信息系统审计方法及其实务应用分析

数字经济时代下，企业的管理手段和管理制度都发生了深刻变化，依托自动化业务系统、硬软件等构成了现代化企业的管理信息网络，在这样的环境下，传统审计工作模式难以有效识别企业信息系统存在的弊端，也无法准确判断一个企业内部控制是否合理及有效。尽管信息技术的发展为审计从业人员带来了更先进、更高效的工作模式，但目前我国审计行业从业人员对于信息化审计相关应用的了解程度并不高。在此背景下，本文着重介绍 IS（信息系统）审计方法下信息系统流程审计、信息系统内部控制审计的概述、具体框架、程序应用，并结合国内某会计师事务所实施信息化审计业务的案例介绍 IS 审计方法在实务工作中的具体应用。

一、IS 审计方法的基本概念

IS 审计方法是一种专门针对企业信息系统审计而开发的审计方法，该方法独立于企业信息系统本身，通过审计证据的收集、评价，审计人员可以判断企业对信息系统的运用是否有助于企业内部控制的有效执行、企业目标的顺利实现、企业资源的高效利用等。

在运用 IS 审计方法针对不同审计对象执行审计程序时，审计目标与审计业务内容之间通常有着相应的内部联系。也因此 , 在企业财务报表审核中 , 审计人员的工作侧重点主要集中在检查企业信息系统所提供数据的真实性、完整性。在内部控制审计中，审计人员的侧重点主要集中在检查信息系统程序合理性、信息系统安全性。审计目标随着审计业务的变化而变化，因此对 IS 审计方法的应用也会相应做出改变，从审计对象的角度可以将 IS 审计方法划分为“信息系统流程审计”“信息系统内部控制审计”两类。

二、信息系统流程审计

（一）方法概述

信息系统流程审计主要包括信息系统流程的合理性审计、有效性审计、完整性审计三个方面，流程合理性审计通过对信息系统流程的程序、运行、维护等相关活动进行检测，检验信息系统流程本身是否可靠；流程有效性审计主要对信息系统产出物进行检查，即数据的准确性、真实性；流程完整性审计主要针对信息系统自身的运行逻辑和数据进行整体检测，识别信息系统流程中存在的漏洞或未能满足被审计单位实际经营需求的地方。

（二）审计框架通过图 1 可以看出，运用 IS 审计方法对信息系统流程进行审计时，可以将信息系统流程合理性、信息系统流程有效性、信息系统流程完整性三个层面作为审计目标。审计人员通过审计目标的一、二级拆解确定具体的审计任务，再通过对审计任务的一、二级拆解执行具体的审计流程，并最终对信息系统流程的合理性、有效性、完整性做出准确评价。

（三）审计程序的应用

1. 流程图检查。信息系统流程图是以企业信息系统的运行过程为基础所描绘 , 可以体现企业信息系统内部安全秩序和企业信息系统通过数据产生原理的框线图。流程图检验是指针对各种信息系统的流程图加以检验其总体设计是否合理、制度运行是否合理、业务处理及信息处理逻辑是否合理。通过查阅与检验网络系统中的流程图 , 审计人员能够迅速掌握审计网络系统的总体业务流程、重要节点信息等 , 从而为制定更详尽的审计程序提供基础。

2. 控制矩阵检查。控制矩阵是信息系统管理部门制作的与信息系统相关的，主要揭示信息系统风险与控制节点的矩阵表格。控制矩阵包括的内容主要有企业业务发展目标、业务方向、适用单位、不相容岗位、控制点、控制点分值、控制点相关研究资料、控制点财务报表认定等多个层次的内容。通过对信息系统控制矩阵的检查，审计人员可以充分了解信息系统审计业务的主要审计目标，并对审计过程中的相关风险点进行控制。

3. 系统检查。系统检查是指审计人员在完成对企业信息系统设计流程图、控制矩阵的初步检查后，对信息系统本身实施的进一步检查。系统检查既是对被审计单位提供的流程图、控制矩阵落实程度的检查，也是对系统流程合理性、有效性本身的检查。信息系统检查的主要手段包括试运行信息系统录入指令、系统功能浏览、随机检查等。

4. 嵌入审计程序测试。嵌入审计程序测试通常是针对信息系统流程安全性所做的特殊检查工作，也被称为受控处理法、嵌入审计程序法。嵌入审计程序测试有主动测试和被动测试两类方式，主动测试是指信息系统开发商事前主动整合了特定审计程序模块，并将其嵌入系统中，审计人员仅需执行上述审计程序，便可判断系统的程序是否稳定可靠。而另一种则是被动地嵌入审计程序测试，是指信息系统在设计开发期间未预留满足审计需求的功能模块，审计人员需要提供外部程序对信息系统的程序本身开展测试工作。从独立性的角度来看，被动式嵌入审计程序测试的可靠性显然高于主动式嵌入审计程序测试。但由于受到技术条件、软件兼容性等各方面的影响，当前主流的嵌入审计程序测试仍然广泛采用主动式测试方法。

5. 系统日志审计。系统日志审计是对信息系统本身的运行日志进行检查的一种审计程序，系统日志审计程序的主要目的有两个，一是为了发现潜在的系统程序、数据篡改现象，确认或排除企业管理层对信息系统的人为干扰迹象；二是通过对日志的检查，了解外部操作人员对信息系统录入指令或执行操作、维护、升级、权限修改的情况，能更加全面深入地了解这些信息平台系统业务流程的有效性、完整性。

三、信息系统内部控制审计

（一）方法概述信息系统内部控制审计包含控制环境、应用控制以及安全控制审计。控制环境审计关注被审计单位治理层及管理层对内部控制和信息技术治理职能重要性的认识、态度，以及被审计单位是否具备维持信息系统平稳、有效运行的基本条件。应用控制审计关注与数据输入、数据处理以及数据输出等环节相关的控制活动，关键控制点包括财务工作业务流程的控制、业务处理授权和不相容职责分离的控制、相关业务信息的输入控制、系统控制和输出过程的控制。安全控制审计涉及与内部权限安全和外部信息安全有关的控制活动，包括权限分布情况、关键控制点密码策略、安全漏洞扫描、数据备份以及容灾安全配置等。

（二）审计框架由图 2 可以看出，体系流程中以信息系统控制环境、信息系统应用控制、信息系统安全控制三个方面作为审计目标，审计人员可以通过内控审计目标的一、二级拆解确定具体的审计任务，再通过对审计任务的一、二级拆解执行具体的审计业务流程，并最终对信息系统的控制环境和应用控制、以及安全控制做出准确评价。

（三）审计程序的应用

1. 符合性测试。符合性测试是指对内部控制制度的执行情况和效果进行相关的测试。运用符合性测试来解决信息系统内部风险控制的问题主要有以下两个类型：一般控制符合性测试与应用控制符合性测试。高效的一般控制是确保应用控制有效性的核心内容，它决定着应用系统和控制实施的境况，假如一般控制较弱，将会导致相关应用控制的可靠性降低。因而，对信息系统一般控制的符合性测试往往在应用控制符合性测试开始之前进行测试。一般控制测试主要针对信息系统的组织能力、操作日志能力、容灾能力等方面，以确定信息系统的安全性和可靠性。应用控制测试中，信息系统的应用可控性具有合理确保系统在某一特定的方面能够准确地完成相关数据的登记、处理和报告等功能。运用对系统的应用控制审计，检验应用系统本身的不足和功效缺陷，并评价信息系统的准确性、有效性。

2. 渗透测试。渗透测试是用来证实网络防御是否按照约定计划正常运行而供应的一种工具。在测试过程中，执行测试的审计人员应当假设被审计单位遵循内部控制要求定期更新安全策略和程序，随时给系统打补丁，并采用了漏洞扫描器等工具。实际执行渗透测试的目的在于通过测试结果验证所提出的假设是否成立，并进一步证明假设是否可靠。测试进行中，渗透测试员一般使用两套扫描器进行安全评价，这些工具在测试过程中应尽可能达到自动化检测，全面关注所发现的问题。如果探查得更深入，则需要连接到任何可疑点，某些情况下，还要利用漏洞进行反向的渗透测试以验证信息系统是否存在更多潜在的漏洞。

3. 性能测试。性能测试是通过在信息系统流程中梳理一条线状线路，由测试者自行提供基础信息数据录入信息系统，按照既定线路实施信息化处理，并验证结果的反馈测试过程。性能测试的目的旨在验证信息系统流程通路上是否存在隐含的系统后门，审计人员通过随机的、突然的发起性能测试，可以验证信息系统的独立性。若测试过程中录入的基础信息数据能够得到信息系统较快的处理与反馈，并给出合理的处理结果，则能够进一步证明系统可能暂不存在潜在的程序后门，可以相信信息系统程序的可靠性。若录入的基础信息数据不能得到较快的反馈处理、无法给出反馈处理结果、未按照既定的流程路线运作、反馈的结果错误，则说明信息系统程序存在后门或严重错误。

四、运用 IS 审计方法的实务案例

（一）IS 审计方法运用案例背景20×× 年 × 月，甲会计师事务所（以下简称甲事务所）接受 A 股份有限公司（以下简称 A 公司）的委托，对 A 公司的售票信息系统（以下简称售票系统）进行专项信息系统审计，作为其收入真实性核查工作的一个组成部分。在本次审计中，甲事务所遵循了中国注册会计师准则、CISA 国际信息系统审计师审计准则，运用 IS 审计方法对 A 公司的售票信息系统进行了审计。A 公司的财务数据与售票信息系统无直接对接关系，目前是依靠核算员每天核对售票信息系统生成的日结数据，比对无误后将其作为业务收入依据，交回财务人员作记账处理。

（二）制定 IS 审计目标在承接业务后，甲事务所项目人员分析了A 公司的售票信息系统现状，并制定了四个 IS审计目标，分别是“了解售票系统的一般控制”、“核查售票系统记录数据的及时性”、“核查售票数据及应收款项是否正确反映到日结数据”、“核查 20××-20×× 三年历史售票数据的完整性和可靠性”。

（三）IS 审计程序的实施甲事务所依据本次信息系统审计的性质和人员需求，设计和执行了下列审计应用程序：

（1）辨别和评价企业因财务舞弊或错误操作引起的售票系统原始售票数据准确性的重大错误风险，并设计和实施审计程序以处理这些风险，得到全面、合适的审计资料，将其作为发表审计结论的基础。

（2）在了解其业务流程基础上，对售票系统一般控制进行核查。分析和整理与之有关的内部控制，以安排合适的审计程序，但最终的目标并不是对内部控制的有效性发表意见。

（3）与管理层、运营团队、项目团队和关键业务人员进行面谈，现场观察了解门票信息系统的运行情况。

（4）了解系统操作界面、系统设置、菜单架构和功能结构，了解原始数据在数据库中的存储规则和存储逻辑，了解系统权限和操作员配置。

（5）通过穿行测试，对系统记录数据的及时性和完整性进行审计，对系统产生的日结数据进行审计。

（6）各类统计数据分析及各类异常数据分析。

（四）IS 审计结论甲事务所借助 IS 审计方法对 A 公司实施审计后，通过对 A 公司售票信息系统的一般控制流程进行检查、对售票信息系统数据内容进行核查，借助穿行测试、异常数据分析、统计分析等审计程序的执行，有效得出了相关的IS 审计结论。

A 公司售票信息系统能及时正确记录相关售票数据并生成用于记账的日结单，售票终端和应用界面只有售票功能、无修改数据功能，不能对数据进行修改，后台也未发现数据修改迹象，系统内基础数据逻辑关系成立，系统内20××-20×× 三年历史售票数据保存完整。其售票信息系统具有双机互备高的可用性架构，建有每日数据完整备份机制，A 公司专职数据人员不定期对数据进行拷贝并异地存储。A 公司采用计算机和人工结合这两种形式对售票数据进行处理，售票系统每天生成的日结单与售票员每天实际销售票据与金额进行人工盘点核对，确认无误后交回财务作为记账依据，并定期由人工对领出票数、售出票数、结余票数、库存票数进行盘点核对，运用线上、线下相融合的内控方法，保证售票数据和记账数据的准确程度。

作者 |  于波成 赵罡

作者单位 |  天健会计师事务所重庆分所  中喜会计师事务所重庆分所

主要参考文献

1.胡晓明. 信息时代的IS审计理论结构构建. 中南财经政法大学学报.2006(03)

2.胡晓明. 基于信息时代的IS审计若干问题探讨. 当代财经.2006(02