信息系统审计的研究现状及存在问题分析

【摘要】信息系统审计是伴随计算机信息技术与审计不断发展进步应运而生的。同国际信息系统审计的发展相比较，我国对此的研究和发展还比较滞后。本文阐述了信息系统审计的发展历程和国内外的研究现状，并对我国信息系统审计所存在的几点问题进行了分析。

【关键词】信息信息系统审计问题

一、对信息系统审计的一般认识

（一）信息系统审计的发展历程

审计是经济社会发展到一定阶段的产物，随着经济和社会不断变化，计算机信息技术不断发展进步，信息系统审计也应运而生并不断发展。信息系统审历经形成、建立到逐渐完善，低级到高级历史进程，具体可划分为萌发阶段、拓展阶段、成熟阶段、普遍提升阶段。

1.萌发阶段。上世纪中叶，信息系统审计（以下简称ISA）处于萌芽阶段。IBM出版了《电子数据处理环境下的审计》；美国注册会计师协会（以下简称协会）出版了《会计审计和计算机》，阐述了如何进行电子数据下信息系统审计与传统外部审计，指出新的电子数据下内部审计的规范、组织方式等。此时ISA又被称为电子数据处理审计（EDPA），也就是以计算机为核心的审计。1969年，信息系统审计与控制协会（以下简称ISACA）在美国成立，标志着国际社会正式开始对ISA的研究。

2.拓展阶段。二十世纪七十年代，不断出现的计算机犯罪促使ISA的拓展。1974年，协会制定了电子数据处理审计的标准并记录于《内部管理的调查与评价对EDP的影响》一书中。1977年，内部审计师协会发表《系统可审计性及规则的研究》（SAC报告），该书汇总了针对欧洲、美国、加拿大与日本等国家的企业所展开的调研情况，同时指出审计执行工具取得的成就。1975年，日本ISA委员会成立并且在1976年发表多部与信息系统审计相关的书籍：《使用电子计算机的会计组织的内部规则质问书（修订案）》、《EDP审计标准及审计过程试案》和《EDP审计方法》等。1978年，信息系统审计师（CISA）考试与资格认证开始实施，这标志着ISA的深入拓展。

3.成熟阶段。信息系统审计发展的成熟期是八十年代。1982年，日本通产省设立计算机安全研究会，对健全信息化的必要法规进行研究。1983年，发表紧要课题——《有关计算机的安全对策》。1984年，日本ISA协会研究美国的ISA标准并于1985年发布《IT审计标准》，同时将IT审计师考试加入计算机水平考试中。

4.普遍提升阶段。ISA在二十世纪九十年代不断普及。这一时期，ISACA不断拓展扩大，一百六十多个分会遍布全球，拟定并颁发ISA法则与实务指南，同时积极推广CISA资格考试。1992年，EDP审计委员会在国际最高审计组织（INTOSAI）的推动下成立了，因此又被称为INTOSAI-EDP委员会。2002年11月将其变更为INTOSAI-IT委员会。

信息系统审计的拓展提升，一方面使得传统审计技术不断扩展改变并应用广泛；另一方面整个社会依赖计算机信息系统越来越紧密促使信息系统审计越来越重要，信息系统审计代表了未来审计发展的一个重要方向。

（二）信息系统审计的涵义

全球信息系统审计领域内的著名专家Ron A. Weber指出，信息系统审计是审计人员经被审计单位的授权或者委托，收集、整合证据，从而评估一个计算机信息系统能否有效地维护资产、保护数据完整性，同时最有效地实现组织目的的活动进程。它包含信息系统外部审计的鉴证目标和内部审计的管理目标，具体来讲是鉴证被审单位数据的完整性与资产的安全性以及信息系统的有效性。日本通产省情报协会将其概述如下：为了信息系统的有效、安全与可靠，由独立审计对象之外的IS审计师，以客观的立场对以计算机为主的信息系统展开全面的检查与评估，同时对所审计单位的最高领导提出意见和建议的一系列的活动。邓少灵学者指出，IT审计是从规划、研究、实行到执行维护各个阶段展开对信息系统的审查与评估，从而审查信息系统的有效、安全与可靠，以此来保障信息系统得出的数据精确可靠。

以上学者对信息系统的定义虽然不尽一致，但通过分析可以发现信息系统审计的一些要点：

1.信息系统审计的目标是判断信息系统能否有效保护公司资产，提高企业经营效率和企业核心竞争力。

2.信息系统审计是一个过程，这个过程需要涵盖企业信息系统从规划、开发、实施到运行维护的每一个阶段。

3.信息系统审计报告面对的对象是企业经营管理负责人，因为信息系统关系到企业的日常运营以至生存发展。

综合上述几个要点，笔者总结出，信息系统审计是对企业信息系统规划、研发、实行、执行维护与实现组织目标的效率进行审计的过程，在这个过程中，信息系统审计人员应该对信息系统能否有效保护公司资产，提高企业经营效率以及企业核心竞争力作出判断，并向企业经营管理负责人如实报告。

二、信息系统审计的研究现状

（一）国外研究现状

上世纪中叶末期，加拿大、美国等多国学者便开始专门探讨有关信息系统审计的问题。1961年，出版了《电子数据处理与审计》一书，这是首部关于计算机信息系统审计的著作。1976年，戴维斯、仁德和迈尔合著的《计算机控制与审计》一书发表，该书全面系统地讨论了有关设置与评价电算化系统内部控制的问题。隶属于协会的审计准则委员会（ASB）时刻关注IT如何影响审计工作。2001年4月，ASB公布第94号准则，即SAS no.94。该准则规范了三个方面的问题：其一，IT对企业内部控制的影响；其二，IT对会计师了解内部控制程度的影响；其三，IT对会计师评价审计风险的影响。同时，SAS no.94指出，IT的应用会影响控制环境、风险评估、控制活动、会计记录、信息交换及监控这几大内部控制的组成要素。SAS no.94认为现代企业可以多种方式使用IT系统，比如某一特殊单元运用互相独立的系统来支持、共享数据运用高度集成化的复杂系统等；指出确定、计量、记载、报告所产生的企业交易这些工作则可运用IT系统来完成。企业的业务流程应随着企业信息化的进步而发生变化。IT系统中的内部控制大多数是自动化与人工的结合体，而且人工控制有时独立于IT系统之外，因此有必要将IT系统中的信息导入来评价该系统能否有效实行。

（二）国内研究现状

目前，我国还停留在信息技术对传统审计、会计的影响与冲击方面。近年以来，我国行业的信息系统建设中迷茫、混乱、系统质量低劣乃至失败等现象屡次出现。众多学者认为有必要及时地对信息系统展开审计。2001年11月，《国务院办公厅关于利用计算机信息系统开展审计工作的有关问题的通知》与《审计法实施条例》规定：审计机关有权对被审单位有关财政收支的计算机信息系统进行检查；2003年5月1日，信息产业部颁布实施《信息系统工程监理工程师资格管理办法》、《信息系统工程监理单位资质管理办法》与《信息系统工程监理暂行规定》。这三部法规使得我国信息系统建设的质量控制有了法律依据。

李丹（中国大陆通过ISACA主办的CISA考试第一人）的《信息系统审计——传统审计的一场革命》中指出，信息系统审计是通过被审对象的信息化系统的可靠、安全展开了解、实验和评价，以此来判断信息系统对财务的影响或者提出单独的信息系统审计报告这一活动过程。

傅元略教授在《计算机信息系统环境下的几个审计问题》一文中概述了计算机网络会计的涵义，介绍了会计电算化的发展方向。该书阐述了计算机网络会计的涵义与特征；指出企业在计算机网络化环境中应有的创新；认为面对企业竞争，社会环境与顾客、供应商的变化，会计信息系统能够及时作出反应，探讨了计算机网络会计与企业信息化、电子商务的关系问题以及网络化环境下会计职能的问题。

甄阜铭的《网络环境下会计信息系统内部控制的探讨》一文指出网络环境下的会计信息系统有遭遇非法访问乃至病毒、黑客攻击的可能。这种侵扰有可能产生于系统内部，也可能产生于系统外部，一旦发生攻击将造成巨大的损失。网上交易活动的普遍，电子商务的迅速发展，企业依赖于网上公证机构的程度也随之加强。但现今相应的法规与技术手段还不完备与规范，这一情况致使系统内部控制的展开极为困难。总之，会计信息系统的内部控制体系将随着逐渐成熟的网络技术而发生深刻改变。同时，这一变化将促使审计理论和实务发生巨大的变革。

我国注册会计师吕博的《信息技术环境下审计理论基础研究》一文，从认定分析信息技术下审计理论基础入手，探讨了基础与理论之间的辩证关系，并对信息技术下审计理论基础的特征、内容与研究方法进行了整合阐述。他指出审计理论基础与审计理论相区别，审计理论具有普遍适用性、高度抽象性、普遍指导性和严密逻辑性等特点，而前者不具备这些特征，它只作为连接审计理论和其他学科理论的纽带与桥梁。审计基础理论是与审计应用理论相对应的且独立于审计活动的普遍性通用理论。在信息技术环境下，计算机技术广泛应用于经济社会生活的各个领域，这依靠其独有的高度渗透性，并影响着审计理论基础的发展。审计理论基础在信息技术环境下具备了虚拟性、质量性、交互渗透性、动态发展性与内容多样性等新特征。

孙强学者发表了《信息系统审计：安全、风险管理与控制》一书。该书结合我国具体国情，引进、消化与吸收了国际先进的安全风险管理和控制的方法论以及最佳实务。以审计的基本理论为依据，对内部控制及其检测与评价进行了介绍，着重介绍了深入到信息系统审计中的内部控制，根据信息系统建设与运行维护生命周期的逻辑关系，对信息系统的战略组织与规划进行了翔实描述。同时还介绍了计算机技术基础平台建设、应用系统建设和维护、信息化建设与运营实务、灾难恢复和业务持续计划等内容。

但是目前我国还缺乏对信息系统审计尤其是网络信息系统审计的系统性研究。

三、我国信息系统审计现存问题分析

（一）我国的信息系统缺乏应有的审计接口

对会计信息系统进行审计要求计算机信息系统留有审计接口，以便通过接口取得被审系统的电子信息资料，才能进行有关的审计处理。虽然《关于利用计算机信息系统开展审计工作有关问题的通知》明确规定“计算机信息系统应当具备符合国家标准或者行业标准的数据接口”，软件协会财务及管理软件分会也规范了财务软件的数据接口标准，但事实是许多财务与管理软件没有遵照执行。我国现有的计算机信息系统大部分没有设置审计软件接口，当直接访问信息系统资料时，审计软件便会受阻。此外，获取电子信息资料的困难阻碍了计算机辅助审计的发展。

（二）缺乏胜任会计信息系统的审计专业人才

信息系统审计与传统审计工作不同，其具有极强的专业性。信息系统审计对要求审计人员具有极高的专业水平，特别是有关计算机信息技术的专业知识。目前，我国的审计人员大都只接受过传统财务审计教育，缺少信息技术方面的专业知识，因此出现知识结构不适应信息系统审计要求的问题。然而，专业的信息技术方面的人才对于审计工作却也是个门外汉。

（三）信息系统审计实践水平不高

我国对于信息系统审计的实践水平不高，且多数集中在电子数据的收集与分析上，重视实质性检测阶段，这受目前审计工作的发展水平的限制。在手工会计系统下的财务报表审计中，审计人员仍在查错纠弊方面投入主要精力，重视财务数据，却将被审单位的信息处理系统、内部控制忽视。这一弊端直接致使我国落后于国际上的信息系统审计实践水平。计算机信息环境中，审计人员只关注财务的数据载体变化，也就是只注意电子信息替代了手工会计系统下的纸质文档，而对处理这些数据的系统环境的改变缺乏关注。因此，我国应丰富审计工作的层次，同时，审计人员不应仅满足于纠弊查错而对产生错弊的制度和管理系统视而不见，应做到“知其然”与“知其所以然”。这种不全面的工作方法延伸到信息系统审计中，表现出来的是——信息系统审计的工作重点仅停留在收集与分析电子数据上，却将产生问题电子数据的信息系统忽视。

（四）缺失信息系统审计的对应制度

近年来，越来越多的国家建立起较为成熟的信息系统审计制度，并依此来展开有效和规范的信息系统审计，这一制度能与一套成熟的财务审计准则相媲美来规范和指导传统审计业务。反观我国，信息系统审计制度的建设比较落后，虽然国家已经颁布了的一些规范信息系统审计工作的法律法规，但这些规定只针对信息系统审计的某一方面，因此我国缺乏一套完整体系、内容全面与合理结构的信息系统审计制度。信息系统审计的不断拓展壮大必然要求行业组织总结实践经验，固定、统一工作流程、有关概念和技术方法，形成行业统一的规范和标准。总之，没有统一的规范和标准，所有的实践活动只能在低水平上重复。

参考文献

[1]张永雄.信息系统审计产生及发展研究[J].审计与理财，2005（2）：27-28.

[2]Standyards.Information Systems Audit and Control Association Procedures for IS Auditing，2002（6）：46-50.

[3]邓春梅，李嘉明，马宁.信息系统审计及相关问题分析[J].重庆大学学报（自然科学版），2004，27（6）：151-154.

[4]李丹.信息系统审计——传统审计的一场革命[J].中国审计，200.

[5]郝晓玲，胡克瑾.信息系统审计的体系框架初探明[J].同济大学学报（社会科学版），2003，14（5）:71-75.

[6]孙为军.信息审计应用模式的设计和实现[D].南京:南京航空航天大学，2003.

作者简介：王琪（1986-），男，山东聊城人，安徽财经大学2010级情报学专业硕士研究生，研究方向：企业信息资源管理。