劉立彥

[摘 要]隨著信息技術在各領域的廣泛運用，信息系統(tǒng)審計也日益為人們所關注。未來審計行業(yè)和審計技術的發(fā)展動力將主要來自于信息系統(tǒng)審計的發(fā)展，但與國外相比，我國信息系統(tǒng)審計的開展還處于探索階段。在這種背景下，筆者認為有必要探討信息系統(tǒng)審計的演進過程，結合審計實踐，對信息系統(tǒng)審計的有關理論進行思考和研究。本文在回顧信息系統(tǒng)審計演進的基礎上，從定義入手，討論相關內(nèi)容（如特征、范圍、策略等），并進一步歸納分析信息系統(tǒng)審計的一般流程，以提高對信息系統(tǒng)審計及其價值的認識，強化對信息系統(tǒng)審計活動實踐的指導。

[關鍵詞]信息系統(tǒng)；審計；

doi：10.3969/j.issn.1673 - 0194.2017.12.017

[中圖分類號]F239.1 [文獻標識碼]A [文章編號]1673-0194（2017）12-00-02

1 信息系統(tǒng)審計的演進

“信息系統(tǒng)審計”（IS審計）是近些年我國出現(xiàn)的新概念。在國外，尤其是美國、日本等發(fā)達國家，信息系統(tǒng)審計已經(jīng)發(fā)展到相當程度，但在我國信息系統(tǒng)審計才剛剛起步。它是與企業(yè)信息化過程緊密聯(lián)系的，是審計技術與信息技術共同發(fā)展的必然產(chǎn)物。

20世紀中葉，計算機及其技術開始應用于企業(yè)的經(jīng)營、管理。20世紀50年代，計算機第一次應用于工商企業(yè)——使用打孔卡作為數(shù)據(jù)存儲和批處理。20世紀60年代，工業(yè)500強中超過50%的公司廣泛使用電子數(shù)據(jù)處理操作。1975年，至少有20萬臺主機應用于企業(yè)，而物料需求計劃（MRP）進入第二代物料資源計劃（MRPⅡ）。但由于當時審計人員可用的審計軟件（GAS）過多，導致組織在投資這些審計軟件時不得不考慮成本效益，因此，從20世紀60年代到80年代，電子數(shù)據(jù)處理（EDP）相關（內(nèi)部）審計技術應用緩慢。20世紀90年代，世界經(jīng)濟處在即將步入21世紀信息（技術）時代的頂點。

2 信息系統(tǒng)審計的業(yè)務范圍及一般流程

2.1 信息系統(tǒng)審計的業(yè)務范圍

信息系統(tǒng)審計的業(yè)務范圍應包括與信息系統(tǒng)相關的所有領域，主要為：①對組織的信息系統(tǒng)審計，集中在對信息技術的管理控制；②技術方面的信息系統(tǒng)審計，包括構架、數(shù)據(jù)中心、數(shù)據(jù)通信等；③應用的信息系統(tǒng)審計，包括經(jīng)營、財務；④開發(fā)實施信息系統(tǒng)審計，包括需求識別、設計、開發(fā)以及實施后階段；⑤信息系統(tǒng)的合規(guī)性審計，主要指信息系統(tǒng)是否符合國家或國際標準的審計；⑥電子商務審計，包括網(wǎng)譽審計、電子簽名審計業(yè)務等。

具體而言，信息系統(tǒng)審計的業(yè)務范圍有：①信息系統(tǒng)開發(fā)計劃、管理及組織架構的戰(zhàn)略、政策、標準及相應實踐過程的評估；②信息資源在運行環(huán)境、邏輯訪問、IT基礎設施等方面安全性的評估；③業(yè)務流程風險管理水平的評估；④災難恢復及業(yè)務持續(xù)能力的評估；⑤技術基礎設施及運行實踐的效能以及效率的評估；⑥對于系統(tǒng)開發(fā)、實施與維護方法和過程的評估；⑦財務系統(tǒng)的評估。

2.2 信息系統(tǒng)審計的一般流程

信息系統(tǒng)審計的一般流程，與普通審計基本相同。審計過程一般可劃分為準備階段、實施階段和終結階段。

2.2.1 準備階段

信息系統(tǒng)審計的準備階段是整個審計程序的重要環(huán)節(jié)，這個階段是整個審計過程的基礎階段，這個階段的工作難點在于面對海量的數(shù)據(jù)。相關人員如果不使用風險分析方法，不關注內(nèi)部控制，直接對信息系統(tǒng)的數(shù)據(jù)開展詳查，容易導致對審計認識不足、準備工作不全面的不利局面。因此，有必要系統(tǒng)分析解決問題可以采取的方法、步驟，以及應注意的問題，并加以綜合探討。

2.2.2 實施階段

審計實施階段是根據(jù)審計準備階段對企業(yè)的調(diào)查、審計風險的分析，確定審計內(nèi)部控制測試和實質(zhì)性測試的程序和范圍，以此判定需要哪些數(shù)據(jù)信息，并對被審計單位及其信息系統(tǒng)展開審計活動的具體工作階段。其主要任務是：按照信息系統(tǒng)審計方案所確定的審計內(nèi)容、范圍、重點和方式等要求，采用相應方法查明情況，對取得的各種證據(jù)進行鑒別、分析，判明是非和找到問題的本質(zhì)，做出客觀公正的評價，并醞釀處理意見和改進建議。

2.2.3 終結階段

具體的實施工作完成后，將進入終結階段。終結階段的主要工作包括：①整理歸納審計資料，反映內(nèi)控制度的結果，并揭示問題、明確責任、發(fā)現(xiàn)違法線索；②撰寫審計報告，在審計報告中，應著重說明發(fā)現(xiàn)了哪些問題，并建議被審計單位進行改進；③與被審計信息系統(tǒng)管理者進行溝通；④發(fā)出審計結論和決定；⑤審計資料的歸檔和管理。

3 積極開展信息系統(tǒng)審計的重要意義

當今，信息化的發(fā)展已經(jīng)達到了新的高度。許多企業(yè)開展了電子商務業(yè)務，并著手整合、升級自身的管理信息系統(tǒng)。信息系統(tǒng)作為企業(yè)現(xiàn)代化發(fā)展的重要標志，日益被眾多企業(yè)重視，越來越多的信息系統(tǒng)陸續(xù)被應用于企業(yè)日常的經(jīng)營、管理活動中，但也要看到信息系統(tǒng)規(guī)模的擴大、功能的增加也會給企業(yè)帶來更大的風險。且社會對審計的要求也越來越高，需求越來越多，許多傳統(tǒng)審計不能解決的問題，需要由信息系統(tǒng)審計來處理。因此，積極開展信息系統(tǒng)審計具有重要意義。

3.1 信息系統(tǒng)審計可以為利益各方提供有效的鑒證業(yè)務

被審計單位信息系統(tǒng)產(chǎn)生資料的真實性、可靠性、完整性，關乎企業(yè)本身的決策，影響著企業(yè)的生存與發(fā)展，同時這些信息對利益相關者也十分重要。但由于現(xiàn)實原因，信息使用者無法親自對這些信息一一鑒別，且信息系統(tǒng)具有容易刪除數(shù)據(jù)或篡改數(shù)據(jù)而不會留下痕跡的存儲特征，導致信息系統(tǒng)在缺乏管理控制條件下產(chǎn)生的數(shù)據(jù)信息同樣缺乏可信度。

由此可見，信息系統(tǒng)審計對信息系統(tǒng)內(nèi)部環(huán)境安全控制，以及所產(chǎn)生數(shù)據(jù)的鑒證、評價作用是十分重要的，針對這些信息的真實性、完整性進行獨立、客觀的審計，且由此產(chǎn)生的公允、客觀的審計報告，對合理保證資產(chǎn)的安全、數(shù)據(jù)的完整、系統(tǒng)有效實現(xiàn)組織目標并有效利用組織資源，乃至支撐整個信息化事業(yè)的發(fā)展，以及社會對信息化事業(yè)的信心具有舉足輕重的作用。

3.2 信息系統(tǒng)審計可以為企業(yè)管理者以及業(yè)務人員提供及時的咨詢活動

在信息系統(tǒng)審計過程中，信息系統(tǒng)審計師能夠憑借自身，在構建、完善企業(yè)內(nèi)部控制、信息系統(tǒng)管理等方面的專業(yè)知識、工作經(jīng)驗，根據(jù)企業(yè)的實際需要，為企業(yè)的管理者以及業(yè)務人員對現(xiàn)有的組織結構、業(yè)務流程、軟件功能進行調(diào)整，以使之更好地適應企業(yè)的發(fā)展，并幫助降低信息化帶來的風險。

為了進一步與國際接軌，建立起高效、迅速的現(xiàn)代物流系統(tǒng)，海爾集團請專業(yè)的IS審計人員對現(xiàn)有的物流系統(tǒng)進行評估。在審計評估的基礎上，海爾集團結合企業(yè)自身的實際情況，改進了現(xiàn)有的物流系統(tǒng)，采用了SAP公司的ERP系統(tǒng)和BBP系統(tǒng)（原材料網(wǎng)上采購系統(tǒng)）。ERP系統(tǒng)和BBP系統(tǒng)采用以后，打破了原有的“信息孤島”，使信息同步集成，提高了信息的實時性與準確性。

3.3 信息系統(tǒng)審計可以幫助企業(yè)更快、更好的發(fā)展

實施信息系統(tǒng)審計后，企業(yè)可出具具有一定法律效力的審計報告。同時，信息系統(tǒng)審計師也可以通過在線的方式，實時鑒證企業(yè)的信息。審計報告、實時鑒證對于企業(yè)的利益相關者來說具有重大的價值。如果通過審計報告、實時鑒證證明該企業(yè)信息系統(tǒng)產(chǎn)生的信息是可信賴的、完整的，將有利于利益相關者對企業(yè)經(jīng)營活動的監(jiān)督，同時也有利于企業(yè)的融資活動，促進企業(yè)快速發(fā)展。

4 結 語

信息系統(tǒng)審計對于審計信息化和審計現(xiàn)代化建設，以至整個信息化事業(yè)的發(fā)展具有重大意義。但目前我國的信息系統(tǒng)審計工作尚處于起步和探索階段，與國際上信息系統(tǒng)審計已經(jīng)體系化、標準化、程序化相比，存在明顯的差距，尤其是缺少專業(yè)準則作為指引；缺少大量能夠全面開展信息系統(tǒng)審計業(yè)務的隊伍作為支撐；缺少“通用”“專業(yè)”的審計軟件作為保障。面對目前日益發(fā)展的信息技術、擴大的信息系統(tǒng)審計領域，以及風險導向型審計的新要求，相關人員必須借鑒外國的先進經(jīng)驗，結合我國信息化的實際特點加強自身學習，了解并掌握信息系統(tǒng)審計所需的知識，不斷提高信息系統(tǒng)審計的質(zhì)量，不斷推進審計向現(xiàn)代化發(fā)展，從而做好真正意義上的風險基礎模式的審計業(yè)務。

主要參考文獻

[1][美]貝利，格拉姆林，拉姆蒂.內(nèi)部審計思想[M].王光遠，譯.北京：中國時代經(jīng)濟出版社，2006.

[2][美]Lawrence B Sawyer，Mortimer A Dittenhofer，James H Scheiner.索耶內(nèi)部審計——現(xiàn)代內(nèi)部審計實務[M].邰先宇，周瑞平，譯.北京：中國財政經(jīng)濟出版社，2005.

[3][美]Jack J Champlain.審計信息系統(tǒng)[M].第2版.張金城，譯.北京：清華大學出版社，2004.