（撰稿：崔颖，摄影：刘荣光）为期半天的普华现场教学于6月5日如期开展，由普华永道会计师事务所信息系统审计部门的高级经理胡杨洋老师进行现场授课。

什么是信息系统审计？

信息系统审计是以财务报表审计为背景，审计对企业利用信息系统控制的评估。而信息系统内审则是指检查企业自身信息系统是否能支撑企业自身发展的评估。

为什么进行信息系统审计呢？

一方面是由于我国审计准则的要求；另一方面，胡老师指出，现在事务所信息系统审计的项目越来越多，已经无法只依靠系统审计部门了，因此，也需要财务审计部门进行参与，而信息系统审计的人则需要去做更加高精尖的系统审计工作。

怎样进行信息系统审计呢？

图1 信息系统审计生命周期

    胡老师对了解、确定审计范围进行了重点讲解。

    怎样进行了解？

    首先，要了解整体的控制环境：例如，检查公司内部是否有规章政策、业务是否进行分工、岗位职责是否分离、人力资源的胜任能力如何、IT人员对系统的构建是否满足业务人员的需求、公司内部沟通交流是否顺畅、对企业的整体风险与IT风险进行识别、对各个系统的使用情况进行了解、查看是否存在重大人员变动以及系统变动的情况、了解公司内部各个部门之间以及各个部门内部的沟通渠道、缺陷及问题管理、是否系统中有设置监控器、是否进行定期监控、外包系统是否开具鉴证报告。

    其次，需要了解信息系统的风险：例如，公司程序数据的访问有没有受到合理限制、自动控制或程序是否合理设计或有效运行、报表有没有被合理设计或有效运行、对数据的访问是否经过授权、是否有IT核查报告、系统数据是否丢失或损坏、交易处理过程中的错误是否被更正或识别。

    最后，需要了解企业风险应对体系，一般分为三个层次——一般控制、应用控制、整体控制环境、信息系统风险。一般控制主要包括程序开发、程序变更、数据和程序的访问以及计算机系统的日常运维；应用控制包括系统自动化控制、系统自动计算、权限管理、职责分离等；整体控制环境包括IT政策和程序、公司技术部门组织架构和职责分离、人力资源及胜任能力、IT规划与业务需求、IT风险管理、系统使用情况及重大变化、沟通渠道、缺陷及问题管理等。

    怎样确定审计范围？

    在业务控制层面：①确定重要的财务报表科目、组成部分、重大披露；②确定财务报表审计中的重要业务流程和交易；③识别相关业务流程和交易的潜在错报风险来源；④确定应对所识别风险的系统应用控制和数据。

    胡老师以销售收入为例：

    在信息系统一般控制层面：主要查看程序开发、程序变更、计算机运维和程序及数据访问四个层面。

    胡老师以CRM系统为例：

   胡老师认为，虽然我们刚刚踏入工作岗位，无法将她讲授的内容应用与实践，但是作为审计人员我们不应该把目光只局限于自己的工作范围，而应有大局观，了解整个项目的流程，明白自己工作对于整个项目的意义。
   课程结束后，学院师生和普华永道老师们举行共建“现场教学基地”揭牌仪式并合影留念。