淺談信息系統(tǒng)審計和傳統(tǒng)審計之間的區(qū)別和聯(lián)系

摘要：隨著全球信息化和審計理論的發(fā)展，信息系統(tǒng)審計逐漸引起人們的關(guān)注。本文將從國際上關(guān)于信息系統(tǒng)審計的概念、內(nèi)容入手，討論了信息系統(tǒng)審計的顯著特點，并分析了與傳統(tǒng)審計的區(qū)別與聯(lián)系。旨在引起人們對信息系統(tǒng)審計的重視，盡快建立起符合我國實際的信息系統(tǒng)審計體系。
    主題詞：信息系統(tǒng) 審計
    一、信息系統(tǒng)審計的定義
    隨著全球信息化和審計理論的發(fā)展，信息系統(tǒng)審計逐漸引起人們的關(guān)注。但是到目前為止，國際上對信息系統(tǒng)審計還沒有固定、統(tǒng)一的定義。國際信息系統(tǒng)審計委員會（ISACA）定義為“信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率利用組織的資源并有效果地實現(xiàn)組織目標地過程”，該協(xié)會的專家 Ron Weber 定義為“搜集并評價證據(jù)，以判斷一個計算機系統(tǒng)（信息系統(tǒng)）是否有效的做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標，同時最經(jīng)濟的使用資源”；1985年日本通產(chǎn)省情報處理開發(fā)協(xié)會信息系統(tǒng)審計委員會定義為“所謂信息系統(tǒng)審計是指由獨立于審計對象的信息系統(tǒng)審計師站在客觀的立場，對以計算機為核心的信息系統(tǒng)進行綜合的檢查、評價，向有關(guān)人員提出問題與勸告，追求系統(tǒng)的有效利用和故障排除，使系統(tǒng)更加健全”，11年后的1996年，該委員會對信息系統(tǒng)審計重新定義為“為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的信息系統(tǒng)審計師，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向信息系統(tǒng)審計對象的領(lǐng)導層，提出問題與建議的一連串的活動”。所以信息系統(tǒng)審計所關(guān)注的內(nèi)容不單純是對電子數(shù)據(jù)的處理，更不僅僅是財務信息，而是對企業(yè)整個信息系統(tǒng)的可靠性、安全性進行了解和評價，是一項通過審查與評價信息系統(tǒng)的規(guī)劃、開發(fā)、實施、運行和維護等一系列活動，以確定信息系統(tǒng)運行是否安全、可靠、有效，信息系統(tǒng)得出的數(shù)據(jù)是否可靠準確以及數(shù)據(jù)是否能有效的存儲的過程。
    實施信息系統(tǒng)審計（ISA）的人員稱為信息系統(tǒng)審計師（IS Auditor）,我國國內(nèi)稱為IT審計師。國際信息系統(tǒng)審計與控制協(xié)會（ISACA）是國際上可授權(quán)信息系統(tǒng)審計師的權(quán)威機構(gòu)，通過考試可獲得注冊信息系統(tǒng)審計師（CISA）證書，該證書被世界各國廣泛認可。
    二、信息系統(tǒng)審計的內(nèi)容和特點
    國際信息系統(tǒng)審計協(xié)會（ISACA）規(guī)定了信息系統(tǒng)審計主要內(nèi)容：1．信息系統(tǒng)審計程序。依據(jù)信息系統(tǒng)審計標準、準則和實務等提供信息系統(tǒng)審計服務，以幫助組織確保其信息技術(shù)和運營系統(tǒng)得到保護并受控；2. IT治理（信息技術(shù)治理）。確保組織擁有適當?shù)慕Y(jié)構(gòu)、政策、工作職責、運營管理機制和監(jiān)督實務，以達到公司治理中對IT 方面的要求；3.系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理。系統(tǒng)的開發(fā)、采購、測試、實施（交付）、維護和（配置）使用，與基礎(chǔ)框架，確保實現(xiàn)組織的目標；4. IT 服務的交付與支持。IT 服務管理實務可確保提供所要求的等級、類別的服務，來滿足組織的目標；5. 信息資產(chǎn)的保護。通過適當?shù)陌踩w系（如，安全政策、標準和控制），保證信息資產(chǎn)的機密性、完整性和有效性；6. 災難恢復和業(yè)務連續(xù)性計劃。一旦連續(xù)的業(yè)務被（意外）中斷（或破環(huán)），災難恢復計劃確保（災難）對業(yè)務影響最小化的同時，及時恢復（中斷的）IT 服務。
    從信息系統(tǒng)審計的上述定義和內(nèi)容，大致歸納出信息系統(tǒng)審計的幾個特征：一是獨立性，為了確保信息系統(tǒng)審計的公正性與有效性，信息系統(tǒng)審計師必須以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價；二是綜合性，信息系統(tǒng)審計不僅包括審計信息系統(tǒng)運行的有形設(shè)施，還包括運行環(huán)境以及內(nèi)部控制；三是管理特征，信息系統(tǒng)審計通過對信息系統(tǒng)安全、可靠與有效性的評價，促使企業(yè)有效率的利用組織的資源并有效果地實現(xiàn)組織的目標。
    三、信息系統(tǒng)審計與傳統(tǒng)審計之間的區(qū)別與聯(lián)系
    信息系統(tǒng)審計是傳統(tǒng)審計的一部分，是以傳統(tǒng)審計理論為理論基礎(chǔ)的，兩者之間有緊密的聯(lián)系，也存在一定的區(qū)別。兩者的聯(lián)系是：信息系統(tǒng)審計繼承了傳統(tǒng)審計的基本理論與方法，與傳統(tǒng)的審計一樣。在立場上，要求信息系統(tǒng)審計師站在獨立的立場上，通過選擇特定的審計對象，采用詢問、檢查、分析、模擬、測試等方法獲得客觀的審計證據(jù)，來判斷其與既定標準的符合程度。在程序上，信息系統(tǒng)審計一般也要經(jīng)過審計計劃、符合性測試與實質(zhì)性測試、審計報告等主要階段來進行審計工作，實現(xiàn)審計目標；兩者的區(qū)別也比較明顯，主要表現(xiàn)在：首先，信息系統(tǒng)的審計對象不同于傳統(tǒng)審計的財務領(lǐng)域，而是信息系統(tǒng)，包括基礎(chǔ)設(shè)施，軟硬件管理，信息安全，網(wǎng)絡(luò)管理合通信等；其次，信息系統(tǒng)審計提出了更多的審計法與審計程序，這都是傳統(tǒng)審計所不具備的，比如對某軟件進行審計時，要采用技術(shù)含量相當高的測試，對網(wǎng)絡(luò)安全審計時要采用穿透性測試（模擬成黑客進行各種攻擊以驗證其安全性）；第三，信息系統(tǒng)審計不光是事后審計，主要關(guān)注系統(tǒng)的運行現(xiàn)狀，在某種情況下，直接參與項目的開發(fā)或變更過程，以保證足夠的控制得以順利實施；最后，信息系統(tǒng)審計的咨詢價值顯得更高，信息化的風險很高，信息系統(tǒng)審計師可憑借其專門知識和實踐經(jīng)驗，受托或主動服務于被審計單位的管理者或其業(yè)務人員，在企業(yè)信息化過程中，幫助企業(yè)建立健全內(nèi)部控制制度，進行系統(tǒng)診斷，根據(jù)企業(yè)需求，確定信息化的目標和內(nèi)容，選擇合適的信息系統(tǒng)。
    四、盡快建立起符合我國實際的信息系統(tǒng)審計體系
    我國在信息系統(tǒng)審計方面還沒有形成一整套體系。但是近年來，在借鑒國外有關(guān)信息系統(tǒng)審計經(jīng)驗的基礎(chǔ)上，審計署在利用計算機信息系統(tǒng)開展審計工作中已經(jīng)取得了一定的成果：（一）全面開展對電子數(shù)據(jù)的審計，包括會計電子數(shù)據(jù)和業(yè)務管理電子數(shù)據(jù)。采取的具體方法是：1.精確復核。運用計算機，對各種數(shù)據(jù)進行精確復核，既可以對全轄并表機構(gòu)的會計報表與匯總報表進行全面復核，又可以從會計流水賬逐級核對至總賬，還可以將業(yè)務管理數(shù)據(jù)與會計報表數(shù)據(jù)進行復核；2.編制計算機程序進行輔助計算?？梢跃幹朴嬎銠C程序?qū)τ斜壤P(guān)系的項目進行計算，然后與實際記錄進行比較，找出產(chǎn)生差異的記錄；3.對一些異常會計記錄和交易進行篩選和查詢，為審計人員提供審計線索，主要是根據(jù)某一特征進行篩選分析，從不同角度分析可疑問題線索。（二）對被審計單位的信息系統(tǒng)的可靠性和內(nèi)部控制進行初步的評價。主要是：1. 主要調(diào)查信息系統(tǒng)的使用范圍，網(wǎng)絡(luò)安全和數(shù)據(jù)的備份等情況，以保證信息系統(tǒng)財務數(shù)據(jù)的安全、完整；2.對信息系統(tǒng)的內(nèi)部控制情況進行初步的調(diào)查和評價，重點是權(quán)限管理、參數(shù)表的設(shè)置和修改控制等是否有效，信息系統(tǒng)的使用者和系統(tǒng)的開發(fā)者是否分離，被審計單位對交易錄入的原始數(shù)據(jù)是否實施相應的控制，信息系統(tǒng)的數(shù)據(jù)流和業(yè)務流程是否吻合；3.通過系統(tǒng)日志等文件分析一些重大事件的原因，分析對整體信息系統(tǒng)的影響。但是我國在全面開展信息系統(tǒng)審計方面還處在探索階段，為了能夠為被審計單位提出更有價值的審計建議，更好地服務欲被審計單位，保證信息系統(tǒng)能有效地實現(xiàn)企業(yè)（單位）的目標，在我國也要盡快建立起符合我國實際的信息系統(tǒng)審計體系。