摘要：隨著各組織對信息系統(tǒng)運(yùn)用的增多，信息系統(tǒng)在為企業(yè)帶來高收益的同時(shí)也帶來了巨大風(fēng)險(xiǎn)，因此引入IT審計(jì)成為一種趨勢。本文從IT審計(jì)的概念特點(diǎn)介紹出發(fā)，分析當(dāng)前我國IT審計(jì)面臨的挑戰(zhàn)，并提出了應(yīng)對措施。

　　關(guān)鍵詞：IT審計(jì)；挑戰(zhàn)；策略

　　隨著信息技術(shù)的興起，信息系統(tǒng)已經(jīng)滲透到社會(huì)生活的方方面面，它在給人們帶來便利與效益的同時(shí)，也帶來了很多負(fù)面影響，如計(jì)算機(jī)犯罪案件的頻頻發(fā)生等，系統(tǒng)安全問題日益嚴(yán)峻。于是一個(gè)不容回避的問題——我國企業(yè)如何有效地開展信息技術(shù)審計(jì)，保證信息系統(tǒng)安全，擺在我們面前。本文擬對此進(jìn)行探討。

　　一、IT審計(jì)的定義及其特點(diǎn)

　　IT審計(jì)是指對信息系統(tǒng)從計(jì)劃、研發(fā)、實(shí)施到運(yùn)行維護(hù)各個(gè)過程進(jìn)行審查與評(píng)價(jià)的活動(dòng)，以審查企業(yè)信息系統(tǒng)是否安全、可靠、有效，保證信息系統(tǒng)得出準(zhǔn)確可靠的數(shù)據(jù)。由以上定義可知，IT審計(jì)的目標(biāo)是保證IT系統(tǒng)的可用性、安全性、完整性和有效性，最終達(dá)到強(qiáng)化企業(yè)內(nèi)部控制的目的。

　　該審計(jì)過程具有以下特點(diǎn)：

　　1.IT審計(jì)是一個(gè)過程。它通過獲取的證據(jù)判斷信息系統(tǒng)是否能保證資產(chǎn)的安全、數(shù)據(jù)的完整和組織目標(biāo)的實(shí)現(xiàn)，它貫穿于整個(gè)信息系統(tǒng)生命周期的全過程。

　　2.IT審計(jì)的對象綜合且復(fù)雜。IT審計(jì)從縱向（生命周期）看，覆蓋了信息系統(tǒng)從開發(fā)、運(yùn)行、維護(hù)到報(bào)廢的全生命周期的各種業(yè)務(wù)；從橫向（各階段截面）看，它包含對軟硬件的獲取審計(jì)、應(yīng)用程序?qū)徲?jì)、安全審計(jì)等。IT審計(jì)將審計(jì)對象從財(cái)務(wù)范疇擴(kuò)展到了同經(jīng)營活動(dòng)有關(guān)的一切信息系統(tǒng)。

　　3.IT審計(jì)拓寬了傳統(tǒng)審計(jì)的目標(biāo)。傳統(tǒng)審計(jì)目標(biāo)僅僅包括“對被審計(jì)單位會(huì)計(jì)報(bào)表的合法性、公允性及會(huì)計(jì)處理方法的一貫性發(fā)表審計(jì)意見”；但I(xiàn)T審計(jì)除了上述目標(biāo)外，還包括信息資產(chǎn)的安全性、數(shù)據(jù)的完整性及系統(tǒng)的可靠性、有效性和效率性。

　　4.IT審計(jì)是一種基于風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的理論和方法。IT審計(jì)從基于控制的方法演變?yōu)榛陲L(fēng)險(xiǎn)的方法，其內(nèi)涵包括企業(yè)風(fēng)險(xiǎn)管理的整體框架，如內(nèi)部環(huán)境的控制、目標(biāo)的設(shè)定、風(fēng)險(xiǎn)事項(xiàng)的識(shí)別、風(fēng)險(xiǎn)的評(píng)估、風(fēng)險(xiǎn)的管理與應(yīng)對、信息與溝通以及對風(fēng)險(xiǎn)的監(jiān)控。

　　二、我國IT審計(jì)面對的挑戰(zhàn)

　　IT審計(jì)和傳統(tǒng)審計(jì)相比具有的上述特點(diǎn)是吸引我國眾多企業(yè)引入IT審計(jì)的重要原因，但是這種方法的應(yīng)用又會(huì)給企業(yè)提出巨大的挑戰(zhàn)。

　　1.傳統(tǒng)審計(jì)線索的消失。在手工會(huì)計(jì)環(huán)境下，審計(jì)線索主要來自于紙質(zhì)原始憑證、記賬憑證、會(huì)計(jì)賬簿和會(huì)計(jì)報(bào)表，這些書面數(shù)據(jù)之間的勾稽關(guān)系使得數(shù)據(jù)若被修改可辨識(shí)出修改的線索和痕跡，這就是傳統(tǒng)審計(jì)線索的基本特征。但是現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中這些數(shù)據(jù)直接記錄在磁盤和光盤上，無紙張記錄，審計(jì)人員用肉眼無法直接看到這些數(shù)據(jù)如何記錄，且非法修改刪除原始數(shù)據(jù)也可以不留篡改的痕跡，從而為舞弊人員作案留有可乘之機(jī)。盡管許多審計(jì)機(jī)構(gòu)要求已實(shí)現(xiàn)會(huì)計(jì)信息化的企業(yè)將所有原始憑證、記賬憑證、賬簿、報(bào)表打印輸出，使用繞開計(jì)算機(jī)系統(tǒng)的審計(jì)方法，并以打印出的證、賬、表作為基本審計(jì)的線索和依據(jù)。但是如果原始數(shù)據(jù)在業(yè)務(wù)發(fā)生時(shí)就被有意篡改，則其派生的記賬憑證金額和賬戶余額及報(bào)表數(shù)據(jù)也一定會(huì)出錯(cuò)，打印出的數(shù)據(jù)也不能作為審計(jì)證據(jù)。因此即使打印出所有電子數(shù)據(jù)，傳統(tǒng)審計(jì)線索也會(huì)在計(jì)算機(jī)信息系統(tǒng)下完全消失。

　　2.計(jì)算機(jī)信息系統(tǒng)的數(shù)據(jù)安全面臨挑戰(zhàn)。手工信息處理的環(huán)境下，審計(jì)人員無須將數(shù)據(jù)和會(huì)計(jì)信息的安全性問題作為審計(jì)的重要內(nèi)容，但是在IT審計(jì)的工作中，網(wǎng)絡(luò)電子交易數(shù)據(jù)的安全是關(guān)系到交易雙方切身利益的關(guān)鍵問題，也是企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中的重大障礙和審計(jì)的首要問題。例如計(jì)算機(jī)病毒的破壞、黑客用 ＩＰ地址欺騙攻擊網(wǎng)絡(luò)系統(tǒng)來獲取重要商業(yè)秘密、內(nèi)部人員的計(jì)算機(jī)舞弊、數(shù)據(jù)丟失等，都是傳統(tǒng)審計(jì)從未涉及的，但又是IT審計(jì)的重點(diǎn)，這對當(dāng)前我國的審計(jì)工作無論是操作系統(tǒng)，還是制度建立等眾多方面都是一個(gè)很大的挑戰(zhàn)。

　　3.IT審計(jì)專業(yè)人才匱乏，適應(yīng)IT審計(jì)事業(yè)發(fā)展的人才培養(yǎng)和管理機(jī)制還有待建立和健全。由于IT審計(jì)固有的復(fù)雜性，這項(xiàng)工作需要具備會(huì)計(jì)、審計(jì)、組織管理和計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)等綜合知識(shí)的人才，而且工作人員需要對內(nèi)部控制和審計(jì)有深刻的理解，對信息和網(wǎng)絡(luò)技術(shù)有敏銳的捕捉能力，在我國獲得注冊信息系統(tǒng)審計(jì)師資格的人數(shù)遠(yuǎn)遠(yuǎn)不能滿足信息系統(tǒng)審計(jì)業(yè)務(wù)的需求。

　　三、我國IT審計(jì)應(yīng)對策略

　　面對上述挑戰(zhàn)，我們應(yīng)當(dāng)多方位、多角度制訂措施，使IT審計(jì)工作更好地為我國企業(yè)發(fā)展做出貢獻(xiàn)。具體措施如下：

　　1.審計(jì)線索的重建。根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)容易在不同地方同時(shí)形成相同“原本”數(shù)據(jù)的特點(diǎn)，可以重建電子審計(jì)線索：在電子化的原始數(shù)據(jù)形成時(shí)，同時(shí)在審計(jì)機(jī)構(gòu)（包括內(nèi)審機(jī)構(gòu)）和關(guān)系緊密（簽字確認(rèn)）的部門形成原始數(shù)據(jù)的“原本”，或在不同部門各自形成相關(guān)的數(shù)據(jù)庫（特別應(yīng)當(dāng)包括數(shù)量、金額和單價(jià)等主要數(shù)據(jù)項(xiàng)），這樣不僅可以相互監(jiān)督和牽制，還給計(jì)算機(jī)審計(jì)提供可信的審計(jì)線索。這種保留審計(jì)線索的方法，一方面成為有力的控制手段，另一方面可從審計(jì)線索中發(fā)現(xiàn)疑點(diǎn)。這種方法主要是應(yīng)用專用的審計(jì)比較軟件，同時(shí)將幾個(gè)部門的同一種數(shù)據(jù)庫進(jìn)行自動(dòng)比較形成有差異的數(shù)據(jù)記錄文件，詳細(xì)審查相關(guān)的數(shù)據(jù)文件和訪問有關(guān)的當(dāng)事人，從而取得有力的審計(jì)證據(jù)。上述比較審計(jì)方法是在不同部門同時(shí)形成業(yè)務(wù)數(shù)據(jù)文件的情況下應(yīng)用，如果企業(yè)業(yè)務(wù)數(shù)據(jù)分離存放，如銷售合同與銷售發(fā)票、提貨單在不同的部門保存，這種實(shí)質(zhì)性測試也可采用比較審計(jì)法，應(yīng)用專用的審計(jì)軟件，結(jié)合相關(guān)的幾個(gè)業(yè)務(wù)數(shù)據(jù)文件進(jìn)行比較，查出有錯(cuò)誤疑點(diǎn)的記錄。

　　2.確保信息系統(tǒng)的信息安全。為了保證信息系統(tǒng)的信息安全，IT審計(jì)工作人員要在審計(jì)過程中評(píng)價(jià)企業(yè)的防火墻技術(shù)、網(wǎng)絡(luò)系統(tǒng)的防病毒功能、數(shù)據(jù)加密措施、身份認(rèn)證和授權(quán)的應(yīng)用實(shí)施情況，通過面談實(shí)地審查企業(yè)安全管理制度建立和執(zhí)行的情況，查看企業(yè)是否為了預(yù)防計(jì)算機(jī)病毒，對外來的軟件和傳輸?shù)臄?shù)據(jù)經(jīng)過病毒檢查，業(yè)務(wù)系統(tǒng)是否嚴(yán)禁使用游戲軟件，以及是否配置了自動(dòng)檢測關(guān)鍵數(shù)據(jù)庫的軟件，使異常及時(shí)被發(fā)現(xiàn)；檢測企業(yè)是否為了防范黑客入侵，網(wǎng)絡(luò)交易的數(shù)據(jù)庫采用離散結(jié)構(gòu)，同時(shí)在不同的指定網(wǎng)點(diǎn)（如在交易的雙方）形成完整的業(yè)務(wù)數(shù)據(jù)備份供特殊使用（如審計(jì)和監(jiān)控）；此外IT審計(jì)人員還要注意檢查企業(yè)的信息系統(tǒng)崗位責(zé)任實(shí)施、安全日志制度，審查有關(guān)計(jì)算機(jī)安全的國家法律和管理?xiàng)l例的執(zhí)行情況。

　　3.建立一支完備的IT審計(jì)專業(yè)人才隊(duì)伍。IT審計(jì)的發(fā)展必須有一大批專業(yè)化的IT審計(jì)人才，這就要求我們要采取短期培訓(xùn)和長期培養(yǎng)、操作層面上的培訓(xùn)與高層次人才的培養(yǎng)、在職人員培訓(xùn)與未來人才培養(yǎng)相結(jié)合的方法將這支隊(duì)伍逐漸發(fā)展起來。此外我國可以從現(xiàn)有的審計(jì)隊(duì)伍中選拔人員進(jìn)行專門的信息系統(tǒng)審計(jì)培訓(xùn)，并考慮在注冊會(huì)計(jì)師的資格考試和審計(jì)師職稱考試中逐步加入計(jì)算機(jī)、信息系統(tǒng)和網(wǎng)絡(luò)技術(shù)等與信息系統(tǒng)審計(jì)有關(guān)的內(nèi)容，以及加強(qiáng)對從事信息化咨詢的IT技術(shù)人員的會(huì)計(jì)與審計(jì)知識(shí)的培訓(xùn)。為了培養(yǎng)未來審計(jì)人員，應(yīng)在高校會(huì)計(jì)、審計(jì)專業(yè)教學(xué)計(jì)劃中增加信息技術(shù)和電子商務(wù)等內(nèi)容，也可以考慮在高校中開設(shè)信息系統(tǒng)審計(jì)專業(yè)，直接培養(yǎng)信息系統(tǒng)審計(jì)專業(yè)人才。

　　當(dāng)前我國IT審計(jì)正處于起步階段，和傳統(tǒng)審計(jì)相比，IT審計(jì)的顯著特點(diǎn)決定了其勢在必行，但是一種新的方法的引入和實(shí)施必定會(huì)給企業(yè)和審計(jì)人員帶來巨大的挑戰(zhàn)，面對種種挑戰(zhàn)我們應(yīng)采取積極措施，迎難而上，使IT審計(jì)工作不斷發(fā)展完善。

　　主要參考文獻(xiàn)

　?。?］張茂燕。 論我國的信息系統(tǒng)審計(jì)［D］。 廈門：廈門大學(xué)，2005.

　?。?］陳朝。我國信息化建設(shè)中信息系統(tǒng)審計(jì)問題研究［D］。長春：東北師范大學(xué)， 2006.

　?。?］鄧少靈。 企業(yè)IT審計(jì)的框架［Ｊ］。中國審計(jì)，2002（1）。

　　［4］李健，朱錦淼，王曉兵。 IT審計(jì)——人民銀行內(nèi)審面臨的新挑戰(zhàn)［Ｊ］。金融理論與實(shí)踐，2003（6）。

　?。?］李朝陽，胡昌振。 計(jì)算機(jī)審計(jì)系統(tǒng)的防護(hù)方法［Ｊ］。航空計(jì)算技術(shù)，2002（1）。

　?。?］李輝，楊青峰。 商業(yè)銀行IT審計(jì)的策略與方法 ［Ｊ］。信息空間，2004（7）。

　?。?］周新玲。 我國IT審計(jì)的發(fā)展對策［Ｊ］?？萍歼M(jìn)步與對策，2004（3）。