劉立彥

[摘 要]隨著信息技術(shù)在各領(lǐng)域的廣泛運(yùn)用，信息系統(tǒng)審計(jì)也日益為人們所關(guān)注。未來(lái)審計(jì)行業(yè)和審計(jì)技術(shù)的發(fā)展動(dòng)力將主要來(lái)自于信息系統(tǒng)審計(jì)的發(fā)展，但與國(guó)外相比，我國(guó)信息系統(tǒng)審計(jì)的開(kāi)展還處于探索階段。在這種背景下，筆者認(rèn)為有必要探討信息系統(tǒng)審計(jì)的演進(jìn)過(guò)程，結(jié)合審計(jì)實(shí)踐，對(duì)信息系統(tǒng)審計(jì)的有關(guān)理論進(jìn)行思考和研究。本文在回顧信息系統(tǒng)審計(jì)演進(jìn)的基礎(chǔ)上，從定義入手，討論相關(guān)內(nèi)容（如特征、范圍、策略等），并進(jìn)一步歸納分析信息系統(tǒng)審計(jì)的一般流程，以提高對(duì)信息系統(tǒng)審計(jì)及其價(jià)值的認(rèn)識(shí)，強(qiáng)化對(duì)信息系統(tǒng)審計(jì)活動(dòng)實(shí)踐的指導(dǎo)。

[關(guān)鍵詞]信息系統(tǒng)；審計(jì)；

doi：10.3969/j.issn.1673 - 0194.2017.12.017

[中圖分類號(hào)]F239.1 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2017）12-00-02

1 信息系統(tǒng)審計(jì)的演進(jìn)

“信息系統(tǒng)審計(jì)”（IS審計(jì)）是近些年我國(guó)出現(xiàn)的新概念。在國(guó)外，尤其是美國(guó)、日本等發(fā)達(dá)國(guó)家，信息系統(tǒng)審計(jì)已經(jīng)發(fā)展到相當(dāng)程度，但在我國(guó)信息系統(tǒng)審計(jì)才剛剛起步。它是與企業(yè)信息化過(guò)程緊密聯(lián)系的，是審計(jì)技術(shù)與信息技術(shù)共同發(fā)展的必然產(chǎn)物。

20世紀(jì)中葉，計(jì)算機(jī)及其技術(shù)開(kāi)始應(yīng)用于企業(yè)的經(jīng)營(yíng)、管理。20世紀(jì)50年代，計(jì)算機(jī)第一次應(yīng)用于工商企業(yè)——使用打孔卡作為數(shù)據(jù)存儲(chǔ)和批處理。20世紀(jì)60年代，工業(yè)500強(qiáng)中超過(guò)50%的公司廣泛使用電子數(shù)據(jù)處理操作。1975年，至少有20萬(wàn)臺(tái)主機(jī)應(yīng)用于企業(yè)，而物料需求計(jì)劃（MRP）進(jìn)入第二代物料資源計(jì)劃（MRPⅡ）。但由于當(dāng)時(shí)審計(jì)人員可用的審計(jì)軟件（GAS）過(guò)多，導(dǎo)致組織在投資這些審計(jì)軟件時(shí)不得不考慮成本效益，因此，從20世紀(jì)60年代到80年代，電子數(shù)據(jù)處理（EDP）相關(guān)（內(nèi)部）審計(jì)技術(shù)應(yīng)用緩慢。20世紀(jì)90年代，世界經(jīng)濟(jì)處在即將步入21世紀(jì)信息（技術(shù)）時(shí)代的頂點(diǎn)。

2 信息系統(tǒng)審計(jì)的業(yè)務(wù)范圍及一般流程

2.1 信息系統(tǒng)審計(jì)的業(yè)務(wù)范圍

信息系統(tǒng)審計(jì)的業(yè)務(wù)范圍應(yīng)包括與信息系統(tǒng)相關(guān)的所有領(lǐng)域，主要為：①對(duì)組織的信息系統(tǒng)審計(jì)，集中在對(duì)信息技術(shù)的管理控制；②技術(shù)方面的信息系統(tǒng)審計(jì)，包括構(gòu)架、數(shù)據(jù)中心、數(shù)據(jù)通信等；③應(yīng)用的信息系統(tǒng)審計(jì)，包括經(jīng)營(yíng)、財(cái)務(wù)；④開(kāi)發(fā)實(shí)施信息系統(tǒng)審計(jì)，包括需求識(shí)別、設(shè)計(jì)、開(kāi)發(fā)以及實(shí)施后階段；⑤信息系統(tǒng)的合規(guī)性審計(jì)，主要指信息系統(tǒng)是否符合國(guó)家或國(guó)際標(biāo)準(zhǔn)的審計(jì)；⑥電子商務(wù)審計(jì)，包括網(wǎng)譽(yù)審計(jì)、電子簽名審計(jì)業(yè)務(wù)等。

具體而言，信息系統(tǒng)審計(jì)的業(yè)務(wù)范圍有：①信息系統(tǒng)開(kāi)發(fā)計(jì)劃、管理及組織架構(gòu)的戰(zhàn)略、政策、標(biāo)準(zhǔn)及相應(yīng)實(shí)踐過(guò)程的評(píng)估；②信息資源在運(yùn)行環(huán)境、邏輯訪問(wèn)、IT基礎(chǔ)設(shè)施等方面安全性的評(píng)估；③業(yè)務(wù)流程風(fēng)險(xiǎn)管理水平的評(píng)估；④災(zāi)難恢復(fù)及業(yè)務(wù)持續(xù)能力的評(píng)估；⑤技術(shù)基礎(chǔ)設(shè)施及運(yùn)行實(shí)踐的效能以及效率的評(píng)估；⑥對(duì)于系統(tǒng)開(kāi)發(fā)、實(shí)施與維護(hù)方法和過(guò)程的評(píng)估；⑦財(cái)務(wù)系統(tǒng)的評(píng)估。

2.2 信息系統(tǒng)審計(jì)的一般流程

信息系統(tǒng)審計(jì)的一般流程，與普通審計(jì)基本相同。審計(jì)過(guò)程一般可劃分為準(zhǔn)備階段、實(shí)施階段和終結(jié)階段。

2.2.1 準(zhǔn)備階段

信息系統(tǒng)審計(jì)的準(zhǔn)備階段是整個(gè)審計(jì)程序的重要環(huán)節(jié)，這個(gè)階段是整個(gè)審計(jì)過(guò)程的基礎(chǔ)階段，這個(gè)階段的工作難點(diǎn)在于面對(duì)海量的數(shù)據(jù)。相關(guān)人員如果不使用風(fēng)險(xiǎn)分析方法，不關(guān)注內(nèi)部控制，直接對(duì)信息系統(tǒng)的數(shù)據(jù)開(kāi)展詳查，容易導(dǎo)致對(duì)審計(jì)認(rèn)識(shí)不足、準(zhǔn)備工作不全面的不利局面。因此，有必要系統(tǒng)分析解決問(wèn)題可以采取的方法、步驟，以及應(yīng)注意的問(wèn)題，并加以綜合探討。

2.2.2 實(shí)施階段

審計(jì)實(shí)施階段是根據(jù)審計(jì)準(zhǔn)備階段對(duì)企業(yè)的調(diào)查、審計(jì)風(fēng)險(xiǎn)的分析，確定審計(jì)內(nèi)部控制測(cè)試和實(shí)質(zhì)性測(cè)試的程序和范圍，以此判定需要哪些數(shù)據(jù)信息，并對(duì)被審計(jì)單位及其信息系統(tǒng)展開(kāi)審計(jì)活動(dòng)的具體工作階段。其主要任務(wù)是：按照信息系統(tǒng)審計(jì)方案所確定的審計(jì)內(nèi)容、范圍、重點(diǎn)和方式等要求，采用相應(yīng)方法查明情況，對(duì)取得的各種證據(jù)進(jìn)行鑒別、分析，判明是非和找到問(wèn)題的本質(zhì)，做出客觀公正的評(píng)價(jià)，并醞釀處理意見(jiàn)和改進(jìn)建議。

2.2.3 終結(jié)階段

具體的實(shí)施工作完成后，將進(jìn)入終結(jié)階段。終結(jié)階段的主要工作包括：①整理歸納審計(jì)資料，反映內(nèi)控制度的結(jié)果，并揭示問(wèn)題、明確責(zé)任、發(fā)現(xiàn)違法線索；②撰寫審計(jì)報(bào)告，在審計(jì)報(bào)告中，應(yīng)著重說(shuō)明發(fā)現(xiàn)了哪些問(wèn)題，并建議被審計(jì)單位進(jìn)行改進(jìn)；③與被審計(jì)信息系統(tǒng)管理者進(jìn)行溝通；④發(fā)出審計(jì)結(jié)論和決定；⑤審計(jì)資料的歸檔和管理。

3 積極開(kāi)展信息系統(tǒng)審計(jì)的重要意義

當(dāng)今，信息化的發(fā)展已經(jīng)達(dá)到了新的高度。許多企業(yè)開(kāi)展了電子商務(wù)業(yè)務(wù)，并著手整合、升級(jí)自身的管理信息系統(tǒng)。信息系統(tǒng)作為企業(yè)現(xiàn)代化發(fā)展的重要標(biāo)志，日益被眾多企業(yè)重視，越來(lái)越多的信息系統(tǒng)陸續(xù)被應(yīng)用于企業(yè)日常的經(jīng)營(yíng)、管理活動(dòng)中，但也要看到信息系統(tǒng)規(guī)模的擴(kuò)大、功能的增加也會(huì)給企業(yè)帶來(lái)更大的風(fēng)險(xiǎn)。且社會(huì)對(duì)審計(jì)的要求也越來(lái)越高，需求越來(lái)越多，許多傳統(tǒng)審計(jì)不能解決的問(wèn)題，需要由信息系統(tǒng)審計(jì)來(lái)處理。因此，積極開(kāi)展信息系統(tǒng)審計(jì)具有重要意義。

3.1 信息系統(tǒng)審計(jì)可以為利益各方提供有效的鑒證業(yè)務(wù)

被審計(jì)單位信息系統(tǒng)產(chǎn)生資料的真實(shí)性、可靠性、完整性，關(guān)乎企業(yè)本身的決策，影響著企業(yè)的生存與發(fā)展，同時(shí)這些信息對(duì)利益相關(guān)者也十分重要。但由于現(xiàn)實(shí)原因，信息使用者無(wú)法親自對(duì)這些信息一一鑒別，且信息系統(tǒng)具有容易刪除數(shù)據(jù)或篡改數(shù)據(jù)而不會(huì)留下痕跡的存儲(chǔ)特征，導(dǎo)致信息系統(tǒng)在缺乏管理控制條件下產(chǎn)生的數(shù)據(jù)信息同樣缺乏可信度。

由此可見(jiàn)，信息系統(tǒng)審計(jì)對(duì)信息系統(tǒng)內(nèi)部環(huán)境安全控制，以及所產(chǎn)生數(shù)據(jù)的鑒證、評(píng)價(jià)作用是十分重要的，針對(duì)這些信息的真實(shí)性、完整性進(jìn)行獨(dú)立、客觀的審計(jì)，且由此產(chǎn)生的公允、客觀的審計(jì)報(bào)告，對(duì)合理保證資產(chǎn)的安全、數(shù)據(jù)的完整、系統(tǒng)有效實(shí)現(xiàn)組織目標(biāo)并有效利用組織資源，乃至支撐整個(gè)信息化事業(yè)的發(fā)展，以及社會(huì)對(duì)信息化事業(yè)的信心具有舉足輕重的作用。

3.2 信息系統(tǒng)審計(jì)可以為企業(yè)管理者以及業(yè)務(wù)人員提供及時(shí)的咨詢活動(dòng)

在信息系統(tǒng)審計(jì)過(guò)程中，信息系統(tǒng)審計(jì)師能夠憑借自身，在構(gòu)建、完善企業(yè)內(nèi)部控制、信息系統(tǒng)管理等方面的專業(yè)知識(shí)、工作經(jīng)驗(yàn)，根據(jù)企業(yè)的實(shí)際需要，為企業(yè)的管理者以及業(yè)務(wù)人員對(duì)現(xiàn)有的組織結(jié)構(gòu)、業(yè)務(wù)流程、軟件功能進(jìn)行調(diào)整，以使之更好地適應(yīng)企業(yè)的發(fā)展，并幫助降低信息化帶來(lái)的風(fēng)險(xiǎn)。

為了進(jìn)一步與國(guó)際接軌，建立起高效、迅速的現(xiàn)代物流系統(tǒng)，海爾集團(tuán)請(qǐng)專業(yè)的IS審計(jì)人員對(duì)現(xiàn)有的物流系統(tǒng)進(jìn)行評(píng)估。在審計(jì)評(píng)估的基礎(chǔ)上，海爾集團(tuán)結(jié)合企業(yè)自身的實(shí)際情況，改進(jìn)了現(xiàn)有的物流系統(tǒng)，采用了SAP公司的ERP系統(tǒng)和BBP系統(tǒng)（原材料網(wǎng)上采購(gòu)系統(tǒng)）。ERP系統(tǒng)和BBP系統(tǒng)采用以后，打破了原有的“信息孤島”，使信息同步集成，提高了信息的實(shí)時(shí)性與準(zhǔn)確性。

3.3 信息系統(tǒng)審計(jì)可以幫助企業(yè)更快、更好的發(fā)展

實(shí)施信息系統(tǒng)審計(jì)后，企業(yè)可出具具有一定法律效力的審計(jì)報(bào)告。同時(shí)，信息系統(tǒng)審計(jì)師也可以通過(guò)在線的方式，實(shí)時(shí)鑒證企業(yè)的信息。審計(jì)報(bào)告、實(shí)時(shí)鑒證對(duì)于企業(yè)的利益相關(guān)者來(lái)說(shuō)具有重大的價(jià)值。如果通過(guò)審計(jì)報(bào)告、實(shí)時(shí)鑒證證明該企業(yè)信息系統(tǒng)產(chǎn)生的信息是可信賴的、完整的，將有利于利益相關(guān)者對(duì)企業(yè)經(jīng)營(yíng)活動(dòng)的監(jiān)督，同時(shí)也有利于企業(yè)的融資活動(dòng)，促進(jìn)企業(yè)快速發(fā)展。

4 結(jié) 語(yǔ)

信息系統(tǒng)審計(jì)對(duì)于審計(jì)信息化和審計(jì)現(xiàn)代化建設(shè)，以至整個(gè)信息化事業(yè)的發(fā)展具有重大意義。但目前我國(guó)的信息系統(tǒng)審計(jì)工作尚處于起步和探索階段，與國(guó)際上信息系統(tǒng)審計(jì)已經(jīng)體系化、標(biāo)準(zhǔn)化、程序化相比，存在明顯的差距，尤其是缺少專業(yè)準(zhǔn)則作為指引；缺少大量能夠全面開(kāi)展信息系統(tǒng)審計(jì)業(yè)務(wù)的隊(duì)伍作為支撐；缺少“通用”“專業(yè)”的審計(jì)軟件作為保障。面對(duì)目前日益發(fā)展的信息技術(shù)、擴(kuò)大的信息系統(tǒng)審計(jì)領(lǐng)域，以及風(fēng)險(xiǎn)導(dǎo)向型審計(jì)的新要求，相關(guān)人員必須借鑒外國(guó)的先進(jìn)經(jīng)驗(yàn)，結(jié)合我國(guó)信息化的實(shí)際特點(diǎn)加強(qiáng)自身學(xué)習(xí)，了解并掌握信息系統(tǒng)審計(jì)所需的知識(shí)，不斷提高信息系統(tǒng)審計(jì)的質(zhì)量，不斷推進(jìn)審計(jì)向現(xiàn)代化發(fā)展，從而做好真正意義上的風(fēng)險(xiǎn)基礎(chǔ)模式的審計(jì)業(yè)務(wù)。

主要參考文獻(xiàn)

[1][美]貝利，格拉姆林，拉姆蒂.內(nèi)部審計(jì)思想[M].王光遠(yuǎn)，譯.北京：中國(guó)時(shí)代經(jīng)濟(jì)出版社，2006.

[2][美]Lawrence B Sawyer，Mortimer A Dittenhofer，James H Scheiner.索耶內(nèi)部審計(jì)——現(xiàn)代內(nèi)部審計(jì)實(shí)務(wù)[M].邰先宇，周瑞平，譯.北京：中國(guó)財(cái)政經(jīng)濟(jì)出版社，2005.

[3][美]Jack J Champlain.審計(jì)信息系統(tǒng)[M].第2版.張金城，譯.北京：清華大學(xué)出版社，2004.