摘　要：从介绍IT审计师与计算机审计开始，讨论了审计学科的发展趋势，论述了IT审计师在网络审计中的作用，指出IT审计师及其知识结构体系是培养当代审计人员的发展方向。

　　关键词：IT审计师　计算机审计　网络审计

　　一、引言

　　信息系统审计师，也称IT审计师或IS审计师，是指一批专家级人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。IT审计师是由“国际信息系统审计与控制协会（ISACA）”认证的。ISACA是国际上惟一的信息系统审计师专业组织。会员被称为信息系统审计师，也就是我们通常所说的IT审计师，其主要从事的工作包括：向客户提供与信息系统相关的服务，在财务审计中对被审计单位的信息系统的了解、测试和评价以及计算机辅助审计技术的运用等方面。一般的IT审计师都具备全面的计算机软硬件知识，对网络和系统安全有独特的敏感性，并且对财会和单位内部控制有深刻的理解。

　　随着计算机技术在管理中的广泛运用，传统的控制、管理、检查和审计技术都受到巨大的挑战，国际会计公司、专业咨询公司和高级管理顾问都将控制风险，特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司，由于普遍使用大型管理信息系统，都非常重视对信息系统安全性和稳定性的控制。这就常常需要高薪聘请国际信息系统审计师（简称IT审计师）进行内部审计。因此，目前IT审计师已经成为全球范围最抢手的高级人才之一。

　　二、IT审计师的出现迎合了计算机审计的发展

　　计算机审计的发展一般要经过绕过计算机审计，穿过、利用计算机审计，网络审计三个阶段。其中前两个阶段属于计算机桌面审计系统。绕过计算机审计是指将计算机处理系统看作是一个“黑箱”。根据被审对象对计算机数据处理系统输入的原始数据，通过手工操作，将处理结果于计算机处理系统的输出进行对比，检查其是否一致，属于计算机审计的初级阶段。穿过计算机审计是对计算机数据处理系统进行审计，包括系统目的与功能需求是否达到，系统分析与系统设计是否先进、科学和实用，程序设计是否正确可靠，内部控制是否健全、可靠，管理制度是否严密、有效，文件资料是否齐全、完整等。利用计算机审计是为实施审计专门开发电子计算机程序，检验被审单位电子计算机程序的可靠性。网络审计是指综合运用计算机网络及其相关技术手段对网络经济及网络系统进行审查的新型审计，是计算机桌面审计系统发展的高级阶段。

　　随着目前电子商务等网络经济的发展和完善，网络审计势在必行。网络审计的模式，从审计的客体角度方面，是建立在网络基础上，对被审单位一定时期内全部或部分经济活动，特别是正在发展中的电子商务、电子金融、网络财务、网络会计等进行审计的计算机系统。它包括两个方面：其一是对被审系统开发过程进行审计；其二是对被审系统运行过程及其结果进行审计。目前计算机审计的发展大多还处在只是对被审系统运行结果进行审计，或进一步对被审系统运行过程进行审计，这样的审计是建立在假定被审系统安全、可靠基础上的。而实际上这种假定是否合理，是应当予以验证的，这种验证也就是要对被审系统的安全性、稳定性、有效性进行审计、检查、评价和提出改造建议。而这也正是IT审计师的主要工作，并且这部分工作也是一直上溯到被审系统开发过程的。因此，IT审计师的出现正好迎合了网络审计模式的需要。IT审计师虽然主要源于信息系统安全问题而产生，其主要工作也含有较高的计算机技术因素，但就发展来看，IT审计师的出现迎合了计算机审机的发展趋势，昭示着计算机审计不久将随着电子商务、网络财务等的全面展开而逐步发展到网络审计阶段，未来的IT审计师们也将成为网络审计的“主力军”。从这个角度上讲，IT审计师也是计算机审计发展的必然产物。

　三、IT审计师在网络审计的重要作用

　　计算机审计发展到网络审计后，计算机审计的主要内容将包括网络安全技术与内部控制系统的审计、系统开发审计、应用程序审计、数据文件审计等四个部分。通过研究分析可以发现，这四个部分的内容，不同程度地与IT审计师相关联，IT审计师在其中将起重要的作用。

　　（一）网络安全技术与内部控制系统的审计

　　从Internet诞生起，信息和网络的安全性就成为关注的一个焦点。在Internet发展的每一个阶段，安全问题也都是基础性的、关键性的因素。对于网络审计，其首先遇到的也是网络的安全性测试问题。与安全性相应的还有网络系统的内部控制的测试问题，网络系统的内部控制包括一般控制和应用控制两个方面。一般控制包括组织控制、软件开发、硬件和系统软件控制、系统安全控制、维护控制和文档控制等方面的审查与测试。应用控制包括输入控制、处理控制、输出控制。IT审计师的主要工作就是利用标准、规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行测试、检查、评价和改造。IT审计师首先关注信息系统的安全性，没有安全就没有一切，IT审计师会采用各种方法来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策；IT审计师还要审查信息系统的稳定性，没有长期稳定性，信息系统就无法承担起激烈竞争的压力，IT审计师会提出一系列对策保证客户信息系统的万无一失；IT审计师还要鉴别信息系统的有效性，最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗企业大量的资源，一般情况下，一说到信息系统建设，大家都觉得是工程师或程序员的事，事实上，这是非常错误的观点。一个好的系统，在安全和稳定的前提下，必须最大程度符合企业经营流程的特点，经济、有效地解决问题和提供信息。要做到这一点，信息系统开发和维护过程中，就必须有大量的经营管理人员参与， 设计出最优的信息流转路径。如果不重视信息系统的有效性，其危害同样是巨大的。一方面由于其繁琐和复杂，导致内部业务人员不会用、不想用或使用不当；另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。显然，要对信息系统的安全、稳定和有效进行监控，就不单纯是某类技术人员能够完成的任务，经过专业训练，经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理，能够利用规范的审计手段，比较客观和冷静地分析、评价企业现有信息系统的运行，并从专业的角度提出建议。

　　通过以上分析我们看到，IT审计师的工作中实际上已经包含了网络安全技术与内部控制审计的内容。进一步从IT审计师的服务对象分析，IT审计师主要是为以下几类对象服务：

　　软件供应商。特别是经济管理类的集成软件供应商，需要信息系统审计师参与产品设计、规划和检测，并对客户现有信息系统进行评价，提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。

　　管理咨询机构。20世纪90年代以后，管理咨询的重点已经逐步发展为提供一揽子解决方案，其中信息系统的配置，就是解决方案成功的基础。国际知名的管理咨询机构中，有50%以上的员工熟悉信息技术，其中20%拥有信息系统审计师资格。

　　会计师审计师事务所，是信息系统审计师最早的落脚点，“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险，同时为客户提供ERP或CRM的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献。没有他们的工作，评估内部控制风险和企业固有风险将成为一句空话。人们常常看到，“五大”会计公司里，最年轻的合伙人或经理，往往都是信息系统审计师，因为这是一项年轻人的工作。

跨国公司。作为信息系统最集中的用户，跨国公司急需大量信息系统审计师，一方面参与信息化建设的过程，另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明，跨国公司内部审计部门也在大量招聘信息系统审计师，以加强内部的监督和牵制。

　　大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性，他们对信息系统审计师的要求和跨国公司类似。

　　（二）系统开发审计

　　系统开发过程一般分为：系统初步调查和可行性研究、系统详细调查和系统分析、系统总体设计、系统详细设计、程序编制、程序调试、系统调试、系统转换、平行操作试验、系统评审、系统维护和评价等过程。系统开发审计是事前审计，实际上是审计人员参与系统的全过程。主要监督审查下列问题：（1）系统的功能是否恰当、完备，能否满足用户商务活动的需要；（2）系统的数据流程、处理方法是否符合有关商贸法规；（3）系统是否建立了恰当的程序控制，以防止或发现无意的差错或有意的舞弊；（4）系统是否保留充分的审计线索，保证了电子商务系统的可审性；（5）系统的安全保密措施和管理制度是否健全，能否保证系统安全可靠地运行；（6）系统的文档资料是否全面、完整。这部分内容和IT审计师的工作内容实际也是相适应的。因为IT审计师正是参与一个系统分析、设计和调试运行全过程的“保健医生”，并且IT审计师最关注系统的安全、稳定、有效。

　　（三）应用程序审计和数据文件审计

　　应用程序是信息系统的核心，其是否遵守国家财经法规和政策，对经济业务的处理是否合规、合法、正确等，均体现于应用程序。可以手工对应用程序直接进行审查，也可以使用计算机辅助方法，也可以通过数据在程序上的运行间接测试。电算化会计信息系统中，实质性测试的对象是数据文件。对数据库或数据文件的审计主要目的是为确保数据的完整性与正确性等。对数据文件的实质性测试包括：对各账户余额和发生额直接进行检查；对会计数据进行分析性复核，旨在对数据文件进行实质性测试；测试一般控制措施或应用控制的符合性。可以使用不处理数据文件的实质性测试方法、处理实际数据文件的实质性测试方法及处理虚拟数据文件的实质性测试方法。这两部分内容没有IT审计师的技术支持，一般审计人员也难胜其任。

　　四、结论

　　由上可知，审计业务发展至今，传统财务审计工作只是现代审计中一个特别小的组成部分。审计师最重要工作之一，是发现被审计单位最重大的风险隐患，在认定其持续经营的基础上，再对财务报表的真实、公允性发表审计意见。如果审计师认为被审计单位的信息系统是业务运转的平台，是风险高发区，那么对信息系统的安全、稳定和有效的评价就成为审计的基础和重点。当然，对信息系统的审计和对财务事项的审计，手段有所不同，但基本的程序和原理都是一样的。同时计算机审计的主要内容均和IT审计师有重要关联，IT审计师是开展计算机审计工作的重要推动力量。因此，我们在培养高级审计人才时，应注重参考IT审计师知识结构，在数学体系上增设以下内容：信息系统审计程序；信息系统的管理计划和组织；技术基础和操作实务；信息资产的保护；灾难恢复和业务持续计划；业务应用系统的开发、取得、实施和维护；业务过程的评价和风险管理等。