计算机审计与信息系统审计之比较.docx

《计算机审计与信息系统审计之比较.docx》由会员分享，可在线阅读，更多相关《计算机审计与信息系统审计之比较.docx（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机审计与信息系统审计之比较 计算机审计与信息系统审计之比较 庄明来审计文摘V3 0 2010 年 8 08 期 会计之友 ( ( 太原0 )2010 年 年 5 5 下期第 82 5 85 页 庄明来厦门高校管理学院会计系EEUU计算机审计(Computer Auditing)与信息系统审计（Information System Audit，简称 IS 审计），前者约定俗成，后者势在必行，但两者在我国的学术探讨与实践应用中长期模糊不清、难舍难分，这不仅不利于我国审计工作的开展，同时也可能影响我国审计信息化的发展。本文拟通过两者的产生与发展、基本概念与审计目标、适用准则与审计技术等方面的比较

2、，厘清两者的主要区分，以求它们在我国取得并行不悖的发展。 一、两者的产生与发展过程比较 在计算机审计与 IS 审计产生之前，电子数据处理(Electronic Data Processmg, EDP)审计早已存在。可以说，EDP 审计是计算机审计与 IS 审计的前身与发展的基础。 （一）EDP 审计的产生与发展 EDP 审计不仅是指电子数据处理环境下的审计，还包括对电子数据处理系统的审计。F Kanfuman(1961)、APinkney(1966)、T W.Merae(1976)、Joseph Sardinas(1987)、W.ThomasPoter 和 William E Perry(19

3、87)等学者都从不同的角度对 EDP 环境中内外部审计规则和组成方法、EDP 审计的测试方法、特别审计技术、审计步骤等方面绽开深化探讨。1968 年美国注册会计师协会(AICPA)出版的会计审计与计算机一书，具体阐述了在 EDP 环境下如何开展 IS 审计和传统的外部审计。而作为信息系统审计与限制协会(IASCA)的前身，成立于 1969 年的 EDP 审计协会(EDPAA)及其属下的 EDP 审计师基金会(EDPAF)25 年间始终运用 EDP 一词。至今，EDP 审计与 IS 审计仍有并驾齐驱之势。例如，在 Jack. J. Champlain 所著的审计信息系统（第2 版，2003）一书

4、中，仍旧将 EDP 审计师与 IS 审计师同日而语。 从诸多文献资料分析，EDP 包含两种含义，一为环境说；二为系统说。作环境说，诚如国际审计准则 15 指出：为了国际审计准则的目的，当一个单位对与审计有重要意义的财务资料的处理，包含有任何类型或大小的计算机时，就存在着电子数据处理的环境。面对这一环境进行审计的审计师也就是 EDP 审计师。而作系统说，则更多是指计算机信息系统，以该系统作为审计对象必定会变更审计的总体目标和范围，因而也才有应运而生的信息系统审计与限制协会及其单独发布的审计标准、指南和程序，以及由此产生的 IS 审计师。 表 1 三种探讨倾向统计表（1980 年至 2008 年）

5、（二）计算机审计的产生与发展 有关计算机审计的探讨，在国外参考文献中并不少见。例如，Andrew D Chambers(1984)、Javier FKuong(1987)和S.Rao Vallabhaneni(1989)等学者，均围绕计算机审计的平安与内部限制、相关技术、内部限制的实施等加以论述。值得留意的是，在各职业组织所发布的有关标准、指南或程序中，却鲜有运用计算机审计一词，如美国注册会计师协会(AICPA)发布的计算机协助审计(1978)和取代 SASNo.3 号(1974)的审计标准说明书第 48 号(SAS.No.48，1984)，国际内部审计师协会 20 世纪 70 年头发布的系统

6、限制与审计，加拿大执业会计师协会(CICA)两次发布的计算机限制和工作指南(1970, 1986)，以及加拿大审计标准委员会颁布的EDP 环境下的审计一般原则(1984.)等等，也都较少采纳计算机审计一词。 在我国，有关计算机审计探讨经久不衰。在 20 世纪 80 年头，我国学者往往将其与国外的 EDP 审计相联系。例如在对 Poter 和 Perry(1987)合著的EDP：Controlls And Auditing（第 5 版）翻译中，李大庆和乔勇等学者(1990)就将其干脆译为计算机审计。我国学者潘晓江(1983)较早针对我国会计电算化提出审计应实行的充分发挥人在限制中的主导地位、留意

7、实行数据牢靠性限制和留意保留必要的审计线索三大措施。从 20 世纪 90 年头至今，我国以计算机审计为题的探讨成果颇丰。据笔者不完全统计，这类教材和专著已逾 30 本，较早的作者有肖泽忠(1990)、陈婉玲(1990)、李长旭(1990)等。 我国审计机关无论是关于计算机应用的规定，还是组织系统内有关专家进行探讨，也多以计算机审计为题加以进行。例如，审计署 1993 年发布的审计署关于计算机审计的暂行规定和 1996 年发布的审计机关计算机协助审计方法等。邱成功和张玉(1990,1993)、董化礼(2002)、刘汝焯(2004)、国家 863 安排审计署课题组(2006)等，也都以计算机审计为

8、题绽开探讨。 （三）IS 审计的产生与发展 对 IS 审计贡献最大的莫过于国际信息系统审计与限制协会(Information System Audit and Control Association， ISACA)。1994 年，ISACA 替代了原有电子数据处理审计协会(EDPAA)。至 2008 年 2 月止，该协会已经发布了 16 个审计标准、39个审计指南和 11 个审计程序。而其于 1996 年发布的信息和相关技术限制目标(Control Obiective for information and RelatedTechnology, COBIT)已经成为全球公认的、权威的信息技术限

9、制目标体系。同时，该协会每年还举办 IS 审计师资格考试，有力地推动了世界范围内 IS 审计的发展。 日本通产省于 1983 年发布了系统审计标准，并在全国软件水平考试中增加系统审计师一级的考试。1985 年，日本内部审计师协会在其所发布的审计白皮书中认为，内部审计师的最新发展是IS 审计。另据 IIA 对美国和英国的调查，被调查企业中实施 MIS 审计的企业所占的比例各年分别为：1968 年 48%，1975 年 60%，1979 年 65%。而 1983 年再对这两个国家 1687 个内部审计部门的调查中显示，已有 70.8%的企业在进行 MIS 审计。 由于我国从一起先就将电算化会计信息

10、系统确定为计算机审计对象，致使人们将其等同于 IS 审计的审计对象。同时，学者们也往往将 IS 审计与 IT 审计等同视之。如胡克瑾(2002)在其IT 审计专著中指出，IT 审计是指对以计算机为核心的信息系统的审计。李丹(2003)也认为，信息系统审计也称为 IT 审计。 （四）从国内探讨现状看两者的发展 借助有关学术论文的统计数据，或许可以发觉我国学者对计算机审计与 IS 审计的探讨偏好与倾向。笔者以计算机审计、信息系统审计和电算化审计作为关键词进行检索。采纳篇名+年份+全部数据+全部期刊+精确匹配为检索条件，对中国期刊网的期刊数据库各年进行检索，以下是检索结果统计表（见表 1）。 在表

11、1 对 29 年来发表论文统计中，三种探讨倾向的论文总数为 696 篇，其中，有关计算机审计的探讨论文占了61.93%，而在近五年这一探讨倾向论文也高达 219 篇，占近五年全部论文总数的 58.40%，无论处于哪一时间段，探讨计算机审计的论文占三种探讨倾向论文总数的比例均超过 50%。而探讨信息系统审计的论文在 2003 年及以前的 24 年中仅有 44 篇，近五年则有 101 篇，其平均每年有 20 篇，尤其是近三年更呈递增趋势。但其各年所发表的论文数均明显低于计算机审计探讨倾向的论文数。至于电算化审计探讨方向，由于它与计算机审计、信息系统审计两个探讨方向有重复之嫌，故近年来呈下降趋势，在

12、将来探讨中它可能被计算机审计和信息系统审计两个探讨方向所替代。由表 1 也同时看到，我国在接着对计算机审计进行探讨的同时，亟须加快对信息系统审计的理论与实务探讨。 二、两者的基本概念、审计目标与审计内容比较 计算机审计与 IS 审计的本质区分，首先见之于基本概念、审计目标与审计内容等三个方面。因此，了解两者在这三个方面的区分与联系，有利于今后开展相关理论探讨与应用探讨。 （一）基本概念的比较 1.计算机审计的基本概念。日本会计检察院计算机中心认为，计算机审计有两方面的含义，一是对计算机系统本身的审计，包括系统安装、运用成本，系统和数据、硬件和系统环境的审计；二是计算机协助审计，包括用计算机手段

13、进行传统审计用计算机建立一个审计数据库，帮助专业部门进行审计。 我国学者对计算机审计的理解与上述基本一样。肖泽忠(1990)认为：计算机审计是审计人员用手工的或电算化的审计方法、技术和程序对电算化或手工信息系统进行的审计（以下简称为二方观）。陈婉玲(1990)、刘志涛(1990)、詹航恩和张蒙生(1993)、李学柔软秦荣生(2002)也都表达相同的观点。李长旭(1990)则认为，计算机审计是针对会计核算电算化而言的，即凡是对实现会计核算电算化的企业进行的审计都可称为计算机审计（以下简称为一方观）。 综观国内外学者对计算机审计的诸多论述，多数学者将计算机审计作为一个广义的概念，认为计算机审计包括

14、两个方面，一是将计算机系统作为审计的对象；二是将计算机作为审计的工具。 与计算机审计的基本概念相近的还有电算化审计，它同样具有二方观与一方观。朱荣恩和徐建新(1986)依据英国审计探讨（1982 年版）的资料编译并发表题为发展中的电算化审计中指出，电算化审计是评价、限制会计电算化信息系统的审计。王军等(1995)多数学者赞同这一观点。袁树民等(1995)则持二方观，其基本概念与计算机审计无异。 2.IS 审计的基本概念。IS 审计至今尚未形成统一的概念。Ron Weber 在信息系统审计与限制一书中指出，IS 审计是一个获得并评价证据，以推断信息系统是否能够保证资产的平安、数据的完整以及有效率

15、地利用组织的资源并有效果地实现组织目标的过程。日本通产省情报协会对 1S 审计定义如下：为了信息系统的平安、牢靠与有效，由独立于审计对象的 IS 审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向 IS 审计对象的最高领导，提出问题与建议的一连串的活动。而我国学者也普遍认为，IS 审计是由专业审计人员依据 IS 审计准则及相关规定，对信息系统的安排、研发、实施，以及运行维护等各环节所进行的审计，以保证被审计信息系统平安、稳定和有效，同时，它还将依据审计结果对被审单位提出改进建议。 应当指出的是，在我国审计署和财政部发布的诸多准则与通则中，信息系统一词尚未达到统一规范的

16、表述。例如，审计署发布的审计机关计算机协助审计方法(1996)，将信息化的信息系统称为计算机应用系统，财政部发布的独立审计准则 20计算机信息系统环境下的审计，则为计算机信息系统，而审计准则第 1211 号了解被审计单位及其环境并评估重大错报风险中则称之为财务报告信息系统、信息技术系统、信息系统和自动化信息系统等不同的用语。在新财务通则第八章的信息管理中，则将信息系统定义为：财务业务一体化信息处理系统，也称为财务管理信息系统或者管理型财务软件。尽管我国对各类信息系统诸多的不同表述有待统一，但它们都是指信息化的会计信息系统则是毫无疑义的。 （二）审计目标与审计内容的比较 1.计算机审计的审计目标

17、与审计内容。国际审计准则(ISAs)第 401 号计算机信息系统环境下的审计(2004)指出： 在计算机信息系统环境下，并不变更审计的总体目标和范围，我国的独立审计详细准则第 20 号计算机信息系统环境下的审计(1999)也指出：注册会计师在计算机信息系统环境下执行会计报表审计业务，应当考虑其对审计的影响，但不变更审计目的和范围。鉴于我国对计算机审计的二方观相识，其审计目标也包括两个方面：一是具有提高执行经济业务和会计信息处理的计算机系统的合法性、正确性和平安性；二是加快审查速度、扩大抽查范围、提高审计效率和审计质量的双重目标（陈婉玲，2002）。与之相适应，计算机审计内容也就相应包括两个方面

18、：一是包括对信息化会计信息系统的开发设计、数据输入、处理和输出进行审计；二是加快审计信息化的步伐，建立信息化的审计网络体系。随着市场经济的快速发展，在国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知（国办发200188 号）中也明显指出，简洁地讲，计算机审计包括：对计算机管理的数据进行检查；对管理数据的计算机进行检查。可见，计算机审计的审计内容主要是面对数据（会计数据等）的检查，而对管理数据的计算机进行检查，则是借助于信息系统鉴证以获得处理数据是否正确性的推断。 2.IS 审计的审计目标与审计内容。IS 审计目标比较明确，它是指对信息系统的资产爱护，信息系统的可用性、平安性、完整性

19、和有效性发表审计看法。由于 IS 审计的审计对象是被审单位的信息系统，因此确定其审计内容包括：(1)信息系统的管理、规划与组织；(2)信息技术基础设施与操作实务；(3)资产的爱护；(4)灾难复原与业务持续安排；(5)应用系统开发、获得、实施与维护；(6)业务流程评价与风险管理。上述诸多的审计内容，以及日益纷繁困难的信息系统，也迫使我们在 IS 审计之际不能不采纳单独的审计准则体系和更多的计算机协助审计技术。 三、两者适用准则及采纳技术比较 由于计算机审计与 IS 审计的审计目标、审计内容的不同，确定了前者面对数据审计的特点与后者面对系统审计的特点，由此也就使各自的审计准则和审计技术各不相同。

20、（一）适用准则的比较 如上所述，计算机审计目标与内容确定其相关准则的多维性。这可以从国际审计准则 15、16 和 20 等内容加以了解。这些相关规定大多提及 EDP 环境，虽然也不免涉及系统审计，但却主要是针对财务报表等资料加以规定的。同时，它们也并非特地针对 IS 审计。我国的审计署、中注协、国务院办公厅从 1993 年至 2007 年，接连发布诸多与计算机技术应用有关的规定，究其实质，也都侧重于财务会计数据审计而非单独针对 IS 审计的。 表 2 国内外已发布的计算机审计与 IS 审计相关准则体系比较与计算机审计的上述规范相比，IS 审计内涵、审计准则、职业组织、执业主体等则非常明确。以审

21、计标准为例，截至2008 年 2 月，国际信息系统审计与限制协会已发布 16 个审计标准，包括审计章程、审计独立性、职业道德和标准、职业实力、审计安排、审计工作的执行、审计报告、后续工作、违规和非法行为、信息技术管理、审计安排中风险评估的应用、审计实质性、运用其他审计专家的工作成果、审计证据、信息技术限制、电子商务等。可喜的是，我国内部审计协会发布并于 2009 年 1月 1 日施行的内部审计详细准则第 28 号信息系统审计围绕总则、一般原则、审计安排、信息技术风险评估、信息系统审计的内容、信息系统审计的方法、审计报告与后续工作等方面对内部审计中的信息系统审计加以规定。虽然这一详细准则与国际信

22、息系统审计与限制协会已发布的审计标准尚有肯定的距离，但它终归首开我国信息系统审计准则制定之先河。以下是国内外已发布的计算机审计与 IS 审计相关准则体系的比较（见表 2）。 （二）采纳的审计技术与工具比较 从当前相关文献来看，有关计算机审计技术介绍比较宽泛，而有关 IS 审计技术则有针对性强的特点。笔者认为，从信息与信息系统的产品与生产工厂的关系看，两者在审计过程中是紧密联系的。只有当产生信息的系统本身具有牢靠性时，审计师才能初步确信该系统产生信息的牢靠性。而为了鉴证系统的牢靠性，IS 审计师往往通过检测被审系统输入、处理与输出数据与信息来加以鉴证，其有效性不言而喻。鉴于计算机审计与 IS 审

23、计两者的审计目标的不同，两者采纳审计技术与工具也就有所不同。以下是笔者依据国内、外有关文献对两者采纳技术与工具的归纳： 1.两者共同采纳的技术与工具。主要有：测试数据法、追踪法、综合测试工具(ITF)、平行模拟法、嵌入审计模块法、 流程图检查法、审计软件法、程序编码审查法、程序比较法等。 2.两者各自采纳不同的技术与工具。其中，计算机审计技术主要有：受控处理法、受控再处理法、漏洞扫描与入侵检测、利用数据管理系统协助法、利用操作系统和好用程序法、利用被审系统协助法和利用电子表格协助法等。IS 审计技术主要有：基本案例评估法、系统限制审计复核文件(SCARF)、快照法、审计钩(hooks)、连续与

24、间歇模拟(CIS)、延展性记录法等。 四、结论 计算机审计与 IS 审计无论是其产生与发展，还是其基本概念、审计目标、审计内容，抑或是其适用准则与采纳的审计技术，都有着很大的区分。但两者在我国审计发展过程中却有其特定的地位与作用。以信息化会计系统的财务数据为审计对象的计算机审计，在当前广泛开展财务报表审计过程中对其绽开探讨仍旧有着重要意义。同时，它所强调的审计信息化建设使其二方观能够进一步发扬光大。可以预见，随着环境的改变与信息技术应用的深化，计算机审计的内涵与外延也必将得以深化与拓展。 胜利地开展我国的 IS 审计，是我国审计走向世界的必由之路。上市公司依据 COBIT 框架实施内部限制已是

25、大势所趋，大、中型企业也必定紧随其后，由此也就确定了 IS 审计的势在必行。透过 IS 审计师资格考试的内容使我们看到了 IS 审计对学问与技术要求的高难度，尤其是近年来对某些企业单位的 IS 审计之实践更使我们感到任重而道远。因此，起步伊始的我国 IS 审计，倘一起先就能够借鉴国外先进的阅历，追踪国际惯例，并针对国情提出自己的发展对策，无疑可以健康发展。 计算机审计与 IS 审计两者绝非泾渭分明，而两者原委应当遵循哪些审计准则，是近期内我国应当重点探讨的问题。诚然，从技术的角度看，国际 IS 审计标准、指南和程序已经日臻完整和成熟，我国似无另起炉灶之必要，但由于我国企业单位种类繁多，很多内外环境与国外迥然不同，假如没有切合国情的部门规章和规范性文件对 IS 审计加以指导，则可能欲速不达。因此，应当结合我国 IS 审计的现实状况，依据实践阅历、详细业务流程和技术方法分期发布相应规章与规范性文件，逐步规范我国的 IS 审计。NU1DA20101014