（会计学专业论文）论我国信息系统审计的发展前景.pdf

中文摘要 信息化会计系统的应用提高了企业的经营效率，也带来了信息系统风险，对 信息系统进行审计成为一个现实的问题。目前国际上信息系统审计发展迅速，我 国信息系统审计有了一定的发展，但理论和实践水平仍然较为落后，在信息审计 制度建设以及信息系统审计软件等诸多方面都与国际先进水平存在着差距。研究 信息系统审计的先进理论和技术，认清我国信息系统审计发展存在的问题，并做 出相应对策日渐凸显其重要性。 本文首先对信息系统审计进行理论综述，对信息系统审计的产生及发展历 程、信息系统审计的概念、信息系统审计的对象以及信息系统审计的学科属性做 了较为详细的阐述。在对信息系统审计进行理论综述之后，本文研究了国际上成 熟的信息系统审计制度，并回顾了我国已颁布的相关法律规定，在此基础上对我 国信息系统审计制度建设提出建议。信息系统审计软件已经成为信息系统审计的 一个重要工具，在对国际上具有代表性的审计软件和我国广泛应用的审计软件做 了介绍比较之后，本文对我国审计软件的开发应注意的问题提出了自己的看法。 文章的最后分析了我国信息系统审计发展存在的问题及其成因，在分析了我国信 息系统审计发展面临的新环境之后，对我国信息系统发展前景做出了展望。 本文的创新之处在于：( 1 ) 对于目前国际上尚无定论的信息系统审计的概念 提出了自己的看法，从过程观的角度认识信息系统审计；( 2 ) 对我国信息系统审 计发展面临的机遇进行了分析，提出国外先进的管理思想将促进信息系统审计的 发展。 关键词：信息系统审计；审计软件；并行审计 a b s t r a c t a c c o u n t i n gi n f o r m a t i o ns y s t e me n h a n c e st h ee f f i c i e n c yo fe n t e r p r i s e s ，w h i l ei t c a u s e si n f o r m a t i o ns y s t e mr i s k sw h i c hi n f o r m a t i o ns y s t e ma u d i tb o o t sf r o m i n f o r m a t i o ns y s t e ma u d i th a sa p p e a r e di nc h i n a , b u tt h et h e o r ya n dp r a c t i c e so f i n f o r m a t i o ns y s t e ma u d i ti nc h i n a , s u c ha si n f o r m a t i o ns y s t e ma u d i ti n s t i t u t i o na n d i n f o r m a t i o ns y s t e ma u d i t i n gs o f t w a r e ，a r es t i l ll a g g e dw h i l et h e ya r e r a p i d l y d e v e l o p i n ga b r o a d t or e s e a r c ha d v a n c e dt h e o r i e sa n dt e c h n i q u e so fi n f o r m a t i o n s y s t e ma u d i ta n dr e c o g n i z et h ep r o b l e m so fi n f o r m a t i o ns y s t e ma u d i ti nc h i n aa n d r e s o l v et h ep r o b l e m sb e c o m em o r ea n dm o r ei m p o r t a n t a tt h eb e g i n n i n g ，t h i sd i s s e r t a t i o ns u m m a r i z e st h e t h e o r i e so ni n f o r m a t i o n s y s t e ma u d i ta n de l a b o r a t e st h ec o n c e p to fi n f o r m a t i o ns y s t e ma u d i t ，t h ei n f o r m a t i o n s y s t e ma u d rt a r g e gs u b j e c tp r o p e r t yo fi n f o r m a t i o ns y s t e ma u d i ta n dt h eh i s t o r yo f i n f o r m a t i o ns y s t e ma u d i t t h ef u r t h e rr e s e a r c hf o c u s0 1 1t h ei n s t i t u t i o no fi n f o r m a t i o n s y s t e ma u d i ti nc h i n aa n da b r o a d ，t h e ng i v es o m es u g g e s t i o n so nt h ec o n s t r u c t i o no f i n f o r m a t i o ns y s t e ma u d i ti nc h i n a a u d i t i n gs o f t w a r eh a sb e c o m ea ni m p o r t a n tt o o lo f i n f o r m a t i o ns y s t e ma u d i t ，c h a p t e rt h r e eg i v e ss o m es u g g e s t i o n so na u d i t i n gs o f t w a r e d e v e l o p i n ga f t e rc o m p a r i n gs o m ea u d i t i n gs o f t w a r ei nc h i n aa n da b r o a d t h i s d i s s e r t a t i o ne n d so na l lo u t l o o kf o ri n f o r m a t i o ns y s t e ma u d i ti nc h i n aa f t e rp o i n t i n g o u tt h ep r o b l e m sa n dt h ec a u s e so fi n f o r m a t i o ns y s t e ma u d i ti nc h i n aa n da n a l y z i n g t h ee n v i r o n m e n tt h a ti n f o r m a t i o ns y s t e ma u d i ti nc h i n af a c e s t h ei n n o v a t i o n so ft h i sd i s s e r t a t i o n a r e ( 1 ) e l a b o r a t i n g t h e c o n c e p t o f i n f o r m a t i o ns y s t e ma u d i tf r o mt h ep r o g r e s sa n g l ea st h e r ei sn oc o n c l u s i o no nc o n c e p t o fi n f o r m a t i o ns y s t e ma u d i t ；( 2 ) a n a l y z i n gt h eo p p o r t u n i t i e sf o ri n f o r m a t i o ns y s t e m a u d i ti nc h i n aa n dp o i n t i n go u tt h a ta d v a n c e dm a n a g e m e n tc u l t u r e sa b r o a dw i l l p r o m o t et h ei n f o r m a t i o ns y s t e ma u d i ti nc h i n a k e yw o r d s ：i n f o r m a t i o ns y s t e ma u d i t ；a u d i t i n gs o f t w a r e ；c o n c u r r e n ta u d i t i n g t e c h n i q u e s 厦门大学学位论文原创性声明 兹呈交的学位论文，是本人在导师指导下独立完成的研究成 果。本人在论文写作中参考的其他个人或集体的研究成果，均在 文中以明确方式标明。本人依法享有和承担由此论文产生的权利 和责任。 声明人( 签名) ： 御年 垆月劢日 厦门大学学位论文著作权使用声明 本人完全了解厦门大学有关保留、使用学位论文的规定。厦 门大学有权保留并向国家主管部门或其指定机构送交论文的纸 质版和电子版，有权将学位论文用于非赢利目的的少量复制并允 许论文进入学校图书馆被查阅，有权将学位论文的内容编入有关 数据库进行检索，有权将学位论文的标题和摘要汇编出版。保密 的学位论文在解密后适用本规定。 本学位论文属于 l 、保密() ，在年解密后适用本授权书。 2 、不保密( 叫 ( 请在以上相应括号内打“4 ”) 篡霎；枞导师签名：俐贺蹦日月嬲绷 礴垆 广护，一 厂期 期 第l 章信息系统审计的理论综述 第1 章信息系统审计的理论综述 1 1 信息系统审计的产生背景 在人类文明史上，第三次科技革命是继蒸汽技术革命和电力技术革命之后， 科技领域内的又一次重大飞跃。以电子计算机和互联网技术为主要科技成果的信 息技术是第三次科技革命的代表性成就之一，它深刻地影响着人类的生产生活并 推动了人类文明的发展。信息技术同样给会计这门古老的学科注入了无限的活 力，同时也极大地改变着传统会计的运行模式和工作条件。从2 0 世纪6 0 年代开 始，计算机就开始应用于会计信息处理。电子计算机在处理会计数据上具有天然 的优势，数据处理上的快速性和准确性使得信息化会计系统很快就应用于企业的 经营管理中。如今，已经很难找到一家企业没有运用电子计算机来处理会计信息。 信息化会计系统在运用于企业的经营管理之后，对传统的手工会计系统产生了重 大的变革，手工会计系统的变革进而引起了审计的变革。 1 1 1 信息化会计系统对会计和审计产生的影响 1 信息化会计系统对会计的影响 信息化会计系统虽然是在手工会计系统的基础上发展起来的，但是由于其运 用电子计算机技术于手工会计系统中，其特点还是与手工会计系统有着重大的区 别，具体体现在以下几个方面： ( 1 ) 信息化会计系统效率更高。在传统的手工会计系统中，诸如填制记账凭 证时由于会计人员的疏忽而造成的账目不平的情况时有出现，这给会计人员进行 科目汇总以及编制财务报表时带来了不便，在会计业务繁多的企业中，会计人员 在发现账目不平之后去寻找错误的根源是极为琐碎的，而这在信息化会计系统中 是不可能发生的，目前广泛使用的一些财务软件在会计人员出现录入数据的第一 时间就会提醒会计人员，从根本上杜绝了这种低级错误。同样，在手工会计系统 中，进行科目汇总和编制财务报表时可能出现的类似错误也在信息化会计系统中 被完全杜绝。同时，运用了电子计算机进行处理的信息化会计系统能自动进行科 论我国信息系统审计的发展前景 目汇总、对账、结账以及编制通用财务报表等业务流程，在正确录入记账凭证的 前提下，科目汇总、对账、结账以及编制通用财务报表等业务能确保完全正确。 这在手工会计系统中是难以达到的。总而言之，信息化会计系统由于其天然的优 势，在处理数据上具有极高的快速性和准确性，能极大提高会计工作的效率。 ( 2 ) 信息化会计系统环境下修改会计凭证具有不留痕迹性。在目前广泛运用 的财务软件中，大多设置“取消审核 、“反记账 、“反结账 的功能。虽然在实 际工作中，这些设置给会计人员的会计处理带来了许多方便，但是却对企业的内 部控制流程带来了极大的挑战。在手工会计系统的业务流程中，由于记账凭证出 错而导致账簿记录发生差错时有发生。一般采用两种方式进行相应的修改：一是 将出错凭证采用红字金额原样填制一张，冲销原有的错误凭证，再重新填制一张 正确的记账凭证，这两张记账凭证均进行登账处理，由此也就达到更正的目的。 二是采取补充更正法，对于原来记账凭证中应借应贷账户无错误，而只是金额发 生错误，则可以采用蓝( 红) 字增加( 减少) 金额的做法。在 2 0 0 3 年第6 期。 3 论我国信息系统审计的发展前景 绝大部分的文字记录肉眼看不见，而由存储会计信息的磁盘和磁带取而代之，因 此，审计的踪迹就减少了。此外，从原始数据进入计算机，到财务报表的输出， 这中间的全部会计处理集中由计算机按程序指令自动完成，传统的审计线索在这 里中断甚至消失。传统的查账方法，对信息化会计系统的会计主体已不完全适用。 为了能顺利完成审计任务，传统审计的线索追踪方式不得不进行改革以适应信息 化会计系统发展的需要，在信息化会计系统环境下对经济活动进行全面跟踪。 ( 3 ) 信息化会计系统影响了审计内容和审计范围。在信息化会计系统的条件 下，审计的经济监督职能并没有改变，但由于信息化会计系统的特点，审计的内 容要发生相应的变化。在信息化会计系统中，由于会计事项由计算机按程序自动 进行处理，诸如手工会计系统中因疏忽大意而引起的计算或过账错误的机会大大 减少了。但如果信息化会计系统的应用程序出错或被人非法篡改，则计算机只会 按给定的程序以同样错误的方式处理有关的会计事项，错误的结果将是不堪设想 的。由于网络技术的发展，信息化会计系统也可能被神不知鬼不觉地嵌入非法的 舞弊程序，不法分子可以利用这些舞弊程序大量吞没企业的财物。系统的处理是 否合法合规，是否安全可靠，都与计算机系统的处理和控制功能有关。这是在传 统的手工审计中所没有的。现代信息技术在企业中的应用日益广泛：电子数据转 换( e d i ) 技术的产生和成熟导致了一场贸易方式的变革，它改变了企业传统的 采购、生产、规划、会计、运输等过程；从物料需求计划( m r p ) 到制造资源计 划( 嫩p i i ) 再到企业资源计划( e r p ) ，包括了经济业务本身的合法性和真实性、 原始凭证的录入工作准确性、网络会计信息系统的可靠性，系统研制开发的合理 性、应用程序与数据文件的安全性等。企业的整个业务流程已经被看作是一个紧 密联系的供应链。因此网络经济中信息系统审计的对象应从传统审计的会计报表 及其他资料转化为经济活动的原始资料和信息系统本身。因此在信息化会计系统 的条件下，审计人员要花费较多的时间和精力来了解和审查计算机系统的功能， 以证实其处理的合法性、正确性、完整性和安全性。 ( 4 ) 信息化会计系统对企业内部控制提出了挑战。审计人员要对会计系统的 内部控制进行审查和评价，以作为制定审计方案和决定抽查范围的依据。在手工 会计系统中，内部控制一般表现为对人的控制，强调职责分清、相互牵制，采用 的手段主要是利用纸面信息进行手工核对和检查，责任容易明确，结果也比较直 4 第l 章信息系统审计的理论综述 观。而在信息化会计系统条件下，内部控制转变为对人和机器两方面的控制，而 且多数情况是以计算机内部控制为主。为了系统的安全可靠和系统处理与存贮的 会计信息准确完整，必须考虑信息化会计系统的特点，针对其固有的风险，建立 新的内部控制。 ( 5 ) 信息化会计系统对审计人员的能力提出了更高要求。任何事情都是人做 出来的，如果审计人员的素质和能力能够适应环境的变化，那么信息化会计系统 的广泛应用的影响也可以忽略不计。在信息化会计系统条件下，由于审计技术、 审计线索、审计内容和范围以及内部控制的变化，对审计人员的要求比传统环境 下无疑提高了。不懂得计算机的审计人员，因审计线索的改变而无法审计：不懂 得会计信息系统的特点和风险而不能识别其内部控制；不懂得使用计算机而无法 对计算机进行审查或利用计算机进行审计。因此，要求审计人员不仅要具有丰富 的会计、审计理论和实务知识，熟悉审计政策、法规，而且要掌握计算机和会计 信息系统方面的知识和技能。这对目前的审计人员在知识结构上提出了一个巨大 的挑战。 ( 6 ) 电子商务的迅速发展和广泛应用，对现有的法律体系和财务体系提出了 挑战。方兴未艾的电子商务，极大地推动了网上营销、电子支付、实时报告的发 展。但由此产生的全新购销模式也使原先的会计核算变得无所适从。例如，与其 相伴而来的“电子代理人 虽然并不具备法人的主体，而是作为执行人的意思的 智能化交易工具，作为购销双方的人脑与手等功能的结合和延伸，但由于是按照 购销双方的意志运作，因而与购销双方的当事人联系十分密切。面对这一新生事 物，购销双方都委托计算机进行订购、付款、收货，而与此相关的由系统自动生成 的原始凭证，审计人员又应当如何对其合法性加以确认呢? 综上所述，信息化会计系统的广泛应用，对审计工作产生了巨大的影响，甚 至可能影响传统审计人员的生存和审计这个职业的发展。信息化会计系统在企业 中的应用，使得审计这项职业面临许多新的问题和新的挑战，传统审计制度和传 统审计人员的专业知识结构已经不能适应信息化会计系统的发展，一门新的审计 学科即将产生。 。庄明来：论计算o l n 络j t 境下的详细审计 ，审计研究2 0 0 3 年第6 期。 5 论我国信息系统审计的发展前景 1 1 2 信息系统审计产生之必然性 由于信息化会计系统的广泛应用对传统会计工作和审计工作产生了巨大的 影响，传统的审计学科在信息社会的环境下，又产生了一个新的分支- 信息系 统审计( i n f o r m a t i o ns y s t e m sa u d i t ) 。信息系统审计的产生有其必然性，具体 体现在以下几个方面： 1 信息系统的安全性需要审计 信息系统的安全问题在信息系统诞生初期便出现，并引起审计界的关注。 1 9 6 6 年美国报道了关于计算机犯罪案，1 9 6 9 年在洛杉矶便成立了世界上第一个 电子数据处理审计组织一一e d p 审计师协会( e d pa u d i t o r s a s s o c i a t i o n e d p a a ) ；1 9 7 3 年发生了美国股权筹资公司因计算机犯罪案倒闭的 事件，该事件发生促使美国注册会计师协会( a i c p a ) 设立专门机构来研究现有 的审计标准对计算机系统的环境是否仍然适用，并在1 9 7 4 年颁布了题为“e d p 对审计人员研究和评价内部控制的影响的审计准则说明第3 号( s a sn o 3 ) 。 可见，信息系统的安全问题是推动信息系统审计产生的一个重要因素。 随着网络技术的发展，大多数信息系统都运行在网络平台之上。电子商务的 出现，使信息系统与互联网紧密地联在一起。信息系统遭受到诸如计算机病毒、 黑客的威胁大大增加。信息系统遭受破坏会带来极为严重的后果。人们不难想象， 加入银行的存贷款系统被黑客破坏，加入证券交易所的信息系统突然崩溃，会出 现怎样的后果。信息系统的安全问题使得企业不但要面对传统经营风险和财务风 险，还要面对信息系统带来的风险。在电子商务环境下，一个企业的信息系统的 安全性直接影响到与企业进行交易的客户。当信息系统遭受破坏时，不但企业自 身遭受损失，而且会连累与之交易的客户。因此，企业为了信息系统免收侵犯， 需要对信息系统安全性进行审计，以确保系统的安全系数。而企业的客户为了能 评估交易的风险，需要审计师对该企业信息系统的安全性发表审计意见。 另外，提高信息系统的安全性，是一项系统的工程。它设计信息系统规划、 设计、编程、测试和运行维护阶段，设计信息系统中硬件、软件、规章制度和人 员行为的因素、因此，客观上也只能运用审计的手段对信息系统声明周期中的各 个阶段和系统的各个组成要素进行监督与控制，才能提高信息系统的安全性。 。张永雄：信息系统产生及发展研究，审计与理财) 2 0 0 5 年第2 期 6 第l 章信息系统审计的理论综述 2 信息系统的运行效率需要审计 企业建立信息系统的目的是为了改进经营管理，提高企业的核心竞争力。信 息化实施后，能否带来预期效果，是企业经营管理层需要特别关注的问题。信息 系统工程一项耗资巨大的工程，投资动辄数千万。据统计，国内e r p 项目的招标 预算平均为5 0 0 万，针对中小企业的e r p 项目的招标预算平均也在1 0 0 万至1 5 0 万之间。出于上述的原因，企业的投资者肯定会关心信息系统的运行效率，。企 业的投资者需要独立审计师对信息系统的有效性作出客观的评价。 3 信息系统的可靠性需要审计 随着信息技术的发展，信息系统正向大型化、复杂化、网络化的方向发展。 目前在企业信息化应用中最为流行的e r p ( 企业资源计划) 信息系统，其处理过程 就极为复杂，设计企业经营管理的各个环节。任何一个环节处理的信息出现问题， 都会影响其他环节处理的信息的可靠性，面这些信息对企业的经营可能是至关重 要的。因为企业e r p 系统融入了企业的经营管理思想，控制了企业整个经营活动， 从而造成企业对信息系统的严重依赖性。因此，已经实施信息系统的企业对系统 的可靠性是极为重视的。企业的管理者需要审计人员对信息系统实施审计，对信 息系统的可靠性作出评价，以确保信息系统的可靠性。 从信息技术发展的角度来讲，信息系统在技术上客观存在着一些不稳定因 素，一方面，信息技术不断推陈出新，导致一些技术的应用尚未达到成熟阶段便 遭淘汰，新技术往往被广泛使用。这无疑有利于提高信息系统的性能，但同时未 到成熟阶段的新技术会给信息系统带来不稳定的因素。另一方面，信息系统要进 入运行阶段，要经过规划、设计、编程和测试阶段。任一阶段出现错误，都会导 致下一阶段错误的出现，甚至会出现“积累放大一效应。尤其是信息系统中的软 件系统，其开发需要大量的人力、物力和财力，由于人的认识与客观实际存在着 差距，无论采用何种开发方法和技术，都难免会出现错误。 从上面的分析可以知道，企业对信息系统的依赖性和信息系统在技术尚客观 存在的不稳定因素，推动了信息系统的使用者和开发者对信息系统实施审计，以 提高信息系统的可靠性和减少信息系统的不稳定因素。企业的经营管理层需要专 业而独立的审计人员对企业信息系统的可靠性进行审计。 综上所述，由于信息系统的特殊性，企业经营管理层需要对信息系统运行的 7 论我国信息系统审计的发展前景 安全性、运行效率和信息系统运行的可靠性进行审计，以确保企业花费巨资而引 进的信息系统能安全有效地保护企业的财产不受他人侵害，保障企业的日常经营 顺利进行，保证信息系统具有较高的运行效率并提高企业的核心竞争力，促使企 业在竞争日益激烈的市场环境中能生存、发展、壮大。有需求才会有供给，信息 系统产生的根源就在于此。 1 1 3 信息系统审计的发展历程 1 信息系统审计的概念 在研究信息系统审计的概念之前，有必要对几个目前在学术界广泛应用的名 词进行清楚地表达和界定。 i t 审计( i n f o r m a t i o nt e c h n o l o g ya u d i t ) 、计算机审计( c o m p u t e ra u d i t ) 、 电算化审计( c o m p u t e r i z e da u d i t ) ：这三个名词都是信息系统审计的通俗叫法。 如果仔细推敲，会发现很难从它们的字面上理解出准确的含义。 e d p 审计( e l e c t r o n i cd a t ap r o c e s s i n ga u d i t ) ：计算机技术应用于管理 和会计核算工作的早期，对电子数据及其处理过程的审计是信息系统审计发展的 早期阶段。e d p 是指以电子计算机为主的数据处理系统。e d p 审计是指对计算机 信息处理系统的开发及其软件、硬件和运行环境进行测试，并评价计算机信息系 统数据处理是否准确、真实、安全、可靠、高效，满足企业经营管理的需要。e d p 审计的概念可以分为狭义和广义两类。狭义的e d p 审计，是指对现已存在并在 运用的e d p 系统进行审计；广义的e d p 审计，是指对e d p 系统生命周期各阶 段的评价，包括e d p 系统需求审计、开发审计、运行维护审计。 计算机辅助审计工具与技术( c o m p u t e ra s s i s t e da u d i t t o o l sa n d t e c h n i q u e s ) ：指运用计算机及相关软件作为完成特定审计任务的工具和运用这 些工具时所采用的特定的技术。它并不是指某种特定的审计类型。计算机辅助审 计也称审计电算化、审计自动化，利用计算机进行审计等，是指审计人员利用计 算机完成部分审计工作。其目的主要是：适应计算机化信息处理环境，提高审计 工作效率和质量，提高审计工作效果。政府审计、内部审计、注册会计师审计， 都可利用计算机辅助审计技术帮助审计人员从审计对象的计算机系统中获取数 据，完成自动加工、计算比较、统计抽样、测试数据、编制底稿，辅助制定审计 8 第l 章信息系统审计的理论综述 策略和计划等工作。 e d p 审计和计算机辅助审计( c a a ) 既有联系又有区别，e d p 审计是以利用计 算机辅助审计工作为主的审计，实质上更接近于c a a 。1 9 9 2 年成立的i n t o s a i e d p 委员会就是专门为促进e d p 审计而诞生的，其编辑的刊物i n t oi t 从1 9 9 5 年1 月开始发布，1 9 9 6 年1 月第三期开始才陆续刊登了一些专家对信息系统审 计的探讨。而各国传递的资料中也绝大部分时关于s a i s 实行信息化装备及利用 c a a t s 进行c a r 的情况。 由于企业的经营管理信息化以后，原来手工处理方式下的一些管理控制措施 发生了根本性的变化，一些控制措施已经成为计算机软件程序的操作步骤被固化 在日常的操作中，有的通过软件自动进行错误检查核对，而信息系统中控制的好 坏直接影响各项经济信息的真实性、合法性，只有通过e d p 审计，可以直接确 认这些风险，为常规的财务收支审计提供支持。此外，通过开展常规财务收支审 计为目标的信息系统审计，也可以为当前情况下我国信息系统审计业务的开展寻 找突破点。当前信息系统审计主要集中在审计作业、审计管理信息化方面，这些 作业起步于计算机辅助审计，但其意义已远远超出辅助审计，正推动着现代化审 计，从审计技术方法、审计程序到审计组织全方位变革。 关于信息系统审计的定义，目前学术界尚无定论。 r o n a w e b e r 认为信息系统审计是一个获取并评介证据，以判断信息系 统是否能保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地 实现组织目标的过程。 日本通产省情报协会对信息系统审计定义如下：为了信息系统的安全、可靠 与有效，有独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机 为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导提出 问题与建议的一连串的活动。 李丹和刘济平在j a m e s a h a l l ( i n f o r m a t i o ns y s t e m sa u d i t i n ga n d a s s u r a n c e 一书中的译言中认为，信息系统审计是指对信息系统的规划、开发、 实施和维护等各个环节进行评价，确保其符合企业经营目标的过程。 国r o n a w e b e r - ( i n f o r m a t i o ns y s t e mc o n t r o la n da u d i t ，p r e n t i c eh a l l 1 9 9 9 年版 。胡克瑾：t i t 审计 ，电子工业出版社，2 0 0 4 年版。 。j a m e s a h a l l 著，李丹，刘济平译，信息系统审计与鉴证 ，中信出版社，2 0 0 3 年版 9 论我国信息系统审计的发展前景 邓少灵认为，计算机审计是指对信息系统从计划、研发、实施到运行维护各 个过程进行审查与评价的活动，以审查企业信息系统是否安全、可靠、有效，保 证信息系统得出准确可靠的数据。 孙强认为，信息系统审计是指审计人员接受委托或授权，收集并评估证据以 判断一个计算机信息系统( 信息系统) 是否做到有效保护资产、维护数据完整并 最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴证目标一 一即对被审计单位的信息系统保护资产安全及数据完整的鉴证，又包含内部审计 的管理目标即不仅包括被审计信息系统保护资产安全及数据完整而且包括 信息系统的有效性目标。 以上学者对信息系统的定义虽然不尽一致，但通过分析可以发现信息系统审 计的一些要点： ( 1 ) 信息系统审计的目标是判断信息系统能否有效保护公司资产，提高企业 经营效率和企业核心竞争力。 ( 2 ) 信息系统审计是一个过程，这个过程需要涵盖企业信息系统从规划、开 发、实施到运行维护的每一个阶段。 ( 3 ) 信息系统审计报告的面对的对象是企业经营管理负责人，因为信息系统 关系到企业的日常运营以至生存发展。 综合上述几个要点，笔者认为，信息系统审计是一个对企业信息系统的规划、 开发、实旌以及运行维护进行审计的过程，在这个过程中，信息系统审计人员应 该对信息系统能否有效保护公司资产，提高企业经营效率以及企业核心竞争力作 出判断，并向企业经营管理负责人如实报告。 2 信息系统审计的发展阶段 在介绍e d p 审计时已经提到，e d p 审计是信息系统审计发展的初级阶段，从 信息系统审计出现到现在，信息系统审计大致经历了以下四个阶段： 2 0 世纪6 0 年代信息系统审计萌芽期。i b m 出版了 a u d i te n c o u n t e r s d a t ap r o c e s s i n g 、 ，同济大学学报，2 0 0 3 年第1 4 期。 。胡克瑾：i t 审计) ，电子工业出版社，2 0 0 4 年版 1 0 第l 章信息系统审计的理论综述 新的概念、术语及审计技术等。接着在1 9 6 8 年由美国注册会计师协会出版了会 计审计与计算机一书。这一阶段实质是计算机辅助审计( c a a ) 的开始，社会 对信息系统审计的认识还远远不够。1 9 6 9 年，信息系统审计与控制协会( i s a c a ) 在美国成立，标志着国际社会对信息系统审计研究的正式开始。 2 0 世纪7 0 年代信息系统审计发展期。计算机犯罪案例的出现加速了信 息系统审计的发展，1 9 7 4 年美国注册会计师协会( a i c p a ) 发表了内部管理的 调查与评价对e d p 的影响，作为对电子数据处理实施审计的标准；1 9 7 7 年内部 审计师协会发表了著名的系统可审计性及规则的研究，即s a c 报告，在对美 国、欧洲、加拿大和日本等地的企业进行调查的基础上进行总结，在审计工具方 面取得了成果。1 9 7 5 年日本情报处理开发协会设立了信息系统审计委员会，1 9 7 6 年发表了使用电子计算机的会计组织的内部规则质问书( 修订案) 、 e d p 审 计标准及审计过程试案和e d p 审计方法等。1 9 7 8 年i s a c a 开始推出注册信 息系统审计师( c e r t i f i e di n f o r m a t i o ns y s t e m sa u d i t o r ，简称c i s a ) 考试 与资格认证，得到了广泛认可，成为信息系统审计发展的重要标志。 2 0 世纪8 0 年代信息系统审计成熟期。1 9 8 2 年日本通产省在机械信息产 业局中设立了“计算机安全研究会”，研究信息化健全发展的必要法规；1 9 8 3 年 发表了重要紧急课题“计算机安全的研究成果有关计算机的安全对策；1 9 8 4 年日本政府委托情报化对策委员会信息系统审计协会对美国的信息系统审计标 准进行了研究，第二年公开发表了i t 审计标准，并在日本的软件水平考试中 增添“i t 审计师刀考试。 2 0 世纪9 0 年代信息系统审计普及期。这一阶段，不仅i s a c a 不断发展 壮大，在全球设立了1 6 0 多个分会，制定和颁布了i s a 准则、实务指南，积极推 广c i s a 资格考试，i n t o s a i 也成立了e d p 审计委员会。i n t o s a ie d p 委员会成 立于1 9 9 2 年，在1 9 9 2 年1 0 月在华盛顿举行的第十四届i n t o s a i 会议上，委员 会宣布其成立目标是：1 支持和促进知识的发展与转化：2 在成员贡献的基础上 提交e d p 审计目录；3 促进在成员中进行标准、指南的讨论、发展和分发，鼓励 双边及区域性的相互协作及经验交流；4 促进本地及区域性培训活动，以及；5 帮组个别最高审计机关( s a i s ) 在成员国家的双边交换中寻求专业技术。i n t o s a i 委员会于2 0 0 2 年1 1 月在新德里召开的第1 1 次会议上正式更名为i n t o s a ii t 审 论我国信息系统审计的发展前景 计委员会。 在建立信息系统审计制度，开展信息系审计研究方面，美国走在了世界前列。 早在计算机进入实用阶段时，美国就开始提出系统审计( s y s t e ma u d i t ) 。1 9 6 9 年在洛杉矶成立了电子数据处理审计师协会( 即p 从) ，1 9 9 4 年该协会更名为信 息系统审计与控制协会( i n f o r m a t i o ns y s t e ma u d i ta n d c o n t r o la s s o c i a t i o n ) 即i s a c a ，总部设在美国芝加哥。目前该组织在世界上1 0 0 多个国家设有1 6 0 多 个分会，现有会员两万多人，它是从事信息系统审计的专业人员唯一的国际性组 织，c i s a ( c e r t i f i e di n f o r m a t i o ns y s t e ma u d i t o r ) 也是这一领域的唯一职业 资格。 信息系统审计与控制协会通过制定和颁布信息系统审计准则、实务指南等 专业标准来规范和指导信息系统审计师的工作；它还设立了信息系统审计与控制 基金会，从事相关领域的研究工作，以使该组织的成员能够享用其最新研究成果； 通过在世界各地举办各种形式的研讨会、培训班等活动，增进国际间同业人员的 交流。i s a c a 每年还举办c i s a 资格考试，通过考试的人员可以申请c i s a 资格， 符合i s a c a 规定的工作经验及其他相关要求的申请人会被授予c i s a 资格。c i s a 资格在世界各国都被广泛的认可。 中国对信息系统审计的研究始于香港分会的成立，香港分会成功地将信息系 统审计这一概念引入中国。2 1 世纪初，中国大陆也开始了信息系统审计的研究， 国家审计署干部培训中心致力于c i s a 的推广和培训，每年都举办几期培训。目 前我国的信息系统审计实践大都集中在电子数据的采集与分析方面，属于实质性 测试阶段的内容，这与我国目前审计的发展的水平密切相关。抛开计算机信息系 统不论，单从手工环境下的财务审计来看，我们目前仍然把主要精力放在查错纠 弊方面，也就是关注财务数据本身。对被审计单位的信息处理系统或内部控制一 直没有给予足够的重视。其实，对系统进行审计不仅是审计技术发展的要求，也 是深化审计工作的要求，即使得审计工作上层次。也就是说，在进行审计时，我 们不能仅仅满足于审计工作局限于查错纠弊的现状，审计人员应该“知其然”， 更应该“知其所以然 ，在查错纠弊的同时，还应该发现错弊的根源，即产生错 弊的体制、制度以及系统上的原因，这样才能有效地帮组被审计单位提高经营效 率。 1 2 第1 章信息系统审计的理论综述 纵观审计的发展历程，我们可以清晰地发现，在审计这项职业的发展历史上， 由于审计人员对被审计组织进行审计的过程中要对其内部管理流程和内部控制 进行系统的研究，审计人员有能力对被审计组织的管理和控制提出意见和建议。 这就派生出了管理咨询和管理审计等新的审计业务类型。 与此类似，在会计报表审计过程中积累的对被审计组织的计算机信息系统的 审计经验，也使得审计人员有可能对被审计组织的计算机信息系统的安全性、可 靠性等方面发表专业而独立的审计意见，这就是信息系统审计脱离财务报表审计 而成为独立的一种审计方式的过程。 1 2 信息系统审计的学科属性及审计对象研究 1 2 1 信息系统审计的学科属性研究 信息系统审计是审计人员在会计报表审计过程中，积累了丰富的计算机信息 系统审计经验之后，逐步从传统审计中分离出来的。从信息系统审计产生的方式 可以看出，信息系统审计源于财务报表审计。因此，传统审计理论也是信息系统 审计重要的理论基础之一。特别是传统审计理论为信息系统审计提供了丰富的内 部控制理论，以保证所有交易数据都被正确处理，同时收集并评价证据的方法论 也在信息系统审计中广泛应用。传统审计理论对信息系统审计影响最深的还在于 其给信息系统审计带来的控制哲学，即用批判的眼光审视信息系统在保护资产安 全、保证信息完整，并达到提高企业核心竞争力和经营效率的目的。 另外，信息系统审计在很大程度上运用信息技术方面的理论知识，这也成为 信息系统审计区别于其他审计学科的一个重要标志。当代信息技术理论包括诸如 网络技术理论、信息技术理论、数据挖掘理论、信息系统集成理论、多媒体理论 技术、人工智能技术等。这些理论与技术极大地提高了审计测试效率、审计监督 质量，并为审计理论的发展提供了前所未有的机遇，同时也给传统审计人员提出 了知识结构上的挑战。要想成功地实施信息系统审计，单纯依靠传统的审计理论 知识已经不可能了，需要掌握更多的信息技术方面的知识。目前国际上在信息系 统审计方面最有权威的注册信息系统审计师( c i s a ) 的考试内容包括：信息系统 。李丹：信息系统及控制审计的现状与发展 ，中国审计) 2 0 0 3 年第l 期。 1 3 论我国信息系统审计的发展前景 审计程序、信息系统的管理计划和组织、技术基础和操作实务、信息资产的保护、 灾难恢复和业务持续计划、业务应用系统的开发、取得、实施和保护、业务过程 的评价和风险管理。从c i s a 的考试内容足可看出，信息技术方面的理论知识在 信息系统审计这门新兴的学科中占有重要的地位。 笔者认为，信息系统审计这门新兴的学科是审计理论和信息技术理论相交叉 的边缘学科，信息系统审计为企业的经营管理层提供企业信息系统方面的报告， 为企业的管理决策服务。 1 2 2 信息系统审计对象研究 信息系统审计的对象是什么? 我们可以先来研究一下信息系统审计过程的 几个审计要素。一般来看，信息系统审计过程中应包括六点审计要素： 1 物理和环境审核。包括物理安全、电力供应、空气调节、湿度控制和其他 的环境因素。 2 系统管理审核。包括操作系统、数据库管理系统、所有系统管理程序的安 全审核和遵从性审核。 3 应用软件审核。业务应用软件可能是工资、票据、网络基础上的用户订购 处理系统或在实际运转企业的企业资源计划系统。应用软件的审核包括访问控制 和授权、确认、错误和例外处理、应用软件内的业务程序流和辅助人工控制和程 序。另外，应完成系统发展生命周期的审核。 4 网络安全审核。系统内部和外部连接审核、边界安全、防火墙审核、路由 器访问控制列表和入侵检测是其所涉及的一些典型的审核领域。 5 业务持续性审核。包括容错和冗余硬件、备份程序的存在、维护和存储， 归档和灾难恢复业务持续计划。 6 数据完整性审核。其目的是仔细检查现时数据以确认控制的充分性和在上 述审核中注意到的弱点的影响。这样的实质性测试可使用一般审计软件来进行， 比如，计算机辅助审计技术c a a t 等。 从信息系统审计的六大要素可以看出，信息系统审计的对象是企业引进的整 个信息系统工程( 包括硬件和软件) 以及存储信息系统工程的物理环境。 。李志坚：信息系统审计要素 ，中国注腮会计师 2 0 0 4 年第9 期。 1 4 第l 章信息系统审计的理论综述 信息系统审计的对象对信息系统审计人员的专业能力提出了很高的要求，从 信息系统审计要素中可以看出，信息技术在信息系统中占有非常重要的地位，信 息系统审计人员必须掌握这方面的专业知识，才能提高自己的胜任能力。 1 3 信息系统审计国内外研究理论综述 1 3 1 信息系统审计的国内外研究概况 前文在介绍信息系统审计的发展历史时已经提到，国外对信息系统审计始于 2 0 世纪6 0 年代，e d p 审计是其发展的初级阶段。2 0 世纪6 0 年代随着第二代晶 体管计算机的出现和计算机应用的普及，特别是会计信息系统普及后，开始出现 了信息系统审计。通过4 0 多年的研究，国外在信息系统审计方面已有相当规模 和成果，主要集中在信息系统审计执业标准和规范、信息系统审计的作用意义、 信息系统审计的业务内容、信息系统审计技术方法及应用模式以及信息系统审计 人员资格的规范等领域。 美国是建立信息系统审计制度和开展信息系统审计研究的先行者。自1 9 5 4 年美国通用电气公司在会计业务中首次应用计算机技术并获得成功以来，随着计 算机技术的发展和e d p 系统( 电子计算机在管理信息处理的运用形成的电子数 据处理系统) 在管理领域的广泛应用，于七十年代逐步形成了管理信息系统中的 会计信息系统，从而使会计工作发生了较大变化。特别是进入八十年代以后，美 国计算机技术与通讯技术的有机结合，实现了计算机系统网络化，并建立了以管 理会计方法和模型为基础的会计决策支持系统( 简称d s s 系统) 。建立信息化会 计系统以后，审计所涉及的方法内容和步骤与传统手工审计有很大不同，虽然没 有改变审计的目标和基本原则，但使审计的对象、方法和技术发生了较大的变化， 从而形成- f - j 新兴学科信息系统审计。这是- - f - j 审计学理论和信息技术理论 交叉的边缘学科，它主要研究在电子数据处理的