廣州地鐵信息系統審計內容步驟及方法的論文

　　一、引言

　　相比于傳統審計，信息系統審計（Information System Au-diting）是審計領(lǐng)域中的一個(gè)新概念。目前，關(guān)于信息系統審計，學(xué)術(shù)界和業(yè)界均無(wú)通用的定義。美國信息系統審計權威專(zhuān)家Ron.A.Weber 提出：信息系統審計可定義為通過(guò)一定的技術(shù)手段收集、分析證據，以對計算機系統是否能夠保證資產(chǎn)安全、維護數據完整、實(shí)現組織目標以及高效利用資源進(jìn)行評價(jià)的過(guò)程。日本通產(chǎn)情報協(xié)會(huì )作了如下定義：信息系統審計是指，為了信息系統的安全、可靠與有效，由獨立于審計對象的信息系統審計師以第三方的立場(chǎng)對以計算機為核心的信息系統進(jìn)行綜合檢查和評價(jià)，并向信息系統審計對象的最高領(lǐng)導者提出問(wèn)題與建議的一連串活動(dòng)。國際信息系統審計和控制協(xié)會(huì )（ISACA）將其定義為：信息系統審計是一個(gè)獲取并評價(jià)證據，以判斷計算機系統是否能夠保證資產(chǎn)的安全、數據的完整以及有效率地利用組織的資源并有效果地實(shí)現組織目標的過(guò)程。

　　針對以上觀(guān)點(diǎn)，我們將其要點(diǎn)歸納如下：信息系統審計是審計師對以計算機為核心的信息系統，通過(guò)專(zhuān)業(yè)判斷和評價(jià)，合理保證信息系統安全、穩定、有效，并向信息系統的高層管理者及使用者提供問(wèn)題解決方案，以達到改善經(jīng)營(yíng)和為組織增加價(jià)值目的的一個(gè)過(guò)程。

　　二、信息系統審計的發(fā)展與現狀

　　20 世紀 60 年代，隨著(zhù)計算機技術(shù)開(kāi)始運用于企業(yè)的信息收集和整理中，會(huì )計信息處理逐漸無(wú)紙化，促使審計人員在執行傳統審計業(yè)務(wù)時(shí)，必須關(guān)注以電子數據為載體的電子數據處理審計（EDP Electronic Data Processing）。20 世紀 70 年代中期至 80年代，電子數據處理和管理系統等在企業(yè)中逐漸普及，同時(shí)，計算機犯罪和計算機系統失效的事件頻頻發(fā)生，使得信息系統審計日益得到重視并迅速發(fā)展。美國、日本先后成立了 IT 審計方面的協(xié)會(huì )組織，從事對 IT 審計規則的制定和實(shí)施指導。20 世紀90 年代，信息和信息系統已成為企業(yè)的重要資產(chǎn)，企業(yè)和社會(huì )對信息系統控制和審計的需求愈發(fā)強烈。發(fā)達國家的信息系統審計進(jìn)入普及期，許多國家的審計機關(guān)、學(xué)者和組織對計算機環(huán)境下的信息系統審計進(jìn)行了有益的探索。同時(shí)，東南亞各國也逐漸認識到信息系統審計的重要性，開(kāi)始著(zhù)手研究信息系統審計理論和實(shí)務(wù)。

　　目前，我國信息系統審計僅有十幾年的歷史，尚處于探索階段，既缺乏開(kāi)展信息系統審計業(yè)務(wù)的人才隊伍，也沒(méi)有形成專(zhuān)業(yè)規范體系，所進(jìn)行的一些計算機審計方面的探索和嘗試以及計算機審計軟件的開(kāi)發(fā)和應用還大都停留在對被審計單位電子數據進(jìn)行處理的階段。存在的主要問(wèn)題有：信息系統審計觀(guān)念落后；信息系統審計相關(guān)的準則、標準和規范尚不完善；信息系統審計專(zhuān)業(yè)人才匱乏；信息系統審計軟件開(kāi)發(fā)工作滯后。

　　1997 年，廣州地鐵開(kāi)始公司“信息化”建設。最初，廣州地鐵經(jīng)營(yíng)審計采用“繞過(guò)計算機審計”的方法，即對導出數據進(jìn)行審計。審計過(guò)程中，其逐漸意識到了運用這種“黑箱原理”審計方法的風(fēng)險。因此，2006 年公司組建了專(zhuān)門(mén)的 IT 審計模塊，探索“如何利用計算機審計”和“通過(guò)計算機審計”.其后，廣州地鐵信息系統審計發(fā)展經(jīng)歷了借力、助力和自立三個(gè)階段。

　　一是借力期：IT 審計模塊成立初期，公司與外部顧問(wèn)共同開(kāi)展 IT 審計項目，通過(guò)外部專(zhuān)業(yè)人員向審計人員傳輸 IT 審計技能，同時(shí)制定《IT 審計實(shí)施細則》，在人員技能儲備和制度上為 IT 審計模塊的發(fā)展奠定了基礎。二是助力期：審計人員參照審計手冊，利用從外部顧問(wèn)處學(xué)習到的審計技能，逐步開(kāi)展信息系統審計工作，將 IT 審計工作模式調整為以自身力量為主，外部咨詢(xún)服務(wù)為輔的模式。三是自立期：2009 年，廣州地鐵 IT審計已基本實(shí)現自主化，且 IT 審計模塊逐步走向成熟，同時(shí)其還建立了具有自身特色的信息系統審計框架。

　　目前，IT 審計已經(jīng)發(fā)展成為廣州地鐵內部審計的一根“支柱”,連同“內控審計”,作為基本的審計手段貫穿于各類(lèi)專(zhuān)業(yè)審計工作中，支持審計體系的鞏固與發(fā)展。

　　三、信息系統審計內容

　　1、國內外關(guān)于信息系統審計內容的研究

　　開(kāi)展信息系統審計首先要明確審計內容。國際信息系統審計協(xié)會(huì )規定，信息系統審計的主要內容包括信息系統程序審計、信息技術(shù)（IT）治理、系統生命周期管理、IT 服務(wù)的交付與支持、信息資產(chǎn)的保護、災難恢復和業(yè)務(wù)連續性計劃。

　　近十幾年來(lái)，國內的學(xué)者和組織也對信息系統審計的內容進(jìn)行了探索和研究。審計署在 2012 年頒布的《信息系統審計指南---計算機審計實(shí)務(wù)公告第 34 號》中明確提出了：信息系統審計包括對應用控制、一般控制和項目管理的審計。其中，應用控制包括信息系統業(yè)務(wù)流程，數據輸入、處理和輸出的控制，信息共享和業(yè)務(wù)協(xié)同；一般控制包括信息系統總體控制、信息安全技術(shù)控制、信息安全管理控制；項目管理包括信息系統建設的經(jīng)濟性、信息系統建設管理、信息系統績(jì)效。

　　上述具有代表性的規定和研究成果對信息系統審計內容的劃分，均是以對信息系統邏輯結構的分析為基礎。全面分析信息系統的邏輯結構，可從信息系統的構成要素、信息系統生命周期和信息系統管理三個(gè)維度進(jìn)行描述：從構成要素來(lái)看，信息系統由人員、應用（包括軟件平臺和應用系統）、所采用的技術(shù)、硬件設備、數據文件運行規則組成；信息系統生命周期可劃分為信息系統的規劃階段、開(kāi)發(fā)階段、運行維護階段和更新階段；從信息系統管理的維度來(lái)看，對系統的管理與控制活動(dòng)貫穿于信息系統生命周期的始終，主要是通過(guò)有效執行一系列健全有效的規章制度和管理規程來(lái)實(shí)現。

　　2、廣州地鐵信息系統審計實(shí)施框架

　　結合廣州地鐵信息化項目多、系統更新快、數據集成度高、系統控制與手工控制并重等特點(diǎn)，圍繞信息系統構成要素、信息系統生命周期和信息系統管理三個(gè)維度，廣州地鐵將信息系統審計的內容劃分為整體計算機控制審計、應用控制審計和系統建設效能評價(jià)三個(gè)方面。其中，整體計算機控制審計是對信息系統運行中的控制活動(dòng)進(jìn)行審計，目的是合理保證由信息系統支持的業(yè)務(wù)流程控制是可靠的、生成的數據和報告是可信的。應用系統控制審計是對業(yè)務(wù)流程中的自動(dòng)化控制活動(dòng)進(jìn)行審計，以合理保證交易的有效性、經(jīng)適當授權和記錄、完成的完整性、準確性和及時(shí)性。項目及系統績(jì)效審計是對信息化項目的過(guò)程及成果對企業(yè)和業(yè)務(wù)產(chǎn)生的效益進(jìn)行審計，用來(lái)合理保證信息化項目的投資 / 產(chǎn)出比例符合建設的目標，以及信息系統對企業(yè)戰略起到的預期的支撐作用。圍繞上述三個(gè)方面，廣州地鐵內部審計確立了以下的實(shí)施框架。

　�。�1）確立整體計算機控制安全、操作、變更的三個(gè)評價(jià)維度，圍繞“信息系統全生命周期”,明確整體計算機控制十個(gè)流程。廣州地鐵通過(guò)學(xué)習和借鑒國際信息系統技術(shù)管理和控制標準 COBIT,建立起了一套自己的整體計算機控制審計框架�？蚣芸砂戳鞒毯涂刂祁�(lèi)型兩種方式進(jìn)行劃分，兩種劃分方式在本質(zhì)上是一致的。在按流程劃分出的每個(gè)子流程中，信息系統審計人員需要從變更、安全、操作的角度去確認和評估具體的控制點(diǎn)；在按控制職能所作的劃分中，審計人員需要圍繞信息系統的策略與計劃、信息系統操作、與外部供應商關(guān)系、業(yè)務(wù)可持續計劃、應用系統開(kāi)發(fā)、數據庫、軟件支持、網(wǎng)絡(luò )、硬件等十個(gè)子流程進(jìn)行審計。

　　圍繞安全、變更、操作三個(gè)角度及十個(gè)子流程，廣州地鐵共梳理出有關(guān)整體計算機控制的 41 項審計內容，并針對每一項內容明確了控制目標和風(fēng)險，建立起了一套完整的整體計算機控制矩陣。例如，信息系統策略和計劃子流程中，廣州地鐵明確了整體計算機控制的三大目標---信息系統戰略、規劃和預算應與實(shí)際業(yè)務(wù)和戰略目標保持一致，計算機處理環(huán)境應得到具有適當技能和經(jīng)驗的人員的充分支持和保證，以及計算機處理環(huán)境中的人員應接受適當的培訓，審計人員在此基礎上針對各控制目標，識別并歸納出廣州地鐵現行的 9 個(gè)控制活動(dòng)。在具體開(kāi)展信息系統整體計算機控制審計時(shí)，信息系統審計人員根據審計項目的特點(diǎn)和要求，選擇需要評價(jià)的子流程，再對照子流程的控制活動(dòng)進(jìn)行評估及測試即可。

　�。�2）從內部控制目標出發(fā)，將信息系統應用控制劃分為訪(fǎng)問(wèn)控制、完整性控制及數據質(zhì)量控制三大方面。廣州地鐵將信息系統的應用控制劃分為應用系統訪(fǎng)問(wèn)控制、流程和系統完整性控制以及數據質(zhì)量控制三大類(lèi)，并針對各類(lèi)控制分別設計了不同的審計內容。

　　一是應用系統授權訪(fǎng)問(wèn)控制審計包括對系統的認證方式、授權機制、權限的分配管理以及不相容職責分離在系統中的實(shí)現情況的審計，目的在于保證經(jīng)過(guò)允許的人才能訪(fǎng)問(wèn)和操作系統。二是流程和系統完整性控制審計是對系統輸入、處理、輸出以及接口等各種系統運行規則的審計，用以保證所有經(jīng)允許處理的數據均轉換到介質(zhì)上并被處理，且處理的結果可通過(guò)適當的方式加以輸出，所有輸入、轉換、處理和輸出均在正常的時(shí)間內準確地進(jìn)行。三是數據質(zhì)量控制審計則是指對信息系統中的數據的完整性、規范性和有效性所進(jìn)行的審計，旨在保證所有系統的輸出均反映為經(jīng)批準的有效的經(jīng)濟業(yè)務(wù)，所有經(jīng)過(guò)系統的數據真實(shí)、有效，且能滿(mǎn)足企業(yè)各項業(yè)務(wù)的使用要求。

　�。�3）圍繞“信息化項目”和“信息系統”,綜合評價(jià)信息化建設的效益。在開(kāi)展整體計算機控制審計和應用控制審計的基礎上，廣州地鐵從企業(yè)經(jīng)營(yíng)和投資效益的視角出發(fā)，在信息系統審計中引入了 3E 審計的概念，嘗試對信息系統建設項目的成效、建成后系統的應用效能以及信息化對戰略的支撐效果進(jìn)行審計。為了全面評價(jià)項目，廣州地鐵通常將對單個(gè)信息系統建設項目的合規性審計與項目效能審計結合在一起開(kāi)展。

　　一是信息系統建設成效審計旨在通過(guò)對系統建設全過(guò)程的審計，促進(jìn)信息系統的建設規范性，提高信息系統建設的質(zhì)量。二是信息系統應用效能審計包括對業(yè)務(wù)需求的實(shí)現情況、建成功能的使用情況的審計分析，以及對系統應用對業(yè)務(wù)管理規范化、標準化和精細化提升作用的綜合評價(jià)，目的在于促進(jìn)系統使用價(jià)值的最大化，減少系統建設的投資浪費。三是戰略支撐效果審計是從支持戰略實(shí)現的角度，評價(jià)信息系統的建設效益，保證信息化建設在符合業(yè)務(wù)管理要求的同時(shí)，符合公司戰略的需要，支持公司戰略的實(shí)現。

　　四、信息系統審計實(shí)施步驟

　　信息系統審計步驟（或流程），是審計工作從開(kāi)始到結束的整個(gè)過(guò)程。信息系統審計流程一般可劃分為四個(gè)階段：計劃階段、實(shí)施階段、報告階段和后續階段。計劃階段是信息系統審計流程的起點(diǎn)，此階段的主要工作包括了解被審計系統的基本情況，初步評價(jià)被審計單位信息系統的內部控制和外部控制，識別重要性和編制審計計劃。實(shí)施階段是根據計劃階段確定的審計范圍、重點(diǎn)、步驟和方法進(jìn)行有針對性的取證、評價(jià)，并形成審計結論的過(guò)程。實(shí)施階段是信息系統審計工作的核心，主要由符合性測試和實(shí)質(zhì)性測試兩個(gè)部分構成。在報告階段，信息系統審計人員需運用專(zhuān)業(yè)判斷，整理、評價(jià)收集到的審計證據，以經(jīng)過(guò)核實(shí)的審計證據為依據，形成審計意見(jiàn)，出具審計報告。審計報告的出具并不意味著(zhù)信息系統審計工作的終結。根據國際信息系統審計標準，信息系統審計人員對于系統中發(fā)現的重大問(wèn)題和漏洞，需要對被審計單位所采取的糾正措施及其效果進(jìn)行后續審計。審計人員需要將后續審計納入計劃，并安排必要的人員和時(shí)間進(jìn)行后續審計。

　　廣州地鐵 IT 審計模塊成立之初，即明確了 IT 審計“對公司的系統流程與控制、項目進(jìn)行審計”和“提供有益于增加公司價(jià)值的咨詢(xún)服務(wù)”兩項核心職責，并圍繞公司戰略，以“風(fēng)險導向”、“服務(wù)戰略”理念為指導，從信息系統審計戰略規劃和具體項目執行兩個(gè)層面分別制定信息系統審計的流程。

　　1、以公司戰略為導向，制定信息系統審計的戰略規劃

　　一直以來(lái)，廣州地鐵奉行“源于戰略、服務(wù)于戰略”的現代審計理念。這一理念主要體現在兩個(gè)方面：一是在制定內審工作計劃時(shí)，從公司戰略出發(fā)，制定各個(gè)內審業(yè)務(wù)及各專(zhuān)業(yè)審計模塊的戰略，并以業(yè)務(wù)戰略為指導，開(kāi)展具體的審計工作；二是在開(kāi)展審計項目的過(guò)程中，始終從保障公司戰略執行的角度去發(fā)現問(wèn)題、評價(jià)問(wèn)題，提出整改意見(jiàn)和落實(shí)整改。信息系統審計的戰略規劃來(lái)源于公司的戰略，以及以公司戰略指導制定的公司信息系統戰略規劃和內部審計業(yè)務(wù)戰略規劃；同時(shí)還須結合公司信息化現狀和 IT 審計模塊定位，明確廣州地鐵 IT 審計發(fā)展戰略目標。

　　2、通過(guò)風(fēng)險評估，確定各信息系統風(fēng)險等級，制定層次分明、重點(diǎn)突出的信息系統循環(huán)審計計劃

　　為利用有限的審計資源掌握公司主要信息系統的建設、運營(yíng)情況，保障信息資源的有效利用，降低公司信息系統的整體風(fēng)險，廣州地鐵建立了一套“根據信息系統風(fēng)險評級制定差異化的審計策略”.

　�。�1）梳理信息系統脈絡(luò )，全面掌握信息系統現狀。廣州地鐵結合信息系統規劃、建設和運營(yíng)的情況及系統分類(lèi)梳理出被審計信息系統清單，并從系統構成要素的角度收集系統相關(guān)的信息。這些信息包括系統名稱(chēng)、功能模塊、采用產(chǎn)品等基本信息，以及項目的建設信息、系統的使用狀況和運維的基本情況。這些信息是風(fēng)險評分的依據，也為后續開(kāi)展具體審計工作時(shí)確定審計方案提供了指引。

　�。�2）開(kāi)展信息系統風(fēng)險評級，制定風(fēng)險導向型審計計劃。內審人員從通用風(fēng)險、業(yè)務(wù)風(fēng)險、項目風(fēng)險、系統風(fēng)險、數據風(fēng)險和人員風(fēng)險六大風(fēng)險類(lèi)別出發(fā)，全面識別信息系統各類(lèi)構成要素中存在的風(fēng)險；對信息系統進(jìn)行風(fēng)險評價(jià)，根據風(fēng)險得分將信息系統按優(yōu)先級分別劃分為高、中、低三類(lèi)。結合公司 IT 審計資源的情況，對優(yōu)先等級高的系統采用三年一審策略，中等級系統 5-6 年一個(gè)審計周期，風(fēng)險等級低的系統則根據需要安排審計。在此審計策略的基礎上，再綜合考慮公司業(yè)務(wù)的十大風(fēng)險、領(lǐng)導關(guān)注事項、上一年度內控評價(jià)結果和審計項目成果、公司新一年的工作重點(diǎn)、公司信息系統的變動(dòng)情況，并制定出本年度的信息系統審計計劃。

　　3、以風(fēng)險為導向，開(kāi)展信息系統審計

　　在項目實(shí)施階段，審計人員必須從公司整體信息系統控制環(huán)境和被審計系統的狀況、流程與內部控制兩個(gè)方面進(jìn)一步收集被審計系統的相關(guān)資料，了解和確認被審計單位已建立的內部控制措施，并對這些控制措施的設計是否達到控制目標進(jìn)行評估。

　�。�1）以“輪流循環(huán) + 以點(diǎn)帶面”的方式開(kāi)展整體計算機控制審計。公司的信息化業(yè)務(wù)采用統一集中管理的模式，整體計算機控制對各個(gè)系統具有一定的通用性。因此，在實(shí)務(wù)操作中，廣州地鐵采用“以點(diǎn)帶面”的策略，以單個(gè)信息系統整體計算機控制為切入點(diǎn)對整體計算機控制進(jìn)行審計，評價(jià)整體信息系統的安全性；同時(shí)，考慮到信息系統在一定時(shí)間內相對穩定，因此在實(shí)施整體計算機控制審計時(shí)可采取輪流測試的方式，即每年從十個(gè)子流程中選取幾個(gè)進(jìn)行測試，經(jīng)過(guò)一定周期后，完成對整體計算機控制的全面審計。例如，在 2011 年開(kāi)展的信息安全審計項目中，審計人員就圍繞信息安全這個(gè)審計主題，從十個(gè)子流程中選取了與信息安全直接相關(guān)的信息系統操作、信息系統安全、業(yè)務(wù)可持續計劃、應用系統開(kāi)發(fā)與實(shí)施、數據庫開(kāi)發(fā)與實(shí)施和系統軟件支持等六個(gè)流程進(jìn)行審計。分步、循環(huán)開(kāi)展整體計算機審計，在審計風(fēng)險可控的情況下，大大節省了審計資源，也使得審計人員能夠更加深入地挖掘和分析整體計算機控制方面所存在問(wèn)題以及問(wèn)題的成因，提出更為切實(shí)可行、同時(shí)又符合公司信息化業(yè)務(wù)發(fā)展現狀和要求的整改措施。

　�。�2）以風(fēng)險為著(zhù)眼點(diǎn)，確定應用控制審計重點(diǎn)。應用控制是各個(gè)信息系統內部所建立的控制機制，應用控制審計必須針對某個(gè)具體信息系統開(kāi)展。在開(kāi)展應用控制審計的過(guò)程中，審計人員應緊緊圍繞“風(fēng)險”這個(gè)著(zhù)眼點(diǎn)，通過(guò)對原有業(yè)務(wù)成熟度和系統建設過(guò)程中風(fēng)險的評估，選擇不同的審計側重點(diǎn)開(kāi)展應用控制審計。例如，在合同管理系統審計項目中，由于合同管理系統是全新開(kāi)發(fā)的系統，審計人員經(jīng)分析，判定系統在應用系統訪(fǎng)問(wèn)控制方面的風(fēng)險較高。而在進(jìn)行控制評估和測試后，審計人員發(fā)現業(yè)務(wù)人員在創(chuàng )建系統權限設置機制時(shí)完全套用了公司辦公自動(dòng)化系統的權限機制，而未針對合同業(yè)務(wù)流程中不同于公司組織架構下的角色設立相應的用戶(hù)組，導致系統無(wú)法實(shí)現合同經(jīng)辦人與審批人職責的分離，存在重大的內控風(fēng)險。

　　五、信息系統審計方法

　　在信息系統審計中，可因地制宜，綜合運用多種學(xué)科的技術(shù)方法，包括：傳統審計中內部控制測評的基本方法和審計取1、核對、監盤(pán)、觀(guān)察、查詢(xún)、函證、計算、分析性復核）；計算機科學(xué)的技術(shù)方法，如數據測試法、程序編碼審查法、受控處理法、受控再處理法、整體測試法、平行模擬法、程序比較法、漏洞掃描、入侵檢測、嵌入審計程序法等等；行為科學(xué)的技術(shù)方法，如運用組織發(fā)展的理論與方法、個(gè)體行為一般規律的理論和方法。這些方法與技術(shù)并不是孤立的，而是互相聯(lián)系的。

　　目前，廣州地鐵在信息系統審計中所運用的方法仍主要集中在傳統的內控審計方法和信息系統管理的技術(shù)方法兩個(gè)領(lǐng)域，具體包括詢(xún)問(wèn)、觀(guān)察、文件復核、抽樣、重新執行、使用計算機輔助軟件等。在部分項目中，也采用了一些計算機科學(xué)的技術(shù)方法。受限于審計資源不足，廣州地鐵較少采用程序比較法、平行模擬法、程序編碼審查法等高成本的審計方法，而傾向于選用一些較為高效的測試方法。但這些高效方法的運用不能完全消除審計風(fēng)險，這就需要審計人員根據自身的經(jīng)驗盡量避免。

　　1、傳統審計方法的運用

　　廣州地鐵在開(kāi)展信息系統審計過(guò)程中較多運用傳統審計的方法。例如，在對信息系統整體計算機控制進(jìn)行審計時(shí)，通過(guò)對系統使用人員的訪(fǎng)談、調研和對系統各項操作的觀(guān)察，梳理出整體計算機控制相關(guān)的各種控制活動(dòng)。在沒(méi)有測試環(huán)境的情況下對生產(chǎn)在用信息系統的人機交互界面和功能進(jìn)行調查和確認時(shí)，審計人員大量運用了觀(guān)察的方法。在對固定資產(chǎn)信息系統模塊進(jìn)行審計中，審計人員通過(guò)觀(guān)察物資采購人員、資產(chǎn)管理人員、會(huì )計核算人員在系統中的操作界面、系統實(shí)現效果以及業(yè)務(wù)操作流程來(lái)了解系統功能的構造。發(fā)現采購中的供應商信息在跨系統流程過(guò)程中丟失，導致財務(wù)系統和實(shí)物管理的MAXIMO 系統的資產(chǎn)臺賬中均缺少供應商信息，致使日后采購同類(lèi)物資時(shí)，采購人員無(wú)法獲取歷史采購信息作為參考，增加了市場(chǎng)調研成本。除內控矩陣和訪(fǎng)談、觀(guān)察等方法之外，編制流程圖、數據流圖和報表流圖也是信息系統審計經(jīng)常使用的方法。

　　2、計算機科學(xué)技術(shù)方法的運用

　　計算機科學(xué)技術(shù)方法是信息系統審計特有的方法，來(lái)源于IT 行業(yè)的信息技術(shù)的轉換應用，主要包括基于數據分析的方法和基于程序分析的方法，這些方法的綜合使用使得對信息系統的審計更加有效。具體方法的選用需視被審計系統的實(shí)際情況而定。在一個(gè)審計項目中，廣州地鐵審計人員經(jīng)常將多種方法結合使用。例如，在票務(wù)收入系統審計項目中，審計人員首先采用數據測試法，使用正常及非正常的測試地鐵票搭乘地鐵，在系統中跟蹤測試票的處理情況，以驗證系統處理與控制功能是否均有效；在對系統中后期內部開(kāi)發(fā)的車(chē)站單程票售賣(mài)功能進(jìn)行審計時(shí)，審計人員采用了程序編碼審查法，對系統的源程序編碼進(jìn)行審查，審查后發(fā)現單程票售賣(mài)金額統計報表在進(jìn)行數據處理時(shí)省略了小數點(diǎn)后的尾數，導致報表金額存在偏差；在對票務(wù)系統的清分報表進(jìn)行驗證時(shí)，審計人員又采用了平行模擬法，抽取系統中一段時(shí)間內的正式交易記錄，在系統外模擬系統的處理規則對交易記錄進(jìn)行處理，并將處理結果與系統的報表數據進(jìn)行核對，結果發(fā)現系統在數據傳遞和處理過(guò)程中，由于系統對于異常數據的審核過(guò)于嚴格，導致部分正常數據被當作垃圾數據丟進(jìn)異常庫，給公司造成票務(wù)損失。

　　3、計算機輔助審計軟件的應用

　　計算機輔助審計軟件的應用是信息系統審計的一個(gè)顯著(zhù)特點(diǎn)，也是審計人員準備階段需要重點(diǎn)關(guān)注的問(wèn)題之一。目前，廣州地鐵對計算機輔助審計軟件的應用主要體現在以下兩個(gè)方面。

　�。�1）對系統中數據的準確性、完整性和一致性的檢查。例如，在合同管理系統審計項目中，為核對系統接口程序的可靠性，審計人員利用審計輔助軟件快速完成了對合同系統和財務(wù)系統數據一致性的核對，迅速查找出兩個(gè)系統中不一致的數據。經(jīng)過(guò)深入分析，審計人員發(fā)現由于財務(wù)核算人員在財務(wù)系統中復核合同支付數據時(shí)發(fā)現錯誤，將支付申請退回給合同系統再由合同經(jīng)辦人重新填報時(shí)，合同系統未對已生成的支付信息進(jìn)行更新，導致上述問(wèn)題的出現。針對海量數據處理系統，數據驗證是審計的重點(diǎn)，計算機輔助軟件是“不可或缺”的審計工具。在地鐵票務(wù)收入保障審計項目中，審計人需要通過(guò)數據驗證的方式對業(yè)務(wù)處理的核心系統--自動(dòng)售檢票（AFC）系統中的系統傳輸和處理機制進(jìn)行驗證。為此，審計人員共設計了 8大類(lèi) 29 子類(lèi) 47 個(gè)數據驗證主題。審計時(shí)，審計人員運用計算機輔助審計技術(shù)，在兩個(gè)月內完成了對 AFC 系統中 10 天總計超過(guò) 3 億條運營(yíng)數據的驗證工作。

　�。�2）利用計算機輔助軟件進(jìn)行對比測試。即審計人員從信息系統中抽取某部門(mén)樣本數據，將樣本數據輸入到與計算機輔助軟件中進(jìn)行處理，把審計軟件輸出的結果與業(yè)務(wù)系統產(chǎn)生的結果進(jìn)行對比分析，以判定業(yè)務(wù)系統的可靠性與準確性。廣州地鐵在已開(kāi)展的運營(yíng)票務(wù)收入保障審計項目中大量地使用了此種方式。審計人員將各車(chē)站站務(wù)人員在票務(wù)系統中錄入的售票數據導入到計算機輔助軟件中，按照業(yè)務(wù)規則對數據進(jìn)行處理，將處理結果和系統輸出的結果進(jìn)行對比。經(jīng)對比，審計人員發(fā)現票務(wù)系統在處理異常數據時(shí)過(guò)于嚴格，導致部分非異常數據被系統當作異常數據丟入異常庫中，給公司造成票務(wù)損失。

　　4、信息系統審計與業(yè)務(wù)內控審計相結合

　　企業(yè)管理流程信息化的過(guò)程中，會(huì )對原有的業(yè)務(wù)流程進(jìn)行優(yōu)化甚至重構。對原有手工流程的內控評價(jià)在信息化環(huán)境中可能不再適用。因此，廣州地鐵在信息系統審計中添加了對業(yè)務(wù)流程的內控評價(jià)---先對業(yè)務(wù)的內部控制情況進(jìn)行評估，梳理并確定業(yè)務(wù)流程風(fēng)險和關(guān)鍵控制點(diǎn)，再對照業(yè)務(wù)流程對系統的處理流程進(jìn)行評價(jià)，確保信息系統審計評價(jià)的準確性。信息系統審計與業(yè)務(wù)內控審計相結合的方法還體現在對一個(gè)流程中未在信息系統實(shí)現的控制環(huán)節可以通過(guò)內控審計進(jìn)行補充。實(shí)踐表明，信息系統審計與業(yè)務(wù)內控審計相結合的方法在很大程度上提高了審計的全面性。

　　由于信息技術(shù)自身的特點(diǎn)，例如電子數據的不可視性，加之被審計單位信息系統內部控制方面可能存在缺陷以及信息系統審計人員在專(zhuān)業(yè)技術(shù)和職業(yè)道德方面亦不完美，信息系統審計風(fēng)險客觀(guān)存在。面對信息系統審計風(fēng)險，需要審計人員通過(guò)深入調研，全面了解被審計系統的情況；需要培養專(zhuān)業(yè)人才，“以點(diǎn)帶面”提升團隊能力；結合企業(yè)發(fā)展情況，制定內部信息系統審計標準；利用審計軟件，降低抽樣風(fēng)險，提高審計效率等多種措施，不斷降低審計過(guò)程中的檢查風(fēng)險，提高審計質(zhì)量。

　　【參 考文獻】

　　[1] Ron A.Weber,Information Systems Control and Audit,1sted,NJ:Prentice Hall,1998.

　　[2] S. Anantha Sayana:The IS Audit Process[J].The ISACA Jour-nal,2002（1）。

　　[3] Craig S. Wright:The IT Regulatory and Standards Com-pliance Handbook:How to Survive Information Systems Auditand Assessments,1st ed,MA:Syngress, 2008.

　　[4] Robert E. Davis:Information Systems Auditing:The IS Au-dit Planning Process,3rd ed,2010.

　　[5] Jack J. Champlain:Auditing Information Systems[J].2nd ed,NJ:John Wiley&Sons,2003.

　　[6] 盧 紅 柱 :計 算 機 信 息 系統 審 計 的 探索 之 路[J].審 計 研 究 ,2006（增 刊 ）。

　　[7] 王 進(jìn) 波 、 常 衛 : 信 息 系 統 審 計 的 發(fā) 展 與 現 狀 [J]. 財 政 監 督 ,2008（4）。

　　[8] 陳 繼 初 :信 息 系 統 審 計 在 我 國 的 現狀及 存在 的 問(wèn)題[J].消 費導刊，2008（12）。

　　[9] 吳沁紅：信息系 統審計內容分析[J].財會(huì )研究，2008（10）。

　　[10] 胡 曉 明 : 信 息 系 統 審 計 理 論體 系的 構 建 [J]. 中 國 注 冊 會(huì )計師，2006（6）。

　　[11] 王艷、周劍：信息系統審計辨析[J].圖書(shū)情報工作，2004（48）。

　　[12] 田佳林：信息系統審計簡(jiǎn)述[J].財政監督，2008（4）。

　　[13] 陳 婉 玲 、楊 文 杰 :COBIT 及 其 在 信 息 系 統 控 制與 審 計 中 的應用[J].審計研究，2006（增刊）。

　　[14] 趙 靜 :COBIT 框架 在 IT 審 計 中 的 應 用 [J]. 中國 內 部 審 計 ,2009（12）。

　　[15] 張妍：信息系統審計方法研究[J].審計月刊，2010（11）。

　　[16] 劉 杰 、羅繼 榮 :信 息 系統 審 計 質(zhì)量控 制 準則 研究[J].財會(huì ) 通訊，2011（5）。

　　[17] 王 振 武 、張 子 瑾 :信 息 系統 審 計 理 論 結構 框架 研究[J].會(huì ) 計之友，2011（7）。

　　[18] 薛富平：信息系統審計風(fēng)險[J].財會(huì )研究，2007（3）。

　　[19] 徐 經(jīng) 緯 :淺談 計 算 機 審 計 風(fēng) 險評 價(jià) 及 其 防 范對 策[J].經(jīng) 濟 研究導刊，2009（16）。

【廣州地鐵信息系統審計內容步驟及方法的論文】相關(guān)文章：

論文提綱的步驟方法06-16

建設項目竣工決算審計的內容與方法探析論文07-23

擬訂論文提綱的步驟與方法08-07

論文提綱編寫(xiě)步驟方法06-09

教學(xué)論文撰寫(xiě)的方法與步驟09-06

論文寫(xiě)作方法與步驟08-30

中冶賽迪集團信息系統審計流程與方法回顧論文10-29

學(xué)位論文寫(xiě)作方法步驟08-31

SCI論文提綱編寫(xiě)的步驟方法09-28