IT審計教學(xué)案例設(shè)計

齊瑩

《審計學(xué)》課程作為高校經(jīng)管類專業(yè)的重點必修課之一，具有理論性強(qiáng)、綜合性高、實務(wù)性專的特點。一般來說，《審計學(xué)》課程的教學(xué)內(nèi)容圍繞傳統(tǒng)的審計理論體系展開，依據(jù)注冊會計師鑒證業(yè)務(wù)基本準(zhǔn)則規(guī)范，主要針對審計工作的基本要求、業(yè)務(wù)承接、制訂審計計劃、風(fēng)險評估、風(fēng)險應(yīng)對、完成審計工作及出具審計報告的工作流程展開。

近年來隨著信信息技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)的普及，越來越多的企業(yè)運用信息系統(tǒng)對核心業(yè)務(wù)進(jìn)行處理，并在系統(tǒng)中生成、存儲重要的業(yè)務(wù)及財務(wù)數(shù)據(jù)，例如新興的網(wǎng)絡(luò)游戲行業(yè)。傳統(tǒng)的管理手段被信息系統(tǒng)替代，徹底改變了組織內(nèi)部管理控制的方式和流程。因此，審計師必須在計劃和執(zhí)行審計工作時對企業(yè)信息技術(shù)進(jìn)行全面考慮。

為了適應(yīng)信息化環(huán)境，國內(nèi)高校都高度重視綜合性審計人才的培養(yǎng)，然而IT（信息技術(shù)）審計教學(xué)內(nèi)容依然成為財經(jīng)類專業(yè)審計教學(xué)內(nèi)容中的孤島，主要原因是眾多專業(yè)的財經(jīng)類老師對計算機(jī)審計技術(shù)并不了解，只有少部分財經(jīng)類高校單獨開設(shè)了計算機(jī)輔助審計與信息系統(tǒng)審計。更多的教師是將IT審計單獨作為教學(xué)中的一章內(nèi)容進(jìn)行講解。

在不單獨開設(shè)IT審計課程的前提下，如何與傳統(tǒng)審計理論結(jié)合講解IT審計是本文探討的內(nèi)容。本文將以教學(xué)中采用的“網(wǎng)絡(luò)游戲公司的IT審計程序”為例，說明IT審計在傳統(tǒng)審計流程的切入點及工作流程。

IT審計教學(xué)目的

掌握IT審計的基本理論

IT審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效實現(xiàn)、使組織的資源得到高效使用等方面做出判斷的過程。一般將IT審計工作分為公司層面IT控制（ITELC）、IT一般性控制（ITGC）及應(yīng)用程序控制（ITAC）三個層次。

明晰執(zhí)行IT審計的意義

通過詳細(xì)介紹IT審計工作的意義，向?qū)W生傳達(dá)正確觀念，即IT審計是傳統(tǒng)審計的有益補(bǔ)充而不是取締傳統(tǒng)審計。對比傳統(tǒng)審計與IT審計，除了基本一致的工作原則及體系結(jié)構(gòu)，IT審計是傳統(tǒng)審計的有益補(bǔ)充，主要表現(xiàn)在以下方面：

1.降低審計風(fēng)險。對于信息系統(tǒng)高度依賴的被審計單位，其日常單據(jù)和記錄都是依賴信息系統(tǒng)生成、存儲和輸出，如果不對IT風(fēng)險進(jìn)行評估，就無法確認(rèn)數(shù)據(jù)的真實性及完整性了這對審計效果有很大影響。目前，監(jiān)管部門分別對信息系統(tǒng)安全性審計做了詳細(xì)規(guī)范，主要目的是審查企業(yè)信息系統(tǒng)的故障風(fēng)險、非法入侵風(fēng)險、電子數(shù)據(jù)存儲風(fēng)險等安全隱患，對于信息安全問題予以重點關(guān)注。例如，針對游戲公司的收入發(fā)生認(rèn)定，IT審計對游戲玩家充值記錄進(jìn)行分析，識別充值行為異常的玩家，確定是否存在游戲公司自充值的問題。

2.提高審計效率。IT審計較傳統(tǒng)審計最大的不同在于其審計工作是以計算機(jī)為載體進(jìn)行。利用計算機(jī)，IT審計人員可以通過對海量原始數(shù)據(jù)、信息系統(tǒng)和輸出數(shù)據(jù)進(jìn)行大量的審計工作，有效提高審計效率。實務(wù)中IT審計的工作人員往往都是信息技術(shù)人員，能夠與企業(yè)IT人員進(jìn)行有效溝通，通常企業(yè)IT人員能夠?qū)I(yè)務(wù)流程、系統(tǒng)架構(gòu)、數(shù)據(jù)流轉(zhuǎn)方面掌握和描述的更準(zhǔn)確。

3.確保公司的合規(guī)性要求。證監(jiān)會和深交所均對互聯(lián)網(wǎng)行業(yè)的業(yè)務(wù)數(shù)據(jù)披露提出要求，并明確表示審計工作應(yīng)當(dāng)圍繞公司業(yè)績真實性進(jìn)行專項核查。另外對IT審計人員素質(zhì)及核查方法的獨立性也有相應(yīng)要求，通過擴(kuò)充IT審計對公司合規(guī)性進(jìn)行更嚴(yán)格的核查。例如，證監(jiān)會2014、2017年分別對游戲公司業(yè)績真實性、相關(guān)績效指標(biāo)及算法進(jìn)行專線核查。北京注冊會計師協(xié)會2016年發(fā)文規(guī)定網(wǎng)絡(luò)游戲企業(yè)收入審計技巧和方法等。

4.客戶增值服務(wù)。通過提供IT審計服務(wù)，審計師可以為被審計單位帶來增值服務(wù)，包括但不限于完善IT治理架構(gòu)、提高IT管理水平、改善IT處理環(huán)境、提高IT運行效率及降低IT風(fēng)險。

理解IT審計與傳統(tǒng)審計工作階段的關(guān)系

IT審計并不是另成一派的審計方法，而是傳統(tǒng)審計的有益補(bǔ)充，兩者具有基本一致的工作原則及體系結(jié)構(gòu)。然而，IT審計關(guān)注的重點與傳統(tǒng)審計關(guān)注的內(nèi)容不同（見表1）。

以網(wǎng)絡(luò)游戲公司為例說明IT審計過程要點

以網(wǎng)絡(luò)游戲公司為案例，一方面是手機(jī)游戲等已經(jīng)非常普遍，這樣的案例比較貼近學(xué)生生活，激發(fā)學(xué)生的研究興趣；另一方面，熟悉公司存在大量的系統(tǒng)數(shù)據(jù)，傳統(tǒng)的審計方法無法應(yīng)對其產(chǎn)生的風(fēng)險，只能利用IT審計方法來應(yīng)對。授課前，將目標(biāo)公司的基本資料發(fā)給學(xué)生進(jìn)行課前預(yù)習(xí)，目標(biāo)公司是一家集網(wǎng)絡(luò)游戲及手機(jī)游戲研發(fā)、運營、發(fā)行于一體的互聯(lián)網(wǎng)科技公司，其收入來源主要有游戲運營分成、游戲授權(quán)金及游戲外包。本文重點說明控制測試與實質(zhì)性程序階段。

執(zhí)行控制測試

在確定審計計劃后，IT審計人員應(yīng)按時開展內(nèi)部控制測試，并在傳統(tǒng)審計工作的基礎(chǔ)上，對公司依次進(jìn)行公司層面IT控制、IT一般性控制及應(yīng)用程序控制，及時溝通審計發(fā)現(xiàn)和結(jié)論。

1.公司層面IT控制。公司層面IT控制通常是對公司整體IT風(fēng)險的判斷，測試方法基于COSO內(nèi)部控制框架的八個內(nèi)部控制要素，此控制是對公司整體IT風(fēng)險的判斷，主要是站在IT管理的角度評估IT風(fēng)險，了解公司的內(nèi)控機(jī)制和相關(guān)管理制度，總體把握其業(yè)務(wù)結(jié)構(gòu)和系統(tǒng)構(gòu)成。各方面控制所需資料文件及對應(yīng)要求如下表2。

2. IT一般性控制。該控制是審計人員風(fēng)險評估及控制測試的主要層面。主要指針對被審計單位信息系統(tǒng)開發(fā)、變更管理、信息安全以及運行維護(hù)四大方面的控制，主要對象包含應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)支持、硬件支持及物理環(huán)境。游戲公司的業(yè)務(wù)活動對信息系統(tǒng)的上述五方面都有高度的依賴性。IT審計人員首先需要確定公司的信息系統(tǒng)環(huán)境是否良好、其計算機(jī)硬件底層和操作系統(tǒng)中間層是否設(shè)計合理、系統(tǒng)的管理與維護(hù)是否有合理明確的制度要求等，才能探討應(yīng)用層的數(shù)據(jù)真實性及準(zhǔn)確性。

對信息系統(tǒng)開發(fā)的審計。對系統(tǒng)開發(fā)的控制內(nèi)容包括授權(quán)審批、需求分析、系統(tǒng)設(shè)計、代碼編寫、數(shù)據(jù)遷移、系統(tǒng)測試以及驗收上線等，其中需求分析、系統(tǒng)設(shè)計、代碼編寫和測試數(shù)據(jù)是四個關(guān)鍵控制點，下圖以系統(tǒng)開發(fā)為例說明IT審計過程中的要點。

對系統(tǒng)變更管理的審計主要是對變更管理的控制內(nèi)容，主要包括需求確認(rèn)、授權(quán)審批、變更測試、變更追蹤、職責(zé)分離、文檔管理等，其中授權(quán)審批、變更測試及變更追蹤是三個關(guān)鍵控制點，控制所需資料文件及對應(yīng)要求分別是每次的授權(quán)審批記錄完整準(zhǔn)確、內(nèi)部及外部測評和用戶測試記錄完整、測試記錄完整。

對信息安全的審計主要是對信息安全的控制，內(nèi)容主要包括用戶賬號管理、定期審閱、口令安全設(shè)置、遠(yuǎn)程訪問、物理安全和網(wǎng)絡(luò)安全等，其中用戶賬號管理、口令安全設(shè)置、遠(yuǎn)程訪問是三個關(guān)鍵控制點，資料質(zhì)量要求分別是提供系統(tǒng)資料及管理記錄真實完整、口令安全程序合理可靠并需要提供數(shù)據(jù)流程說明、訪問指令設(shè)計合理可靠、訪問及維護(hù)記錄完整準(zhǔn)確。

對運行維護(hù)的審計內(nèi)容包括系統(tǒng)運維制度及人員管理、數(shù)據(jù)庫管理、運行發(fā)生的時間與問題管理、通信系統(tǒng)管理和運行管理，資料質(zhì)量要求分別是特殊事件及其處理手段和結(jié)果追蹤記錄完整、數(shù)據(jù)的傳輸是否遵守規(guī)則及操作順序是否標(biāo)準(zhǔn)化。

3.IT應(yīng)用程序控制。應(yīng)用程序控制是指由程序執(zhí)行的控制，用以替代很多由人工完成的基礎(chǔ)性檢查工作，它存在于每一個基于計算機(jī)應(yīng)用系統(tǒng)的業(yè)務(wù)和數(shù)據(jù)處理中，主要包含系統(tǒng)自動控制和依賴IT的手工控制。對于游戲公司收入核算的部分需要大量應(yīng)用程序控制，該類控制是否有效對財務(wù)報表的完整性和準(zhǔn)確性以及公司內(nèi)部控制的有效性有重要影響。

對于系統(tǒng)自動控制的審計，需要對信息系統(tǒng)底層應(yīng)用編程代碼及計算機(jī)語言邏輯的準(zhǔn)確性進(jìn)行檢查，必要時需在企業(yè)IT技術(shù)人員的協(xié)助下提取相關(guān)編程語句，對應(yīng)用的準(zhǔn)確性和完整性進(jìn)行驗證與控制；對于依賴IT的手工控制， IT審計人員需要針對網(wǎng)絡(luò)游戲收入的業(yè)務(wù)流程執(zhí)行穿行測試，進(jìn)而去客戶化地識別公司程序的控制，最后根據(jù)控制類型確定測試方法。

實質(zhì)性測試

以收入測試為例，游戲公司應(yīng)該按照游戲幣的消耗來確認(rèn)收入，通過IT手段執(zhí)行分析性復(fù)核程序及直接數(shù)據(jù)測試，驗證游戲運營分成收入數(shù)據(jù)的準(zhǔn)確性和完整性，并通過對游戲玩家行為的分析，驗證收入的真實性，及時溝通審計發(fā)現(xiàn)及結(jié)論。審計期間內(nèi)執(zhí)行的核查程序如表4所示，做游戲公司的數(shù)據(jù)核查時，應(yīng)該重點關(guān)注的四個指標(biāo)“充值+贈送=消耗+剩余”。

在教學(xué)過程中，根據(jù)執(zhí)行的每一種程序向?qū)W生展示數(shù)據(jù)結(jié)果圖（如圖1），并根據(jù)圖形帶領(lǐng)學(xué)生分析數(shù)據(jù)游戲公司收入的異常點。

案例思考及討論

通過對游戲公司主要IT審計業(yè)務(wù)的介紹，啟發(fā)學(xué)生思考。

1. IT風(fēng)險與IT審計風(fēng)險之間的區(qū)別，探討被審計單位應(yīng)該采取哪些防范措施降低企業(yè)的IT風(fēng)險，而IT審計工作人員在審計工作過程中應(yīng)該采用哪些方法降低IT審計風(fēng)險。學(xué)生需要從被審計單位及審計師等不同角度反思審計理論中強(qiáng)調(diào)的“風(fēng)險”概念。

2.討論除了網(wǎng)絡(luò)游戲公司外，目前還有哪些行業(yè)在審計工作中必須進(jìn)行IT審計，并形成判斷標(biāo)準(zhǔn)。啟發(fā)學(xué)生從案例中歸納總結(jié)出需要進(jìn)行IT審計的公司所具備的共同特點，提高審計執(zhí)業(yè)敏感度。

3.討論不同層次的信息技術(shù)控制與什么層次的重大錯報風(fēng)險評估對應(yīng)，以及應(yīng)對措施。將IT審計知識與其他審計理論融合，增強(qiáng)學(xué)生對審計理論的理解程度。

結(jié) 語

審計教學(xué)的難點在于與審計實務(wù)建立起密切的聯(lián)系。只有理論與實務(wù)緊密結(jié)合，學(xué)生在課堂上所學(xué)的專業(yè)理論知識通過實踐才能掌握得更好，理解得更深刻。本文研究的是在傳統(tǒng)審計理論基礎(chǔ)上，單獨擴(kuò)充IT審計一章。通過網(wǎng)絡(luò)游戲公司的案例設(shè)計，將IT審計理論知識與實際業(yè)務(wù)相結(jié)合，提高學(xué)生融會貫通的能力。

課程教學(xué)改革需要在教學(xué)中不斷進(jìn)行，一方面要通過教學(xué)掌握學(xué)生在本課程學(xué)習(xí)中存在的問題，挖掘問題產(chǎn)生的原因，從而在現(xiàn)有教學(xué)條件的基礎(chǔ)上不斷地進(jìn)行完善和改革，以提高教學(xué)效果。另一方面需要使教學(xué)內(nèi)容緊跟時代，將最新的審計方法及理念傳達(dá)給學(xué)生，才能激發(fā)學(xué)生的學(xué)習(xí)興趣，提高教學(xué)質(zhì)量和教學(xué)效果。

（北京工業(yè)大學(xué)）