（会计学专业论文）it环境下的内部审计实践探讨.pdf

0 6 3 0 2 5 2 1 6 蒋浩i t 环境卜的内部审计实践探讨 中文摘要 随着信息技术( i t ) 的迅速发展，信息系统在企业中被广泛应用，信息系统架 构变得口趋复杂，传统的内部审计面临着新的挑战。本文分别从传统内审部门 的组织架构、审计人员的知识结构、审计的工具方法以及审计结果的有效性等 方面进行分析，分析了传统的内部审计在i t 环境下的局限性。本文认为传统的 审计方法已不适应i t 环境的需要，内部审计实践必须实施变革才能适应新环境 下的要求。 目前国内企业的信息化应用水平已经达到了比较高的程度，但是i t 环境下 的内部审计理论和实践还处于相对落后的水平。本文进行了i t 环境下内部审计 实践的探讨，分析了传统审计向i t 环境下的现代审计转型的可行性和带来的收 益，列举了业界领先公司的实践经验，并以数据分析技术在审计项目中的实际 应用作为案例，更多地从实践的角度上进行示范，以提供业界借鉴，共同促进 内部审计业务的提高。 本文通过对最新内部审计理论和实践的分析研究，分析了传统审计在i t 环 境下的局限性，探讨了i t 环境下内部审计在组织结构、人员知识结构、审计对 象和审计工具方法等方面的变革，以及综合审计和连续监控技术等新方法的应 用所带来的收益，探讨了在i t 环境下内部审计实践操作的方法。最后，本文提 出了发展i t 环境下的内部审计的政策建议，建议今后内部审计应当丌展综合审 计业务、广泛应用基于c a a t s 的数据分析技术和发展连续监控技术。 关键词：i t 信息系统内部控制内部审计实践 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y ，i n f o r m a t i o ns y s t e mi s w i d e l yu s e di ne n t e r p r i s e s ，a n dt h e i n f o r m a t i o ni n f r a s t r u c t u r ei sb e c o m i n gm o r e c o m p l e x t h e t r a d i t i o n a li n t e r n a la u d i tp r a c t i c ei sc h a l l e n g e db yn e wc i r c u m s t a n c e t h i sa r t i c l ea n a l y z e dt h et r a d i t i o n a li n t e r n a la u d i tp r a c t i c e sl i m i t a t i o ni nt h ei t c i r c u m s t a n c eb a s e do nt h ef o l l o w i n gp e r s p e c t i v e s ：t h ei n t e r n a la u d i to r g a n i z a t i o n s t r u c t u r e ，a u d i t o r sk n o w l e d g e ，a u d i tt o o l sa n dm e t h o d o l o g y ，e f f e c t i v e n e s so fa u d i t r e s u l t s t h ea r t i c l eg i v e st h eo p i n i o nt h a tt h et r a d i t i o n a li n t e r n a la u d i tp r a c t i c ed on o t f i t sw i t ht h en e wi tc i r c u m s t a n c e ；t h et r a d i t i o n a li n t e m a la u d i tp r a c t i c en e e d sr e f o r m c u r r e n t l yl o c a lc o m p a n i e sh a v ed e v e l o p e dm a n ya p p l i c a t i o n s ，b u tt h ei n t e r n a l a u d i tt h e o r ya n dp r a c t i c ei sb e h i n do ft h ei tp r o g r e s s t h i sa r t i c l eu n d e r t a k e st h e r e s e a r c ho ft h ei n t e r n a la u d i tp r a c t i c ei ni tc i r c u m s t a n c e ，a n a l y z e st h ef e a s i b i l i t ya n d b e n e f i tw h i c ht h et r a n s f o r m a t i o nw i l lb r i n go u tf r o mt h et r a d i t i o n a li n t e r n a la u d i tt o m o d e r ni n t e r n a la u d i t ，p r e s e n t sw o r l dl e a d i n gc o m p a n y sp r a c t i c e ，a n du s e sad a t a a n a l y s i st e c h n o l o g yi ni n t e r n a la u d i tp r o j e c ta sc a s es t u d y ，t og i v ed e m o n s t r a t i o nf o r i n t e r n a la u d i ti n d u s t r ya n dt oi m p r o v et h ei n t e r n a la u d i tp r a c t i c e t h i sa r t i c l es t u d i e sl a t e s ti n t e r n a la u d i tt h e o r ya n dp r a c t i c e ，a n a l y z e st r a d i t i o n a l i n t e r n a la u d i t sl i m i t a t i o ni ni tc i r c u m s t a n c e ，d i s c u s s e st h ec h a n g e si nt h ef o l l o w i n g a r e a s ：i n t e r n a la u d i to r g a n i z a t i o n ，a u d i t o r sk n o w l e d g es t r u c t u r e ，a u d i to b j e c t i v ea n d a u d i tt o o l s ，a n dt h eb e n e f i tw h i c ht h en e wa u d i ta p p r o a c hw i l lb r i n go u ts u c ha s c o m b i n e da u d i t ，c o n t i n u o u sm o n i t o r i n gt e c h n o l o g y f i n a l l y ，t h i sa r t i c l eg i v e st h e s u g g e s t i o n sd e v e l o p i n gt h ei n t e r n a la u d i ti ni tc i r c u m s t a n c e t h es u g g e s t i o ni s t o f u l f i l lm o r ec o m b i n e da u d i t ，t ow i d e l yu s ec a a t sb a s e dd a t aa n a l y s i st e c h n o l o g y a n dt od e v e l o pc o n t i n u o u sm o n i t o r i n gt e c h n o l o g y k e y w o r d ：i t ，i n f o r m a t i o ns y s t e m ，i n t e r n a lc o n t r o l ，i n t e r n a la u d i t ，p r a c t i c e 2 0 6 3 0 2 5 2 1 6 蒋浩 i t 环境下的内部审汁实践探讨 1 导论 1 i 引言 自从上世纪初电子计算机问世以来，信息技术以一日千里之势快速地发展。 e r p 、c r m 、s c m 、b i 等软件的应用，以及互联网、电子商务等新经济模式的 出现，企业能够凭借着信息技术的巨大进步，进行业务流程的优化，提高数据 收集的准确性和时效性，实现精细化管理，提高运作效率，从而有能力面对全 球市场，运用调配全球的资源，实现全球化运营。 随着信息科技的应用，企业的管理发生了巨大的变化。面对着新经济现象 的出现，企业自身发生了重大的变革，包括技术的变革、流程的变革、组织架 构的变革、思想的变革、文化的变革。同样，内部审计工作在日新月异的信息 化环境下，也面临着变革和挑战。传统的内部审计的理论和方法在新的i t 环境 下遇到了局限性。以报表检查、调查问卷、抽样审查作为“三大法宝”的传统 审计模式，在一个交易电子化、文档无纸化、应用系统日趋复杂化的i t 环境下， 面对着海量的，看不见摸不着的二进制数字，应该如何变革，以适应新的i t 环 境的挑战? 本文通过对内部审计理论和最新发展进行研究，对业界领先公司的实际审 计实践进行分析，结合自己工作中所作的一些实践和探索，并以某公司将基于 c a a t s 的数据分析技术在审计中的应用作为具体案例，通过实证分析，研究探 讨在i t 环境下内部审计从传统审计向现代审计转型的变革，并验证这些变革的 可实现性和带来的收益。随着国内企业的i t 应用日趋普及，越来越多的企业开 始思考i t 环境下的内部审计实务操作。作者期望通过自己的一些探索和经验， 能够抛砖引玉，更多地从实践的角度，给同行提供一些借鉴，共同促进审计业 务的提高。 ， 本文提出了传统内部审计方法应当变革以适应i t 环境的观点，并建议i t 环境下的内部审计应当实施这些变革：l 、推行财务审计、业务审计和i s 审计 三者融合的综合审计；2 、广泛应用计算机辅助审计技术( c a a t s ) 和数据分析技 术：3 、从传统的事后检验评估，转向事前和事中的业务保障分析和过程连续监 控的方向发展。 由于各企业信息化程度应用参差不齐，管理规范程度不一，本文可能对不 同的企业起到的参考作用也不同。同时由于作者本人的思考局限性、理论知识 掌握的有限性，文章中难免存在着偏差和错漏，但仍不失为一次有益的探索和 尝试。 0 6 3 0 2 5 2 1 6 蒋浩 i t 环境卜的内部审计实践探讨 1 2 文献综述 1 2 1 内部控制理论综述 据史料记载，内部控制的出现可以追溯到数千年前，古罗马和古埃及时期 对财产物资的“双重保管制”和帐簿记录的“双人记帐制”以及我国西周的“听 计”制度都是人类历史上最初的内部控制雏形。在人类社会漫长的发展过程中， 内部控制始终保留在内部牵制这种低级阶段。 “内部控制”这一专业术语的最早提出是在1 9 3 6 年，由美国会计师协会在 注册会计师对财务报告的审查文告中提出。内部控制之所以引起了政府机构和 公司企业的广泛重视，则要从2 0 世纪7 0 年代的美国“水门事件说起。在“水 门事件”的调查中，美国政府机构发现一些大公司为取得订单，对国外政府官 员进行非法的政治援助、可疑的支付，甚至贿赂。美国国会举行了听证会，并 最终制定并由卡特总统签署了1 9 7 7 年国外行贿法案 ( f o r e i g nc o r r u p t p r a c t i c e sa c to f1 9 7 7 ，简称f c p a ) 。f c p a 法案除了反贿赂条款之外，还包括 了一些属于会计和内部控制的条款。这些条款要求公司的管理当局设置账簿、 记录和账户，以期精确并适当地放映公司资产的交易和处置，并要求管理当局 保证内部会计 卒制系统的充分性，以期达到相关e i 标。这些条款的目的是通过 设立适当的内部控制，来有效地阻止对国外政府官员的非法支付。 1 9 8 5 年，由美国注册会计师协会( a i c p a ) 、美国会计学会( a a a ) 、财 务经理协会( f e i ) 、国际内部审计师协会( i i a ) 及管理会计协会( i m a ) 共同 赞助成立了全国欺诈性财务报告委员会( n a t i o n a lc o m m i s s i o no nf r a u d u l e n t f i n a n c i a lr e p o r t i n g ) ，即著名的t r e a d w a y 委员会。该委员会所探讨的莺要问题 之一就是舞弊性财务报告产生的原因，其中包括内部控制不健全问题。两年之 后，t r e a d w a y 委员会发布报告，并向上市公司管理层和董事会、公其会计职业 界、证券交易和其他管理和法规实施团体以及学术界提出了很多有价值的建议。 基于t r e a d w a y 委员会的建议，其赞助机构又组成了一个专门研究内部控制 问题的委员会( c o m m i t t e eo fs p o n s o r i n go r g a n i z a t i o n so ft r e a d w a yc o m m i s s i o n ) 。 1 9 9 2 年，美国”反对虚假财务报告委员会”，所属的内部控制专门研究委员会发 起机构委员会，即c o s o 委员会，在进行专门研究后提出专题报告：内部控 制一一整体架构( i n t e r n a lc o n t r o l i n t e g r a t e df r a m e w o r k ) ) ) ，也称c o s o 报告。 经过两年的修改，1 9 9 4 年c o s o 委员会提出对外报告的修改篇，扩大了内部控 制涵盖范围，增加了与保障资产安全有关的控制，得到了美国审计总署( g e n e r a l a c c o u n t i n go 衔c e ，g a o ) 的认可。 c o s o 报告把内部控制定义为：“内部控制是一种由企业董事会、管理层 4 0 6 3 0 2 5 2 1 6 蒋浩i t 环境卜的内部审计实践探讨 和其他人员执行，由管理层设计为达到下述目标提供合理保证的过程：财务 报告的可靠性；经营效果和效率；符合适用的法律和法规。 c o s o 报告 将内部控制划分为五种成分，即控制环境、风险评估、控制活动、信息与沟通 和监控，首次把内部控制从平面结构发展为立体框架结构，是内部控制理论研 究历史性的突破。 加拿大注册会计师公会( t h ec a n a d i a ni n s t i t u t eo fc h a r t e r e da c c o u n t a n t s 即 c i c a ) 所属的控制基准委员会，在c o s o 报告的基础上，经过不断修改，于1 9 9 5 年1 1 月发布了控制指导纲要( g u i d a n c eo nc o n t r 0 1 ) ，提出了一种更精简、 更具动态，以及在措辞方面远比c o s o 报告使用更多管理术语的内部控制基本 架构。c o c o 报告的重心是从目的、承诺、能力、监督与学习四个方面提出2 0 项控制基准。 2 0 0 2 年，由于安然、世通等公司会计丑闻的披露，以及安达信会计师事务 所的关闭，美国国会颁布了公众公司会计改革与投资者保护法案，该法案 又以其发起人的名字命名为萨班斯奥克斯利法案，简称s o x 法案。此法案 第4 0 4 条款规定公司管理层必须对建立和维护内部控制制度负责，且内部控制 的有效性必须经过外部审计师的鉴证。s o x 法案的出台，对于内部控制的发展 产生了深远的影响。 1 2 2 内部审计发展概述 现代意义上的审计，是从英国的工业革命开始。各种组织雇佣会计师来检 查财务记录，其工作主要是详查书面记录和将帐簿记录与书面证据进行核对。 在1 9 世纪，英国人大量地在美国进行投资，他们希望对投资进行独立的检查。 英国审计师将审计方法和程序带到了美国，英国的公司法条文中出现了对投资 者承担受托责任的要求。 第一次世界大战之后，美国的经济逐步繁荣，银行业为了保护自己的利益， 开始需要独立的、可靠的对资产负债表的审核。同时期，铁路、l p 是最先广泛采 用内部审计的行业，以确保全国各地的铁路站长正确地处理收入。 1 9 4 1 年，国际内部审计师协会( i n s t i t u t eo f i n t e r n a la u d i t o r s 。缩写为i n ) 成立之后，现代内部审计才开始发展。1 9 6 8 年，i i a 公布了第一部职业道德规 范。1 9 7 4 年，开始第一次国际注册内部审计师( c e n i f i e di n t e r n a la u d i t o r ，缩写为 c i a ) 考试。1 9 7 8 年，i i a 公布了首批专业实务准则。 国际内部审计师协会) 对于内部审计的定义为：内部审计是一种独立、客 观的保证工作与咨询活动，它的目的是为组织增加价值并提高组织的运作效率。 它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价，提高 0 6 3 0 2 5 2 1 6 蒋浩 i t 环境f 的内部审计实践探讨 它们的效率、从而帮助实现组织目标。 目前，内部审计实务主要分为三种表现形式：财务审计、合规性审计和经 营审计。 财务审计：分析一个实体对其经济活动进行计量和报告的会计方法。 合规性审计：对财务和运营控制以及交易进行检查，判断它们是否与现有 的法律、准则、法规和程序相符合。 经营审计：对组织内部的不同职能进行综合检查以评价经营活动的效率和 经济性，以及这些职能实现经营目标的有效性。( 以上分类和定义引用自索 耶内部审讨) 1 2 3 信息系统( i s ) 审计的发展 在2 0 世纪6 0 年代初，随着汁算机技术的发展，计算机开始应用在企业的 财务会计领域。会计师事务所在对企业财务报表数据进行审计时，需要对被审 计单位的电子数据进行关注，因而产生了最初的i s 审计，当时被称之为计算机 审计。最初的i s 审计只是传统财务审计业务的一种辅助工具，为财务报表审计 师的审计结论提供支持。2 0 世纪6 0 年代初i b m 出版了( ( a u d i te n c o u n t e r s e l e c t r o n i cd a t ap r o c e s s i n g ，( i n - l i n ee l e c t r o n i cp r o c e s s i n ga n da u d i tt r a i l ) ) 等文 献，较系统地阐述了电子数据处理( e d p ) 环境下的内部审计规则和组织方法，提 出了许多新的i s 审计概念、术语和技术实现等。1 9 6 8 年，由美国注册会计师协 会出版了会计审计和计算机一书，进一步完善和丰富了i s 审计的内涵。1 9 6 9 年，成立了电子数据处理审计师协会( e d p a a ) ，该协会为著名的信息系统审计 和控制协会( i s a c a ) 的前身。 2 0 世纪7 0 年代，随着计算机应用的普及，开始出现了计算机犯罪，在当 时的社会引起强烈反响，并使人们逐渐认识到i s 审计的必要性。1 9 7 4 年，美国 注册会计师协会发表了内部管理的调查与评价对e d p 的影响，作为对电子 数据处理实施审计的标准。1 9 7 7 年美国内部审计师协会发表了系统可审计性 及规则的研究，对审计方法进行了详细的研究，取得了重要成果。在2 0 世纪 8 0 年代，信息化应用程度大幅度提高，计算机的应用空前普及，在此大环境下， 信息系统安全问题开始引起人们的广泛重视。各国政府部门和行业机构纷纷开 始对信息系统安伞方面的研究，开始制定和颁布信息安全方面的规范和审计准 则。 在建立i s 审计规范方面，美国走在世界的前列。1 9 6 9 年成立的电子数据 处理审计师协会( e l e c t r o n i cd a t ap r o c e s s i n ga u d i t o ra s s o c i a t i o n ， 缩写为 e d p a a ) ，1 9 9 4 年更名为信息系统审计与控制协会( i n f o r m a t i o ns y s t e m sa u d i ta n d 6 0 6 3 0 2 5 2 1 6 蒋浩i t 环境下的内部审计实践探讨 c o n t r o la s s o c i a t i o n ，缩写为i s a c a ) 。i s a c a 在自成立以来的3 0 多年里，开 展了大量的理论研究，通过制定和颁布信息系统审计准则、实务指南、职业道 德准则等专业标准等，已经成为全球i s 审计理论和审计标准的事实上的领导者。 1 9 9 6 年i s a c a 的i t 治理学会( i tg o v e r n a n c ei n s t i t u t e ，缩写为i t g i ) 公布了信 息及相关技术控制目标标准( c o n t r o lo b j e c t i v e sf o ri n f o r m a t i o na n dr e l a t e d t e c h n o l o g y ，缩写为c o b i t ) ，被国际上公认是最先进、最权威的安全与信息技 术管理和控制的框架标准。自1 9 9 6 年c o b i t 问世以来，该标准体系经多次修改 补充，现在已经发展到4 1 版。 美国信息系统审计的权威专家，m i t 的r o nw e b e r 教授在i n f o r m a t i o n s y s t e ma u d i ta n dc o n t r o l ( 信息系统审计与控制) 一书中对于信息系统审计的 定义为： “i sa u d i t i n gi st h ep r o c e s so fc o l l e c t i n ga n de v a l u a t i n ge v i d e n c et o d e t e r m i n ew h e t h e rac o m p u t e rs y s t e ms a f e g u a r d sa s s e t s ，m a i n t a i n sd a t ai n t e g r i t y ， a l l o w s o r g a n i z a t i o n a lg o a l s t ob e a c h i e v e d e f f e c t i v e l y ，a n d u s e sr e s o u r c e s e f f i c i e n t l y ( 信息系统审计是收集并评估证据以判断一个计算机系统( 信息系统) 是 否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源 的过程。) ” i s a c a 关于信息系统审计的定义为：“信息系统审计是一个过程，在此过 程中搜集和评估证据以确定信息系统和相关资源是否充分保护资产、维持数据 和系统完整性、提供相关和可靠信息、有效实现组织机构目标、有效使用资源、 包含有效内部控制以提供运营和控制目标得到满足的合理保障。 1 2 4 i t 相关的审计术语阐述 随着信息技术的发展，一些新的审计词汇开始出现，i t 审计、i s 审计、计 算机审计、电算化审计、e d p 审计、计算机辅助审计工具与技术等名词在出版 物上经常可以见到。在这些词汇当中，尤其以i t 审计、计算机审计、电算化审 计这三个名词在财经类出版物上尤为常见。在这里，对这些词汇概念进行阐述， 以便于理解。 i t 审计( i n f o r m a t i o nt e c h n o l o g ya u d i t ) ：一般指对计算机硬件和软件的审计， 和i s 审计意义相类似。其定义为：”a ni n f o r m a t i o nt e c h n o l o g y ( i t ) a u d i to r i n f o r m a t i o ns y s t e m s ( i s ) a u d i ti sa ne x a m i n a t i o no ft h ec o n t r o l sw i t h i na ne n t i t y s i n f o r m a t i o nt e c h n o l o g yi n f r a s t r u c t u r e t h e s er e v i e w sm a yb ep e r f o r m e di n c o n j u n c t i o nw i t haf i n a n c i a ls t a t e m e n ta u d i t ，i n t e r n a la u d i t ，o ro t h e rf o r m o f a t t e s t a t i o ne n g a g e m e n t a ni ta u d i ti st h ep r o c e s so fc o l l e c t i n ga n de v a l u a t i n g e v i d e n c eo fa n o r g a n i z a t i o n s i n f o r m a t i o n s y s t e m s ，p r a c t i c e s ，a n do p e r a t i o n s 0 6 3 0 2 5 2 1 6 蒋浩 i t 环境卜的内部审计实践探讨 o b t a i n e de v i d e n c ee v a l u a t i o nc a l le n s u r ew h e t h e rt h eo r g a n i z a t i o n si n f o r m a t i o n s y s t e m ss a f e g u a r da s s e t s ，m a i n t a i n sd a t ai n t e g r i t y ，a n di so p e r a t i n ge f f e c t i v e l ya n d e f f i c i e n t l yt oa c h i e v et h eo r g a n i z a t i o n sg o a l so ro b j e c t i v e s ”( w i k i p e d i a ) 。 信息系统审计( i n f o r m a t i o ns y s t e ma u d i t ) ：信息系统审计又称i s 审计。i s 审计最初被称之为e d p 审计，1 9 9 4 年随着e d p a a 更名为i s a c a ，e d p 审计也 随之更名为i s 审计。关于i s 审计的定义有很多，被引用较多的主要有前一章节 所述i s a c a 的定义和r o nw e b e r 的定义。i s a c a 是在信息系统审计业界影响力 最大的机构，i s 审计也是在信息系统审计文献和专业刊物中最常见的术语。在 写此文时，笔者注意到一个有趣的现象是美国的两大审讨组织机构i i a 和 i s a c a ，分别使用i ta u d i t 和i sa u d i t 两种不同的术语来称呼同一一种审计。在i i a 会同a i c p a 、c i s ( c e n t e rf o ri n t e r n e ts e c u r i t y ) 、卡内基梅隆大学、i s s a ( i n f o r m a t i o ns y s t e m ss e c u r i t ya s s o c i a t i o n ) 、n a c d ( n a t i o n a la s s o c i a t i o no f c o r p o r a t ed i r e c t o r s ) 、s a n si n s t i t u t e 等机构在2 0 0 5 年出版的全球信息技术审 计指南( g l o b a lt e c h n o l o g ya u d i tg u i d e s ，缩写为g t a g ) 系列书籍中，以及在 i i a 自身的i ta u d i t 官方网页上( h t t p ：w w w t h e i i a o r g i t a u d i t a b o u t - i t a u d i t ) ，所有 的词汇均使用i ta u d i t ，例如i ta u d i t i n g ，i ta u d i ts t a n d a r d ，i ta u d i t o r 。反之，在 i s a c a 和i t g i 出版的c o b i t 框架、信息系统审计标准中以及c i s a 、c i s m 考 试手册中，所有的词汇均使用i sa u d i t ，例如i sa u d i t i n g ，i sa u d i ts t a n d a r d ，i s a u d i t o r 。在i s a c a 授权中国大陆出版的信息系统审计实务手册2 0 0 6 年中文 版一书中，正文第一页概论第一段描述为：“信息系统审计( 简称：i s 审计) 一般，i s 审计是内部审计的一部分”。这是迄今为止，最正式的，也是最准确 的关于i s 审计的中文翻译。 计算机审计( c o m p u t e ra u d i t ) ：计算机审计这一词汇最早出现在2 0 世纪6 0 年代，当注册会计师对财务报表进行审计时，需要对电子数据进行检查，这种 检查被称之为计算机审计。随着6 0 年代后期i b m 公司提出e d p 审计的概念， 以及e d p a a 组织的成立，e d p 审计一词被广泛地使用。最初的计算机审计， 或者电子数据处理审计( e d pa u d i t ) ，就其范围和目的而言，只是作为传统财 务审计的一种辅助工具和手段，与我们现在所使用的术语一信息系统审计的概 念是不同的。现在计算机审计一词已经很少被人使用。计算机审计这一词汇本 身的概念存在着模糊不清之处，既可以理解成对计算机系统进行审计，也可以 理解成利用计算机技术对财务数据进行审计。但是在国内，在菲i t 专业刊物尤 其是在财经类刊物中，计算机审计一词还经常被使用。在2 0 0 7 年度中国内部审 计协会“信息化环境下的内部审计”理论研讨征文活动中，仍然有参选获奖论 文将计算机审计一词用在论文标题中。 8 0 6 3 0 2 5 2 1 6 蒋浩i t 环境下的内部审计实践探讨 e d p 审计( e l e c t r o n i cd a mp r o c e s s i n ga u d i t ，e d pa u d i t ) ：e d p 审计一词产生 于2 0 世纪6 0 年代末，产生于计算机技术应用于管理和会计核算工作的早期。 对电子数据及其处理过程的审计是计算机辅助审计发展的早期阶段，随着计算 机应用的普及和e d p a a 组织的成立和推广，e d p 审计这一词汇被业界广泛接 受和使用。然而随着信息技术的进一步发展，i t 的应用范围不仪仪只是从事电 子数据处理。在1 9 9 4 年，e d p a a ( 电子数据处理审计师协会) 更名为i s a c a ( 信息系统审计与控制协会) ，e d p 审计随之更名为i s 审计。之后随着i t 治 理概念的提出，和c o b i t 概念框架的问世，i s 审计术语被广为接受，e d p 审计 词汇逐渐退出了历史的舞台。总体上，在6 0 年代至8 0 年代期间，各国政府机 构、学术机构、公司和行业协会对e d p 审计的理论和实践进行了广泛和深入的 研究，为后来的i s 审计和i t 治理理论打下了基础。至今，仍有一些审计组织和 刊物继续沿用着e d p 审计的名称。 电算化审计( c o m p u t e r i z e da u d i t ) ：也有被称之为计算机辅助审i ；l 一( c o m p u t e r a s s i s t e da u d i t i n g ) ，指的是利用计算机技术来进行审计。随着计算机技术在审计 领域的应用，产生了电算化审计，或者计算机辅助审计。相比于传统的手工审 计，电算化审计使用了计算机技术进行抽样、数据验算、报告编写，其实质还 是将计算机作为工具在审计中进行辅助应用。随着计算机技术的日渐普及，8 0 年代后该词汇逐渐被另一定义更准确的词汇c a a t s 所替代。 计算机辅助审计工具与技术( c o m p u t ea s s i s t e da u d i tt o o l s ，缩写为 c a a t s ) ：指运用计算机及相关软件作为完成特定审计任务的工具和运用这些 工具时所采用的特定的技术。它并不是指某种特定的审计类型，而指的是审计 的种辅助手段和工具，为最终的审计目的服务。c a a t s 可以用于财务审计， 也可以用于i s 审计，或者两者兼有的综合审计。随着信息技术的发展，电子化 交易的普及，c a a t s 在内部审计中将占有越来越重要的地位，甚至在某些特定 的审计项目中，如果c a a t s 无法达到预定目的，将导致整个审计项目的失败。 1 2 5 i t 治理和c o b i t 模型 信息技术( i t ) 的迅速发展在很多方面上对经济生活产生了重大的影响，企 业的架构、流程、业务模式发生了巨大的变化，互联网的迅速普及导致了新经 济模式的出现，电子商务的迅速发展，所有这些信息技术的进步在帮助食n k 降 低了成本、提高效率的同时，也要求企业必须有能力管理和审计信息系统，控 制信息系统运营风险，培养系统管理、鉴证、安全和控制等方面的专业能力。 “人们已经意识到企业治理的关键要素之一就是要保障i t 价值、管理与i t 有 关的风险、增加对信息的控制要求。价值、风险和控制构成了i t 治理的核心。” 9 0 6 3 0 2 5 2 1 6 蒋浩i t 环境f 的内部审计实践探讨 引自c o b i t 中文版概述。 i t 治理，是企业的管理者为保障企业i t 信息系统支持组织战略和目标而 进行的领导、组织架构设计和处理的过程。i s a c a 对于i t 治理的定义为：“i t 治理是一个由关系和过程所构成的体系，用于指导和控制企业，通过平衡信息 技术与过程的风险、增加价值来确保实现企业的目标。 在c o s o 的内部控制整体框架中，对于i t 控制的描述如下：“t w o b r o a dg r o u p i n g so fi n f o r m a t i o ns y s t e m sc o n t r o la c t i v i t i e sc a l lb eu s e d t h ef i r s ti s g e n e r a lc o n t r o l s - w h i c ha p p l y t om a n yi fn o ta l la p p l i c a t i o ns y s t e m sa n d h e l pe n s u r e t h e i rc o n t i n u e d ，p r o p e ro p e r a t i o n t h es e c o n dc a t e g o r yi sa p p l i c a t i o nc o n t r o l s ，w h i c h i n c l u d ec o m p u t e r i z e d s t e p s w i t h i nt h ea p p l i c a t i o ns o f t w a r ea n dr e l a t e dm a n u a l p r o c e d u r e st oc o n t r o lt h ep r o c e s s i n go fv a r i o u st y p e so ft r a n s a c t i o n s t o g e t h e r , t h e s e c o n t r o l ss e r v et oe n s u r ec o m p l e t e n e s s ，a c c u r a c ya n dv a l i d i t yo ft h ef i n a n c i a la n d o t h e ri n f o r m a t i o ni nt h es y s t e m ” c o s o 框架没有具体描述i t 风险与控制目标。i s a c a 的i t g i 在1 9 9 6 年 首次发表的信息及相关技术控制目标( c o n t r o lo b j e c t i v e sf o ri n f o r m a t i o na n d r e l a t e dt e c h n o l o g y ，缩写为c o b i t ) ，更有针对性。 c o b i t 目前最新的版本是2 0 0 7 年11 月发表的4 1 版本。整个c o b i t 4 1 包括了框架( f r a m e w o r k ) 、控制目标( c o n t r o lo b j e c t i v e s ) 、管理层指南( m a n a g e m e n t g u i d e l i n e s ) 、成熟度模型( m a t u r i t ym o d e l s ) 四大部分。 下图为c o b i t 4 1 框架的示意模型图，在模型的中心部分分别是i t 资源( i t r e s o u r c e ) 、信息要素( i n f o r m a t i o nc r i t e r i a ) 和治理目标( g o v e r n a n c eo b j e c t i v e s ) ，其意 义为通过组织和使用i t 资源( 包括：应用a p p l i c a t i o n ，信息i n f o r m a t i o n ，基础 i n f r a s t r u c t u r e ，人p e o p l e ) ，以实现和达到相应的信息要素( 包括：效果e f f e c t i v e n e s s ， 效率e f f i c i e n c y ，机密c o n f i d e n t i a l i t y ，完整i n t e g r i t y , 可用a v a i l a b i l i t y ，遵循 c o m p l i a n c e ，可靠r e l i a b i l i t y ) ，从而实现i t 治理的目标p 在中心部分的周围则将 所有与i t 系统相关的活动进行了划分，分别归纳到四个部分： l 、p o ( p l a na n do r g a n i z e ) 计划与组织： 2 、a i ( a c q u i r ea n di m p l e m e n t ) 获取及实施： 3 、d s ( d e l i v e ra n ds u p p o r t ) 支持及交付； 4 、m e ( m o n i t o r a n de v a l u a t e ) 监控与评估。 在这四部分中，包括了3 4 个高层控制目标，三百多个详细的控制目标，对 于这些控制目标，c o b i t 提供了详细的指引。 1 0 0 6 3 0 2 5 2 1 6 蒋浩 i t 环境下的内部审计实践探讨 图l ：c o b i t 整体框架，引自i t g i c o b i t4 1 。 c o b i t 是信息系统控制目标和相关最佳实践的框架，用于支持信息和相关 技术的治理、控制和保障。c o b i t 体系模型作为i t 治理和i s 审计的核心模型， 为企业利用i t 资源来实现、比务目标的同时控制风险建立了一种指导，架起了沟 通强调业务的控制模型( c o s o ) 和强调i t 的控制模型( 如信息安全标准 i s 0 1 7 7 9 9 、信息技术基础设施库i t i l 等) 之间的桥梁。c o b i t 体系模型被各种 企业和审计机构普遍认可和接受，用来指导和管理各类i t 活动。在内部审计实 践操作中，c o b i t 模型是被最广为接受和使用的用于评估i t 系统的审计标准和 0 6 3 0 2 5 2 1 6 蒋浩 i t 环境f 的内部审计实践探讨 指引。 1 2 6 内部审计机构和审计标准 目前影响力最大的内部审计专业机构为1 9 4 1 年成立的国际内部审计师协 会( i n s t i t u t eo f i n t e m a la u d i t o r s ，i i a ) ，信息系统审计专业机构为1 9 6 9 年成立的信 息系统审计与控制协会( i n f o r m a t i o ns y s t e m sa u d i ta n dc o n t r o la s s o c i a t i o n ， i s a c a ) 。i i a 目前已经有注册会员1 5 万多人，在1