IS审计：信息时代审计业务的发展（学报）(doc)
IS审计：信息时代审计业务的发展 孟秀转 孙强 （北京联合大学 应用文理学院，北京100083） （中国信息系统审计与控制专业委员会（筹） 北京 100846） [摘要] 电子商务的推广，使得人们越来越关注电子数据的完整性与可靠性，信息使用者急需 有可以信任的机构，为其提供电子数据及产生电子数据的信息系统的可靠性保证。这 种需要促使新的审计业务即IS审计的产生。IS审计是一个获取并评价证据，以判断计 算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效 果地实现组织目标的过程。加入WTO后，我国注册会计师面临巨大的挑战，开展IS审 计业务不失为我国注册会计师事业发展的一次绝佳机会。我国注册会计师协会应加大 宣传，提高人们对IS审计的关注，引导并培育市场；加强注册会计师信息技术知识的 培训；研究制订我国的IS审计执业规范体系，推动我国IS审计的发展。 [关键词] 信息系统；审计；控制；鉴证 [中图分类号] [文章标识码] A [文章编号] 信息技术的高速发展与广泛应用改变着商业环境，改变着信息的产生与处理方式，从而 改变着信息使用者对信息的要求，而这一切必然影响并改变着审计鉴证业务的范围、内 容与方法，给注册会计师行业带来了新的问题与挑战。理论界在密切关注着信息技术条 件下审计业务的发展。有学者提出计算机审计，电算化审计，但基本上停留在对会计信 息系统的审计上，延伸手工会计信息系统审计，尚未全面探讨信息时代给审计业务带来 的深刻变化。笔者将从IS（information system）审计的产生动因分析入手，提出审计业务的发展方向——IS审计，并介绍国外最 新IS审计理论，在此基础上提出信息时代我国注册会计师审计业务发展的若干建议。 1 IS审计产生动因及其发展 IS审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的 完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。我们可以从分析信 息技术带来的一系列变化找出信息系统审计产生的动因。 1.1 IS审计产生的动因分析 1.1.1 信息技术带来的商务环境的改变 20世纪50年代以来，随着信息技术的高速发展与广泛应用，特别是电子商务的推广， 信息技术正成为当今企业环境中最重要的资源之一。谁拥有最准确、最及时的信息，谁 就会赢得竞争的胜利。获取信息的能力正成为企业的核心竞争能力之一。为此企业掀起 了一波又一波的电子商务浪潮。如图1所示：图中显示每一浪都比前一浪更进步、更大， 伴随着每一浪潮的是电子商务技术和实务的更广泛应用。第一浪主要是80年代和90年代 初的电子数据交换实务，现在已让位给第二浪，如今许多公司已踏上追赶第三浪的征程 了。 [收稿日期] 2002-07-11 [作者简介] 孟秀转，女，河北深州人，北京联合大学应用文理学院讲师，数量经济学硕士，注册会 计师，主要从事统计、审计、投资的教学与研究。 孙强，男：信息系统审计师、微软认证系统工程师、思科认证网络工程师，主要研究 方向：电子商务、IT治理、信息系统审计与控制。 | | |第一浪潮——传统 第二浪潮——电子 第三浪潮—— 一个 | |新的 | |EDI 商务 电子社会 | | | |·下订单 第一浪潮中的要素 | |第二浪潮中要素加上： | |·发货通知 加上： ·无现金交易 | |·开发票 · 电子购物 | |·智能代理的广泛应用 | |·检查库存 ·银行与金融机构 | |·连续不断的测试代理 | |·早已建立关系 ·与虚拟的陌生人 | |交易 | |·增强信息的共享 | 图1 电子商务的三次浪潮（资料来源：电子商务的安全与风险管理 于军译） 在第一浪中电子交易仅仅出现在早已建立关系的商业伙伴之间。第二浪中电子交易能发 生在虚拟的陌生人之间，因此要求向更广泛的人群（潜在的客户）提供公司的信息。无 现金交易与智能代理将是第三浪的主题。商务环境正日益数字化、信息化。 1.1.2 电子商务对价值链的影响 传统价值链通常将信息系统的数据描述为在最初阶段的供应商输入到最终阶段的客户 输出的依次流动，而信息时代，电子商务使公司在价值链的许多环节都与客户和供应商 分享信息。图2描述了一种新的以客户为中心的价值链观念。公司的信息系统就是将这一 过程连接在一起的“粘合剂”。这个以客户为中心的价值链使客户几乎能在任何环节进入 公司的信息系统，以随时掌握其订货的动向。图2所示的以客户为中心价值链，还需要将 公司采购信息系统与公司供应商的信息系统相连。供应商需要登录到自己的下一级供应 商的信息系统以便能为自己的客户提供最佳服务，这样以来网络使各公司可以将其供应 链彻底融为一体。 [pic][pic] 1.1.3 价值链带来信息使用者对信息要求的改变 信息使用者既包括企业管理者、交易伙伴也包括投资人，在信息时代，谁先掌握最及 时最可靠的信息，谁就可以赢得市场。他们对信息的关注不再只是财务报表所反映的过 去的信息，而是更多关注公司的实时信息以便及时做出更为科学的决策。因此信息使用 者有着强烈的愿望需要有一个独立、客观、公正的第三方为其提供所需信息的质量审查 ，以合理保证其信息的完整性、可靠性。电子商务以及价值链的转变改变了传统的审计 业务。当企业开始与新的贸易伙伴交换数据进行交易时，贸易伙伴及其交易处理系统的 可靠性都必须得到评估。当供应链管理中各个过程和步骤，如库存需求计划、购货订单 、销售订单、运货单和现金支出等，通过电子商务信息系统被电子化处理时，审查交易 数据和评估其完整性及可靠性则成为必要。社会的需要促使新的审计业务——IS审计的产 生。它不仅仅是应用计算机技术进行审计（即传统EDI审计或计算机辅助审计），更重要 的是对包括财务管理信息系统在内的所有信息系统本身的安全性、保密性、完整性及其 实现企业目标的有效性进行的审计。 1.2 IS审计的发展 IS审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期，由于人 们对计算机在数据处理中的应用所产生的影响没有足够的认识，认为计算机处理数据准 确可靠，不会出现错弊，因而很少对数据处理系统进行审计，主要是对计算机打印出的 一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大，利用 计算机犯罪的案件不断出现，使审计人员认识到要应用计算机辅助审计技术对电子数据 处理系统本身进行审计，即EDI审计。同时随着社会经济的发展，审计对象、范围越来越 大，审计业务也越来越复杂，利用传统的手工方法已不能及时完成审计任务，必须应用 计算机辅助审计技术（CAATs）进行审计。80年代、90年代信息技术的进一步发展与普及 ，使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安 全性、保密性、完整性及其实现企业目标的效率、效果，真正意义的IS审计才出现。随 着电子商务的全球普及，IS的审计对象、范围及内容将逐渐扩大，采用的技术也将日益 复杂。到目前为止，IS审计在全球来看，还是一个新的业务，从美国五大会计师事务所 的数据看1990年拥有IS审计师12名到近百名，1995年已有500名，到2000年时，IS审计师 正以40%～50%的速度增加，说明IS审计正逐渐受到重视。IS审计的主要推动者是美国IS ACA（信息系统审计与控制协会），成立于1969年，在全球建有100多个分会，推出了一 系列IS审计准则、职业道德准则等规范性文件，并开展了大量的理论研究，COBIT（Con trol Objectives for Information and Related Technology ）已出版了第三版。但是迄今为止仍存在一些问题有待研究，比如：1989年David Dunmore提出的“1）信息系统审计真是一个职业吗？2）信息系统审计的业务范围是什么 ？”等问题，到现在仍然在讨论。 2 IS审计的理论基础及其基本业务 IS审计不仅仅是传统审计业务的简单扩展，信息技术不单影响传统审计人员执行鉴证 业务的能力，更重要的是公司和信息系统管理者都认识到信息系统是组织最有价值的资 产，和传统资产一样需要控制，组织同时需要审计人员提供对信息资产控制的评价。因 此IS审计是一门边缘性学科，跨越多学科领域。 2.1 IS审计的理论基础 如图3所示，IS审计是建立在四个理论基础之上的。1）传统审计理论。 传统审计理论为IS审计提供了丰富的内部控制理论与实践经验，以保证所有交易数据都 被正确处理。同时收集并评价证据的方法论也在IS审计中广泛应用，最为重要的是传统 审计给IS审计带来的控制哲学，即用批判的眼光审视信息系统在保护资产安全、保证信 息完整，并能有效率 、有效果地实现企业目标的能力。2）信息系统管理理论。 信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论，它的 发展提高了系统保护资产安全、保证信息完整，并能有效率 、有效果地实现企业目标的能力。3）行为科学理论。计算机信息系统有时会因为人的问 题而失败，比如对系统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些 行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人 的问题”。4）计算机科学。计算机科学本身的发展也在关注如何保护资产安全、保证信 息完整，并能有效率 、有效果地实现企业目标。但是技术是一把双刃剑，计算机科学的发展可以使审计人员 降低对系统元件可靠性的关注，但是如果技术被不怀好意的人员利用，就增加了审计人 员的审计难度。 [pic] 2.2 IS审计的基本业务 根据国外IS审计实践，IS审计有以下基本业务：1）系统开发审计，包括开发过程的 审计、开发方法的审计，为IT筹划指导委员会及变革控制委员会提供咨询服务；2）主要 数据中心、网络、通讯设施的结构审计，包括财务系统和非财务系统的应用审计；3）支 持其他审计人员的工作：为财务审计人员与经营审计人员提供技术支持和培训；4）为组 织提供增值服务：为MIS人员提供技术、控制与安全指导；推动控制自评程序的执行；5 ）软件及硬件供应商及外包服务商提供的产品及服务质量是否与合同相符审计；6）灾难 恢复系统审计；7）计算机运行及应用开发测试；8）局域网的安全审计；9）网站的信誉 审计；10）全面控制审计等。 IS审计业务将随着信息技术的发展而发展，为满足信息使用者不断变化的需要而增加 新的服务内容。随着电子交易的普及，网络会计必然代替传统会计，鉴证传统会计报表 的传统审计业务也将被IS审计包容。 3 我国注册会计师开展IS审计业务的几点思考 美国在计算机进入实用阶段时就开始提出系统审计（SYSTEM AUDIT），从成立电子数据处理审计协会（EDPAA后更名为ISACA）以来，从事系统审计活 动已有30多年历史。日本的系统审计是从80年代开始，1983年通产省公开发表了《系统审 计标准》，并在全国软件水平考试中增加了"系统审计师"一级的考试，着手培养从事系统 审计的骨干队伍。近几年东南亚各国也开始制定EDI法规，成立专门机构开展系统审计业 务，并制定技术标准。我国在1999年颁布了独立审计准则第20号——计算机信息系统环境 下的审计，但更多的是关注会计信息系统。在信息时代，面对加入WTO后开放的会计市场 ，我国注册会计师面临巨大的挑战，开展IS审计业务不失为我国注册会计师事业发展的 一次绝佳机会。 3.1 我国注册会计师开展IS审计业务机遇与挑战 3.1.1 机遇 我国广阔的市场是我们最大的机遇。2002在中国，每十天左右就会有一个预算为500 万元以上的ERP项目招投标，一年的项目在50～70个左右；预算为100万元至500万元的E RP项目在60～100个左右；预算为100万元的项目在100～150个左右。有些项目是企业自 筹资金，有些项目是国家资金支持。 国家经贸委将利用国债资金支持大中型企业的管理信息化。政府的引导资金带来了企业 实施ERP的具体部署，200多家企业大部分表示将在3～8个月实施ERP，ERP项目费用在50 0万元以上。从1999年起，在全国普遍实行了政府上网工程，到2001年，全国绝大多数乡 级以上政府都设有站点，并通过网站，向社会发布信息，有的还开始提供在线服务。20 00底，中国各式电子商务公...
IS审计：信息时代审计业务的发展（学报）(doc)