信息系統(tǒng)審計(jì)( Information Systems Audit  簡(jiǎn)稱ISA)至今還沒有一致的定義，目前比較有代表性的定義有：

　　1．“信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程”（Ron Weber,  1999）。

　　2.“為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師，以第二方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)，提出問(wèn)題與建議的一連串的活動(dòng)”(日本通產(chǎn)省，1996)。

　　3.“IS審計(jì)是指對(duì)信息系統(tǒng)從計(jì)劃、研發(fā)、實(shí)施到運(yùn)行維護(hù)各個(gè)過(guò)程進(jìn)行審查與評(píng)價(jià)的活動(dòng)，以審查企業(yè)信息系統(tǒng)是否安全、可靠、有效，保證信息系統(tǒng)得出準(zhǔn)確可靠的數(shù)據(jù)”(鄧少靈，2002 ) 。

　　通過(guò)以上概念的辨析，我們可將“信息系統(tǒng)審計(jì)”界定為：信息系統(tǒng)審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過(guò)程，以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)。具體而言，信息系統(tǒng)審計(jì)就是以企業(yè)或政府等組織的信息系統(tǒng)為審計(jì)對(duì)象，通過(guò)現(xiàn)代的審計(jì)理論和IT管理理論，從信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的可靠性、有效性和效率性等方面出發(fā)，對(duì)信息系統(tǒng)從開發(fā)、運(yùn)行到維護(hù)的整個(gè)生命周期過(guò)程進(jìn)行全面審查與評(píng)價(jià)，以確定其是否能夠有效可靠地達(dá)到組織的戰(zhàn)略目標(biāo)，并為改善和健全組織對(duì)信息系統(tǒng)的控制提出建議的過(guò)程。

　　二、實(shí)行信息系統(tǒng)審計(jì)的必要性

　　信息技術(shù)的興起和企業(yè)對(duì)核心競(jìng)爭(zhēng)力的追求推動(dòng)了信息技術(shù)在數(shù)據(jù)處理、存貯和交換等方面的廣泛應(yīng)用，信息系統(tǒng)已經(jīng)滲透到社會(huì)生活的方方面面，它的高效和程序化給人們帶來(lái)便利與效益的同時(shí)，也帶來(lái)了很多負(fù)面影響，如計(jì)算機(jī)犯罪案件的頻頻發(fā)生等，系統(tǒng)安全問(wèn)題日益嚴(yán)峻。信息系統(tǒng)審計(jì)作為一種可以確保信息系統(tǒng)的安全、可靠及高效運(yùn)行的新的審計(jì)模式受到世界各國(guó)的普遍重視，隨著我國(guó)以“信息化帶動(dòng)工業(yè)化”戰(zhàn)略的全面實(shí)施，國(guó)民經(jīng)濟(jì)信息化被提到了前所未有的高度，加快發(fā)展我國(guó)的信息系統(tǒng)審計(jì)事業(yè)具有重要意義。

　　1.信息系統(tǒng)審計(jì)是保證信息系統(tǒng)質(zhì)量的重要工具

　　信息系統(tǒng)的可靠性、安全性、有效性和效率成為制約信息系統(tǒng)質(zhì)量的重要因素，通過(guò)信息系統(tǒng)審計(jì)可以查出系統(tǒng)潛在的軟件、硬件和數(shù)據(jù)資源安全隱患，并利用當(dāng)前先進(jìn)的技術(shù)進(jìn)行防范或改進(jìn)。首先，信息系統(tǒng)的可靠性需要信息系統(tǒng)審計(jì)；其次，信息系統(tǒng)的安全性需要信息系統(tǒng)審計(jì)；再次，信息系統(tǒng)的有效性需要信息系統(tǒng)審計(jì)；最后，信息系統(tǒng)的效率審計(jì)是信息系統(tǒng)質(zhì)量的重要保證。

　　2.信息系統(tǒng)審計(jì)是企業(yè)信息化發(fā)展的必然要求

　　計(jì)算機(jī)在企業(yè)管理中的應(yīng)用使得會(huì)計(jì)信息的處理逐步電算化，促使信息系統(tǒng)審計(jì)的雛形一一電子數(shù)據(jù)處理審計(jì)(EDP審計(jì))的產(chǎn)生及EDP審計(jì)師協(xié)會(huì)（EDPAA)的成立。指導(dǎo)信息系統(tǒng)審計(jì)的組織從傳統(tǒng)的審計(jì)機(jī)關(guān)和組織發(fā)展成為專業(yè)的信息系統(tǒng)審計(jì)組織；信息系統(tǒng)審計(jì)的內(nèi)容、依據(jù)、準(zhǔn)則等也隨著信息技術(shù)和信息系統(tǒng)的發(fā)展而不斷發(fā)展和完善，由此可看出信息系統(tǒng)審計(jì)是企業(yè)信息化發(fā)展的必然要求。

　　3.信息化建設(shè)的效益需要信息系統(tǒng)審計(jì)

　　有資料研究表明，我國(guó)企業(yè)每年IT投入近萬(wàn)億元，每年僅在ERP項(xiàng)目上的投資就超過(guò)80億元;我國(guó)電子商務(wù)市場(chǎng)規(guī)模也從2000年的87. 3億美元增長(zhǎng)到2004年的546. 3億美元；中國(guó)電子政務(wù)建設(shè)的市場(chǎng)規(guī)模大約在1800-2000億元之間。如此大規(guī)模的信息化建設(shè)，一旦由于缺乏審計(jì)，缺乏對(duì)權(quán)利的有效制約，將不可避免地出現(xiàn)投資自目、輕率決策等問(wèn)題，因此，在信息系統(tǒng)風(fēng)險(xiǎn)客觀存在的情況下，在信息系統(tǒng)建設(shè)過(guò)程中對(duì)其進(jìn)行風(fēng)險(xiǎn)審計(jì)和控制就顯得尤為重要。

　　4.信息系統(tǒng)審計(jì)有利于維護(hù)信息時(shí)代的市場(chǎng)經(jīng)濟(jì)秩序

　　在網(wǎng)絡(luò)經(jīng)濟(jì)環(huán)境中，信息系統(tǒng)審計(jì)師能夠以在線、實(shí)時(shí)的信息為基礎(chǔ)提供實(shí)時(shí)鑒證服務(wù)并滿足投資公眾對(duì)決策有用信息的訪問(wèn)需要，這對(duì)保護(hù)公眾利益和保護(hù)資本市場(chǎng)的有序發(fā)展是非常有意義的。可見，信息系統(tǒng)審計(jì)工作有利于降低風(fēng)險(xiǎn)并維護(hù)信息時(shí)代的市場(chǎng)經(jīng)濟(jì)秩序。

　　三、信息系統(tǒng)審計(jì)的主要內(nèi)容

　　信息系統(tǒng)的審計(jì)內(nèi)容主要包括對(duì)系統(tǒng)開發(fā)過(guò)程審計(jì)、會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的評(píng)價(jià)與審計(jì)、系統(tǒng)應(yīng)用程序?qū)徲?jì)及系統(tǒng)數(shù)據(jù)文件審計(jì)四個(gè)部分。

　　1.信息系統(tǒng)開發(fā)過(guò)程審計(jì)

　　信息系統(tǒng)的開發(fā)是一項(xiàng)系統(tǒng)工程，主要包括系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施及系統(tǒng)運(yùn)行與維護(hù)等。系統(tǒng)開發(fā)過(guò)程審計(jì)也就是指審計(jì)人員對(duì)會(huì)計(jì)信息系統(tǒng)開發(fā)過(guò)程中的各項(xiàng)活動(dòng)進(jìn)行的審核與評(píng)價(jià)，它通過(guò)對(duì)系統(tǒng)開發(fā)的全過(guò)程及結(jié)果是否符合內(nèi)部控制、相關(guān)法規(guī)政策、開發(fā)規(guī)程以及形成的文件是否符合有關(guān)標(biāo)準(zhǔn)等方面的審計(jì)，達(dá)到保證系統(tǒng)的可靠性、效率性、可維護(hù)性，內(nèi)部控制的適當(dāng)性，運(yùn)行結(jié)果的正確性、完整性及提高系統(tǒng)的可審性的目的。系統(tǒng)開發(fā)過(guò)程審計(jì)的重點(diǎn)是在復(fù)核設(shè)計(jì)階段應(yīng)考慮的各項(xiàng)控制問(wèn)題，并就如何強(qiáng)化內(nèi)部控制，適時(shí)提出意見，供系統(tǒng)分析、設(shè)計(jì)人員參考。

　　2.信息系統(tǒng)內(nèi)部控制的評(píng)價(jià)

　　根據(jù)控制實(shí)施的范圍不同，信息系統(tǒng)的內(nèi)部控制包括一般控制和應(yīng)用控制兩部分。信息系統(tǒng)一般控制是指與多個(gè)應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助十保證會(huì)計(jì)信息系統(tǒng)持續(xù)恰當(dāng)?shù)剡\(yùn)行(包括信息的完整性和數(shù)據(jù)的安全性)，支持應(yīng)用控制作用的有效發(fā)揮，通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制，系統(tǒng)軟件的購(gòu)置、修改及維護(hù)控制，接觸或訪問(wèn)權(quán)限控制，應(yīng)用系統(tǒng)的購(gòu)置、開發(fā)及維護(hù)控制。應(yīng)用控制是指對(duì)會(huì)計(jì)信息系統(tǒng)中具體的數(shù)據(jù)處理功能的控制，是為適合各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理能完整、準(zhǔn)確地完成而建立的內(nèi)部控制。

　　3.信息系統(tǒng)應(yīng)用程序?qū)徲?jì)

　　信息系統(tǒng)的核心就是程序編碼，程序質(zhì)量的高低，直接決定了信息系統(tǒng)整體水平的高低。因此，應(yīng)用程序的審計(jì)是信息系統(tǒng)審計(jì)的重要內(nèi)容，也是信息系統(tǒng)審計(jì)中最困難的任務(wù)之一。實(shí)踐證明，程序是差錯(cuò)與舞弊最容易發(fā)生的地方，只有對(duì)應(yīng)用程序進(jìn)行審計(jì)，才能對(duì)系統(tǒng)的正確性、可靠性等作出公正的評(píng)價(jià)。應(yīng)用程序?qū)徲?jì)的內(nèi)容主要包括:審查程序內(nèi)部控制的健全性和有效性，程序的合法性，對(duì)數(shù)據(jù)處理和控制的及時(shí)性、正確性和可靠性，以及程序的糾錯(cuò)能力和容錯(cuò)能力。

　　4.信息系統(tǒng)數(shù)據(jù)文件審計(jì)

　　要對(duì)會(huì)計(jì)信息系統(tǒng)輸出信息的真實(shí)性、正確性、合法性等進(jìn)行評(píng)價(jià)，必須對(duì)數(shù)據(jù)文件進(jìn)行審計(jì)。數(shù)據(jù)文件審計(jì)包括對(duì)打印輸出的數(shù)據(jù)文件的審計(jì)和存貯在磁性介質(zhì)上的數(shù)據(jù)文件的審計(jì)。數(shù)據(jù)文件審計(jì)的內(nèi)容包括兩個(gè)方面，一是審查數(shù)據(jù)文件的一般控制和應(yīng)用控制的健全性和有效性，二是審查數(shù)據(jù)文件內(nèi)容的真實(shí)性與正確性。

　　需要進(jìn)一步說(shuō)明的是，信息系統(tǒng)也可以采用雙重目的測(cè)試，即符合性測(cè)試和實(shí)質(zhì)性測(cè)試同時(shí)進(jìn)行，許多審計(jì)方法如同用審計(jì)軟件法等，即可用于符合性測(cè)試，又可用于實(shí)質(zhì)性測(cè)試。

　　三、信息系統(tǒng)審計(jì)的常用方法

　　由于信息系統(tǒng)的復(fù)雜性，信息系統(tǒng)審計(jì)與傳統(tǒng)的財(cái)務(wù)審計(jì)在審計(jì)對(duì)象、目標(biāo)與方法上存在很大的不同，當(dāng)然在執(zhí)行信息系統(tǒng)審計(jì)時(shí)傳統(tǒng)財(cái)務(wù)審計(jì)的某些方法依然適用，例如可以通過(guò)面談法和問(wèn)卷調(diào)查法了解被審計(jì)信息系統(tǒng)的基本情況及內(nèi)部控制的總體情況。但信息系統(tǒng)審計(jì)主要是利用計(jì)算機(jī)輔助審計(jì)技術(shù)和工具進(jìn)行，在信息系統(tǒng)審計(jì)工作中常用的計(jì)算機(jī)輔助審計(jì)技術(shù)有:

　　(一)測(cè)試數(shù)據(jù)法

　　測(cè)試數(shù)據(jù)法是指由審計(jì)人員將預(yù)先設(shè)計(jì)好的測(cè)試數(shù)據(jù)(包括正常的、有效的業(yè)務(wù)數(shù)據(jù)和不正常的、無(wú)效的業(yè)務(wù)數(shù)據(jù))輸入被測(cè)試程序加以處理，并將處理結(jié)果與事先計(jì)算的結(jié)果進(jìn)行對(duì)比分析，從而驗(yàn)證有關(guān)應(yīng)用程序處理邏輯和控制的有效性、可靠性和完整性的方法。      (二)綜合測(cè)試工具法

　　綜合測(cè)試工具是應(yīng)用程序在系統(tǒng)的開發(fā)過(guò)程中設(shè)計(jì)的一個(gè)或多個(gè)模塊，它的原理是在應(yīng)用系統(tǒng)中嵌入ITF模塊處理審計(jì)測(cè)試數(shù)據(jù)，然后將測(cè)試結(jié)果與預(yù)期結(jié)果進(jìn)行對(duì)照分析，從而核實(shí)處理過(guò)程的真實(shí)性、正確性和完整性，它能夠使審計(jì)人員在應(yīng)用程序的正常操作過(guò)程中測(cè)試程序的內(nèi)部邏輯和控制。

　　(三)系統(tǒng)控制審計(jì)評(píng)審文件法

　　系統(tǒng)控制審計(jì)評(píng)審文件法也稱為嵌入審計(jì)程序法，是指預(yù)先在應(yīng)用系統(tǒng)的重要控制點(diǎn)上嵌入審計(jì)軟件對(duì)系統(tǒng)中的事務(wù)進(jìn)行連續(xù)監(jiān)控，收集有關(guān)系統(tǒng)事務(wù)及其處理的重要信息，并存放在一個(gè)特殊的審計(jì)文件一一SCARF主文件中，審計(jì)人員通過(guò)審查該文件提取審計(jì)證據(jù)從而判斷被審計(jì)程序的處理和控制功能的可靠性。

　　(四)快拍技術(shù)

　　快拍技術(shù)也稱為程序追蹤法，是指在應(yīng)用系統(tǒng)中的重要處理點(diǎn)嵌入可以“拍照”的審計(jì)程序，當(dāng)事務(wù)流經(jīng)應(yīng)用系統(tǒng)時(shí)嵌入式審計(jì)軟件可以“捕獲”事務(wù)的前映像和后映像，通過(guò)檢驗(yàn)前映像和后映像及其轉(zhuǎn)換情況，據(jù)以評(píng)價(jià)應(yīng)用系統(tǒng)事務(wù)處理的真實(shí)性、正確性和完整性。快拍技術(shù)一般可用來(lái)測(cè)試被審計(jì)程序的控制功能執(zhí)行情況或檢查程序的正確性，但嵌入審計(jì)程序段的位置可能影響被審計(jì)單位正常業(yè)務(wù)的執(zhí)行效率。

　　(五)平行模擬法

　　平行模擬法就是由審計(jì)人員編寫一個(gè)具有被審程序的關(guān)鍵特征和相同處理控制功能的模擬程序，用它來(lái)重新處理以前已經(jīng)由被審計(jì)程序處理過(guò)的各種交易，并將從模擬審計(jì)程序中獲得的處理結(jié)果與原始程序的結(jié)果進(jìn)行比較，從而評(píng)價(jià)被審計(jì)程序是否可靠的方法。平行模擬法能有效地檢查出舞弊編碼，但需要審計(jì)人員編寫設(shè)計(jì)一套模擬程序，因此成本較高并且要求審計(jì)人員具有較高的計(jì)算機(jī)專業(yè)知識(shí)和技能。

　　當(dāng)前，我國(guó)的信息系統(tǒng)審計(jì)還處于探索階段，缺乏專業(yè)的技術(shù)人員和相關(guān)的審計(jì)工具，有關(guān)信息系統(tǒng)審計(jì)的法規(guī)、準(zhǔn)則還沒有形成健全的體系，各個(gè)方面與西方發(fā)達(dá)國(guó)家都有一定的差距。國(guó)家相關(guān)部門應(yīng)該在這些方面建立完善的體系，同時(shí)，審計(jì)人員也應(yīng)該勤于專研，掌握信息系統(tǒng)審計(jì)的方法和技巧，為推進(jìn)我國(guó)信息系統(tǒng)審計(jì)的發(fā)展做出應(yīng)有的貢獻(xiàn).