国际信息系统审计的发展史

2008-04-02 10:56:41来源：互联网阅读 ()

信息系统审计的萌芽随着计算机的迅速发展，利用计算机处理的业务越来越广泛。计算机在企业的应用，使企业的经营过程、思想意识和方法等产生了显著的变化。最初是由会计师事务所对利用计算机较早、较为深入的金融领域进行审计，但还没有形成统一的制度。IBM出版的《Audit Encounters Electronic Data Processing》、《In-line Electronic Processing and Audit Trail》等文献，给出了在新的电子数据环境下的内部审计规则和组织方法，介绍了许多新的概念、术语和审计技术等。接着在1968年由美国注册会计师协会出版了《会计审计与计算机》一书。20世纪60年代先后发表了若干引人注目的研究成果，金融企业设立了电子数据处理及安全办公室，美国国防部海军审计局引进了通用的审计软件包。

　　严格意义上讲，最初的信息系统审计就其范围和目的而言，与我们现在的信息系统审计是不同的。在信息系统审计的萌芽阶段，人们称之为电子数据处理审计（electronic data processing auditing）或计算机审计，它是作为传统审计业务的扩展发展起来的。那时侯，人们需要信息系统审计主要是由于：

　　审计师认识到计算机已经影响了他们执行鉴证业务的能力；

　　企业认识到在信息时代，计算机像其它有价值的商业资源一样，是商业竞争的关键资源，因此也迫切需要对其进行审计；

　　职业团体、组织和政府机构认识到需要对信息技术加以控制，并使其可以审核。

　　在初期，信息系统审计是作为传统审计业务的一部分，在审计师对由计算机系统处理的数据的质量进行判断时提供技术支持。有信息系统审计技能的审计师被看作是会计师事务所的技术资源，在必要时为同事提供技术支持。对于信息系统审计，需求领域很广。如对组织的信息系统审计（主要集中在对信息技术的管理控制）、技术方面的信息系统审计（包括架构、数据中心、数据通信等）、应用的信息系统审计（包括经营、财务）、开发实施信息系统审计（包括需求识别、设计、开发以及实施后阶段）和信息系统是否符合国家或国际标准的审计等等。

　　信息系统审计的发展信息系统审计最早称为计算机审计，是随着计算机在财务会计领域的应用而产生的。早期的计算机应用比较简单，相应地，计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务，还称不上信息系统审计。从财务报表审计的角度来看，这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查，属于审计程序中的实质性测试环节。此时，它只是传统财务审计业务的一种辅助工具，对客户的电子化会计数据进行处理和分析，为财务报表审计人员提供服务。

　　随着计算机技术应用范围的不断扩展，计算机对被审计单位各个业务环节的影响越来越大，计算机审计所关注的内容也从单纯的对电子的处理，延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下，计算机审计的业务内容已经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用，信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密，并且直接或间接地影响到财务报表的真实、公允。在这种情况下，对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段，计算机审计的业务范围已经覆盖了一项审计业务的全过程，计算机审计这一概念已经不能反映这一业务的全部内涵，信息系统审计的概念随之出现。目前，计算机审计和信息系统审计，IT审计师和IS审计师的概念还在同时使用，但这些概念之间已经有了微妙的差别。

　　由于社会信息化程度的提高，发达国家大力发展信息产业，加上计算机与通信技术的结合，使计算机的应用更加普及，同时也导致了利用计算机犯罪的比率上升，在社会上引起了强烈的反响，使人们日益关注包括财务信息系统在内的所有信息系统的安全性、可靠性，及其与组织目标的一致性。信息系统审计的必要性逐渐凸显。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围，在很多大型会计公司内部，信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起，更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”，这一观点已经逐渐成为国外会计、审计界的一个共识。

　　会计公司以及整个社会对信息系统审计师需求量将随之成倍地增长，信息系统审计师的地位也在不断提高。在国际大型会计公司中已经出现了没有CPA资格的合伙人，他们持有的专业资格就是CISA.信息系统审计师（简称CISA）目前已经成为全球范围最抢手的高级人才，这些人才一般都具备全面的计算机软硬件知识，对网络和系统安全有独特的敏感性，并且对财务会计和单位内部控制有深刻的理解。随着计算机技术在管理中的广泛运用，传统的控制、管理、检查和审计技术都受到巨大的挑战，国际会计公司、咨询公司和专业服务提供商都将控制风险，特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司，由于普遍使用大型管理信息系统，都非常重视对信息系统安全性和可靠性的控制，常常高薪聘请信息系统审计师进行内部审计。
[page]
　　我国的信息系统审计工作目前还处于探索阶段，还没有形成一套成形的专业规范，也没有形成一支能够全面开展信息系统审计业务的人才队伍。目前我国会计审计界所进行的一些计算机审计的探索和尝试以及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。无论是国际上大型的跨国公司还是国内一些规模较大的企业都在不断地扩大信息技术在其经营活动和会计领域应用范围，运用传统的会计审计知识已经不能对这样的客户进行风险评估、内控测试与评价，从而无法进行真正意义上？quot；风险基础模式“的审计业务，进而也影响到我国会计师行业审计业务的质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。

　　在建立信息系统审计制度，开展信息系审计研究方面，美国走在了前面。早在计算机进入实用阶段时，美国就开始提出系统审计（SYSTEM AUDIT）。1969年在洛杉矶成立了电子数据处理审计师协会（EDPAA），1994年该协会更名为信息系统审计与控制协会（INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION）即ISACA，总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会，现有会员两万多人，它是从事信息系统审计的专业人员唯一的国际性组织，CISA（Certified Information System Auditor）也是这一领域的唯一职业资格。