IS审计：信息时代审计业务的发展

IS审计：信息时代审计业务的发展孟秀转 孙强（北京联合大学 应用文理学院，北京100083）（中国信息系统审计与控制专业委员会（筹） 北京 100846）摘要 电子商务的推广，使得人们越来越关注电子数据的完整性与可靠性，信息使用者急需有可以信任的机构，为其提供电子数据及产生电子数据的信息系统的可靠性保证。这种需要促使新的审计业务即IS审计的产生。IS审计是一种获取并评价证据，以判断计算机系统与否可以保证资产的安全、数据的完整以及有效率地运用组织的资源并有效果地实现组织目的的过程。加入WTO后，国内注册会计师面临巨大的挑战，开展IS审计业务不失为国内注册会计师事业发展的一次绝佳机会。国内注册会计师协会应加大宣传，提高人们对IS审计的关注，引导并哺育市场；加强注册会计师信息技术知识的培训；研究制定国内的IS审计执业规范体系，推动国内IS审计的发展。核心词 信息系统；审计；控制；鉴证 中图分类号 文章标记码 A 文章编号 信息技术的高速发展与广泛应用变化着商业环境，变化着信息的产生与解决方式，从而变化着信息使用者对信息的规定，而这一切必然影响并变化着审计鉴证业务的范畴、内容与措施，给注册会计师行业带来了新的问题与挑战。理论界在密切关注着信息技术条件下审计业务的发展。有学者提出计算机审计，电算化审计，但基本上停留在对会计信息系统的审计上，延伸手工会计信息系统审计，尚未全面探讨信息时代给审计业务带来的深刻变化。笔者将从IS（information system）审计的产生动因分析入手，提出审计业务的发展方向IS审计，并简介国外最新IS审计理论，在此基本上提出信息时代国内注册会计师审计业务发展的若干建议。1 IS审计产生动因及其发展 IS审计是一种获取并评价证据，以判断计算机系统与否可以保证资产的安全、数据的完整以及有效率地运用组织的资源并有效果地实现组织目的的过程。我们可以从分析信息技术带来的一系列变化找出信息系统审计产生的动因。1.1 IS审计产生的动因分析1.1.1 信息技术带来的商务环境的变化 20世纪50年代以来，随着信息技术的高速发展与广泛应用，特别是电子商务的推广，信息技术正成为当今公司环境中最重要的资源之一。谁拥有最精确、最及时的信息，谁就会赢得竞争的胜利。获取信息的能力正成为公司的核心竞争能力之一。为此公司掀起了一波又一波的电子商务浪潮。如图1所示：图中显示每一浪都比前一浪更进步、更大，随着着每一浪潮的是电子商务技术和实务的更广泛应用。第一浪重要是80年代和90年代初的电子数据互换实务，目前已让位给第二浪，如今许多公司已踏上追赶第三浪的征程了。 收稿日期 -07-11作者简介 孟秀转，女，河北深州人，北京联合大学应用文理学院讲师，数量经济学研究生，注册会计师，重要从事记录、审计、投资的教学与研究。 孙强，男：信息系统审计师、微软认证系统工程师、思科认证网络工程师，重要研究方向：电子商务、IT治理、信息系统审计与控制。第一浪潮老式 第二浪潮电子 第三浪潮 一种新的EDI 商务 电子社会 下订单 第一浪潮中的要素 第二浪潮中要素加上：发货告知 加上： 无钞票交易开发票 电子购物 智能代理的广泛应用检查库存 银行与金融机构 持续不断的测试代理早已建立关系 与虚拟的陌生人交易增强信息的共享 图1 电子商务的三次浪潮（资料来源：电子商务的安全与风险管理 于军译）在第一浪中电子交易仅仅出目前早已建立关系的商业伙伴之间。第二浪中电子交易能发生在虚拟的陌生人之间，因此规定向更广泛的人群（潜在的客户）提供公司的信息。无钞票交易与智能代理将是第三浪的主题。商务环境正日益数字化、信息化。1.1.2 电子商务对价值链的影响 老式价值链一般将信息系统的数据描述为在最初阶段的供应商输入到最后阶段的客户输出的依次流动，而信息时代，电子商务使公司在价值链的许多环节都与客户和供应商分享信息。图2描述了一种新的以客户为中心的价值链观念。公司的信息系统就是将这一过程连接在一起的“粘合剂”。这个以客户为中心的价值链使客户几乎能在任何环节进入公司的信息系统，以随时掌握其订货的动向。图2所示的以客户为中心价值链，还需要将公司采购信息系统与公司供应商的信息系统相连。供应商需要登录到自己的下一级供应商的信息系统以便能为自己的客户提供最佳服务，这样以来网络使各公司可以将其供应链彻底融为一体。1.1.3 价值链带来信息使用者对信息规定的变化 信息使用者既涉及公司管理者、交易伙伴也涉及投资人，在信息时代，谁先掌握最及时最可靠的信息，谁就可以赢得市场。她们对信息的关注不再只是财务报表所反映的过去的信息，而是更多关注公司的实时信息以便及时做出更为科学的决策。因此信息使用者有着强烈的愿望需要有一种独立、客观、公正的第三方为其提供所需信息的质量审查，以合理保证其信息的完整性、可靠性。电子商务以及价值链的转变变化了老式的审计业务。当公司开始与新的贸易伙伴互换数据进行交易时，贸易伙伴及其交易解决系统的可靠性都必须得到评估。当供应链管理中各个过程和环节，如库存需求筹划、购货订单、销售订单、运货单和钞票支出等，通过电子商务信息系统被电子化解决时，审查交易数据和评估其完整性及可靠性则成为必要。社会的需要促使新的审计业务IS审计的产生。它不仅仅是应用计算机技术进行审计（即老式EDI审计或计算机辅助审计），更重要的是对涉及财务管理信息系统在内的所有信息系统自身的安全性、保密性、完整性及其实现公司目的的有效性进行的审计。1.2 IS审计的发展 IS审计的发展是随着着信息技术的发展而发展的。在数据解决电算化的初期，由于人们对计算机在数据解决中的应用所产生的影响没有足够的结识，觉得计算机解决数据精确可靠，不会浮现错弊，因而很少对数据解决系统进行审计，重要是对计算机打印出的一部分资料进行老式的手工审计。随着计算机在数据解决系统中应用的逐渐扩大，运用计算机犯罪的案件不断浮现，使审计人员结识到要应用计算机辅助审计技术对电子数据解决系统自身进行审计，即EDI审计。同步随着社会经济的发展，审计对象、范畴越来越大，审计业务也越来越复杂，运用老式的手工措施已不能及时完毕审计任务，必须应用计算机辅助审计技术（CAATs）进行审计。80年代、90年代信息技术的进一步发展与普及，使得公司越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现公司目的的效率、效果，真正意义的IS审计才浮现。随着电子商务的全球普及，IS的审计对象、范畴及内容将逐渐扩大，采用的技术也将日益复杂。到目前为止，IS审计在全球来看，还是一种新的业务，从美国五大会计师事务所的数据看1990年拥有IS审计师12名到近百名，1995年已有500名，届时，IS审计师正以40%50%的速度增长，阐明IS审计正逐渐受到注重。IS审计的重要推动者是美国ISACA（信息系统审计与控制协会），成立于1969年，在全球建有100多种分会，推出了一系列IS审计准则、职业道德准则等规范性文献，并开展了大量的理论研究，COBIT（Control Objectives for Information and Related Technology ）已出版了第三版。但是迄今为止仍存在某些问题有待研究，例如：1989年David Dunmore提出的“1）信息系统审计真是一种职业吗？2）信息系统审计的业务范畴是什么？”等问题，到目前仍然在讨论。 2 IS审计的理论基本及其基本业务IS审计不仅仅是老式审计业务的简朴扩展，信息技术不单影响老式审计人员执行鉴证业务的能力，更重要的是公司和信息系统管理者都结识到信息系统是组织最有价值的资产，和老式资产同样需要控制，组织同步需要审计人员提供对信息资产控制的评价。因此IS审计是一门边沿性学科，跨越多学科领域。2.1 IS审计的理论基本如图3所示，IS审计是建立在四个理论基本之上的。1）老式审计理论。 老式审计理论为IS审计提供了丰富的内部控制理论与实践经验，以保证所有交易数据都被对的解决。同步收集并评价证据的措施论也在IS审计中广泛应用，最为重要的是老式审计给IS审计带来的控制哲学，即用批判的眼光审视信息系统在保护资产安全、保证信息完整，并能有效率 、有效果地实现公司目的的能力。2）信息系统管理理论。 信息系统管理理论是一门有关如何更好地管理信息系统的开发与运营过程的理论，它的发展提高了系统保护资产安全、保证信息完整，并能有效率 、有效果地实现公司目的的能力。3）行为科学理论。计算机信息系统有时会由于人的问题而失败，例如对系统不满的顾客故意破坏系统及其控制。因此审计人员必须理解哪些行为因素也许导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题”。4）计算机科学。计算机科学自身的发展也在关注如何保护资产安全、保证信息完整，并能有效率 、有效果地实现公司目的。但是技术是一把双刃剑，计算机科学的发展可以使审计人员减少对系统元件可靠性的关注，但是如果技术被不怀好意的人员运用，就增长了审计人员的审计难度。 图3 IS审计的理论基本IS审计老式审计信息系统管理计算机科学行为科学 2.2 IS审计的基本业务根据国外IS审计实践，IS审计有如下基本业务：1）系统开发审计，涉及开发过程的审计、开发措施的审计，为IT筹划指引委员会及变革控制委员会提供征询服务；2）重要数据中心、网络、通讯设施的构造审计，涉及财务系统和非财务系统的应用审计；3）支持其她审计人员的工作：为财务审计人员与经营审计人员提供技术支持和培训；4）为组织提供增值服务：为MIS人员提供技术、控制与安全指引；推动控制自评程序的执行；5）软件及硬件供应商及外包服务商提供的产品及服务质量与否与合同相符审计；6）劫难恢复系统审计；7）计算机运营及应用开发测试；8）局域网的安全审计；9）网站的信誉审计；10）全面控制审计等。IS审计业务将随着信息技术的发展而发展，为满足信息使用者不断变化的需要而增长新的服务内容。随着电子交易的普及，网络会计必然替代老式会计，鉴证老式会计报表的老式审计业务也将被IS审计包容。3 国内注册会计师开展IS审计业务的几点思考美国在计算机进入实用阶段时就开始提出系统审计（SYSTEM AUDIT），从成立电子数据解决审计协会（EDPAA后改名为ISACA）以来，从事系统审计活动已有30近年历史。日本的系统审计是从80年代开始，1983年通产省公开刊登了系统审计原则，并在全国软件水平考试中增长了系统审计师一级的考试，着手培养从事系统审计的骨干队伍。近几年东南亚各国也开始制定EDI法规，成立专门机构开展系统审计业务，并制定技术原则。国内在1999年颁布了独立审计准则第20号计算机信息系统环境下的审计，但更多的是关注会计信息系统。在信息时代，面对加入WTO后开放的会计市场，国内注册会计师面临巨大的挑战，开展IS审计业务不失为国内注册会计师事业发展的一次绝佳机会。3.1 国内注册会计师开展IS审计业务机遇与挑战3.1.1 机遇 国内广阔的市场是我们最大的机遇。在中国，每十天左右就会有一种预算为500万元以上的ERP项目招投标，一年的项目在5070个左右；预算为100万元至500万元的ERP项目在60100个左右；预算为100万元的项目在100150个左右。有些项目是公司自筹资金，有些项目是国家资金支持。 国家经贸委将运用国债资金支持大中型公司的管理信息化。政府的引导资金带来了公司实行ERP的具体部署，200多家公司大部分表达将在38个月实行ERP，ERP项目费用在500万元以上。从1999年起，在全国普遍实行了政府上网工程，到，全国绝大多数乡级以上政府都设有站点，并通过网站，向社会发布信息，有的还开始提供在线服务。底，中国各式电子商务公司超过500家，中国电子商务市场规模将从的87.3亿美元增长到的546.3亿美元。网上银行、网络证券交易也出目前我们的生活中。大规模的信息化建设，对信息系统的安全、有效、保密以及其提供的信息的真实、完整等提出了鉴证规定， 因此我们拥有极大的IS审计需求市场。另一方面，IS审计在全球来看也是一项新业务，它的审计准则、规范、审计措施等还不成熟，有待进一步研究，我们有机会与世界强国在同一水平起跑，积极参与IS审计研究，参与规则的制定，为国内IS审计争得有利地位。第三，国内注册会计师审计业务单一、事务所之间在有限的报表审计领域低层次竞争，过度依赖这一单一业务，甚至影响到注册会计师的独立性。发展IS审计业务，无疑为注册会计师找到了一种新的利润增长点。3.1.2 挑战 我们有机遇但挑战也非常严峻。一方面，加入WTO 后国内会计市场的开放，国际出名会计师事务所纷纷抢滩中国，她们的业务量一般占到市场的80%-90%，在IS审计方面更甚，IS审计的许多准则都是由她们制定的，而国内会计师事务所基本没有IS审计业务，在这方面她们已经抢占了先机。国内注册会计师若想站稳国内市场，必须充足结识到开展IS审计业务的急切性，奋起直追。另一方面，我们注册会计师的知识构造无法满足IS审计业务发展的规定。我们注册会计师考试仅涉及会计、审计、税法、经济法、成本与财务管理五部分，主线没有信息技术知识的规定，这是一种严重的知识构造缺陷，在信息时代是无法生存的。此外，受观念落后的制约，国内目前计算机审计最多停留在计算机辅助审计与会计信息系统审计层面上，对非财务信息系统几乎没有关注。3.2 国内注册会计师开展IS审计的几点建议21世纪是信息时代，国内注册会计师必须把握时代的脉搏，努力开创新的业务领域。一方面，加大对信息及信息系统资产的安全、完整、有效地实现组织目的的宣传，提高人们对IS审计的关注，引导并哺育市场。另一方面，加强注册会计师信息技术知识的培训。IS审计人员一般都应具有全面的计算机软硬件知识，对网络和系统安全有独特的敏感性，并且对财务会计和单位内部控制有深刻的理解。美国Journal of Accountancy杂志1996年1月刊登了题为注册会计师应理解的15项重要技术，美国注册会计师协会（AICPA）后来每年发布注册会计师应关注的技术问题。发布最关注的10大技术问题是：1）商业与财务报表应用软件；2）培训和技术竞争力；3）信息安全和控制；4）服务质量；5）恢复；6）通讯技术-宽带应用；7）远程连接工具；8）基于WEB的应用软件；9）个人信息技术应用产品；10）消息应用软件。国内注册会计师要加强信息技术的后续教育。此外，国内注册会计师协会应当组织力量研究制定国内的IS审计执业规范体系，在吸取老式审计业务开展的经验与教训基本上做好IS审计的推动与管理工作。参照文献1、玛丽莲.格林斯坦 电子商务的安全与风险管理M. 谢淳 译 北京：华夏出版社，.2、张金城.计算机信息系统控制与审计M .北京：北京大学出版社，.3、Lucy R. IS Auditing: The State of the Profession Going Into the 21st CenturyJ. IS Audit & Control Journal, 1999，（4）.4、Bagranoff N.，Vedrzyk V. The Changing Role of IS Audit Among the Big Five US-Based Accounting Firms J. IS Control Journal， ，（5）.IS Auditing: the Opportunity in Information Age for AuditorMeng Xiuzhuan(College of Applied Sciences and Humanities of Beijing Union University, Beijing 100083,China)Abstract: With the expansion of electronic commerce, people pay more and more attention to the reliability of electronics data. The information users urgently need the dependable organization to assure them of the reliability of electronics data and information system. This kind of demand urges the new audit business IS audit come forth. IS auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently. After affiliation of WTO, the challenges and opportunities face Chinese CPA. The CICPA should publicize the IS security, increase people to concern IS audit, guide and grow the market; give the CPA information technique training; research our countrys IS auditing standard to push IS auditing to develop in our country.Key words: information system ；audit；control；assurance