一、引言
相比於傳統審計,資訊系統審計(Information System Au-diting)是審計領域中的一個新概念。目前,關於資訊系統審計,學術界和業界均無通用的定義。美國資訊系統審計權威專家r 提出:資訊系統審計可定義為通過一定的技術手段收集、分析證據,以對計算機系統是否能夠保證資產安全、維護資料完整、實現組織目標以及高效利用資源進行評價的過程。日本通產情報協會作了如下定義:資訊系統審計是指,為了資訊系統的安全、可靠與有效,由獨立於審計物件的資訊系統審計師以第三方的立場對以計算機為核心的資訊系統進行綜合檢查和評價,並向資訊系統審計物件的最高領導者提出問題與建議的一連串活動。國際資訊系統審計和控制協會(ISACA)將其定義為:資訊系統審計是一個獲取並評價證據,以判斷計算機系統是否能夠保證資產的安全、資料的完整以及有效率地利用組織的資源並有效果地實現組織目標的過程。
針對以上觀點,我們將其要點歸納如下:資訊系統審計是審計師對以計算機為核心的資訊系統,通過專業判斷和評價,合理保證資訊系統安全、穩定、有效,並向資訊系統的高層管理者及使用者提供問題解決方案,以達到改善經營和為組織增加價值目的的一個過程。
二、資訊系統審計的發展與現狀
20 世紀 60 年代,隨著計算機技術開始運用於企業的資訊收集和整理中,會計資訊處理逐漸無紙化,促使審計人員在執行傳統審計業務時,必須關注以電子資料為載體的電子資料處理審計(EDP Electronic Data Processing)。20 世紀 70 年代中期至 80年代,電子資料處理和管理系統等在企業中逐漸普及,同時,計算機犯罪和計算機系統失效的事件頻頻發生,使得資訊系統審計日益得到重視並迅速發展。美國、日本先後成立了 IT 審計方面的協會組織,從事對 IT 審計規則的制定和實施指導。20 世紀90 年代,資訊和資訊系統已成為企業的重要資產,企業和社會對資訊系統控制和審計的需求愈發強烈。已開發國家的資訊系統審計進入普及期,許多國家的審計機關、學者和組織對計算機環境下的資訊系統審計進行了有益的探索。同時,東南亞各國也逐漸認識到資訊系統審計的重要性,開始著手研究資訊系統審計理論和實務。
目前,我國資訊系統審計僅有十幾年的歷史,尚處於探索階段,既缺乏開展資訊系統審計業務的人才隊伍,也沒有形成專業規範體系,所進行的一些計算機審計方面的探索和嘗試以及計算機審計軟體的開發和應用還大都停留在對被審計單位電子資料進行處理的階段。存在的主要問題有:資訊系統審計觀念落後;資訊系統審計相關的準則、標準和規範尚不完善;資訊系統審計專業人才匱乏;資訊系統審計軟體開發工作滯後。
1997 年,廣州地鐵開始公司“資訊化”建設。最初,廣州地鐵經營審計採用“繞過計算機審計”的方法,即對匯出資料進行審計。審計過程中,其逐漸意識到了運用這種“黑箱原理”審計方法的風險。因此,2006 年公司組建了專門的 IT 審計模組,探索“如何利用計算機審計”和“通過計算機審計”.其後,廣州地鐵資訊系統審計發展經歷了借力、助力和自立三個階段。
一是借力期:IT 審計模組成立初期,公司與外部顧問共同開展 IT 審計專案,通過外部專業人員向審計人員傳輸 IT 審計技能,同時制定《IT 審計實施細則》,在人員技能儲備和制度上為 IT 審計模組的發展奠定了基礎。二是助力期:審計人員參照審計手冊,利用從外部顧問處學習到的審計技能,逐步開展資訊系統審計工作,將 IT 審計工作模式調整為以自身力量為主,外部諮詢服務為輔的模式。三是自立期:2009 年,廣州地鐵 IT審計已基本實現自主化,且 IT 審計模組逐步走向成熟,同時其還建立了具有自身特色的資訊系統審計框架。
目前,IT 審計已經發展成為廣州地鐵內部審計的一根“支柱”,連同“內控審計”,作為基本的審計手段貫穿於各類專業審計工作中,支援審計體系的鞏固與發展。
三、資訊系統審計內容
1、國內外關於資訊系統審計內容的研究
開展資訊系統審計首先要明確審計內容。國際資訊系統審計協會規定,資訊系統審計的主要內容包括資訊系統程式審計、資訊科技(IT)治理、系統生命週期管理、IT 服務的交付與支援、資訊資產的保護、災難恢復和業務連續性計劃。
近十幾年來,國內的學者和組織也對資訊系統審計的內容進行了探索和研究。審計署在 2012 年頒佈的《資訊系統審計指南---計算機審計實務公告第 34 號》中明確提出了:資訊系統審計包括對應用控制、一般控制和專案管理的審計。其中,應用控制包括資訊系統業務流程,資料輸入、處理和輸出的控制,資訊共享和業務協同;一般控制包括資訊系統總體控制、資訊保安技術控制、資訊保安管理控制;專案管理包括資訊系統建設的經濟性、資訊系統建設管理、資訊系統績效。
上述具有代表性的規定和研究成果對資訊系統審計內容的劃分,均是以對資訊系統邏輯結構的分析為基礎。全面分析資訊系統的邏輯結構,可從資訊系統的構成要素、資訊系統生命週期和資訊系統管理三個維度進行描述:從構成要素來看,資訊系統由人員、應用(包括軟體平臺和應用系統)、所採用的技術、硬體裝置、資料檔案執行規則組成;資訊系統生命週期可劃分為資訊系統的規劃階段、開發階段、執行維護階段和更新階段;從資訊系統管理的維度來看,對系統的管理與控制活動貫穿於資訊系統生命週期的始終,主要是通過有效執行一系列健全有效的規章制度和管理規程來實現。
2、廣州地鐵資訊系統審計實施框架
結合廣州地鐵資訊化專案多、系統更新快、資料整合度高、系統控制與手工控制並重等特點,圍繞資訊系統構成要素、資訊系統生命週期和資訊系統管理三個維度,廣州地鐵將資訊系統審計的內容劃分為整體計算機控制審計、應用控制審計和系統建設效能評價三個方面。其中,整體計算機控制審計是對資訊系統執行中的控制活動進行審計,目的是合理保證由資訊系統支援的業務流程控制是可靠的、生成的資料和報告是可信的。應用系統控制審計是對業務流程中的自動化控制活動進行審計,以合理保證交易的有效性、經適當授權和記錄、完成的完整性、準確性和及時性。專案及系統績效審計是對資訊化專案的過程及成果對企業和業務產生的效益進行審計,用來合理保證資訊化專案的投資 / 產出比例符合建設的目標,以及資訊系統對企業戰略起到的預期的支撐作用。圍繞上述三個方面,廣州地鐵內部審計確立了以下的實施框架。
(1)確立整體計算機控制安全、操作、變更的三個評價維度,圍繞“資訊系統全生命週期”,明確整體計算機控制十個流程。廣州地鐵通過學習和借鑑國際資訊系統技術管理和控制標準 COBIT,建立起了一套自己的整體計算機控制審計框架。框架可按流程和控制型別兩種方式進行劃分,兩種劃分方式在本質上是一致的。在按流程劃分出的每個子流程中,資訊系統審計人員需要從變更、安全、操作的角度去確認和評估具體的控制點;在按控制職能所作的劃分中,審計人員需要圍繞資訊系統的策略與計劃、資訊系統操作、與外部供應商關係、業務可持續計劃、應用系統開發、資料庫、軟體支援、網路、硬體等十個子流程進行審計。
圍繞安全、變更、操作三個角度及十個子流程,廣州地鐵共梳理出有關整體計算機控制的 41 項審計內容,並針對每一項內容明確了控制目標和風險,建立起了一套完整的整體計算機控制矩陣。例如,資訊系統策略和計劃子流程中,廣州地鐵明確了整體計算機控制的三大目標---資訊系統戰略、規劃和預算應與實際業務和戰略目標保持一致,計算機處理環境應得到具有適當技能和經驗的人員的充分支援和保證,以及計算機處理環境中的人員應接受適當的培訓,審計人員在此基礎上針對各控制目標,識別並歸納出廣州地鐵現行的 9 個控制活動。在具體開展資訊系統整體計算機控制審計時,資訊系統審計人員根據審計專案的特點和要求,選擇需要評價的子流程,再對照子流程的控制活動進行評估及測試即可。
(2)從內部控制目標出發,將資訊系統應用控制劃分為訪問控制、完整性控制及資料質量控制三大方面。廣州地鐵將資訊系統的應用控制劃分為應用系統訪問控制、流程和系統完整性控制以及資料質量控制三大類,並針對各類控制分別設計了不同的審計內容。
一是應用系統授權訪問控制審計包括對系統的認證方式、授權機制、許可權的分配管理以及不相容職責分離在系統中的實現情況的審計,目的在於保證經過允許的人才能訪問和作業系統。二是流程和系統完整性控制審計是對系統輸入、處理、輸出以及介面等各種系統執行規則的審計,用以保證所有經允許處理的資料均轉換到介質上並被處理,且處理的結果可通過適當的方式加以輸出,所有輸入、轉換、處理和輸出均在正常的時間內準確地進行。三是資料質量控制審計則是指對資訊系統中的資料的完整性、規範性和有效性所進行的審計,旨在保證所有系統的輸出均反映為經批准的有效的經濟業務,所有經過系統的資料真實、有效,且能滿足企業各項業務的使用要求。
(3)圍繞“資訊化專案”和“資訊系統”,綜合評價資訊化建設的效益。在開展整體計算機控制審計和應用控制審計的基礎上,廣州地鐵從企業經營和投資效益的視角出發,在資訊系統審計中引入了 3E 審計的概念,嘗試對資訊系統建設專案的成效、建成後系統的應用效能以及資訊化對戰略的支撐效果進行審計。為了全面評價專案,廣州地鐵通常將對單個資訊系統建設專案的合規性審計與專案效能審計結合在一起開展。
一是資訊系統建設成效審計旨在通過對系統建設全過程的審計,促進資訊系統的建設規範性,提高資訊系統建設的質量。二是資訊系統應用效能審計包括對業務需求的實現情況、建成功能的使用情況的審計分析,以及對系統應用對業務管理規範化、標準化和精細化提升作用的綜合評價,目的在於促進系統使用價值的最大化,減少系統建設的投資浪費。三是戰略支撐效果審計是從支援戰略實現的角度,評價資訊系統的建設效益,保證資訊化建設在符合業務管理要求的同時,符合公司戰略的需要,支援公司戰略的實現。
四、資訊系統審計實施步驟
資訊系統審計步驟(或流程),是審計工作從開始到結束的整個過程。資訊系統審計流程一般可劃分為四個階段:計劃階段、實施階段、報告階段和後續階段。計劃階段是資訊系統審計流程的起點,此階段的主要工作包括瞭解被審計系統的基本情況,初步評價被審計單位資訊系統的內部控制和外部控制,識別重要性和編制審計計劃。實施階段是根據計劃階段確定的審計範圍、重點、步驟和方法進行有針對性的取證、評價,並形成審計結論的過程。實施階段是資訊系統審計工作的核心,主要由符合性測試和實質性測試兩個部分構成。在報告階段,資訊系統審計人員需運用專業判斷,整理、評價收集到的審計證據,以經過核實的審計證據為依據,形成審計意見,出具審計報告。審計報告的出具並不意味著資訊系統審計工作的終結。根據國際資訊系統審計標準,資訊系統審計人員對於系統中發現的重大問題和漏洞,需要對被審計單位所採取的糾正措施及其效果進行後續審計。審計人員需要將後續審計納入計劃,並安排必要的人員和時間進行後續審計。
廣州地鐵 IT 審計模組成立之初,即明確了 IT 審計“對公司的系統流程與控制、專案進行審計”和“提供有益於增加公司價值的諮詢服務”兩項核心職責,並圍繞公司戰略,以“風險導向”、“服務戰略”理念為指導,從資訊系統審計戰略規劃和具體專案執行兩個層面分別制定資訊系統審計的流程。
1、以公司戰略為導向,制定資訊系統審計的戰略規劃
一直以來,廣州地鐵奉行“源於戰略、服務於戰略”的現代審計理念。這一理念主要體現在兩個方面:一是在制定內審工作計劃時,從公司戰略出發,制定各個內審業務及各專業審計模組的戰略,並以業務戰略為指導,開展具體的審計工作;二是在開展審計專案的過程中,始終從保障公司戰略執行的角度去發現問題、評價問題,提出整改意見和落實整改。資訊系統審計的戰略規劃來源於公司的戰略,以及以公司戰略指導制定的公司資訊系統戰略規劃和內部審計業務戰略規劃;同時還須結合公司資訊化現狀和 IT 審計模組定位,明確廣州地鐵 IT 審計發展戰略目標。
2、通過風險評估,確定各資訊系統風險等級,制定層次分明、重點突出的資訊系統迴圈審計計劃
為利用有限的審計資源掌握公司主要資訊系統的建設、運營情況,保障資訊資源的有效利用,降低公司資訊系統的整體風險,廣州地鐵建立了一套“根據資訊系統風險評級制定差異化的審計策略”.
(1)梳理資訊系統脈絡,全面掌握資訊系統現狀。廣州地鐵結合資訊系統規劃、建設和運營的情況及系統分類梳理出被審計資訊系統清單,並從系統構成要素的角度收集系統相關的資訊。這些資訊包括系統名稱、功能模組、採用產品等基本資訊,以及專案的建設資訊、系統的使用狀況和運維的基本情況。這些資訊是風險評分的依據,也為後續開展具體審計工作時確定審計方案提供了指引。
(2)開展資訊系統風險評級,制定風險導向型審計計劃。內審人員從通用風險、業務風險、專案風險、系統風險、資料風險和人員風險六大風險類別出發,全面識別資訊系統各類構成要素中存在的風險;對資訊系統進行風險評價,根據風險得分將資訊系統按優先順序分別劃分為高、中、低三類。結合公司 IT 審計資源的情況,對優先等級高的系統採用三年一審策略,中等級系統 5-6 年一個審計週期,風險等級低的系統則根據需要安排審計。在此審計策略的基礎上,再綜合考慮公司業務的十大風險、領導關注事項、上一年度內控評價結果和審計專案成果、公司新一年的工作重點、公司資訊系統的變動情況,並制定出本年度的資訊系統審計計劃。
3、以風險為導向,開展資訊系統審計
在專案實施階段,審計人員必須從公司整體資訊系統控制環境和被審計系統的狀況、流程與內部控制兩個方面進一步收集被審計系統的相關資料,瞭解和確認被審計單位已建立的內部控制措施,並對這些控制措施的設計是否達到控制目標進行評估。
(1)以“輪流迴圈 + 以點帶面”的方式開展整體計算機控制審計。公司的資訊化業務採用統一集中管理的模式,整體計算機控制對各個系統具有一定的通用性。因此,在實務操作中,廣州地鐵採用“以點帶面”的策略,以單個資訊系統整體計算機控制為切入點對整體計算機控制進行審計,評價整體資訊系統的安全性;同時,考慮到資訊系統在一定時間內相對穩定,因此在實施整體計算機控制審計時可採取輪流測試的方式,即每年從十個子流程中選取幾個進行測試,經過一定週期後,完成對整體計算機控制的全面審計。例如,在 2011 年開展的.資訊保安審計專案中,審計人員就圍繞資訊保安這個審計主題,從十個子流程中選取了與資訊保安直接相關的資訊系統操作、資訊系統安全、業務可持續計劃、應用系統開發與實施、資料庫開發與實施和系統軟體支援等六個流程進行審計。分步、迴圈開展整體計算機審計,在審計風險可控的情況下,大大節省了審計資源,也使得審計人員能夠更加深入地挖掘和分析整體計算機控制方面所存在問題以及問題的成因,提出更為切實可行、同時又符合公司資訊化業務發展現狀和要求的整改措施。
(2)以風險為著眼點,確定應用控制審計重點。應用控制是各個資訊系統內部所建立的控制機制,應用控制審計必須針對某個具體資訊系統開展。在開展應用控制審計的過程中,審計人員應緊緊圍繞“風險”這個著眼點,通過對原有業務成熟度和系統建設過程中風險的評估,選擇不同的審計側重點開展應用控制審計。例如,在合同管理系統審計專案中,由於合同管理系統是全新開發的系統,審計人員經分析,判定系統在應用系統訪問控制方面的風險較高。而在進行控制評估和測試後,審計人員發現業務人員在建立系統許可權設定機制時完全套用了公司辦公自動化系統的許可權機制,而未針對合同業務流程中不同於公司組織架構下的角色設立相應的使用者組,導致系統無法實現合同經辦人與審批人職責的分離,存在重大的內控風險。
五、資訊系統審計方法
在資訊系統審計中,可因地制宜,綜合運用多種學科的技術方法,包括:傳統審計中內部控制測評的基本方法和審計取1、核對、監盤、觀察、查詢、函證、計算、分析性複核);電腦科學的技術方法,如資料測試法、程式編碼審查法、受控處理法、受控再處理法、整體測試法、平行模擬法、程式比較法、漏洞掃描、入侵檢測、嵌入審計程式法等等;行為科學的技術方法,如運用組織發展的理論與方法、個體行為一般規律的理論和方法。這些方法與技術並不是孤立的,而是互相聯絡的。
目前,廣州地鐵在資訊系統審計中所運用的方法仍主要集中在傳統的內控審計方法和資訊系統管理的技術方法兩個領域,具體包括詢問、觀察、檔案複核、抽樣、重新執行、使用計算機輔助軟體等。在部分專案中,也採用了一些電腦科學的技術方法。受限於審計資源不足,廣州地鐵較少採用程式比較法、平行模擬法、程式編碼審查法等高成本的審計方法,而傾向於選用一些較為高效的測試方法。但這些高效方法的運用不能完全消除審計風險,這就需要審計人員根據自身的經驗儘量避免。
1、傳統審計方法的運用
廣州地鐵在開展資訊系統審計過程中較多運用傳統審計的方法。例如,在對資訊系統整體計算機控制進行審計時,通過對系統使用人員的訪談、調研和對系統各項操作的觀察,梳理出整體計算機控制相關的各種控制活動。在沒有測試環境的情況下對生產在用資訊系統的人機互動介面和功能進行調查和確認時,審計人員大量運用了觀察的方法。在對固定資產資訊系統模組進行審計中,審計人員通過觀察物資採購人員、資產管理人員、會計核算人員在系統中的操作介面、系統實現效果以及業務操作流程來了解系統功能的構造。發現採購中的供應商資訊在跨系統流程過程中丟失,導致財務系統和實物管理的MAXIMO 系統的資產臺賬中均缺少供應商資訊,致使日後採購同類物資時,採購人員無法獲取歷史採購資訊作為參考,增加了市場調研成本。除內控矩陣和訪談、觀察等方法之外,編制流程圖、資料流圖和報表流圖也是資訊系統審計經常使用的方法。
2、計算機科學技術方法的運用
計算機科學技術方法是資訊系統審計特有的方法,來源於IT 行業的資訊科技的轉換應用,主要包括基於資料分析的方法和基於程式分析的方法,這些方法的綜合使用使得對資訊系統的審計更加有效。具體方法的選用需視被審計系統的實際情況而定。在一個審計專案中,廣州地鐵審計人員經常將多種方法結合使用。例如,在票務收入系統審計專案中,審計人員首先採用資料測試法,使用正常及非正常的測試地鐵票搭乘地鐵,在系統中跟蹤測試票的處理情況,以驗證系統處理與控制功能是否均有效;在對系統中後期內部開發的車站單程票售賣功能進行審計時,審計人員採用了程式編碼審查法,對系統的源程式編碼進行審查,審查後發現單程票售賣金額統計報表在進行資料處理時省略了小數點後的尾數,導致報表金額存在偏差;在對票務系統的清分報表進行驗證時,審計人員又採用了平行模擬法,抽取系統中一段時間內的正式交易記錄,在系統外模擬系統的處理規則對交易記錄進行處理,並將處理結果與系統的報表資料進行核對,結果發現系統在資料傳遞和處理過程中,由於系統對於異常資料的稽核過於嚴格,導致部分正常資料被當作垃圾資料丟進異常庫,給公司造成票務損失。
3、計算機輔助審計軟體的應用
計算機輔助審計軟體的應用是資訊系統審計的一個顯著特點,也是審計人員準備階段需要重點關注的問題之一。目前,廣州地鐵對計算機輔助審計軟體的應用主要體現在以下兩個方面。
(1)對系統中資料的準確性、完整性和一致性的檢查。例如,在合同管理系統審計專案中,為核對系統介面程式的可靠性,審計人員利用審計輔助軟體快速完成了對合同系統和財務系統資料一致性的核對,迅速查找出兩個系統中不一致的資料。經過深入分析,審計人員發現由於財務核算人員在財務系統中複核合同支付資料時發現錯誤,將支付申請退回給合同系統再由合同經辦人重新填報時,合同系統未對已生成的支付資訊進行更新,導致上述問題的出現。針對海量資料處理系統,資料驗證是審計的重點,計算機輔助軟體是“不可或缺”的審計工具。在地鐵票務收入保障審計專案中,審計人需要通過資料驗證的方式對業務處理的核心繫統--自動售檢票(AFC)系統中的系統傳輸和處理機制進行驗證。為此,審計人員共設計了 8大類 29 子類 47 個數據驗證主題。審計時,審計人員運用計算機輔助審計技術,在兩個月內完成了對 AFC 系統中 10 天總計超過 3 億條運營資料的驗證工作。
(2)利用計算機輔助軟體進行對比測試。即審計人員從資訊系統中抽取某部門樣本資料,將樣本資料輸入到與計算機輔助軟體中進行處理,把審計軟體輸出的結果與業務系統產生的結果進行對比分析,以判定業務系統的可靠性與準確性。廣州地鐵在已開展的運營票務收入保障審計專案中大量地使用了此種方式。審計人員將各車站站務人員在票務系統中錄入的售票資料匯入到計算機輔助軟體中,按照業務規則對資料進行處理,將處理結果和系統輸出的結果進行對比。經對比,審計人員發現票務系統在處理異常資料時過於嚴格,導致部分非異常資料被系統當作異常資料丟入異常庫中,給公司造成票務損失。
4、資訊系統審計與業務內控審計相結合
企業管理流程資訊化的過程中,會對原有的業務流程進行優化甚至重構。對原有手工流程的內控評價在資訊化環境中可能不再適用。因此,廣州地鐵在資訊系統審計中添加了對業務流程的內控評價---先對業務的內部控制情況進行評估,梳理並確定業務流程風險和關鍵控制點,再對照業務流程對系統的處理流程進行評價,確保資訊系統審計評價的準確性。資訊系統審計與業務內控審計相結合的方法還體現在對一個流程中未在資訊系統實現的控制環節可以通過內控審計進行補充。實踐表明,資訊系統審計與業務內控審計相結合的方法在很大程度上提高了審計的全面性。
由於資訊科技自身的特點,例如電子資料的不可視性,加之被審計單位資訊系統內部控制方面可能存在缺陷以及資訊系統審計人員在專業技術和職業道德方面亦不完美,資訊系統審計風險客觀存在。面對資訊系統審計風險,需要審計人員通過深入調研,全面瞭解被審計系統的情況;需要培養專業人才,“以點帶面”提升團隊能力;結合企業發展情況,制定內部資訊系統審計標準;利用審計軟體,降低抽樣風險,提高審計效率等多種措施,不斷降低審計過程中的檢查風險,提高審計質量。
【參 考文獻】
[1] Ron r,Information Systems Control and Audit,1sted,NJ:Prentice Hall,1998.
[2] S. Anantha Sayana:The IS Audit Process[J] ISACA Jour-nal,2002(1)。
[3] Craig S. Wright:The IT Regulatory and Standards Com-pliance Handbook:How to Survive Information Systems Auditand Assessments,1st ed,MA:Syngress, 2008.
[4] Robert E. Davis:Information Systems Auditing:The IS Au-dit Planning Process,3rd ed,2010.
[5] Jack J. Champlain:Auditing Information Systems[J].2nd ed,NJ:John Wiley&Sons,2003.
[6] 盧 紅 柱 :計 算 機 信 息 系統 審 計 的 探索 之 路[J].審 計 研 究 ,2006(增 刊 )。
[7] 王 進 波 、 常 衛 : 信 息 系 統 審 計 的 發 展 與 現 狀 [J]. 財 政 監 督 ,2008(4)。
[8] 陳 繼 初 :信 息 系 統 審 計 在 我 國 的 現狀及 存在 的 問題[J].消 費導刊,2008(12)。
[9] 吳沁紅:資訊系 統審計內容分析[J].財會研究,2008(10)。
[10] 胡 曉 明 : 信 息 系 統 審 計 理 論體 系的 構 建 [J]. 中 國 注 冊 會計師,2006(6)。
[11] 王豔、周劍:資訊系統審計辨析[J].圖書情報工作,2004(48)。
[12] 田佳林:資訊系統審計簡述[J].財政監督,2008(4)。
[13] 陳 婉 玲 、楊 文 傑 :COBIT 及 其 在 信 息 系 統 控 制與 審 計 中 的應用[J].審計研究,2006(增刊)。
[14] 趙 靜 :COBIT 框架 在 IT 審 計 中 的 應 用 [J]. 中國 內 部 審 計 ,2009(12)。
[15] 張妍:資訊系統審計方法研究[J].審計月刊,2010(11)。
[16] 劉 傑 、羅繼 榮 :信 息 系統 審 計 質量控 制 準則 研究[J].財會 通訊,2011(5)。
[17] 王 振 武 、張 子 瑾 :信 息 系統 審 計 理 論 結構 框架 研究[J].會 計之友,2011(7)。
[18] 薛富平:資訊系統審計風險[J].財會研究,2007(3)。
[19] 徐 經 緯 :淺談 計 算 機 審 計 風 險評 價 及 其 防 範對 策[J].經 濟 研究導刊,2009(16)。