國際信息系統(tǒng)審計的發(fā)展史

申請免費試用、咨詢電話：400-8352-114

信息系統(tǒng)審計的萌芽

隨著計算機的迅速發(fā)展，利用計算機處理的業(yè)務(wù)越來越廣泛。計算機在企業(yè)的應(yīng)用，使企業(yè)的經(jīng)營過程、思想意識和方法等產(chǎn)生了顯著的變化。最初是由會計師事務(wù)所對利用計算機較早、較為深入的金融領(lǐng)域進行審計，但還沒有形成統(tǒng)一的制度。IBM出版的《Audit Encounters Electronic Data Processing》、《In-line Electronic Processing and Audit Trail》等文獻，給出了在新的電子數(shù)據(jù)環(huán)境下的內(nèi)部審計規(guī)則和組織方法，介紹了許多新的概念、術(shù)語和審計技術(shù)等。接著在1968年由美國注冊會計師協(xié)會出版了《會計審計與計算機》一書。20世紀(jì)60年代先后發(fā)表了若干引人注目的研究成果，金融企業(yè)設(shè)立了電子數(shù)據(jù)處理及安全辦公室，美國國防部海軍審計局引進了通用的審計軟件包。

嚴格意義上講，最初的信息系統(tǒng)審計就其范圍和目的而言，與我們現(xiàn)在的信息系統(tǒng)審計是不同的。在信息系統(tǒng)審計的萌芽階段，人們稱之為電子數(shù)據(jù)處理審計（electronic data processing auditing）或計算機審計,它是作為傳統(tǒng)審計業(yè)務(wù)的擴展發(fā)展起來的。那時侯，人們需要信息系統(tǒng)審計主要是由于：

* 審計師認識到計算機已經(jīng)影響了他們執(zhí)行鑒證業(yè)務(wù)的能力；
* 企業(yè)認識到在信息時代，計算機像其它有價值的商業(yè)資源一樣，是商業(yè)競爭的關(guān)鍵資源，因此也迫切需要對其進行審計；
* 職業(yè)團體、組織和政府機構(gòu)認識到需要對信息技術(shù)加以控制，并使其可以審核。

在初期，信息系統(tǒng)審計是作為傳統(tǒng)審計業(yè)務(wù)的一部分，在審計師對由計算機系統(tǒng)處理的數(shù)據(jù)的質(zhì)量進行判斷時提供技術(shù)支持。有信息系統(tǒng)審計技能的審計師被看作是會計師事務(wù)所的技術(shù)資源，在必要時為同事提供技術(shù)支持。對于信息系統(tǒng)審計，需求領(lǐng)域很廣。如對組織的信息系統(tǒng)審計（主要集中在對信息技術(shù)的管理控制）、技術(shù)方面的信息系統(tǒng)審計（包括架構(gòu)、數(shù)據(jù)中心、數(shù)據(jù)通信等）、應(yīng)用的信息系統(tǒng)審計（包括經(jīng)營、財務(wù)）、開發(fā)實施信息系統(tǒng)審計（包括需求識別、設(shè)計、開發(fā)以及實施后階段）和信息系統(tǒng)是否符合國家或國際標(biāo)準(zhǔn)的審計等等。

信息系統(tǒng)審計的發(fā)展

信息系統(tǒng)審計最早稱為計算機審計，是隨著計算機在財務(wù)會計領(lǐng)域的應(yīng)用而產(chǎn)生的。早期的計算機應(yīng)用比較簡單，相應(yīng)地，計算機審計業(yè)務(wù)主要關(guān)注對被審計單位電子數(shù)據(jù)的取得、分析、計算等數(shù)據(jù)處理業(yè)務(wù)，還稱不上信息系統(tǒng)審計。從財務(wù)報表審計的角度來看，這一階段的主要業(yè)務(wù)內(nèi)容是對交易金額和賬戶、報表余額進行檢查，屬于審計程序中的實質(zhì)性測試環(huán)節(jié)。此時，它只是傳統(tǒng)財務(wù)審計業(yè)務(wù)的一種輔助工具，對客戶的電子化會計數(shù)據(jù)進行處理和分析，為財務(wù)報表審計人員提供服務(wù)。

隨著計算機技術(shù)應(yīng)用范圍的不斷擴展，計算機對被審計單位各個業(yè)務(wù)環(huán)節(jié)的影響越來越大，計算機審計所關(guān)注的內(nèi)容也從單純的對電子的處理，延伸到對計算機系統(tǒng)的可*性、安全性進行了解和評價。在制度基礎(chǔ)審計的模式下，計算機審計的業(yè)務(wù)內(nèi)容已經(jīng)擴展到了符合性測試領(lǐng)域。風(fēng)險基礎(chǔ)的審計模式的采用以及信息技術(shù)在被審計單位的各個領(lǐng)域的廣泛應(yīng)用，信息系統(tǒng)的安全性、可*性與其所服務(wù)的組織所面臨的各種風(fēng)險的聯(lián)系越來越緊密，并且直接或間接地影響到財務(wù)報表的真實、公允。在這種情況下，對被審計單位風(fēng)險的評估必須將計算機信息系統(tǒng)納入考慮范圍。發(fā)展到這一階段，計算機審計的業(yè)務(wù)范圍已經(jīng)覆蓋了一項審計業(yè)務(wù)的全過程，計算機審計這一概念已經(jīng)不能反映這一業(yè)務(wù)的全部內(nèi)涵，信息系統(tǒng)審計的概念隨之出現(xiàn)。目前，計算機審計和信息系統(tǒng)審計，IT審計師和IS審計師的概念還在同時使用，但這些概念之間已經(jīng)有了微妙的差別。

由于社會信息化程度的提高，發(fā)達國家大力發(fā)展信息產(chǎn)業(yè)，加上計算機與通信技術(shù)的結(jié)合，使計算機的應(yīng)用更加普及，同時也導(dǎo)致了利用計算機犯罪的比率上升，在社會上引起了強烈的反響，使人們?nèi)找骊P(guān)注包括財務(wù)信息系統(tǒng)在內(nèi)的所有信息系統(tǒng)的安全性、可*性，及其與組織目標(biāo)的一致性。信息系統(tǒng)審計的必要性逐漸凸顯。如今的信息系統(tǒng)審計的業(yè)務(wù)已經(jīng)超出了為財務(wù)報表審計提供服務(wù)的范圍，在很多大型會計公司內(nèi)部，信息系統(tǒng)審計部門已經(jīng)成為一個獨立的對外提供多種服務(wù)的部門。尤其是互聯(lián)網(wǎng)和電子商務(wù)的興起，更是為信息系統(tǒng)審計業(yè)務(wù)帶來了無盡的商機。為財務(wù)報表審計提供服務(wù)只占信息系統(tǒng)審計部門業(yè)務(wù)內(nèi)容很小的一部分。與信息安全相關(guān)的防火墻審計、安全診斷、信息技術(shù)認證以及ERP相關(guān)的新型咨詢業(yè)務(wù)也不斷涌現(xiàn)。“未來審計行業(yè)和審計技術(shù)的發(fā)展動力將主要來自于信息系統(tǒng)審計的發(fā)展”，這一觀點已經(jīng)逐漸成為國外會計、審計界的一個共識。

會計公司以及整個社會對信息系統(tǒng)審計師需求量將隨之成倍地增長，信息系統(tǒng)審計師的地位也在不斷提高。在國際大型會計公司中已經(jīng)出現(xiàn)了沒有CPA資格的合伙人，他們持有的專業(yè)資格就是CISA。信息系統(tǒng)審計師（簡稱CISA）目前已經(jīng)成為全球范圍最搶手的高級人才，這些人才一般都具備全面的計算機軟硬件知識，對網(wǎng)絡(luò)和系統(tǒng)安全有獨特的敏感性，并且對財務(wù)會計和單位內(nèi)部控制有深刻的理解。隨著計算機技術(shù)在管理中的廣泛運用，傳統(tǒng)的控制、管理、檢查和審計技術(shù)都受到巨大的挑戰(zhàn)，國際會計公司、咨詢公司和專業(yè)服務(wù)提供商都將控制風(fēng)險，特別是控制計算機環(huán)境風(fēng)險和信息系統(tǒng)運行風(fēng)險作為管理咨詢和服務(wù)的重點。幾乎所有的大型跨國公司，由于普遍使用大型管理信息系統(tǒng)，都非常重視對信息系統(tǒng)安全性和可*性的控制，常常高薪聘請信息系統(tǒng)審計師進行內(nèi)部審計。

我國的信息系統(tǒng)審計工作目前還處于探索階段，還沒有形成一套成形的專業(yè)規(guī)范，也沒有形成一支能夠全面開展信息系統(tǒng)審計業(yè)務(wù)的人才隊伍。目前我國會計審計界所進行的一些計算機審計的探索和嘗試以及開發(fā)的一些計算機審計軟件還大都停留在對被審計單位的電子數(shù)據(jù)進行處理的階段。無論是國際上大型的跨國公司還是國內(nèi)一些規(guī)模較大的企業(yè)都在不斷地擴大信息技術(shù)在其經(jīng)營活動和會計領(lǐng)域應(yīng)用范圍，運用傳統(tǒng)的會計審計知識已經(jīng)不能對這樣的客戶進行風(fēng)險評估、內(nèi)控測試與評價，從而無法進行真正意義上實施“風(fēng)險基礎(chǔ)模式”的審計業(yè)務(wù)，進而也影響到我國會計師行業(yè)審計業(yè)務(wù)的質(zhì)量。這一現(xiàn)狀使得我國的注冊會計師行業(yè)在與國外大型會計公司的競爭中處于不利地位。

在建立信息系統(tǒng)審計制度，開展信息系審計研究方面，美國走在了前面。早在計算機進入實用階段時，美國就開始提出系統(tǒng)審計（SYSTEM AUDIT）。1969年在洛杉磯成立了電子數(shù)據(jù)處理審計師協(xié)會（EDPAA），1994年該協(xié)會更名為信息系統(tǒng)審計與控制協(xié)會（INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION）即ISACA，總部設(shè)在美國芝加哥。目前該組織在世界上100多個國家設(shè)有160多個分會，現(xiàn)有會員兩萬多人，它是從事信息系統(tǒng)審計的專業(yè)人員唯一的國際性組織，CISA（Certified Information System Auditor）也是這一領(lǐng)域的唯一職業(yè)資格。

信息系統(tǒng)審計與控制協(xié)會通過制定和頒布信息系統(tǒng)審計準(zhǔn)則、實務(wù)指南等專業(yè)標(biāo)準(zhǔn)來規(guī)范和指導(dǎo)信息系統(tǒng)審計師的工作；它還設(shè)立了信息系統(tǒng)審計與控制基金會，從事相關(guān)領(lǐng)域的研究工作，以使該組織的成員能夠享用其最新研究成果；通過在世界各地舉辦各種形式的研討會、培訓(xùn)班等活動，增進國際間同業(yè)人員的交流。ISACA每年還舉辦CISA資格考試，通過考試的人員可以申請CISA資格，符合ISACA規(guī)定的工作經(jīng)驗及其他相關(guān)要求的申請人會被授予CISA資格。CISA資格在世界各國都被廣泛的認可?！　?/P>

日本的系統(tǒng)審計是從八十年代開始，1983年通產(chǎn)省公開發(fā)表了《系統(tǒng)審計標(biāo)準(zhǔn)》，并在全國軟件水平考試中增加了“系統(tǒng)審計師”一級的考試，著手培養(yǎng)從事信息系統(tǒng)審計的骨干隊伍。近幾年東南亞各國也開始制定電子商務(wù)法規(guī)，成立專門機構(gòu)開展信息系統(tǒng)審計業(yè)務(wù)，并制定技術(shù)標(biāo)準(zhǔn)。我國在1999年頒布了獨立審計準(zhǔn)則第20號--計算機信息系統(tǒng)環(huán)境下的審計。但是我國信息系統(tǒng)審計才剛起步，審計技術(shù)、審計規(guī)范、制度等都有待研究。隨著我國信息化水平的提高，對信息系統(tǒng)的有效控制與審計將逐漸成為研究熱點。

在中國普及信息系統(tǒng)審計的重要意義

1、信息系統(tǒng)審計有利于維護信息時代的市場經(jīng)濟秩序

市場經(jīng)濟是建立在信用基礎(chǔ)上的，信息系統(tǒng)審計師應(yīng)當(dāng)充當(dāng)信息時代經(jīng)濟生活中公正的鑒證人起著維護市場經(jīng)濟穩(wěn)定的作用。信息時代競爭的加劇，信息流的電子傳播方式等，使市場對及時和相關(guān)信息的需求越來越多，現(xiàn)有財務(wù)報告模式的局限性性日漸突出。現(xiàn)有財務(wù)報告是以歷史成本為計量基礎(chǔ)的、周期性的向利益相關(guān)者報告。這些報表往往要在事實發(fā)生30天或是更長的時間后才能發(fā)布給報表使用者，因此要用這些財務(wù)報表來作“實時決策”是不可能的。對投資者、分析者和監(jiān)管者而言，這些報表不過是企業(yè)某個時點的"快照"而非持續(xù)性報告。今天的利益相關(guān)者要求“即需即取”的、格式化的數(shù)據(jù)來幫助他們更好的進行投資決策。商業(yè)信息的在線和實時披露是不可扭轉(zhuǎn)的必然趨勢。信息時代的財務(wù)報告模式將會是是以企業(yè)的業(yè)績評估為基礎(chǔ)，在線的、實時的信息披露。在新經(jīng)濟環(huán)境中，信息系統(tǒng)審計師應(yīng)能夠以在線、實時的信息為基礎(chǔ)提供鑒證，通過多種方式來保護公眾利益、提供鑒證服務(wù)并滿足投資公眾對決策有用信息的訪問需要。提供實時報告鑒證對保護公眾利益和保護資本市場的有序發(fā)展是非常有意義的?！　?/P>

只有當(dāng)產(chǎn)生信息的系統(tǒng)本身具有可*性時，它的產(chǎn)品——信息才是對決策有用的。為了鑒證系統(tǒng)的可靠性，信息系統(tǒng)審計師可以通過檢測公司信息系統(tǒng)的可用性、安全性和過程的完整性來確定其是否可靠。這種保證職能叫做“系統(tǒng)可靠性保證”（System reliability assurance）。它是保證信息資產(chǎn)安全、完整、真實可靠的基礎(chǔ)。

此外，電子商務(wù)的風(fēng)險對交易雙方都構(gòu)成威脅。破壞者可以來自公司外部也可以來自內(nèi)部。所面臨的風(fēng)險包括數(shù)據(jù)的失竊、毀壞、截取、改動、延誤或傳輸路徑的改變以及偽造信息。這些風(fēng)險會破壞正常的交易秩序，給交易雙方帶來巨大的損失。如圖8-5所示。信息系統(tǒng)審計師可以憑借自己的專業(yè)知識評估服務(wù)器的效率與網(wǎng)站的可*性，幫助從事電子商務(wù)的公司評估其電子商務(wù)系統(tǒng)的內(nèi)部控制與風(fēng)險。信息系統(tǒng)審計師的存在有利于維護信息時代的市場經(jīng)濟秩序，降低風(fēng)險。

2、信息系統(tǒng)審計為我國信息化建設(shè)保駕護航

當(dāng)前，我國信息化事業(yè)已發(fā)展到一個新的階段。各級政府正在認真落實“以信息化帶動工業(yè)化”的戰(zhàn)略，推進“電子政務(wù)”及“電子商務(wù)”，許多城市及企業(yè)也已著手整合與升級其信息化應(yīng)用系統(tǒng)?？梢灶A(yù)計，全國將有更多、更大的信息系統(tǒng)建設(shè)項目展開。但是，國內(nèi)外的實踐表明：信息化是有風(fēng)險的，信息系統(tǒng)規(guī)模越大，功能越復(fù)雜，風(fēng)險也就越大。中央領(lǐng)導(dǎo)同志在國家信息化領(lǐng)導(dǎo)小組第一次會議中特別強調(diào)：信息化建設(shè)一定要講求效益，不能搞花架子。信息系統(tǒng)審計師的出現(xiàn)，可以從項目計劃開始介入信息系統(tǒng)建設(shè)的每個環(huán)節(jié)，以他們的專業(yè)素養(yǎng)，從項目的初始階段一直到運營的全過程，給予項目投資者風(fēng)險控制的評估與建議，提高信息系統(tǒng)的投資效益。建立并逐步完善我國信息系統(tǒng)審計制度是健康、有序地推進信息化和落實國家信息化領(lǐng)導(dǎo)小組會議精神的一項重要措施。
 

來源: 《信息系統(tǒng)審計：安全、風(fēng)險管理與控制》