(一)數據式審計
數據式審計是以被審計單位底層數據庫原始數據為切入點,在對信息系統內部控制測評的基礎上,通過對底層數據的采集、轉換、整理、分析和驗證,形成審計中間表,并且運用查詢分析、多維分析、數據挖掘等多種技術方法構建模型進行數據分析,發現趨勢、異常和錯誤,把握總體、突出重點、精確延伸,從而收集審計證據,實現審計目標的審計方式。
這種審計模式關注的重點是數據,而不是傳統意義上的賬目,也不是一般審計人員望而生畏的信息系統。
與傳統的審計模式相比,數據式審計模式擴大了審計對象,它包括信息系統的內部控制和電子數據。核心審計方法也由傳統的抽樣和測試方法,改變為對所有采集的數據進行清理、轉換,并建立審計中間表和審計分析模型,對數據進行分析。在審計技術方面,則包括如數據采集、清理和轉換,中間表及審計分析模型技術等。這種模式下的審計程序要求審前調查充分而細致,而審計準備和實施階段的界限則變得不是很明顯。在審前調查階段,審計組對被審計單位進行摸底,并且通過對電子數據的采集、清理、轉換、分析等步驟,確定審計重點和線索,進點以后可以直接帶著線索延伸調查,審計思路明確,效率也得到了提高。
數據式審計主要在于分析既定結果的數據的合理性,但難以解釋數據在信息系統中變化的過程。數據在系統中如何形成、是否被正確處理,則必須依靠信息系統審計中的軟件測試來驗證。
(二)信息系統審計
信息系統審計指的是對用于業務管理和經營決策的信息系統及其內部控制措施以及信息系統生命周期進行的審計。審計的重點是功能模塊的實現與處理規則、算法的合法性效益性、控制的執行與效率,強調檢查與評價各種類型信息系統的合法性、安全性、可靠性和高效性。如果能證明被審計單位信息系統的設計、運行是合法、合理且有效的,將大大減少系統外審計的工作。
信息系統審計是以傳統審計理論為理論基礎的,兩者之間有緊密的聯系,也存在一定的區別。信息系統審計繼承了傳統審計的基本理論與方法,在立場上,要求信息系統審計師站在獨立的立場上,通過選擇特定的審計對象,采用詢問、檢查、分析、模擬、測試等方法獲得客觀的審計證據,來判斷其與既定標準的符合程度。在程序上,信息系統審計一般也要經過審計計劃、符合性測試與實質性測試、審計報告等主要階段來進行審計工作,實現審計目標。
兩者的區別也比較明顯。首先,信息系統的審計對象不同于傳統審計的財務領域,而是信息系統,包括基礎設施,軟硬件管理,信息安全,網絡管理和通信等;其次,信息系統審計提出了更多的審計法與審計程序,這都是傳統審計所不具備的,比如對某軟件進行審計時,要采用技術含量相當高的測試,對網絡安全審計時要采用穿透性測試;第三,信息系統審計不光是事后審計,主要關注系統的運行現狀,在某種情況下,直接參與項目的開發或變更過程,以保證足夠的控制得以順利實施。
信息系統審計與數據式審計都涉及到對系統數據的審計,但兩者對數據的利用角度是不一樣的。數據式審計側重于數據之間的關聯,主要審計數據的結果,而信息系統審計主要關注數據的真實完整性,通過測試數據的真實性、完整性來審計系統的安全性、可靠性。(
