前言：本站為你精心整理了詮釋國內IT審計面對的難題范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

［摘要］隨著各組織對信息系統運用的增多，信息系統在為企業帶來高收益的同時也帶來了巨大風險，因此引入IT審計成為一種趨勢。本文從IT審計的概念特點介紹出發，分析當前我國IT審計面臨的挑戰，并提出了應對措施。

［關鍵詞］IT審計；挑戰；策略

隨著信息技術的興起，信息系統已經滲透到社會生活的方方面面，它在給人們帶來便利與效益的同時，也帶來了很多負面影響，如計算機犯罪案件的頻頻發生等，系統安全問題日益嚴峻。于是一個不容回避的問題——我國企業如何有效地開展信息技術審計（InformationTechnologyAudit，以下簡稱IT審計），保證信息系統安全，擺在我們面前。本文擬對此進行探討。

一、IT審計的定義及其特點

IT審計是指對信息系統從計劃、研發、實施到運行維護各個過程進行審查與評價的活動，以審查企業信息系統是否安全、可靠、有效，保證信息系統得出準確可靠的數據。由以上定義可知，IT審計的目標是保證IT系統的可用性、安全性、完整性和有效性，最終達到強化企業內部控制的目的。

該審計過程具有以下特點：

1.IT審計是一個過程。它通過獲取的證據判斷信息系統是否能保證資產的安全、數據的完整和組織目標的實現，它貫穿于整個信息系統生命周期的全過程。

2.IT審計的對象綜合且復雜。IT審計從縱向（生命周期）看，覆蓋了信息系統從開發、運行、維護到報廢的全生命周期的各種業務；從橫向（各階段截面）看，它包含對軟硬件的獲取審計、應用程序審計、安全審計等。IT審計將審計對象從財務范疇擴展到了同經營活動有關的一切信息系統。

3.IT審計拓寬了傳統審計的目標。傳統審計目標僅僅包括“對被審計單位會計報表的合法性、公允性及會計處理方法的一貫性發表審計意見”；但IT審計除了上述目標外，還包括信息資產的安全性、數據的完整性及系統的可靠性、有效性和效率性。

4.IT審計是一種基于風險基礎審計的理論和方法。IT審計從基于控制的方法演變為基于風險的方法，其內涵包括企業風險管理的整體框架，如內部環境的控制、目標的設定、風險事項的識別、風險的評估、風險的管理與應對、信息與溝通以及對風險的監控。

二、我國IT審計面對的挑戰

IT審計和傳統審計相比具有的上述特點是吸引我國眾多企業引入IT審計的重要原因，但是這種方法的應用又會給企業提出巨大的挑戰。

1.傳統審計線索的消失。在手工會計環境下，審計線索主要來自于紙質原始憑證、記賬憑證、會計賬簿和會計報表，這些書面數據之間的勾稽關系使得數據若被修改可辨識出修改的線索和痕跡，這就是傳統審計線索的基本特征。但是現在計算機網絡信息系統中這些數據直接記錄在磁盤和光盤上，無紙張記錄，審計人員用肉眼無法直接看到這些數據如何記錄，且非法修改刪除原始數據也可以不留篡改的痕跡，從而為舞弊人員作案留有可乘之機。盡管許多審計機構要求已實現會計信息化的企業將所有原始憑證、記賬憑證、賬簿、報表打印輸出，使用繞開計算機系統的審計方法，并以打印出的證、賬、表作為基本審計的線索和依據。但是如果原始數據在業務發生時就被有意篡改，則其派生的記賬憑證金額和賬戶余額及報表數據也一定會出錯，打印出的數據也不能作為審計證據。因此即使打印出所有電子數據，傳統審計線索也會在計算機信息系統下完全消失。

2.計算機信息系統的數據安全面臨挑戰。手工信息處理的環境下，審計人員無須將數據和會計信息的安全性問題作為審計的重要內容，但是在IT審計的工作中，網絡電子交易數據的安全是關系到交易雙方切身利益的關鍵問題，也是企業計算機網絡應用中的重大障礙和審計的首要問題。例如計算機病毒的破壞、黑客用IP地址欺騙攻擊網絡系統來獲取重要商業秘密、內部人員的計算機舞弊、數據丟失等，都是傳統審計從未涉及的，但又是IT審計的重點，這對當前我國的審計工作無論是操作系統，還是制度建立等眾多方面都是一個很大的挑戰。

3.IT審計專業人才匱乏，適應IT審計事業發展的人才培養和管理機制還有待建立和健全。由于IT審計固有的復雜性，這項工作需要具備會計、審計、組織管理和計算機、網絡技術等綜合知識的人才，而且工作人員需要對內部控制和審計有深刻的理解，對信息和網絡技術有敏銳的捕捉能力，在我國獲得注冊信息系統審計師資格的人數遠遠不能滿足信息系統審計業務的需求。

三、我國IT審計應對策略

面對上述挑戰，我們應當多方位、多角度制訂措施，使IT審計工作更好地為我國企業發展做出貢獻。具體措施如下：

1.審計線索的重建。根據計算機網絡系統容易在不同地方同時形成相同“原本”數據的特點，可以重建電子審計線索：在電子化的原始數據形成時，同時在審計機構（包括內審機構）和關系緊密（簽字確認）的部門形成原始數據的“原本”，或在不同部門各自形成相關的數據庫（特別應當包括數量、金額和單價等主要數據項），這樣不僅可以相互監督和牽制，還給計算機審計提供可信的審計線索。這種保留審計線索的方法，一方面成為有力的控制手段，另一方面可從審計線索中發現疑點。這種方法主要是應用專用的審計比較軟件，同時將幾個部門的同一種數據庫進行自動比較形成有差異的數據記錄文件，詳細審查相關的數據文件和訪問有關的當事人，從而取得有力的審計證據。上述比較審計方法是在不同部門同時形成業務數據文件的情況下應用，如果企業業務數據分離存放，如銷售合同與銷售發票、提貨單在不同的部門保存，這種實質性測試也可采用比較審計法，應用專用的審計軟件，結合相關的幾個業務數據文件進行比較，查出有錯誤疑點的記錄。

2.確保信息系統的信息安全。為了保證信息系統的信息安全，IT審計工作人員要在審計過程中評價企業的防火墻技術、網絡系統的防病毒功能、數據加密措施、身份認證和授權的應用實施情況，通過面談實地審查企業安全管理制度建立和執行的情況，查看企業是否為了預防計算機病毒，對外來的軟件和傳輸的數據經過病毒檢查，業務系統是否嚴禁使用游戲軟件，以及是否配置了自動檢測關鍵數據庫的軟件，使異常及時被發現；檢測企業是否為了防范黑客入侵，網絡交易的數據庫采用離散結構，同時在不同的指定網點（如在交易的雙方）形成完整的業務數據備份供特殊使用（如審計和監控）；此外IT審計人員還要注意檢查企業的信息系統崗位責任實施、安全日志制度，審查有關計算機安全的國家法律和管理條例的執行情況。

3.建立一支完備的IT審計專業人才隊伍。IT審計的發展必須有一大批專業化的IT審計人才，這就要求我們要采取短期培訓和長期培養、操作層面上的培訓與高層次人才的培養、在職人員培訓與未來人才培養相結合的方法將這支隊伍逐漸發展起來。此外我國可以從現有的審計隊伍中選拔人員進行專門的信息系統審計培訓，并考慮在注冊會計師的資格考試和審計師職稱考試中逐步加入計算機、信息系統和網絡技術等與信息系統審計有關的內容，以及加強對從事信息化咨詢的IT技術人員的會計與審計知識的培訓。為了培養未來審計人員，應在高校會計、審計專業教學計劃中增加信息技術和電子商務等內容，也可以考慮在高校中開設信息系統審計專業，直接培養信息系統審計專業人才。

當前我國IT審計正處于起步階段，和傳統審計相比，IT審計的顯著特點決定了其勢在必行，但是一種新的方法的引入和實施必定會給企業和審計人員帶來巨大的挑戰，面對種種挑戰我們應采取積極措施，迎難而上，使IT審計工作不斷發展完善。