計算機信息系統對審計影響的文獻評述

　　【摘要】 現代審計的主流是財務報表審計，對信息系統審計研究的文獻極其有限，且缺乏對信息系統審計研究文獻的梳理與評說，這必然影響信息系統審計規范研究。有鑒于此，文章以計算機信息系統為背景，對與此相關的審計文獻進行回顧與評述。
　　【關鍵詞】 信息系統；審計線索；審計規范；審計風險
　　
　　1954年，通用電氣公司運用計算機進行工資核算成為企業運用計算機信息系統的開端。計算機信息系統有利于企業經營管理效率的提高，成為企業經營管理必不可少的工具，然而計算機信息系統也對審計線索、審計工作以及審計規范等方面產生了巨大影響。因此，筆者從計算機信息系統對上述三方面的影響對該領域的文獻進行回顧與評述。
　　
　　一、對審計線索的影響
　　
　　（一）對審計線索影響的文獻回顧
　　審計過程實質上是不斷收集、鑒證和綜合運用審計證據的過程。在手工數據處理系統中，存在著大量肉眼可見的審計線索，對手工數據處理系統的審計，就是建立在這種肉眼可見的審計線索之上。而在計算機信息系統中，傳統的憑證、賬簿、報表等文字記錄消失，取而代之的是存儲在電子介質上的相關信息。對于組織來講，信息技術的運用給企業帶來了新的商業風險，例如日益依賴于計算機系統，消除了傳統的紙質審計線索，在電子媒介上保留記錄，日益依賴于交易伙伴，減少人為因素的介入，依賴于EDI網絡、數據交易系統和過程（Pearson，1996；Pirie & Sheehy，1996；
　　Ratnasingham1998；Cullen，1995），越來越多的組織開始關注保存信息系統審計線索問題（Caroline Allinson，2001）。紙質記錄的消除也給管理層和審計人員帶來了相當重要的問題，紙質記錄仍然需要被保留，因為它們可以保證“充分的數據以恰當的格式和足夠長的時間被保留，以滿足法律和審計的需要，提供會計責任的依據”（Jamieson，1994）。審計師事務所應當強調對控制的可靠性測試，而不是實質性測試，因為隨著對計算機控制的日益依賴，減少紙質文檔，審計線索將不會長時間的在線保留。由于審計證據類型和地點的改變，僅有少量紙質文檔或者沒有紙質文檔，傳統實質性測試將很難執行，這時也會考慮大量運用計算機輔助審計技術（Jamieson，1994）。審計人員不能認為EDI環境是更加簡單和自動化，在執行控制測試時，識別證據的類型和地點與以紙介質為基礎的系統不同，審計人員需要測試和評估電子簽名，更進一步的，審計人員需要執行對相關控制和主要證據更廣泛的收集，超越具體循環或子系統提供必要的證據。同時，一些形式的證據由于在組織、交易伙伴或增值網（VAN）中信息保留政策，不可能存在很長的時間。審計人員需要考慮將什么時候收集證據（Stein & Rittenberg，1995）。計算機網絡環境已經對審計活動產生了重大影響，有必要以風險導向審計觀念為主導，實施計算機網絡環境下的詳細審計。網絡環境下的詳細審計應當借鑒早期詳細審計的具體做法，將詳細審計的重點定位于系統的輸入口，對于電子化、網絡化的原始憑證，在進行逐項審計之前，必須對其網絡傳遞安全性進行確認（莊明來，2003）。審計線索的變化也對審計準則的制定與頒布產生了重要影響。在中國注冊會計師協會2006年頒布的審計準則之中，多處涉及電子審計證據的獲取與檢查，以及其可靠性和相關性鑒證，其中《中國注冊會計師審計準則第1301號——審計證據》明確將電子介質的記錄形式列為審計證據，同時認為它比口頭形式的審計證據更可靠（莊明來，2008）。
　　（二）對我國審計規范制定的啟示
　　計算機信息系統的運用從審計線索中排除了紙質文檔，其本質是消除了許多傳統的內部控制方式，需要審計人員在思想觀念、審計工作組織方式等方面發生深刻的轉變。審計線索的變化也催促著制定與發布相關審計規范以應對審計線索發生變化后的審計取證問題。ISACA為應對審計線索發生變化后，審計取證所面臨的各方面問題，發布并實施了信息系統審計指南第22號《計算機取證》。在審計指南第22號中，ISACA首先對計算機取證進行了定義，其次對審計人員在審計取證中的電子數據傳輸有效性識別、各方交易內容的識別、欺詐識別以及審計取證中的數據保護、數據獲取和審計報告中審計證據選取等問題提供了相應的指南。因此，為應對計算機信息系統對審計線索的影響，我國審計準則制定機構應盡快制定與頒布計算機取證方面的規范。
　　
　　二、對審計風險的影響
　　
　　（一）對審計風險影響的文獻回顧
　　信息技術的運用歷來都是一把雙刃劍，在提高財務審計、績效審計以及信息系統審計效率的同時，也給審計機構或審計人員帶來了不容忽視的審計風險。信息技術的發展給組織帶來了新的風險，內部審計人員、外部審計人員以及IT專家應當在評估和管理這些風險的過程中扮演重要的角色，但通過調查發現內部審計人員主要集中于傳統IT風險與控制，例如IT資產保護、應用程序、數據完整性、隱私和安全，很少關注系統的開發與獲取問題（Dana R. Hermanson etc，2000）。進行信息系統審計時，必須識別與新技術相聯系的風險，內部審計應該通過建立、監測預警指標和運用一套完整的風險評估程序關注高度優先領域。有意義的早期預警指標能夠識別威脅以及提供精確程度高的現場指標，對現場指標的需求是基于對沒有檢測到的威脅經過一段時間可能會發生的考慮（Burns & Sorton，1991）。同時，Burns和Sorton還認為電子信息傳輸中的早期預警指標應該強調揭示三種類型風險因素，即固有風險、控制風險和控制結構風險。Sally Wright和Arnold M. Wright（2002）通過對五大會計師事務所的信息系統審計人員進行調查發現，識別供應鏈ERP子系統與支付子系統存在著較高的控制風險和安全風險。對企業ERP系統的鑒證活動應將重點放在對系統過程的鑒證，而不是將重點放在信息系統輸出結果的鑒證上。Kinney（2003）認為理解信息技術對風險、風險評價和風險管理的影響，需要深入理解外部因素和內部因素在企業組織運用信息技術中的不同影響。Diane Janvrin等（2009）對與計算機相關程序的運用以及控制風險評估和事務所大小是否影響計算機相關審計程序的運用進行了實證檢驗，研究結果發現計算機審計程序的運用取決于審計人員對被審單位系統的了解以及與計算機相關的內部控制的測試。而且，42.9%的審計人員計算機審計程序的運用依賴于內部控制，這個比例在四大會計師事務所會更高。
　　（二）對我國審計規范制定的啟示
　　信息系統的風險，同其它審計對象的風險相比，更具有隱蔽性，破壞性更強，舞弊手段及方法更為先進。為引導信息系統審計人員應對計算機信息系統對審計風險的影響，強化信息系統審計風險的管理與控制，有關風險評估方面的信息系統審計規范發揮著不可替代的作用。國外準則制定機構相當關注信息系統審計風險問題，為引導審計人員應對審計風險，ISACA早在2000年就發布的信息系統審計指南第13號《審計計劃中風險評估的運用》。我國在信息系統審計的風險評估方面還基本上處于空白狀態。因此，為應對計算機信息系統對審計風險的影響，我國審計準則制定機構應盡快制定與頒布信息系統審計風險評估方面的規范。
　　
　　三、對信息系統審計規范的影響
　　
　　（一）對信息系統審計規范影響的文獻回顧
　　
　　電子數據處理、MIS、ERP等信息系統在企業的廣泛應用，改變了人類社會利用信息資源的能力與方式，但隨著信息技術應用的普及，利用信息技術進行欺詐和舞弊的犯罪事件也不斷出現。1973年1月，美國“產權基金公司”的保險經驗商利用計算機進行欺詐，詐騙金額高達數億美元，負責該公司審計的事務所也被判賠償損失，這件事情引起了美國審計界的震驚，使得人們開始重視信息系統審計 。國外審計準則制定機構為滿足信息系統審計實踐的需求也不遺余力的致力于信息系統審計規范的制定與頒布。AICPA于1974年發表了《電子數據處理對審計人員影響的調查與內部控制評估》成為對電子數據處理系統實施審計的標準，為信息系統審計提供了指導和依據。日本注冊會計師協會也于1976年發表了《使用電子計算機的會計組織的內部控制制度質問書（修訂案）》、《電子數據處理系統的審計標準及審計過程案例》和《電子數據處理系統審計方法》等，作為對信息系統審計執行的強制標準。美國EDP審計師協會1984年發布的《EDP控制的目標》提出了信息系統的系列控制標準，隨后于1987年發布了《信息系統審計的一般準則》，為信息系統審計活動提供了一般準則，指導審計人員的審計實踐活動。而日本通產省下屬的“計算機安全研究會”于1985年發表了《IT審計標準》，認為“隨著信息系統網絡化的進展，僅僅是系統內部的審計是不充分的，有必要盡早地引入由具有專門知識與技術的、與系統沒有直接關系的第三方（信息系統審計師）對信息系統的安全、可靠等進行全面檢查……”等觀點。
　　進入20世紀90年代以后，信息技術的迅速發展使得信息系統越來越復雜化及網絡化，如何確保信息系統的安全、可靠和有效變得越來越重要，審計實踐對信息系統審計規范的需求也日益強烈。美國EDP審計師協會也于1994年正式更名為信息系統審計與控制協會（ISACA），致力于信息系統審計準則、審計指南以及審計程序的頒布。截止2010年4月，ISACA共發布了16項基本準則、41項審計指南和11項作業程序，對信息系統審計的程序、技術、方法以及目標等進行了詳細深入的規定。為配合外部審計人員的信息系統審計活動，國際內審協會（IIA）為適應信息系統審計的需要也于2006年頒布了IT風險評估指南（GAIT）與全球技術審計指南（GTAG），GAIT是為管理者和外部審計師提供了一種識別IT控制中的關鍵控制點的方法，而GTAG中用于解決董事會和高級經理關心的問題，提供了有關信息技術管理、控制或安全方面最及時的問題。截止2009年9月，IIA共發布了12個全球信息技術審計指南。與此同時，IT治理協會（Information Technology GovernanceInstitute，簡稱ITGI）在吸收借鑒了41個國際性文檔研究成果的基礎上于1996年、1998年、2000年、2005年分別頒布了Cobit1.0，Cobit2.0，Cobit3.0，Cobit4.0，并于2007年5月將Cobit更新到4.1版本。信息系統審計領域這一系列規范有利于指導審計人員從事信息系統審計活動，為整合信息系統審計領域的已有規范，并彌補ISACA所發布的基本準則、審計指南以及審計程序的不足，ISACA于2008年4月又推出IT鑒證框架（ITAF），借助統一的框架整合這些規范。盡管ITAF目前還只是一個由基本準則（包括一般準則、執業準則和報告準則）、審計指南、工具與技術三部分組成的框架結構，但ISACA則希望ITAF作為一個“活文檔”，可以在該框架下不斷完善。
　　隨著我國企業信息化、政務信息化等工程的開展，信息系統審計實踐也得到迅速發展，“透過計算機審計”①已經成為國家審計、內部審計以及注冊會計師審計對信息系統審計的必然。在計算機信息系統與網絡環境的影響下，我國政府和信息系統審計實踐部門也開始重視信息系統審計規范的制定與發布。審計署京津冀特派辦在2005年發布了《計算機審計操作規則》、《審計中間表創建和使用管理規則》和《數據分析報告撰寫規則》等操作規則之后，又于2006年9月發布了《信息系統審計操作規則》、《網上審計操作規則》以及《審計數字化應用規則》等審計信息化建設的規則。中國內部審計協會為了規范組織內部審計機構及人員開展信息系統審計活動，保證審計質量，于2008年根據《內部基本審計準則》制定并頒布了《內部審計具體準則第28 號——信息系統審計》。盡管“內審準則28號”存在諸多缺陷，卻是我國第一個真正意義上的信息系統審計準則。與此同時，為了應對信息系統廣泛應用企業所帶來的一系列問題，越來越多的學者也開始關注如何在當前條件下完善我國的信息系統審計規范體系，以指導信息系統審計實踐。李丹（2002，2003）對我國開展信息系統審計的緊迫性、面臨的問題以及未來的發展前景進行了研究，認為我國信息系統審計面臨的問題包括審計觀念的轉變、信息系統審計的專業人才以及行業準則與實務指南，應加快行業準則與實務指南的制定。汪家常、許娟（2003）認為與發達國家相比，我國計算機審計準則缺乏操作層次規范，弱化實際應用性，內容時效滯后，內控制度過于籠統，審計風險評價乏力，重構我國計算機審計準則系統，應本著系統性、完整性、實用性原則，科學規劃一般準則和具體審計指南。在借鑒國外先進經驗，制定計算機審計準則時，應保持中國特色。王景東（2003）認為目前我國信息系統審計是計算機審計中最為薄弱的環節，既沒有形成一個較為完善的能夠指導實踐的規范和準則體系，也沒有較為成熟的適合實踐的可供借鑒的案例和經驗。胡曉明（2005）提出我國應在國家審計署下成立專門的信息系統審計研究中心，負責對信息系統審計標準、操作指南、職業規范體系進行研究。陳婉玲、楊文杰（2006）在介紹了ISACA的信息系統審計準則及其發展的基礎上，簡要討論了我國計算機審計發展的現狀與準則建設情況，提出了我國在建設信息系統審計準則體系時，可以借鑒ISACA的做法，也采用三個層次體系結構，以基本準則為核心，統領審計指南和作業程序，從而使整個準則體系不斷擴展、完善。唐志豪（2007）認為信息系統審計包括技術性規范和社會性規范，其中技術性規范是指信息系統審計標準，社會性規范是指審計職業道德規范和法律規范。莊明來、吳沁紅、李俊（2008）回顧了與信息系統審計相關的規范發現，我國信息系統審計人員開展信息系統審計主要參考ISACA組織頒布的信息系統審計準則和我國審計準則中關于計算機審計的部分，這種現狀不適合我國信息化快速發展的現狀，也不適應信息系統審計事業的發展。我國在制定專門的信息系統審計準則時應注意準則體系問題、準則制定的方法問題以及信息化相關法規的完善等方面。張金城、黃作明（2009）對我國與信息系統審計相關的規范進行了回顧，認為我國至今仍然沒有正式的信息系統審計準則。
　　（二）對信息系統審計規范制定與研究的啟示
　　電子數據處理、MIS、ERP等信息系統的廣泛應用使得原有審計準則已經不能滿足對信息系統審計的要求。因此，需要在原有審計準則的基礎上，建立一系列新的審計準則以滿足對信息系統審計的需求。國外審計準則制定機構為適應信息社會發展的要求，從20世紀70年代就已經開始對信息系統審計規范進行理論與實務研究，在審計規范的數量與質量方面都優于我國。因此，在呼吁我國相關準則制定機構加快制定適合我國國情信息系統審計規范的同時，我們還應當認識到，國內學者對計算機信息系統審計規范的研究大都在簡要介紹ISACA審計準則以及與計算機審計相關的準則，沒有對ISACA所發布的信息系統審計準則體系進行完整系統的研究。然而，通過調查研究發現在信息系統審計實踐中，部分審計機構為更好地開展信息系統審計活動已經開始嘗試著頒布適用于指導和約束審計人員行為的信息系統審計操作規則，如審計署京津冀特派辦于2006年9月發布的審計信息化操作規則，但這些實踐在學術研究中并沒有得到體現，理論研究落后于實踐，沒有真正起到理論指導實踐的作用。
　　
　　基于以上對國內信息系統審計規范研究現狀的認識，我國在信息系統審計規范體系的建設過程中需要解決以下幾個問題：一是厘清信息系統審計理論結構與信息系統審計規范之間的關系進行分析。眾所周知，信息技術發展的摩爾定律使得其發展日新月異，新興的信息系統審計領域不斷出現，分析信息系統審計理論結構與信息系統審計規范之間的關系，有助于在信息系統審計規范制定無法跟上的時候指導審計人員的審計行為；二是對國外信息系統審計規范進行完整、系統的回顧與評述。國外存在著大量諸如ISACA審計準則、GAIT和GTAG以及Cobit等審計規范資源，深入分析這些審計規范有助于夯實我國信息系統審計規范體系完善基礎；三是國內學者對我國信息系統審計規范現狀的研究基本上都停留在介紹我國與信息系統審計相關規范的基礎上，對我國信息系統審計規范供給與需求不均衡的深層次問題缺乏探討。因此，有必要深入剖析我國信息系統審計規范的現狀；四是分析我國信息系統審計規范的框架結構，同時對我國信息系統審計規范制定的路徑選擇問題進行探討。
　　
　　【主要參考文獻】
　　［1］ Pearson， M.Auditing in a paperless environment［J］.Ohio CPA Journal， 1996， Vol. 55 No. 3：31-32.
　　［2］ Ratnasingham， P.Internet-based EDI trust and security ［J］.Information Manage- ment and Computer Security， 1998， Vol. 6， No. 1：33-39.
　　［3］ Cullen， S.Electronic data interchange： implementation and control issues ［J］.Perspective on Contemporary Auditing， ASCPA Audit Centre of Excellence， 1995：58-66.
　　［4］ Caroline Allinson.Information Systems Audit Trails in Legal Proceedings as Evidence ［J］.Computers & Security， 2001， Vol.20， No.5：409-421.
　　［5］ Jamieson， R.EDI： An Audit Approach， Monograph Series 7［J］.The EDP Auditors Foundation， USA， 1994.
　　［6］ Dana R. Hermanson， Mary Callahan Hill， Daniel M. Ivancevich.Information Technology—Related Activities of Internal Auditors［J］.Journal of Information Systems， 2000 supplement， vol.14：39-53.
　　［7］ Diane Janvrin， James Bierstaker， D. Jordan Lowe.An Investigation of Factors Influencing the Use of Computer-Related Audit Procedures ［J］.Journal of Information Systems， 2009， Vol. 23， No. 1：97-118.
　　［8］ ISACA IS Standards， Guidelines and Procedures for Auditing and Control Professionals ［R］.ISACA， 2009.
　　［9］ IIA.GAIT Summary［R］.2007.
　　［10］ 劉杰.我國信息系統審計規范體系研究［D］.廈門大學博士學位論文，2010.
　　［11］ 李丹.美國信息系統審計發展的歷史和現狀［J］.中國審計，2008（3）：25-27.
　　［12］ 李丹.信息系統審計——傳統審計的一場革命［J］.中國審計，2002（3）：57-58.
　　［13］ 李丹.信息系統審計系列專題研討（一）信息系統及控制審計的現狀與發展［J］.中國審計，2003（1）：67－69.
　　［14］ 汪家常，許娟.計算機審計準則體系重構［J］.安徽工業大學學報（社會科學版），2003（5）：54－57.
　　［15］ 王景東.財政審計的深化：信息系統審計［J］.中國審計，2003（5）：77－78.
　　［16］ 莊明來，吳沁紅，李俊等.信息系統審計內容與方法［M］.北京：中國時代經濟出版社，2008.
　　［17］ 莊明來，陽杰.美國IT控制的審計規范體系解讀與啟示［J］.經濟管理，2009（11）：125-129.
　　［18］ 胡曉明.我國信息系統審計的發展戰略研究［J］.學習與探索，2005（5）：204－206.
　　［19］ 唐志豪.信息系統審計理論結構研究［J］.財會月刊，2007（3）：59－61.
　　［20］ 張金城，黃作明.信息系統審計［M］.北京：清華大學出版社，2009.
　　［21］ 審計署京津冀特派辦.信息系統審計操作規則［Z］.2006.