從IT審計師談我國計算機審計人才的培養

摘　要：從先容IT審計師與機審計開(kāi)始，討論了審計學(xué)科的趨勢，論述了IT審計師在審計中的作用，指出IT審計師及其知識結構體系是培養當代審計職員的發(fā)展方向。　　關(guān)鍵詞：IT審計師　計算機審計　網(wǎng)絡(luò )審計　　一、引言　　信息系統審計師，也稱(chēng)IT審計師或IS審計師，是指一批專(zhuān)家級人士，既通曉信息系統的軟件、硬件、開(kāi)發(fā)、運營(yíng)、維護、治理和安全，又熟悉治理的核心要義，能夠利用規范和先進(jìn)的審計技術(shù)，對信息系統的安全性、穩定性和有效性進(jìn)行審計、檢查、評價(jià)和改造。IT審計師是由“國際信息系統審計與控制協(xié)會(huì )（ISACA）”認證的。ISACA是國際上惟一的信息系統審計師專(zhuān)業(yè)組織。會(huì )員被稱(chēng)為信息系統審計師，也就是我們通常所說(shuō)的IT審計師，其主要從事的工作包括：向客戶(hù)提供與信息系統相關(guān)的服務(wù)，在財務(wù)審計中對被審計單位的信息系統的了解、測試和評價(jià)以及計算機輔助審計技術(shù)的運用等方面。一般的IT審計師都具備全面的計算機軟硬件知識，對網(wǎng)絡(luò )和系統安全有獨特的敏感性，并且對財會(huì )和單位內部控制有深刻的理解�！　‰S著(zhù)計算機技術(shù)在治理中的廣泛運用，傳統的控制、治理、檢查和審計技術(shù)都受到巨大的挑戰，國際公司、專(zhuān)業(yè)咨詢(xún)公司和高級治理顧問(wèn)都將控制風(fēng)險，特別是控制計算機環(huán)境風(fēng)險和信息系統運行風(fēng)險作為治理咨詢(xún)和服務(wù)的重點(diǎn)。幾乎所有的大型跨國公司，由于普遍使用大型治理信息系統，都非常重視對信息系統安全性和穩定性的控制。這就經(jīng)常需要高薪聘請國際信息系統審計師（簡(jiǎn)稱(chēng)IT審計師）進(jìn)行內部審計。因此，IT審計師已經(jīng)成為全球范圍最搶手的高級人才之一。　　二、IT審計師的出現迎合了計算機審計的發(fā)展　　計算機審計的發(fā)展一般要經(jīng)過(guò)繞過(guò)計算機審計，穿過(guò)、利用計算機審計，網(wǎng)絡(luò )審計三個(gè)階段。其中前兩個(gè)階段屬于計算機桌面審計系統。繞過(guò)計算機審計是指將計算機處理系統看作是一個(gè)“黑箱”。根據被審對象對計算機數據處理系統輸進(jìn)的原始數據，通過(guò)手工操縱，將處理結果于計算機處理系統的輸出進(jìn)行對比，檢查其是否一致，屬于計算機審計的低級階段。穿過(guò)計算機審計是對計算機數據處理系統進(jìn)行審計，包括系統目的與功能需求是否達到，系統與系統設計是否先進(jìn)、和實(shí)用，程序設計是否正確可靠，內部控制是否健全、可靠，治理制度是否嚴密、有效，文件資料是否齊全、完整等。利用計算機審計是為實(shí)施審計專(zhuān)門(mén)開(kāi)發(fā)計算機程序，檢驗被審單位電子計算機程序的可靠性。網(wǎng)絡(luò )審計是指綜合運用計算機網(wǎng)絡(luò )及其相關(guān)技術(shù)手段對網(wǎng)絡(luò )經(jīng)濟及網(wǎng)絡(luò )系統進(jìn)行審查的新型審計，是計算機桌面審計系統發(fā)展的高級階段�！　‰S著(zhù)目前電子商務(wù)等網(wǎng)絡(luò )經(jīng)濟的發(fā)展和完善，網(wǎng)絡(luò )審計勢在必行。網(wǎng)絡(luò )審計的模式，從審計的客體角度方面，是建立在網(wǎng)絡(luò )基礎上，對被審單位一定時(shí)期內全部或部分經(jīng)濟活動(dòng)，特別是正在發(fā)展中的電子商務(wù)、電子、網(wǎng)絡(luò )財務(wù)、網(wǎng)絡(luò )會(huì )計等進(jìn)行審計的計算機系統。它包括兩個(gè)方面：其一是對被審系統開(kāi)發(fā)過(guò)程進(jìn)行審計；其二是對被審系統運行過(guò)程及其結果進(jìn)行審計。目前計算機審計的發(fā)展大多還處在只是對被審系統運行結果進(jìn)行審計，或進(jìn)一步對被審系統運行過(guò)程進(jìn)行審計，這樣的審計是建立在假定被審系統安全、可靠基礎上的。而實(shí)際上這種假定是否公道，是應當予以驗證的，這種驗證也就是要對被審系統的安全性、穩定性、有效性進(jìn)行審計、檢查、評價(jià)和提出改造建議。而這也正是IT審計師的主要工作，并且這部分工作也是一直上溯到被審系統開(kāi)發(fā)過(guò)程的。因此，IT審計師的出現正好迎合了網(wǎng)絡(luò )審計模式的需要。IT審計師固然主要源于信息系統安全而產(chǎn)生，其主要工作也含有較高的計算機技術(shù)因素，但就發(fā)展來(lái)看，IT審計師的出現迎合了計算機審機的發(fā)展趨勢，昭示著(zhù)計算機審計不久將隨著(zhù)電子商務(wù)、網(wǎng)絡(luò )財務(wù)等的全面展開(kāi)而逐步發(fā)展到網(wǎng)絡(luò )審計階段，未來(lái)的IT審計師們也將成為網(wǎng)絡(luò )審計的“主力軍”。從這個(gè)角度上講，IT審計師也是計算機審計發(fā)展的必然產(chǎn)物。　　三、IT審計師在網(wǎng)絡(luò )審計的重要作用　　計算機審計發(fā)展到網(wǎng)絡(luò )審計后，計算機審計的主要將包括網(wǎng)絡(luò )安全技術(shù)與內部控制系統的審計、系統開(kāi)發(fā)審計、程序審計、數據文件審計等四個(gè)部分。通過(guò)分析可以發(fā)現，這四個(gè)部分的內容，不同程度地與IT審計師相關(guān)聯(lián)，IT審計師在其中將起重要的作用。　�。ㄒ唬┚W(wǎng)絡(luò )安全技術(shù)與內部控制系統的審計　　從Internet誕生起，信息和網(wǎng)絡(luò )的安全性就成為關(guān)注的一個(gè)焦點(diǎn)。在Internet發(fā)展的每一個(gè)階段，安全題目也都是基礎性的、關(guān)鍵性的因素。對于網(wǎng)絡(luò )審計，其首先碰到的也是網(wǎng)絡(luò )的安全性測試題目。與安全性相應的還有網(wǎng)絡(luò )系統的內部控制的測試題目，網(wǎng)絡(luò )系統的內部控制包括一般控制和應用控制兩個(gè)方面。一般控制包括組織控制、軟件開(kāi)發(fā)、硬件和系統軟件控制、系統安全控制、維護控制和文檔控制等方面的審查與測試。應用控制包括輸進(jìn)控制、處理控制、輸出控制。IT審計師的主要工作就是利用標準、規范和先進(jìn)的審計技術(shù)，對信息系統的安全性、穩定性和有效性進(jìn)行測試、檢查、評價(jià)和改造。IT審計師首先關(guān)注信息系統的安全性，沒(méi)有安全就沒(méi)有一切，IT審計師會(huì )采用各種來(lái)測試系統的安全性，并對來(lái)自?xún)炔亢屯獠康陌踩�隱患提出相應對策；IT審計師還要審查信息系統的穩定性，沒(méi)有長(cháng)期穩定性，信息系統就無(wú)法承擔起激烈競爭的壓力，IT審計師會(huì )提出一系列對策保證客戶(hù)信息系統的萬(wàn)無(wú)一失；IT審計師還要鑒別信息系統的有效性，最安全和最穩定的系統不一定是最有效的系統，而效率不高的系統就會(huì )消耗大量的資源，一般情況下，一說(shuō)到信息系統建設，大家都覺(jué)得是工程師或程序員的事，事實(shí)上，這是非常錯誤的觀(guān)點(diǎn)。一個(gè)好的系統，在安全和穩定的條件下，必須最大程度符合企業(yè)經(jīng)營(yíng)流程的特點(diǎn)，經(jīng)濟、有效地解決題目和提供信息。要做到這一點(diǎn)，信息系統開(kāi)發(fā)和維護過(guò)程中，就必須有大量的經(jīng)營(yíng)治理職員參與， 設計出最優(yōu)的信息流轉路徑。假如不重視信息系統的有效性，其危害同樣是巨大的。一方面由于其繁瑣和復雜，導致內部業(yè)務(wù)職員不會(huì )用、不想用或使用不當；另一方面使用過(guò)程中的差錯又會(huì )導致穩定性和安全性方面的題目。顯然，要對信息系統的安全、穩定和有效進(jìn)行監控，就不單純是某類(lèi)技術(shù)職員能夠完成的任務(wù)，經(jīng)過(guò)專(zhuān)業(yè)練習，經(jīng)驗豐富的信息系統審計師將在這一領(lǐng)域發(fā)揮重要的作用。信息系統審計師的突出特點(diǎn)就是兼通技術(shù)和治理，能夠利用規范的審計手段，比較客觀(guān)和冷靜地分析、評價(jià)企業(yè)現有信息系統的運行，并從專(zhuān)業(yè)的角度提出建議�！　⊥ㄟ^(guò)以上分析我們看到，IT審計師的工作中實(shí)際上已經(jīng)包含了網(wǎng)絡(luò )安全技術(shù)與內部控制審計的內容。進(jìn)一步從IT審計師的服務(wù)對象分析，IT審計師主要是為以下幾類(lèi)對象服務(wù)：　　軟件供給商。特別是經(jīng)濟治理類(lèi)的集成軟件供給商，需要信息系統審計師參與產(chǎn)品設計、規劃和檢測，并對客戶(hù)現有信息系統進(jìn)行評價(jià)，提出改造設想。全球所有重要的ERP和CRM產(chǎn)品供給商都聘請大量信息系統審計師�！　≈卫碜稍�(xún)機構。20世紀90年代以后，治理咨詢(xún)的重點(diǎn)已經(jīng)逐步為提供一攬子解決方案，其中信息系統的配置，就是解決方案成功的基礎。國際著(zhù)名的治理咨詢(xún)機構中，有50%以上的員工熟悉信息技術(shù)，其中20%擁有信息系統審計師資格�！　�師審計師事務(wù)所，是信息系統審計師最早的落腳點(diǎn)，“五大”國際會(huì )計公司超過(guò)30%的收進(jìn)來(lái)自于風(fēng)險治理部分。這個(gè)部分的最主要工作就是監控客戶(hù)的信息系統風(fēng)險和運營(yíng)風(fēng)險，同時(shí)為客戶(hù)提供ERP或CRM的安裝、維護和培訓。會(huì )計師審計師事務(wù)所中傳統財務(wù)報表審計也越來(lái)越離不開(kāi)信息系統審計師的貢獻。沒(méi)有他們的工作，評估內部控制風(fēng)險和固有風(fēng)險將成為一句空話(huà)。人們經(jīng)�？吹�，“五大”會(huì )計公司里，最年輕的合伙人或經(jīng)理，往往都是信息系統審計師，由于這是一項年輕人的工作�！　】鐕�公司。作為信息系統最集中的用戶(hù)，跨國公司急需大量信息系統審計師，一方面參與信息化建設的過(guò)程，另一方面時(shí)刻保持對分支機構的信息監控。還有一種最新跡象表明，跨國公司內部審計部分也在大量招聘信息系統審計師，以加強內部的監視和牽制�！　〈笮蛧�有企業(yè)和上市公司。這些機構往往有雄厚的財力來(lái)實(shí)現治理的信息化、保證生產(chǎn)經(jīng)營(yíng)的穩定性，他們對信息系統審計師的要求和跨國公司類(lèi)似。　�。ǘ�）系統開(kāi)發(fā)審計　　系統開(kāi)發(fā)過(guò)程一般分為：系統初步調查和可行性、系統具體調查和系統、系統總體設計、系統具體設計、程序編制、程序調試、系統調試、系統轉換、平行操縱試驗、系統評審、系統維護和評價(jià)等過(guò)程。系統開(kāi)發(fā)審計是事前審計，實(shí)際上是審計職員參與系統的全過(guò)程。主要監視審查下列：（1）系統的功能是否恰當、完備，能否滿(mǎn)足用戶(hù)商務(wù)活動(dòng)的需要；（2）系統的數據流程、處理是否符合有關(guān)商貿法規；（3）系統是否建立了恰當的程序控制，以防止或發(fā)現無(wú)意的差錯或有意的舞弊；（4）系統是否保存充分的審計線(xiàn)索，保證了商務(wù)系統的可審性；（5）系統的安全保密措施和治理制度是否健全，能否保證系統安全可靠地運行；（6）系統的文檔資料是否全面、完整。這部分和IT審計師的工作內容實(shí)際也是相適應的。由于IT審計師正是參與一個(gè)系統分析、設計和調試運行全過(guò)程的“保健醫生”，并且IT審計師最關(guān)注系統的安全、穩定、有效。　�。ㄈ�）程序審計和數據文件審計　　應用程序是信息系統的核心，其是否遵守國家財經(jīng)法規和政策，對業(yè)務(wù)的處理是否合規、正當、正確等，均體現于應用程序�？梢允止�對應用程序直接進(jìn)行審查，也可以使用機輔助方法，也可以通過(guò)數據在程序上的運行間接測試。電算化會(huì )計信息系統中，實(shí)質(zhì)性測試的對象是數據文件。對數據庫或數據文件的審計主要目的是為確保數據的完整性與正確性等。對數據文件的實(shí)質(zhì)性測試包括：對各賬戶(hù)余額和發(fā)生額直接進(jìn)行檢查；對會(huì )計數據進(jìn)行分析性復核，旨在對數據文件進(jìn)行實(shí)質(zhì)性測試；測試一般控制措施或應用控制的符合性�？梢允褂貌惶幚頂祿�文件的實(shí)質(zhì)性測試方法、處理實(shí)際數據文件的實(shí)質(zhì)性測試方法及處理虛擬數據文件的實(shí)質(zhì)性測試方法。這兩部分內容沒(méi)有IT審計師的技術(shù)支持，一般審計職員也難勝其任。　　四、結論　　由上可知，審計業(yè)務(wù)發(fā)展至今，傳統財務(wù)審計工作只是審計中一個(gè)特別小的組成部分。審計師最重要工作之一，是發(fā)現被審計單位最重大的風(fēng)險隱患，在認定其持續經(jīng)營(yíng)的基礎上，再對財務(wù)報表的真實(shí)、公允性發(fā)表審計意見(jiàn)。假如審計師以為被審計單位的信息系統是業(yè)務(wù)運轉的平臺，是風(fēng)險高發(fā)區，那么對信息系統的安全、穩定和有效的評價(jià)就成為審計的基礎和重點(diǎn)。當然，對信息系統的審計和對財務(wù)事項的審計，手段有所不同，但基本的程序和原理都是一樣的。同時(shí)計算機審計的主要內容均和IT審計師有重要關(guān)聯(lián)，IT審計師是開(kāi)展計算機審計工作的重要推動(dòng)氣力。因此，我們在培養高級審計人才時(shí)，應注重IT審計師知識結構，在數學(xué)體系上增設以下內容：信息系統審計程序；信息系統的治理計劃和組織；技術(shù)基礎和操縱實(shí)務(wù)；信息資產(chǎn)的保護；災難恢復和業(yè)務(wù)持續計劃；業(yè)務(wù)應用系統的開(kāi)發(fā)、取得、實(shí)施和維護；業(yè)務(wù)過(guò)程的評價(jià)和風(fēng)險治理等。　　參考：　　1.劉威，強清。關(guān)于計算機審計與IT審計師關(guān)系題目的探討。財貿研究，2003（1）　　2.孫萬(wàn)軍。漫談IT審計師。電子化，2002（2）　　3.金光華。計算機審計實(shí)務(wù)。經(jīng)濟出版社，2002

【從IT審計師談我國計算機審計人才的培養】相關(guān)文章：

對培養審計人才的思考03-08

談?dòng)⒄Z(yǔ)“實(shí)用型人才”培養教學(xué)03-20

我國電子商務(wù)人才培養模式探析03-21

談網(wǎng)絡(luò )教學(xué)在培養創(chuàng )新人才中的運用03-25

我國旅游管理人才培養問(wèn)題探討03-12

審計師如何利用被審計企業(yè)的內部審計功能03-24

我國計算機審計的法律問(wèn)題探討03-21

談室內設計高級應用型人才的培養03-19

談企業(yè)工商管理類(lèi)人才應用能力的培養03-12