信息系统审计方法

 

与一般审计相比，信息系统审计在准备阶段和报告阶段使用的技术方法与传统审计相似，但实施阶段使用的技术方法具有信息技术的特点。信息系统审计不仅可以在手工环境中选择传统的审计技术方法，还可以在此基础上增加计算机技术方法，主要包括一般方法和计算机辅助审计方法。

 

1.一般方法

 

信息系统审计的一般方法主要包括面试法、系统文档审查法、观察法、描述法等熟悉的方法。面试方法可用于信息系统审计的不同阶段。系统文档审查方法主要应用于信息系统审计的准备和实施阶段。通过审查技术手册、操作指南、流程图、组织结构图、源代码等功能文档，根据规定的控制措施，检查实际操作过程是否有效实施。描述方法可以用文本、表格、图形等直观的方式详细、有序地描述信息系统的运行和工作过程。

 

2.计算机辅助审计方法

 

这是信息系统审计不同于传统审计方法的特点之一。主要用于财务软件安全可信度审计。它是对数据输出结果和控制的审计，包括测试数据法、平行模拟法、嵌入式审计模块和控制处理法。测试数据法包括内部审计人员设计的一些虚拟业务数据，提交给要检查的信息系统进行处理，然后将系统的处理结果与内部审计人员的预期结果进行比较，以确定系统控制是否存在并有效实施。该方法简单易用，但相当于抽查，无法准确检测整个系统控制。

 

平行模拟法，顾名思义，是设计与被审计公司处理规范相同的程序，在内部审计人员设计的程序中模拟被审计公司的真实数据，然后比较结果。该方法类似于传统审计的分析审查。目前国家审计使用的审计现场实施系统（AO），是利用被审计财务账户备份，从中提取凭证表及相关表格，生成会计账簿和财务报告。

 

嵌入式审计模块是将编程代码添加到被审计公司的计算机数据处理系统中，以完成审计目的，使嵌入式模块成为被审计系统的一部分，并根据内部审计人员的需要生成和输出结果。其优点是可以实时监控被审计公司的信息系统，但由于身份授权和技术要求高，在日常工作中难以操作。目前在SQL 从Server中编写计算机语句得出结论的方法可以看出这种方法的简化。

 

受控处理方法是内部审计人员对被审计信息系统中核实的真实业务数据进行监督或个人处理，对处理结果进行比较分析，判断系统的处理和控制是否起作用。该方法使用简单，无需设计虚拟数据，不会影响被审计系统的数据；但验证数据的技术要求很高。

 

信息系统审计作为审计的新生事物，是计算机技术和审计工作发展的必然趋势。随着信息系统审计在实践中的不断应用，内容、重点和技术方法也会发生变化，这将对审计工作起到更多的指导作用。