从企业信息化的进程看信息系统审计的发展
“信息系统审计”是近些年来在 中国 出现的一个新名词。单从字面上看,“信息系统审计”与“信息系统”和“审计”有关,但对于它究竟是做什么的,绝大多数人都没有一个明确的概念。而在国外,尤其是在美国、日本、英国、加拿大等发达国家,信息系统审计已经 发展 到相当程度,信息系统审计的理念也已深入人心。从国外信息系统审计的发展 历史 来看,它是与 企业 信息化的过程紧密联系的,是企业信息化的必然要求。
在 计算 机没有出现之前,信息系统是以人为基础的,信息的收集、处理、传递和存储都是由人来完成的。随着计算机的出现以及信息技术的进步,以计算机为基础的信息系统也得到了不断发展,并且主要 应用 于 经济 管理活动之中。企业以信息系统和信息技术为基础,改变自己的财务、经营管理等活动,以此来更好地实现企业的目标。在这一过程中,传统的手工审计方式受到了极大的 影响 ;同时,企业的信息化也引发了很多企业和 社会 的 问题 。正是这些影响和问题促使信息系统审计不断发展。
20世纪70年代,随着计算机系统的继续发展, 计算机在企业中得到了更广泛的应用,电子数据处理在企业间普及。企业开始关注计算机应用带来的成本和效益问题,并注意召集各部门人员共同对信息系统的建设和发展进行规划。数据库管理技术的逐渐成熟使得企业可以解决因各部门独立开发数据处理系统所带来的数据冗余和数据很难共享等问题;60年代中期发展起来的管理信息系统得以广泛应用于企业,使企业可以从整体目标出发,对各项管理信息进行系统和综合的处理,来为企业的管理决策服务。计算机以及信息系统在企业的普及使得这一时期利用计算机进行欺诈舞弊的犯罪事件不断出现,如1973年1月美国“产权基金公司”的保险经营商就利用计算机诈骗了数亿美元。这些事件让负责对实施欺诈的公司进行审计的注册会计师事务所在经济和信誉上都遭受了巨大的损失,美国审计界开始重视信息系统在企业的应用给审计工作带来的风险,并对电子数据处理审计的标准、计算机系统内部控制设置与评审、计算机审计 方法 、计算机辅助审计技术和工具 (CAATT)等问题进行了详细的研究。日本也派人到美国进行考察,以借鉴美国的经验研究如何在日本开展信息系统审计工作。
20世纪90年代以来,互联网技术和信息技术高速持续 发展 , 网络 向世界范围不断扩充。人类 社会 开发利用信息资源的方式和能力发生了很大的变化。信息系统变得越来越复杂化、大型化、多样化和网络化。 企业 开始注重外部信息的处理效率和利用效益,逐渐对自己价值链上各类信息进行全面的管理和集成,以此来提高企业在市场中的竞争力。企业外联网(Extranet)、企业资源计划(ERP)、供应链管理(SCM)以及客户关系管理(CRM)为企业实现目标提供了有力的保证。信息和信息技术对企业生存和保持可持续发展能力的 影响 越来越大,信息和信息系统已经成为了企业的重要资产,像企业的其他资产那样对信息系统加以控制和审计变成了企业必然的要求。企业对外业务的自动化要求业务单证必须 电子 化,这就使得对企业的信息系统进行审计的同时,不得不考虑与之相关的企业外部的信息系统。况且,因特网在成为电子商务、 金融 证券的运作平台的同时,也成为犯罪分子危害地区、国家甚至全世界 经济 安全的场所。如何确保网络平台上的信息系统的安全、可靠和有效变得越来越重要。世界各国的学者、审计机关和组织都积极对此进行 研究 与探索。1994年,电子数据处理审计师协会(EDPAA)更名为信息系统审计与控制协会(ISACA),从而成为从事信息系统审计的专业人员惟一的国际性组织,这个组织的注册信息系统审计师(CISA)资格认证也是信息系统审计领域的惟一职业资格认证。东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。
尽管到 目前 为止,对于信息系统审计还没有一个公认的通用定义,但从前面可以看出,随着企业信息化过程中信息系统的发展,信息系统审计的对象从企业单个部门的数据处理系统发展到整个企业集成的信息系统,甚至企业外部的信息系统;审计的目标从对数据处理系统的效率和可靠性进行审查发展到对整个信息系统的效率、可靠性、有效性和安全性的审查;审计的 方法 从手工审计发展到手工审计与 计算 机辅助审计工具和技术兼而有之;开展审计的人员从注册 会计 师发展到信息系统审计师;指导信息系统审计的组织从传统的审计机关和组织发展成为专业的信息系统审计组织。另外,信息系统审计的 内容 、依据、准则等也在随着信息技术和信息系统的发展而不断发展与完善。在这里,引用国际信息系统审计领域的权威专家RonWeber对信息系统审计的定义,即信息系统审计就是“收集并评估证据,以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。
目前,一些国际大型会计公司中已经出现了没有注册会计师资格的合伙人,他们持有的职业资格是注册信息系统审计师(CISA)。很多大公司也高薪聘请注册信息系统审计师(CISA)为公司的发展出谋划策。尽管如此,注册会计师和会计师组织仍将在信息系统审计领域发挥重要的作用。 现代 以风险为基础的审计模式使得注册会计师在对企业进行审计时必须考虑企业 应用 信息技术给企业带来的风险,而他们对企业财务会计和内部控制的深刻理解有助于他们采取措施控制这些风险; 同时,长期以来在企业信息化过程中积累的审计工作的经验和他们在风险控制方面的良好声誉也有助于他们开展信息系统审计工作。
可以预见,随着信息技术以及供应链管理(SCM)、客户关系管理(CRM)的不断发展,企业将在网络的基础上实现其内部与外部的完全整合。当电子商务成为网络经济 时代 商务活动的核心,企业的物流、资金流和信息流会更大程度地依靠基于网络的信息系统。在这种环境下,信息系统审计的重点将是对网络系统的审计, 这主要包括:对网络系统的开发进行审计;对企业内部网络和外部网络的功能与控制进行审计;对网上认证机构、网上银行等与电子商务活动相关的单位进行审计等。审计人员还会建立审计网络作为辅助手段对企业信息系统进行网上实时审计,以及建立审计专家系统和采用并行审计技术等。当然,这必将需要所有审计机构和审计人员的共同努力与合作。