【摘要】信息系統(tǒng)審計是伴隨計算機信息技術(shù)與審計不斷發(fā)展進步應(yīng)運而生的。同國際信息系統(tǒng)審計的發(fā)展相比較，我國對此的研究和發(fā)展還比較滯后。本文闡述了信息系統(tǒng)審計的發(fā)展歷程和國內(nèi)外的研究現(xiàn)狀，并對我國信息系統(tǒng)審計所存在的幾點問題進行了分析。

【關(guān)鍵詞】信息信息系統(tǒng)審計問題

一、對信息系統(tǒng)審計的一般認識

（一）信息系統(tǒng)審計的發(fā)展歷程

審計是經(jīng)濟社會發(fā)展到一定階段的產(chǎn)物，隨著經(jīng)濟和社會不斷變化，計算機信息技術(shù)不斷發(fā)展進步，信息系統(tǒng)審計也應(yīng)運而生并不斷發(fā)展。信息系統(tǒng)審歷經(jīng)形成、建立到逐漸完善，低級到高級歷史進程，具體可劃分為萌發(fā)階段、拓展階段、成熟階段、普遍提升階段。

1.萌發(fā)階段。上世紀中葉，信息系統(tǒng)審計（以下簡稱ISA）處于萌芽階段。IBM出版了《電子數(shù)據(jù)處理環(huán)境下的審計》；美國注冊會計師協(xié)會（以下簡稱協(xié)會）出版了《會計審計和計算機》，闡述了如何進行電子數(shù)據(jù)下信息系統(tǒng)審計與傳統(tǒng)外部審計，指出新的電子數(shù)據(jù)下內(nèi)部審計的規(guī)范、組織方式等。此時ISA又被稱為電子數(shù)據(jù)處理審計（EDPA），也就是以計算機為核心的審計。1969年，信息系統(tǒng)審計與控制協(xié)會（以下簡稱ISACA）在美國成立，標志著國際社會正式開始對ISA的研究。

2.拓展階段。二十世紀七十年代，不斷出現(xiàn)的計算機犯罪促使ISA的拓展。1974年，協(xié)會制定了電子數(shù)據(jù)處理審計的標準并記錄于《內(nèi)部管理的調(diào)查與評價對EDP的影響》一書中。1977年，內(nèi)部審計師協(xié)會發(fā)表《系統(tǒng)可審計性及規(guī)則的研究》（SAC報告），該書匯總了針對歐洲、美國、加拿大與日本等國家的企業(yè)所展開的調(diào)研情況，同時指出審計執(zhí)行工具取得的成就。1975年，日本ISA委員會成立并且在1976年發(fā)表多部與信息系統(tǒng)審計相關(guān)的書籍：《使用電子計算機的會計組織的內(nèi)部規(guī)則質(zhì)問書（修訂案）》、《EDP審計標準及審計過程試案》和《EDP審計方法》等。1978年，信息系統(tǒng)審計師（CISA）考試與資格認證開始實施，這標志著ISA的深入拓展。

3.成熟階段。信息系統(tǒng)審計發(fā)展的成熟期是八十年代。1982年，日本通產(chǎn)省設(shè)立計算機安全研究會，對健全信息化的必要法規(guī)進行研究。1983年，發(fā)表緊要課題——《有關(guān)計算機的安全對策》。1984年，日本ISA協(xié)會研究美國的ISA標準并于1985年發(fā)布《IT審計標準》，同時將IT審計師考試加入計算機水平考試中。

4.普遍提升階段。ISA在二十世紀九十年代不斷普及。這一時期，ISACA不斷拓展擴大，一百六十多個分會遍布全球，擬定并頒發(fā)ISA法則與實務(wù)指南，同時積極推廣CISA資格考試。1992年，EDP審計委員會在國際最高審計組織（INTOSAI）的推動下成立了，因此又被稱為INTOSAI-EDP委員會。2002年11月將其變更為INTOSAI-IT委員會。

信息系統(tǒng)審計的拓展提升，一方面使得傳統(tǒng)審計技術(shù)不斷擴展改變并應(yīng)用廣泛；另一方面整個社會依賴計算機信息系統(tǒng)越來越緊密促使信息系統(tǒng)審計越來越重要，信息系統(tǒng)審計代表了未來審計發(fā)展的一個重要方向。

（二）信息系統(tǒng)審計的涵義

全球信息系統(tǒng)審計領(lǐng)域內(nèi)的著名專家Ron A. Weber指出，信息系統(tǒng)審計是審計人員經(jīng)被審計單位的授權(quán)或者委托，收集、整合證據(jù)，從而評估一個計算機信息系統(tǒng)能否有效地維護資產(chǎn)、保護數(shù)據(jù)完整性，同時最有效地實現(xiàn)組織目的的活動進程。它包含信息系統(tǒng)外部審計的鑒證目標和內(nèi)部審計的管理目標，具體來講是鑒證被審單位數(shù)據(jù)的完整性與資產(chǎn)的安全性以及信息系統(tǒng)的有效性。日本通產(chǎn)省情報協(xié)會將其概述如下：為了信息系統(tǒng)的有效、安全與可靠，由獨立審計對象之外的IS審計師，以客觀的立場對以計算機為主的信息系統(tǒng)展開全面的檢查與評估，同時對所審計單位的最高領(lǐng)導(dǎo)提出意見和建議的一系列的活動。鄧少靈學(xué)者指出，IT審計是從規(guī)劃、研究、實行到執(zhí)行維護各個階段展開對信息系統(tǒng)的審查與評估，從而審查信息系統(tǒng)的有效、安全與可靠，以此來保障信息系統(tǒng)得出的數(shù)據(jù)精確可靠。

以上學(xué)者對信息系統(tǒng)的定義雖然不盡一致，但通過分析可以發(fā)現(xiàn)信息系統(tǒng)審計的一些要點：

1.信息系統(tǒng)審計的目標是判斷信息系統(tǒng)能否有效保護公司資產(chǎn)，提高企業(yè)經(jīng)營效率和企業(yè)核心競爭力。

2.信息系統(tǒng)審計是一個過程，這個過程需要涵蓋企業(yè)信息系統(tǒng)從規(guī)劃、開發(fā)、實施到運行維護的每一個階段。

3.信息系統(tǒng)審計報告面對的對象是企業(yè)經(jīng)營管理負責人，因為信息系統(tǒng)關(guān)系到企業(yè)的日常運營以至生存發(fā)展。

綜合上述幾個要點，筆者總結(jié)出，信息系統(tǒng)審計是對企業(yè)信息系統(tǒng)規(guī)劃、研發(fā)、實行、執(zhí)行維護與實現(xiàn)組織目標的效率進行審計的過程，在這個過程中，信息系統(tǒng)審計人員應(yīng)該對信息系統(tǒng)能否有效保護公司資產(chǎn)，提高企業(yè)經(jīng)營效率以及企業(yè)核心競爭力作出判斷，并向企業(yè)經(jīng)營管理負責人如實報告。

二、信息系統(tǒng)審計的研究現(xiàn)狀

（一）國外研究現(xiàn)狀

上世紀中葉末期，加拿大、美國等多國學(xué)者便開始專門探討有關(guān)信息系統(tǒng)審計的問題。1961年，出版了《電子數(shù)據(jù)處理與審計》一書，這是首部關(guān)于計算機信息系統(tǒng)審計的著作。1976年，戴維斯、仁德和邁爾合著的《計算機控制與審計》一書發(fā)表，該書全面系統(tǒng)地討論了有關(guān)設(shè)置與評價電算化系統(tǒng)內(nèi)部控制的問題。隸屬于協(xié)會的審計準則委員會（ASB）時刻關(guān)注IT如何影響審計工作。2001年4月，ASB公布第94號準則，即SAS no.94。該準則規(guī)范了三個方面的問題：其一，IT對企業(yè)內(nèi)部控制的影響；其二，IT對會計師了解內(nèi)部控制程度的影響；其三，IT對會計師評價審計風(fēng)險的影響。同時，SAS no.94指出，IT的應(yīng)用會影響控制環(huán)境、風(fēng)險評估、控制活動、會計記錄、信息交換及監(jiān)控這幾大內(nèi)部控制的組成要素。SAS no.94認為現(xiàn)代企業(yè)可以多種方式使用IT系統(tǒng)，比如某一特殊單元運用互相獨立的系統(tǒng)來支持、共享數(shù)據(jù)運用高度集成化的復(fù)雜系統(tǒng)等；指出確定、計量、記載、報告所產(chǎn)生的企業(yè)交易這些工作則可運用IT系統(tǒng)來完成。企業(yè)的業(yè)務(wù)流程應(yīng)隨著企業(yè)信息化的進步而發(fā)生變化。IT系統(tǒng)中的內(nèi)部控制大多數(shù)是自動化與人工的結(jié)合體，而且人工控制有時獨立于IT系統(tǒng)之外，因此有必要將IT系統(tǒng)中的信息導(dǎo)入來評價該系統(tǒng)能否有效實行。

（二）國內(nèi)研究現(xiàn)狀

目前，我國還停留在信息技術(shù)對傳統(tǒng)審計、會計的影響與沖擊方面。近年以來，我國行業(yè)的信息系統(tǒng)建設(shè)中迷茫、混亂、系統(tǒng)質(zhì)量低劣乃至失敗等現(xiàn)象屢次出現(xiàn)。眾多學(xué)者認為有必要及時地對信息系統(tǒng)展開審計。2001年11月，《國務(wù)院辦公廳關(guān)于利用計算機信息系統(tǒng)開展審計工作的有關(guān)問題的通知》與《審計法實施條例》規(guī)定：審計機關(guān)有權(quán)對被審單位有關(guān)財政收支的計算機信息系統(tǒng)進行檢查；2003年5月1日，信息產(chǎn)業(yè)部頒布實施《信息系統(tǒng)工程監(jiān)理工程師資格管理辦法》、《信息系統(tǒng)工程監(jiān)理單位資質(zhì)管理辦法》與《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》。這三部法規(guī)使得我國信息系統(tǒng)建設(shè)的質(zhì)量控制有了法律依據(jù)。

李丹（中國大陸通過ISACA主辦的CISA考試第一人）的《信息系統(tǒng)審計——傳統(tǒng)審計的一場革命》中指出，信息系統(tǒng)審計是通過被審對象的信息化系統(tǒng)的可靠、安全展開了解、實驗和評價，以此來判斷信息系統(tǒng)對財務(wù)的影響或者提出單獨的信息系統(tǒng)審計報告這一活動過程。

傅元略教授在《計算機信息系統(tǒng)環(huán)境下的幾個審計問題》一文中概述了計算機網(wǎng)絡(luò)會計的涵義，介紹了會計電算化的發(fā)展方向。該書闡述了計算機網(wǎng)絡(luò)會計的涵義與特征；指出企業(yè)在計算機網(wǎng)絡(luò)化環(huán)境中應(yīng)有的創(chuàng)新；認為面對企業(yè)競爭，社會環(huán)境與顧客、供應(yīng)商的變化，會計信息系統(tǒng)能夠及時作出反應(yīng)，探討了計算機網(wǎng)絡(luò)會計與企業(yè)信息化、電子商務(wù)的關(guān)系問題以及網(wǎng)絡(luò)化環(huán)境下會計職能的問題。

甄阜銘的《網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)內(nèi)部控制的探討》一文指出網(wǎng)絡(luò)環(huán)境下的會計信息系統(tǒng)有遭遇非法訪問乃至病毒、黑客攻擊的可能。這種侵擾有可能產(chǎn)生于系統(tǒng)內(nèi)部，也可能產(chǎn)生于系統(tǒng)外部，一旦發(fā)生攻擊將造成巨大的損失。網(wǎng)上交易活動的普遍，電子商務(wù)的迅速發(fā)展，企業(yè)依賴于網(wǎng)上公證機構(gòu)的程度也隨之加強。但現(xiàn)今相應(yīng)的法規(guī)與技術(shù)手段還不完備與規(guī)范，這一情況致使系統(tǒng)內(nèi)部控制的展開極為困難?？傊?，會計信息系統(tǒng)的內(nèi)部控制體系將隨著逐漸成熟的網(wǎng)絡(luò)技術(shù)而發(fā)生深刻改變。同時，這一變化將促使審計理論和實務(wù)發(fā)生巨大的變革。

我國注冊會計師呂博的《信息技術(shù)環(huán)境下審計理論基礎(chǔ)研究》一文，從認定分析信息技術(shù)下審計理論基礎(chǔ)入手，探討了基礎(chǔ)與理論之間的辯證關(guān)系，并對信息技術(shù)下審計理論基礎(chǔ)的特征、內(nèi)容與研究方法進行了整合闡述。他指出審計理論基礎(chǔ)與審計理論相區(qū)別，審計理論具有普遍適用性、高度抽象性、普遍指導(dǎo)性和嚴密邏輯性等特點，而前者不具備這些特征，它只作為連接審計理論和其他學(xué)科理論的紐帶與橋梁。審計基礎(chǔ)理論是與審計應(yīng)用理論相對應(yīng)的且獨立于審計活動的普遍性通用理論。在信息技術(shù)環(huán)境下，計算機技術(shù)廣泛應(yīng)用于經(jīng)濟社會生活的各個領(lǐng)域，這依靠其獨有的高度滲透性，并影響著審計理論基礎(chǔ)的發(fā)展。審計理論基礎(chǔ)在信息技術(shù)環(huán)境下具備了虛擬性、質(zhì)量性、交互滲透性、動態(tài)發(fā)展性與內(nèi)容多樣性等新特征。

孫強學(xué)者發(fā)表了《信息系統(tǒng)審計：安全、風(fēng)險管理與控制》一書。該書結(jié)合我國具體國情，引進、消化與吸收了國際先進的安全風(fēng)險管理和控制的方法論以及最佳實務(wù)。以審計的基本理論為依據(jù)，對內(nèi)部控制及其檢測與評價進行了介紹，著重介紹了深入到信息系統(tǒng)審計中的內(nèi)部控制，根據(jù)信息系統(tǒng)建設(shè)與運行維護生命周期的邏輯關(guān)系，對信息系統(tǒng)的戰(zhàn)略組織與規(guī)劃進行了翔實描述。同時還介紹了計算機技術(shù)基礎(chǔ)平臺建設(shè)、應(yīng)用系統(tǒng)建設(shè)和維護、信息化建設(shè)與運營實務(wù)、災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計劃等內(nèi)容。

但是目前我國還缺乏對信息系統(tǒng)審計尤其是網(wǎng)絡(luò)信息系統(tǒng)審計的系統(tǒng)性研究。

三、我國信息系統(tǒng)審計現(xiàn)存問題分析

（一）我國的信息系統(tǒng)缺乏應(yīng)有的審計接口

對會計信息系統(tǒng)進行審計要求計算機信息系統(tǒng)留有審計接口，以便通過接口取得被審系統(tǒng)的電子信息資料，才能進行有關(guān)的審計處理。雖然《關(guān)于利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》明確規(guī)定“計算機信息系統(tǒng)應(yīng)當具備符合國家標準或者行業(yè)標準的數(shù)據(jù)接口”，軟件協(xié)會財務(wù)及管理軟件分會也規(guī)范了財務(wù)軟件的數(shù)據(jù)接口標準，但事實是許多財務(wù)與管理軟件沒有遵照執(zhí)行。我國現(xiàn)有的計算機信息系統(tǒng)大部分沒有設(shè)置審計軟件接口，當直接訪問信息系統(tǒng)資料時，審計軟件便會受阻。此外，獲取電子信息資料的困難阻礙了計算機輔助審計的發(fā)展。

（二）缺乏勝任會計信息系統(tǒng)的審計專業(yè)人才

信息系統(tǒng)審計與傳統(tǒng)審計工作不同，其具有極強的專業(yè)性。信息系統(tǒng)審計對要求審計人員具有極高的專業(yè)水平，特別是有關(guān)計算機信息技術(shù)的專業(yè)知識。目前，我國的審計人員大都只接受過傳統(tǒng)財務(wù)審計教育，缺少信息技術(shù)方面的專業(yè)知識，因此出現(xiàn)知識結(jié)構(gòu)不適應(yīng)信息系統(tǒng)審計要求的問題。然而，專業(yè)的信息技術(shù)方面的人才對于審計工作卻也是個門外漢。

（三）信息系統(tǒng)審計實踐水平不高

我國對于信息系統(tǒng)審計的實踐水平不高，且多數(shù)集中在電子數(shù)據(jù)的收集與分析上，重視實質(zhì)性檢測階段，這受目前審計工作的發(fā)展水平的限制。在手工會計系統(tǒng)下的財務(wù)報表審計中，審計人員仍在查錯糾弊方面投入主要精力，重視財務(wù)數(shù)據(jù)，卻將被審單位的信息處理系統(tǒng)、內(nèi)部控制忽視。這一弊端直接致使我國落后于國際上的信息系統(tǒng)審計實踐水平。計算機信息環(huán)境中，審計人員只關(guān)注財務(wù)的數(shù)據(jù)載體變化，也就是只注意電子信息替代了手工會計系統(tǒng)下的紙質(zhì)文檔，而對處理這些數(shù)據(jù)的系統(tǒng)環(huán)境的改變?nèi)狈﹃P(guān)注。因此，我國應(yīng)豐富審計工作的層次，同時，審計人員不應(yīng)僅滿足于糾弊查錯而對產(chǎn)生錯弊的制度和管理系統(tǒng)視而不見，應(yīng)做到“知其然”與“知其所以然”。這種不全面的工作方法延伸到信息系統(tǒng)審計中，表現(xiàn)出來的是——信息系統(tǒng)審計的工作重點僅停留在收集與分析電子數(shù)據(jù)上，卻將產(chǎn)生問題電子數(shù)據(jù)的信息系統(tǒng)忽視。

（四）缺失信息系統(tǒng)審計的對應(yīng)制度

近年來，越來越多的國家建立起較為成熟的信息系統(tǒng)審計制度，并依此來展開有效和規(guī)范的信息系統(tǒng)審計，這一制度能與一套成熟的財務(wù)審計準則相媲美來規(guī)范和指導(dǎo)傳統(tǒng)審計業(yè)務(wù)。反觀我國，信息系統(tǒng)審計制度的建設(shè)比較落后，雖然國家已經(jīng)頒布了的一些規(guī)范信息系統(tǒng)審計工作的法律法規(guī)，但這些規(guī)定只針對信息系統(tǒng)審計的某一方面，因此我國缺乏一套完整體系、內(nèi)容全面與合理結(jié)構(gòu)的信息系統(tǒng)審計制度。信息系統(tǒng)審計的不斷拓展壯大必然要求行業(yè)組織總結(jié)實踐經(jīng)驗，固定、統(tǒng)一工作流程、有關(guān)概念和技術(shù)方法，形成行業(yè)統(tǒng)一的規(guī)范和標準。總之，沒有統(tǒng)一的規(guī)范和標準，所有的實踐活動只能在低水平上重復(fù)。

參考文獻

[1]張永雄.信息系統(tǒng)審計產(chǎn)生及發(fā)展研究[J].審計與理財，2005（2）：27-28.

[2]Standyards.Information Systems Audit and Control Association Procedures for IS Auditing，2002（6）：46-50.

[3]鄧春梅，李嘉明，馬寧.信息系統(tǒng)審計及相關(guān)問題分析[J].重慶大學(xué)學(xué)報（自然科學(xué)版），2004，27（6）：151-154.

[4]李丹.信息系統(tǒng)審計——傳統(tǒng)審計的一場革命[J].中國審計，200.

[5]郝曉玲，胡克瑾.信息系統(tǒng)審計的體系框架初探明[J].同濟大學(xué)學(xué)報（社會科學(xué)版），2003，14（5）:71-75.

[6]孫為軍.信息審計應(yīng)用模式的設(shè)計和實現(xiàn)[D].南京:南京航空航天大學(xué)，2003.

作者簡介：王琪（1986-），男，山東聊城人，安徽財經(jīng)大學(xué)2010級情報學(xué)專業(yè)碩士研究生，研究方向：企業(yè)信息資源管理。