息系统的数据安全面临挑战。手工信息处理的环境下，审计人员无须将数据和会计信息的安全性问题作为审计的重要内容，但是在ＩＴ审计的工作中，网络电子交易数据的安全是关系到交易双方切身利益的关键问题，也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 ＩＰ地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等，都是传统审计从未涉及的，但又是ＩＴ审计的重点，这对当前我国的审计工作无论是操作系统，还是制度建立等众多方面都是一个很大的挑战。