摘　要：從介紹IT審計(jì)師與計(jì)算機(jī)審計(jì)開(kāi)始，討論了審計(jì)學(xué)科的發(fā)展趨勢(shì)，論述了IT審計(jì)師在網(wǎng)絡(luò)審計(jì)中的作用，指出IT審計(jì)師及其知識(shí)結(jié)構(gòu)體系是培養(yǎng)當(dāng)代審計(jì)人員的發(fā)展方向。

　　關(guān)鍵詞：IT審計(jì)師　計(jì)算機(jī)審計(jì)　網(wǎng)絡(luò)審計(jì)

　　一、引言

　　信息系統(tǒng)審計(jì)師，也稱IT審計(jì)師或IS審計(jì)師，是指一批專家級(jí)人士，既通曉信息系統(tǒng)的軟件、硬件、開(kāi)發(fā)、運(yùn)營(yíng)、維護(hù)、管理和安全，又熟悉經(jīng)濟(jì)管理的核心要義，能夠利用規(guī)范和先進(jìn)的審計(jì)技術(shù)，對(duì)信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)和改造。IT審計(jì)師是由“國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）”認(rèn)證的。ISACA是國(guó)際上惟一的信息系統(tǒng)審計(jì)師專業(yè)組織。會(huì)員被稱為信息系統(tǒng)審計(jì)師，也就是我們通常所說(shuō)的IT審計(jì)師，其主要從事的工作包括：向客戶提供與信息系統(tǒng)相關(guān)的服務(wù)，在財(cái)務(wù)審計(jì)中對(duì)被審計(jì)單位的信息系統(tǒng)的了解、測(cè)試和評(píng)價(jià)以及計(jì)算機(jī)輔助審計(jì)技術(shù)的運(yùn)用等方面。一般的IT審計(jì)師都具備全面的計(jì)算機(jī)軟硬件知識(shí)，對(duì)網(wǎng)絡(luò)和系統(tǒng)安全有獨(dú)特的敏感性，并且對(duì)財(cái)會(huì)和單位內(nèi)部控制有深刻的理解。

　　隨著計(jì)算機(jī)技術(shù)在管理中的廣泛運(yùn)用，傳統(tǒng)的控制、管理、檢查和審計(jì)技術(shù)都受到巨大的挑戰(zhàn)，國(guó)際會(huì)計(jì)公司、專業(yè)咨詢公司和高級(jí)管理顧問(wèn)都將控制風(fēng)險(xiǎn)，特別是控制計(jì)算機(jī)環(huán)境風(fēng)險(xiǎn)和信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)作為管理咨詢和服務(wù)的重點(diǎn)。幾乎所有的大型跨國(guó)公司，由于普遍使用大型管理信息系統(tǒng)，都非常重視對(duì)信息系統(tǒng)安全性和穩(wěn)定性的控制。這就常常需要高薪聘請(qǐng)國(guó)際信息系統(tǒng)審計(jì)師（簡(jiǎn)稱IT審計(jì)師）進(jìn)行內(nèi)部審計(jì)。因此，目前IT審計(jì)師已經(jīng)成為全球范圍最搶手的高級(jí)人才之一。

　　二、IT審計(jì)師的出現(xiàn)迎合了計(jì)算機(jī)審計(jì)的發(fā)展

　　計(jì)算機(jī)審計(jì)的發(fā)展一般要經(jīng)過(guò)繞過(guò)計(jì)算機(jī)審計(jì)，穿過(guò)、利用計(jì)算機(jī)審計(jì)，網(wǎng)絡(luò)審計(jì)三個(gè)階段。其中前兩個(gè)階段屬于計(jì)算機(jī)桌面審計(jì)系統(tǒng)。繞過(guò)計(jì)算機(jī)審計(jì)是指將計(jì)算機(jī)處理系統(tǒng)看作是一個(gè)“黑箱”。根據(jù)被審對(duì)象對(duì)計(jì)算機(jī)數(shù)據(jù)處理系統(tǒng)輸入的原始數(shù)據(jù)，通過(guò)手工操作，將處理結(jié)果于計(jì)算機(jī)處理系統(tǒng)的輸出進(jìn)行對(duì)比，檢查其是否一致，屬于計(jì)算機(jī)審計(jì)的初級(jí)階段。穿過(guò)計(jì)算機(jī)審計(jì)是對(duì)計(jì)算機(jī)數(shù)據(jù)處理系統(tǒng)進(jìn)行審計(jì)，包括系統(tǒng)目的與功能需求是否達(dá)到，系統(tǒng)分析與系統(tǒng)設(shè)計(jì)是否先進(jìn)、科學(xué)和實(shí)用，程序設(shè)計(jì)是否正確可靠，內(nèi)部控制是否健全、可靠，管理制度是否嚴(yán)密、有效，文件資料是否齊全、完整等。利用計(jì)算機(jī)審計(jì)是為實(shí)施審計(jì)專門(mén)開(kāi)發(fā)電子計(jì)算機(jī)程序，檢驗(yàn)被審單位電子計(jì)算機(jī)程序的可靠性。網(wǎng)絡(luò)審計(jì)是指綜合運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)及其相關(guān)技術(shù)手段對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)及網(wǎng)絡(luò)系統(tǒng)進(jìn)行審查的新型審計(jì)，是計(jì)算機(jī)桌面審計(jì)系統(tǒng)發(fā)展的高級(jí)階段。

　　隨著目前電子商務(wù)等網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展和完善，網(wǎng)絡(luò)審計(jì)勢(shì)在必行。網(wǎng)絡(luò)審計(jì)的模式，從審計(jì)的客體角度方面，是建立在網(wǎng)絡(luò)基礎(chǔ)上，對(duì)被審單位一定時(shí)期內(nèi)全部或部分經(jīng)濟(jì)活動(dòng)，特別是正在發(fā)展中的電子商務(wù)、電子金融、網(wǎng)絡(luò)財(cái)務(wù)、網(wǎng)絡(luò)會(huì)計(jì)等進(jìn)行審計(jì)的計(jì)算機(jī)系統(tǒng)。它包括兩個(gè)方面：其一是對(duì)被審系統(tǒng)開(kāi)發(fā)過(guò)程進(jìn)行審計(jì)；其二是對(duì)被審系統(tǒng)運(yùn)行過(guò)程及其結(jié)果進(jìn)行審計(jì)。目前計(jì)算機(jī)審計(jì)的發(fā)展大多還處在只是對(duì)被審系統(tǒng)運(yùn)行結(jié)果進(jìn)行審計(jì)，或進(jìn)一步對(duì)被審系統(tǒng)運(yùn)行過(guò)程進(jìn)行審計(jì)，這樣的審計(jì)是建立在假定被審系統(tǒng)安全、可靠基礎(chǔ)上的。而實(shí)際上這種假定是否合理，是應(yīng)當(dāng)予以驗(yàn)證的，這種驗(yàn)證也就是要對(duì)被審系統(tǒng)的安全性、穩(wěn)定性、有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)和提出改造建議。而這也正是IT審計(jì)師的主要工作，并且這部分工作也是一直上溯到被審系統(tǒng)開(kāi)發(fā)過(guò)程的。因此，IT審計(jì)師的出現(xiàn)正好迎合了網(wǎng)絡(luò)審計(jì)模式的需要。IT審計(jì)師雖然主要源于信息系統(tǒng)安全問(wèn)題而產(chǎn)生，其主要工作也含有較高的計(jì)算機(jī)技術(shù)因素，但就發(fā)展來(lái)看，IT審計(jì)師的出現(xiàn)迎合了計(jì)算機(jī)審機(jī)的發(fā)展趨勢(shì)，昭示著計(jì)算機(jī)審計(jì)不久將隨著電子商務(wù)、網(wǎng)絡(luò)財(cái)務(wù)等的全面展開(kāi)而逐步發(fā)展到網(wǎng)絡(luò)審計(jì)階段，未來(lái)的IT審計(jì)師們也將成為網(wǎng)絡(luò)審計(jì)的“主力軍”。從這個(gè)角度上講，IT審計(jì)師也是計(jì)算機(jī)審計(jì)發(fā)展的必然產(chǎn)物。

　　三、IT審計(jì)師在網(wǎng)絡(luò)審計(jì)的重要作用

　　計(jì)算機(jī)審計(jì)發(fā)展到網(wǎng)絡(luò)審計(jì)后，計(jì)算機(jī)審計(jì)的主要內(nèi)容將包括網(wǎng)絡(luò)安全技術(shù)與內(nèi)部控制系統(tǒng)的審計(jì)、系統(tǒng)開(kāi)發(fā)審計(jì)、應(yīng)用程序?qū)徲?jì)、數(shù)據(jù)文件審計(jì)等四個(gè)部分。通過(guò)研究分析可以發(fā)現(xiàn)，這四個(gè)部分的內(nèi)容，不同程度地與IT審計(jì)師相關(guān)聯(lián)，IT審計(jì)師在其中將起重要的作用。

　?。ㄒ唬┚W(wǎng)絡(luò)安全技術(shù)與內(nèi)部控制系統(tǒng)的審計(jì)

　　從Internet誕生起，信息和網(wǎng)絡(luò)的安全性就成為關(guān)注的一個(gè)焦點(diǎn)。在Internet發(fā)展的每一個(gè)階段，安全問(wèn)題也都是基礎(chǔ)性的、關(guān)鍵性的因素。對(duì)于網(wǎng)絡(luò)審計(jì)，其首先遇到的也是網(wǎng)絡(luò)的安全性測(cè)試問(wèn)題。與安全性相應(yīng)的還有網(wǎng)絡(luò)系統(tǒng)的內(nèi)部控制的測(cè)試問(wèn)題，網(wǎng)絡(luò)系統(tǒng)的內(nèi)部控制包括一般控制和應(yīng)用控制兩個(gè)方面。一般控制包括組織控制、軟件開(kāi)發(fā)、硬件和系統(tǒng)軟件控制、系統(tǒng)安全控制、維護(hù)控制和文檔控制等方面的審查與測(cè)試。應(yīng)用控制包括輸入控制、處理控制、輸出控制。IT審計(jì)師的主要工作就是利用標(biāo)準(zhǔn)、規(guī)范和先進(jìn)的審計(jì)技術(shù)，對(duì)信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行測(cè)試、檢查、評(píng)價(jià)和改造。IT審計(jì)師首先關(guān)注信息系統(tǒng)的安全性，沒(méi)有安全就沒(méi)有一切，IT審計(jì)師會(huì)采用各種方法來(lái)測(cè)試系統(tǒng)的安全性，并對(duì)來(lái)自內(nèi)部和外部的安全隱患提出相應(yīng)對(duì)策；IT審計(jì)師還要審查信息系統(tǒng)的穩(wěn)定性，沒(méi)有長(zhǎng)期穩(wěn)定性，信息系統(tǒng)就無(wú)法承擔(dān)起激烈競(jìng)爭(zhēng)的壓力，IT審計(jì)師會(huì)提出一系列對(duì)策保證客戶信息系統(tǒng)的萬(wàn)無(wú)一失；IT審計(jì)師還要鑒別信息系統(tǒng)的有效性，最安全和最穩(wěn)定的系統(tǒng)不一定是最有效的系統(tǒng)，而效率不高的系統(tǒng)就會(huì)消耗企業(yè)大量的資源，一般情況下，一說(shuō)到信息系統(tǒng)建設(shè)，大家都覺(jué)得是工程師或程序員的事，事實(shí)上，這是非常錯(cuò)誤的觀點(diǎn)。一個(gè)好的系統(tǒng)，在安全和穩(wěn)定的前提下，必須最大程度符合企業(yè)經(jīng)營(yíng)流程的特點(diǎn)，經(jīng)濟(jì)、有效地解決問(wèn)題和提供信息。要做到這一點(diǎn)，信息系統(tǒng)開(kāi)發(fā)和維護(hù)過(guò)程中，就必須有大量的經(jīng)營(yíng)管理人員參與， 設(shè)計(jì)出最優(yōu)的信息流轉(zhuǎn)路徑。如果不重視信息系統(tǒng)的有效性，其危害同樣是巨大的。一方面由于其繁瑣和復(fù)雜，導(dǎo)致內(nèi)部業(yè)務(wù)人員不會(huì)用、不想用或使用不當(dāng)；另一方面使用過(guò)程中的差錯(cuò)又會(huì)導(dǎo)致穩(wěn)定性和安全性方面的問(wèn)題。顯然，要對(duì)信息系統(tǒng)的安全、穩(wěn)定和有效進(jìn)行監(jiān)控，就不單純是某類技術(shù)人員能夠完成的任務(wù)，經(jīng)過(guò)專業(yè)訓(xùn)練，經(jīng)驗(yàn)豐富的信息系統(tǒng)審計(jì)師將在這一領(lǐng)域發(fā)揮重要的作用。信息系統(tǒng)審計(jì)師的突出特點(diǎn)就是兼通技術(shù)和管理，能夠利用規(guī)范的審計(jì)手段，比較客觀和冷靜地分析、評(píng)價(jià)企業(yè)現(xiàn)有信息系統(tǒng)的運(yùn)行，并從專業(yè)的角度提出建議。

　　通過(guò)以上分析我們看到，IT審計(jì)師的工作中實(shí)際上已經(jīng)包含了網(wǎng)絡(luò)安全技術(shù)與內(nèi)部控制審計(jì)的內(nèi)容。進(jìn)一步從IT審計(jì)師的服務(wù)對(duì)象分析，IT審計(jì)師主要是為以下幾類對(duì)象服務(wù)：

　　軟件供應(yīng)商。特別是經(jīng)濟(jì)管理類的集成軟件供應(yīng)商，需要信息系統(tǒng)審計(jì)師參與產(chǎn)品設(shè)計(jì)、規(guī)劃和檢測(cè)，并對(duì)客戶現(xiàn)有信息系統(tǒng)進(jìn)行評(píng)價(jià)，提出改造設(shè)想。全球所有重要的ERP和CRM產(chǎn)品供應(yīng)商都聘請(qǐng)大量信息系統(tǒng)審計(jì)師。

　　管理咨詢機(jī)構(gòu)。20世紀(jì)90年代以后，管理咨詢的重點(diǎn)已經(jīng)逐步發(fā)展為提供一攬子解決方案，其中信息系統(tǒng)的配置，就是解決方案成功的基礎(chǔ)。國(guó)際知名的管理咨詢機(jī)構(gòu)中，有50%以上的員工熟悉信息技術(shù)，其中20%擁有信息系統(tǒng)審計(jì)師資格。

　　會(huì)計(jì)師審計(jì)師事務(wù)所，是信息系統(tǒng)審計(jì)師最早的落腳點(diǎn)，“五大”國(guó)際會(huì)計(jì)公司超過(guò)30%的收入來(lái)自于風(fēng)險(xiǎn)管理部門(mén)。這個(gè)部門(mén)的最主要工作就是監(jiān)控客戶的信息系統(tǒng)風(fēng)險(xiǎn)和運(yùn)營(yíng)風(fēng)險(xiǎn)，同時(shí)為客戶提供ERP或CRM的安裝、維護(hù)和培訓(xùn)。會(huì)計(jì)師審計(jì)師事務(wù)所中傳統(tǒng)財(cái)務(wù)報(bào)表審計(jì)也越來(lái)越離不開(kāi)信息系統(tǒng)審計(jì)師的貢獻(xiàn)。沒(méi)有他們的工作，評(píng)估內(nèi)部控制風(fēng)險(xiǎn)和企業(yè)固有風(fēng)險(xiǎn)將成為一句空話。人們常常看到，“五大”會(huì)計(jì)公司里，最年輕的合伙人或經(jīng)理，往往都是信息系統(tǒng)審計(jì)師，因?yàn)檫@是一項(xiàng)年輕人的工作。

　　跨國(guó)公司。作為信息系統(tǒng)最集中的用戶，跨國(guó)公司急需大量信息系統(tǒng)審計(jì)師，一方面參與信息化建設(shè)的過(guò)程，另一方面時(shí)刻保持對(duì)分支機(jī)構(gòu)的信息監(jiān)控。還有一種最新跡象表明，跨國(guó)公司內(nèi)部審計(jì)部門(mén)也在大量招聘信息系統(tǒng)審計(jì)師，以加強(qiáng)內(nèi)部的監(jiān)督和牽制。

　　大型國(guó)有企業(yè)和上市公司。這些機(jī)構(gòu)往往有雄厚的財(cái)力來(lái)實(shí)現(xiàn)管理的信息化、保證生產(chǎn)經(jīng)營(yíng)的穩(wěn)定性，他們對(duì)信息系統(tǒng)審計(jì)師的要求和跨國(guó)公司類似。

　?。ǘ┫到y(tǒng)開(kāi)發(fā)審計(jì)

　　系統(tǒng)開(kāi)發(fā)過(guò)程一般分為：系統(tǒng)初步調(diào)查和可行性研究、系統(tǒng)詳細(xì)調(diào)查和系統(tǒng)分析、系統(tǒng)總體設(shè)計(jì)、系統(tǒng)詳細(xì)設(shè)計(jì)、程序編制、程序調(diào)試、系統(tǒng)調(diào)試、系統(tǒng)轉(zhuǎn)換、平行操作試驗(yàn)、系統(tǒng)評(píng)審、系統(tǒng)維護(hù)和評(píng)價(jià)等過(guò)程。系統(tǒng)開(kāi)發(fā)審計(jì)是事前審計(jì)，實(shí)際上是審計(jì)人員參與系統(tǒng)的全過(guò)程。主要監(jiān)督審查下列問(wèn)題：（1）系統(tǒng)的功能是否恰當(dāng)、完備，能否滿足用戶商務(wù)活動(dòng)的需要；（2）系統(tǒng)的數(shù)據(jù)流程、處理方法是否符合有關(guān)商貿(mào)法規(guī)；（3）系統(tǒng)是否建立了恰當(dāng)?shù)某绦蚩刂?，以防止或發(fā)現(xiàn)無(wú)意的差錯(cuò)或有意的舞弊；（4）系統(tǒng)是否保留充分的審計(jì)線索，保證了電子商務(wù)系統(tǒng)的可審性；（5）系統(tǒng)的安全保密措施和管理制度是否健全，能否保證系統(tǒng)安全可靠地運(yùn)行；（6）系統(tǒng)的文檔資料是否全面、完整。這部分內(nèi)容和IT審計(jì)師的工作內(nèi)容實(shí)際也是相適應(yīng)的。因?yàn)镮T審計(jì)師正是參與一個(gè)系統(tǒng)分析、設(shè)計(jì)和調(diào)試運(yùn)行全過(guò)程的“保健醫(yī)生”，并且IT審計(jì)師最關(guān)注系統(tǒng)的安全、穩(wěn)定、有效。

　　（三）應(yīng)用程序?qū)徲?jì)和數(shù)據(jù)文件審計(jì)

　　應(yīng)用程序是信息系統(tǒng)的核心，其是否遵守國(guó)家財(cái)經(jīng)法規(guī)和政策，對(duì)經(jīng)濟(jì)業(yè)務(wù)的處理是否合規(guī)、合法、正確等，均體現(xiàn)于應(yīng)用程序。可以手工對(duì)應(yīng)用程序直接進(jìn)行審查，也可以使用計(jì)算機(jī)輔助方法，也可以通過(guò)數(shù)據(jù)在程序上的運(yùn)行間接測(cè)試。電算化會(huì)計(jì)信息系統(tǒng)中，實(shí)質(zhì)性測(cè)試的對(duì)象是數(shù)據(jù)文件。對(duì)數(shù)據(jù)庫(kù)或數(shù)據(jù)文件的審計(jì)主要目的是為確保數(shù)據(jù)的完整性與正確性等。對(duì)數(shù)據(jù)文件的實(shí)質(zhì)性測(cè)試包括：對(duì)各賬戶余額和發(fā)生額直接進(jìn)行檢查；對(duì)會(huì)計(jì)數(shù)據(jù)進(jìn)行分析性復(fù)核，旨在對(duì)數(shù)據(jù)文件進(jìn)行實(shí)質(zhì)性測(cè)試；測(cè)試一般控制措施或應(yīng)用控制的符合性?？梢允褂貌惶幚頂?shù)據(jù)文件的實(shí)質(zhì)性測(cè)試方法、處理實(shí)際數(shù)據(jù)文件的實(shí)質(zhì)性測(cè)試方法及處理虛擬數(shù)據(jù)文件的實(shí)質(zhì)性測(cè)試方法。這兩部分內(nèi)容沒(méi)有IT審計(jì)師的技術(shù)支持，一般審計(jì)人員也難勝其任。

　　四、結(jié)論

　　由上可知，審計(jì)業(yè)務(wù)發(fā)展至今，傳統(tǒng)財(cái)務(wù)審計(jì)工作只是現(xiàn)代審計(jì)中一個(gè)特別小的組成部分。審計(jì)師最重要工作之一，是發(fā)現(xiàn)被審計(jì)單位最重大的風(fēng)險(xiǎn)隱患，在認(rèn)定其持續(xù)經(jīng)營(yíng)的基礎(chǔ)上，再對(duì)財(cái)務(wù)報(bào)表的真實(shí)、公允性發(fā)表審計(jì)意見(jiàn)。如果審計(jì)師認(rèn)為被審計(jì)單位的信息系統(tǒng)是業(yè)務(wù)運(yùn)轉(zhuǎn)的平臺(tái)，是風(fēng)險(xiǎn)高發(fā)區(qū)，那么對(duì)信息系統(tǒng)的安全、穩(wěn)定和有效的評(píng)價(jià)就成為審計(jì)的基礎(chǔ)和重點(diǎn)。當(dāng)然，對(duì)信息系統(tǒng)的審計(jì)和對(duì)財(cái)務(wù)事項(xiàng)的審計(jì)，手段有所不同，但基本的程序和原理都是一樣的。同時(shí)計(jì)算機(jī)審計(jì)的主要內(nèi)容均和IT審計(jì)師有重要關(guān)聯(lián)，IT審計(jì)師是開(kāi)展計(jì)算機(jī)審計(jì)工作的重要推動(dòng)力量。因此，我們?cè)谂囵B(yǎng)高級(jí)審計(jì)人才時(shí)，應(yīng)注重參考IT審計(jì)師知識(shí)結(jié)構(gòu)，在數(shù)學(xué)體系上增設(shè)以下內(nèi)容：信息系統(tǒng)審計(jì)程序；信息系統(tǒng)的管理計(jì)劃和組織；技術(shù)基礎(chǔ)和操作實(shí)務(wù)；信息資產(chǎn)的保護(hù)；災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃；業(yè)務(wù)應(yīng)用系統(tǒng)的開(kāi)發(fā)、取得、實(shí)施和維護(hù)；業(yè)務(wù)過(guò)程的評(píng)價(jià)和風(fēng)險(xiǎn)管理等。

　　參考文獻(xiàn)：

　　1.劉威，強(qiáng)清。關(guān)于計(jì)算機(jī)審計(jì)與IT審計(jì)師關(guān)系問(wèn)題的探討。財(cái)貿(mào)研究，2003（1）

　　2.孫萬(wàn)軍。漫談IT審計(jì)師。金融電子化，2002（2）

　　3.金光華。計(jì)算機(jī)審計(jì)實(shí)務(wù)。中國(guó)時(shí)代經(jīng)濟(jì)出版社，2002