近日，審計(jì)署劉家義審計(jì)長提出了“信息系統(tǒng)應(yīng)用責(zé)任審計(jì)是經(jīng)濟(jì)責(zé)任審計(jì)7個(gè)組成方面之一”的觀點(diǎn)，為企業(yè)信息系統(tǒng)審計(jì)指明了方向和目標(biāo)。我有幸參加了審計(jì)署組織的第一次與經(jīng)濟(jì)責(zé)任審計(jì)相結(jié)合的企業(yè)信息系統(tǒng)審計(jì)項(xiàng)目，下面結(jié)合工作實(shí)際談一下我對企業(yè)信息系統(tǒng)審計(jì)的幾點(diǎn)認(rèn)識(shí)：

　　一、企業(yè)信息系統(tǒng)審計(jì)是實(shí)現(xiàn)評(píng)價(jià)領(lǐng)導(dǎo)人信息系統(tǒng)應(yīng)用責(zé)任的重要方法

　　目前，大型企業(yè)在組織形態(tài)走向分散化的同時(shí)其管理的集約化程度不斷提高，依靠集中的信息管理，很多大企業(yè)建立了比較發(fā)達(dá)的“神經(jīng)系統(tǒng)”，不僅基本實(shí)現(xiàn)了財(cái)務(wù)統(tǒng)一管理，在業(yè)務(wù)領(lǐng)域也實(shí)現(xiàn)了分布式應(yīng)用、集中化管理，信息系統(tǒng)的復(fù)雜度和數(shù)據(jù)量隨之迅速增長。因此，現(xiàn)在依靠傳統(tǒng)的計(jì)算機(jī)審計(jì)思路和方法，很難對信息化程度較高的大型企業(yè)的領(lǐng)導(dǎo)人的信息系統(tǒng)應(yīng)用責(zé)任做出評(píng)價(jià)，但我們通過信息系統(tǒng)審計(jì)可以從一定程度上回答企業(yè)全面的內(nèi)控和管理情況，從而達(dá)到評(píng)價(jià)企業(yè)領(lǐng)導(dǎo)人的信息系統(tǒng)應(yīng)用責(zé)任的目的。雖然目前通過信息系統(tǒng)審計(jì)方法較難查出大案要案，與當(dāng)前審計(jì)環(huán)境和要求有一定矛盾，但從長遠(yuǎn)看，企業(yè)信息系統(tǒng)審計(jì)一定有生命力和發(fā)展前途。

　　二、企業(yè)信息系統(tǒng)審計(jì)的方法步驟及主要內(nèi)容

　　在國內(nèi)信息系統(tǒng)審計(jì)指南還未發(fā)布的情況下，我們本次企業(yè)信息系統(tǒng)審計(jì)主要參照2009年美國聯(lián)邦政府責(zé)任辦公室發(fā)布的《聯(lián)邦信息系統(tǒng)控制審計(jì)手冊》（以下簡稱FISCAM）提供的方法步驟和主要內(nèi)容，結(jié)合中國企業(yè)審計(jì)的實(shí)際情況開展。具體情況是：

　?。ㄒ唬┢髽I(yè)信息系統(tǒng)審計(jì)的方法步驟

　　FISCAM提供了一種依據(jù)在政府審計(jì)標(biāo)準(zhǔn)中提及的“一般公認(rèn)的政府審計(jì)標(biāo)準(zhǔn)（GAGAS）”來執(zhí)行信息系統(tǒng)控制審計(jì)的方法，結(jié)合本次審計(jì)，我認(rèn)為企業(yè)信息系統(tǒng)的基本方法步驟為：一是了解審計(jì)的總體目標(biāo)和信息系統(tǒng)控制審計(jì)的范圍，二是了解被審計(jì)單位的運(yùn)營情況和關(guān)鍵業(yè)務(wù)流程，三是全面了解被審計(jì)單位的網(wǎng)絡(luò)架構(gòu)，四是識(shí)別審計(jì)關(guān)注的關(guān)鍵審計(jì)域，五是初步評(píng)價(jià)信息系統(tǒng)風(fēng)險(xiǎn)，六是識(shí)別關(guān)鍵控制點(diǎn)，七是進(jìn)行符合性測試，八是根據(jù)符合性測試結(jié)果進(jìn)行實(shí)質(zhì)性測試，最后是形成審計(jì)報(bào)告。

　?。ǘ┢髽I(yè)信息系統(tǒng)審計(jì)的主要內(nèi)容

　　我認(rèn)為企業(yè)信息系統(tǒng)審計(jì)主要基于內(nèi)部控制開展，信息系統(tǒng)內(nèi)部控制是為了保證信息系統(tǒng)的有效性、可靠性和安全性，提高信息系統(tǒng)運(yùn)營效率，確保信息準(zhǔn)確、完整、可靠，有效保護(hù)信息資產(chǎn)，利用各種手段和技術(shù)，對信息系統(tǒng)實(shí)施的管理和控制過程。信息系統(tǒng)內(nèi)部控制可以劃分為一般控制和應(yīng)用控制。

　　一般控制是對信息系統(tǒng)的開發(fā)、實(shí)施、維護(hù)和運(yùn)行所進(jìn)行的控制，主要目標(biāo)為數(shù)據(jù)安全，保護(hù)應(yīng)用程序，并確保計(jì)算機(jī)在異常中斷情況下能持續(xù)運(yùn)行。一般控制所采用的控制措施普遍適用于所有的應(yīng)用系統(tǒng)，為應(yīng)用系統(tǒng)提供了環(huán)境上的保證。

　　應(yīng)用控制即業(yè)務(wù)流程應(yīng)用程序級(jí)的控制，是指與被審計(jì)單位具體業(yè)務(wù)活動(dòng)相關(guān)的控制，與一般控制相對應(yīng)。應(yīng)用控制既可以在信息系統(tǒng)內(nèi)實(shí)現(xiàn)，也可以以手工方式實(shí)現(xiàn)。FISCAM定義應(yīng)用控制為：對交易的完整性，準(zhǔn)確性，有效性，機(jī)密性和可用性以及在應(yīng)用處理中的數(shù)據(jù)的控制，通常分為應(yīng)用程序級(jí)一般控制、業(yè)務(wù)流程控制、接口控制、數(shù)據(jù)管理系統(tǒng)控制等四類控制。

　　三、企業(yè)信息系統(tǒng)審計(jì)的知識(shí)能力要求

　　企業(yè)信息系統(tǒng)審計(jì)涉及多學(xué)科，需要高素質(zhì)的綜合型審計(jì)人員，審計(jì)人員必須具備開展信息系統(tǒng)審計(jì)所需要的審計(jì)、內(nèi)部控制與信息技術(shù)專業(yè)能力，應(yīng)當(dāng)取得審計(jì)署計(jì)算機(jī)審計(jì)資格和信息系統(tǒng)審計(jì)資格，掌握信息系統(tǒng)基本知識(shí)，如具備財(cái)務(wù)會(huì)計(jì)、大型數(shù)據(jù)庫、網(wǎng)絡(luò)安全、內(nèi)部控制等方面的知識(shí)，同時(shí)具備一定的計(jì)算機(jī)輔助審計(jì)能力，能熟練運(yùn)用外部資源進(jìn)行信息系統(tǒng)審計(jì)測試。必要時(shí)，我們還需從外部聘請專家解決專業(yè)能力不足的問題。

　　FISCAM中對信息系統(tǒng)審計(jì)人員的專業(yè)能力也提出了具體要求，如業(yè)務(wù)流程控制審計(jì)就需具備以下專業(yè)知識(shí)和能力：一是有關(guān)應(yīng)用數(shù)據(jù)完整性、準(zhǔn)確性、有效性和機(jī)密性的實(shí)務(wù)、策略和技術(shù)的知識(shí)；二是每個(gè)業(yè)務(wù)流程處理周期中的典型應(yīng)用的知識(shí)；三是使用通用審計(jì)軟件包對應(yīng)用程序數(shù)據(jù)進(jìn)行數(shù)據(jù)分析和測試，以及計(jì)劃、提取與評(píng)價(jià)數(shù)據(jù)樣本分析和評(píng)價(jià)組織的應(yīng)用控制，并界定其優(yōu)缺點(diǎn)的能力。