（撰稿/山西财经大学康若瑛、哈尔滨商业大学 赵婷；摄影/刘荣光）短短12天的上国会暑期学习之旅即将结束，来自全国各高校的学子们依然没有停下求知的脚步。2018年7月26日上午，来自普华永道会计师事务所（特殊普通合伙）的胡杨洋老师给暑期学校的同学们带来了一场关于信息系统审计基础与实务的精彩分享。

随着信息化技术的飞速发展，信息系统在企业的运营中发挥着越来越重要的作用。胡老师的讲座主要包括以下内容。

首先，关于什么是信息系统审计，胡老师做出如下解释：信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。那么，为什么要进行信息系统审计？主要是现行审计准则的要求：中国注册会计师审计准则1211号以及国际审计准则315号要求，审计师应该了解被审计单位及其环境，识别和评估财务报表重大错报风险；同时在互联网+的大时代背景下，日益信息化的企业环境，企业在交易信息生成、处理、记录和财务报告各个环节均不同程度的依赖于信息系统。

其次，在财务报表审计中对信息系统的审计，大致分为以下几个阶段：1、了解信息技术环境及与财务报告有关的信息系统，识别评估重大错报风险；2、制定审计策略并规划审计工作以应对风险；3、根据制定的审计策略和审计计划，对纳入审计范围的信息系统执行审计工作；4、分析评估审计执行结果，规划应对方案；5根据应对方案，调整审计程序或整体审计策略并应对。

紧接着胡老师结合实务进行讲解，审计师一般通过执行如下几个步骤来完成计划工作：1、了解被审计单位信息技术环境，初步确定审计的相关性，系统环境的健康程度。把握整体控制环境，包括IT政策和程序、公司技术部门组织结构和职责分离、以及沟通渠道等。2、识别相关系统风险及应对，了解系统管控情况及可依赖程度。3、了解和识别被审计单位的信息系统依赖领域，进一步确定系统审计的相关性，确定审计范围和内容。确定重要的财务报表科目、组成部分、重大披露；确定重要业务流程和交易等。4、考虑前述步骤执行的结果，结合整体审计策略，厘定对信息系统的依赖程度，确定系统审计策略。5、根据审计策略，确定纳入信息系统审计范围的系统清单及审计内容。

胡老师还着重介绍了信息系统一般控制和应用控制的内容。一般控制包括程序开发、计算机日常运维、程序变更以及程序及数据访问。程序开发：立项和需求分析、开发建造、测试、数据迁移、实施上线、文档和培训以及职责分离；计算机日常运维：批处理、接口处理、监控、备份、机房管理；程序变更：需求授权、开发编码、测试、实施上线、文档和培训和职责分离；程序及数据访问：应用层安全管理、操作系统安全管理、网络安全管理、数据库层安全管理。

信息系统应用控制包括：系统自动化控制、系统生成的报表、系统自动计算、系统权限管理和职责分离、系统之间的自动化接口。常见的自动控制主要有：系统编辑检查、三单匹配控制、采购订单上的供应商选择控制。常见的系统报表举例：例外报告、固定资产折旧报告和应收账款账龄表。常见的自动计算有员工薪酬计算、佣金计算、成本计算。

在细致讲解专业知识的同时，胡老师也不忘给同学们提出了一些建议：首先就是不要带着功利心去学习，尤其是对于经典的东西，更需要多花时间精力去钻研、琢磨。其次，对于现在看似没用的东西，也要挖掘其前景和可能性，很有可能这部分知识在多年之后对从业会有很大的帮助。