IS审计：信息时代审计业务的发展.docx

IS审计：信息时代审计业务的发展孟秀转 孙强（北京联合大学 应用文理学院，北京100083）（中国信息系统审计与控制专业委员会（筹） 北京 100846）摘要 电子商务的推广，使得人们越来越关注电子数据的完整性与可靠性，信息使用者急需有可以信任的机构，为其提供电子数据及产生电子数据的信息系统的可靠性保证。这种需要促使新的审计业务即IS审计的产生。IS审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。加入WTO后，我国注册会计师面临巨大的挑战，开展IS审计业务不失为我国注册会计师事业发展的一次绝佳机会。我国注册会计师协会应加大宣传，提高人们对IS审计的关注，引导并培育市场；加强注册会计师信息技术知识的培训；研究制订我国的IS审计执业规范体系，推动我国IS审计的发展。关键词 信息系统；审计；控制；鉴证 中图分类号 文章标识码 A 文章编号 信息技术的高速发展与广泛应用改变着商业环境，改变着信息的产生与处理方式，从而改变着信息使用者对信息的要求，而这一切必然影响并改变着审计鉴证业务的范围、内容与方法，给注册会计师行业带来了新的问题与挑战。理论界在密切关注着信息技术条件下审计业务的发展。有学者提出计算机审计，电算化审计，但基本上停留在对会计信息系统的审计上，延伸手工会计信息系统审计，尚未全面探讨信息时代给审计业务带来的深刻变化。笔者将从IS（information system）审计的产生动因分析入手，提出审计业务的发展方向IS审计，并介绍国外最新IS审计理论，在此基础上提出信息时代我国注册会计师审计业务发展的若干建议。1 IS审计产生动因及其发展 IS审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。我们可以从分析信息技术带来的一系列变化找出信息系统审计产生的动因。1.1 IS审计产生的动因分析1.1.1 信息技术带来的商务环境的改变 20世纪50年代以来，随着信息技术的高速发展与广泛应用，特别是电子商务的推广，信息技术正成为当今企业环境中最重要的资源之一。谁拥有最准确、最及时的信息，谁就会赢得竞争的胜利。获取信息的能力正成为企业的核心竞争能力之一。为此企业掀起了一波又一波的电子商务浪潮。如图1所示：图中显示每一浪都比前一浪更进步、更大，伴随着每一浪潮的是电子商务技术和实务的更广泛应用。第一浪主要是80年代和90年代初的电子数据交换实务，现在已让位给第二浪，如今许多公司已踏上追赶第三浪的征程了。 收稿日期 2002-07-11作者简介 孟秀转，女，河北深州人，北京联合大学应用文理学院讲师，数量经济学硕士，注册会计师，主要从事统计、审计、投资的教学与研究。 孙强，男：信息系统审计师、微软认证系统工程师、思科认证网络工程师，主要研究方向：电子商务、IT治理、信息系统审计与控制。第一浪潮传统 第二浪潮电子 第三浪潮 一个新的EDI 商务 电子社会 ·下订单 第一浪潮中的要素 第二浪潮中要素加上：·发货通知 加上： ·无现金交易·开发票 · 电子购物 ·智能代理的广泛应用·检查库存 ·银行与金融机构 ·连续不断的测试代理·早已建立关系 ·与虚拟的陌生人交易·增强信息的共享 图1 电子商务的三次浪潮（资料来源：电子商务的安全与风险管理 于军译）在第一浪中电子交易仅仅出现在早已建立关系的商业伙伴之间。第二浪中电子交易能发生在虚拟的陌生人之间，因此要求向更广泛的人群（潜在的客户）提供公司的信息。无现金交易与智能代理将是第三浪的主题。商务环境正日益数字化、信息化。1.1.2 电子商务对价值链的影响 传统价值链通常将信息系统的数据描述为在最初阶段的供应商输入到最终阶段的客户输出的依次流动，而信息时代，电子商务使公司在价值链的许多环节都与客户和供应商分享信息。图2描述了一种新的以客户为中心的价值链观念。公司的信息系统就是将这一过程连接在一起的“粘合剂”。这个以客户为中心的价值链使客户几乎能在任何环节进入公司的信息系统，以随时掌握其订货的动向。图2所示的以客户为中心价值链，还需要将公司采购信息系统与公司供应商的信息系统相连。供应商需要登录到自己的下一级供应商的信息系统以便能为自己的客户提供最佳服务，这样以来网络使各公司可以将其供应链彻底融为一体。1.1.3 价值链带来信息使用者对信息要求的改变 信息使用者既包括企业管理者、交易伙伴也包括投资人，在信息时代，谁先掌握最及时最可靠的信息，谁就可以赢得市场。他们对信息的关注不再只是财务报表所反映的过去的信息，而是更多关注公司的实时信息以便及时做出更为科学的决策。因此信息使用者有着强烈的愿望需要有一个独立、客观、公正的第三方为其提供所需信息的质量审查，以合理保证其信息的完整性、可靠性。电子商务以及价值链的转变改变了传统的审计业务。当企业开始与新的贸易伙伴交换数据进行交易时，贸易伙伴及其交易处理系统的可靠性都必须得到评估。当供应链管理中各个过程和步骤，如库存需求计划、购货订单、销售订单、运货单和现金支出等，通过电子商务信息系统被电子化处理时，审查交易数据和评估其完整性及可靠性则成为必要。社会的需要促使新的审计业务IS审计的产生。它不仅仅是应用计算机技术进行审计（即传统EDI审计或计算机辅助审计），更重要的是对包括财务管理信息系统在内的所有信息系统本身的安全性、保密性、完整性及其实现企业目标的有效性进行的审计。1.2 IS审计的发展 IS审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期，由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识，认为计算机处理数据准确可靠，不会出现错弊，因而很少对数据处理系统进行审计，主要是对计算机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大，利用计算机犯罪的案件不断出现，使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计，即EDI审计。同时随着社会经济的发展，审计对象、范围越来越大，审计业务也越来越复杂，利用传统的手工方法已不能及时完成审计任务，必须应用计算机辅助审计技术（CAATs）进行审计。80年代、90年代信息技术的进一步发展与普及，使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果，真正意义的IS审计才出现。随着电子商务的全球普及，IS的审计对象、范围及内容将逐渐扩大，采用的技术也将日益复杂。到目前为止，IS审计在全球来看，还是一个新的业务，从美国五大会计师事务所的数据看1990年拥有IS审计师12名到近百名，1995年已有500名，到2000年时，IS审计师正以40%50%的速度增加，说明IS审计正逐渐受到重视。IS审计的主要推动者是美国ISACA（信息系统审计与控制协会），成立于1969年，在全球建有100多个分会，推出了一系列IS审计准则、职业道德准则等规范性文件，并开展了大量的理论研究，COBIT（Control Objectives for Information and Related Technology ）已出版了第三版。但是迄今为止仍存在一些问题有待研究，比如：1989年David Dunmore提出的“1）信息系统审计真是一个职业吗？2）信息系统审计的业务范围是什么？”等问题，到现在仍然在讨论。 2 IS审计的理论基础及其基本业务IS审计不仅仅是传统审计业务的简单扩展，信息技术不单影响传统审计人员执行鉴证业务的能力，更重要的是公司和信息系统管理者都认识到信息系统是组织最有价值的资产，和传统资产一样需要控制，组织同时需要审计人员提供对信息资产控制的评价。因此IS审计是一门边缘性学科，跨越多学科领域。2.1 IS审计的理论基础如图3所示，IS审计是建立在四个理论基础之上的。1）传统审计理论。 传统审计理论为IS审计提供了丰富的内部控制理论与实践经验，以保证所有交易数据都被正确处理。同时收集并评价证据的方法论也在IS审计中广泛应用，最为重要的是传统审计给IS审计带来的控制哲学，即用批判的眼光审视信息系统在保护资产安全、保证信息完整，并能有效率 、有效果地实现企业目标的能力。2）信息系统管理理论。 信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论，它的发展提高了系统保护资产安全、保证信息完整，并能有效率 、有效果地实现企业目标的能力。3）行为科学理论。计算机信息系统有时会因为人的问题而失败，比如对系统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题”。4）计算机科学。计算机科学本身的发展也在关注如何保护资产安全、保证信息完整，并能有效率 、有效果地实现企业目标。但是技术是一把双刃剑，计算机科学的发展可以使审计人员降低对系统元件可靠性的关注，但是如果技术被不怀好意的人员利用，就增加了审计人员的审计难度。 图3 IS审计的理论基础IS审计传统审计信息系统管理计算机科学行为科学 2.2 IS审计的基本业务根据国外IS审计实践，IS审计有以下基本业务：1）系统开发审计，包括开发过程的审计、开发方法的审计，为IT筹划指导委员会及变革控制委员会提供咨询服务；2）主要数据中心、网络、通讯设施的结构审计，包括财务系统和非财务系统的应用审计；3）支持其他审计人员的工作：为财务审计人员与经营审计人员提供技术支持和培训；4）为组织提供增值服务：为MIS人员提供技术、控制与安全指导；推动控制自评程序的执行；5）软件及硬件供应商及外包服务商提供的产品及服务质量是否与合同相符审计；6）灾难恢复系统审计；7）计算机运行及应用开发测试；8）局域网的安全审计；9）网站的信誉审计；10）全面控制审计等。IS审计业务将随着信息技术的发展而发展，为满足信息使用者不断变化的需要而增加新的服务内容。随着电子交易的普及，网络会计必然代替传统会计，鉴证传统会计报表的传统审计业务也将被IS审计包容。3 我国注册会计师开展IS审计业务的几点思考美国在计算机进入实用阶段时就开始提出系统审计（SYSTEM AUDIT），从成立电子数据处理审计协会（EDPAA后更名为ISACA）以来，从事系统审计活动已有30多年历史。日本的系统审计是从80年代开始，1983年通产省公开发表了系统审计标准，并在全国软件水平考试中增加了"系统审计师"一级的考试，着手培养从事系统审计的骨干队伍。近几年东南亚各国也开始制定EDI法规，成立专门机构开展系统审计业务，并制定技术标准。我国在1999年颁布了独立审计准则第20号计算机信息系统环境下的审计，但更多的是关注会计信息系统。在信息时代，面对加入WTO后开放的会计市场，我国注册会计师面临巨大的挑战，开展IS审计业务不失为我国注册会计师事业发展的一次绝佳机会。3.1 我国注册会计师开展IS审计业务机遇与挑战3.1.1 机遇 我国广阔的市场是我们最大的机遇。2002在中国，每十天左右就会有一个预算为500万元以上的ERP项目招投标，一年的项目在5070个左右；预算为100万元至500万元的ERP项目在60100个左右；预算为100万元的项目在100150个左右。有些项目是企业自筹资金，有些项目是国家资金支持。 国家经贸委将利用国债资金支持大中型企业的管理信息化。政府的引导资金带来了企业实施ERP的具体部署，200多家企业大部分表示将在38个月实施ERP，ERP项目费用在500万元以上。从1999年起，在全国普遍实行了政府上网工程，到2001年，全国绝大多数乡级以上政府都设有站点，并通过网站，向社会发布信息，有的还开始提供在线服务。2000底，中国各式电子商务公司超过500家，中国电子商务市场规模将从2000年的87.3亿美元增长到2004年的546.3亿美元。网上银行、网络证券交易也出现在我们的生活中。大规模的信息化建设，对信息系统的安全、有效、保密以及其提供的信息的真实、完整等提出了鉴证要求， 因此我们拥有极大的IS审计需求市场。其次，IS审计在全球来看也是一项新业务，它的审计准则、规范、审计方法等还不成熟，有待进一步研究，我们有机会与世界强国在同一水平起跑，积极参与IS审计研究，参与规则的制订，为我国IS审计争得有利地位。第三，我国注册会计师审计业务单一、事务所之间在有限的报表审计领域低层次竞争，过分依赖这一单一业务，甚至影响到注册会计师的独立性。发展IS审计业务，无疑为注册会计师找到了一个新的利润增长点。3.1.2 挑战 我们有机遇但挑战也非常严峻。首先，加入WTO 后我国会计市场的开放，国际著名会计师事务所纷纷抢滩中国，他们的业务量一般占到市场的80%-90%，在IS审计方面更甚，IS审计的许多准则都是由他们制订的，而国内会计师事务所基本没有IS审计业务，在这方面他们已经抢占了先机。我国注册会计师若想站稳国内市场，必须充分认识到开展IS审计业务的紧迫性，奋起直追。其次，我们注册会计师的知识结构无法满足IS审计业务发展的要求。我们注册会计师考试仅包括会计、审计、税法、经济法、成本与财务管理五部分，根本没有信息技术知识的要求，这是一个严重的知识结构缺陷，在信息时代是无法生存的。此外，受观念落后的制约，我国目前计算机审计最多停留在计算机辅助审计与会计信息系统审计层面上，对非财务信息系统几乎没有关注。3.2 我国注册会计师开展IS审计的几点建议21世纪是信息时代，我国注册会计师必须把握时代的脉搏，努力开创新的业务领域。首先，加大对信息及信息系统资产的安全、完整、有效地实现组织目标的宣传，提高人们对IS审计的关注，引导并培育市场。其次，加强注册会计师信息技术知识的培训。IS审计人员一般都应具备全面的计算机软硬件知识，对网络和系统安全有独特的敏感性，并且对财务会计和单位内部控制有深刻的理解。美国Journal of Accountancy杂志1996年1月刊登了题为注册会计师应了解的15项主要技术，美国注册会计师协会（AICPA）以后每年公布注册会计师应关注的技术问题。2002年公布最关注的10大技术问题是：1）商业与财务报表应用软件；2）培训和技术竞争力；3）信息安全和控制；4）服务质量；5）恢复；6）通讯技术-宽带应用；7）远程连接工具；8）基于WEB的应用软件；9）个人信息技术应用产品；10）消息应用软件。我国注册会计师要加强信息技术的后续教育。此外，我国注册会计师协会应该组织力量研究制订我国的IS审计执业规范体系，在吸取传统审计业务开展的经验与教训基础上做好IS审计的推动与管理工作。参考文献1、玛丽莲.格林斯坦 电子商务的安全与风险管理M. 谢淳 译 北京：华夏出版社，2001.2、张金城.计算机信息系统控制与审计M .北京：北京大学出版社，2002.3、Lucy R. IS Auditing: The State of the Profession Going Into the 21st CenturyJ. IS Audit & Control Journal, 1999，（4）.4、Bagranoff N.，Vedrzyk V. The Changing Role of IS Audit Among the Big Five US-Based Accounting Firms J. IS Control Journal， 2000，（5）.IS Auditing: the Opportunity in Information Age for AuditorMeng Xiuzhuan(College of Applied Sciences and Humanities of Beijing Union University, Beijing 100083,China)Abstract: With the expansion of electronic commerce, people pay more and more attention to the reliability of electronics data. The information users urgently need the dependable organization to assure them of the reliability of electronics data and information system. This kind of demand urges the new audit business IS audit come forth. IS auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently. After affiliation of WTO, the challenges and opportunities face Chinese CPA. The CICPA should publicize the IS security, increase people to concern IS audit, guide and grow the market; give the CPA information technique training; research our country's IS auditing standard to push IS auditing to develop in our country.Key words: information system ；audit；control；assurance 6