劉 靜 孟佳娃

以往人們界定審計(jì)類型，都是以審計(jì)的本質(zhì)屬性為標(biāo)準(zhǔn)進(jìn)行分類，包括審計(jì)主體、客體、工作內(nèi)容、目標(biāo)等。那么我們就按著這一標(biāo)準(zhǔn)來(lái)辨析計(jì)算機(jī)審計(jì)、信息技術(shù)審計(jì)和信息系統(tǒng)審計(jì)。

一、計(jì)算機(jī)審計(jì)

雖然信息系統(tǒng)審計(jì)是由早期的計(jì)算機(jī)審計(jì)發(fā)展而來(lái)，但不能簡(jiǎn)單地把信息系統(tǒng)審計(jì)理解為計(jì)算機(jī)審計(jì)。

首先，從審計(jì)對(duì)象看，計(jì)算機(jī)的全稱是電子計(jì)算機(jī)，是一種能夠按照事先存儲(chǔ)的程序，自動(dòng)、高速地進(jìn)行大量數(shù)值計(jì)算和各種信息處理的現(xiàn)代化智能電子設(shè)備。如果把計(jì)算機(jī)審計(jì)對(duì)象局限在計(jì)算和處理各種信息的電子設(shè)備上，內(nèi)涵過(guò)于狹窄。學(xué)者郭宗文等在《計(jì)算機(jī)審計(jì)》一書(shū)中提出計(jì)算機(jī)審計(jì)包括兩方面的內(nèi)容：1）對(duì)電算化的信息系統(tǒng)設(shè)計(jì)、數(shù)據(jù)處理過(guò)程和處理結(jié)果進(jìn)行審計(jì)；2）計(jì)算機(jī)是作為幫助審計(jì)人員完成部分審計(jì)工作的工具?！吨袊?guó)審計(jì)概述—計(jì)算機(jī)審計(jì)》中指出，計(jì)算機(jī)審計(jì)包括：對(duì)計(jì)算機(jī)管理的數(shù)據(jù)進(jìn)行檢查；對(duì)管理數(shù)據(jù)的計(jì)算機(jī)進(jìn)行檢查。上述兩者都表示數(shù)據(jù)是計(jì)算機(jī)審計(jì)中的主要對(duì)象。那么，計(jì)算機(jī)既可以是審計(jì)對(duì)象也可以作為審計(jì)工作的輔助工具。單純把計(jì)算機(jī)作為審計(jì)對(duì)象過(guò)于局限，不足以構(gòu)成現(xiàn)在我們審計(jì)工作的全部?jī)?nèi)容，計(jì)算機(jī)審計(jì)應(yīng)該更側(cè)重于強(qiáng)調(diào)利用計(jì)算機(jī)作為輔助工具來(lái)對(duì)計(jì)算機(jī)中存儲(chǔ)、處理的數(shù)據(jù)進(jìn)行審計(jì)。其次，從目標(biāo)和職能看，郭宗文等認(rèn)為“計(jì)算機(jī)審計(jì)與傳統(tǒng)手工審計(jì)沒(méi)有本質(zhì)區(qū)別，其目的和職能沒(méi)有改變，同樣是執(zhí)行經(jīng)濟(jì)監(jiān)督職能”。

二、信息技術(shù)（IT）審計(jì)

美國(guó)學(xué)者霍爾在《信息系統(tǒng)審計(jì)與鑒證》中提到，IT審計(jì)側(cè)重于企業(yè)信息系統(tǒng)的計(jì)算機(jī)應(yīng)用方面，包括對(duì)其適當(dāng)?shù)膶?shí)施、操作過(guò)程和計(jì)算機(jī)資源控制的評(píng)估。學(xué)者胡克瑾在《IT審計(jì)》一書(shū)中，認(rèn)為信息系統(tǒng)審計(jì)即IT審計(jì)。以上兩種說(shuō)法都把信息技術(shù)審計(jì)與信息系統(tǒng)審計(jì)混為一談，我們認(rèn)為這種提法不對(duì)。

雖然人們對(duì)信息技術(shù)的解釋不同，但總的看來(lái)，信息技術(shù)（Information Technology，IT）是管理和處理信息所采用的綜合技術(shù)，包括傳感技術(shù)、通信技術(shù)、計(jì)算機(jī)技術(shù)、控制技術(shù)，核心是通信技術(shù)和計(jì)算機(jī)技術(shù)。計(jì)算機(jī)軟件、硬件，通信技術(shù)設(shè)施都涵蓋于其中。它無(wú)處不在，廣泛應(yīng)用于國(guó)民經(jīng)濟(jì)各領(lǐng)域，存在于企業(yè)生產(chǎn)、經(jīng)營(yíng)活動(dòng)的各個(gè)環(huán)節(jié)。被審計(jì)單位對(duì)信息技術(shù)廣泛運(yùn)用改變了審計(jì)環(huán)境，給審計(jì)手段和方法創(chuàng)新提供了機(jī)遇，進(jìn)而影響到審計(jì)證據(jù)、審計(jì)模式和審計(jì)程序。審計(jì)工作借助于企業(yè)的信息技術(shù)環(huán)境平臺(tái)，可以提高審計(jì)效果和效率。

另外，從IT治理的角度來(lái)看，德勤認(rèn)為：“IT治理是一個(gè)含義廣泛的概念，包括信息系統(tǒng)、技術(shù)、通信、商業(yè)、所有利益相關(guān)者、合法性和其他問(wèn)題。其主要任務(wù)是保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，IT相關(guān)風(fēng)險(xiǎn)的適當(dāng)管理”?！癐T治理是一個(gè)由關(guān)系和過(guò)程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過(guò)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)企業(yè)的目標(biāo)”（ISACA的定義）。那么，對(duì)于企業(yè)的IT風(fēng)險(xiǎn)是否在合理水平，IT能否為企業(yè)帶來(lái)價(jià)值，都成為IT審計(jì)的內(nèi)容，即合理保證IT治理的有效性。

三、信息系統(tǒng)審計(jì)

對(duì)于信息系統(tǒng)的概念，不同的學(xué)者和機(jī)構(gòu)從不同的角度進(jìn)行了定義?；羝瘴榈碌摹稌?huì)計(jì)信息系統(tǒng)》暗含著在組織中應(yīng)用計(jì)算機(jī)技術(shù)為用戶提供信息，說(shuō)明信息系統(tǒng)是應(yīng)用信息技術(shù)對(duì)信息進(jìn)行處理的各種系統(tǒng)，以支持各種人員的信息需求，它全面地涵蓋了信息技術(shù)、用戶和信息。而《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確定義計(jì)算機(jī)信息系統(tǒng)，是由計(jì)算機(jī)及其相關(guān)的配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。同樣強(qiáng)調(diào)了信息系統(tǒng)中人和信息的重要性。學(xué)者郭長(zhǎng)軍指出，信息系統(tǒng)是由硬件、軟件、數(shù)據(jù)、人和內(nèi)部控制制度等部分組成。因此，信息系統(tǒng)審計(jì)中的信息系統(tǒng)除了包含信息技術(shù)外，還包括人、數(shù)據(jù)、內(nèi)部控制制度等，是它們按照一定的規(guī)則和架構(gòu)所組成的各種應(yīng)用系統(tǒng)，這是計(jì)算機(jī)、信息技術(shù)概念所不能包含的。

信息系統(tǒng)審計(jì)就是對(duì)企業(yè)和組織的信息系統(tǒng)進(jìn)行獨(dú)立的評(píng)估，包含政策、流程、標(biāo)準(zhǔn)、量度和實(shí)踐方法，以此來(lái)保證信息資產(chǎn)安全和完整。信息系統(tǒng)審計(jì)對(duì)象存在于信息系統(tǒng)的整個(gè)生命周期之中，是指各類以計(jì)算機(jī)為核心的信息系統(tǒng)及其相關(guān)的技術(shù)和管理活動(dòng)，其審計(jì)內(nèi)容涉及到了相關(guān)的技術(shù)和管理活動(dòng)。信息系統(tǒng)審計(jì)的依據(jù)是公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，以其對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過(guò)程，以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)。信息系統(tǒng)審計(jì)對(duì)信息系統(tǒng)從規(guī)劃、實(shí)施、到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審查評(píng)價(jià)，對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整性、有效性、效率性、安全性等進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過(guò)程，以確定預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)，并提出一系列改進(jìn)建議的管理活動(dòng)，這明確了信息系統(tǒng)審計(jì)的目標(biāo)。中國(guó)IT治理、信息系統(tǒng)審計(jì)研究與實(shí)踐最早的推動(dòng)者之一的學(xué)者孫強(qiáng)認(rèn)為信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程。

四、信息系統(tǒng)審計(jì)和計(jì)算機(jī)審計(jì)、信息技術(shù)審計(jì)的關(guān)系

信息系統(tǒng)審計(jì)由早期的計(jì)算機(jī)審計(jì)發(fā)展而來(lái)，隨著信息技術(shù)的飛速發(fā)展和普及，又被人稱之為IT審計(jì)。信息系統(tǒng)審計(jì)綜合運(yùn)用IT技術(shù)與審計(jì)理論及方法為信息時(shí)代信息的使用者提供合理的保證，IT是進(jìn)行信息系統(tǒng)審計(jì)不可缺少的技術(shù)。IT審計(jì)意味著對(duì)IT進(jìn)行審計(jì)以及利用IT進(jìn)行審計(jì)。IT對(duì)審計(jì)的影響在于其使審計(jì)環(huán)境、模式、程序、方法、手段等發(fā)生了變化。

計(jì)算機(jī)審計(jì)、信息技術(shù)審計(jì)不等同信息系統(tǒng)審計(jì)，因?yàn)樗鼈凅w現(xiàn)不出信息系統(tǒng)中人、數(shù)據(jù)等重要的組成部分，會(huì)導(dǎo)致信息系統(tǒng)審計(jì)目標(biāo)不明確。信息系統(tǒng)審計(jì)目標(biāo)不僅僅在于應(yīng)用計(jì)算機(jī)進(jìn)行審計(jì)，更重要的是要對(duì)信息系統(tǒng)本身的安全性、穩(wěn)定性及其實(shí)現(xiàn)組織目標(biāo)的有效性進(jìn)行實(shí)時(shí)的檢查、評(píng)價(jià)和改造。信息系統(tǒng)審計(jì)包括信息技術(shù)、人、數(shù)據(jù)、內(nèi)部控制制度等內(nèi)容。保證和咨詢是信息系統(tǒng)進(jìn)行審計(jì)的兩大基本職能。“保證”即“系統(tǒng)可靠性保證”，指通過(guò)對(duì)信息系統(tǒng)運(yùn)行過(guò)程、商業(yè)連續(xù)性能力、維護(hù)狀況進(jìn)行評(píng)價(jià)，合理保證信息系統(tǒng)安全、穩(wěn)定、有效，它是信息系統(tǒng)審計(jì)最基本的職能；“咨詢”是指審計(jì)人員能夠向信息系統(tǒng)的高層管理者以及使用者提供解決問(wèn)題的方案，以達(dá)到改善經(jīng)營(yíng)和為組織增加價(jià)值的目的。隨著審計(jì)環(huán)境的日益復(fù)雜，審計(jì)對(duì)象的多樣化發(fā)展，信息系統(tǒng)審計(jì)已不局限于經(jīng)濟(jì)監(jiān)督職能，其審計(jì)目標(biāo)將更寬泛。

五、國(guó)外對(duì)信息系統(tǒng)審計(jì)概念的研究

1996年，日本通產(chǎn)省情報(bào)協(xié)會(huì)修訂了信息系統(tǒng)審計(jì)的定義，即信息系統(tǒng)審計(jì)是“為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的信息系統(tǒng)審計(jì)師以第三方的立場(chǎng)，對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向信息系統(tǒng)審計(jì)對(duì)象的最高領(lǐng)導(dǎo)層，提出問(wèn)題與建議的一連串活動(dòng)。日本強(qiáng)調(diào)了信息系統(tǒng)審計(jì)的主體獨(dú)立性，且非常重視把審計(jì)結(jié)果向被審計(jì)單位管理部門(mén)的反饋。英國(guó)審計(jì)咨詢專家、學(xué)者Richard認(rèn)為，信息系統(tǒng)審計(jì)是指涵蓋對(duì)自動(dòng)化信息處理系統(tǒng)、與之相關(guān)的非自動(dòng)化處理以及連接它們的接口進(jìn)行完整或部分地審查和評(píng)估。信息系統(tǒng)審計(jì)師應(yīng)對(duì)通過(guò)信息技術(shù)實(shí)現(xiàn)的內(nèi)部控制系統(tǒng)提供保證，信息系統(tǒng)審計(jì)作為整個(gè)審計(jì)過(guò)程的一部分，對(duì)運(yùn)營(yíng)良好的公司治理起推動(dòng)作用。這個(gè)定義給出了信息系統(tǒng)審計(jì)的范圍，并且表明信息技術(shù)是實(shí)現(xiàn)信息系統(tǒng)的必要手段。

國(guó)際組織美國(guó)信息系統(tǒng)審計(jì)和控制協(xié)會(huì)（ISACA）對(duì)信息系統(tǒng)審計(jì)的定義是“信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程”。該組織還制定了參加國(guó)際信息系統(tǒng)審計(jì)師（CISA）考試的人員準(zhǔn)備的輔導(dǎo)手冊(cè)。手冊(cè)中詳細(xì)地介紹了信息系統(tǒng)審計(jì)的主要內(nèi)容：信息系統(tǒng)審計(jì)流程、IT治理、系統(tǒng)和架構(gòu)生命周期管理、IT服務(wù)交付和支持、信息資產(chǎn)保護(hù)、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)等。但沒(méi)有明確區(qū)分信息技術(shù)審計(jì)和信息系統(tǒng)審計(jì)。

六、我們對(duì)信息系統(tǒng)審計(jì)概念的界定

目前，無(wú)論是國(guó)內(nèi)還是國(guó)際，對(duì)信息系統(tǒng)審計(jì)還沒(méi)有明確統(tǒng)一的定義和界定。信息系統(tǒng)審計(jì)概念不清，則其內(nèi)涵和外延自然混亂，導(dǎo)致信息系統(tǒng)審計(jì)目標(biāo)不明確，職能定位不準(zhǔn)，信息系統(tǒng)審計(jì)很難充分發(fā)揮作用。所以，我們要對(duì)信息系統(tǒng)審計(jì)概念進(jìn)行科學(xué)界定。

我們認(rèn)為信息系統(tǒng)審計(jì)與信息技術(shù)審計(jì)、計(jì)算機(jī)審計(jì)的涵蓋范圍、側(cè)重點(diǎn)都有所不同，信息技術(shù)是實(shí)現(xiàn)信息系統(tǒng)的必要手段，計(jì)算機(jī)是信息系統(tǒng)的組成部分之一，信息系統(tǒng)的構(gòu)成更離不開(kāi)人員、數(shù)據(jù)等其他必備要素。在實(shí)踐中，信息技術(shù)審計(jì)主要是為了合理保證企業(yè)IT治理的有效性；計(jì)算機(jī)審計(jì)更多地表現(xiàn)為輔助審計(jì)工具；而信息系統(tǒng)審計(jì)則是對(duì)企業(yè)的各種業(yè)務(wù)起支持作用的信息系統(tǒng)進(jìn)行審計(jì)。具體講，信息系統(tǒng)審計(jì)的對(duì)象是企業(yè)的信息系統(tǒng)（如會(huì)計(jì)信息系統(tǒng)、業(yè)務(wù)信息系統(tǒng)、管理信息系統(tǒng)和決策信息系統(tǒng)等）；信息系統(tǒng)審計(jì)的內(nèi)容應(yīng)該根據(jù)審計(jì)目標(biāo)的不同而確定；信息系統(tǒng)審計(jì)的目標(biāo)主要是評(píng)估信息系統(tǒng)的安全性、可靠性，以鑒證信息系統(tǒng)能有效地利用組織資源、高效地幫助企業(yè)達(dá)成業(yè)務(wù)目標(biāo)；信息系統(tǒng)審計(jì)的職能是鑒證和咨詢。因而，信息系統(tǒng)審計(jì)的概念，是建立在傳統(tǒng)審計(jì)理論、信息技術(shù)理論、行為科學(xué)理論基礎(chǔ)上，由獨(dú)立于被審計(jì)單位的信息系統(tǒng)審計(jì)師以第三方的立場(chǎng)，根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范獲取和評(píng)價(jià)證據(jù)，對(duì)組織中信息系統(tǒng)的安全性、可靠性及其實(shí)現(xiàn)組織目標(biāo)的有效性進(jìn)行實(shí)時(shí)的檢查、評(píng)價(jià)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整、有效率地利用組織的資源并高效地實(shí)現(xiàn)組織目標(biāo)的過(guò)程。