浅析信息系统审计及其现状

摘 要：随着信息技术的发展，信息系统审计在我国审计事务中得到了不断的推进，文章通过对信息系统审计的相关概念及其现状的比较分析，以期进一步为信息系统审计发展提供参考。

关键词：信息系统审计信息技术现状

国内外学者对于信息系统审计及其相关概念缺乏统一的认识，因此有必要厘清信息系统审计及其相关概念。现代审计的主流是以财务报表审计为代表的对信息的检验，对信息系统审计研究的文献极其有限，且缺乏对信息系统审计研究的文献的梳理与评说。同财务审计相比，信息系统审计在审计目标、审计内容等方面存在着不同之处。

一、信息系统审计

信息系统审计（Information System Audit，ISA）是目前常常提到的概念，一般理解为对计算机系统的审计，信息系统审计的国际权威组织――国际信息系统审计和控制协会给信息系统审计作了如下定义：信息系统审计是收集和评估证据，以确定信息系统与相关资源能否适当地保护资产、维护数据完整、提供相关和可靠的信息、有效完成组织目标、高效率地利用资源并且存在有效的内部控制，以确保满足业务、运作和控制目标，在发生非期望事件的情况下，能够及时地阻止、检测或更正的过程。信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程。对信息系统合法性、可靠性、安全性、有效性和效率性进行审计，对被审单位的信息系统做出科学、合理的评价。

信息技术在社会生产各个领域的广泛应用，也使得审计理论界与实务界出现了一系列相关术语。（1）计算机审计，国内学术界对计算机的叫法多种多样，例如信息系统审计、审计信息化、EDP审计等等；有的文献认为计算机审计包括：对计算机管理的数据进行检查；对管理数据的计算机进行检查。根据国内对“计算机审计”一词的使用情况，可以把计算机审计的含义总结如下：计算机审计是与传统审计相对称的概念，它是随着计算机技术的发展而产生的一种新的审计方式，其内容包括利用计算机进行审计和对计算机系统进行审计。由此可见，计算机审计的内涵和IT审计的内涵相似。（2）电子数据审计，电子数据审计是目前审计实务界使用较多的一个术语，对于电子数据审计，目前还没有给出明确的定义，根据目前对该术语的使用情况，电子数据审计一般可以理解为“对被审计单位信息系统中的电子数据进行采集、预处理以及分析，从而发现审计线索，获得审计证据的过程。”（3）电子数据处理审计，电子数据处理（Electronic Data Processing，EDP）审计和电子数据审计是两个不同的概念，电子数据处理审计是信息系统审计的初级阶段，它是指对计算机信息处理系统的开发及其软件、硬件和运行环境进行测试，并评价计算机信息系统数据处理是否准确、真实、安全、可靠、高效，满足企业经营管理的需要。对于电子数据审计和电子数据处理审计这两个不同的概念，在实际应用中，一定要加以区分。（4）持续审计，持续审计（Continuous Audit，CA）是指在相关事件发生的同时，或之后相当短的时间内产生审计结果的一种审计行为。持续审计是同传统期间审计相对应的概念，其本质是审计方法的创新，它强调审计过程的持续性、审计实施的即时性和审计活动的整合性，并且基于例外审计和战略系统审计的理念，要求审计师运用“自上而下”和“自下而上”相结合的手段，对审计对象做出合理的专业判断。（5）计算机辅助审计，如同CAM（Computer-aided Manufacturing，计算机辅助制造）、CAD（Computer-aided Design，计算机辅助设计）等概念一样，计算机在审计领域中的辅助应用被称为计算机辅助审计。中国国家审计署把计算机辅助审计理解为：“计算机辅助审计，是指审计机关、审计人员将计算机作为辅助审计的工具，对被审计单位财政、财务收支及其计算机应用系统实施的审计”。

通过以上的分析，笔者认为计算机审计覆盖了计算机辅助审计和信息系统审计两项内容，信息系统审计是计算机审计的组成内容之一。

二、国外信息系统审计研究现状

随着信息技术与审计理论的发展，国外信息系统审计大致经历了萌芽、发展、成熟和普及期四个时期。

20世纪80年代，计算机犯罪率急剧上升，信息系统的安全防范体制仍很不充分。为适应信息系统审计实务发展的要求，美国EDP审计师协会1981年举办了首次注册信息系统审计师（CISA）资格认证考试，1984年的《EDP控制的目标》提出了信息系统的系列控制标准，1987年了《信息系统审计的基本准则》（General Standards for Information Systems Auditing）；日本通产省在1982年设立了“计算机安全研究会”，而后发表了《有关计算机安全对策》，1985年发表了《IT审计标准》，提出了“随着信息系统网络化的进展，仅仅是系统内部的审计是不充分的，有必要尽早地引入由具有专门知识与技术的、与系统没有直接关系的第三方（信息系统审计师）对信息系统的安全、可靠等进行全面检查……”等观点，并在日本的软件水平考试中增添“系统审计师”考试，培养从事信息系统审计的专业队伍。上述审计理论与实务表明，国外信息系统审计发展已经进入成熟期，并走上了正规化和专业化的轨道。

进入20世纪90年代以后，国外信息系统审计研究进入普及期。1994年， EDPAA正式更名为信息系统审计与控制协会（ISACA），ISACA成立后主要致立于信息系统审计准则体系的制定工作。ISACA的信息系统审计规范类似于CPA审计准则体系，它由基本准则、审计指南和作业程序构成，其显着特点就是以COBIT为基本工具，并借以与ITGI的指南相联系，以弥补ISACA规范在审计细节方面关注的不足。截止到2010年12月，ISACA已经了16项基

本准则，41项审计指南和11项作业程序，为信息系统审计人员开展审计活动提供了指引。

三、国内信息系统审计的研究现状

随着我国信息化进程的推进，国内理论界与实务界也开展了针对信息系统审计的相关研究。中华人民共和国审计署京津冀特派办于2005年了《计算机审计操作规则》、《审计中间表创建和使用管理规则》和《数据分析报告撰写规则》等操作规则之后，又于2006年9月了《信息系统审计操作规则》、《网上审计操作规则》以及《审计数字化应用规则》等信息系统审计的规则。中国审计协会为了规范组织审计机构及人员开展信息系统审计活动，保证审计质量，于2008年根据《内部基本审计准则》的精神制定并颁布了《审计具体准则第28 号――信息系统审计》。尽管28号审计准则的出台受了很多学者的评论，但20号审计准则却是我国第一个真正意义上的信息系统审计准则，也为我国信息系统审计人员开展信息系统审计活动提供了法律依据。在政府或相关机构颁布信息系统审计准则的同时，国内学者也对信息系统审计开展了研究。对我国开展信息系统审计已经迫在眉睫，而开展信息系统审计将面临审计观念的转变、信息系统审计的专业人才以及行业准则与实务指南等问题，应加快行业准则与实务指南的制定。可以借鉴ISACA的做法,也采用三个层次体系结构，以基本准则为核心，统领审计指南和作业程序，从而使整个准则体系不断扩展。

参考文献：

[1]中华人民共和国审计署，《审计机关计算机辅助审计办法》，1997，第二条.

[2]胡克瑾等编著．IT审计[M]，电子工业出版社，2002：4-5.

[3]刘杰，我国信息系统审计规范体系研究[D]，厦门大学博士学位论文，2010：56.