关于我国开展信息系统审计的初探

【摘要】简要介绍了信息系统审计的概念和重要性，指出我国与发达国家及地区之间在信息系统审计方面存在的差距，提出重视推广注册信息系统审计师（Certified Information System Auditor， CISA）考试认证，以及在信息管理与信息系统专业基础上培养信息系统审计后备人才的建议。

【关键词】信息系统审计;CISA;信息管理;信息系统

一、信息系统审计的定义

国际上信息系统审计（Information System Audit，简称IS Audit）的概念最早是由美国在20世纪60年代提出。目前被广泛接受的定义有两种：一个是由国际信息系统审计委员会（ISACA）提出的“信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标地过程”;第二是由日本通产省情报处理开发协会信息系统审计委员会提出“为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导层，提出问题与建议的一连串的活动”。

二、信息系统审计的重要性

实施信息系统审计能通过评估信息系统的内部控制和风险管理，来改善信息系统的安全性，提高系统效率和效果，客观评价信息系统及信息系统开发，这对社会经济和企业、国家信息化投资、安全以及推动审计发展等方面都具有重要性。

（一）信息系统审计是企业管理的需要

现在企业普遍使用了信息系统，信息系统通常包括计算机、网络设备及其他一些辅助设施，还包括操作系统、数据库系统等各类软件和应用文档。像任何资产一样，它们都面临着毁损、偷窃、保管不当、非人为灾难等各种风险。这些风险会破坏正常的交易秩序，给交易双方带来巨大的损失。信息系统审计师可以用自己的专业知识凭借通过检查和评估内部控制状况，起到改善管理，降低风险的作用。

（二）有利于维护信息时代的市场经济秩序

市场经济是在信用基础上建立的，信息系统审计师在市场经济中应当成为公正的鉴证人。只有当产生信息的系统本身具有可靠性时，它的产品―信息数据才是对利益相关人有用、相关的。信息系统审计师为了鉴证系统的可靠性，可以通过“系统可靠性保证”服务来评估公司信息系统的可用性、安全性和过程的完整性。信息系统审计师应该为各种电子信息提供鉴证，合理地监督组织提供真实可靠的信息来保护各利益相关方的利益，以促进资本市场有序发展，维护信息时代的市场经济秩序，降低风险。

（三）为我国信息化建设保驾护航

当前，我国信息化事业已发展到一个新的阶段。政府和企业认真落实“以信息化带动工业化”的战略，推进“电子政务”及“电子商务”，许多城市及企业也已着手整合与升级其信息化应用系统。可以预计，我国将有更多、更大的信息系统建设项目将逐步展开。但是，国内外的实际表明：信息化是有风险的，而且任何投资项目都要讲成本和效益。在改善信息系统的有效性和效益性方面，信息系统审计也能起到一定作用。信息系统审计师可以从项目计划开始介入信息系统建设的每个环节，以他们的专业素养，从项目的初始阶段一直到运营的全过程，评估系统提供的数据能否对管理和决策起到积极的作用，这个系统是否以最少的资源获得预定的系统需求，并且给予项目投资者风险控制的建议，来提高信息系统的投资效益，最终达到改善系统的设计、开发和建设的目标。

（四）推动我国审计的发展

随着时展，信息技术对传统管理和控制的挑战是空前的，无论是国家审计、内部审计还是注册会计师审计，不懂信息技术必然会遭遇灾难性风险，离开信息系统审计将寸步难行。信息系统审计反映了技术与审计、技术与经济管理相互融合与渗透的时代特点，要求审计人员既要掌握经济管理知识，又要掌握科学技术。现代审计向管理领域和技术领域渗透，是不以人的意志为转移的必然趋势。

三、对我国信息系统审计工作的建议

目前，我国的信息系统审计与发达国家及地区存在一定的差距，无论从信息系统审计概念的普及、行业规范制度的健全，还是从业人员的配备方面都与世界发达国家存在一定的差距。对此，我们应从以下几个方面着手，逐步改善这一状况。

（一）重视并普及信息系统审计概念

信息系统审计是促进信息系统发展规范化，防范系统风险的一个强有力的手段。从世界范围来看，许多国家已经建立了较健全的信息系统审计法制与规范，并广泛应用于信息系统管理中。像爱尔兰2000年就对包括社会福利管理和支付系统、税收评估和收集系统、市民服务财务管理系统、农业财务管理和支付系统、出纳常规系统、国家财政管理财务系统在内的信息系统进行审计。然而在我国，虽然也颁布了《审计机关计算机辅助审计办法》《独立审计具体准则第20号――计算机信息系统环境下的审计》《关于利用计算机信息系统开展审计工作有关问题的通知（[2001]88号）》等一系列有关信息系统审计的法规，但都只有一般性原则和指导，缺乏具体的实务公告和实施指南，实际应用性弱，内容时效滞后。这对于普及信息系统概念、推动我国的信息系统审计行业发展，并无太大的作用。相比之下，由于中国注册会计师协会的大力推广，注册会计师（CPA）在我国的认知度与普及现状则好得多。

在亚洲，CSSIA已经有印度、印尼、日本、韩国、黎巴嫩、马来西亚、阿曼、巴基斯坦、菲律宾、沙特阿拉伯、新加坡、斯里兰卡、泰国、阿拉伯联合酋长国以及我国的香港、澳门、台湾等17个分会。其中，香港更成为世界上除美国外最大的分会。我们分析一下这17个分会，其中不仅有传统的经济、信息优势地区（如香港以及日本、新加坡等），还有许多新兴的地区（如印度、马来西亚、菲律宾等）。这说明，信息系统审计这一行业已经在亚洲得到了很大的重视与发展，而我国大陆至今仍未有分会，这给我们敲响了警钟。

（二）提升从业人员的数量和质量

我国对信息系统审计人员的需求其实十分旺盛，但从业人员，特别是获得CISA专业认证的人仍然太少，只有不足500人，这与世界其他发达国家和地区相去甚远。日前，我国信息系统审计从业人员的来源主要来自两大部分：一是传统审计师，二是从事信息化咨询的IT技术人员。也有学者和专家认为，信息系统审计人员的培养可以在大学中进行，专门设立信息系统审计这一专业，进行类似注册会计师这样的专业培养。笔者认为，目前仍未有开设这一专业的必要，但可以在信息管理与信息系统专业中加入审计方面的课程。

从信息系统审计师考试大纲看，CISA考试的内容如下：

1.信息系统审计程序（10%）;

2.信息系统的管理计划和组织（11%）;

3.技术基础和操作实务（13%）;

4.信息资产的保护（25%）;

5.灾难恢复和业务持续计划（10%）;

6.业务应用系统的开发、取得、实施和维护（16%）;

7.业务过程的评价和风险管理（15%）。

可以看出，关于审计的知识，仅占考试内容的10%。而其他90%的部分涉及的几乎都是信息系统的知识，而信息管理与信息系统目前的本科教学几乎都覆盖到了这些内容。

从信息系统审计的理论基础来看，主要有以下5个：传统审计理论、信息技术理论信息、系统管理理论、行为科学理论和法律理论。这说明，信息系统审计是管理科学和信息技术相结合的交叉学科，相应的从业人员必须是具备这些知识能力的复合型人才。这与信息管理与信息系统专业的培养目的很吻合。

因此，对于信息管理与信息系统专业的学生而言，在能补充和加强审计方面的知识，并在得到一定的实践训练后，是具备信息系统审计从业的基本素质，也比较适应CISA认证考试的要求的。与此同时，这也为信息管理与信息系统专业的学生提供了一条很好的择业方向与职业成长道路。因此，应该以信息管理与信息系统专业为依托，努力提高我国信息系统审计从业人员的数量与质量。

参考文献

[1]张茂燕.论我国的信息系统审计[D].厦门：厦门大学，2005.

[2]胡克瑾.IT审计[M].北京：电子工业出版社，2002.

[3]陈朝.我国信息化建设中信息系统审计问题研究[D].长春：东北师范大学，2006.

作者简介：顿巧玲（1982―），女，重庆人，会计初级，现供职于重庆财经职业学院，研究方向：内部控制与风险管理。