2023年-IS审计：信息时代审计业务的发展.docx

IS审计：信息时代审计业务的发展孟秀转孙强（北京联合大学 应用文理学院，北京100083）（中国信息相关系统审计与控制专业委员会（筹）北京100846）摘要电子商务的推广，使得人们越来越关注电子数据的完整性与可靠性，信息使用者急需有 可以信任的机构，为其提供电子数据及产生电子数据的信息相关系统的可靠性保证。这种需要促 使新的审计业务即IS审计的产生。IS审计是一个获取并评价证据，以判断计算机相关系统是否 能够保证资产的安全、数据的完整以及有效果地利用组织的资源并有效果地实现组织目标的过程。 加入WTO后，我国注册会计师面临巨大的挑战，开展IS审计业务不失为我国注册会计师事业发 展的一次绝佳机会。我国注册会计师协会应加大宣传，提高人们对IS审计的关注，引导并培育 市场；加强注册会计师信息相关技术知识的培训；研究制订我国的TS审计执业规范体系，推动 我国IS审计的发展。关键词信息相关系统；审计；控制；鉴证中图分类号文章标识码A文章编号信息相关技术的高速发展与广泛应用改变着商业环境，改变着信息的产生与处理方式， 从而改变着信息使用者对信息的要求，而这一切必然影响并改变着审计鉴证业务的范围、合 适的内容与方式方法，给注册会计师行业带来了新的相关问题与挑战。理论界在密切关注着 信息相关技术条件下审计业务的发展。有学者提出计算机审计，电算化审计，但基本上停留 在对会计信息相关系统的审计上，延伸手工会计信息相关系统审计，尚未全面探讨信息时代 给审计业务带来的深刻变化。笔者将从IS （information system）审计的产生动因分析入手, 提出审计业务的发展方向一一IS审计，并介绍国外最新IS审计理论，在此基础上提出信息 时代我国注册会计师审计业务发展的若干建议。1IS审计产生动因及其发展IS审计是一个获取并评价证据，以判断计算机相关系统是否能够保证资产的安全、数 据的完整以及有效果地利用组织的资源并有效果地实现组织目标的过程。我们可以从分析信 息相关技术带来的一系列变化找出信息相关系统审计产生的动因。1.1 IS审计产生的动因分析1.1.1 信息相关技术带来的商务环境的改变20世纪50年代以来，随着信息相关技术的高速发展与广泛应用，特别是电子商务的推 广，信息相关技术正成为当今企业环境中最重要的资源之一。谁拥有最准确、最及时的信息， 谁就会赢得竞争的胜利。获取信息的相关能力正成为企业的核心竞争相关能力之一。为此企 业掀起了一波又一波的电子商务浪潮。如图1所示：图中显示每一浪都比前一浪更进步、更 大，伴随着每一浪潮的是电子商务相关技术和实务的更广泛应用。第一浪主要是80年代和 90年代初的电子数据交换实务，现在已让位给第二浪，如今许多公司已踏上追赶第三浪的 征程了。收稿日期2002-07-11作者简介孟秀转，女，河北深州人，北京联合大学应用文理学院讲师，数量经济学硕士，注册会 计师，主要从事统计、审计、投资的教学与研究。孙强，男：信息相关系统审计师、微软认证相关系统工程师、思科认证网络工程师，主要研究方向：电子商务、IT治理、信息相关系统审计与控制。第一浪潮一一传统EDI第二浪潮一一电子 商务第三浪潮一一一个新的 电子社会 下订单 发货通知 开发票 检查库存 早已建立关系第一浪潮中的要素 加上：电子购物 银行与金融机构 与虚拟的陌生人第二浪潮中要素加上： 无现金交易 智能代理的广泛应用 连续不断的测试代理交易增强信息的共享图1电子商务的三次浪潮（资料来源：电子商务的安全与风险管理 于军译）在第一浪中电子交易仅仅出现在早已建立关系的商业伙伴之间。第二浪中电子交易能发生在 虚拟的陌生人之间，因此要求向更广泛的人群（潜在的客户）提供公司的信息。无现金交易 与智能代理将是第三浪的主题。商务环境正日益数字化、信息化。1. 1.2电子商务对价值链的影响传统价值链通常将信息相关系统的数据描述为在最初阶段的供应商输入到最终阶段的 客户输出的依次流动，而信息时代，电子商务使公司在价值链的许多环节都与客户和供应商 分享信息、。图2描述了一种新的以客户为中心的价值链观念。公司的信息相关系统就是将这 一过程连接在一起的“粘合剂”。这个以客户为中心的价值链使客户几乎能在任何环节进入 公司的信息相关系统，以随时掌握其订货的动向。图2所示的以客户为中心价值链，还需要 将公司采购信息相关系统与公司供应商的信息相关系统相连。供应商需要登录到自己的下一 级供应商的信息相关系统以便能为自己的客户提供最佳服务，这样以来网络使各公司可以将 其供应链彻底融为一体。图2以顾客为中心的价值链LL3价值链带来信息使用者对信息要求的改变信息使用者既包括企业管理者、交易伙伴也包括投资人，在信息时代，谁先掌握最及时 最可靠的信息，谁就可以赢得市场。他们对信息的关注不再只是财务报表所反映的过去的信 息，而是更多关注公司的实时信息以便及时做出更为科学的决策。因此信息使用者有着强烈 的愿望需要有一个独立、客观、公正的第三方为其提供所需信息的质量审查，以合理保证其 信息的完整性、可靠性。电子商务以及价值链的转变改变了传统的审计业务。当企业开始与 新的贸易伙伴交换数据进行交易时，贸易伙伴及其交易处理相关系统的可靠性都必须得到评 估。当供应链管理中各个过程和步骤，如库存相关需求计划、购货订单、销售订单、运货单 和现金支出等，通过电子商务信息相关系统被电子化处理时，审查交易数据和评估其完整性 及可靠性则成为必要。社会的需要促使新的审计业务一一IS审计的产生。它不仅仅是应用 计算机相关技术进行审计（即传统EDI审计或计算机辅助审计），更重要的是对包括财务管 理信息相关系统在内的所有信息相关系统本身的安全性、保密性、完整性及其实现企业目标 的有效性进行的审计。1 . 2 IS审计的发展IS审计的发展是伴随着信息相关技术的发展而发展的。在数据处理电算化的初期，由 于人们对计算机在数据处理中的应用所产生的影响没有足够的认识，认为计算机处理数据准 确可靠，不会出现错弊，因而很少对数据处理相关系统进行审计，主要是对计算机打印出的 一部分资料进行传统的手工审计。随着计算机在数据处理相关系统中应用的逐步扩大，利用 计算机犯罪的案件不断出现，使审计人员认识到要应用计算机辅助审计相关技术对电子数据 处理相关系统本身进行审计，即EDI审计。同时随着社会经济的发展，审计对象、范围越 来越大，审计业务也越来越复杂，利用传统的手工方式方法已不能及时完成审计任务，必须 应用计算机辅助审计相关技术（CAATs）进行审计。8。年代、90年代信息相关技术的进一 步发展与普及，使得企业越来越依赖信息及产生信息的信息相关系统。人们开始更多的关注 信息相关系统的安全性、保密性、完整性及其实现企业目标的效果、效果，真正意义的IS 审计才出现。随着电子商务的全球普及，IS的审计对象、范围及合适的内容将逐渐扩大， 采用的相关技术也将日益复杂。到目前为止，IS审计在全球来看，还是一个新的业务，从 美国五大会计师事务所的数据看1990年拥有IS审计师12名到近百名，1995年已有500名， 到2000年时，IS审计师正以40%50%的速度增加，说明IS审计正逐渐受到重视。IS审计 的主要推动者是美国ISACA （信息相关系统审计与控制协会），成立于1969年，在全球建有 100多个分会，推出了一系列IS审计准则、职业道德准则等规范性文件，并开展了大量的 理论研究，COB IT （Control Objectives for Information and Related Technology ）已 出版了第三版。但是迄今为止仍存在一些相关问题有待研究，比如：1989年David Dunmore 提出的"1）信息相关系统审计真是一个职业吗？ 2）信息相关系统审计的业务范围是什么？ ” 等相关问题，到现在仍然在讨论。2 IS审计的理论基础及其基本业务IS审计不仅仅是传统审计业务的简单扩展，信息相关技术不单影响传统审计人员执行 鉴证业务的相关能力，更重要的是公司和信息相关系统管理者都认识到信息相关系统是组织 最有价值的资产，和传统资产一样需要控制，组织同时需要审计人员提供对信息资产控制的 评价。因此IS审计是一门边缘性学科，跨越多学科领域。2. 1 IS审计的理论基础如图3所示，IS审计是建立在四个理论基础之上的。1）传统审计理论。传统审计理 论为IS审计提供了丰富的内部控制理论与实践经验，以保证所有交易数据都被正确处理。 同时收集并评价证据的方式方法论也在IS审计中广泛应用，最为重要的是传统审计给IS 审计带来的控制哲学，即用批判的眼光审视信息相关系统在保护资产安全、保证信息完整， 并能有效果、有效果地实现企业目标的相关能力。2）信息相关系统管理理论。信息相关 系统管理理论是一门关于如何更好地管理信息相关系统的开发与运行过程的理论，它的发展 提高了相关系统保护资产安全、保证信息完整，并能有效果、有效果地实现企业目标的相 关能力。3）行为科学理论。计算机信息相关系统有时会因为人的相关问题而失败，比如对 相关系统不满的用户故意破坏相关系统及其控制。因此审计人员必须了解哪些行为因素可能 导致相关系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的相关问题: 4）计算机科学。计算机科学本身的发展也在关注如何保护资产安全、保证信息完整，并能 有效果、有效果地实现企业目标。但是相关技术是一把双刃剑，计算机科学的发展可以使 审计人员降低对相关系统元件可靠性的关注，但是如果相关技术被不怀好意的人员利用，就 增加了审计人员的审计难度。图3 1s审计的理论基础2. 2 IS审计的基本业务根据国外IS审计实践，IS审计有以下基本业务：1）相关系统开发审计，包括开发过程 的审计、开发方式方法的审计，为IT筹划指导委员会及变革控制委员会提供咨询服务；2） 主要数据中心、网络、通讯设施的结构审计，包括财务相关系统和非财务相关系统的应用审 计；3）支持其他审计人员的工作：为财务审计人员与经营审计人员提供相关技术支持和培 训；4）为组织提供增值服务：为MIS人员提供相关技术、控制与安全指导；推动控制自评 程序的执行；5）软件及硬件供应商及外包服务商提供的产品及服务质量是否与合同相符审 计；6）灾难恢复相关系统审计；7）计算机运行及应用开发测试；8）局域网的安全审计；9） 网站的信誉审计；10）全面控制审计等。IS审计业务将随着信息相关技术的发展而发展，为满足信息使用者不断变化的需要而增 加新的服务合适的内容。随着电子交易的普及，网络会计必然代替传统会计，鉴证传统会计 报表的传统审计业务也将被IS审计包容。3我国注册会计师开展IS审计业务的几点思考美国在计算机进入实用阶段时就开始提出相关系统审计（SYSTEM AUDIT）,从成立电子 数据处理审计协会（EDPAA后更名为ISACA）以来,从事相关系统审计活动已有30多年历史。 日本的相关系统审计是从80年代开始，1983年通产省公开发表了相关系统审计标准， 并在全国软件水平考试中增加了相关系统审计师一级的考试，着手培养从事相关系统审计 的骨干队伍。近几年东南亚各国也开始制定EDI法规，成立专门机构开展相关系统审计业务, 并制定相关技术标准。我国在1999年颁布了独立审计准则第20号一一计算机信息相关系统 环境下的审计，但更多的是关注会计信息相关系统。在信息时代，面对加入WT0后开放的会 计市场，我国注册会计师面临巨大的挑战，开展IS审计业务不失为我国注册会计师事业发 展的一次绝佳机会。3.1我国注册会计师开展IS审计业务机遇与挑战3. 1. 1机遇我国广阔的市场是我们最大的机遇。2002在中国，每十天左右就会有一个预算为500 万元以上的ERP本次项目招投标，一年的本次项目在5070个左右；预算为100万元至500 万元的ERP本次项目在60100个左右；预算为100万元的本次项目在100150个左右。 有些本次项目是企业自筹资金，有些本次项目是国家资金支持。国家经贸委将利用国债资 金支持大中型企业的管理信息化。政府的引导资金带来了企业实施ERP的具体部署，200多 家企业大部分表示将在38个月实施ERP, ERP本次项目费用在500万元以上。从1999年 起，在全国普遍实行了政府上网工程，到2001年，全国绝大多数乡级以上政府都设有站点， 并通过网站，向社会发布信息，有的还开始提供在线服务。2000底，中国各式电子商务公 司超过500家，中国电子商务市场规模将从2000年的87. 3亿美元增长到2004年的546. 3 亿美元。网上银行、网络证券交易也出现在我们的生活中。大规模的信息化建设，对信息相 关系统的安全、有效、保密以及其提供的信息的真实、完整等提出了鉴证要求，因此我们 拥有极大的IS审计相关需求市场。其次，IS审计在全球来看也是一项新业务，它的审计准 则、规范、审计方式方法等还不成熟，有待进一步研究，我们有机会与世界强国在同一水平 起跑，积极参与IS审计研究，参与规则的制订，为我国IS审计争得有利地位。第三，我国 注册会计师审计业务单一、事务所之间在有限的报表审计领域低层次竞争，过分依赖这一单 一业务，甚至影响到注册会计师的独立性。发展IS审计业务，无疑为注册会计师找到了一 个新的利润增长点。3. 1. 2挑战我们有机遇但挑战也非常严峻。首先，加入WTO 后我国会计市场的开放，国际著名会 计师事务所纷纷抢滩中国，他们的业务量一般占到市场的80%-90圾 在IS审计方面更甚， IS审计的许多准则都是由他们制订的，而国内会计师事务所基本没有IS审计业务，在这方 面他们已经抢占了先机。我国注册会计师若想站稳国内市场，必须充分认识到开展IS审计 业务的紧迫性，奋起直追。其次，我们注册会计师的知识结构无法满足IS审计业务发展的 要求。我们注册会计师考试仅包括会计、审计、税法、经济法、成本与财务管理五部分，根 本没有信息相关技术知识的要求，这是一个严重的知识结构缺陷,在信息时代是无法生存的。 此外，受观念落后的制约，我国目前计算机审计最多停留在计算机辅助审计与会计信息相关 系统审计层面上，对非财务信息相关系统几乎没有关注。3. 2我国注册会计师开展IS审计的几点建议21世纪是信息时代，我国注册会计师必须把握时代的脉搏，努力开创新的业务领域。首先，加大对信息及信息相关系统资产的安全、完整、有效地实现组织目标的宣传，提 高人们对IS审计的关注，引导并培育市场。其次，加强注册会计师信息相关技术知识的培训。IS审计人员一般都应具备全面的计 算机软硬件知识，对网络和相关系统安全有独特的敏感性，并且对财务会计和单位内部控制 有深刻的理解。美国Journal of Accountancy杂志1996年1月刊登了题为注册会计师应 了解的15项主要相关技术，美国注册会计师协会（AICPA）以后每年公布注册会计师应关 注的相关技术相关问题。2002年公布最关注的10大相关技术相关问题是：1）商业与财务 报表应用软件；2）培训和相关技术竞争力；3）信息安全和控制；4）服务质量；5）恢复; 6）通讯相关技术一宽带应用；7）远程连接工具；8）基于WEB的应用软件；9）个人信息相 关技术应用产品；10）消息应用软件。我国注册会计师要加强信息相关技术的后续教育。此外，我国注册会计师协会应该组织力量研究制订我国的IS审计执业规范体系，在吸 取传统审计业务开展的经验与教训基础上做好IS审计的推动与管理工作。参考文献1、玛丽莲格林斯坦电子商务的安全与风险管理M.谢淳译北京：华夏出版社，2001.2、张金城.计算机信息相关系统控制与审计M,北京：北京大学出版社，2002.3、Lucy R. IS Auditing: The State of the Profession Going Into the 21st Century J. IS Audit & Control Journal, 1999, （4）.4、 Bagranoff N. , Vedrzyk V. The Changing Role of IS Audit Among the Big Five US-Based Accounting Firms J. IS Control Journal, 2000, （5）.IS Auditing: the Opportunity in Information Age for AuditorMeng Xiuzhuan（College of Applied Sciences and Humanities of Beijing Union University, Beijing 100083,China）Abstract: With the expansion of electronic commerce, people pay more and more attention to the reliability of electronics data. The information users urgently need the dependable organization to assure them of the reliability of electronics data and information system. This kind of demand urges the new audit businessIS audit come forth. IS auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently. After affiliation of WTO, the challenges and opportunities face Chinese CPA. The CICPA should publicize the IS security, increase people to concern IS audit, guide and grow the market; give the CPA information technique training; research our country's IS auditing standard to push IS auditing to develop in our country.Key words: information system ； audit； control； assurance