（1）手工會(huì)計(jì)系統(tǒng)中嚴(yán)格的控制制度在信息化環(huán)境下逐漸減弱或消失。憑證要客觀反映經(jīng)濟(jì)業(yè)務(wù)的實(shí)質(zhì)，如發(fā)現(xiàn)錯(cuò)弊，憑證會(huì)成為追查責(zé)任的依據(jù)。在信息化環(huán)境下，終端操作者把業(yè)務(wù)直接輸入計(jì)算機(jī)而沒(méi)有留下任何憑證。?

    （2）手工會(huì)計(jì)系統(tǒng)所具有的分工功能逐漸被歸并。在手工會(huì)計(jì)系統(tǒng)中，不相容崗位職責(zé)分離，如記錄總帳和記錄明細(xì)帳的職責(zé)要分工。在信息系統(tǒng)中，這些分工逐漸被并入電子數(shù)據(jù)處理系統(tǒng)中。?

    （3）信息系統(tǒng)可以自動(dòng)授權(quán)、批準(zhǔn)。在手工會(huì)計(jì)系統(tǒng)中，一項(xiàng)經(jīng)濟(jì)業(yè)務(wù)都要經(jīng)過(guò)相關(guān)的人員簽名（或蓋章），但在先進(jìn)的企業(yè)資源計(jì)劃（ERP）系統(tǒng)，直接由電子數(shù)據(jù)處理功能取得授權(quán)、批準(zhǔn)。?

    （4）信息化環(huán)境下數(shù)據(jù)容易丟失、被盜竊和被篡改。在手工會(huì)計(jì)系統(tǒng)中，由于各項(xiàng)經(jīng)濟(jì)業(yè)務(wù)以書(shū)面記錄，如果控制適當(dāng)，不易丟失或被復(fù)制，即使舞弊人員篡改帳表單證也會(huì)留下痕跡。但在信息系統(tǒng)中，各項(xiàng)經(jīng)濟(jì)業(yè)務(wù)存儲(chǔ)于磁介質(zhì)，是肉眼不可見(jiàn)的，而且這些磁介質(zhì)在受熱、受潮或強(qiáng)電磁場(chǎng)下都會(huì)損壞。因此，存儲(chǔ)于磁介質(zhì)的信息有較大的滅失風(fēng)險(xiǎn)。?

    （5）磁介質(zhì)的信息缺乏證明力。在手工會(huì)計(jì)系統(tǒng)中，信息被記錄于憑證、賬簿，以紙作為載體，如果改動(dòng)會(huì)留下痕跡。在信息系統(tǒng)中，主要以磁盤(pán)、磁帶等作為信息載體，如前所述，對(duì)磁介質(zhì)的數(shù)據(jù)和程序修改可不留痕跡，被復(fù)制后的數(shù)據(jù)很難區(qū)分正副本，如果僅依靠磁介質(zhì)載體，可能造成責(zé)任不清、真?zhèn)坞y辨，使審計(jì)證據(jù)缺乏法律效力。?

    （6）數(shù)據(jù)與責(zé)任高度集中。在手工會(huì)計(jì)系統(tǒng)中，許多資料被分散保存，未經(jīng)授權(quán)人員很難瀏覽所有數(shù)據(jù)。但在信息環(huán)境下，大部分經(jīng)營(yíng)數(shù)據(jù)集中于電子數(shù)據(jù)處理部門(mén)，如果缺乏適當(dāng)?shù)目刂疲唇?jīng)授權(quán)人員可能通過(guò)外部指令、甚至遠(yuǎn)程入侵系統(tǒng)，機(jī)密數(shù)據(jù)很可能被非法復(fù)制或篡改。?

    數(shù)據(jù)高度集中的主要風(fēng)險(xiǎn)是責(zé)任高度集中。在信息環(huán)境下，原始數(shù)據(jù)一經(jīng)輸入計(jì)算機(jī)，就由計(jì)算機(jī)按程序指令自動(dòng)處理，主要責(zé)任都高度集中于電子數(shù)據(jù)處理系統(tǒng)。? 

    （7）差錯(cuò)反復(fù)發(fā)生。在手工會(huì)計(jì)系統(tǒng)中，數(shù)據(jù)處理由多個(gè)人完成，一個(gè)部門(mén)或人員的差錯(cuò)大部分可以在下一個(gè)環(huán)節(jié)被發(fā)現(xiàn)并改正。在信息系統(tǒng)中，在某個(gè)環(huán)節(jié)發(fā)生錯(cuò)誤很可能在短時(shí)間內(nèi)使得相應(yīng)的文件、賬簿乃至整個(gè)系統(tǒng)的信息失真。如果是應(yīng)用程序產(chǎn)生錯(cuò)誤，計(jì)算機(jī)會(huì)反復(fù)產(chǎn)生錯(cuò)誤結(jié)果。?

    （8）信息系統(tǒng)沒(méi)有留下充分的審計(jì)線(xiàn)索。在信息化環(huán)境下，各類(lèi)數(shù)據(jù)文件都存儲(chǔ)在磁介質(zhì)中，設(shè)計(jì)者如果沒(méi)有考慮審計(jì)的需要，在系統(tǒng)中設(shè)置跟蹤程序的話(huà)，很難留下有價(jià)值的審計(jì)線(xiàn)索，加大審計(jì)難度。?

    2 系統(tǒng)內(nèi)部控制審計(jì)的重點(diǎn)?

    2.1 測(cè)評(píng)信息系統(tǒng)內(nèi)部控制的風(fēng)險(xiǎn)?

    內(nèi)部控制與企業(yè)的風(fēng)險(xiǎn)策略緊密聯(lián)系，促成公司治理與內(nèi)部控制之間良性的互動(dòng)關(guān)系。通過(guò)內(nèi)部審計(jì)視角，對(duì)經(jīng)營(yíng)中不斷變化的風(fēng)險(xiǎn)因素進(jìn)行觀察，對(duì)管理的缺陷或失敗進(jìn)行快速報(bào)告，促使董事會(huì)和高級(jí)管理層做出快速反應(yīng)，及時(shí)防范和糾正不正當(dāng)行為，使內(nèi)部審計(jì)有機(jī)地融入公司治理和風(fēng)險(xiǎn)管理過(guò)程中，發(fā)揮內(nèi)部審計(jì)在管理中的作用，促進(jìn)企業(yè)提高管理風(fēng)險(xiǎn)能力。?

    信息系統(tǒng)的風(fēng)險(xiǎn)管理主要指信息系統(tǒng)內(nèi)部控制能夠識(shí)別影響組織目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)并建立風(fēng)險(xiǎn)管理預(yù)警機(jī)制。審計(jì)任務(wù)是評(píng)價(jià)風(fēng)險(xiǎn)管理機(jī)制的健全性和有效性，發(fā)現(xiàn)可能存在的漏洞，分析這些漏洞風(fēng)險(xiǎn)，提出審計(jì)建議。重點(diǎn)包括：可能引發(fā)風(fēng)險(xiǎn)的因素，風(fēng)險(xiǎn)發(fā)生的概率和后果，管理風(fēng)險(xiǎn)的能力，管理風(fēng)險(xiǎn)的具體方法及效果。?

    在審計(jì)過(guò)程中需要使用風(fēng)險(xiǎn)分析工具。風(fēng)險(xiǎn)分析為評(píng)價(jià)內(nèi)部控制提供一個(gè)量化的分析工具，計(jì)算公式是：?

    一定期間的風(fēng)險(xiǎn)損失額=平均風(fēng)險(xiǎn)損失×風(fēng)險(xiǎn)發(fā)生的概率?

    風(fēng)險(xiǎn)評(píng)估不僅重視與內(nèi)部控制系統(tǒng)直接相關(guān)的因素，還重視環(huán)境因素，審計(jì)人員不僅依據(jù)實(shí)質(zhì)性測(cè)試結(jié)果，還應(yīng)該觀察其審計(jì)環(huán)境形成審計(jì)結(jié)論。因此審計(jì)師在執(zhí)行測(cè)試時(shí)，除了財(cái)務(wù)數(shù)據(jù)分析，還要對(duì)被審計(jì)單位的經(jīng)營(yíng)與戰(zhàn)略、長(zhǎng)期發(fā)展目標(biāo)、服務(wù)與市場(chǎng)、經(jīng)營(yíng)渠道、主要客戶(hù)、使用材料以及競(jìng)爭(zhēng)環(huán)境等進(jìn)行研究。?

    2.2 測(cè)評(píng)信息系統(tǒng)內(nèi)部控制的健全有效性?

    在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，從一般控制和應(yīng)用控制兩方面評(píng)價(jià)信息系統(tǒng)有關(guān)控制的健全和有效性。一般控制是對(duì)系統(tǒng)構(gòu)成要素及數(shù)據(jù)處理環(huán)境的控制，包括組織控制、硬件和軟件控制、系統(tǒng)安全控制、系統(tǒng)開(kāi)發(fā)與維護(hù)控制等，是信息系統(tǒng)安全可靠運(yùn)行和處理的前提。應(yīng)用控制對(duì)具體功能模塊及業(yè)務(wù)數(shù)據(jù)處理過(guò)程各環(huán)節(jié)的控制，包括輸入控制、處理控制和輸出控制。?

    評(píng)價(jià)一般控制，主要關(guān)注被審計(jì)單位的控制環(huán)境，包括經(jīng)濟(jì)性質(zhì)和經(jīng)營(yíng)類(lèi)型、經(jīng)營(yíng)理念、組織文化、組織結(jié)構(gòu)、職責(zé)分工及員工勝任能力、人力資源政策及其執(zhí)行等要素。審計(jì)重點(diǎn)關(guān)注：信息系統(tǒng)的內(nèi)容及管理權(quán)限的集中程度、管理行為守則的健全性和有效性、管理層對(duì)逾越既定控制程序的態(tài)度、組織文化、員工操作熟練程度、系統(tǒng)重要崗位人員的權(quán)責(zé)及其勝任能力等等。?

    評(píng)價(jià)應(yīng)用控制，主要評(píng)價(jià)既有控制的適當(dāng)性、合法性、有效性，控制活動(dòng)主要包括所有經(jīng)營(yíng)活動(dòng)應(yīng)有適當(dāng)?shù)氖跈?quán)、不相容職務(wù)應(yīng)當(dāng)分離、有效控制憑證和記錄的真實(shí)性、資產(chǎn)和記錄的接近限制、獨(dú)立業(yè)務(wù)審核等。內(nèi)部審計(jì)審查重點(diǎn)為：控制活動(dòng)建立的適當(dāng)性、對(duì)風(fēng)險(xiǎn)的識(shí)別和處理、對(duì)管理目標(biāo)實(shí)現(xiàn)的作用、執(zhí)行的有效性。?

    2.3 測(cè)評(píng)信息系統(tǒng)的安全可靠性?

    （1）數(shù)據(jù)通訊的控制測(cè)試。數(shù)據(jù)通訊控制的總目標(biāo)是數(shù)據(jù)通道的安全與完整，是防止和糾正設(shè)備的失靈、數(shù)據(jù)丟失或失真、來(lái)自Internet及內(nèi)部的非法存取。為了達(dá)到上述目標(biāo)，審計(jì)人員可執(zhí)行的測(cè)試有：抽取一組數(shù)據(jù)進(jìn)行傳輸，傳輸結(jié)果與原文件進(jìn)行比較，檢查數(shù)據(jù)失真的可能性；檢查有關(guān)的數(shù)據(jù)通訊記錄，證實(shí)數(shù)據(jù)接收是否正確有序；用非授權(quán)的請(qǐng)求測(cè)試通訊回叫技術(shù)的運(yùn)行情況；檢查密鑰管理和口令控制程序，確認(rèn)口令文件是否加密、密鑰是否安全；發(fā)送測(cè)試信息測(cè)試加密過(guò)程，檢查信息通道上不同點(diǎn)上的信息；檢查防火墻是否控制有效。?

    （2）硬件系統(tǒng)的控制測(cè)試。審計(jì)目標(biāo)是評(píng)價(jià)硬件控制的適當(dāng)性與有效性。測(cè)試的重點(diǎn)包括：實(shí)體安全、火災(zāi)報(bào)警防護(hù)系統(tǒng)、使用記錄、后備系統(tǒng)、操作規(guī)程、容災(zāi)計(jì)劃等。審計(jì)人員應(yīng)檢查實(shí)物安全控制措施是否適當(dāng)、是否適當(dāng)記錄與定期分析故障，容災(zāi)計(jì)劃是否適當(dāng)，硬件接觸是否授權(quán)，硬件資料歸檔是否完整等。?

    （3）軟件系統(tǒng)的控制測(cè)試。軟件系統(tǒng)包括系統(tǒng)軟件和應(yīng)用軟件，最主要的是操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和會(huì)計(jì)應(yīng)用軟件。硬件測(cè)試目標(biāo)是防止硬件失靈、黑客、病毒、超級(jí)用戶(hù)的破壞等，保障系統(tǒng)正常運(yùn)行。軟件測(cè)試主要有檢查軟件產(chǎn)品是否正版，防治病毒措施是否適當(dāng)，系統(tǒng)接觸控制是否嚴(yán)格，軟件和數(shù)據(jù)的備份是否恰當(dāng)，系統(tǒng)操作權(quán)限劃分是否合適等等。?

    （4）數(shù)據(jù)資源的控制測(cè)試。數(shù)據(jù)控制目標(biāo)包括兩方面：一是數(shù)據(jù)備份，為恢復(fù)被丟失、損壞或被干擾的數(shù)據(jù)，系統(tǒng)應(yīng)有足夠備份；二是未經(jīng)授權(quán)的個(gè)人不能存取數(shù)據(jù)庫(kù)。審計(jì)測(cè)試應(yīng)檢查系統(tǒng)的備份和安全措施是否得當(dāng)有效。根據(jù)系統(tǒng)的授權(quán)表，檢查存取控制的有效性。?

    （5）系統(tǒng)安全產(chǎn)品的測(cè)試。隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要，各種網(wǎng)絡(luò)安全的軟硬件產(chǎn)品應(yīng)運(yùn)而生，如VPN、防火墻、身份認(rèn)證產(chǎn)品、CA產(chǎn)品等等。審計(jì)人員應(yīng)對(duì)這些產(chǎn)品是否有效進(jìn)行測(cè)試與評(píng)價(jià)。例如，檢查安全產(chǎn)品是否經(jīng)過(guò)認(rèn)證機(jī)構(gòu)或公安部部門(mén)的認(rèn)證，產(chǎn)品的銷(xiāo)售商是否具有銷(xiāo)售許可證，產(chǎn)品的安全保護(hù)功能是否發(fā)揮作用等。

    3 信息系統(tǒng)內(nèi)部控制審計(jì)的難點(diǎn)?

    難點(diǎn)之一：如何確定評(píng)價(jià)標(biāo)準(zhǔn)。國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)的《內(nèi)部審計(jì)實(shí)務(wù)標(biāo)準(zhǔn)》指出，評(píng)價(jià)控制需要遵循適當(dāng)?shù)臉?biāo)準(zhǔn)。審計(jì)師首先應(yīng)查明管理層制定的、用于衡量績(jī)效的標(biāo)準(zhǔn)是否適當(dāng)。如果認(rèn)為已有標(biāo)準(zhǔn)不合適，內(nèi)部審計(jì)師應(yīng)向管理層報(bào)告，并與管理層合作制訂適當(dāng)?shù)脑u(píng)價(jià)標(biāo)準(zhǔn)或者可以基于組織利益最大化的原則選擇適當(dāng)?shù)脑u(píng)價(jià)標(biāo)準(zhǔn)。?

    難點(diǎn)之二：如何尋找審計(jì)線(xiàn)索。手工系統(tǒng)的審計(jì)線(xiàn)索主要是紙質(zhì)憑證、賬簿和報(bào)表等，肉眼可見(jiàn)。但在信息化環(huán)境下，由于引入計(jì)算工具、磁存儲(chǔ)和網(wǎng)絡(luò)技術(shù)，導(dǎo)致審計(jì)線(xiàn)索逐漸減少甚至消失，機(jī)內(nèi)的日志文件又可刪除，保存在磁盤(pán)的會(huì)計(jì)數(shù)據(jù)加以修改或刪除都可以不留痕跡，這些都削弱了審計(jì)線(xiàn)索，減少審計(jì)過(guò)程中發(fā)現(xiàn)錯(cuò)誤的機(jī)會(huì)。?

    為適應(yīng)信息化的要求，審計(jì)必須改進(jìn)和創(chuàng)新審計(jì)程序。首先，改進(jìn)審計(jì)信息的收集方法,如在設(shè)計(jì)信息系統(tǒng)時(shí)，應(yīng)嵌入審計(jì)信息收集程序和審計(jì)模塊，審計(jì)人員可以通過(guò)專(zhuān)業(yè)審計(jì)軟件，從信息系統(tǒng)中獲取審計(jì)任務(wù)所要求的信息。其次，改進(jìn)和創(chuàng)新審計(jì)程序。應(yīng)用并行模擬審計(jì)技術(shù)和分析性復(fù)核程序查找審計(jì)線(xiàn)索和證據(jù)。?

    難點(diǎn)之三：如何降低審計(jì)風(fēng)險(xiǎn)。審計(jì)風(fēng)險(xiǎn)由固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)組成。在信息環(huán)境下，首先是由于機(jī)器故障、操作失誤、程序處理和網(wǎng)絡(luò)傳輸故障、計(jì)算機(jī)病毒和黑客攻擊等存在的可能性，使得內(nèi)部審計(jì)固有風(fēng)險(xiǎn)的變數(shù)增加。其次是控制風(fēng)險(xiǎn)復(fù)雜化。再次，檢查風(fēng)險(xiǎn)復(fù)雜化。?

    降低審計(jì)風(fēng)險(xiǎn)必須從以下三個(gè)方面著手：?

    （1）降低固有風(fēng)險(xiǎn)。首先，加強(qiáng)信息環(huán)境下的網(wǎng)絡(luò)安全，確保信息的真實(shí)完整。通過(guò)配置可靠的硬件設(shè)備，采用先進(jìn)的加密算法，建立安全性高的局域網(wǎng)，確保信息安全，降低會(huì)計(jì)和業(yè)務(wù)數(shù)據(jù)被盜用、篡改和丟失的可能性。其次，完善系統(tǒng)設(shè)計(jì)，留下清晰的審計(jì)線(xiàn)索。?

    （2）降低控制風(fēng)險(xiǎn)。首先，完善內(nèi)部控制，通過(guò)操作員職責(zé)分離、授權(quán)，要求用戶(hù)定期修改自己的密碼，通過(guò)軟件設(shè)計(jì)分若干功能模塊設(shè)置不同責(zé)任中心（崗位）。其次，依靠先進(jìn)的網(wǎng)絡(luò)和軟硬件平臺(tái)減少數(shù)據(jù)異常。再次，加強(qiáng)企業(yè)與銀行之間的合作，保障電子支付安全。?

    （3）降低檢查風(fēng)險(xiǎn)。面對(duì)新的審計(jì)環(huán)境，審計(jì)人員應(yīng)掌握相關(guān)信息技術(shù)，學(xué)會(huì)利用計(jì)算機(jī)和優(yōu)良的審計(jì)軟件，采用更有效審計(jì)程序和審計(jì)方法，降低檢查風(fēng)險(xiǎn)。?

    難點(diǎn)之四：如何評(píng)價(jià)系統(tǒng)內(nèi)部控制。審計(jì)評(píng)價(jià)是審計(jì)對(duì)事實(shí)的客觀反映，主要從控制環(huán)境、風(fēng)險(xiǎn)管理、控制活動(dòng)、信息與溝通、監(jiān)督等方面著手，評(píng)價(jià)被審單位內(nèi)控的有效性，需遵循以下原則：?

    （1）不拘泥格式，承前啟后。評(píng)價(jià)結(jié)果要與前期的審計(jì)評(píng)價(jià)和外部審計(jì)評(píng)價(jià)相結(jié)合，不能出現(xiàn)相互抵觸和矛盾的結(jié)論。?

    （2）要避輕就重，客觀反映。內(nèi)控制度沒(méi)有標(biāo)準(zhǔn)，在評(píng)價(jià)內(nèi)控制度時(shí)，實(shí)是事求，多提有建設(shè)性建議，披露審計(jì)發(fā)現(xiàn)的問(wèn)題要重點(diǎn)突出、層次分明、邏輯嚴(yán)密、理?yè)?jù)充分。?

    難點(diǎn)之五：審計(jì)人員如何適應(yīng)信息化環(huán)境的需求。由于審計(jì)環(huán)境、審計(jì)線(xiàn)索、安全控制、審計(jì)內(nèi)容和審計(jì)技術(shù)的改變，給審計(jì)人員帶來(lái)新的挑戰(zhàn)。內(nèi)部控制審計(jì)從宏觀角度對(duì)整個(gè)控制流程進(jìn)行檢查和評(píng)價(jià)，揭示問(wèn)題所在，這對(duì)審計(jì)人員提出更高的要求，由于大部分審計(jì)人員受計(jì)算機(jī)業(yè)務(wù)水平的限制，經(jīng)常繞過(guò)計(jì)算機(jī)程序，較少利用計(jì)算機(jī)輔助審計(jì)技術(shù)，很可能對(duì)審計(jì)結(jié)果產(chǎn)生不利的影響。