信息系統審計漫談

陳 驥

一、前言

隨著近十年來信息化浪潮的推進，企業的信息系統經過不斷的迭代和完善，變得更加復雜，企業每天運營產生了遠超財務記賬憑證的大量數據，且得益于存儲技術發展及存儲成本的降低，這些數據大多被記錄了下來，不僅新經濟下的輕資產公司存在這種趨勢，傳統企業隨著“互聯網+”浪潮的推廣，也呈現此發展態勢。

2017年5月27日，在中國烏鎮，Alpha GO以3比0戰勝了人類排名第一的世界圍棋冠軍柯潔，表明AI技術在有明確規則的棋類活動領域已經達到了實用狀態，以“大智移云”為標志的信息技術又一次震撼了社會公眾，也成了企業深度信息化的推手。2017年7月8日國務院發布了《新一代人工智能發展規劃》，全方位地對“發展智能經濟，建設智能社會”提出了多層次規劃，智能經濟的遠景已經逐漸清晰起來。

在此背景之下，無論是 “兩化融合”、“業財融合”還是“智能經濟”，企業的信息系統還會繼續演進，注冊會計師所面對的客戶的信息系統、業務模式、數據環境都會變得越來越復雜，僅依靠傳統的審計抽憑、函證等審計手段，已不足以支撐簽字注冊會計師合理保證的信心，在面臨諸如互聯網教育、互聯網廣告及游戲等新經濟客戶時尤甚。這時，注冊會計師需要利用專家工作，而產生信息系統審計的需求，雖然這個需求有時是如此模糊，以至于注冊會計師在面對有些項目時無法提出明確的要求，而有時又提出不具有可行性的要求，導致產生各種困惑。本文試圖從信息學本身出發，來探討信息系統審計。

二、信息

漫談信息系統審計，自然離不開信息系統，而追溯困惑的源頭則是信息，那么究竟什么是信息？克勞德·艾爾伍德·香農1948年在《通訊的數學理論》（A Mathematical Theory of Communication）這一奠基性的論文中對信息（information）的描述是“信息是確定性的增加”，或者反過來通俗地說，信息能夠減少不確定性。

香農在這篇論文中為便于討論，首次提出了bit概念，并詳細討論了在有噪聲且帶寬有限的情況下的信道容量與信噪比的關系，也即著名的香農定理，列示如下：

其中，C：信道容量，通俗地說即信道支持的最大傳輸速度；B：信道帶寬； S：信號強度；N：噪聲強度。

從信息學角度來看，信息本身并不是確定的，且最初開創這一現代學科的奠基人最早研究的就是信息交互過程中信噪比與有效信道可支持的最大傳輸速度的關系。從定理公式來看，不論信道帶寬B有多大，如果噪聲強度足夠大，亦即N趨向于無窮大，則信噪比（S/N）趨向于0，如此則導致信道容量C也趨向于0，即意味著噪聲足夠大時無法建立有效的通信信道。以傳信游戲類比說明，一個N人的小隊，把一個消息向后傳輸時，最終收信人收到消息的正確率與人數N成反比，N越大，每個人帶來的噪聲干擾也越多，N趨向無窮時正確率趨向于0。實際玩游戲的時候可以發現，壓根不需要N趨向于無窮，當大于7人時，幾乎就無法正確傳遞一個長句了。對于節點上的每個人其實總是認為他進行的傳遞是正確，因為在這個鏈式傳遞結構上他僅能從前一人獲取信息，無從比較，而同時對于其自身帶來的噪聲擾動，則由于自我復核通常是無法發現的。

所以，單一信息本身無法判斷正誤（或者真假），但其能帶來確定性的增加，當若干信息能相互印證或證偽時，才能相對地判斷正誤（真假）。而注冊會計師所做的工作其實就是搜集信息比對信息，然后判斷信息的正誤（真假），以便取得合理保證的信心來發表審計意見。

三、信息系統

香農定理討論的是信道容量問題，而一個有效的通信信道意味著存在信源、編碼、信道、解碼和信宿，這就是一個最基本的信息系統。而之前討論的傳信游戲，實際上就是一個人力驅動的信息系統：信源即最初發言人，編碼即口語轉述，信道即人，解碼即聽前人轉述，信宿即最終收件人。如果這個傳信游戲的編碼、信道、解碼是由系統來完成，那就是最初的信息系統——電話系統。

由于技術的發展，電話系統物理上的傳輸誤碼率已經降低到人類基本可以忽略的程度，那么注冊會計師會對這樣的信息系統困惑么？通常不會，因為直覺上這個電話系統很好把握。但如果信源采用了變聲器呢？一個原本簡單的系統，一旦在外圍接上一個小小的處理系統也會使得事情變得復雜得多。

注冊會計師所面對的是客戶各種復雜的綜合信息系統，再加之“大智移云”技術擴散態勢，未來可以預見的是更復雜的系統。這些系統每天按照程序設定產生大量的數據、報表和財務憑證，現在不僅處理較為有序的結構化數據，也處理和存儲諸如聲音、視頻、圖像、文檔等非結構化數據，通過先進的交互系統以人類更易理解的方式展示出來。這些系統過程實際上也是一個把不易理解的高熵體變成有趣的低熵體的過程，只是這個過程本身卻不易理解。

此外，雖然隨著技術進步，云服務商宣稱提供高可靠性服務，如阿里云、騰訊云等服務商存儲服務高可靠性宣稱達99.999999999%，但現實情況下也仍然會出現宕機事件、數據丟失事件等各種情況，原因在于現在的系統正常運行涉及到很多軟硬件資源，而不僅僅是一個存儲資源，再加之不當的人為操作等因素（故意或過失），這樣一個整體運營系統可靠性就會大大下降。

所以，面對當今如此復雜的信息系統，很難讓簽字注冊會計師能直接從直覺上把握。

四、信息系統審計

注冊會計師秉承職業的審慎懷疑，面對如此復雜的信息系統，自然希望獲取更多的信息，以降低此間的不確定性。那么怎么樣的信息能用來有效降低不確定性呢？是利用專家工作，直接讓IT專家提出結論？實際上，IT專家很難對一個系統直接下一個確定結論，如前所述，由于系統的復雜性，即使云服務商的高可靠性承諾也不敢宣布100%，所以理性的IT專家不會對一個系統下非黑即白的確定性結論，很可能只是提供一個概率結論。而籠統的概率結論并不能幫助注冊會計師很好地理解系統，其不確定性的減少是有限的。

因此，為便于注冊會計師理解和把握系統，信息系統審計團隊通常會從三個方面來提供有關系統的信息，即一般控制（GC）、應用控制（AC）和業務數據分析（DA）。通過對系統運行的一般控制環境的了解和測試來披露系統運行所依賴的整體控制環境，通過對主要應用的控制測試來揭示系統運行的具體邏輯和控制，通過對留存的原始業務數據的多維度分析來發現和披露公司實際業務活動的特點和行業信息，通過這三個層面為注冊會計師提供有用的信息以幫助注冊會計師理解系統，達到降低此間的不確定的目的。

所以，從信息學的角度來說，信息系統審計是為注冊會計師提供更多有關其所面臨系統的信息的專業服務。而這些信息，應該是從各方面有助于注冊會計師理解和降低不確定性，以支撐其獲取合理保證信心。