淺談信息系統(tǒng)審計(jì)和傳統(tǒng)審計(jì)之間的區(qū)別和聯(lián)系

摘要：隨著全球信息化和審計(jì)理論的發(fā)展，信息系統(tǒng)審計(jì)逐漸引起人們的關(guān)注。本文將從國際上關(guān)于信息系統(tǒng)審計(jì)的概念、內(nèi)容入手，討論了信息系統(tǒng)審計(jì)的顯著特點(diǎn)，并分析了與傳統(tǒng)審計(jì)的區(qū)別與聯(lián)系。旨在引起人們對(duì)信息系統(tǒng)審計(jì)的重視，盡快建立起符合我國實(shí)際的信息系統(tǒng)審計(jì)體系。
    主題詞：信息系統(tǒng) 審計(jì)
    一、信息系統(tǒng)審計(jì)的定義
    隨著全球信息化和審計(jì)理論的發(fā)展，信息系統(tǒng)審計(jì)逐漸引起人們的關(guān)注。但是到目前為止，國際上對(duì)信息系統(tǒng)審計(jì)還沒有固定、統(tǒng)一的定義。國際信息系統(tǒng)審計(jì)委員會(huì)（ISACA）定義為“信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)地過程”，該協(xié)會(huì)的專家 Ron Weber 定義為“搜集并評(píng)價(jià)證據(jù)，以判斷一個(gè)計(jì)算機(jī)系統(tǒng)（信息系統(tǒng)）是否有效的做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源”；1985年日本通產(chǎn)省情報(bào)處理開發(fā)協(xié)會(huì)信息系統(tǒng)審計(jì)委員會(huì)定義為“所謂信息系統(tǒng)審計(jì)是指由獨(dú)立于審計(jì)對(duì)象的信息系統(tǒng)審計(jì)師站在客觀的立場(chǎng)，對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查、評(píng)價(jià)，向有關(guān)人員提出問題與勸告，追求系統(tǒng)的有效利用和故障排除，使系統(tǒng)更加健全”，11年后的1996年，該委員會(huì)對(duì)信息系統(tǒng)審計(jì)重新定義為“為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的信息系統(tǒng)審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向信息系統(tǒng)審計(jì)對(duì)象的領(lǐng)導(dǎo)層，提出問題與建議的一連串的活動(dòng)”。所以信息系統(tǒng)審計(jì)所關(guān)注的內(nèi)容不單純是對(duì)電子數(shù)據(jù)的處理，更不僅僅是財(cái)務(wù)信息，而是對(duì)企業(yè)整個(gè)信息系統(tǒng)的可靠性、安全性進(jìn)行了解和評(píng)價(jià)，是一項(xiàng)通過審查與評(píng)價(jià)信息系統(tǒng)的規(guī)劃、開發(fā)、實(shí)施、運(yùn)行和維護(hù)等一系列活動(dòng)，以確定信息系統(tǒng)運(yùn)行是否安全、可靠、有效，信息系統(tǒng)得出的數(shù)據(jù)是否可靠準(zhǔn)確以及數(shù)據(jù)是否能有效的存儲(chǔ)的過程。
    實(shí)施信息系統(tǒng)審計(jì)（ISA）的人員稱為信息系統(tǒng)審計(jì)師（IS Auditor）,我國國內(nèi)稱為IT審計(jì)師。國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）是國際上可授權(quán)信息系統(tǒng)審計(jì)師的權(quán)威機(jī)構(gòu)，通過考試可獲得注冊(cè)信息系統(tǒng)審計(jì)師（CISA）證書，該證書被世界各國廣泛認(rèn)可。
    二、信息系統(tǒng)審計(jì)的內(nèi)容和特點(diǎn)
    國際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）規(guī)定了信息系統(tǒng)審計(jì)主要內(nèi)容：1．信息系統(tǒng)審計(jì)程序。依據(jù)信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、準(zhǔn)則和實(shí)務(wù)等提供信息系統(tǒng)審計(jì)服務(wù)，以幫助組織確保其信息技術(shù)和運(yùn)營(yíng)系統(tǒng)得到保護(hù)并受控；2. IT治理（信息技術(shù)治理）。確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運(yùn)營(yíng)管理機(jī)制和監(jiān)督實(shí)務(wù)，以達(dá)到公司治理中對(duì)IT 方面的要求；3.系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理。系統(tǒng)的開發(fā)、采購、測(cè)試、實(shí)施（交付）、維護(hù)和（配置）使用，與基礎(chǔ)框架，確保實(shí)現(xiàn)組織的目標(biāo)；4. IT 服務(wù)的交付與支持。IT 服務(wù)管理實(shí)務(wù)可確保提供所要求的等級(jí)、類別的服務(wù)，來滿足組織的目標(biāo)；5. 信息資產(chǎn)的保護(hù)。通過適當(dāng)?shù)陌踩w系（如，安全政策、標(biāo)準(zhǔn)和控制），保證信息資產(chǎn)的機(jī)密性、完整性和有效性；6. 災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃。一旦連續(xù)的業(yè)務(wù)被（意外）中斷（或破環(huán)），災(zāi)難恢復(fù)計(jì)劃確保（災(zāi)難）對(duì)業(yè)務(wù)影響最小化的同時(shí)，及時(shí)恢復(fù)（中斷的）IT 服務(wù)。
    從信息系統(tǒng)審計(jì)的上述定義和內(nèi)容，大致歸納出信息系統(tǒng)審計(jì)的幾個(gè)特征：一是獨(dú)立性，為了確保信息系統(tǒng)審計(jì)的公正性與有效性，信息系統(tǒng)審計(jì)師必須以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)；二是綜合性，信息系統(tǒng)審計(jì)不僅包括審計(jì)信息系統(tǒng)運(yùn)行的有形設(shè)施，還包括運(yùn)行環(huán)境以及內(nèi)部控制；三是管理特征，信息系統(tǒng)審計(jì)通過對(duì)信息系統(tǒng)安全、可靠與有效性的評(píng)價(jià)，促使企業(yè)有效率的利用組織的資源并有效果地實(shí)現(xiàn)組織的目標(biāo)。
    三、信息系統(tǒng)審計(jì)與傳統(tǒng)審計(jì)之間的區(qū)別與聯(lián)系
    信息系統(tǒng)審計(jì)是傳統(tǒng)審計(jì)的一部分，是以傳統(tǒng)審計(jì)理論為理論基礎(chǔ)的，兩者之間有緊密的聯(lián)系，也存在一定的區(qū)別。兩者的聯(lián)系是：信息系統(tǒng)審計(jì)繼承了傳統(tǒng)審計(jì)的基本理論與方法，與傳統(tǒng)的審計(jì)一樣。在立場(chǎng)上，要求信息系統(tǒng)審計(jì)師站在獨(dú)立的立場(chǎng)上，通過選擇特定的審計(jì)對(duì)象，采用詢問、檢查、分析、模擬、測(cè)試等方法獲得客觀的審計(jì)證據(jù)，來判斷其與既定標(biāo)準(zhǔn)的符合程度。在程序上，信息系統(tǒng)審計(jì)一般也要經(jīng)過審計(jì)計(jì)劃、符合性測(cè)試與實(shí)質(zhì)性測(cè)試、審計(jì)報(bào)告等主要階段來進(jìn)行審計(jì)工作，實(shí)現(xiàn)審計(jì)目標(biāo)；兩者的區(qū)別也比較明顯，主要表現(xiàn)在：首先，信息系統(tǒng)的審計(jì)對(duì)象不同于傳統(tǒng)審計(jì)的財(cái)務(wù)領(lǐng)域，而是信息系統(tǒng)，包括基礎(chǔ)設(shè)施，軟硬件管理，信息安全，網(wǎng)絡(luò)管理合通信等；其次，信息系統(tǒng)審計(jì)提出了更多的審計(jì)法與審計(jì)程序，這都是傳統(tǒng)審計(jì)所不具備的，比如對(duì)某軟件進(jìn)行審計(jì)時(shí)，要采用技術(shù)含量相當(dāng)高的測(cè)試，對(duì)網(wǎng)絡(luò)安全審計(jì)時(shí)要采用穿透性測(cè)試（模擬成黑客進(jìn)行各種攻擊以驗(yàn)證其安全性）；第三，信息系統(tǒng)審計(jì)不光是事后審計(jì)，主要關(guān)注系統(tǒng)的運(yùn)行現(xiàn)狀，在某種情況下，直接參與項(xiàng)目的開發(fā)或變更過程，以保證足夠的控制得以順利實(shí)施；最后，信息系統(tǒng)審計(jì)的咨詢價(jià)值顯得更高，信息化的風(fēng)險(xiǎn)很高，信息系統(tǒng)審計(jì)師可憑借其專門知識(shí)和實(shí)踐經(jīng)驗(yàn)，受托或主動(dòng)服務(wù)于被審計(jì)單位的管理者或其業(yè)務(wù)人員，在企業(yè)信息化過程中，幫助企業(yè)建立健全內(nèi)部控制制度，進(jìn)行系統(tǒng)診斷，根據(jù)企業(yè)需求，確定信息化的目標(biāo)和內(nèi)容，選擇合適的信息系統(tǒng)。
    四、盡快建立起符合我國實(shí)際的信息系統(tǒng)審計(jì)體系
    我國在信息系統(tǒng)審計(jì)方面還沒有形成一整套體系。但是近年來，在借鑒國外有關(guān)信息系統(tǒng)審計(jì)經(jīng)驗(yàn)的基礎(chǔ)上，審計(jì)署在利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作中已經(jīng)取得了一定的成果：（一）全面開展對(duì)電子數(shù)據(jù)的審計(jì)，包括會(huì)計(jì)電子數(shù)據(jù)和業(yè)務(wù)管理電子數(shù)據(jù)。采取的具體方法是：1.精確復(fù)核。運(yùn)用計(jì)算機(jī)，對(duì)各種數(shù)據(jù)進(jìn)行精確復(fù)核，既可以對(duì)全轄并表機(jī)構(gòu)的會(huì)計(jì)報(bào)表與匯總報(bào)表進(jìn)行全面復(fù)核，又可以從會(huì)計(jì)流水賬逐級(jí)核對(duì)至總賬，還可以將業(yè)務(wù)管理數(shù)據(jù)與會(huì)計(jì)報(bào)表數(shù)據(jù)進(jìn)行復(fù)核；2.編制計(jì)算機(jī)程序進(jìn)行輔助計(jì)算?？梢跃幹朴?jì)算機(jī)程序?qū)τ斜壤P(guān)系的項(xiàng)目進(jìn)行計(jì)算，然后與實(shí)際記錄進(jìn)行比較，找出產(chǎn)生差異的記錄；3.對(duì)一些異常會(huì)計(jì)記錄和交易進(jìn)行篩選和查詢，為審計(jì)人員提供審計(jì)線索，主要是根據(jù)某一特征進(jìn)行篩選分析，從不同角度分析可疑問題線索。（二）對(duì)被審計(jì)單位的信息系統(tǒng)的可靠性和內(nèi)部控制進(jìn)行初步的評(píng)價(jià)。主要是：1. 主要調(diào)查信息系統(tǒng)的使用范圍，網(wǎng)絡(luò)安全和數(shù)據(jù)的備份等情況，以保證信息系統(tǒng)財(cái)務(wù)數(shù)據(jù)的安全、完整；2.對(duì)信息系統(tǒng)的內(nèi)部控制情況進(jìn)行初步的調(diào)查和評(píng)價(jià)，重點(diǎn)是權(quán)限管理、參數(shù)表的設(shè)置和修改控制等是否有效，信息系統(tǒng)的使用者和系統(tǒng)的開發(fā)者是否分離，被審計(jì)單位對(duì)交易錄入的原始數(shù)據(jù)是否實(shí)施相應(yīng)的控制，信息系統(tǒng)的數(shù)據(jù)流和業(yè)務(wù)流程是否吻合；3.通過系統(tǒng)日志等文件分析一些重大事件的原因，分析對(duì)整體信息系統(tǒng)的影響。但是我國在全面開展信息系統(tǒng)審計(jì)方面還處在探索階段，為了能夠?yàn)楸粚徲?jì)單位提出更有價(jià)值的審計(jì)建議，更好地服務(wù)欲被審計(jì)單位，保證信息系統(tǒng)能有效地實(shí)現(xiàn)企業(yè)（單位）的目標(biāo)，在我國也要盡快建立起符合我國實(shí)際的信息系統(tǒng)審計(jì)體系。