三、國家審計、社會審計和內部審計在信息係統審計方麵分工協作的建議

（一）國家信息係統審計工作思路為：

1.對於在財政財務收支審計、效益審計項目中涉及的信息係統審計，建議審計人員在詳細了解和初步評價信息係統內部控製的基礎上，對內部控製的薄弱環節實施數據審計；必要的時候再根據情況適當關注信息係統的軟硬件環境及其建設過程。

2. 對信息係統展開專項審計調查時，還應對信息係統項目的整體效益進行審查，了解其功能設置能否滿足係統目標，評價其信息係統建設是否符合整個單位的信息化發展戰略及其業務發展戰略。

（二）社會信息係統審計工作的重點為：

1.注冊審計師應當關注各種內部控製框架，結合國內實際開發上市公司信息係統內部控製評價標準，為杜絕其財務舞弊提供法律約束和自律製衡機製。

除了COBIT框架中的相關內容外，注冊審計師還應當關注的其他標準有COSO框架（內部控製——整體框架）和ITIL（信息技術基礎架構庫）。盡管COSO框架並不是信息技術方麵的內部控製框架，但是由於它在審計領域的重要性，幾乎所有的信息係統審計的框架和指南都會考慮吸取它的主要思想作為內部控製的考慮出發點。SOX法案把COSO框架作為組織加強內部控製的唯一參考框架。ITIL為企業的IT服務管理實踐提供了一個客觀、嚴謹、可量化的標準和規範，它是目前普遍實行的“事實”上的標準。它包括了一係列適用於所有IT組織的最佳實踐——無論這些組織的規模如何，以及使用的是什麼技術。

2.注冊審計師還應當關注信息係統安全相關技術，緊跟國際潮流，參照國外SysTrust、WebTrust認證，結合國內實際，加快國內信息係統安全認證標準的研究和應用。

20世紀90年代中期，互聯網在全球範圍內普及。1998年由於軟件和程序的錯誤，AT&T公司的一台主要交換機產生故障，使許多信用卡用戶在長達18個小時的時間裏無法完成正常的交易。類似事件的發生使人們開始關注IT服務的可靠性問題，對信息係統的可靠性進行認證的服務應運而生，這種認證被稱為SysTrust（信息係統安全認證），其標準被稱為“SysTrust原則與標準”，該標準由美國注冊會計師協會和加拿大特許會計師協會共同開發。

20世紀90年代末，電子商務迅速成為互聯網上的熱點應用。2000年2月，雅虎、亞馬遜、易貝等許多大型電子商務公司遭到黑客攻擊，這使消費者對電子商務的信心受到影響，網絡公司開始關注如何進行自我保護，對電子商務網站的可靠性進行認證的服務應運而生，這種認證被稱為WebTrust（網站認證），其標準被稱為“WebTrust原則與標準”，該標準由美國注冊會計師協會和加拿大特許會計師協會共同開發，目前歐洲的會計師協會也開始提供這項服務。

（三）內部信息係統審計工作方麵：

建議內部審計師重點關注COBIT標準，協助本企業做好IT治理。

1999年，英國首先提出IT治理的概念，他們認為越來越多的企業風險是由內部控製疏忽、信息技術失敗引起的。同年，ISACA成立了IT治理研究院，專門研究IT治理的概念，並提供了信息及其相關技術的管理體係模型和最佳實務。目前，該體係已在世界上100多個國家的重要組織中成功運用，指導這些組織有效利用信息資源、有效管理信息相關的風險。

內部審計師應當結合本單位實際來研究如何利用COBIT的IT治理最佳實踐標準、方法和工具，針對組織的信息係統進行審計，以發現組織信息係統在IT治理、安全、運維、開發及業務連續性等方麵存在的技術脆弱性和管理薄弱環節，以適宜的方式向管理當局報告所發現的風險，並對風險進行持續的追蹤，不斷提高組織的IT風險控製水平。（作者單位：河南省審計幹部培訓中心）

參考文獻：

[1]康曉麗關於政府審計、民間審計和內部審計比較的案例分析，康曉麗

[2]石愛中副審計長在信息係統審計研討會上的講話，石愛中