对于众多行业来说，企业事业单位的财务管理、经营管理、行政管理都在走向信息化、网络化，各种信息系统生成大量的数据信息，如果按照传统审计手段去审查信息系统生成的、需要分析的大量数据，难以达到较高的审计标准。因此利用IT手段开展全面的审计工作成为审计业务发展的新趋势。经过几年的探索，以IT为手段开展审计工作，正在形成一套规范而行之有效的审计方法。那么到底如何利用计算机进行审计检查监督？本文以银行中的应用过程为例，介绍一些相应的做法。

　　检查信息系统安全

　　在对企业的信息系统安全进行审计时，可以从以下几个方面入手。

　　◆ 检查通用控制

　　在检查IT系统通用控制时，如检查系统平台的访问控制，若用手工检查，需要审计人员到现场进入操作系统，输入有关命令才可以得到操作系统访问控制的具体设置。这种手段存在以下缺点：对信息系统审计人员的技术要求较高，需要了解读取不同操作系统安全设置的命令及参数，而且审计必须不断跟进系统版本变化；检查结果不易输出，如对Windows NT的检查，只能利用屏幕拷贝方式；检查结果不易分析，由于检查结果可能包含大量信息，审计人员从中找出所关注的问题需要投入较大工作量。

　　专业IT公司针对不同操作系统平台开发了专门的审计工具，这些工具一般包括以下功能：设定参照性安全标准，既可以使用行业的一般标准，也可以根据审计机构的安全政策自行设计；对有关平台或网络的安全控制进行全面扫描检查，详细分析各种安全设置；参照信息安全标准进行分析评估，既可以得出量化的评分结果，也可以输出各种格式的详细报告。

　　在信息系统审计中，国外常用的安全审计软件包括：KANE公司的Security Analyst，用于检查WindowsNT/2000平台；Rapport Software公司的Rapport Audit Master，用于检查AS/400平台安全。

　　由于主机平台产品较昂贵，一般较少采用专门审计工具，主要是利用安装在主机内的安全访问控制软件，如: MVS环境的RACF软件，CA Top-Secret软件，其主要功能是系统安全员用于设置安全控制，也能提供较好的接口和输出工具供审计人员读取安全设置。

　　此外，在网络安全检查工具方面，包括ISS、CyberCop、Axent（已被赛门铁克公司收购）等网络安全扫描工具，除扫描网络漏洞外，还可进行仿真入侵测试。

　　目前国外企业正越来越多的应用专用工具进行审计。其中的好处显而易见：审计人员不必详细记忆不同平台的操作命令，减轻工作量，提高工作效率；系统更新换代或业界发现有新的安全问题时，只须升级有关审计工具即可；输出结果直观、可靠；使用业界普遍采用的工具，也有助于提高审计结果的可接受程度及公信力。

　　一些审计机构也会自行开发一些审计工具，如编写UNIX Script，或利用Foxpro等编写统计分析程序，亦有助于提高审计效率。

　　在实际应用时，根据环境需要，通常要会使用多种工具的混合。如在对网上银行系统进行安全评估时，采用了Sever平台的UNIX检查工具和NT检查工具，以及网络平台的ISS Internet　Scanner，并使用ISS工具对网络进行penetration test(入侵测试)等。有的机构甚至会使用ISS配合CyberCop分别扫描网络，利用不同产品的优点，进一步提高扫描结果的可靠性。

　　◆ 检查应用系统

　　什么是应用系统检查？即对应用系统处理过程及系统内存储的业务数据的完整性和准确性进行检查。对银行系统而言，具体检查的内容包括网上银行、银行卡系统、利息及费用核算、过账、报表输出等计算机处理过程中的关键环节。如汇丰银行，其稽核部门直接在主机系统编写检查程序。在通用审计软件尚未普及时，由信息系统审计人员在主机环境(测试平台)上直接开发专用审计程序，用于核对利息、数据比较、抽样证账等工作。

　　辅助业务审计

　　随着计算机应用的普及和审计素质的提高，以及一些方便易用的软件工具的出现，审计机构利用计算机辅助业务审计日趋普遍，并从传统上的抽样统计、核对查错发展到辅助效率审计。常用计算机辅助审计软件分为数据抽取软件、数据分析软件、网络安全评估软件及自我评估控制软件等九类。

　　ACL软件作为业界比较著名的审计软件，会计师在进行审计时，普遍使用ACL抽取数据进行数据核对、统计抽样等。SQL是通用的标准查询语言，无论是主机的DB2还是服务器级的Sybase、Oracle或是PC上的Forpro、Window Access，以及ACL软件，均支持这一行业标准(即采用基本一致的编程语法结构)。由于其具有易学习、使用灵活、运行效率高的特点，以及掌握其语法后可很快适应上述不同数据库产品环境，因此，计算机审计人员应普遍掌握及使用SQL编写审计程序。

　　◆ 现场审计

　　凡是审计过程中需要对业务数据进行统计、分析、比较的，都可以用到计算机工具，而应用程度及应用效果则依赖于审计人员对其掌握及灵活使用的程度。一些外资银行普遍要求以下做法: 由独立审计机构不定期从银行所有客户中抽选出部分，向他们发出证帐信，请客户确认信中附寄的银行账务资料是否正确。这项工作可充分发挥ACL这类通用审计软件的作用：可抽取不同格式的计算机系统数据； 可选用多种抽样方法，根据抽样结果灵活调整抽样参数；降低审计风险水平；节约时间和成本。

　　◆ 非现场审计

　　非现场审计的概念在不同机构中可能命名不同，但总体来说是强调利用计算机手段，“足不出户”，利用计算机终端远距离抽取系统数据进行分析。大银行会在计算机中心主机系统内建立数据专区INC(Information Center)，各操作系统每日批处理后将业务数据传送到INC中；同时，在审计部门建立主机系统终端，审计人员可以通过终端，编写SQL程序，从上述数据库中抽取自己需要的数据进行统计分析。这样可以减省审计人员外出的人力、物力及时间成本，特别适用于分行地域跨度大的机构；能迅速取得最新的业务数据；数据未经加工，来源可靠；审计过程更具针对性和持续性；能取得大量的、来自不同系统的数据，便于审计人员从整体的、宏观的角度进行分析，有助于开展效益和管理审计。

　　审计发展趋势

　　目前信息系统审计与业务审计的界线日趋模糊。随着银行业务计算机化比重日趋加大，大企业的计算机应用已不仅仅是过去的仿真手工阶段，覆盖范围也不再局限于零售、结算等操作层次，而是提升到整个企业业务流程的各个方面，如ERP、HRM、CRM。审计人员如果仍不善于利用计算机工具，而将审计局限于操作层面的检查，将不能适应发展的要求。相反，计算机审计人员不但需要检查计算机本身的安全，也需要了解银行业务，以便为审计工作计算机化提供更好支持。在领先的国际化大银行，这一趋势已十分明显，如汇丰银行，审计人员共70多人，其中计算机审计人员已占到约一半，其中有10人专责计算机审计软件的开发工作。

　　商业机构追求最大化利润的目标，不仅要求审计部门对安全经营情况进行监督(当哨兵或警察)，还要能提供提高经营效益和管理方面的意见(当顾问)，提供增值服务。计算机技术的发展为审计人员达到这一目标提供了现实可能。例如，现在不少大型企业已致力发展数据仓库，其提供的多维数据，不仅在数据量上超出一般数据库的概念，更重要的是提供了更大时间跨度、更多系统联系、更多企业外部的市场数据，并融入专家系统等人工智能概念，提供更多更灵活的处理和输出工具，审计人员将可以利用这些工具更好地发挥其“顾问”角色。计算机技术的应用，将促进审计工作向效益、管理审计发展。