貴州財經(jīng)大學會計學院 劉杰 劉雪晴

信息系統(tǒng)審計理論與審計規(guī)范文獻述評

貴州財經(jīng)大學會計學院 劉杰 劉雪晴

現(xiàn)代審計的主流是以財務報表審計為代表的對會計信息的檢驗，對信息系統(tǒng)審計研究的文獻極其有限，對信息系統(tǒng)審計規(guī)范的研究文獻相對更少。本文對信息系統(tǒng)審計目標、審計內(nèi)容以及審計技術與方法進行回顧與評述，并闡述其對信息系統(tǒng)審計規(guī)范的影響，以期為我國信息系統(tǒng)審計規(guī)范制定夯實基礎，為未來信息系統(tǒng)審計研究提供方向。

信息系統(tǒng)審計 審計目標 審計內(nèi)容 審計技術與方法 文獻綜述

一、引言

同財務審計研究相比，信息系統(tǒng)審計研究相對落后，國內(nèi)學者對信息系統(tǒng)審計的研究文獻相對較少。近年來，隨著“大數(shù)據(jù)”、“互聯(lián)網(wǎng)+”等新研究內(nèi)容的出現(xiàn)，國內(nèi)學者對信息系統(tǒng)審計的關注程度越來越少，在北大核心期刊和CSSCI期刊上發(fā)表的文章相對較少（如表1所示）。信息系統(tǒng)審計是計算機審計的重要組成部分，大數(shù)據(jù)環(huán)境下的數(shù)據(jù)式審計離不開信息系統(tǒng)審計。若將信息處理過程視為生產(chǎn)過程，則信息系統(tǒng)是生產(chǎn)信息的機器，開展數(shù)據(jù)式審計的前提條件為數(shù)據(jù)是真實、可靠的，而信息系統(tǒng)的可靠性是數(shù)據(jù)真實、可靠的前提條件。由此可見，信息系統(tǒng)審計在計算機審計中扮演著十分重要的角色。但截止到目前，信息系統(tǒng)審計規(guī)范仍散落于各項審計規(guī)定之中，國家尚未頒布一套完善的信息系統(tǒng)審計規(guī)范。審計規(guī)范建設的滯后同理論研究的滯后存在極大的關聯(lián)性。因此，需要進一步深化信息系統(tǒng)審計理論研究，厘清兩者之間的關系，為我國制定制定信息系統(tǒng)審計規(guī)范夯實基礎，同時讓更多的學者關注信息系統(tǒng)審計規(guī)范問題研究。

表1 近年來國內(nèi)學者信息系統(tǒng)審計研究文獻統(tǒng)計

信息系統(tǒng)是生產(chǎn)財務數(shù)據(jù)的“機器”，在審計目標、內(nèi)容與方法等方面，與財務審計存在著一定程度的差異。有鑒于此，本文將從信息系統(tǒng)審計目標、基本內(nèi)容以及技術與方法等方面對現(xiàn)有文獻加以梳理與評述，分析其對信息系統(tǒng)審計規(guī)范研究的影響，推動我國信息系統(tǒng)審計規(guī)范的制定，也為未來信息系統(tǒng)審計理論研究和信息系統(tǒng)審計規(guī)范研究提供一些方向。

二、信息系統(tǒng)審計目標與信息系統(tǒng)審計規(guī)范

審計目標的確定是一種主觀見之于客觀的行為，是審計活動的出發(fā)點和落腳點。一方面具體活動本身總是依存于特定的社會政治經(jīng)濟環(huán)境并為其服務，因而，審計目標的內(nèi)容必須反映其環(huán)境的客觀需要；另一方面，審計目標本身又是由認識了周圍環(huán)境的客觀需要的理論工作者結合其內(nèi)在功能而確立的。本部分將在信息系統(tǒng)審計目標分析的基礎上，論述信息系統(tǒng)審計目標與信息系統(tǒng)規(guī)范之間的關系。

（一）信息系統(tǒng)審計目標的本質分析沒有審計，就沒有受托經(jīng)濟責任；而沒有受托經(jīng)濟責任，也就沒有控制（Mackenzie，1966）。審計是確保受托經(jīng)濟責任有效履行的手段，是一種保證或落實受托經(jīng)濟責任的控制機制（Flint，1988）。蔡春（1991）指出，審計的本質目標就是確保受托經(jīng)濟責任的全面有效履行。信息系統(tǒng)審計是現(xiàn)代審計功能的拓展，不同于傳統(tǒng)財務審計，信息系統(tǒng)審計的對象為被審計單位的信息系統(tǒng)，這仿佛與受托責任履行不存在任何關聯(lián)，但信息系統(tǒng)是處理企業(yè)信息的“機器”，其產(chǎn)生的信息主要服務于組織的管理活動。隨著信息技術在社會經(jīng)濟中的應用，為更好的履行受托經(jīng)濟責任，開展財務報告審計、績效審計、環(huán)境審計等，對財務報告等信息產(chǎn)生的載體進行審計變得十分重要。信息系統(tǒng)審計與財務報表審計、環(huán)境審計等的關系如同生產(chǎn)產(chǎn)品的機器與產(chǎn)品一樣，對生產(chǎn)產(chǎn)品的機器進行維修，其最終目標是生產(chǎn)更好的產(chǎn)品。信息系統(tǒng)審計的本質也是一種控制活動，其目的在于保證對信息系統(tǒng)的資產(chǎn)保全責任以及對信息系統(tǒng)運行效率等受托責任的全面、有效履行。信息系統(tǒng)審計過程是一個控制過程。信息系統(tǒng)審計師將收集的有關被審計單位信息系統(tǒng)運行活動的數(shù)據(jù)，與已有的相關內(nèi)部控制規(guī)定以及其它法律規(guī)范或者是手工處理的結果等進行比較，來判斷被審單位是否在信息系統(tǒng)中嵌入了非法的內(nèi)部控制措施，是否對計算機硬件、軟件等資產(chǎn)履行了保全責任等，并將結果及時傳遞給管理當局、政府部門與社會公眾，通過管理當局控制活動、政府部門的監(jiān)督活動以及社會公眾輿論監(jiān)督等對被審計單位的行為施加影響，以實現(xiàn)對被審單位的經(jīng)營管理過程的控制。因此，筆者認為信息系統(tǒng)審計的本質目標仍然是確保受托經(jīng)濟責任的全面有效履行。

（二）信息系統(tǒng)審計的具體目標信息系統(tǒng)審計的具體目標隨著周圍客觀政治經(jīng)濟環(huán)境的變化而變化，隨著審計對象以及人們主觀認識程度的提高而提高。對于信息系統(tǒng)審計的具體目標，國內(nèi)外學者或機構不存在統(tǒng)一的觀點。國際信息系統(tǒng)審計協(xié)會（ISACA）認為信息系統(tǒng)審計的具體目標是確定資產(chǎn)得到適當保護，數(shù)據(jù)完整和具有可靠性、有效性、效率性。Strous（1998）認為，信息系統(tǒng)審計目標包括可靠性、安全性、效率性和效果性等內(nèi)容，審計人員需要在保證獨立性的基礎上對被審單位的信息系統(tǒng)做出客觀、公正的評價。吳沁紅（2002）認為，信息系統(tǒng)審計目標包括安全性、可靠性、有效性和效率性等內(nèi)容，這同Strous（1998）所提出的觀點基本一致。Wulandari（2003）認為信息系統(tǒng)審計的目標是評估和報告系統(tǒng)內(nèi)部控制、效率性、經(jīng)濟性以及安全性等。劉汝焯（2007）認為信息系統(tǒng)審計目標包括三個方面：評價被審單位數(shù)據(jù)的真實性與完整性；評價被審單位信息系統(tǒng)的漏洞與薄弱環(huán)節(jié)；審計評價被審單位信息系統(tǒng)的功能。唐志豪（2007）認為信息系統(tǒng)審計的總體目標與財務審計的總體目標是一致的，即信息系統(tǒng)受托責任的履行情況，而其具體目標包括行為責任目標與報告責任目標兩個方面。莊明來、吳沁紅、李?。?008）認為信息系統(tǒng)審計目標是對被審單位信息系統(tǒng)的安全性、可靠性、有效性和效率性發(fā)表審計意見。我國于2008年頒布了《內(nèi)部審計具體準則第28號——信息系統(tǒng)審計》，在該準則中，將信息信息系統(tǒng)審計的目標定位于對被審計單位信息系統(tǒng)是否達成信息技術管理目標進行全面、綜合的評價。陳耿、王萬軍（2009）認為，信息系統(tǒng)審計的目標包括真實性、完整性、合法性、安全性、可用性、可靠性、保密性、效果、效率和效益。張金城、黃作明（2009）認為，信息系統(tǒng)審計的目標包括資產(chǎn)完整性、數(shù)據(jù)準確性、系統(tǒng)有效性和效率性四個方面。謝岳山（2009）認為聯(lián)網(wǎng)環(huán)境下的信息系統(tǒng)審計目標包括兩個方面，即一方面對事關國計民生的重要信息進行審計，從事后審計轉向事前、事中審計；另一方面，為審計人員開展數(shù)據(jù)式審計提供一個安全、可靠的數(shù)據(jù)審計環(huán)境。崔孟修（2012）對國有企業(yè)信息系統(tǒng)審計目標進行了研究，研究后認為國有企業(yè)的審計目標直接決定著其信息系統(tǒng)的審計目標，即信息系統(tǒng)審計目標為真實性、合法性、效益性等。信息系統(tǒng)審計從本質上講是確保受托經(jīng)濟責任全面履行的特殊經(jīng)濟控制制度。雖然不同的學者或機構對信息系統(tǒng)審計目標所涵蓋的內(nèi)容持不同的觀點，但信息系統(tǒng)審計的目標取決于受托經(jīng)濟責任的分解（如圖1所示）。

圖1 信息系統(tǒng)審計的具體目標

信息系統(tǒng)審計的受托經(jīng)濟責任包括行為責任和報告責任兩個方面。由圖1對信息系統(tǒng)所肩負的受托經(jīng)濟責任進行分解，其具體審計目標也可分解為信息系統(tǒng)的資產(chǎn)保全、安全性、可靠性、有效性、效率性、效益性目標以及報告公允性目標，值得關注的是信息系統(tǒng)審計的資產(chǎn)保全目標與效益性目標。隨著數(shù)據(jù)式審計工作的開展，對信息系統(tǒng)這項特殊資產(chǎn)的保全責任也變得越來越重要。與此同時，“索洛生產(chǎn)率悖論”使人們對“信息技術給組織增加了哪些價值”這個問題有了越來越多的認識，也更加關注信息系統(tǒng)的效益性目標。正如前文所述，信息系統(tǒng)審計的目標也是隨著周圍客觀政治經(jīng)濟環(huán)境的變化而變化的。對信息系統(tǒng)這項特殊資產(chǎn)的安全目標以及效益性目標也將會變得越來越重要。

（三）信息系統(tǒng)審計目標對信息系統(tǒng)審計規(guī)范的影響信息系統(tǒng)審計目標與信息系統(tǒng)審計規(guī)范存在著密切的聯(lián)系，審計目標決定著信息系統(tǒng)審計規(guī)范的內(nèi)容，要實現(xiàn)什么樣的目標，就應制定什么樣的審計規(guī)范；同時也只有制定和實施完善的信息系統(tǒng)審計規(guī)范，才能達到既定的信息系統(tǒng)審計目標。信息系統(tǒng)審計的目標包括行為責任目標與報告責任目標兩個方面，具體包括保全、安全、可靠、控制、效率、效益以及報等。信息系統(tǒng)審計規(guī)范制定機構應當圍繞這些具體目標來制定與發(fā)布信息系統(tǒng)審計規(guī)范。為實現(xiàn)信息系統(tǒng)審計的資產(chǎn)保全目標，在審計規(guī)范中應詳細規(guī)定計算機軟硬件等資產(chǎn)的盤查計劃、盤查程序等內(nèi)容；為保證信息系統(tǒng)審計安全性與可靠性目標的實現(xiàn)，安全管理評審、信息系統(tǒng)風險評估、入侵檢測、病毒及其它惡意代碼、指紋識別控制、安全性評估-穿透測試和弱點分析、系統(tǒng)生命周期評審、應用系統(tǒng)評審等審計指南與審計程序的提供是相當必要的；系統(tǒng)開發(fā)生命周期審計、應用系統(tǒng)內(nèi)部控制評審等規(guī)范的提供，則是為實現(xiàn)信息系統(tǒng)審計的有效性與效率性目標；而信息系統(tǒng)審計報告公允性目標的實現(xiàn)要求，準則制定機構應當制定信息系統(tǒng)審計報告的基本準則與審計指南。因此，制定信息系統(tǒng)審計規(guī)范，必須考慮審計目標的具體要求，并將審計目標反映在審計規(guī)范的各個方面，否則信息系統(tǒng)審計規(guī)范就會脫離審計實踐，不能有效地發(fā)揮審計規(guī)范應有的作用。此外，信息系統(tǒng)審計目標的清晰界定對于指導信息系統(tǒng)審計規(guī)范的界定有著相當重要的作用，即在信息系統(tǒng)審計規(guī)范沒有進行約束的區(qū)域，信息系統(tǒng)審計人員也可根據(jù)信息系統(tǒng)審計目標有計劃、有步驟的開展信息系統(tǒng)審計活動。

三、信息系統(tǒng)審計內(nèi)容與信息系統(tǒng)審計規(guī)范

信息系統(tǒng)審計的對象是被審單位的計算機信息系統(tǒng)，涉及信息系統(tǒng)的各個組成部分。為深入分析信息系統(tǒng)審計內(nèi)容與信息系統(tǒng)審計規(guī)范之間的關系，筆者在回顧國內(nèi)外關于信息系統(tǒng)審計基本內(nèi)容論述的基礎上，以信息系統(tǒng)的組成部分為基礎分析信息系統(tǒng)審計的基本內(nèi)容。

（一）信息系統(tǒng)審計的基本內(nèi)容同信息系統(tǒng)審計的目標一樣，國內(nèi)外學者或機構對信息系統(tǒng)審計的基本內(nèi)容也持不同的觀點。國外信息系統(tǒng)審計所涵蓋的領域比較廣泛，James A.Hall（2000）提出了一個用于確定潛在計算機風險關鍵領域的風險評估模型，并提出信息系統(tǒng)審計與鑒證的關鍵領域包括計算機操作、數(shù)據(jù)管理系統(tǒng)、新系統(tǒng)開發(fā)、系統(tǒng)維護、電子商務和計算機應用幾大部分。ISACA從知識結構的角度認為，信息系統(tǒng)審計可分為六大方面，即信息系統(tǒng)審計程序、IT治理、系統(tǒng)與基礎設施的生命周期、IT服務的交付和支持、信息資產(chǎn)的保護以及業(yè)務持續(xù)和災難恢復，具體到實踐中，信息系統(tǒng)審計存在的形態(tài)包括：信息系統(tǒng)專項審計、為財務審計服務的信息系統(tǒng)審計、信息系統(tǒng)建設項目績效審計等等。國內(nèi)學者（張毅，1989；張金城，1991；黃頌翔，1995；王如燕，1999，馬萬民，1999）早期對信息系統(tǒng)審計的研究主要集中在會計信息系統(tǒng)審計的研究上面，信息系統(tǒng)審計所涵蓋的內(nèi)容并不豐富。2000年以后，國內(nèi)學者開始注重對非財務信息系統(tǒng)審計的研究，信息系統(tǒng)審計的內(nèi)涵與外延也在不斷拓展。王獻鋒（2000）認為計算機信息系統(tǒng)審計的主要內(nèi)容包括計算機程序審計、計算機文件審計和計算機內(nèi)部控制審計。吳沁紅（2008）認為信息系統(tǒng)審計內(nèi)容涵蓋信息系統(tǒng)生命周期的各個階段，從信息系統(tǒng)生命周期維度來看，信息系統(tǒng)審計的內(nèi)容既涉及系統(tǒng)開發(fā)審計又涉及系統(tǒng)運行審計和系統(tǒng)維護審計，包括軟硬件獲取審計、軟硬件管理審計、系統(tǒng)開發(fā)審計、系統(tǒng)維護審計、應用系統(tǒng)審計、應用系統(tǒng)控制審計、應用系統(tǒng)安全審計、災難恢復計劃審計等。中國內(nèi)審協(xié)會（2008）在《內(nèi)部審計具體準則第28號——信息系統(tǒng)審計》中認為信息系統(tǒng)審計通常包括對組織層面信息技術控制、信息技術一般性控制及業(yè)務流程層面相關應用控制的審計。張金城、黃作明（2009）認為信息系統(tǒng)審計主要包括內(nèi)部控制系統(tǒng)審計、系統(tǒng)開發(fā)審計、應用程序審計、數(shù)據(jù)文件審計等內(nèi)容。

盡管國內(nèi)外學者或機構對信息系統(tǒng)審計所涵蓋的基本內(nèi)容存在著不同的觀點，但筆者認為信息系統(tǒng)審計基本內(nèi)容的界定是基于對信息系統(tǒng)組成部分認識的（如圖2所示）。信息系統(tǒng)是由計算機硬件平臺、計算機軟件平臺、應用系統(tǒng)、信息資源、信息用戶和運行規(guī)程組成的以處理信息流為目的的人機一體化系統(tǒng)。軟件平臺與硬件平臺是信息系統(tǒng)運行的基礎，對軟硬件平臺的管理包括軟硬件的獲取、管理與維護，具體到信息系統(tǒng)審計實踐則表現(xiàn)為軟硬件獲取審計、軟硬件管理審計與軟硬件維護審計。系統(tǒng)開發(fā)與運行維護構成了信息系統(tǒng)的生命周期。為提高決策者的決策質量，提高信息系統(tǒng)設計的質量以及信息系統(tǒng)開發(fā)與獲取過程的質量是相當必要的（Boritz，2002），審計人員必須較驗輸出過程是否可靠（Cash et al.，1977；ASCPA，1994；Cullen，1995）。對信息系統(tǒng)生命周期的審計活動包括系統(tǒng)開發(fā)審計、系統(tǒng)交付運行后對應用系統(tǒng)的審計和系統(tǒng)維護審計。對信息資源、信息用戶與運行規(guī)程的管理活動主要體現(xiàn)在企業(yè)或相關部門的內(nèi)部控制制度上面，包括規(guī)劃與組織控制、系統(tǒng)開發(fā)控制、軟硬件控制、操作控制、數(shù)據(jù)資源控制、系統(tǒng)維護控制以及災難恢復控制等一般控制制度和輸入控制、處理控制與輸出控制等應用控制制度，因此，對信息資源、信息用戶與運行規(guī)程的主要審計內(nèi)容表現(xiàn)為信息系統(tǒng)內(nèi)部控制審計；信息系統(tǒng)安全管理與效率、效益和效果評價是信息系統(tǒng)安全運行與持續(xù)運作的重要保障，在信息系統(tǒng)審計實踐活動中，具體表現(xiàn)為信息系統(tǒng)完全審計和信息系統(tǒng)績效審計。

圖2 信息系統(tǒng)審計的基本內(nèi)容

由上可見，信息系統(tǒng)審計的基本內(nèi)容應當包括信息系統(tǒng)內(nèi)部控制審計、應用系統(tǒng)生命周期審計、信息系統(tǒng)軟硬審計、信息系統(tǒng)安全審計與信息系統(tǒng)績效審計。需要特別指出的是，我國信息系統(tǒng)審計主要是為計算機數(shù)據(jù)審計的開展夯實基礎，提供線索，服務于財務審計。筆者在本文所論述的信息系統(tǒng)審計不僅僅是指為財務審計服務的信息系統(tǒng)審計，而是包括內(nèi)部控制審計、系統(tǒng)生命周期審計、軟件硬審計、安全審計以及信息系統(tǒng)績效審計等內(nèi)容。

（二）信息系統(tǒng)審計內(nèi)容對信息系統(tǒng)審計規(guī)范的影響信息系統(tǒng)審計準則在信息審計中起著相當重要的作用（Boritz，2002）。信息系統(tǒng)審計的執(zhí)行有賴于信息系統(tǒng)審計的內(nèi)容、審計活動的性質、保證審計活動開展的準則與相關實施機制等（J.E.Boritz，2002）。信息系統(tǒng)審計的基本內(nèi)容與信息系統(tǒng)審計規(guī)范在信息系統(tǒng)審計活動的執(zhí)行過程中密切相關。信息系統(tǒng)的組成部分構成了信息系統(tǒng)審計的基本內(nèi)容，而信息系統(tǒng)審計規(guī)范則是圍繞這些基本內(nèi)容制定的。清晰界定信息系統(tǒng)審計的基本內(nèi)容可以促進信息系統(tǒng)審計規(guī)范的完善。相反，若信息系統(tǒng)審計內(nèi)容界定的不清晰在某種程度上會導致信息系統(tǒng)審計規(guī)范的不完善。ISACA是信息系統(tǒng)審計規(guī)范制定的權威機構，其規(guī)范也主要是圍繞著ISACA對信息系統(tǒng)審計內(nèi)容的理解頒布的。ISACA從知識結構的角度認為信息系統(tǒng)審計可分為六大方面，包括信息系統(tǒng)審計程序、IT治理、系統(tǒng)與基礎設施的生命周期、IT服務的交付和支持、信息資產(chǎn)的保護以及業(yè)務持續(xù)和災難恢復。ISACA基本準則中的審計計劃（S5）、審計工作的實施（S6）、審計報告（S7）以及后續(xù)工作（S8）、審計計劃中風險評估的運用（S11）、審計重要性（S12）等是關于信息系統(tǒng)審計程序的規(guī)范，IT治理（S15）、IT控制（S16）是關于IT治理的規(guī)范，ISACA審計指南中的企業(yè)資源計劃系統(tǒng)評審（G21）、系統(tǒng)開發(fā)生命周期審核（G23）等關于系統(tǒng)與基礎設施生命周期的規(guī)范。在審計指南也包括信息系統(tǒng)審計程序、IT治理、IT服務的交付和支持、信息資產(chǎn)的保護等相關指南，本文在此也不進行一一列舉。由此可知，我國欲制定信息系統(tǒng)審計規(guī)范應當對信息系統(tǒng)審計的基本內(nèi)容進行清晰界定。

四、信息系統(tǒng)審計技術、方法與信息系統(tǒng)審計規(guī)范

在ISACA發(fā)布的基本準則《審計報告》（G7）中指出，審計人員的審計報告必須敘述實質性或重大的缺陷，和此缺陷對達到監(jiān)控標準目標的影響。面對龐大復雜信息系統(tǒng)，不借助于計算機工具和技術對信息系統(tǒng)審計，就可能帶來很大的審計風險（莊明來、吳沁紅、李俊，2008）。只有采用適當?shù)膶徲嫾夹g與方法，才能在執(zhí)行信息系統(tǒng)審計時全面充分地了解被審單位信息系統(tǒng)的情況，并有效地開展信息系統(tǒng)審計活動。

（一）信息系統(tǒng)審計技術與方法國外早在20世紀50年代就對信息系統(tǒng)審計技術進行了研究，IBM公司在1956年出版的《The Auditor Encounters Electronic Data Processing》手冊中制定了電子數(shù)據(jù)環(huán)境下的內(nèi)部審計規(guī)則和組織方法，介紹了許多諸如測試數(shù)據(jù)、并行模擬等新的審計技術。美國內(nèi)部審計師協(xié)會在1977年發(fā)表了著名的《系統(tǒng)可審計性及控制制度的研究》，簡稱SAC報告，提出了多種計算機輔助審計技術，是利用計算機對計算機信息系統(tǒng)直接進行審核檢查的開創(chuàng)性探索。Wand&Weber（1989）提出了信息系統(tǒng)中不同層次子系統(tǒng)如何追蹤傳輸變化的模型。這個模型為審計人員提供了一個結構化的方法用于識別控制和審計程序需要修正的地方。ISACA（1998，2008）對計算機輔助審計技術（簡稱CAATs）運用的范圍，采用CAATs需要考慮的因素以及CAATs運用的步驟及范圍等進行了詳細的論述，認為CAATs可運用于交易的詳細測試、分析性復核程序、一般控制與應用控制測試以及穿透性測試之中。ISACA（2010）對CAATs與持續(xù)審計、持續(xù)認證進行了區(qū)別，提出CAATs是各種各樣的自動化審計技術，而持續(xù)審計、持續(xù)認證是一種審計方法，同時，ISACA在其審計指南《持續(xù)認證》（G42）中對持續(xù)審計與持續(xù)認證在審計計劃、審計實施與審計報告中運用的相關問題進行了深入詳細的規(guī)定。

國內(nèi)學者對于信息系統(tǒng)審計技術的研究相對較晚。張金城（1991）鑒于電算化會計信息系統(tǒng)在組織形式、數(shù)據(jù)處理等方面的變化，對電算化會計信息系統(tǒng)審計技術進行了探討。葛世倫（1995）初略闡述了繞過計算機進行審計、透過計算機進行審計和運用計算機進行審計以及信息系統(tǒng)審計技術與類型等。吳沁紅（2002）在回顧國內(nèi)外相關文獻的基礎上，對信息系統(tǒng)審計技術進行了總結，并對綜合測試、快照和系統(tǒng)控制審計復核文件等三種并行審計技術進行了深入分析。莊明來、吳沁紅、李?。?008）基于使廣大審計人員熟悉信息系統(tǒng)審計技術的思路，對信息系統(tǒng)審計初步審查的技術方法進行了描述，同時認為詢問、檢查和觀察等財務審計中經(jīng)常使用的方法在信息系統(tǒng)審計中依然適用，但在執(zhí)行信息系統(tǒng)審計時，詢問、檢查和觀察的內(nèi)容會有所不同。中國內(nèi)審協(xié)會（2008）認為信息系統(tǒng)審計技術與方法包括詢問、觀察、審閱、穿行測試、追蹤交易、驗證系統(tǒng)控制、利用專業(yè)機構審計結果等方面。

相比財務審計而言，信息系統(tǒng)本身的復雜性也使得信息系統(tǒng)審計的技術與方法呈現(xiàn)出復雜性的特征。但目前還沒有一整套審計技術可以全面解決信息系統(tǒng)審計的所有問題（王振武，2009）。綜合國內(nèi)外學者或機構對信息系統(tǒng)審計技術與方法的觀點，信息系統(tǒng)審計技術方法不僅包括在財務審計中試用的詢問、檢查、觀察和函證等審計方法，同時也信息系統(tǒng)審計環(huán)境中所特有的審計技術與方法，包括測試數(shù)據(jù)、綜合測試、平行模擬、審計軟件、嵌入審計程序、快照、追蹤、映像、專家系統(tǒng)、實用軟件、系統(tǒng)文檔審核等技術方法。面對眾多的信息系統(tǒng)審計技術與方法，審計人員或審計機構應根據(jù)被審單位信息系統(tǒng)的特點、信息系統(tǒng)審計的目標以及審計人員的技術水平等合理選擇一種或多種方法執(zhí)行信息系統(tǒng)審計活動。同時，信息系統(tǒng)審計技術與方法選擇的關鍵在于CAATs的選擇。信息系統(tǒng)審計人員在選擇CAATs時應當考慮的主要因素包括信息系統(tǒng)審計人員的計算機知識、技能與經(jīng)驗、時間約束、審計風險水平、信息系統(tǒng)與IT環(huán)境的整合程度、運用CAATs代替手工技術的效率和效果以及可適用的CAATs與信息系統(tǒng)基礎設施等（ISACA，1998，2008）。在準備采用所選擇的CAATs時，信息系統(tǒng)審計人員一般按以下步驟進行（ISACA，1998，2008）：（1）設置CAATs的審計目標，它可能包括在了解被審單位基本情況后認為有必要采用的；（2）確定組織的信息系統(tǒng)設施，包括了解被審系統(tǒng)、被審程序和數(shù)據(jù)的可獲得性和可用性；（3）清楚地了解被審系統(tǒng)處理數(shù)據(jù)的組成，包括數(shù)量、類型、格式和布局；（4）確定采取的程序（如統(tǒng)計樣本、重新計算、確認等）；（5）確定輸出要求；（6）確定資源要求，如審計人員、計算機輔助審計工具與技術、處理環(huán)境（組織的信息系統(tǒng)設施或審計信息系統(tǒng)設施）；（7）獲取對被審單位的信息系統(tǒng)設施、應用程序、被審系統(tǒng)和數(shù)據(jù)，其中包括數(shù)據(jù)文件的定義；（8）CAATs運用的文檔，包括目標、高階流程圖和運行指令。在確定采用CAATs之后，從了解被審單位的基本情況到正確選擇CAATs和相關的測試數(shù)據(jù)，可能需要很多時間，審計人員應當及時與被審單位進行溝通（ISACA，1998，2008）。

（二）信息系統(tǒng)審計技術方法對信息系統(tǒng)審計規(guī)范影響信息系統(tǒng)審計是一項技術性較強的審計活動，其執(zhí)行有賴于信息系統(tǒng)審計技術與方法的選擇，審計技術與方法選擇的正確與否同信息系統(tǒng)審計的成功與失敗密切相關。無論是財務審計準則制定機構發(fā)布的財務審計規(guī)范，還是ISACA、中國內(nèi)部審計協(xié)會等機構發(fā)布的信息系統(tǒng)審計準則都比較重視審計技術與方法的相關規(guī)范。中國注冊會計師協(xié)會在其2006年修訂并發(fā)布的注冊會計師審計準則中，對財務審計方法的相關準則包括《中國注冊會計師審計準則第1311號——存貨監(jiān)盤》、《中國注冊會計師審計準則第1312號——函證》以及《中國注冊會計師審計準則第1314號——審計抽樣和其他選取測試項目的方法》等。而在ISACA所發(fā)布的信息系統(tǒng)審計指南中，為引導信息系統(tǒng)審計人員選擇正確的CAATs，ISACA于1998年發(fā)布了信息系統(tǒng)審計指南第3號——利用計算機輔助審計技術（G3），并于2008年根據(jù)信息技術發(fā)展的現(xiàn)狀對G3進行了更新，在G3中，ISACA對選擇CAATs所考慮的主要因素、步驟等進行了深入詳細的規(guī)定。與此同時，在中國內(nèi)部審計協(xié)會2008年發(fā)布的《內(nèi)部審計具體準則第28號——信息系統(tǒng)審計》中也對信息系統(tǒng)審計人員審計技術與方法的選擇及其相關問題進行了闡述。在當前環(huán)境下，針對信息系統(tǒng)審計技術與方法的復雜多樣性，如何引導信息系統(tǒng)審計人員選擇信息系統(tǒng)審計技術與方法有賴于相關規(guī)范的制定與發(fā)布。

五、信息系統(tǒng)審計理論研究深化建議

上述關于信息系統(tǒng)審計理論與信息系統(tǒng)審計規(guī)范的研究僅僅是起到了“拋磚引玉”的作用，其目的是希望更多的學者關注信息系統(tǒng)審計理論問題研究。在信息系統(tǒng)審計目標、信息系統(tǒng)審計內(nèi)容、信息系統(tǒng)審計技術與方法的指引下，可以從以下方面進行研究：

（一）信息系統(tǒng)審計基本內(nèi)容研究上文對信息系統(tǒng)審計基本內(nèi)部進行了評述，并提出個人的觀點，但上文對于信息系統(tǒng)審計基本內(nèi)容的研究力度是不夠的。雖然信息系統(tǒng)審計與財務審計存在著區(qū)別，但兩者存在著諸多聯(lián)系。一般而言，信息系統(tǒng)審計實質是對內(nèi)部控制的審計，是財務審計或數(shù)據(jù)式審計的前提。如何實現(xiàn)信息系統(tǒng)審計與財務審計的融合，有賴于準確定位信息系統(tǒng)審計基本內(nèi)容。

（二）低成本信息系統(tǒng)審計方法與技術研究信息系統(tǒng)審計內(nèi)容會加大審計人員的工作強度，增加審計成本。因此，開發(fā)低成本的信息系統(tǒng)審計方法與技術是未來研究的一個熱點問題。

（三）信息系統(tǒng)審計評價標準的制定問題評價標準是信息系統(tǒng)審計的基礎。當前，我國尚未制定一套統(tǒng)一的信息系統(tǒng)審計評價標準，審計人員在不同的時點審計同一套信息系統(tǒng)，或者不同的審計人員在審計同一套信息系統(tǒng)時，其所得出的信息系統(tǒng)審計結論往往是不一致的，這與我國信息系統(tǒng)審計評價標準滯后是息息相關的。因此，信息系統(tǒng)審計評價標準的制定也將成為未來研究的一個重要方向。

（四）信息系統(tǒng)審計規(guī)范與注冊會計師審計規(guī)范的整合問題隨著企業(yè)信息化的深入發(fā)展，企業(yè)內(nèi)部控制規(guī)則已經(jīng)逐步嵌入到信息系統(tǒng)中，信息系統(tǒng)審計在注冊會計師對上市公司內(nèi)部控制的審計中扮演著越來越重要的角色。與此同時，注冊會計師進行財務審計的數(shù)據(jù)來源于信息系統(tǒng)，信息系統(tǒng)的可靠性直接決定著財務審計數(shù)據(jù)的可靠性。審計規(guī)范是指導審計人員開展審計工作的指南，信息系統(tǒng)審計規(guī)范是注冊會計師審計規(guī)范不可或缺的重要組成部分。因此，如何整合信息系統(tǒng)審計規(guī)范與注冊會計師審計規(guī)范將成為未來信息系統(tǒng)審計規(guī)范研究的方向。

（五）大數(shù)據(jù)時代下的信息系統(tǒng)審計規(guī)范制定問題人類社會進入21世紀后，信息存儲的介質發(fā)生了深刻變化，審計人員置身于大數(shù)據(jù)環(huán)境之中，“生產(chǎn)”數(shù)據(jù)的信息系統(tǒng)直接決定著數(shù)據(jù)式審計的效果。一旦數(shù)據(jù)式審計開展的前提條件數(shù)據(jù)不可靠，那么數(shù)據(jù)式審計將演變成“數(shù)字游戲”，審計結論也將毫無意義。由此可見，數(shù)據(jù)式審計應當更加重視信息系統(tǒng)審計，而數(shù)據(jù)式審計條件下的信息系統(tǒng)審計的方法、流程也是值得探討的。

（六）注冊會計師審計規(guī)范、政府審計規(guī)范、內(nèi)部審計規(guī)范與信息系統(tǒng)審計規(guī)范的資源整合問題當前，我國的信息系統(tǒng)審計規(guī)范散落于注冊會計師審計規(guī)范、政府審計規(guī)范以及內(nèi)部審計規(guī)范之中，這在成本上是不經(jīng)濟的，也不利于我國制定出一套成熟、完善的信息系統(tǒng)審計規(guī)范。因此，學者們從博弈論、制度學經(jīng)濟的視角分析整合注冊會計師審計、政府審計和內(nèi)部審計的信息系統(tǒng)審計規(guī)范制定資源，以提升我國信息系統(tǒng)審計規(guī)范的科學性與合理性。

［1］謝岳山：《聯(lián)網(wǎng)環(huán)境下信息系統(tǒng)審計的體系結構》，《審計研究》2009年第5期。

［2］吳沁紅：《信息系統(tǒng)審計內(nèi)容分析》，《財會月刊》2008年第10期。

［3］唐志豪：《信息系統(tǒng)審計理論結構研究》，《財會月刊》2007年第3期。

［4］李丹：《美國信息系統(tǒng)審計發(fā)展的歷史和現(xiàn)狀》，《中國審計》2008年第3期。

［5］吳沁紅：《信息系統(tǒng)審計研究》，財政部財政科學研究所2002年博士學位論文。

［5］蔡春：《審計理論結構研究》，東北財經(jīng)大學出版社2001年版。

［6］莊明來、吳沁紅、李?。骸缎畔⑾到y(tǒng)審計內(nèi)容與方法》，中國時代經(jīng)濟出版社2008年版。

［7］陳耿、王萬軍：《信息系統(tǒng)審計》，清華大學出版社2009年版。

［11］蕭應達：《比較審計學》，中國財政經(jīng)濟出版社1991年版。

［12］劉汝焯等編著：《計算機審計——概念、框架與規(guī)則》，清華大學出版社2007年版。

［13］張金城、黃作明：《信息系統(tǒng)審計》，清華大學出版社2009年版。

［14］［美］詹姆斯·A·霍爾（Jame A·Hall）著，李丹等譯：《信息系統(tǒng)審計與鑒證》，中信出版社2003年版。

［15］Flint,D．Philosophy and Principles of Auditing:An Introduction．Macmillan Education Ltd,1988:12.

［16］ISACA IS Standards,Guidelines and Procedures for Auditing and Control Professionals.ISACA,2009．

［17］Strous,L．Audit of Information System:The Need for Cooperation.Paper presented at the 25th Conference on Current Trends in Theory&Practice of Informatics,Jasna,Slovaikia, 1998．

［18］Wulandari,S.S.Information systems audit adopted as an assurance service in accounting firms.Ingenious,2003,Vol. 1,No.1：2.

（編輯 劉姍）