齊瑩

《審計(jì)學(xué)》課程作為高校經(jīng)管類專業(yè)的重點(diǎn)必修課之一，具有理論性強(qiáng)、綜合性高、實(shí)務(wù)性專的特點(diǎn)。一般來(lái)說(shuō)，《審計(jì)學(xué)》課程的教學(xué)內(nèi)容圍繞傳統(tǒng)的審計(jì)理論體系展開，依據(jù)注冊(cè)會(huì)計(jì)師鑒證業(yè)務(wù)基本準(zhǔn)則規(guī)范，主要針對(duì)審計(jì)工作的基本要求、業(yè)務(wù)承接、制訂審計(jì)計(jì)劃、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、完成審計(jì)工作及出具審計(jì)報(bào)告的工作流程展開。

近年來(lái)隨著信信息技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)的普及，越來(lái)越多的企業(yè)運(yùn)用信息系統(tǒng)對(duì)核心業(yè)務(wù)進(jìn)行處理，并在系統(tǒng)中生成、存儲(chǔ)重要的業(yè)務(wù)及財(cái)務(wù)數(shù)據(jù)，例如新興的網(wǎng)絡(luò)游戲行業(yè)。傳統(tǒng)的管理手段被信息系統(tǒng)替代，徹底改變了組織內(nèi)部管理控制的方式和流程。因此，審計(jì)師必須在計(jì)劃和執(zhí)行審計(jì)工作時(shí)對(duì)企業(yè)信息技術(shù)進(jìn)行全面考慮。

為了適應(yīng)信息化環(huán)境，國(guó)內(nèi)高校都高度重視綜合性審計(jì)人才的培養(yǎng)，然而IT（信息技術(shù)）審計(jì)教學(xué)內(nèi)容依然成為財(cái)經(jīng)類專業(yè)審計(jì)教學(xué)內(nèi)容中的孤島，主要原因是眾多專業(yè)的財(cái)經(jīng)類老師對(duì)計(jì)算機(jī)審計(jì)技術(shù)并不了解，只有少部分財(cái)經(jīng)類高校單獨(dú)開設(shè)了計(jì)算機(jī)輔助審計(jì)與信息系統(tǒng)審計(jì)。更多的教師是將IT審計(jì)單獨(dú)作為教學(xué)中的一章內(nèi)容進(jìn)行講解。

在不單獨(dú)開設(shè)IT審計(jì)課程的前提下，如何與傳統(tǒng)審計(jì)理論結(jié)合講解IT審計(jì)是本文探討的內(nèi)容。本文將以教學(xué)中采用的“網(wǎng)絡(luò)游戲公司的IT審計(jì)程序”為例，說(shuō)明IT審計(jì)在傳統(tǒng)審計(jì)流程的切入點(diǎn)及工作流程。

IT審計(jì)教學(xué)目的

掌握IT審計(jì)的基本理論

IT審計(jì)是一個(gè)通過(guò)收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效實(shí)現(xiàn)、使組織的資源得到高效使用等方面做出判斷的過(guò)程。一般將IT審計(jì)工作分為公司層面IT控制（ITELC）、IT一般性控制（ITGC）及應(yīng)用程序控制（ITAC）三個(gè)層次。

明晰執(zhí)行IT審計(jì)的意義

通過(guò)詳細(xì)介紹IT審計(jì)工作的意義，向?qū)W生傳達(dá)正確觀念，即IT審計(jì)是傳統(tǒng)審計(jì)的有益補(bǔ)充而不是取締傳統(tǒng)審計(jì)。對(duì)比傳統(tǒng)審計(jì)與IT審計(jì)，除了基本一致的工作原則及體系結(jié)構(gòu)，IT審計(jì)是傳統(tǒng)審計(jì)的有益補(bǔ)充，主要表現(xiàn)在以下方面：

1.降低審計(jì)風(fēng)險(xiǎn)。對(duì)于信息系統(tǒng)高度依賴的被審計(jì)單位，其日常單據(jù)和記錄都是依賴信息系統(tǒng)生成、存儲(chǔ)和輸出，如果不對(duì)IT風(fēng)險(xiǎn)進(jìn)行評(píng)估，就無(wú)法確認(rèn)數(shù)據(jù)的真實(shí)性及完整性了這對(duì)審計(jì)效果有很大影響。目前，監(jiān)管部門分別對(duì)信息系統(tǒng)安全性審計(jì)做了詳細(xì)規(guī)范，主要目的是審查企業(yè)信息系統(tǒng)的故障風(fēng)險(xiǎn)、非法入侵風(fēng)險(xiǎn)、電子數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)等安全隱患，對(duì)于信息安全問(wèn)題予以重點(diǎn)關(guān)注。例如，針對(duì)游戲公司的收入發(fā)生認(rèn)定，IT審計(jì)對(duì)游戲玩家充值記錄進(jìn)行分析，識(shí)別充值行為異常的玩家，確定是否存在游戲公司自充值的問(wèn)題。

2.提高審計(jì)效率。IT審計(jì)較傳統(tǒng)審計(jì)最大的不同在于其審計(jì)工作是以計(jì)算機(jī)為載體進(jìn)行。利用計(jì)算機(jī)，IT審計(jì)人員可以通過(guò)對(duì)海量原始數(shù)據(jù)、信息系統(tǒng)和輸出數(shù)據(jù)進(jìn)行大量的審計(jì)工作，有效提高審計(jì)效率。實(shí)務(wù)中IT審計(jì)的工作人員往往都是信息技術(shù)人員，能夠與企業(yè)IT人員進(jìn)行有效溝通，通常企業(yè)IT人員能夠?qū)I(yè)務(wù)流程、系統(tǒng)架構(gòu)、數(shù)據(jù)流轉(zhuǎn)方面掌握和描述的更準(zhǔn)確。

3.確保公司的合規(guī)性要求。證監(jiān)會(huì)和深交所均對(duì)互聯(lián)網(wǎng)行業(yè)的業(yè)務(wù)數(shù)據(jù)披露提出要求，并明確表示審計(jì)工作應(yīng)當(dāng)圍繞公司業(yè)績(jī)真實(shí)性進(jìn)行專項(xiàng)核查。另外對(duì)IT審計(jì)人員素質(zhì)及核查方法的獨(dú)立性也有相應(yīng)要求，通過(guò)擴(kuò)充IT審計(jì)對(duì)公司合規(guī)性進(jìn)行更嚴(yán)格的核查。例如，證監(jiān)會(huì)2014、2017年分別對(duì)游戲公司業(yè)績(jī)真實(shí)性、相關(guān)績(jī)效指標(biāo)及算法進(jìn)行專線核查。北京注冊(cè)會(huì)計(jì)師協(xié)會(huì)2016年發(fā)文規(guī)定網(wǎng)絡(luò)游戲企業(yè)收入審計(jì)技巧和方法等。

4.客戶增值服務(wù)。通過(guò)提供IT審計(jì)服務(wù)，審計(jì)師可以為被審計(jì)單位帶來(lái)增值服務(wù)，包括但不限于完善IT治理架構(gòu)、提高IT管理水平、改善IT處理環(huán)境、提高IT運(yùn)行效率及降低IT風(fēng)險(xiǎn)。

理解IT審計(jì)與傳統(tǒng)審計(jì)工作階段的關(guān)系

IT審計(jì)并不是另成一派的審計(jì)方法，而是傳統(tǒng)審計(jì)的有益補(bǔ)充，兩者具有基本一致的工作原則及體系結(jié)構(gòu)。然而，IT審計(jì)關(guān)注的重點(diǎn)與傳統(tǒng)審計(jì)關(guān)注的內(nèi)容不同（見表1）。

以網(wǎng)絡(luò)游戲公司為例說(shuō)明IT審計(jì)過(guò)程要點(diǎn)

以網(wǎng)絡(luò)游戲公司為案例，一方面是手機(jī)游戲等已經(jīng)非常普遍，這樣的案例比較貼近學(xué)生生活，激發(fā)學(xué)生的研究興趣；另一方面，熟悉公司存在大量的系統(tǒng)數(shù)據(jù)，傳統(tǒng)的審計(jì)方法無(wú)法應(yīng)對(duì)其產(chǎn)生的風(fēng)險(xiǎn)，只能利用IT審計(jì)方法來(lái)應(yīng)對(duì)。授課前，將目標(biāo)公司的基本資料發(fā)給學(xué)生進(jìn)行課前預(yù)習(xí)，目標(biāo)公司是一家集網(wǎng)絡(luò)游戲及手機(jī)游戲研發(fā)、運(yùn)營(yíng)、發(fā)行于一體的互聯(lián)網(wǎng)科技公司，其收入來(lái)源主要有游戲運(yùn)營(yíng)分成、游戲授權(quán)金及游戲外包。本文重點(diǎn)說(shuō)明控制測(cè)試與實(shí)質(zhì)性程序階段。

執(zhí)行控制測(cè)試

在確定審計(jì)計(jì)劃后，IT審計(jì)人員應(yīng)按時(shí)開展內(nèi)部控制測(cè)試，并在傳統(tǒng)審計(jì)工作的基礎(chǔ)上，對(duì)公司依次進(jìn)行公司層面IT控制、IT一般性控制及應(yīng)用程序控制，及時(shí)溝通審計(jì)發(fā)現(xiàn)和結(jié)論。

1.公司層面IT控制。公司層面IT控制通常是對(duì)公司整體IT風(fēng)險(xiǎn)的判斷，測(cè)試方法基于COSO內(nèi)部控制框架的八個(gè)內(nèi)部控制要素，此控制是對(duì)公司整體IT風(fēng)險(xiǎn)的判斷，主要是站在IT管理的角度評(píng)估IT風(fēng)險(xiǎn)，了解公司的內(nèi)控機(jī)制和相關(guān)管理制度，總體把握其業(yè)務(wù)結(jié)構(gòu)和系統(tǒng)構(gòu)成。各方面控制所需資料文件及對(duì)應(yīng)要求如下表2。

2. IT一般性控制。該控制是審計(jì)人員風(fēng)險(xiǎn)評(píng)估及控制測(cè)試的主要層面。主要指針對(duì)被審計(jì)單位信息系統(tǒng)開發(fā)、變更管理、信息安全以及運(yùn)行維護(hù)四大方面的控制，主要對(duì)象包含應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)支持、硬件支持及物理環(huán)境。游戲公司的業(yè)務(wù)活動(dòng)對(duì)信息系統(tǒng)的上述五方面都有高度的依賴性。IT審計(jì)人員首先需要確定公司的信息系統(tǒng)環(huán)境是否良好、其計(jì)算機(jī)硬件底層和操作系統(tǒng)中間層是否設(shè)計(jì)合理、系統(tǒng)的管理與維護(hù)是否有合理明確的制度要求等，才能探討應(yīng)用層的數(shù)據(jù)真實(shí)性及準(zhǔn)確性。

對(duì)信息系統(tǒng)開發(fā)的審計(jì)。對(duì)系統(tǒng)開發(fā)的控制內(nèi)容包括授權(quán)審批、需求分析、系統(tǒng)設(shè)計(jì)、代碼編寫、數(shù)據(jù)遷移、系統(tǒng)測(cè)試以及驗(yàn)收上線等，其中需求分析、系統(tǒng)設(shè)計(jì)、代碼編寫和測(cè)試數(shù)據(jù)是四個(gè)關(guān)鍵控制點(diǎn)，下圖以系統(tǒng)開發(fā)為例說(shuō)明IT審計(jì)過(guò)程中的要點(diǎn)。

對(duì)系統(tǒng)變更管理的審計(jì)主要是對(duì)變更管理的控制內(nèi)容，主要包括需求確認(rèn)、授權(quán)審批、變更測(cè)試、變更追蹤、職責(zé)分離、文檔管理等，其中授權(quán)審批、變更測(cè)試及變更追蹤是三個(gè)關(guān)鍵控制點(diǎn)，控制所需資料文件及對(duì)應(yīng)要求分別是每次的授權(quán)審批記錄完整準(zhǔn)確、內(nèi)部及外部測(cè)評(píng)和用戶測(cè)試記錄完整、測(cè)試記錄完整。

對(duì)信息安全的審計(jì)主要是對(duì)信息安全的控制，內(nèi)容主要包括用戶賬號(hào)管理、定期審閱、口令安全設(shè)置、遠(yuǎn)程訪問(wèn)、物理安全和網(wǎng)絡(luò)安全等，其中用戶賬號(hào)管理、口令安全設(shè)置、遠(yuǎn)程訪問(wèn)是三個(gè)關(guān)鍵控制點(diǎn)，資料質(zhì)量要求分別是提供系統(tǒng)資料及管理記錄真實(shí)完整、口令安全程序合理可靠并需要提供數(shù)據(jù)流程說(shuō)明、訪問(wèn)指令設(shè)計(jì)合理可靠、訪問(wèn)及維護(hù)記錄完整準(zhǔn)確。

對(duì)運(yùn)行維護(hù)的審計(jì)內(nèi)容包括系統(tǒng)運(yùn)維制度及人員管理、數(shù)據(jù)庫(kù)管理、運(yùn)行發(fā)生的時(shí)間與問(wèn)題管理、通信系統(tǒng)管理和運(yùn)行管理，資料質(zhì)量要求分別是特殊事件及其處理手段和結(jié)果追蹤記錄完整、數(shù)據(jù)的傳輸是否遵守規(guī)則及操作順序是否標(biāo)準(zhǔn)化。

3.IT應(yīng)用程序控制。應(yīng)用程序控制是指由程序執(zhí)行的控制，用以替代很多由人工完成的基礎(chǔ)性檢查工作，它存在于每一個(gè)基于計(jì)算機(jī)應(yīng)用系統(tǒng)的業(yè)務(wù)和數(shù)據(jù)處理中，主要包含系統(tǒng)自動(dòng)控制和依賴IT的手工控制。對(duì)于游戲公司收入核算的部分需要大量應(yīng)用程序控制，該類控制是否有效對(duì)財(cái)務(wù)報(bào)表的完整性和準(zhǔn)確性以及公司內(nèi)部控制的有效性有重要影響。

對(duì)于系統(tǒng)自動(dòng)控制的審計(jì)，需要對(duì)信息系統(tǒng)底層應(yīng)用編程代碼及計(jì)算機(jī)語(yǔ)言邏輯的準(zhǔn)確性進(jìn)行檢查，必要時(shí)需在企業(yè)IT技術(shù)人員的協(xié)助下提取相關(guān)編程語(yǔ)句，對(duì)應(yīng)用的準(zhǔn)確性和完整性進(jìn)行驗(yàn)證與控制；對(duì)于依賴IT的手工控制， IT審計(jì)人員需要針對(duì)網(wǎng)絡(luò)游戲收入的業(yè)務(wù)流程執(zhí)行穿行測(cè)試，進(jìn)而去客戶化地識(shí)別公司程序的控制，最后根據(jù)控制類型確定測(cè)試方法。

實(shí)質(zhì)性測(cè)試

以收入測(cè)試為例，游戲公司應(yīng)該按照游戲幣的消耗來(lái)確認(rèn)收入，通過(guò)IT手段執(zhí)行分析性復(fù)核程序及直接數(shù)據(jù)測(cè)試，驗(yàn)證游戲運(yùn)營(yíng)分成收入數(shù)據(jù)的準(zhǔn)確性和完整性，并通過(guò)對(duì)游戲玩家行為的分析，驗(yàn)證收入的真實(shí)性，及時(shí)溝通審計(jì)發(fā)現(xiàn)及結(jié)論。審計(jì)期間內(nèi)執(zhí)行的核查程序如表4所示，做游戲公司的數(shù)據(jù)核查時(shí)，應(yīng)該重點(diǎn)關(guān)注的四個(gè)指標(biāo)“充值+贈(zèng)送=消耗+剩余”。

在教學(xué)過(guò)程中，根據(jù)執(zhí)行的每一種程序向?qū)W生展示數(shù)據(jù)結(jié)果圖（如圖1），并根據(jù)圖形帶領(lǐng)學(xué)生分析數(shù)據(jù)游戲公司收入的異常點(diǎn)。

案例思考及討論

通過(guò)對(duì)游戲公司主要IT審計(jì)業(yè)務(wù)的介紹，啟發(fā)學(xué)生思考。

1. IT風(fēng)險(xiǎn)與IT審計(jì)風(fēng)險(xiǎn)之間的區(qū)別，探討被審計(jì)單位應(yīng)該采取哪些防范措施降低企業(yè)的IT風(fēng)險(xiǎn)，而IT審計(jì)工作人員在審計(jì)工作過(guò)程中應(yīng)該采用哪些方法降低IT審計(jì)風(fēng)險(xiǎn)。學(xué)生需要從被審計(jì)單位及審計(jì)師等不同角度反思審計(jì)理論中強(qiáng)調(diào)的“風(fēng)險(xiǎn)”概念。

2.討論除了網(wǎng)絡(luò)游戲公司外，目前還有哪些行業(yè)在審計(jì)工作中必須進(jìn)行IT審計(jì)，并形成判斷標(biāo)準(zhǔn)。啟發(fā)學(xué)生從案例中歸納總結(jié)出需要進(jìn)行IT審計(jì)的公司所具備的共同特點(diǎn)，提高審計(jì)執(zhí)業(yè)敏感度。

3.討論不同層次的信息技術(shù)控制與什么層次的重大錯(cuò)報(bào)風(fēng)險(xiǎn)評(píng)估對(duì)應(yīng)，以及應(yīng)對(duì)措施。將IT審計(jì)知識(shí)與其他審計(jì)理論融合，增強(qiáng)學(xué)生對(duì)審計(jì)理論的理解程度。

結(jié) 語(yǔ)

審計(jì)教學(xué)的難點(diǎn)在于與審計(jì)實(shí)務(wù)建立起密切的聯(lián)系。只有理論與實(shí)務(wù)緊密結(jié)合，學(xué)生在課堂上所學(xué)的專業(yè)理論知識(shí)通過(guò)實(shí)踐才能掌握得更好，理解得更深刻。本文研究的是在傳統(tǒng)審計(jì)理論基礎(chǔ)上，單獨(dú)擴(kuò)充IT審計(jì)一章。通過(guò)網(wǎng)絡(luò)游戲公司的案例設(shè)計(jì)，將IT審計(jì)理論知識(shí)與實(shí)際業(yè)務(wù)相結(jié)合，提高學(xué)生融會(huì)貫通的能力。

課程教學(xué)改革需要在教學(xué)中不斷進(jìn)行，一方面要通過(guò)教學(xué)掌握學(xué)生在本課程學(xué)習(xí)中存在的問(wèn)題，挖掘問(wèn)題產(chǎn)生的原因，從而在現(xiàn)有教學(xué)條件的基礎(chǔ)上不斷地進(jìn)行完善和改革，以提高教學(xué)效果。另一方面需要使教學(xué)內(nèi)容緊跟時(shí)代，將最新的審計(jì)方法及理念傳達(dá)給學(xué)生，才能激發(fā)學(xué)生的學(xué)習(xí)興趣，提高教學(xué)質(zhì)量和教學(xué)效果。

（北京工業(yè)大學(xué)）