關(guān)于開展信息系統(tǒng)審計的研究

劉立彥

[摘 要]隨著信息技術(shù)在各領(lǐng)域的廣泛運(yùn)用，信息系統(tǒng)審計也日益為人們所關(guān)注。未來審計行業(yè)和審計技術(shù)的發(fā)展動力將主要來自于信息系統(tǒng)審計的發(fā)展，但與國外相比，我國信息系統(tǒng)審計的開展還處于探索階段。在這種背景下，筆者認(rèn)為有必要探討信息系統(tǒng)審計的演進(jìn)過程，結(jié)合審計實踐，對信息系統(tǒng)審計的有關(guān)理論進(jìn)行思考和研究。本文在回顧信息系統(tǒng)審計演進(jìn)的基礎(chǔ)上，從定義入手，討論相關(guān)內(nèi)容（如特征、范圍、策略等），并進(jìn)一步歸納分析信息系統(tǒng)審計的一般流程，以提高對信息系統(tǒng)審計及其價值的認(rèn)識，強(qiáng)化對信息系統(tǒng)審計活動實踐的指導(dǎo)。

[關(guān)鍵詞]信息系統(tǒng)；審計；

doi：10.3969/j.issn.1673 - 0194.2017.12.017

[中圖分類號]F239.1 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194（2017）12-00-02

1 信息系統(tǒng)審計的演進(jìn)

“信息系統(tǒng)審計”（IS審計）是近些年我國出現(xiàn)的新概念。在國外，尤其是美國、日本等發(fā)達(dá)國家，信息系統(tǒng)審計已經(jīng)發(fā)展到相當(dāng)程度，但在我國信息系統(tǒng)審計才剛剛起步。它是與企業(yè)信息化過程緊密聯(lián)系的，是審計技術(shù)與信息技術(shù)共同發(fā)展的必然產(chǎn)物。

20世紀(jì)中葉，計算機(jī)及其技術(shù)開始應(yīng)用于企業(yè)的經(jīng)營、管理。20世紀(jì)50年代，計算機(jī)第一次應(yīng)用于工商企業(yè)——使用打孔卡作為數(shù)據(jù)存儲和批處理。20世紀(jì)60年代，工業(yè)500強(qiáng)中超過50%的公司廣泛使用電子數(shù)據(jù)處理操作。1975年，至少有20萬臺主機(jī)應(yīng)用于企業(yè)，而物料需求計劃（MRP）進(jìn)入第二代物料資源計劃（MRPⅡ）。但由于當(dāng)時審計人員可用的審計軟件（GAS）過多，導(dǎo)致組織在投資這些審計軟件時不得不考慮成本效益，因此，從20世紀(jì)60年代到80年代，電子數(shù)據(jù)處理（EDP）相關(guān)（內(nèi)部）審計技術(shù)應(yīng)用緩慢。20世紀(jì)90年代，世界經(jīng)濟(jì)處在即將步入21世紀(jì)信息（技術(shù)）時代的頂點。

2 信息系統(tǒng)審計的業(yè)務(wù)范圍及一般流程

2.1 信息系統(tǒng)審計的業(yè)務(wù)范圍

信息系統(tǒng)審計的業(yè)務(wù)范圍應(yīng)包括與信息系統(tǒng)相關(guān)的所有領(lǐng)域，主要為：①對組織的信息系統(tǒng)審計，集中在對信息技術(shù)的管理控制；②技術(shù)方面的信息系統(tǒng)審計，包括構(gòu)架、數(shù)據(jù)中心、數(shù)據(jù)通信等；③應(yīng)用的信息系統(tǒng)審計，包括經(jīng)營、財務(wù)；④開發(fā)實施信息系統(tǒng)審計，包括需求識別、設(shè)計、開發(fā)以及實施后階段；⑤信息系統(tǒng)的合規(guī)性審計，主要指信息系統(tǒng)是否符合國家或國際標(biāo)準(zhǔn)的審計；⑥電子商務(wù)審計，包括網(wǎng)譽(yù)審計、電子簽名審計業(yè)務(wù)等。

具體而言，信息系統(tǒng)審計的業(yè)務(wù)范圍有：①信息系統(tǒng)開發(fā)計劃、管理及組織架構(gòu)的戰(zhàn)略、政策、標(biāo)準(zhǔn)及相應(yīng)實踐過程的評估；②信息資源在運(yùn)行環(huán)境、邏輯訪問、IT基礎(chǔ)設(shè)施等方面安全性的評估；③業(yè)務(wù)流程風(fēng)險管理水平的評估；④災(zāi)難恢復(fù)及業(yè)務(wù)持續(xù)能力的評估；⑤技術(shù)基礎(chǔ)設(shè)施及運(yùn)行實踐的效能以及效率的評估；⑥對于系統(tǒng)開發(fā)、實施與維護(hù)方法和過程的評估；⑦財務(wù)系統(tǒng)的評估。

2.2 信息系統(tǒng)審計的一般流程

信息系統(tǒng)審計的一般流程，與普通審計基本相同。審計過程一般可劃分為準(zhǔn)備階段、實施階段和終結(jié)階段。

2.2.1 準(zhǔn)備階段

信息系統(tǒng)審計的準(zhǔn)備階段是整個審計程序的重要環(huán)節(jié)，這個階段是整個審計過程的基礎(chǔ)階段，這個階段的工作難點在于面對海量的數(shù)據(jù)。相關(guān)人員如果不使用風(fēng)險分析方法，不關(guān)注內(nèi)部控制，直接對信息系統(tǒng)的數(shù)據(jù)開展詳查，容易導(dǎo)致對審計認(rèn)識不足、準(zhǔn)備工作不全面的不利局面。因此，有必要系統(tǒng)分析解決問題可以采取的方法、步驟，以及應(yīng)注意的問題，并加以綜合探討。

2.2.2 實施階段

審計實施階段是根據(jù)審計準(zhǔn)備階段對企業(yè)的調(diào)查、審計風(fēng)險的分析，確定審計內(nèi)部控制測試和實質(zhì)性測試的程序和范圍，以此判定需要哪些數(shù)據(jù)信息，并對被審計單位及其信息系統(tǒng)展開審計活動的具體工作階段。其主要任務(wù)是：按照信息系統(tǒng)審計方案所確定的審計內(nèi)容、范圍、重點和方式等要求，采用相應(yīng)方法查明情況，對取得的各種證據(jù)進(jìn)行鑒別、分析，判明是非和找到問題的本質(zhì)，做出客觀公正的評價，并醞釀處理意見和改進(jìn)建議。

2.2.3 終結(jié)階段

具體的實施工作完成后，將進(jìn)入終結(jié)階段。終結(jié)階段的主要工作包括：①整理歸納審計資料，反映內(nèi)控制度的結(jié)果，并揭示問題、明確責(zé)任、發(fā)現(xiàn)違法線索；②撰寫審計報告，在審計報告中，應(yīng)著重說明發(fā)現(xiàn)了哪些問題，并建議被審計單位進(jìn)行改進(jìn)；③與被審計信息系統(tǒng)管理者進(jìn)行溝通；④發(fā)出審計結(jié)論和決定；⑤審計資料的歸檔和管理。

3 積極開展信息系統(tǒng)審計的重要意義

當(dāng)今，信息化的發(fā)展已經(jīng)達(dá)到了新的高度。許多企業(yè)開展了電子商務(wù)業(yè)務(wù)，并著手整合、升級自身的管理信息系統(tǒng)。信息系統(tǒng)作為企業(yè)現(xiàn)代化發(fā)展的重要標(biāo)志，日益被眾多企業(yè)重視，越來越多的信息系統(tǒng)陸續(xù)被應(yīng)用于企業(yè)日常的經(jīng)營、管理活動中，但也要看到信息系統(tǒng)規(guī)模的擴(kuò)大、功能的增加也會給企業(yè)帶來更大的風(fēng)險。且社會對審計的要求也越來越高，需求越來越多，許多傳統(tǒng)審計不能解決的問題，需要由信息系統(tǒng)審計來處理。因此，積極開展信息系統(tǒng)審計具有重要意義。

3.1 信息系統(tǒng)審計可以為利益各方提供有效的鑒證業(yè)務(wù)

被審計單位信息系統(tǒng)產(chǎn)生資料的真實性、可靠性、完整性，關(guān)乎企業(yè)本身的決策，影響著企業(yè)的生存與發(fā)展，同時這些信息對利益相關(guān)者也十分重要。但由于現(xiàn)實原因，信息使用者無法親自對這些信息一一鑒別，且信息系統(tǒng)具有容易刪除數(shù)據(jù)或篡改數(shù)據(jù)而不會留下痕跡的存儲特征，導(dǎo)致信息系統(tǒng)在缺乏管理控制條件下產(chǎn)生的數(shù)據(jù)信息同樣缺乏可信度。

由此可見，信息系統(tǒng)審計對信息系統(tǒng)內(nèi)部環(huán)境安全控制，以及所產(chǎn)生數(shù)據(jù)的鑒證、評價作用是十分重要的，針對這些信息的真實性、完整性進(jìn)行獨立、客觀的審計，且由此產(chǎn)生的公允、客觀的審計報告，對合理保證資產(chǎn)的安全、數(shù)據(jù)的完整、系統(tǒng)有效實現(xiàn)組織目標(biāo)并有效利用組織資源，乃至支撐整個信息化事業(yè)的發(fā)展，以及社會對信息化事業(yè)的信心具有舉足輕重的作用。

3.2 信息系統(tǒng)審計可以為企業(yè)管理者以及業(yè)務(wù)人員提供及時的咨詢活動

在信息系統(tǒng)審計過程中，信息系統(tǒng)審計師能夠憑借自身，在構(gòu)建、完善企業(yè)內(nèi)部控制、信息系統(tǒng)管理等方面的專業(yè)知識、工作經(jīng)驗，根據(jù)企業(yè)的實際需要，為企業(yè)的管理者以及業(yè)務(wù)人員對現(xiàn)有的組織結(jié)構(gòu)、業(yè)務(wù)流程、軟件功能進(jìn)行調(diào)整，以使之更好地適應(yīng)企業(yè)的發(fā)展，并幫助降低信息化帶來的風(fēng)險。

為了進(jìn)一步與國際接軌，建立起高效、迅速的現(xiàn)代物流系統(tǒng)，海爾集團(tuán)請專業(yè)的IS審計人員對現(xiàn)有的物流系統(tǒng)進(jìn)行評估。在審計評估的基礎(chǔ)上，海爾集團(tuán)結(jié)合企業(yè)自身的實際情況，改進(jìn)了現(xiàn)有的物流系統(tǒng)，采用了SAP公司的ERP系統(tǒng)和BBP系統(tǒng)（原材料網(wǎng)上采購系統(tǒng)）。ERP系統(tǒng)和BBP系統(tǒng)采用以后，打破了原有的“信息孤島”，使信息同步集成，提高了信息的實時性與準(zhǔn)確性。

3.3 信息系統(tǒng)審計可以幫助企業(yè)更快、更好的發(fā)展

實施信息系統(tǒng)審計后，企業(yè)可出具具有一定法律效力的審計報告。同時，信息系統(tǒng)審計師也可以通過在線的方式，實時鑒證企業(yè)的信息。審計報告、實時鑒證對于企業(yè)的利益相關(guān)者來說具有重大的價值。如果通過審計報告、實時鑒證證明該企業(yè)信息系統(tǒng)產(chǎn)生的信息是可信賴的、完整的，將有利于利益相關(guān)者對企業(yè)經(jīng)營活動的監(jiān)督，同時也有利于企業(yè)的融資活動，促進(jìn)企業(yè)快速發(fā)展。

4 結(jié) 語

信息系統(tǒng)審計對于審計信息化和審計現(xiàn)代化建設(shè)，以至整個信息化事業(yè)的發(fā)展具有重大意義。但目前我國的信息系統(tǒng)審計工作尚處于起步和探索階段，與國際上信息系統(tǒng)審計已經(jīng)體系化、標(biāo)準(zhǔn)化、程序化相比，存在明顯的差距，尤其是缺少專業(yè)準(zhǔn)則作為指引；缺少大量能夠全面開展信息系統(tǒng)審計業(yè)務(wù)的隊伍作為支撐；缺少“通用”“專業(yè)”的審計軟件作為保障。面對目前日益發(fā)展的信息技術(shù)、擴(kuò)大的信息系統(tǒng)審計領(lǐng)域，以及風(fēng)險導(dǎo)向型審計的新要求，相關(guān)人員必須借鑒外國的先進(jìn)經(jīng)驗，結(jié)合我國信息化的實際特點加強(qiáng)自身學(xué)習(xí)，了解并掌握信息系統(tǒng)審計所需的知識，不斷提高信息系統(tǒng)審計的質(zhì)量，不斷推進(jìn)審計向現(xiàn)代化發(fā)展，從而做好真正意義上的風(fēng)險基礎(chǔ)模式的審計業(yè)務(wù)。

主要參考文獻(xiàn)

[1][美]貝利，格拉姆林，拉姆蒂.內(nèi)部審計思想[M].王光遠(yuǎn)，譯.北京：中國時代經(jīng)濟(jì)出版社，2006.

[2][美]Lawrence B Sawyer，Mortimer A Dittenhofer，James H Scheiner.索耶內(nèi)部審計——現(xiàn)代內(nèi)部審計實務(wù)[M].邰先宇，周瑞平，譯.北京：中國財政經(jīng)濟(jì)出版社，2005.

[3][美]Jack J Champlain.審計信息系統(tǒng)[M].第2版.張金城，譯.北京：清華大學(xué)出版社，2004.