信息系统审计在企业发展中未来走向范文

“信息系统审计”是近些年来在中国出现的一个新名词。单从字面上看，“信息系统审计”与“信息系统”和“审计”有关，但对于它究竟是做什么的，绝大多数人都没有一个明确的概念。而在国外，尤其是在美国、日本、英国、加拿大等发达国家，信息系统审计已经发展到相当程度，信息系统审计的理念也已深入人心。从国外信息系统审计的发展历史来看，它是与企业信息化的过程紧密联系的，是企业信息化的必然要求。

在计算机没有出现之前，信息系统是以人为基础的，信息的收集、处理、传递和存储都是由人来完成的。随着计算机的出现以及信息技术的进步，以计算机为基础的信息系统也得到了不断发展，并且主要应用于经济管理活动之中。企业以信息系统和信息技术为基础，改变自己的财务、经营管理等活动，以此来更好地实现企业的目标。在这一过程中，传统的手工审计方式受到了极大的影响；同时，企业的信息化也引发了很多企业和社会的问题。正是这些影响和问题促使信息系统审计不断发展。

1954年，通用电气公司利用计算机进行工资计算成为基于计算机的企业信息系统应用的开端。这一时期，企业对计算机的作用有了初步的认识，并尝试着引进了少量的计算机数据处理系统，应用于财务、统计、库存等方面以替代人进行计算工作。由于第二代晶体管计算机的出现和信息技术的发展，到了20世纪60年代，计算机的应用开始蔓延到企业大多数部门，这些部门独立开发了简单的系统，用来改善部门事务处理的效率。这时出现了数据处理部门。企业的经营管理方式发生了显著的变化，尤其是企业会计信息处理实现了电算化即计算机化。纸质会计凭证的电子化使得审计人员在开展传统审计业务的过程中不得不关注电子数据的取得、分析、计算等数据处理业务。那时人们开始称这种审计为电子数据处理审计（EDP审计）或计算机审计。为了解决会计师在新环境中开展审计工作时所面临的问题，美国等发达国家的注册会计师职业组织对电子数据处理环境下如何开展内部和外部审计进行了大量的研究并取得了引人注目的成果。1969年，电子数据处理审计师协会（EDPAA）在美国洛杉矾成立。这个协会下设的电子数据处理审计师基金（EDPAA）负责研究当时情况下一个胜任的信息系统审计师应该具备哪些类型、什么水平的知识，并将其主要研究成果收录成书。总体来讲，这一时期社会对信息系统审计的认识不够，信息系统审计远未普及，审计人员本身也缺乏对信息系统的知识。

20世纪70年代，随着计算机系统的继续发展，计算机在企业中得到了更广泛的应用，电子数据处理在企业间普及。企业开始关注计算机应用带来的成本和效益问题，并注意召集各部门人员共同对信息系统的建设和发展进行规划。数据库管理技术的逐渐成熟使得企业可以解决因各部门独立开发数据处理系统所带来的数据冗余和数据很难共享等问题；60年代中期发展起来的管理信息系统得以广泛应用于企业，使企业可以从整体目标出发，对各项管理信息进行系统和综合的处理，来为企业的管理决策服务。计算机以及信息系统在企业的普及使得这一时期利用计算机进行欺诈舞弊的犯罪事件不断出现，如1973年1月美国“产权基金公司”的保险经营商就利用计算机诈骗了数亿美元。这些事件让负责对实施欺诈的公司进行审计的注册会计师事务所在经济和信誉上都遭受了巨大的损失，美国审计界开始重视信息系统在企业的应用给审计工作带来的风险，并对电子数据处理审计的标准、计算机系统内部控制设置与评审、计算机审计方法、计算机辅助审计技术和工具（CAATT）等问题进行了详细的研究。日本也派人到美国进行考察，以借鉴美国的经验研究如何在日本开展信息系统审计工作。

进入20世纪80年代，网络和通讯技术迅速发展。企业业务的发展使得企业必须把其本地的信息系统和外地分支机构的信息系统互联互通，以共享信息等资源；同时，企业更注重从战略目标出发，建立一个支持全企业的集成信息系统，来实现管理控制上的统一和协调。闭环物料需求计划（闭环MRP）系统和制造资源计划（MRPⅡ）系统相继在企业中广泛应用，企业的物流和资金流实现了集成。这样，业务系统数据能够向财务会计信息系统自动转换和传送，企业可以随时控制和指导生产经营活动，使其与企业战略目标相符合。由于这时财务数据的采集是由整个信息系统实时完成的，在进行财务审计时，必须考虑信息系统的安全性、可靠性和效率，以保证信息的真实和可靠。随着社会对信息系统的依赖性普遍增强，利用计算机犯罪的案件也不断增多。如日本仅1982年一年利用磁卡欺诈犯罪的案件数量就相当于该年之前确认的所有计算机犯罪案件之和；在美国，仅1987年因公司之间间谍利用信息技术窃取公司系统中的信息所造成的损失就高达500多亿美元。这些都说明信息系统的防范体系还很不充分。越来越多的人认识到了信息系统审计的重要性。审计师们开始利用先进的工具和技术，研究与被审计信息系统相联系的有关开发、程序设计和计算机处理的具体过程和内容，以便更好地开展信息系统审计工作。1981年，美国电子数据处理审计师协会（EDPAA）开始举办注册信息系统审计师（CISA）认证考试。日本也在1985年发表了《系统审计标准》，并在全国软件水平考试中增加了“系统审计师”一级的考试。信息系统审计师成为了一种专门的职业。

20世纪90年代以来，互联网技术和信息技术高速持续发展，网络向世界范围不断扩充。人类社会开发利用信息资源的方式和能力发生了很大的变化。信息系统变得越来越复杂化、大型化、多样化和网络化。企业开始注重外部信息的处理效率和利用效益，逐渐对自己价值链上各类信息进行全面的管理和集成，以此来提高企业在市场中的竞争力。企业外联网（Extranet）、企业资源计划（ERP）、供应链管理（SCM）以及客户关系管理（CRM）为企业实现目标提供了有力的保证。信息和信息技术对企业生存和保持可持续发展能力的影响越来越大，信息和信息系统已经成为了企业的重要资产，像企业的其他资产那样对信息系统加以控制和审计变成了企业必然的要求。企业对外业务的自动化要求业务单证必须电子化，这就使得对企业的信息系统进行审计的同时，不得不考虑与之相关的企业外部的信息系统。况且，因特网在成为电子商务、金融证券的运作平台的同时，也成为犯罪分子危害地区、国家甚至全世界经济安全的场所。如何确保网络平台上的信息系统的安全、可靠和有效变得越来越重要。世界各国的学者、审计机关和组织都积极对此进行研究与探索。1994年，电子数据处理审计师协会（EDPAA）更名为信息系统审计与控制协会（ISACA），从而成为从事信息系统审计的专业人员惟一的国际性组织，这个组织的注册信息系统审计师（CISA）资格认证也是信息系统审计领域的惟一职业资格认证。东南亚各国也开始制定电子商务法规，成立专门机构开展信息系统审计业务，并制定技术标准。

尽管到目前为止，对于信息系统审计还没有一个公认的通用定义，但从前面可以看出，随着企业信息化过程中信息系统的发展，信息系统审计的对象从企业单个部门的数据处理系统发展到整个企业集成的信息系统，甚至企业外部的信息系统；审计的目标从对数据处理系统的效率和可靠性进行审查发展到对整个信息系统的效率、可靠性、有效性和安全性的审查；审计的方法从手工审计发展到手工审计与计算机辅助审计工具和技术兼而有之；开展审计的人员从注册会计师发展到信息系统审计师；指导信息系统审计的组织从传统的审计机关和组织发展成为专业的信息系统审计组织。另外，信息系统审计的内容、依据、准则等也在随着信息技术和信息系统的发展而不断发展与完善。在这里，引用国际信息系统审计领域的权威专家RonWeber对信息系统审计的定义，即信息系统审计就是“收集并评估证据，以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。新晨

目前，一些国际大型会计公司中已经出现了没有注册会计师资格的合伙人，他们持有的职业资格是注册信息系统审计师（CISA）。很多大公司也高薪聘请注册信息系统审计师（CISA）为公司的发展出谋划策。尽管如此，注册会计师和会计师组织仍将在信息系统审计领域发挥重要的作用。现代以风险为基础的审计模式使得注册会计师在对企业进行审计时必须考虑企业应用信息技术给企业带来的风险，而他们对企业财务会计和内部控制的深刻理解有助于他们采取措施控制这些风险；同时，长期以来在企业信息化过程中积累的审计工作的经验和他们在风险控制方面的良好声誉也有助于他们开展信息系统审计工作。

可以预见，随着信息技术以及供应链管理（SCM）、客户关系管理（CRM）的不断发展，企业将在网络的基础上实现其内部与外部的完全整合。当电子商务成为网络经济时代商务活动的核心，企业的物流、资金流和信息流会更大程度地依靠基于网络的信息系统。在这种环境下，信息系统审计的重点将是对网络系统的审计，这主要包括：对网络系统的开发进行审计；对企业内部网络和外部网络的功能与控制进行审计；对网上认证机构、网上银行等与电子商务活动相关的单位进行审计等。审计人员还会建立审计网络作为辅助手段对企业信息系统进行网上实时审计，以及建立审计专家系统和采用并行审计技术等。当然，这必将需要所有审计机构和审计人员的共同努力与合作。