前言：本站為你精心整理了結合型審計信息系統(tǒng)審計論文范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

一、結合型政府信息系統(tǒng)審計的必要性

（Why）隨著被審計單位經(jīng)濟業(yè)務活動對信息系統(tǒng)依賴程度越來越高，信息系統(tǒng)已經(jīng)逐漸融入各項經(jīng)濟活動當中。但是，信息系統(tǒng)存在的漏洞和缺陷、非法舞弊程序、人為操作錯誤、病毒感染、黑客攻擊、系統(tǒng)故障等導致被審計單位經(jīng)濟業(yè)務數(shù)據(jù)失真的各種風險也在進一步加大，也就是說信息系統(tǒng)本身的安全性、可靠性直接威脅和影響到信息系統(tǒng)所產(chǎn)生經(jīng)濟業(yè)務電子數(shù)據(jù)的真實、準確和完整。因此，基于現(xiàn)代風險基礎審計理論的政府審計，必須考慮與經(jīng)濟業(yè)務活動相關的信息系統(tǒng)產(chǎn)生的風險因素，突破傳統(tǒng)政府審計業(yè)務范圍，涵蓋信息系統(tǒng)審計內(nèi)容。如果忽視對信息系統(tǒng)本身的審計，審計機關審計人員審計依賴的被審計電子數(shù)據(jù)的真實性就會成為“空中樓閣”，就有可能出現(xiàn)“假賬真審”的問題。目前，各級政府部門、企事業(yè)單位為了提高信息化水平，紛紛加大資金投入，推進信息系統(tǒng)建設，建立統(tǒng)一數(shù)據(jù)集中平臺，信息系統(tǒng)已經(jīng)成為國家的一項投資巨大的重要資產(chǎn)。這就要求審計機關審計人員在對這些機構實施經(jīng)濟效益審計、績效審計、經(jīng)濟責任審計等審計項目時，必須考慮信息系統(tǒng)資產(chǎn)因素，對信息系統(tǒng)實施相關審計，以有效揭示信息系統(tǒng)在安全、可靠、合法、效率、效果和效益等方面存在的問題，防范信息系統(tǒng)風險，保障信息系統(tǒng)安全、可靠運行，促進信息系統(tǒng)資源的有效利用，提高信息系統(tǒng)資源運用的收益水平。由此，在政府審計項目中，考慮到信息系統(tǒng)的影響因素，迫切需要大力開展結合型政府信息系統(tǒng)審計，而不是可審可不審的問題。

二、結合型政府信息系統(tǒng)審計的目標是什么

（What）信息系統(tǒng)審計目標是信息系統(tǒng)審計行為的出發(fā)點，它指明了審計工作方向，并指導著信息系統(tǒng)審計實踐活動（王振武等，2011）。我國政府審計以維護國家財政經(jīng)濟秩序，提高財政資金使用效益，促進廉政建設，保障國民經(jīng)濟和社會健康發(fā)展為職能，以國家經(jīng)濟活動的真實性、合規(guī)性和效益性為總體目標。因此，我國政府審計機關實施的結合型政府信息系統(tǒng)審計，也應遵守真實、合規(guī)和效益的根本目標。審計機關審計人員在各項具體政府審計項目中，不能籠統(tǒng)地將一般意義上信息系統(tǒng)審計的安全性、可靠性、合法性和有效性目標作為結合型政府信息系統(tǒng)審計具體目標，這既不符合結合型政府信息系統(tǒng)審計的特點和需求，也不具備實際可操作性、指導性。如果信息系統(tǒng)審計目標因素與具體政府審計項目目標不相關，將起不到應有的作用，是多余的、不必要的，從成本效益角度來說，是對審計資源的浪費。審計人員應避免根據(jù)自己的理解來確定目標，造成混淆不清。結合型政府信息系統(tǒng)審計貫穿于各政府審計項目之中，成為審計全過程的一部分，其具體審計目標應根據(jù)國家審計機關實施審計項目預期要完成的任務和結果，即具體政府審計目標，以及所涉及的信息系統(tǒng)情況等綜合確定。例如，政府財政財務收支審計的目標是財政財務收支情況的真實性、合規(guī)性和效益性，其審計的數(shù)據(jù)來源于相關信息系統(tǒng)產(chǎn)生的財務電子數(shù)據(jù)，而數(shù)據(jù)是否真實、完整，直接依賴于相關信息系統(tǒng)是否安全、可靠，由此可以確定政府財政財務收支審計中信息系統(tǒng)審計的目標是安全性、可靠性。又如，在國有企業(yè)績效審計中，績效審計的目標是效率性、效果性和效益性，雖然信息系統(tǒng)與績效審計不直接相關，但是信息系統(tǒng)作為企業(yè)的一項重要資產(chǎn)，且信息系統(tǒng)建設的投入金額巨大，因此，在國有企業(yè)績效審計中也應包括信息系統(tǒng)資產(chǎn)的績效審計，這就決定了國有企業(yè)績效審計中信息系統(tǒng)審計的目標應該是效率性、效果性和效益性。上述示例也表明，結合型政府信息系統(tǒng)審計具體目標隨政府審計項目的不同而存在一定的差異性，也就是說政府審計具體目標的多元性決定了結合型政府信息系統(tǒng)審計具體目標的多元性，必須根據(jù)具體政府審計項目綜合確定。

三、結合型政府信息系統(tǒng)審計的重點在哪里

（Where）結合型政府信息系統(tǒng)審計的成效取決于審計機關審計人員對信息系統(tǒng)審計重點內(nèi)容的把握程度。審計人員應該在分析清楚各政府審計項目中信息系統(tǒng)審計具體目標的基礎之上，確定信息系統(tǒng)審計意圖和需要解決的問題，并根據(jù)“全面審計、突出重點”、“先系統(tǒng)本身后系統(tǒng)環(huán)境”的原則確定信息系統(tǒng)審計重點事項（唐劍，2012）。此外，還應考慮成本效益原則，盡力減少與政府審計目標不相關的、多余的、不必要的信息系統(tǒng)審計內(nèi)容。

（一）結合型政府信息系統(tǒng)重點

審計對象的選擇被審計單位一般建立有多個信息系統(tǒng)，依據(jù)結合型政府信息系統(tǒng)審計的特點，不需要也不必要將被審計單位的所有信息系統(tǒng)納入重點關注的審計對象，只需要根據(jù)與被審計業(yè)務活動相關的程度選擇目標信息系統(tǒng)。如何選擇信息系統(tǒng)重點審計對象？審計機關審計人員選擇的主要原則應是依據(jù)被審計單位核心業(yè)務對信息系統(tǒng)的依賴性以及被審計單位信息系統(tǒng)的復雜性確定需要重點調(diào)查和審計測試的信息系統(tǒng)的范圍和深度。一般來說，越高度依賴的信息系統(tǒng)，就應該作為重點審計的對象；越復雜的信息系統(tǒng)，就應該擴大重點審計對象范圍。例如，在財務收支審計中，被審計單位ERP系統(tǒng)由財務、采購、銷售、庫存、質(zhì)量、人力資源等多個子系統(tǒng)組成，由于財務收支數(shù)據(jù)直接依賴于財務子系統(tǒng)，所以理應將其作為審計的重點，然而ERP系統(tǒng)又是一個集成化的復雜系統(tǒng)，審計人員還應擴大審計范圍和深度，需要將ERP系統(tǒng)中系統(tǒng)管理子系統(tǒng)以及其他子系統(tǒng)的基礎設置、憑證處理等模塊也作為審計的重點。

（二）結合型政府信息系統(tǒng)內(nèi)部控制

測試重點

內(nèi)容的確定現(xiàn)代風險基礎政府審計是建立在內(nèi)部控制的測評基礎之上，根據(jù)內(nèi)部控制的符合性測試結果實施業(yè)務數(shù)據(jù)的實質(zhì)性測試。信息系統(tǒng)內(nèi)部控制測試是對信息系統(tǒng)內(nèi)部控制的可靠性、健全性和有效性進行的測試。基于結合型政府信息系統(tǒng)審計的經(jīng)濟監(jiān)督和重在審計業(yè)務數(shù)據(jù)的特點，以及政府審計人員信息技術能力限制，為避免將對信息系統(tǒng)的審計引入技術陷阱（李春青，2008），審計人員應重點選擇信息系統(tǒng)中容易產(chǎn)生數(shù)據(jù)風險的部分，作為信息系統(tǒng)內(nèi)部控制測試的重點內(nèi)容。而信息系統(tǒng)的硬件、軟件、應用程序、數(shù)據(jù)、人員、制度等組成要素中，對業(yè)務數(shù)據(jù)直接產(chǎn)生影響的主要有信息系統(tǒng)數(shù)據(jù)、應用程序、人員和制度，因此審計人員在結合型政府信息系統(tǒng)審計中應選擇信息系統(tǒng)數(shù)據(jù)、應用程序、人員、制度作為審計測試的重點，只在必要的時候再根據(jù)實際情況適當關注信息系統(tǒng)的軟硬件環(huán)境。

（三）信息系統(tǒng)效率、效果和效益審計重點

內(nèi)容的選擇在結合型政府信息系統(tǒng)審計中，對行政事業(yè)單位、企業(yè)的效益審計、績效審計、經(jīng)濟責任審計等政府審計項目中涉及的信息系統(tǒng)效率、效果和效益審計，其審計范疇從屬于政府審計項目的范疇，只是審計對象中包括信息系統(tǒng)資產(chǎn)。因此，在這種結合型政府信息系統(tǒng)審計中，審計機關審計人員審計信息系統(tǒng)效率、效果和效益應從被審計單位正在運行使用中的信息系統(tǒng)資源的有效利用、促進產(chǎn)品或服務目標實現(xiàn)、降低產(chǎn)品或服務成本和增加產(chǎn)品或服務收益的角度選擇重點審計內(nèi)容：（1）效率性審計應重點評價使用中的信息系統(tǒng)對提高被審計單位勞動生產(chǎn)率所作的貢獻，如節(jié)省人力、提高人員工作效率等；（2）效果性審計應重點評價使用中的信息系統(tǒng)使被審計單位業(yè)務、管理和決策等方面得到改善和提升，如滿足業(yè)務處理需求、促進業(yè)務流程改進、增強信息交流與共享、提升客戶服務能力、提高管理決策水平等；（3）效益性審計應重點評價使用中的信息系統(tǒng)的資金投入以及產(chǎn)生效益之比，資金投入包括信息系統(tǒng)運維資金投入、升級改造資金投入等方面，產(chǎn)生效益則可以從降低產(chǎn)品或服務成本、提高資金周轉速度、提高產(chǎn)品或服務收入、增強競爭力等方面考慮。

四、結合型政府信息系統(tǒng)審計如何實施

（How）結合型政府信息系統(tǒng)審計作為信息系統(tǒng)審計的一個特例，兩者在審計技術、方法、手段等方面理應具有一定的一致性。但是，審計機關審計人員在借鑒目前常用信息系統(tǒng)審計方法的同時，需要結合具體政府審計項目，立足審計人員的信息技術審計能力相對較弱、業(yè)務審計能力較強的審計專長，以審計人員的業(yè)務思路和職業(yè)判斷為工作核心（王亞清，2012），積極探索富有實效的信息系統(tǒng)審計與傳統(tǒng)審計相結合的方法。

（一）如何做好信息系統(tǒng)審前調(diào)查

在進行結合型政府信息系統(tǒng)審計調(diào)查時，審計機關審計人員可以將被審計信息系統(tǒng)調(diào)查與被審計項目業(yè)務調(diào)查結合進行，將信息系統(tǒng)調(diào)查作為業(yè)務調(diào)查的延伸。一方面，可運用詢問法、觀察法、查閱法、調(diào)查表法、流程圖法等傳統(tǒng)審計調(diào)查的方法，將被審計單位業(yè)務活動情況與信息系統(tǒng)情況調(diào)查融合在一起，一并調(diào)查了解被審計單位整體和業(yè)務活動情況、信息系統(tǒng)環(huán)境（如硬件環(huán)境、軟件環(huán)境、組成、結構、分布等）、內(nèi)部控制制度（含信息系統(tǒng)內(nèi)部控制制度）、手工和計算機信息系統(tǒng)處理過程（如業(yè)務流程、運行流程、人員操作流程等）及執(zhí)行情況；另一方面，可運用計算機輔助審計方法獲取被審計業(yè)務電子數(shù)據(jù)，調(diào)查了解被審計信息系統(tǒng)數(shù)據(jù)處理情況等。兩種方法相互補充，既能全面了解被審計單位業(yè)務活動情況，又能夠摸清被審計單位信息系統(tǒng)基本運作情況，實現(xiàn)信息系統(tǒng)審計調(diào)查與整個審計工作調(diào)查的銜接，從而確保審計調(diào)查的效率、質(zhì)量。

（二）如何做好信息系統(tǒng)內(nèi)部控制測試

在結合型政府信息系統(tǒng)審計中，審計機關審計人員可運用熟悉的傳統(tǒng)審計測試方法，輔以計算機輔助審計測試方法對前述確定的信息系統(tǒng)數(shù)據(jù)、應用程序、人員、制度等重點內(nèi)容進行審計測試。具體可采用：（1）傳統(tǒng)審計方法。通常可采用詢問法、觀察法、檢查法、核對法、比較法、數(shù)據(jù)分析法等方法。如：詢問或觀察職責分離制度、人員操作制度、運行維護制度的執(zhí)行情況；觀察有關人員對信息系統(tǒng)訪問是否設定口令、系統(tǒng)操作是否違反職責分離原則；查閱系統(tǒng)日志文件、操作記錄，查看系統(tǒng)中是否有非法訪問記錄和報告，有無未經(jīng)授權的用戶操作系統(tǒng)；觀察、檢查系統(tǒng)功能設置、程序化控制、權限設置、系統(tǒng)參數(shù)配置等是否合理、有效，如權限設置是否符合職權要求，人員崗位變動或離職前是否及時進行權限鎖定或刪除，客戶數(shù)據(jù)是否進行唯一性檢驗，財務軟件是否存在反結賬、反記賬等功能；核對、比較原始憑證與數(shù)據(jù)庫憑證文件數(shù)據(jù)的一致性，以測試憑證數(shù)據(jù)輸入控制的有效性；對數(shù)據(jù)庫文件數(shù)據(jù)采用數(shù)據(jù)分析法，如分析數(shù)據(jù)文件中操作員代碼、數(shù)據(jù)異常值、數(shù)據(jù)間的關聯(lián)關系、數(shù)據(jù)間的平衡或合計關系等審查是否存在非法用戶或越權操作、參數(shù)設置的有效性、數(shù)據(jù)處理是否存在錯誤等以測試數(shù)據(jù)處理控制的有效性，也可通過數(shù)據(jù)分析反推系統(tǒng)中存在的非法功能和漏洞，等等。（2）計算機輔助測試方法。通常可采用計算機數(shù)據(jù)審計軟件工具、整體測試法、平行模擬法、虛擬實體法、受控處理法等方法。如利用計算機審計軟件（OA）、數(shù)據(jù)庫管理系統(tǒng)（Access、Sqlserver）、Excel等獲取和分析被審計信息系統(tǒng)數(shù)據(jù)輸入、處理、輸出控制；運用整體測試法、平行模擬法、虛擬實體法、受控處理法等方法（張瑜，2012），測試系統(tǒng)的處理和控制功能是否恰當、可靠，接口程序是否存在缺陷等。除此以外，對于信息系統(tǒng)硬件、軟件、網(wǎng)絡安全等方面內(nèi)部控制測試，由于其技術性較強，審計人員可重點從系統(tǒng)管理的視角著手。一般采用面談法、詢問法、觀察法、測試軟件等，重點審查計算機安全和管理制度的執(zhí)行情況、是否建立安全認證機制、是否建立針對系統(tǒng)故障的應急安全機制、軟硬件來源的合法性，觀察硬件是否進行有效的保養(yǎng)、隔離，查看系統(tǒng)是否安裝防火墻、安裝防病毒軟件、定期檢測和清除計算機病毒，利用漏洞掃描工具和網(wǎng)絡檢測診斷工具等對網(wǎng)絡環(huán)境進行測試和評估。

（三）如何做好信息系統(tǒng)效率、效果與效益審計

對于結合型政府信息系統(tǒng)審計中的效率、效果與效益性審計，應遵循可操作、實用性原則，審計機關審計人員可通過詢問、觀察、查閱資料、發(fā)放調(diào)查表和比較分析等方法，重點了解信息系統(tǒng)的各項功能在被審計單位日常工作過程中的使用情況，了解信息系統(tǒng)功能設置能否滿足系統(tǒng)目標，了解信息系統(tǒng)保障被審計單位信息資源共享、業(yè)務有效開展和履行情況，了解信息系統(tǒng)運維成本和效益并進行定量化分析處理，對比被審計單位信息系統(tǒng)規(guī)劃、運營目標，運用一定的評價方法（如平衡計分卡法、層次分析法、模糊綜合法等）（張靜等，2011）進行評價，給出審計結論和審計建議。就目前來說，信息系統(tǒng)的效率、效果和效益審計在我國仍然處于理論和實踐探索階段，缺少規(guī)范的指導，缺乏完善的評價指標體系，因此，如何科學、準確地評價信息系統(tǒng)的效率、效果和效益，仍然存在不小的難度。

五、結束語

目前，很多審計機關審計人員對開展結合型政府信息系統(tǒng)審計還存在概念模糊、認識不清以及不知道如何實施等問題，以至于結合型政府信息系統(tǒng)審計在我國政府審計項目實踐中并沒有普遍展開。基于此，本文就結合型政府信息系統(tǒng)審計問題提出了“3W1H”模型，以期能夠幫助審計機關審計人員提高對結合型政府信息系統(tǒng)審計的理解和認識，并為審計人員開展結合型政府信息系統(tǒng)審計提供實踐指導。

作者：呂新民黃俊青單位：南京審計學院繼續(xù)教育學院