浅谈信息系统审计和传统审计之间的区别和联系

信息系统审计与传统审计的区别

科技的迅猛开展曾经给整个社会的经济管理活动形成了宏大影响。信息系统审计是在原来传统审计的财务审计和管理审计根底上，由于科学技术向经济管理范畴的浸透而产生的。但是，到目前为止，信息系统审计在实质上并不是独立于财务审计和管理审计的第三大审计分支，而是其中的一类审计形态，其缘由在于网络环境的复杂性、实践操作的复杂性、与传统审计的交融水平等要素都限制着信息系统审计的开展，本文旨经过比拟，将两者有机分离，从而进步信息系统审计质量，拓展信息系统审计技术办法在企业审计中应用的深度和广度，促进企业在审计上的革新。 

一、 信息系统审计与传统审计在重大方面上是一致的

（一） 信息系统审计体系与传统审计体系构造根本一致 

传统审计体系在逻辑构造上具有较强的紧密性，“根本原则―详细原则―实务指南”是由笼统到详细的逻辑规则，这是会计原则、注册会计师鉴证业务原则等专业规范标准的常用构造，这使审计后续的详细工作便于寻觅相应的原则条款，为审计工作提供便利之处。信息系统审计所表述的“规范―指南―程序”原则框架在字面上与传统审计体系没有太大差异。其规范反响了信息系统范畴的纲要性问题，指南是规范的详细化，程序则是一些工作标准，这与传统审计体系的三个层次是逐个对应的。 

（二）信息系统审计与传统审计在根本概念及程序上大致一致 

“独立性与客观性”、“权威性与公正性”等传统审计的根本概念在信息系统审计中得到了很好的表现。另外，信息系统审计独立于信息系统自身、信息系统相关开发、运用人员，由信息系统审计师根据法律规则，采用客观规范独立行使审计监视权，这与审计的“独立性与客观性”完整相同。同时，国际信息系统审计和控制协会（ISACA）对实行审计制度、树立审计机关以及审计机构的位置和权利都做了明白规则，这样使审计组织具有法律的权威性，其与公正性相辅相成。 

二、 信息系统审计详细内容方面存在两点点创新

（一） 信息系统审计的软件测试办法与电子取证办法 

审计办法贯串于整个审计过程当中，而不只是存在于某一审计阶段或某个环节。随着信息系统审计系统理论的丰厚与信息系统审计理论的开展，信息系统审计处置运用传统审计的办法外，还大量自创了计算机学科的一些办法为我所用。其中“软件测试办法”是信息系统审计的重要办法之一，较为经典的测试办法是黑盒测试与白盒测试。另外，某些会计数据和其他信息只能以电子方式存在，或只能在某一时点或期间得到①，在信息系统审计时关于这些电子数据的获取极为重要，需求确保信息系统审计人员开掘和搜集充足牢靠的电子证据，最终生成审计报告。 

（二） 安全性审计 

在传统审计中，关于被审计对象的安全问题鲜有触及，而信息的安全性问题关系到企业的生存与开展，是坚持企业安康可持续开展的重要保证。信息系统审计中关于安全性审计做了细致的标准。安全性审计的主要目的就是检查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实牢靠的信息，因而安全性审计也是真实性审计的前提。 

三、完善IT审计体系还应自创传统审计

（一）自创传统审计中的绩效审计，增强其理论可行性 

传统审计将审计的真实性、合法性和效益性作为审计的目的。为顺应树立市场经济的需求，审计机关从2001年以前主要从事的真实、合法性审计到90年代初期，审计机关对国有企业的审计开端向检查内部控制和经济效益两方面的延伸，绩效审计的重要性逐渐凸显。②由于IT项目的功用复杂性、构造庞大性、周期延长性，使得IT绩效审计很难精确地评价如此综合性的信息系统项目效果，如何完善信息系统绩效审计在理论上的可行性是摆在我们面前的一项重要任务。 

信息系统绩效审计应充沛自创传统绩效审计中的经济性、效果性、效率性特征，盘绕这“三性”停止展开。在“经济性”上，为了以最低的资源消耗取得一定数量和质量的产出，能够经过多方面的改进进步其节约水平。如美国Gartner Group Inc公司研发的ERP系统，其自动化水平很好，从而进步了信息系统绩效审计的科学性与可行性，防止不用要的开支。在“效果性”上，力图在信息系统项目上完成绩效监控动态化，为企业提供丰厚的管理信息，并在企业管理和决策过程中发挥作用，动态监控管理绩效变化，及时反应和纠正呈现的问题。在“效率性”上，进步企业物流、资金流、信息流一体化管理的效率并且要擅长管理信息系统，对信息系统应用价值的完成是IT绩效审计的最重要方面。 

（二）自创传统审计的风险管理，发挥其限制性作用 

《企业内部控制根本标准》把“应当关注研讨开发、技术投入、信息技术运用等自主创新要素”列为企业辨认内部风险时应当关注的六个要素之一。③随同信息系统而来的风险、利益和时机使得信息系统风险管理成为企业管理的重要内容，也是信息系统审计中应该完善的局部。 

自创传统审计关于企业风险管理中风险评价、控制与防备的流程，分离IT风险管理的环境特殊性，程序复杂性和数据多样性等特性，对信息系统审计中的风险管理应依照“辨认信息资产―要挟的量化和定性―评价破绽―改良控制差距―管理剩余风险”的流程停止。首先，辨认组织业务职能并肯定每个流程的信息敏感度。然后辨认流程的每一个组成局部的现有控制措施，按重大水平将控制差距分类。最后，经过风险等级、本钱和有效性的选择，创立风险基准线，以便日后定期重新评价风险所用。 

四、总结

经过对信息系统审计与传统审计的比拟研讨，我们发现：在根本内容、程序和体系构造等方面，传统审计与信息系统审计是谐和的。信息系统审计的软件测试办法与电子取证办法上，较传统审计来说更方便且具有先进性。

在信息技术向人们工作、生活的每一个角落发起全面冲击的大潮中，信息技术不仅改变着人们的行为方式，同时也改变着人们的思维方式。审计信息化使得审计人员所面临的审计对象不断变化，促使审计方式随之改变，信息系统审计在这种情况下应缘而生。信息系统审计是传统审计的一部分，两者究竟有哪些区别？信息系统审计专家时代新威来为您解答！

一、信息系统审计与传统审计在重大方面上是一致的

 
（一）信息系统审计体系与传统审计体系构造根本一致

传统审计体系在逻辑构造上具有较强的紧密性，“根本原则―详细原则―实务指南”是由笼统到详细的逻辑规则，这是会计原则、注册会计师鉴证业务原则等专业规范标准的常用构造，这使审计后续的详细工作便于寻觅相应的原则条款，为审计工作提供便利之处。信息系统审计所表述的“规范―指南―程序”原则框架在字面上与传统审计体系没有太大差异。其规范反响了信息系统范畴的纲要性问题，指南是规范的详细化，程序则是一些工作标准，这与传统审计体系的三个层次是逐个对应的。

 
（二）信息系统审计与传统审计在根本概念及程序上大致一致

“独立性与客观性”、“权威性与公正性”等传统审计的根本概念在信息系统审计中得到了很好的表现。另外，信息系统审计独立于信息系统自身、信息系统相关开发、运用人员，由信息系统审计师根据法律规则，采用客观规范独立行使审计监视权，这与审计的“独立性与客观性”完整相同。同时，国际信息系统审计和控制协会（ISACA）对实行审计制度、树立审计机关以及审计机构的位置和权利都做了明白规则，这样使审计组织具有法律的权威性，其与公正性相辅相成。

二、信息系统审计详细内容方面存在两点点创新

 
（一）信息系统审计的软件测试办法与电子取证办法

审计办法贯串于整个审计过程当中，而不只是存在于某一审计阶段或某个环节。随着信息系统审计系统理论的丰厚与信息系统审计理论的开展，信息系统审计处置运用传统审计的办法外，还大量自创了计算机学科的一些办法为我所用。其中“软件测试办法”是信息系统审计的重要办法之一，较为经典的测试办法是黑盒测试与白盒测试。另外，某些会计数据和其他信息只能以电子方式存在，或只能在某一时点或期间得到①，在信息系统审计时关于这些电子数据的获取极为重要，需求确保信息系统审计人员开掘和搜集充足牢靠的电子证据，最终生成审计报告。 

 
（二）安全性审计

在传统审计中，关于被审计对象的安全问题鲜有触及，而信息的安全性问题关系到企业的生存与开展，是坚持企业安康可持续开展的重要保证。信息系统审计中关于安全性审计做了细致的标准。安全性审计的主要目的就是检查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实牢靠的信息，因而安全性审计也是真实性审计的前提。

三、完善IT审计体系还应自创传统审计

（一）自创传统审计中的绩效审计，增强其理论可行性

传统审计将审计的真实性、合法性和效益性作为审计的目的。为顺应树立市场经济的需求，审计机关从2001年以前主要从事的真实、合法性审计到90年代初期，审计机关对国有企业的审计开端向检查内部控制和经济效益两方面的延伸，绩效审计的重要性逐渐凸显。②由于IT项目的功用复杂性、构造庞大性、周期延长性，使得IT绩效审计很难精确地评价如此综合性的信息系统项目效果，如何完善信息系统绩效审计在理论上的可行性是摆在我们面前的一项重要任务。

信息系统绩效审计应充沛自创传统绩效审计中的经济性、效果性、效率性特征，盘绕这“三性”停止展开。在“经济性”上，为了以最低的资源消耗取得一定数量和质量的产出，能够经过多方面的改进进步其节约水平。如美国Gartner Group Inc公司研发的ERP系统，其自动化水平很好，从而进步了信息系统绩效审计的科学性与可行性，防止不用要的开支。在“效果性”上，力图在信息系统项目上完成绩效监控动态化，为企业提供丰厚的管理信息，并在企业管理和决策过程中发挥作用，动态监控管理绩效变化，及时反应和纠正呈现的问题。在“效率性”上，进步企业物流、资金流、信息流一体化管理的效率并且要擅长管理信息系统，对信息系统应用价值的完成是IT绩效审计的最重要方面。

（二）自创传统审计的风险管理，发挥其限制性作用

《企业内部控制根本标准》把“应当关注研讨开发、技术投入、信息技术运用等自主创新要素”列为企业辨认内部风险时应当关注的六个要素之一。③随同信息系统而来的风险、利益和时机使得信息系统风险管理成为企业管理的重要内容，也是信息系统审计中应该完善的局部。

自创传统审计关于企业风险管理中风险评价、控制与防备的流程，分离IT风险管理的环境特殊性，程序复杂性和数据多样性等特性，对信息系统审计中的风险管理应依照“辨认信息资产―要挟的量化和定性―评价破绽―改良控制差距―管理剩余风险”的流程停止。首先，辨认组织业务职能并肯定每个流程的信息敏感度。然后辨认流程的每一个组成局部的现有控制措施，按重大水平将控制差距分类。最后，经过风险等级、本钱和有效性的选择，创立风险基准线，以便日后定期重新评价风险所用。 

信息系统审计较传统审计来说更方便且具有先进性，新技术对于信息系统审计提出了新的要求，作为新一代信息系统审计专家，时代新威是您不错的选择。