信息系统审计探究论文

【摘要】互联网的普及使得企业的生存与发展越来越依赖于现代信息系统，现代信息系统重要性的与日俱增要求信息系统审计在模型及方法体系上均要做出适应性的拓展甚至变更。针对该问题，文章提出了现代信息系统审计模型ISACM，该模型将现代信息系统审计的职能明确分为审计、控制和管理三个关联的方面。下面是小编整理的《信息系统审计探究论文(精选3篇)》，仅供参考，大家一起来看看吧。

信息系统审计探究论文 篇1：

保险公司的信息系统审计

【摘要】现阶段的经济发展背景下，随着全面改革的逐步深化，对于保险公司的发展也有着很大的影响，将信息系统审计加强完善能够有效促进保险公司的健康长久发展。信息技术当前在各个行业发展中都有着渗透，企业的发展想要得到快速迅捷的目标实现，就要能够将信息技术得到熟练创新的应用。本文主要就信息系统审计的重要性以及主要内容进行详细分析，然后就保险公司的信息系统审计内容和审计流程进行详细分析，最后就完善我国的信息系统审计的优化策略实施进行探究，希望对保险公司的健康发展起到一定促进作用。

【关键词】保险公司 信息系统审计 内容

一、引言

信息系统审计主要是在信息社会环境下从传统的审计进行逐渐发展的新的审计，主要是借助信息技术进行对审计的效果的优化，能够将企业的财务方面的管理效率得到有效提升。对于信息系统审计主要还是来自于电子数据信息处理，通过财务数据电子数据的处理将财务管理高效的进行，在当前的企业竞争下，通过信息系统审计的应用是必不可少的。所以加强这一层面的理论研究就有着实质性意义。

二、保险公司信息系统审计的重要性及主要内容分析

（二）保险公司信息系统审计的重要性分析

信息系统审计在保险公司运营中的应用有着其重要性，信息系统审计作为是法人治理重要手段，将其在保险公司中的有效应用就能够保证保险公司财务方面的科学发展。信息系统审计也是对信息系统质量得以保证的重要工具，信息系统可靠性也需要有信息系统审计进行保证，另外信息系统的安全性以及有效性也需要信息系统审计的保障[1]。信息系统审计的应用是保险公司信息化发展的必然要求，并对保险公司的经营管理方式以及财务管理水平等都有着积极的促进作用，能够将会计处理工作的计算机化得到有效加强。另外，将信息系统审计在保险公司中的应用能够鉴证电子化数据真实可靠性，对数据实时审计需要信息系统审计。

（二）信息系统审计的主要内容分析

对于信息系统审计的主要内容来看主要有管理流程审计以及技术平台审计，信息系统的项目审计以及生产系统审计等几个部分所组成。其中在管理流程审计层面，信息技术管理流程审计最为主要的就是评估和公司发展战略目标相一致的信息技术规划，以及对信息系统取得制度及流程的评价等层面。另外在技术平台的审计内容层面，这是对信息技术基础平台运行和安全管理进行的评估，以及硬件运行和安全管理等各种内容的评估[2]。再者就是信息系统的项目审计层面，信息系统项目审计是对项目管理以及监理的有效性进行评估的。最后就是对生产系统的审计，是信息系统和业务流程吻合审计，以及评估数据的访问权限等等。

三、保险公司的信息系统审计内容和审计流程分析

（一）保险公司的信息系统审计内容分析

从保险公司信息系统审计内容层面来看，审计前的调查阶段审计人员要能够对保险公司综合业务信息系统业务流程能有深入化的了解，并要能够对系统基本架构充分掌握。其中在业务授权以及审批控制审计层面有着具体审计目标和审计测试过程两个层面；而在数据输入控制审计内容以及数据处理逻辑审计和数据输出控制审计内容上也是由审计目标和审计测试两个内容相构成。

（二）保险公司的信息系统审计流程分析

从保险公司的信息系统审计流程层面来说，主要分为准备、实施、审计报告这几个流程。从准备阶段来看主要是基础，是对审计单位的内部环境进行的调查，从实际的内容上主要有对信息信息审计目标的明确以及对审计单位相关情况而定调查和初步风险的评价等。然后就是签订审计业务约定书，以及调查和了解审计单位信息系统的基本情况，然后对固有的风险进一步评价，还要能够评估被审单位内部控制，最后就是进行编制审计的计划然后向管理层递交审计计划书[3]。

再者就是具体的信息系统审计过程中要能够有具体的审计目标没在对系统的输入权限以及数据格式等相关内容检查之后，对数据的安全完整性得到有效明确保证。然后根据投保单确定保险的事故以及进行划分保险的责任，从具体的实施过程中首先要能够通过观察法审计人员可到现场对输入数据操作的情况进行观察，对各个层面的问题要能查看是否是合理的。然后就是通过测试数据的方法可以通过审计人员对真实业务设计虚拟数据然后提交到系统实施处理，对所输入的数据查看是否是重复操作。最后就需要采用数据的验证方法在对数据间的逻辑关系进行查看之后对数据的完整性要能够得到有效保障。

对于信息系统的审计报告的阶段，就要通过整理评价搜集到的审计证据，以及对这些证据进行复核，还要能够对审计结果加强评价并形成审计的意见编制成审计报告形式。另外还可以通过观察的方法通过审计深远对数据操作过程进行查看，并和现场的工作人员进行展开座谈会等。也可以通过文档查阅的方法对输入的数据界面格式的简单清晰等问题进行查看[4]。

四、完善保险公司信息系统审计的优化策略

针对保险公司的信息系统审计当前还处在比较初级的阶段，所以这就需要信息系统的审计人员积极的参与到生产系统的建设中来，要能够让生产系统在这一过程中可以得到专业化的审计指导。这样才能为之后的系统投产之后，在审计的工作上发挥其重要的促进作用。保险公司要能够在外部的审计方面通过将专业审计机构实施引进并和外部的财务审计得到有效结合，对管理层的局部问题得到有效重视[5]。然后在具体的稽核业务过程中，审计范围能够确定为管理层所关注的风险控制点。

另外，对于我国的相关信息系统审计的准则体系要能得到完善的制定，并要能够遵循相应的原则加以完善，将系统性以及结构性的原则得到充分重视。并要能够加强和信息系统审计相配套的立法，在电子商务以及电子政务以及网络经济的相关立法层面要能得到充分重视。建立一套科学完善的信息系统审计评价的指标体系，再者就是要能在信息系统方面提供统一的审计接口，将会计软件进行规范化处理。

五、结语

总而言之，对于我国的保险公司信息系统审计的完善要能从多方面进行完善加强，随着信息化成都的进一步加强，信息系统审计的标准化以及体系化和程序化目标也逐渐得到了实现，在此过程中就要能够进一步促进保险公司的财务方面的发展。本文主要从信息系统审计的内容以及应用的重要性等层面进行了理论分析，希望能对保险公司的发展有所裨益。

参考文献

[1]李国华，邵求明.从企业信息化的进程看信息系统审计的发展[J]. 上海立信会计学院学报. 2014（02） .

[2]邓春梅，李嘉明，马宁.信息系统审计及其相关问题分析[J]. 重庆大学学报（自然科学版）. 2013（06） .

[3]杨洋.开展信息系统审计的作用和意义[J]. 辽宁经济. 2014（10）.

[4]万建国.信息系统审计——未来审计的重要内容[J]. 中国审计. 2013（11）.

[5]余念祖，陈涛.信息系统审计的发展与实务[J]. 湖北审计. 2014（03）.

作者简介：林伟璇（1980-），女，海南省海口市人，工作单位：中国人民财产保险股份有限公司海南省分公司，职务：高级主管，研究方向：审计学。

作者：林伟璇

信息系统审计探究论文 篇2：

ISACM：现代信息系统审计模型及其方法体系

【摘 要】 互联网的普及使得企业的生存与发展越来越依赖于现代信息系统，现代信息系统重要性的与日俱增要求信息系统审计在模型及方法体系上均要做出适应性的拓展甚至变更。针对该问题，文章提出了现代信息系统审计模型ISACM，该模型将现代信息系统审计的职能明确分为审计、控制和管理三个关联的方面。与此同时，基于ISACM模型构建了现代信息系统审计的一般性方法体系，进一步明确审计职能——三项审计类别涉及真实性审计、安全性审计、绩效审计;三级控制层面包括决策层面、业务层面和技术层面;三个管理维度分别是IT治理、应急管理和业务连续性管理，以期为互联网环境下的现代信息系统审计提供指引。

【关键词】 互联网环境; 现代信息系统审计; ISACM模型; 一般性方法体系

一、引言

互联网的普及使得信息系统（IS）由“信息孤岛”的现象转变成开放、复杂的状态，意味着信息系统由传统IS转变为现代IS，其中传统IS特指利用计算机实现对产品生产制造过程的自动控制，实现企业内部管理的自动化;现代IS是在传统IS基础上进一步扩展，企业还会利用互联网开展电子商务，实现企业生产、交易、管理的系统化，如阿里巴巴、卓越等电子商务公司。据智研咨询统计结果显示，截至2016年12月，我国60%以上的企业部署了企业信息化系统，其中50.4%、28.2%、25.9%的企业建设使用了办公自动化（OA）系统、企业资源计划（ERP）系统和客户关系管理（CRM）系统，相比于上一年提升了13.4个百分点，且预测整体呈快速的上升趋势。此外，2018年7月中国互联网信息中心（CNNIC）在公布的第42次《中国互联网络发展状况统计报告》中指出，2018年1—5月电子商务平台收入达1 164亿元，同比增长39.1%，电子商务保持快速增长、增速平稳态势，服务模式、技术形态和赋能效力均在不断地创新突破。由此可见，企业的生存和发展越来越依靠信息系统，信息系统显得愈加重要。尽管如此，信息系统也暴露出诸多安全问题，2001年爆发的安然事件就是代表性的事件。为防止企业利用信息系统进行舞弊，对现代信息系统进行审计显得格外重要。

现代信息系统主要利用电子商务平台进行交易，信息系统变得复杂化、开放化，如何针对此类系统进行审计亟待解决。目前信息系统审计相关的依据主要是国际信息系统审计协会（IASCA）制定的信息系统审计准则、COSO内部控制及风险管理框架以及COBIT控制框架。其中信息系统审计准则是由基本准则、审计指南和作业程序三个层次组成，明确审计人员的基本要求以及具体的审计程序，是一套通用的审计准则;COSO框架主要包括内部控制和企业风险管理整合框架两个方面，旨在使企业风险管理过程流程化，为企业目标实现提供合理保证;COBIT框架重视信息系统控制问题，提出了一般控制和应用控制两要素审计方法，为企业管理层、IT与审计之间交流架起桥梁。三种审计依据各有侧重地对信息系统审计进行一定程度的指导，但针对现代企业信息系统，以上任意一种审计依据都无法满足审计需求，因此，有必要重新探索信息系统审计方法体系，以便为现代信息系统审计工作提供一个可行的实务指南。

二、文献回顾

（一）基于ISACA信息系统审计准则体系的相关研究

ISACA信息系统审计准则体系从多个层次为审计人员提供指引。由于我国目前还未建立起一套完整的信息系统审计准则，因此，国内部分学者主要基于ISACA信息系统审计准则进行相关的研究，诸如通过解读国际信息系统审计准则的相关内容，提出用于制定我国信息系统审计准则的建议。刘杰[1]通过比较国内外信息系统审计准则，指出我国准则的弊端，并提出相关政策建议;张文秀等[2]指出在我国借鉴国际信息系统审计规范的过程中要注意国家文化的特征，要探讨适合我国国情的审计准则;陈婉玲等[3]借鉴ISACA的信息系统审计准则，提出顶层设计方案，指出我国可以按照工作流程或审计工作任务进行准则制定。通过文献回顾，可以了解到信息系统审计准则对审计工作具有指导作用，我国信息系统审计需要从基本准则、审计职能和作业程序等诸多方面进行规范。

（二）基于COBIT框架体系的相关研究

COBIT框架体系重视信息系统的控制以防范风险。周德铭等[4]在借鉴国外信息系统过程控制审计框架基础上，提出四维结构的信息系统审计控制审计框架;王会金[5]提出中观信息系统审计风险控制框架体系，为相关系统安全提供理论支持与实践指导;张文秀等[6]构建我国信息系统审计框架，提出面向系统和面向数据的信息系统审计，进一步深入了我国信息系统审计的研究与应用;金文等[7]提出以信息系统生命周期为出发点，构建符合COBIT定义的信息技术过程和管理、控制与审计模型。上述研究主要依据COBIT标准构建我国信息系统审计框架，通常COBIT便于人们了解和分析信息系统建设与应用过程，帮助审计师明确审计轨迹[7]。

（三）基于COSO框架体系的相关研究

COSO框架主要包括内部控制和企业风险管理整合框架两个方面，凸显企业内控和风险管理的重要性。王培华等[8]基于COSO-ERM框架，构建审计机关廉政风险防控体系，进行风险分类管理，以便于查找各部门、岗位的关键风险点，评估风险等级，健全防控长效机制;施金龙等[9]认为应该加强中小企业内部控制，并基于COSO内控框架研究其存在的问题及成因，最后提出一系列完善内控的措施;席龙胜[10]在审计质量控制基础上引入COSO风险管理框架，建立新的审计质量控制体系，认为审计应该转向以控制风险为目标的主动型质量管理;陈震晗[11]基于COSO-ERM框架研究企业风险导向审计模型，并提出应用模型的初步方案，为审计研究提供新的方向。可见，目前基于COSO框架的文献研究主要是针对各企业内部控制问题，并提出相關建议，表现企业内部控制的重要作用。

从以上讨论可以看出，虽然目前在信息系统审计准则、框架体系上已有诸多研究，然而，互联网的普及所带来的企业生产方式、经营模式和管理方法的巨大变化，使得企业信息系统面临着前所未有的风险，信息系统审计的职能需要得到提升。本文提出的ISACM（Information System Auditing、Control and Management）现代信息系统审计模型及方法体系，除了提供信息系统审计的审计职能外，还具备控制和管理职能，对已有的信息系统审计模型和方法体系做出了内涵拓展和外延变更，方便为“互联网+”环境下的现代信息系统审计实务提供指引。

三、ISACM模型构建

本节在分析现代信息系统审计应该具备的审计、控制和管理三种职能的基础上，给出适用于信息系统审计的ISACM模型，该模型能够多角度表征现代信息系统审计的作用，充分反映信息系统审计的职责所在，最大限度地满足现代信息系统审计的需求。

（一）审计职能

所谓审计职能，是一种狭义的审计，就是以相关规定、标准等为评价依据，评价被审计对象的信息资产和信息系统是否安全、可信，反映的财务收支和经济活动的电子轨迹是否合法、合规、合理和有效，从而督促被审计对象遵纪守法，提高经济效益。

相比于传统的信息系统审计，现代信息系统审计的审计职能表现得更加复杂、开放，不仅关注信息系统的真实性，而且对信息系统的安全性愈加重视。如图1所示，基于审计目标，本文将现代信息系统审计的审计职能划分为真实性审计、安全性审计和绩效审计三种基本类型。

（二）控制职能

控制职能的一般定义是指组织的管理者对组织的运行状况加以监督，通过控制可发现当初的计划与实际的偏差，采取有力的行动纠正偏差，保证计划的实行，确保原来的目标得以实现。

针对现代化企业的业务经营活动、各种数据传递以及财务报告等的产生与传递越来越多地依赖信息系统自动化处理的现象，美国麻省理工学院皮特·威尔博士通过研究发现：面对同样的战略目标，信息系统内部控制水平较高的企业的获利能力高出20%，这足以说明信息系统内部控制的作用变得越来越大。为此信息系统审计师需要对信息系统内部控制功能实施鉴证，以验证其是否具备信息系统审计的控制职能。如图2所示，此处将现代信息系统审计的控制职能划分为决策、业务和技术三个层面，以保证信息系统内部控制的全方位性。

（三）管理职能

管理职能是指信息系统审计师有义务和责任对企业的信息资产安全与信息系统运行状况提供决策咨询，确保信息系统发展与企业的战略一致，在工作中发现问题，对制度、管理和控制等方面有针对性地提供咨询服务，预防出现大的信息技术风险和管理漏洞，企业各管理层提供服务，不断改进经营管理水平。

信息技术使企业受益的同时也带来了相应的风险（《企业内部控制基本规范》中提到了识别企业内外部风险的六个核心因素），信息系统风险已经成为企业风险的主要来源之一。为保证企业信息资产的安全、有效，现代企业的风险管理必须成为信息系统审计的基本职能。如图3所示，本文将现代信息系统审计的管理职能划分为IT治理、应急管理、业务连续性管理三个方面，通过对信息资产实施全方位、全过程的风险管理，帮助企业提高抗风险的能力。

根据以上信息系统审计三种职能分析，本文构建出如图4所示的现代信息系统审计模型ISACM，该模型通过多角度展现现代信息系统审计的内涵，能够充分反映信息系统审计的职责所在，并最大限度地满足现代信息系统审计的需求。

四、ISACM一般性方法体系

从审计职能、控制职能和管理职能出发，本节详述ISACM模型的一般性方法体系，以期为具体的审计实务提供方法指引。

（一）三项审计类别

1.真实性审计

现代企业除了将大量信息存储于信息系统，同时也广泛利用信息系统开展业务。为此，除了需要对电子数据进行真实性审计，还需要对信息系统业务行为开展真实性审计，以鉴证信息系统在使用过程中是否存在舞弊，诸如是否被利用实施虚假交易等。信息系统真实性审计的目标是判断信息系统行为和电子数据是否真实、完整和合法，从而为财务审计提供依据。

对现代信息系统而言，真实性审计的对象应关注三个模块，分别是财务系统、业务系统和电子商务系统。审计内容是各自处理流程的真实性和合法性，以及系统数据输入环节的真实和合法性，同时还要审查三种系统之间的逻辑一致性，以保证电子数据的真实可靠。

2.安全性审计

信息系统的安全隐患除了来自企业内部，还有因互联网的开放性所导致的各种外部威胁，诸如网络攻击、数据窃取、计算机病毒等，这些安全隐患均可能会中止企业的正常经营活动，给企业带来损失。信息系统安全性审计的目标是审查企业信息系统和电子数据的安全性、可靠性、可用性、保密性等，预防来自互联网对信息系统的威胁和来自企业内部对信息系統的危害。

安全性审计是真实性审计的基础与前提。对现代信息系统而言，安全性审计的对象应关注电子数据、操作系统、数据库、网络、设备、主机以及环境等方面的安全。审计内容是审核上述审计对象的各项安全指标，判断它们是否达到信息系统整体安全运行的需求。

3.绩效审计

信息系统的成功运用能给企业带来高收益，然而信息系统实施复杂、建设耗时较长、成本较高，属高风险投资项目。盲目上马信息系统项目有可能会让企业陷入投资黑洞。因此，对于现代企业，信息系统绩效审计的目标是审核信息系统的投资、开发和应用是否合理，信息系统的使用是否有效、能否为企业创造价值。

信息系统绩效审计的对象是信息系统的投入与产出。审计内容是审核信息系统投入和产出之间的关系是否达到预期，这涉及到对信息系统的经济性、效率性和效果性进行评价和监督。通过信息系统绩效审计，能够更好地发挥信息系统审计的审计职能，为企业的投资者、债权人、经营者、管理者等提供更充分的决策参考。

（二）三级控制层面

由于信息化环境下企业内部控制被嵌入到信息系统中，审计人员需要关注信息系统内部控制，以鉴证信息系统内控运行的效果。信息系统内部控制主要体现在三个层面：决策层面、业务层面和技术层面。

1.决策层面

企业在设计信息系统内控时，应符合企业整体的目标、政策和战略决策。如图5所示，信息技术环境下企业内部控制在决策层面应该重点关注五要素。其中，IT内部控制环境主要关注IT治理架构、IT组织与职责、IT决策机制等基础内容;IT风险评估借助风险识别、风险分析和风险应对来把握风险;IT控制活动使用IT技术类措施和IT管理类措施，对风险做出防范;IT监督借助系统日志和内部监管措施对信息系统整体运行进行全方面的审核，对IT控制的有效性做出评价;信息与沟通用于实现内部信息系统与外部环境的结合，以便应对多方面的变化，实现更有效的控制。

2.业务层面

业务层面控制实现对业务流程的检查，相关的控制关注点如图6所示。其中，信息安全策略用于保证业务正常运营，涉及到问题管理、应急管理、第三方管理、职责分离等内容。信息安全流程用于对整个流程进行控制，从而有效地保障信息安全，包括账号管理、备份管理、数据中心管理、设备安全、系统安全等内容。用户培训包括操作人员培训、管理人员培训、专业人员培训等，以明确各自在信息化环境中应承担的职责。

3.技术层面

技术层面控制体现在系统的生命周期（如图7所示）全过程。其中，总体规划阶段关注系统的发展战略、系统总体结构方案以及系统建设的资源分配计划等内容，以确保系统投入符合企业整体规划;需求分析阶段主要检查用户需求、业务流程、数据流程等分析报告;系统设计阶段检查相应的系统设计说明书，以检验系统设计是否符合实际需求;系统实现测试阶段应该对具体软件、运行环境、技术文档等进行检查、测试，确保系统运行的可行性;系统运行维护阶段重要关注系统操作规范、变更流程的制定，并且重视成本效益原则，考察系统维护成本的合理性。

（三）三个管理维度

信息系统管理是以信息系统风险为导向，动员和组织各类资源，综合采取各种技术手段和管理手段，对信息资产实施全员、全方位、全生命周期管控的過程。图8给出了信息系统管理的三个维度，分别是IT治理、应急管理和业务连续性管理。其中，应急管理和业务连续性管理侧重企业执行力，强调企业管理各环节对信息系统价值和风险作用的影响。

1.IT治理

IT治理集中在董事会和执行管理层，其主要职能是平衡信息技术与过程风险，确保IT战略与企业战略的一致性。IT治理强调董事会决策对信息系统价值和风险作用的影响，侧重决策。为保证有效的IT治理，设立IT治理委员会和内部信息系统审计是IT治理最重要的环节。

2.应急管理

应急管理可使企业在信息安全事件发生时危害度最小化。应急响应的经典方法是准备、检测、遏制、根除、恢复、跟踪（PDCERF），企业可根据其制定合适的应急响应体系。审计人员可以通过审查企业应急管理情况，对企业潜在风险做出判断，以评估企业的信息系统安全。

3.业务连续性管理

业务连续性管理可确保企业业务的正常运行，主要包括业务连续性计划和灾难恢复计划，前者是企业应对种种不可控因素的一种预防和反应机制，立足于预防;后者如何以最短时间、最少损失去恢复停顿业务的处理预案，立足于事后的补救。审计人员应关注企业的业务连续性计划是否符合企业的特性、对外部环境变化的反应程度等问题，考察灾难恢复计划制定的有效性、判断其是否符合成本效益原则。

五、结语

本文借助分析现代信息系统审计必须具备的审计、控制和管理职能，提出了适用于现代信息系统审计的ISACM模型，详细探讨了基于ISACM模型的现代信息系统审计一般性方法体系，涉及真实性审计、安全性审计和绩效审计三项审计类别，涵盖决策、技术和业务三个控制层面，关注IT治理、应急和业务连续性三个管理维度，为互联网环境下的现代信息系统审计实务提供理论模型和方法指引。

【参考文献】

[1] 刘杰.我国信息系统审计准则构建研究[J].财会月刊，2014（17）：43-47.

[2] 张文秀，GERT VAN DER PIJL.国外信息系统审计规范、国家文化差异与制度移植[J].审计研究，2012（5）：14-21，35.

[3] 陈婉玲，袁若宾.COBIT及其在信息系统控制与审计中的应用[J].审计研究，2006（S1）：93-96，104.

[4] 周德铭，曹洪泽.信息系统结构控制审计框架研究[J].审计研究，2014（5）：32-37.

[5] 王会金.论信息系统审计准则在我国的需求与发展[J].南京审计学院学报，2012，9（6）：1-7.

[6] 张文秀，齐兴利，黄溶冰.基于COBIT的信息系统审计框架研究[J].南京审计学院学报，2010，7（4）：29-34.

[7] 金文，张金城.基于COBIT的信息系统管理、控制与审计的模型构建研究[J].审计研究，2005（4）：75-79.

[8] 王培华，汤小莉，骆怡.COSO-ERM框架下如何构建审计机关廉政风险防控机制[J].财会月刊，2018（7）：156-159.

[9] 施金龙，管明.基于COSO框架的中小企业内部控制问题探究[J].财会通讯，2016（11）：112-114.

[10] 席龙胜.基于COSO风险管理框架的审计质量控制分析[J].商丘师范学院学报，2011，27（2）：68-73.

[11] 陈震晗.基于COSO—ERM框架的企业风险导向审计模型初探[J].中国内部审计，2009（10）：41-43.

作者：陈耿 李婷婷 韩志耕

信息系统审计探究论文 篇3：

IT审计与财报审计的深度融合探讨

摘要：财务信息化是企业构建现代化管理体系的必然选择。信息技术与企业管理之间的融合，让IT审计在企业审计中的重要性有所提升。文章主要对IT审计与财报审计之间的联系进行了探究。

关键词：IT审计;财报审计;信息系统专业审计人员

IT审计（信息系统审计）是对自动信息处理系统及相关非自动处理流程进行检查评估的审计方式。在企业管理方面，IT审计侧重于企业信息管理、IT体系、IT治理及IT运营等审计对象的风险。随着信息技术的不断发展，信息系统已经成为了企业记录财务信息、编制财务报告的重要平台。信息化的不断深入给企业内部控制带来的深远影响也已经成为了企业关注的内容。对IT审计与财报审计的深度融合问题进行探究，有助于企业内部控制体系的优化。

一、IT审计与财报审计的联系

（一）二者最终目的的一致性

在企业管理领域，IT审计与财报审计的侧重点具有一定的差异性，但是就企业管理工作的实际情况而言，IT审计与财报审计均以提升企业财务信息质量为主要目标。在提升财务报告的可靠性的基础上，IT审计与财报审计均可以为企业提供高质量的信息。

（二）二者都采取风险导向审计模式

在应用于企业管理领域以后，IT审计与财报审计均可采取风险导向审计模式。如在信息化财务管理环境下，注册会计师在财报审计工作开展过程中需要借助风险评估程序，对企业财务报表中可能存在的重大缺陷进行分析，进而借助有针对性的措施实施审计。专业信息系统审计师在IT审计工作实施过程中发挥着较为重要的作用，在风险导向审计模式应用于企业IT管理以后，信息技术专业审计人员可以在财务报表审计相关技术所导致的风险较低的情况下，为无报表审计人员提供咨询意见，在风险程度适中的情况下，为财务报表审计工作提供指导，帮助审计师完成相关审计程序的审计。在风险程度较高的情况下，信息系统审计程序需要由专业的信息系统审计人员实施。

（三）二者均需要识别重点账户，关注重要交易

IT审计与财报审计均要关注重点账户及重点交易等重点审计领域。在财务报告审计工作开展过程中，相关人员需要对重点账户及重要交易类别中的错报问题进行重点审查。通过IT审计的审计范围进行分析，业务层面的信息系统审计范围主要与以下因素有关：一是重要的财务报表科目、组成部分及企业重大披露事项;二是财务报表审批方面的重要业务流程与交易;三是相关业务流程及交易的潜在错报风险来源;四是重要业务流程及交易中的信息系统依赖。为保证IT审计的开展，信息系统审计与财务报表审计的整体工作策略之间的关系是审计人员所要关注的内容。信息系统审计范围的确定，需要服从于财务报表审计的整体范围。

二、IT审计与财报审计深度融合的措施

IT审计可以在财务报表审计工作实施过程中发挥一定的支撑作用，故而IT审计可以被看作是财报审计的重要组成部分。二者之间的深度融合，成为了提升企业财报审计效率的可行措施。就IT审计与企业财报审计的实际情况而言，内部控制审计团队的构建与信息系统专业审计人员入场时间等内容是企业在IT审计与财报审计融合过程中所要关注的内容。

（一）注重内部控制审计团队的构建

在财务报表与内控审计对业务系统的依赖关系确认以后，专业的信息系统审计人员需要参与到企业审计工作之中。现阶段专业化信息系统审计团队与财务报表内控审计团队是两个独立化的工作团队。出于提升审计效率的需要，一些会计师事务所已经开始注重专业信息系统审计团队与财务报表内控审计团队之间的整合。但是对于我国本土会计师事务所而言，受审计工作专业性与三级复核机制的影响，专业信息系统审计团队大多隶属于管理咨询板块。管理咨询板块与会计审计板块之间的物理壁垒，会给IT审计与财报审计的融合带来一定的干扰。為突破二者之间的壁垒，实际参加审计工作的审计人员也需要对自身的合作意识进行强化，并要在会计师事务所的项目管理流程中，对事关IT审计与财报审计的协同工作流程进行巩固，进而在构建专业化信息系统审计人员与财务报表审计人员相互配合的审计体系的基础上，提升审计工作的实效性。

（二）确定信息系统专业审计人员的入场时间

根据我国注册会计师审计准则的相关要求，审计师在IT审计工作实施过程中，需要对被审计单位对信息技术的以来领域进行明确，系统自动化控制的应用情况，系统所生成的报表（信息）、系统所支持的自动计算、系统的权限管理功能及系统之间的自动化接口等内容是IT审计所关注的重要内容。信息系统专业审计人员的入场时间也是审计工作开展过程中所关注的内容。一般情况下，企业开展IT审计的频率为每年一次，一些企业也会在一年之内多次开展IT审计。被审计单位的信息系统出现巨大变化的情况下，每年一次的信息系统审计工作并不能对系统变化以前的相关控制及数据进行有效验证，故而在被审计单位的信息系统可能出现巨大变动的情况下，审计人员需要在原有系统被新系统完全替代之前，开展一次信息系统的审计工作。

（三）注重IT审计与财务报表审计的整体时间契合

为实现IT审计与财报审计的深度融合，IT审计与财务报表审计的整体时间契合也成为了相关单位不可忽视的内容。信息系统审计需要服务于企业的财务报表审计之间的协调一致性是IT审计审计规划与财务报表审计的整体策略的一致性的保障因素。IT审计与财务报表审计的整体时间契合有助于信息系统审计结果的合理评估。为提升二者之间的契合度，相关人员需要同时制定IT审计计划与财务报表审计计划，以便让IT审计在财务报表整体审计中的作用得到有效发挥。基于IT审计与财务报表审计的审计闭环的构建，可以在避免过度审计的基础上，促进审计效率的提升。为避免审计风险的出现，相关人员在IT审计与财报审计的融合过程中，也需要及时消除审计领域的空白区。现场审计工作也是IT审计的审计效果的主要影响因素。在实质性审计工作完成以前做好信息系统审计的现场审计，有助于财务报表整体审计策略的调整。

（四）完善信息系統专业审计人员与财务报表审计团队的沟通机制

信息系统一般控制也是IT审计的重要影响因素。根据信息技术的发展现状，信息系统一般控制可以被看作是一个完整化的整体，系统中的各个领域都具有一定的相关性。它们之间的相互作用是信息系统有效运转的保障因素。对于信息系统专业审计人员而言，在日常工作中保持职业怀疑态度与审慎化的工作作风，可以让他们对某一领域或某一领域中的某个控制环节与被审计单位之间的相关性进行明确。在审计风险判断方面，相关人员需要遵循与时俱进的原则，如在IT审计开始之前，审计人员需要对风险要素进行重新评估，并要对被审计单位在环境因素变化作用下所导致的风险变化进行关注。

为促进IT审计与财报审计之间的融合，相关人员也需要让审计工作与被审计单位所处的环境及背景要求相吻合。信息系统专业审计人员与财务报表审计团队之间的沟通机制与确认机制的构建，成为了提升审计效率的又一可行措施。根据前文所述，IT审计与财报审计在总体目标方面具有一致性。在IT审计与财报审计之间的深度融合实现以后，前者会在财报审计体系中处于辅助性地位。故而IT审计可以服务于财报审计。在财报审计工作实施过程中，财务报表审计人员与信息系统审计人员可以在各自对企业的实际情况进行了解以后，进行第一次沟通。双方之间的沟通有助于IT审计的审计范围的明确。二者之间的交流过程是一种反复沟通的过程。双方需要在相应的业务系统中准确提取与财务报表审计有关的数据信息。信息系统审计人员与财务审计人员之间的知识背景差异是二者交流过程的主要影响因素。提升审计人员的综合素质，在交流沟通过程中注重换位思考，是促进双方协作的可行措施。

三、结语

信息技术与企业管理之间的融合，给企业的会计核算带来了巨大的变化。在审计工作所涉及的信息技术超出传统审计范围以后，IT技术与财报审计之间的深度融合，可以有效提升审计工作的工作效率。专业化的审计团队的构建及IT审计的合理开展，有助于审计工作的科学化水平的提升。在构建协作体系的基础上，对IT审计的证据支撑作用进行有效发挥，也有助于财务报表审计体系的完善。

参考文献：

[1]郭颖，张文鑫.论IT审计与财报审计的深度融合[J].中国注册会计师，2018（01）.

[2]彭程.内控审计与财报审计如何“完美结合”[J].智富时代，2017（04）.

[3]弓颖.内控审计与财报审计结合浅析[J].经济师，2017（03）.

（作者单位：中国银联股份有限公司）

作者：毕婷婷