如何应对信息系统审计技术与方法的困境

　　保障数据的关口前移。数据采集是开展信息系统审计的基础，是一个复杂的系统化的过程。在采集数据之前，必须做好详尽充分的准备工作：深入调查被审单位信息系统的建设、运行情况；收集系统设计文档、数据库设计文档；从内控制度、数据流程和财务报表入手，明确提取数据范围。其中在分析财务报表方面可开发专用模型分析，不但有利于业务人员进行各指标的趋势分析，同时有利于推广报表分析经验。
　　传统的内控审计方法仍然有效。针对信息系统中隐式的内部控制，不能一味追求计算机技术与方法，仍然要采用传统的内控测试方法，具体包括编制《内控测评调查问卷》、审查管理办法、审计访谈等，只有这样才能看得见、摸得着。首先应全面收集被审单位的内控管理制度、社会审计和内审报告等资料，根据审计目标结合被审单位各部门职责完成内控调查问卷；审查信息系统开发和测试中的审评结果和修改意见等，然后采取突击审计的方式，采用事先不通知操作员或程序员的情况下，把系统中正在运行的数据和日志记录拷贝出来进行审查，以验证信息系统内控制度是否合理、各环节数据流转是否脱节，是否存在监控盲点等。
　　利用外部数据验证接口的逻辑关系。应全面检查系统接口、系统间数据传输的风险及薄弱环节。着重对被审计单位系统接口的传输情况进行了调查，同时应用外部关联数据法，通过分析系统与关联系统（接口）的逻辑关系，将系统间的数据进行比对，验证关键数据的一致性，并关注数据的差异点，以审查信息系统间的数据不完整、不对称问题。值得一提的是，信息系统设计应严格按照国家标准进行设计与开发，如《财经信息技术会计核算软件数据接口》(GB/T 24589-2010)。由于信息系统数据接口的不统一，不仅增加了审计的难度，更妨碍了信息系统审计的迅速发展。
　　以项目开展驱动人才建设。我国信息系统审计还处在初级阶段，项目的安排对信息系统审计的发展和信息系统审计人才的建设起到至关重要的作用。2010年至2011年，审计署共开展企业审计项目22个，其中制造业占50.00%，建筑业占18.18%，采矿业、电力及煤气的生产和供应业、信息传输业各占9.09%，交通运输、仓储及邮政业占4.55%。总的来说被审计单位行业较为分散，各审计项目之间缺乏借鉴意义；同一行业连续开展信息系统审计的情况不多，信息系统审计缺乏延续性，这些都对企业信息系统发展和人才队伍建设产生了不利影响。所以在企业信息系统审计项目的选择过程中，应考虑企业的信息化发展水平、企业的财务、业务与信息化的结合程度以及企业信息化的风险等相关因素，来加以综合考虑。另一方面应综合考虑项目安排对信息系统审计的发展与信息系统审计人才的建设。