国际信息系统审计发展史
来源: 孙强
2005-08-02
普通
一、信息系统审计的萌芽
随着计算机的迅速发展,利用计算机处理的业务越来越广泛。计算机在企业的应用,使企业的经营过程、思想意识和方法等产生了显著的变化。最初是由会计师事务所对利用计算机较早、较为深入的金融领域进行审计,但还没有形成统一的制度。IBM出版的《Audit Encounters Electronic Data Processing》《In-line Electronic Processing and Audit Trail》等文献,给出了在新的电子数据环境下的内部审计规则和组织方法,介绍了许多新的概念、术语和审计技术等。接着在1968年由美国注册会计师协会出版了《会计审计与计算机》一书。20世纪60年代先后发表了若干引人注目的研究成果,金融企业设立了电子数据处理及安全办公室,美国国防部海军审计局引进了通用的审计软件包。
严格意义上讲,最初的信息系统审计就其范围和目的而言,与我们现在的信息系统审计是不同的。在信息系统审计的萌芽阶段,人们称之为电子数据处理审计(electronic data processing auditing)或计算机审计,它是作为传统审计业务的扩展发展起来的。那时侯,人们需要信息系统审计主要是由于:
1、审计师认识到计算机已经影响了他们执行鉴证业务的能力;
2、企业认识到在信息时代,计算机像其它有价值的商业资源一样,是商业竞争的关键资源,因此也迫切需要对其进行审计;
3、职业团体、组织和政府机构认识到需要对信息技术加以控制,并使其可以审核。
在初期,信息系统审计是作为传统审计业务的一部分,在审计师对由计算机系统处理的数据的质量进行判断时提供技术支持。有信息系统审计技能的审计师被看作是会计师事务所的技术资源,在必要时为同事提供技术支持。对于信息系统审计,需求领域很广。如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等等。
二、信息系统审计的发展
信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生的。早期的计算机应用比较简单,相应地,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。从财务报表审计的角度来看,这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查,属于审计程序中的实质性测试环节。此时,它只是传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。
随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理,延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用,信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,并且直接或间接地影响到财务报表的真实、公允。在这种情况下,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段,计算机审计的业务范围已经覆盖了一项审计业务的全过程,计算机审计这一概念已经不能反映这一业务的全部内涵,信息系统审计的概念随之出现。目前,计算机审计和信息系统审计,IT审计师和IS审计师的概念还在同时使用,但这些概念之间已经有了微妙的差别。
由于社会信息化程度的提高,发达国家大力发展信息产业,加上计算机与通信技术的结合,使计算机的应用更加普及,同时也导致了利用计算机犯罪的比率上升,在社会上引起了强烈的反响,使人们日益关注包括财务信息系统在内的所有信息系统的安全性、可靠性,及其与组织目标的一致性。信息系统审计的必要性逐渐凸显。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围,在很多大型会计公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外会计、审计界的一个共识。
会计公司以及整个社会对信息系统审计师需求量将随之成倍地增长,信息系统审计师的地位也在不断提高。在国际大型会计公司中已经出现了没有CPA资格的合伙人,他们持有的专业资格就是CISA.信息系统审计师(简称CISA)目前已经成为全球范围最抢手的高级人才,这些人才一般都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财务会计和单位内部控制有深刻的理解。随着计算机技术在管理中的广泛运用,传统的控制、管理、检查和审计技术都受到巨大的挑战,国际会计公司、咨询公司和专业服务提供商都将控制风险,特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司,由于普遍使用大型管理信息系统,都非常重视对信息系统安全性和可靠性的控制,常常高薪聘请信息系统审计师进行内部审计。
我国的信息系统审计工作目前还处于探索阶段,还没有形成一套成形的专业规范,也没有形成一支能够全面开展信息系统审计业务的人才队伍。目前我国会计审计界所进行的一些计算机审计的探索和尝试以及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。无论是国际上大型的跨国公司还是国内一些规模较大的企业都在不断地扩大信息技术在其经营活动和会计领域应用范围,运用传统的会计审计知识已经不能对这样的客户进行风险评估、内控测试与评价,从而无法进行真正意义上的“风险基础模式”的审计业务,进而也影响到我国会计师行业审计业务的质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。
在建立信息系统审计制度,开展信息系审计研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEM AUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)即ISACA,总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人,它是从事信息系统审计的专业人员唯一的国际性组织,CISA(Certified Information System Auditor)也是这一领域的唯一职业资格。
信息系统审计与控制协会通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够享用其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA每年还举办CISA资格考试,通过考试的人员可以申请CISA资格,符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。CISA资格在世界各国都被广泛的认可。
日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。近几年东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计。但是我国信息系统审计才刚起步,审计技术、审计规范、制度等都有待研究。随着我国信息化水平的提高,对信息系统的有效控制与审计将逐渐成为研究热点。
三、在中国普及信息系统审计的重要意义
1、信息系统审计有利于维护信息时代的市场经济秩序
市场经济是建立在信用基础上的,信息系统审计师应当充当信息时代经济生活中公正的鉴证人起着维护市场经济稳定的作用。信息时代竞争的加剧,信息流的电子传播方式等,使市场对及时和相关信息的需求越来越多,现有财务报告模式的局限性性日渐突出。现有财务报告是以历史成本为计量基础的、周期性的向利益相关者报告。这些报表往往要在事实发生30天或是更长的时间后才能发布给报表使用者,因此要用这些财务报表来作“实时决策”是不可能的。对投资者、分析者和监管者而言,这些报表不过是企业某个时点的“快照”而非持续性报告。今天的利益相关者要求“即需即取”的、格式化的数据来帮助他们更好的进行投资决策。商业信息的在线和实时披露是不可扭转的必然趋势。信息时代的财务报告模式将会是是以企业的业绩评估为基础,在线的、实时的信息披露。在新经济环境中,信息系统审计师应能够以在线、实时的信息为基础提供鉴证,通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。提供实时报告鉴证对保护公众利益和保护资本市场的有序发展是非常有意义的。
只有当产生信息的系统本身具有可靠性时,它的产品——信息才是对决策有用的。为了鉴证系统的可靠性,信息系统审计师可以通过检测公司信息系统的可用性、安全性和过程的完整性来确定其是否可靠。这种保证职能叫做“系统可靠性保证”(System reliability assurance)。它是保证信息资产安全、完整、真实可靠的基础。
此外,电子商务的风险对交易双方都构成威胁。破坏者可以来自公司外部也可以来自内部。所面临的风险包括数据的失窃、毁坏、截取、改动、延误或传输路径的改变以及伪造信息。这些风险会破坏正常的交易秩序,给交易双方带来巨大的损失。如下图所示。信息系统审计师可以凭借自己的专业知识评估服务器的效率与网站的可靠性,帮助从事电子商务的公司评估其电子商务系统的内部控制与风险。信息系统审计师的存在有利于维护信息时代的市场经济秩序,降低风险。
2、信息系统审计为我国信息化建设保驾护航
当前,我国信息化事业已发展到一个新的阶段。各级政府正在认真落实“以信息化带动工业化”的战略,推进“电子政务”及“电子商务”,许多城市及企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,国内外的实践表明:信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。中央领导同志在国家信息化领导小组第一次会议中特别强调:信息化建设一定要讲求效益,不能搞花架子。信息系统审计师的出现,可以从项目计划开始介入信息系统建设的每个环节,以他们的专业素养,从项目的初始阶段一直到运营的全过程,给予项目投资者风险控制的评估与建议,提高信息系统的投资效益。建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实国家信息化领导小组会议精神的一项重要措施。
随着计算机的迅速发展,利用计算机处理的业务越来越广泛。计算机在企业的应用,使企业的经营过程、思想意识和方法等产生了显著的变化。最初是由会计师事务所对利用计算机较早、较为深入的金融领域进行审计,但还没有形成统一的制度。IBM出版的《Audit Encounters Electronic Data Processing》《In-line Electronic Processing and Audit Trail》等文献,给出了在新的电子数据环境下的内部审计规则和组织方法,介绍了许多新的概念、术语和审计技术等。接着在1968年由美国注册会计师协会出版了《会计审计与计算机》一书。20世纪60年代先后发表了若干引人注目的研究成果,金融企业设立了电子数据处理及安全办公室,美国国防部海军审计局引进了通用的审计软件包。
严格意义上讲,最初的信息系统审计就其范围和目的而言,与我们现在的信息系统审计是不同的。在信息系统审计的萌芽阶段,人们称之为电子数据处理审计(electronic data processing auditing)或计算机审计,它是作为传统审计业务的扩展发展起来的。那时侯,人们需要信息系统审计主要是由于:
1、审计师认识到计算机已经影响了他们执行鉴证业务的能力;
2、企业认识到在信息时代,计算机像其它有价值的商业资源一样,是商业竞争的关键资源,因此也迫切需要对其进行审计;
3、职业团体、组织和政府机构认识到需要对信息技术加以控制,并使其可以审核。
在初期,信息系统审计是作为传统审计业务的一部分,在审计师对由计算机系统处理的数据的质量进行判断时提供技术支持。有信息系统审计技能的审计师被看作是会计师事务所的技术资源,在必要时为同事提供技术支持。对于信息系统审计,需求领域很广。如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等等。
二、信息系统审计的发展
信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生的。早期的计算机应用比较简单,相应地,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。从财务报表审计的角度来看,这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查,属于审计程序中的实质性测试环节。此时,它只是传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。
随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理,延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用,信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,并且直接或间接地影响到财务报表的真实、公允。在这种情况下,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段,计算机审计的业务范围已经覆盖了一项审计业务的全过程,计算机审计这一概念已经不能反映这一业务的全部内涵,信息系统审计的概念随之出现。目前,计算机审计和信息系统审计,IT审计师和IS审计师的概念还在同时使用,但这些概念之间已经有了微妙的差别。
由于社会信息化程度的提高,发达国家大力发展信息产业,加上计算机与通信技术的结合,使计算机的应用更加普及,同时也导致了利用计算机犯罪的比率上升,在社会上引起了强烈的反响,使人们日益关注包括财务信息系统在内的所有信息系统的安全性、可靠性,及其与组织目标的一致性。信息系统审计的必要性逐渐凸显。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围,在很多大型会计公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外会计、审计界的一个共识。
会计公司以及整个社会对信息系统审计师需求量将随之成倍地增长,信息系统审计师的地位也在不断提高。在国际大型会计公司中已经出现了没有CPA资格的合伙人,他们持有的专业资格就是CISA.信息系统审计师(简称CISA)目前已经成为全球范围最抢手的高级人才,这些人才一般都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财务会计和单位内部控制有深刻的理解。随着计算机技术在管理中的广泛运用,传统的控制、管理、检查和审计技术都受到巨大的挑战,国际会计公司、咨询公司和专业服务提供商都将控制风险,特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司,由于普遍使用大型管理信息系统,都非常重视对信息系统安全性和可靠性的控制,常常高薪聘请信息系统审计师进行内部审计。
我国的信息系统审计工作目前还处于探索阶段,还没有形成一套成形的专业规范,也没有形成一支能够全面开展信息系统审计业务的人才队伍。目前我国会计审计界所进行的一些计算机审计的探索和尝试以及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。无论是国际上大型的跨国公司还是国内一些规模较大的企业都在不断地扩大信息技术在其经营活动和会计领域应用范围,运用传统的会计审计知识已经不能对这样的客户进行风险评估、内控测试与评价,从而无法进行真正意义上的“风险基础模式”的审计业务,进而也影响到我国会计师行业审计业务的质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。
在建立信息系统审计制度,开展信息系审计研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEM AUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)即ISACA,总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人,它是从事信息系统审计的专业人员唯一的国际性组织,CISA(Certified Information System Auditor)也是这一领域的唯一职业资格。
信息系统审计与控制协会通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够享用其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA每年还举办CISA资格考试,通过考试的人员可以申请CISA资格,符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。CISA资格在世界各国都被广泛的认可。
日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。近几年东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计。但是我国信息系统审计才刚起步,审计技术、审计规范、制度等都有待研究。随着我国信息化水平的提高,对信息系统的有效控制与审计将逐渐成为研究热点。
三、在中国普及信息系统审计的重要意义
1、信息系统审计有利于维护信息时代的市场经济秩序
市场经济是建立在信用基础上的,信息系统审计师应当充当信息时代经济生活中公正的鉴证人起着维护市场经济稳定的作用。信息时代竞争的加剧,信息流的电子传播方式等,使市场对及时和相关信息的需求越来越多,现有财务报告模式的局限性性日渐突出。现有财务报告是以历史成本为计量基础的、周期性的向利益相关者报告。这些报表往往要在事实发生30天或是更长的时间后才能发布给报表使用者,因此要用这些财务报表来作“实时决策”是不可能的。对投资者、分析者和监管者而言,这些报表不过是企业某个时点的“快照”而非持续性报告。今天的利益相关者要求“即需即取”的、格式化的数据来帮助他们更好的进行投资决策。商业信息的在线和实时披露是不可扭转的必然趋势。信息时代的财务报告模式将会是是以企业的业绩评估为基础,在线的、实时的信息披露。在新经济环境中,信息系统审计师应能够以在线、实时的信息为基础提供鉴证,通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。提供实时报告鉴证对保护公众利益和保护资本市场的有序发展是非常有意义的。
只有当产生信息的系统本身具有可靠性时,它的产品——信息才是对决策有用的。为了鉴证系统的可靠性,信息系统审计师可以通过检测公司信息系统的可用性、安全性和过程的完整性来确定其是否可靠。这种保证职能叫做“系统可靠性保证”(System reliability assurance)。它是保证信息资产安全、完整、真实可靠的基础。
此外,电子商务的风险对交易双方都构成威胁。破坏者可以来自公司外部也可以来自内部。所面临的风险包括数据的失窃、毁坏、截取、改动、延误或传输路径的改变以及伪造信息。这些风险会破坏正常的交易秩序,给交易双方带来巨大的损失。如下图所示。信息系统审计师可以凭借自己的专业知识评估服务器的效率与网站的可靠性,帮助从事电子商务的公司评估其电子商务系统的内部控制与风险。信息系统审计师的存在有利于维护信息时代的市场经济秩序,降低风险。
2、信息系统审计为我国信息化建设保驾护航
当前,我国信息化事业已发展到一个新的阶段。各级政府正在认真落实“以信息化带动工业化”的战略,推进“电子政务”及“电子商务”,许多城市及企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,国内外的实践表明:信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。中央领导同志在国家信息化领导小组第一次会议中特别强调:信息化建设一定要讲求效益,不能搞花架子。信息系统审计师的出现,可以从项目计划开始介入信息系统建设的每个环节,以他们的专业素养,从项目的初始阶段一直到运营的全过程,给予项目投资者风险控制的评估与建议,提高信息系统的投资效益。建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实国家信息化领导小组会议精神的一项重要措施。