一、审计机关开展信息系统审计的现实需求

通常信息化审计分为三种方式：一是利用计算机做为辅助工具，应用AO等软件实现查阅财务帐，处理审计电子数据而开展的计算机辅助审计；二是以财政、税务、金融、社保等为审计对象，以大量电子数据处理为审计方法，手工审计无法替代的计算机审计；三是针对审计对象计算机系统开展的，以检查计算机系统是否存在漏洞，计算机系统提供的审计所需电子数据是否真实、准确、完整为目标的计算机系统审计。

我们平时开展的信息化审计基本为计算机审计和计算机辅助审计，很少考虑审计对象用于财务、业务管理和OA办公的计算机系统是否存在违规作弊现象。近年我们在开展信息化审计时发现有些审计对象信息系统存在漏洞、提供的审计数据失真、甚至在信息系统上作弊的现象屡有发生，这种情况不仅使审计风险发生的机率大幅提高，而且成为阻碍信息化审计开展的瓶颈问题。

二、科学选择和合理安排计算机系统审计项目

信息系统审计是技术含量高的信息化审计，审计的主体是审计对象的信息化系统，因此并不是对所有单位都适合开展系统审计，只有科学选择信息系统审计对象才能做到有的放矢，事半功倍。审计对象选择的需考虑：

1．电算化程度高。审计对象采用财务管理软件和业务管理系统开展日常工作，如果审计对象业务规模较小且信息化程度不高，则应考虑采用计算机辅助审计或手工审计完成审计工作。

2．行业代表性强。审计对象在本行业中是龙头单位，具有行业代表性。通过对行业龙头单位的信息化审计，可将审计中整理的过程、积累的经验用于同行业其他项目的审计中，并将审计成果在全行业推广。

3．结果复用度高。审计项目的确定还要充分考虑审计效率、审计成本和审计的周期性。最好选择具有审计周期性的审计对象开展信息系统审计，这样不仅审计成本低、效率高，而且通过逐次审计可大幅度提高审计项目质量。

三、确定计算机系统审计方向目标

信息系统审计是一个通过收集系统审计证据，对信息系统是否能够维护数据资料的完整、安全，使审计对象的各项目标有效地实现，使各种资源得到高效地利用等方面做出判断的过程，应完成以下审计目标：

1、检测审计对象计算机系统有无嵌入式程序和后门程序等主动性作弊程序。包括加载程序、修改系统约束条件、直接操控后台数据库修改数据等主动性违规现象。

2、检测审计对象计算机系统有无约束性错误等被动性系统漏洞。根据各种法律法规和审计对象行业内部规定，整理出系统约束条件针对数据的输入输出和流转过程进行系统测试，以确定是否存在系统漏洞。

3、检测审计对象计算机系统提供的审计所需电子数据是否真实、完整。通常检测系统提供数据是系统审计过渡到计算机审计的主要衔接过程，也是开展其它审计工作的重要基础，这一过程需制定明确的操作标准和步骤，以防范可能产生的审计风险。

四、合理选择计算机系统审计方法

针对信息系统审计的方向和目标，我们摸索出以下审计方法：

1、顺查法。是指审计组在充分理解审计对象业务流程的基础上，按照业务发生的逻辑顺序对比分析数据，同时根据法律法规和行业内部规定制定测试内容，检测系统有无被动性系统漏洞的方法。如我们在对社保局五项基金审计时，整理出社保发放人员首先应是社保参保人员，不是特殊工种社保发放需达到60岁等若干系统测试内容，通过这些测试过程可基本判断出五项基金业务管理信息系统是否存在约束性漏洞，根据这些系统漏洞可进一步发现审计线索。

2、逆查法。所谓逆查法是指通过财务审计发现问题后，按照问题的性质和种类，在系统输入输出的边界上设计测试用例，检测系统有无加载嵌入式程序和直接修改后台数据库数据等主动性违规作弊现象。如我们开展的公积金审计中，通过对主贷和辅贷的身份证号码进行检索，审计组发现贷款数据中包含夫妻双方同时使用公积金贷款的记录，根据公积金管理的相关规定属于违规贷款。针对这种情况审计组对夫妻同时贷款的业务进行系统测试，结果表明系统存在审核约束，此类贷款业务无法通过公积金贷款管理系统审核，由此推断审计对象可能在计算机系统上作弊，经进一步核实，审计对象的信息系统管理人员承认在有相关领导签批的情况下，通过修改系统约束数据库然后复原的方式对夫妻同时贷款、提前还贷、延期还贷等多种违规贷款业务进行了信息系统违规办理。

3、核对法。核对法是指审计组对采集到的资料与审计对象的真实资料进行核对的方法，包括理解业务与实际业务的核对、电子数据与纸质数据的核对、输入数据与输出数据的核对。根据重要性水平和审计组实际情况，选择面谈法、全部核对法或抽样核对法，检测审计对象提供资料是否真实、完整、准确。如我们开展的广电局信息系统审计，由于审计组采集的电子数据量大，面对这些数据，首先审计组采取与广电局相关人员面谈并到一线参观等多种方式，将审计组的理解业务与广电局的实际业务进行核对；其次审计组采用全部核对法将业务数据汇总数与广电局各部门提供的相关数据进行核对；最后审计组采用抽样核对法在广电局各部门中选取抽样数据测试系统，核对输入输出数据。通过层层核对，审计组最终确认广电局提供的资料真实、完整。

五、开展计算机系统审计的法规依据探讨

根据《审计法实施条例》第四章第三十条“审计机关有权检查被审计单位运用电子计算机管理财政收支、财务收支的财务会计核算系统。被审计单位应当向审计机关提供运用电子计算机……”条例明确规定审计机关有权对被审计单位开展计算机系统审计。但关于计算机系统审计的标准、步骤、实施细则及处罚依据条例和中办的88号文并没有详细说明。另外信息系统审计属新生审计方式方法，许多审计标准和细节还需在实践探索中摸索磨合，诸如系统作弊的认定和取证过程也需要进一步明确和规范。

信息系统审计结果如何处理是系统审计的核心和关键问题，目前还没有相关法律法规对系统审计结果处理有明确规定。笔者认为，虽然没有对系统审计的直接相关规定，但可依据《审计法实施条例》变通参照，条例第三十二条规定：“审计机关有根据认为被审计单位可能转移、隐匿、篡改、毁弃会计凭证、会计账簿、会计报表以及其他与财政收支或者财务收支有关的资料的……”如果审计对象在计算机系统上作弊，我们可认定其篡改与财务收支有关的资料或认为其提供虚假财务信息。如果审计对象拒绝整改和配合，可按条例第四十九条比照执行。