審計師基本概念：信息系統(tǒng)審計

信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的目標得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。
    信息系統(tǒng)審計的方法
    信息系統(tǒng)審計過程與一般審計過程一樣，分為準備階段、實施階段和報告階段。其中，準備階段和報告階段所涉及的技術(shù)方法與財務(wù)審計所運用的技術(shù)方法區(qū)別不大，而實施階段所涉及的技術(shù)方法則具有信息技術(shù)的特色。在實施階段，針對被審計的信息系統(tǒng)，審計人員所開展的工作可以分為三個層次，即了解、描述和測試。
    計算機信息系統(tǒng)環(huán)境下審計技術(shù)方法與手工環(huán)境下傳統(tǒng)的審計技術(shù)方法相比，相應(yīng)增加了計算機技術(shù)的內(nèi)容。對信息系統(tǒng)審計的方法既包括一般方法即手工方法，也包括應(yīng)用計算機審計的方法。信息系統(tǒng)審計的一般方法主要用于對信息系統(tǒng)的了解和描述，包括：面談法、系統(tǒng)文檔審閱法、觀察法、計算機系統(tǒng)文字描述法、表格描述法、圖形描述法等。應(yīng)用計算機的方法一般用于對信息系統(tǒng)的控制測試，包括：測試數(shù)據(jù)法、平行模擬法、在線連續(xù)審計技術(shù)（通過嵌入審計模塊實現(xiàn)）、綜合測試法、受控處理法和受控再處理法等。應(yīng)用計算機技術(shù)的審計方法主要是指計算機輔助審計技術(shù)與工具的運用。但不能把計算機輔助審計技術(shù)與工具的使用過程與信息系統(tǒng)審計等同起來。在信息系統(tǒng)審計的過程中，仍然需要運用大量的手工審計技術(shù)。
    信息系統(tǒng)審計應(yīng)關(guān)注的重點環(huán)節(jié)
    1．數(shù)據(jù)環(huán)節(jié)
    在審計中，必須使用一種方法能夠向前、向后追蹤單個交易和資產(chǎn)記錄，以便使審計人員選擇一些交易對其進行詳細檢查，確認交易記錄是否符合一般的審計目標。如對會計事項信息的檢查，要檢查它的完整性、時效性、合規(guī)性和信息披露等方面，檢查內(nèi)容包括與本會計年度有關(guān)的交易是否全部記錄在冊；所有記錄的交易是否都是合理發(fā)生的并與本會計年度有關(guān)；記錄的交易是否數(shù)據(jù)準確，計算無誤：記錄的交易是否符合基本的和輔助的法律規(guī)定，符合特定權(quán)威機構(gòu)的要求；對記錄的交易是否進行正確的分類，并符合信息對外披露的要求等。對財務(wù)報表信息的檢查，要檢查完整性、存在性、會計計量、所有權(quán)以及信息披露等方面，檢查內(nèi)容包括是否記錄了所有的資產(chǎn)和負債：所有記錄的資產(chǎn)和負債是否都是存在的；對資產(chǎn)和負債的計量是否精確，計算方法是否符合按合理性、一致的標準制定的會計政策的要求：確認資產(chǎn)是被審主體所有的、負債是被審主體應(yīng)該承擔的，并且資產(chǎn)和負債是否由合法的經(jīng)濟活動產(chǎn)生的；資產(chǎn)、負債、資本和存貨是否都得到正確的披露。同時對信息系統(tǒng)提供的業(yè)務(wù)信息也要進行分析，例如每月的工資總數(shù)、某階段的付款清單和訂貨信息等，要弄清基本的交易情況，并一直追蹤到信息源。對上述信息的分析可以采用計算機輔助審計技術(shù)，按照特定的標準對數(shù)據(jù)進行匯總、分類、排序、比較和選擇，并進行各種運算。
    2．內(nèi)部控制環(huán)節(jié)
    內(nèi)部控制一般而言是指組織經(jīng)營管理者為了維護財產(chǎn)物資的安全、完整，保證會計信息的真實、可靠，保證經(jīng)營管理活動的經(jīng)濟性、效率性和效果性以及各項法律和規(guī)范的遵守，而對經(jīng)營管理活動進行調(diào)整、檢查和制約所形成的內(nèi)部管理機制，是組織為實現(xiàn)管理目標而形成的自律系統(tǒng)。計算機系統(tǒng)的內(nèi)部控制主要分為應(yīng)用控制、一般控制和管理控制等三個方面，在審計過程中要對被審計單位內(nèi)控制度進行評價，包括電算化系統(tǒng)的內(nèi)控制度。為了對系統(tǒng)的內(nèi)控制度進行評價，審計人員必須驗證內(nèi)部控制系統(tǒng)是否存在，并能提供令人滿意的證據(jù)，證明它正在有效地發(fā)揮作用。在計算機系統(tǒng)中，應(yīng)檢查以下方面來證明內(nèi)控制度的有效性：（1）控制系統(tǒng)資源的存取。包括物理資源，例如終端、服務(wù)器、連接盒、相關(guān)文檔等；還包括邏輯資源，如軟件、系統(tǒng)文件和表、數(shù)據(jù)等。（2）控制系統(tǒng)資源的使用。用戶應(yīng)該只能對授權(quán)給他們的那些資源進行操作。（3）建立按用戶職能分配資源的制度。把重要的任務(wù)功能按用戶或用戶組進行分離，以減少無意的誤操作、濫用系統(tǒng)資源和對數(shù)據(jù)的非授權(quán)修改。（4）記錄系統(tǒng)的使用情況。按時間順序建立一個使用記錄，記錄內(nèi)容應(yīng)包括例外事例和與安全有關(guān)的事件是由誰觸發(fā)的，財務(wù)信息的創(chuàng)建、修改和刪除是由誰完成的。（5）確認處理過程的準確性。用產(chǎn)生財務(wù)控制信息，確認處理過程的準確完成。（6）管理人員對財務(wù)信息系統(tǒng)的修改。應(yīng)該保證財務(wù)信息系統(tǒng)的所有修改都是經(jīng)過授權(quán)、有文檔記錄、經(jīng)過徹底（獨立地）測試的，確認最后以一種有控制的方式投入使用。（7）保護財務(wù)信息系統(tǒng)免遭計算機病毒的襲擊。必須建立一套控制措施，檢測病毒，防止病毒感染財務(wù)信息系統(tǒng)。
    3．數(shù)據(jù)傳輸轉(zhuǎn)移環(huán)節(jié)
    在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個財務(wù)信息系統(tǒng)或財務(wù)信息系統(tǒng)與業(yè)務(wù)信息系統(tǒng)之間相互轉(zhuǎn)移，在此過程中可能會出現(xiàn)一些問題，尤其是在需要手工重新錄入時。因此在審計時要重點關(guān)注以下方面：在轉(zhuǎn)移過程中數(shù)據(jù)可能會發(fā)生變化；新的科目代碼表與老的可能不一樣，需要在兩個財務(wù)信息系統(tǒng)之間建立復雜的對應(yīng)關(guān)系：中心數(shù)據(jù)庫可能被一些地理上分散的服務(wù)器取代；當前財務(wù)信息系統(tǒng)中的數(shù)據(jù)質(zhì)量不佳；當用一個總的信息系統(tǒng)取代一個預(yù)定財務(wù)信息系統(tǒng)時，需要補充許多新的數(shù)據(jù)。在檢查這一環(huán)節(jié)時，一定要保證輸出的消息是經(jīng)過批準、完整和精確的，保證輸出的消息在約定時間內(nèi)準確地發(fā)送給指定的接收者，保證流人的消息是完整、準確和真實可靠的。