浅谈信息系统审计研究

　　3.信息系统审计拓展了传统审计的目标。传统审计目标仅仅包括了“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”，《中国独立审计具体准则第20号——计算机信息系统环境下的审计》第四条也明确规定“注册会计师在计算机信息系统环境下执行会计报表审计业务，应当考虑其对审计的影响，但不应改变审计目的和范围”，由此可见EDP审计、电算化审计和计算机审计都没有改变审计的目标，但信息系统审计除了上述目标外，还包括信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性。

　　4.信息系统审计是事后、事前、事中审计的结合体。注册会计师所执行的财务报表审计往往是年度审计，属于事后审计。而信息系统审计是事后、事前、事中审计兼而有之。如信息系统在开发过程中，由审计人员介入所进行的审计属于事中审计，此项审计相对于系统运行后而对其所进行的审计而言又可以看作是事前审计；信息系统运行后，对其在一定期间的运作情况所进行的审计则为事后审计。

　　5.信息系统审计的内容更加宽泛。信息系统审计包含了一切与信息系统有关的审计，除了整个生命周期过程及相关业务的审计外，随着信息技术的发展，还必将包括联网审计、电子商务审计、网站审计、ASP审计和XBRL审计等。

　　6.信息系统审计是一种基于风险基础审计的理论和方法。很多组织都能意识到技术带来的潜在好处，然而成功的组织还能够理解和管理好与采用新技术相关的很多风险。信息系统有着与生俱来的风险，这些风险用不同方式冲击着信息系统，审计者面临着审计什么、何时审计以及如何帮助信息系统的管理者管理和控制风险从而实现企业的战略目标的问题。

　　三、信息系统审计的过程

　　审计过程是审计工作从开始到结束的整个过程。信息系统审计一般可以分为计划阶段、实施阶段和报告阶段。由于信息系统审计的对象和具体业务不同，每个阶段所包括的具体内容与财务审计也不同。

　　1.计划阶段计划阶段是信息系统审计过程的起点。科学合理的审计计划有利于帮助审计人员有的放矢的去调查、取证，形成正确的审计结论，实现审计目标。计划阶段的主要任务包括：调查被审单位的基本情况和内部控制；初步评价审计风险；确定重要性水平；制定审计计划。（1）调查被审单位的基本情况，初步评价固有风险为了做好审计工作，审计人员首先应了解被审单位的基本情况。需要了解的基本情况包括：第一，被审单位的业务性质和生产经营情况。第二，被审单位的组织结构和管理水平。第三，被审单位信息系统一般情况，即信息系统的结构，所使用的软硬件和网络设施以及运行环境。第四，被审单位应用系统及其所处理的交易和事项的类型。（2）调查被审单位信息系统内部控制，评价控制风险在计划阶段，审计人员应了解被审单位的内部控制特别是信息系统内部控制，对内部控制的健全和有效性进行评估，初步确定控制风险的大小。（3）评估审计风险，确定重要性水平。为了合理使用审计资源，有效的实现审计目标，在制定审计计划时审计人员应评估审计风险，确定重要性水平。重要性水平是指在审计事项中，能够容忍出现差错的程度和大小。（4）编制审计计划。在对被审单位的风险进行初步评估，确定重要性水平后，审计人员应当编制审计计划。审计计划的内容应当包括：被审单位的基本情况、审计的范围和重点、审计的步骤和时间安排、审计人员分工、运用的信息系统审计方法、审计中应当注意的事项和其他内容等。

　　2.实施阶段实施阶段是根据计划阶段确定的范围、重点、步骤和方法，进行有针对性的取评价，并形成审计结论的过程。主要由符合性测试和实质性测试两个阶段构成。（1）实施符合性测试。符合性测试的目的是检查内部控制措施是否健全有效。计人员需要对被审单位的控制系统进行识别、测试和评价。测试的性质、范围和程度。为了达到这个目的，审从而确定后续的实质性控制系统识别。审计人员通过与相关人员面谈、调查问卷以及查阅信息系统和控制系统说明文件等方，识别被审单位的控制系统以及控制环境，并将调查情况记录在审计工作底稿中。（2）实施实质性测试。实质性测试是对信息系统控制进行的详细测试，以获得这些控制在审计期间是否真实存在并合法有效的审计证据。实质性测试主要通过测试必要的数据，对信息系统达到特定的控制目标的程度进行评价。

　　3.报告阶段审计报告阶段，审计人员应运用专业判断，综合所收集到的相关证据，已经过核实的审计证据为依据，形成审计意见，出具审计报告。审计报告中除了对被审单位信息系统的安全性、可靠性、有效性和效率性发表审计意见之外，还针对信息系统内部控制和管理等方面的问题提出相关的建议。在正式发布审计报告之前，审计人员还应考虑其后事项的影响。在现场审计工作结束日到发布审计报告日之间一般都会有一段时间，审计人员应考虑在此期间被审单位及其信息系统是否发生导致重大变化的事项。审计报告阶段的具体过程如下，审计组在现场审计工作完成之后，应编制审计报告初稿征求被审单位意见。被审单位反馈意见后，审计组应将审计报告初稿和被审单位的反馈意见一并报送审计机关，审计机关对审计组的审计报告进行审议并对被审单位的反馈意见进行研究后，提出审计机关的审计报告。