信息系统导向审计的核心就是一个信息采集、信息转换、信息分析和信息评价的过程。审计人员应以系统的总体把握为切入点,分析非数值型数据、数值型数据等底层源信息流,突出重点,精确延伸,建立审计中间表,进行数据规划,建立审计模型,最后根据对模型的分析进行特征发现和特征分析,这正是信息论中信息方法处理的一般过程。此外,对于信宿,即审计人员和审计机构,在信息储备和信息审计的过程中,也应建立自己的审计管理系统和审计经验系统,在保证审计质量的基础上进一步提高审计效率,节约审计成本。 因此,在系统论、控制论和信息论的理论基础上,信息系统导向审计可以理解为:审计人员以信息系统为审计切入点,在测试其安全、可靠、有效的基础上,对被审计单位的经营管理活动的合法性、公允性、效益性进行监督、鉴证和评价的过程。 (一)信息系统审计 信息系统审计是信息系统导向审计的起点。据美国斯坦福研究院的调查报告,随着20世纪60年代第二代晶体管计算机的出现和计算机应用的普及,特别是实行会计电算化后,开始出现信息系统审计。1985年日本通产省情报协会给出了信息系统审计的最初定义,1996年又对其进行了修订,认为信息系统审计是为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师以第三方的立场,对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导提出问题与建议的一连串活动。1999年,美国的Ron A.Weber出版了《信息系统控制与审计》,认为信息系统审计是一个获取证据,对信息系统是否能保证资产的安全、数据的完整以及是否有效地使用了组织资源并有效地实现了组织目标做出评价和判断的过程。虽然信息系统审计发展历史并不长,但其研究在国外已有一定的规模和成果,主要集中在信息系统审计执业标准和规范的研究、作用意义的研究、业务内容的研究、技术方法和应用模式的研究以及人员资格的规范研究等方面。目前普遍得到认可的是美国信息系统审计与控制协会(ISACA)推出的一系列审计标准,它以信息及相关技术控制目标(COBIT)为核心,一共颁布八大类14个审计准则,对信息系统审计提供了指南和操作规范。 1.信息系统的生命周期审计 计算机信息系统的生命周期按照COBIT划分为四个域:规划与组织、获取与实施、交付与支持、监控。针对域的各个IT过程进行审计,主要内容是:从系统论的角度了解信息体系结构,检查其有效性、机密性和完整性;审查系统开发、设计、运行、维护过程,检查其有效性、效率性;审查定期的风险评估,检查其可用性、有效性;审查系统安全的机密性、完整性;审查处理问题和突发事件的有效性、效率性;审查数据管理、设施管理和运营管理的完整性和可用性;特别是过程监控的有效性、效率性、完整性、机密性、可用性、一致性和可靠性。 2.信息系统的运行控制审计 根据控制论的稳定控制、程序控制、随动控制和最优控制,对软件结构、处理逻辑和数据运动等进行检查测试,防止和及时发现系统中可能存在的错误甚至非法的处理功能、控制的弱点和缺点,确定系统处理结果的真实性和合法性。COBIT提倡采用检验、分析、观察、询问和确认、重复操作的方法进行系统运行控制测试,以获取充分的审计证据。主要包括检测数据输入的有效性、完整性和准确性;检测数据输入的更正记录的合法性;检测数据处理过程的合法性、准确性;检测数据输出的真实性、完整性;检测数据备份的及时性、可靠性。总之,应对现行系统运行过程中的硬件、软件、工作环境是否安全,操作人员的职能设置、权限管理是否根据工作流程划清职责,能否有效地防止数据被窃取、篡改进行审计;对系统的安全可靠程度、运行处理的合法性、系统工作的有效性和系统的资源利用率进行审计。 (二)系统数据审计 信息系统导向审计以信息系统审计为审计切入点,以风险为贯穿审计过程的核心,不仅应对产生数据的系统进行审计,也要对系统产生的数据进行审计。在信息系统审计的基础上,进一步测试系统所生成的数据的真实性、合法性和正确性。审计人员在对信息系统的生命周期及现有运行控制进行测试后,依据这一过程所确定的风险领域,合理配置审计资源,开展对非数值型数据和数值型数据的审计,用以确定被审计单位经济业务活动的合法性、公允性和效益性。 在对系统数据的审计过程中,运用审计软件进行审计,是电子数据审计的技术基础。无论是现场审计还是联网审计,审计人员搜集大量的非数值型数据后,首先通过数据接口软件,进行源数据的采集;依据信息论原理进行数据转换,按照审计人员的审计要求,构建基础性审计中间表;依据非数值型数据提示的审计重点,筛选审计线索,完成数据整理;建立审计分析模型,按照审计事项的逻辑关系、对应关系、审计人员的经验甚至预测等,通过设定判断和限制条件来建立数学或逻辑模型,建立分析性审计中间表;通过数据挖掘搜集审计证据,利用审计专家系统来进行审计推理与判断。 信息系统导向审计是信息化环境下全面贯彻风险基础审计的一种审计切入点的调整,以信息系统审计为起点,采用系统论、控制论与信息论对产生数据的系统进行审计,强烈关注系统的可控风险和不可控风险,对系统涵盖范围、技术复杂性、流程变化以及重要性等进行风险评价,以合理配置审计资源、选择相应的审计策略将审计风险降低到可以接受的程度,并在此基础上对系统产生的数据进行审计,对被审计单位经济活动的合法性、公允性、效益性做出符合效度和信度的审计诊断。信息系统导向审计是审计信息化的重要历程,对于全面强化审计人员的整体风险意识起到不可或缺的作用,但同时也必须认识到,逐步步入实践操作的信息系统导向审计,由于风险的增大、技术难度的加大、审计经验的相对匮乏,依然任重而道远。