【财务内部审计】IS审计信息时代审计业务发展学报x

随心编辑,值得下翹有!

YOUR COMPANY NAME IS HERE

专业丨专注丨精心丨卓越

【财务内部审计】IS审计

信息时代审计业务的发展

学报

XXXX 月 XX 日

XXXXXXXX集团企业有限公词

Please enter your company*s name and contentv

IS审计：信息时代审计业务的发展

孟秀转孙强

（北京联合大学应用文理学院,北京100083 ）

（中国信息系统审计与控制专业委员会（筹）北京100846 ）

［摘要］电子商务的推广，使得人们趣来趣关注电子数据的完整性与可靠性，信息使用者急需有 可以信任的机构，为其提供电子数据及产生电子数据的信息系统的可靠性保证.这种需要促使新 的审计业务即IS审计的产生。IS审计是一个获取并评价证据,以判断计算机系统是否能够保证 资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程.加入 WTO后r我国注册会计师面临巨大的挑战，开展IS审计业务不失为我国注册会计师事业发展的 一次绝佳机会。我国注册会计师协会应力Q大宣传,提高人们对IS审计的关注,引导井培育市场； 加强注册会计师信息技术知识的培训；研究制订我国的IS审计执业规范体系，推动我国1S审计 的发展。

［关键词］信息系统；审计；控制；鉴证

［中图分类号］［文章翩码］A

［中图分类号］

［文章翩码］A

［文章编号］

信息技术的高速发展与广泛应用改变着商业坏境,改变着信息的产生与处理方式,从而 改变着信息使用者对信息的要求，而这一切必然影响并改变着审计鉴证业务的范围、内容与 方法，给注册会计师行业带来了新的问题与挑战。理论界在密切关注着信息技术条件下审计 业务的发展。有学者提出计算机审计,电算化审计，但基本上停留在对会计信息系统的审计 上,延伸手工会计信息系统审计,尚未全面探讨信息时代给审计业务带来的深刻变化。笔者 将从IS （information system ）审计的产生动因分析入手，提出审计业务的发展方向—— IS审计,并介绍国外最新IS审计理论，在此基础上提出信息时代我国注册会计师审计业勢 发展的若干建议。

1IS审计产生动因及其发展

IS审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的

完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。我们可以从分析信息技 术带来的一系列变化找出信息系统审计产生的动因。

1.1 IS审计产生的动因分析

1.1.1信息技术带来的商务环境的改变

20世纪50年代以来，随着信息技术的高速发展与广泛应用，特别是电子商勢的推广， 信息技术正成为当今企业环境中最重要的资源之一。谁拥有最准确、最及时的信息,谁就会 赢得竞争的胜利。获取信息的能力正成为企业的核竞争能力之一。为此企业掀起了一波又 —波的电子商勢浪潮。如图1所示:图中显示每一浪都比前一浪更迸步、更大,伴随着每 —浪潮的是电子商务技术和实务的更广泛应用。第一浪主要是80年代^ 90年代初的电子 数据交换实务，现在已让位给第二浪，如今许多公司已踏上追赶第三浪的征程了。

［收稿日期］2002-07-11

［作肴简介］孟秀转,女，河北深州人，d傢联合大学应用文理学院讲师，数重经济学硕士 f注册会 计师，主要从事统计、审计、投资的教学与研究.

孙强，男：信息系统串计师、微软认证系统工程师、思科认证网络工程师,主要研究方向：电子商务、

1T治理、信息系统审计与控制。

第一浪潮一

EDI

T专统第_浪潮——电子第二浪潮——一个新

商务

的

电子社会

?下订单

第一浪潮中的要素

第二浪潮中要素加上：

?发货通知

加上：

?无现金交易

开发票

?电子购物

?智能代理的广泛应用

?检查库存

?银行与金融机构?连续不断的测试代厘

早已建立关系

?与虚拟的陌生人

交易

.增强信息的共享

图1电子商勢的三次浪潮（资料来源：电子商勢的安全与风险管理 于军译）

在第一浪中电子交易仅仅出现在早已建立关系的商业伙伴之间。第二浪中电子交易能发生在 虚拟的陌生人之间，因此要求向更广泛的人群（潜在的客户）提供公司的信息。无现金交易 与智能彳弋理将是第三浪的主题。商勢环境正日益数字化、信息化。

1.1.2电子商务对价值链的影响

传统价值链通常将信息系统的数据描述为在最初阶段的供应商输入到最终阶段的客户 输出的依次流动，而信息时代，电子商务使公司在价值链的许多环节都与客户和供应商分享 信息。图2描述了一种新的以客户为中心的价值链观念。公司的信息系统就是将这一过程 连接在一起的"粘合列"。这个以客户为中心的价值链使客户几乎能在任何环节逬入公司的 信息系统,以随时掌握其订货的动向。图2所示的以客户为中心、价值链,还需要将公司采 购信息系统与公司供应商的信息系统相连。供应商需要登录到自己的下一级供应商的信息系 统以便能为自己的客户提供最佳服务，这样以来网络使各公司可以将其供应链彻底融为一 体。

113价值链带来信息使用者对信息要求的改变

信息使用者既包括企业管理者、交易伙伴也包括投资人,在信息时代，谁先掌握最及时 最可靠的信息，谁就可以赢得市场。他们对信息的关注不再只是财务报表所反映的过去的信

息，而是更多关注公司的实时信息以便及时做出更为科学的决策。因此信息使用者有着强烈 的愿望需要有一个独立、客观、公正的第三方为其提供所需信息的质呈审查r以合理保证其 信息的完整性、可靠性。电子商务以及价值链的转变改变了传统的审计业务。当企业开始与 新的贸易伙伴交换数据逬行交易时，贸易伙伴及其交易处理系统的可靠性都必须得到评估。

当供应链管理中各个过程和步骤，如库存需求计划、购货订单、销售订单、运货单和现金支 出等，通过电子商务信息系统被电子化处理时，审查交易数据和评估其完整性及可靠性则成 为必要。社会的需要促使新的审计业务——IS审计的产生。它不仅仅是应用计算机技术进 行审计(即传统EDI审计或计算机辅助审计)r更重要的是对包括财务管理信息系统在内的

所有信息系统本身的安全性、保密性、完整性及其实现企业目标的有效性逬行的审计。

12 IS审计的发展

IS审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期，由于人 们对计算机在数据处理中的应用所产生的影响没有足够的认识，认为计算机处理数据准确可 靠,不会出现错弊，因而很少对数据处理系统进行审计r主要是对计算机打印出的一^5分资

料进行传统的手工审计。随看计算机在1

料进行传统的手工审计。随看计算机在1

处理系统中应用的逐步扩大，利用计算机》E罪的

案件不断出现使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行 审计,即EDI审计。同时随着社会经济的发展,审计对象、范围越来越大，审计业务也越 来越复杂,利用传统的手工方法已不能及时完成审计任务，必须应用计算机辅助审计技术

(CAATs )进行审计。80年代、90年代信息技术的进一步发展与普及,使得企业越来越依 赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及 其实现企业目标的效率、效果，真正意义的IS审计才出现。随着电子商务的全球普及，IS 的审计对象、范围及内容将逐渐扩大,采用的技术也I各日益复杂。到目前为止，IS审计在 全球来看，还是一个新的业务，从美国五大会计I丿帀事务所的数据看1990年拥有IS审计师

12名到近百名f 1995年已有500名#到2000年时，IS审计师正以40%?50%的速度增 加，说明IS审计正逐渐受到重视。IS审计的主要推动者是美国ISACA （信息系统审计与控 制协会）,成立于1%9年，在全球建有100多个分会,推出了一系列IS审计准则、职业道 德准则等规范性文件，并开展了大星的理论硏究，COBIT （ Control Objectives for Information and Related Technology ）已出版了第三版。但是迄今为止仍存在一些问题 有待研究，比如：1989年David Dunmore提出的"1）信息系统审计真是一个职业吗？ 2 ） 信息系统审计的业务范围是什么？"等问题,到现在仍然在讨论。

2 IS审计的理论基础及其基本业势

IS审计不仅仅是传统审计业勢的简单扩展,信息技术不单影响传统审计人员执行鉴证 业务的能力,更重要的是公司和信息系统管理者都认识到信息系统是组织最有价值的资产， 和传统资产一样需要控制，组织同时需要审计人员提供对信息资产控制的评价。因此IS审 计是一门边缘性学科,跨越多学科领域。

2.1 IS审计的理论基础

如图3所示，IS审计是建立在四个理论基5岀之上的。1）传统审计理论。传统审计理 论为IS审计提供了丰冨的内部控制理论与实践经验，以保证所有交易数据都被正确处理。

　同时收集并评彳介证据的方法论也在IS审计中广泛应用，最为重要的是传统审计给IS审计带 来的控制哲学，即用批判的眼光审视信息系统在保护资产安全、保证信息完整并能有效率、 有效果地实现企业目标的能力。2）信息系统管理理论。信息系统管理理论是一门关于如 何更好地管理信息系统的开发与运行过程的理论，它的发展提高了系统保护资产安全、保证 信息完整，并能有效率、有效果地实现企业目标的能力。3）行为科学理论。计算机信息 系统有时会因为人的问题而失败，比如对系统不满的用户故意破坏系统及其控制。因此审计 人员必须了解哪些行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组 织中产生的"人的问题"。4）计算机科学。计算机科学本身的发展也在关注如何保护资产 安全、保证信息完整，并能有效率、眾果地实现企业目标。但是技术是一把双刃剑，计 算机科学的发展可以使审计人员降低对系统元件可靠性的关注，但是如果技术被不怀好意的 人员利用，就增加了审计人员的审计难度。

2.2 IS审计的基本业努

根据国外IS审计实践，IS审计有以下基本业务:1）系统开发审计,包括开发过程的 审计、开发方法的审计，为IT筹划指导委员会及变革控制委员会提供咨询服勢；2 ）主要数 据中心、网络、通讯设施的结构审计,包括财务系统^非财务系统的应用审计；3 ）支持其 他审计人员的工作：为财务审计人员与经营审计人员提供技术支持和培训；4 ）为组织提供 增值服务:为MIS人员提供技术、控制与安全指导；推动控制自评程序的执行；5 ）软件及 硬件供应商及外包服务商提供的产品及服务质星是否与合同相符审计；6 ）灾难恢复系统审 计；7 ）计算机运行及应用开发测试;8 ）局域网的安全审计；9 ）网站的信誉审计；10 ）全 面控制审计等。

IS审计业勢将随看信息技术的发展而发展，为满足信息使用者不断变化的需要而增加新 的服勢内容。随着电子交易的普及，网络会计必然代替传统会计，鉴证传统会计报表的传统 审计业勢也将被IS审计包容。

3我国注册会计师开展IS审计业努的几点思考

美国在计算机进入实用阶段时就开始提出系统审计(SYSTEM AUDIT ),从成立电子数 据处理审计协会(EDPAA后更名为ISACA )以来，从事系统审计活动已有30多年历史。

　日本的系统审计是从80年代开始,1983年通产省公开发表了《系统审计标准》,并在全国 软件水平考试中增加了 "系统审计师"一级的考试，着手培养从事系统审计的骨干队伍。近几 年东南亚各国也开始制走EDI法规,成立专门机构开展系统审计业务,并制走技术标准。

　我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计，但更多的 是关注会计信息系统。在信息时代，面对加入WTO后开放的会计市场，我国注册会计师面 临巨大的挑战，开展IS审计业务不失为我国注册会计I丿帀事业发展的一次绝佳机会。

3.1我国注册会计师开展IS审计业努机遇与挑战

3.1.1机遇

我国广阔的市场是我们最大的机遇。2002在中国,每十天左右就会有一个预算为500 万元以上的ERP项目招投标,—年的项目在50 ~ 70个左右；预算为100万元至500万元 的ERP项目在60?100个左右；预算为100万元的项目在100 ~ 150个左右。有些项目是 企业自筹资金,有些项目是国家资金支持。国家经贸委将利用国债资金支持大中型企业的 管理信息化。政府的引导资金带来了企业实施ERP的具体部署，200多家企业大部分表示 将在3 ~ 8个月实施ERP , ERP项目费用在500万元以上。从1999年起,在全国普遍实行 了政府上网工程,到2001年,全国绝大多数乡级以上政府都设有站点,并通过网站，向社 会发布信息，有的还开始提供在线服务。2000底，中国各式电子商勢公司超过500家，中 国电子商务市场规模将从2000年的87.3亿美元增长到2004年的546.3亿美元。网上银 行、网络证券交易也出现在我们的生活中。大规模的信息化建设，对信息系统的安全、有效、 保密以及其提供的信息的真实、完整等提出了鉴证要求，因此我们拥有极大的IS审计需求 市场。其次，IS审计在全球来看也是一项新业务,它的审计准则、规范、审计方法等还不 成熟，有待进一步硏究，我们有机会与世界强国在同一水平起跑,积极参与IS审计硏究， 参与规则的制订,为我国IS审计争得有利地位。第三,我国注册会计师审计业勢单一、事 务所之间在有限的报表审计领域低层次竞争，过分依赖这一单一业务，甚至影响到注册会计 师的独立性。发展IS审计业务,无疑为注册会计师找到了一个新的利润增长点。

3.1.2挑战

我们有机遇但挑战也^常严峻。首先,加入WTO后我国会计市场的开放,国际薈名 会计师事务所纷纷抢滩中国，他们的业隽量一般占到市场的80%-90% ,在IS审计方面更 甚，IS审计的许多准则都是由他们制订的,而国内会计师事务所基本没有IS审计业务，在 这方面他们已经抢占了先机。我国注册会计师若想站稳国内市场,必须充分认识到开展IS 审计业务的紧迫性，奋起直追。其次,我们注册会计师的知识结构无法满足IS审计业务发 展的要求。我们注册会计师考试仅包括会计、审计、税法、经济法、成本与财务管理五部分, 根本没有信息技术知识的要求，这是一个严重的知识结构缺陷,在信息时代是无法生存的。

　此外，受观念落后的制约，我国目前计算机审计最多停留在计算机辅助审计与会计信息系统 审计层面上,对非财务信息系统几乎没有关注。

3.2我国注册会计师开展IS审计的几点建议

21世纪是信息时代,我国注册会计师必须把握时代的脉搏,努力开创新的业务领域。

首先,加大对信息及信息系统资产的安全、完整、有效地实现组织目标的宣传，提高人 们对IS审计的关注,引导并培育市场。

其次，加强注册会计师信息技术知识的培训。IS审计人员一般都应具备全面的计算机 软硬件知识，对网络和系统安全有独特的敏感性，并且对财务会计W单位内部控制有深刻的 理解。美国Journal of Accountancy杂志1996年1月刊登了题为《注册会计师应了解的 15项主要技术》，美国注册会计师协会（AICPA ）以后每年公布注册会计师应关注的技术问 题。2002年公布最关注的10大技术问题是：1）商业与财务报表应用软件；2 ）培训和技

术竞争力；3 ）信息安全和控制；4 ）服务质量；5 ）恢复；6 ）通讯技术一竟带应用；7 ）远 程连接工具；8 ）基于WEB的应用软件；9 ）个人信息技术应用产品；10 ）消息应用软件。

　我国注册会计师要加强信息技术的后续教育。

此外,我国注册会计师协会应该组织力呈硏究制订我国的IS审计执业规范体系,在吸 取传统审计业务开展的经验与教训基础上做好IS审计的推动与管理工作。

[堂考文献]

1、 玛丽莲?格林斯坦电子商务的安全与风险管理[M]?谢淳译 北京:华夏出版社f 200L

2、 张金城?计算机信息系统控制与审计[M] ?北東:北京大学出版社f 2002.

3、 Lucy R. IS Auditing: The State of the Profession Going Into the 21st Century [J]. IS Audit & Control Journal, 1999 , （ 4 ）?

4、 Bagranoff N?，Vedrzyk V. The Changing Role of IS Audit Among the Big Five US-Based Accounting Firms [J]. IS Control Journal, 2000 z （ 5 ）?

IS Auditing: the Opportunity in Information Age for Auditor

Meng Xiuzhuan

（College of Applied Sciences and Humanities of Beijing Union University, Beijing 100083,China）

Abstract: With the expansi on of electronic commerce, people pay more and more attention to the reliability of electronics data. The information users urgently need the dependable organization to assure them of the reliability of electronics data