计算机审计与信息系统审计之比较,本文主要内容关键词为:信息系统论文,计算机论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
计算机审计(Computer Auditing)与信息系统审计(Information System Audit,简称IS审计),前者约定俗成,后者势在必行,但两者在我国的学术研究与实践应用中长期模糊不清、难舍难分,这不仅不利于我国审计工作的开展,同时也可能影响我国审计信息化的发展。本文拟通过两者的产生与发展、基本概念与审计目标、适用准则与审计技术等方面的比较,厘清两者的主要区别,以求它们在我国取得并行不悖的发展。
一、两者的产生与发展过程比较
在计算机审计与IS审计产生之前,电子数据处理(Electronic Data Processmg,EDP)审计早已存在。可以说,EDP审计是计算机审计与IS审计的前身与发展的基础。
(一)EDP审计的产生与发展
EDP审计不仅是指电子数据处理环境下的审计,还包括对电子数据处理系统的审计。F Kanfuman(1961)、APinkney(1966)、T W.Merae(1976)、Joseph Sardinas(1987)、W.ThomasPoter和William E Perry(1987)等学者都从不同的角度对EDP环境中内外部审计规则和组成方法、EDP审计的测试方法、特殊审计技术、审计步骤等方面展开深入研究。1968年美国注册会计师协会(AICPA)出版的《会计审计与计算机》一书,详细阐述了在EDP环境下如何开展IS审计和传统的外部审计。而作为信息系统审计与控制协会(IASCA)的前身,成立于1969年的EDP审计协会(EDPAA)及其属下的EDP审计师基金会(EDPAF)25年间一直使用EDP一词。至今,EDP审计与IS审计仍有并驾齐驱之势。例如,在Jack.J.Champlain所著的《审计信息系统》(第2版,2003)一书中,仍然将EDP审计师与IS审计师相提并论。
从诸多文献资料分析,EDP包含两种含义,一为环境说;二为系统说。作环境说,诚如国际审计准则15指出:“为了国际审计准则的目的,当一个单位对与审计有重要意义的财务资料的处理,包含有任何类型或大小的计算机时,就存在着电子数据处理的环境”。面对这一环境进行审计的审计师也就是EDP审计师。而作系统说,则更多是指计算机信息系统,以该系统作为审计对象必然会改变审计的总体目标和范围,因而也才有应运而生的信息系统审计与控制协会及其单独发布的审计标准、指南和程序,以及由此产生的IS审计师。
表1 三种研究倾向统计表(1980年至2008年)
(二)计算机审计的产生与发展
有关计算机审计的研究,在国外参考文献中并不少见。例如,Andrew D Chambers(1984)、Javier FKuong(1987)和S.Rao Vallabhaneni(1989)等学者,均围绕计算机审计的安全与内部控制、相关技术、内部控制的实施等加以论述。值得注意的是,在各职业组织所发布的有关标准、指南或程序中,却鲜有使用计算机审计一词,如美国注册会计师协会(AICPA)发布的《计算机辅助审计》(1978)和取代SASNo.3号(1974)的《审计标准说明书第48号》(SAS.No.48,1984),国际内部审计师协会20世纪70年代发布的《系统控制与审计》,加拿大执业会计师协会(CICA)两次发布的《计算机控制和工作指南》(1970,1986),以及加拿大审计标准委员会颁布的《EDP环境下的审计——一般原则》(1984.)等等,也都较少采用“计算机审计”一词。
在我国,有关计算机审计研究经久不衰。在20世纪80年代,我国学者往往将其与国外的EDP审计相联系。例如在对Poter和Perry(1987)合著的《EDP:Controlls And Auditing(第5版)》翻译中,李大庆和乔勇等学者(1990)就将其直接译为《计算机审计》。我国学者潘晓江(1983)较早针对我国会计电算化提出审计应采取的充分发挥人在控制中的主导地位、注意实行数据可靠性控制和注意保留必要的审计线索三大措施。从20世纪90年代至今,我国以“计算机审计”为题的研究成果颇丰。据笔者不完全统计,这类教材和专著已逾30本,较早的作者有肖泽忠(1990)、陈婉玲(1990)、李长旭(1990)等。
我国审计机关无论是关于计算机应用的规定,还是组织系统内有关专家进行研究,也多以计算机审计为题加以进行。例如,审计署1993年发布的《审计署关于计算机审计的暂行规定》和1996年发布的《审计机关计算机辅助审计办法》等。邱胜利和张玉(1990,1993)、董化礼(2002)、刘汝焯(2004)、国家863计划审计署课题组(2006)等,也都以计算机审计为题展开研究。
(三)IS审计的产生与发展
对IS审计贡献最大的莫过于国际信息系统审计与控制协会(Information System Audit and Control Association, ISACA)。1994年,ISACA替代了原有电子数据处理审计协会(EDPAA)。至2008年2月止,该协会已经发布了16个审计标准、39个审计指南和11个审计程序。而其于1996年发布的信息和相关技术控制目标(Control Obiective for information and RelatedTechnology,COBIT)已经成为全球公认的、权威的信息技术控制目标体系。同时,该协会每年还举办IS审计师资格考试,有力地推动了世界范围内IS审计的发展。
日本通产省于1983年发布了《系统审计标准》,并在全国软件水平考试中增加“系统审计师”一级的考试。1985年,日本内部审计师协会在其所发布的《审计白皮书》中认为,内部审计师的最新发展是“IS审计”。另据IIA对美国和英国的调查,被调查企业中实施MIS审计的企业所占的比例各年分别为:1968年48%,1975年60%,1979年65%。而1983年再对这两个国家1687个内部审计部门的调查中显示,已有70.8%的企业在进行MIS审计。
由于我国从一开始就将电算化会计信息系统确定为计算机审计对象,致使人们将其等同于IS审计的审计对象。同时,学者们也往往将IS审计与IT审计等同视之。如胡克瑾(2002)在其《IT审计》专著中指出,IT审计是指对以计算机为核心的信息系统的审计。李丹(2003)也认为,“信息系统审计也称为IT审计”。
(四)从国内研究现状看两者的发展
借助有关学术论文的统计数据,也许可以发现我国学者对计算机审计与IS审计的研究偏好与倾向。笔者以“计算机审计”、“信息系统审计”和“电算化审计”作为关键词进行检索。采用“篇名+年份+全部数据+全部期刊+精确匹配”为检索条件,对中国期刊网的期刊数据库各年进行检索,以下是检索结果统计表(见表1)。
在表1对29年来发表论文统计中,三种研究倾向的论文总数为696篇,其中,有关计算机审计的研究论文占了61.93%,而在近五年这一研究倾向论文也高达219篇,占近五年全部论文总数的58.40%,无论处于哪一时间段,研究计算机审计的论文占三种研究倾向论文总数的比例均超过50%。而研究信息系统审计的论文在2003年及以前的24年中仅有44篇,近五年则有101篇,其平均每年有20篇,尤其是近三年更呈递增趋势。但其各年所发表的论文数均明显低于计算机审计研究倾向的论文数。至于电算化审计研究方向,由于它与计算机审计、信息系统审计两个研究方向有重复之嫌,故近年来呈下降趋势,在未来研究中它可能被计算机审计和信息系统审计两个研究方向所替代。由表1也同时看到,我国在继续对计算机审计进行研究的同时,亟须加快对信息系统审计的理论与实务研究。
二、两者的基本概念、审计目标与审计内容比较
计算机审计与IS审计的本质区别,首先见之于基本概念、审计目标与审计内容等三个方面。因此,了解两者在这三个方面的区别与联系,有利于今后开展相关理论研究与应用研究。
(一)基本概念的比较
1.计算机审计的基本概念。日本会计检察院计算机中心认为,计算机审计有两方面的含义,一是对计算机系统本身的审计,包括系统安装、使用成本,系统和数据、硬件和系统环境的审计;二是计算机辅助审计,包括用计算机手段进行传统审计用计算机建立一个审计数据库,帮助专业部门进行审计。
我国学者对计算机审计的理解与上述基本一致。肖泽忠(1990)认为:“计算机审计是审计人员用手工的或电算化的审计方法、技术和程序对电算化或手工信息系统进行的审计”(以下简称为“二方观”)。陈婉玲(1990)、刘志涛(1990)、詹航恩和张蒙生(1993)、李学柔和秦荣生(2002)也都表达相同的观点。李长旭(1990)则认为,计算机审计是针对会计核算电算化而言的,即凡是对实现会计核算电算化的企业进行的审计都可称为计算机审计(以下简称为“一方观”)。
综观国内外学者对计算机审计的诸多论述,多数学者将计算机审计作为一个广义的概念,认为计算机审计包括两个方面,一是将计算机系统作为审计的对象;二是将计算机作为审计的工具。
与计算机审计的基本概念相近的还有“电算化审计”,它同样具有“二方观”与“一方观”。朱荣恩和徐建新(1986)根据英国《审计研究》(1982年版)的资料编译并发表题为“发展中的电算化审计”中指出,电算化审计是“评价、控制会计电算化信息系统”的审计。王军等(1995)多数学者赞同这一观点。袁树民等(1995)则持“二方观”,其基本概念与计算机审计无异。
2.IS审计的基本概念。IS审计至今尚未形成统一的概念。Ron Weber在《信息系统审计与控制》一书中指出,IS审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。日本通产省情报协会对1S审计定义如下:“为了信息系统的安全、可靠与有效,由独立于审计对象的IS审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IS审计对象的最高领导,提出问题与建议的一连串的活动”。而我国学者也普遍认为,IS审计是由专业审计人员根据IS审计准则及相关规定,对信息系统的计划、研发、实施,以及运行维护等各环节所进行的审计,以保证被审计信息系统安全、稳定和有效,同时,它还将根据审计结果对被审单位提出改进建议。
应当指出的是,在我国审计署和财政部发布的诸多准则与通则中,“信息系统”一词尚未达到统一规范的表述。例如,审计署发布的《审计机关计算机辅助审计办法》(1996),将信息化的信息系统称为“计算机应用系统”,财政部发布的《独立审计准则20——计算机信息系统环境下的审计》,则为“计算机信息系统”,而《审计准则第1211号了解被审计单位及其环境并评估重大错报风险》中则称之为“财务报告信息系统”、“信息技术系统”、“信息系统”和“自动化信息系统”等不同的用语。在新《财务通则》第八章的信息管理中,则将信息系统定义为:“财务业务一体化信息处理系统,也称为财务管理信息系统或者管理型财务软件”。尽管我国对各类信息系统诸多的不同表述有待统一,但它们都是指信息化的会计信息系统则是毫无疑义的。
(二)审计目标与审计内容的比较
1.计算机审计的审计目标与审计内容。国际审计准则(ISAs)第401号《计算机信息系统环境下的审计》(2004)指出:“在计算机信息系统环境下,并不改变审计的总体目标和范围”,我国的《独立审计具体准则第20号——计算机信息系统环境下的审计》(1999)也指出:“注册会计师在计算机信息系统环境下执行会计报表审计业务,应当考虑其对审计的影响,但不改变审计目的和范围”。鉴于我国对计算机审计的“二方观”认识,其审计目标也包括两个方面:一是具有提高执行经济业务和会计信息处理的计算机系统的合法性、正确性和安全性;二是加快审查速度、扩大抽查范围、提高审计效率和审计质量的双重目标(陈婉玲,2002)。与之相适应,计算机审计内容也就相应包括两个方面:一是包括对信息化会计信息系统的开发设计、数据输入、处理和输出进行审计;二是加快审计信息化的步伐,建立信息化的审计网络体系。随着市场经济的迅速发展,在国务院办公厅《关于利用计算机信息系统开展审计工作有关问题的通知》(国办发[2001]88号)中也明显指出,“简单地讲,计算机审计包括:对计算机管理的数据进行检查;对管理数据的计算机进行检查”。可见,计算机审计的审计内容主要是面对数据(会计数据等)的检查,而对管理数据的计算机进行检查,则是借助于信息系统鉴证以获取处理数据是否正确性的判断。
2.IS审计的审计目标与审计内容。IS审计目标比较明确,它是指对信息系统的资产保护,信息系统的可用性、安全性、完整性和有效性发表审计意见。由于IS审计的审计对象是被审单位的信息系统,因此决定其审计内容包括:(1)信息系统的管理、规划与组织;(2)信息技术基础设施与操作实务;(3)资产的保护;(4)灾难恢复与业务持续计划;(5)应用系统开发、获得、实施与维护;(6)业务流程评价与风险管理。上述诸多的审计内容,以及日益纷繁复杂的信息系统,也迫使我们在IS审计之际不能不采用单独的审计准则体系和更多的计算机辅助审计技术。
三、两者适用准则及采用技术比较
由于计算机审计与IS审计的审计目标、审计内容的不同,决定了前者面向数据审计的特点与后者面向系统审计的特点,由此也就使各自的审计准则和审计技术各不相同。
(一)适用准则的比较
如上所述,计算机审计目标与内容决定其相关准则的多维性。这可以从国际审计准则15、16和20等内容加以了解。这些相关规定大多提及EDP环境,虽然也不免涉及系统审计,但却主要是针对财务报表等资料加以规定的。同时,它们也并非专门针对IS审计。我国的审计署、中注协、国务院办公厅从1993年至2007年,陆续发布诸多与计算机技术应用有关的规定,究其实质,也都侧重于财务会计数据审计而非单独针对IS审计的。
表2 国内外已发布的计算机审计与IS审计相关准则体系比较
与计算机审计的上述规范相比,IS审计内涵、审计准则、职业组织、执业主体等则十分明确。以审计标准为例,截至2008年2月,国际信息系统审计与控制协会已发布16个审计标准,包括审计章程、审计独立性、职业道德和标准、职业能力、审计计划、审计工作的执行、审计报告、后续工作、违规和非法行为、信息技术管理、审计计划中风险评估的应用、审计实质性、使用其他审计专家的工作成果、审计证据、信息技术控制、电子商务等。可喜的是,我国内部审计协会发布并于2009年1月1日施行的《内部审计具体准则第28号——信息系统审计》围绕总则、一般原则、审计计划、信息技术风险评估、信息系统审计的内容、信息系统审计的方法、审计报告与后续工作等方面对内部审计中的信息系统审计加以规定。虽然这一具体准则与国际信息系统审计与控制协会已发布的审计标准尚有一定的距离,但它毕竟首开我国信息系统审计准则制定之先河。以下是国内外已发布的计算机审计与IS审计相关准则体系的比较(见表2)。
(二)采用的审计技术与工具比较
从当前相关文献来看,有关计算机审计技术介绍比较宽泛,而有关IS审计技术则有针对性强的特点。笔者认为,从信息与信息系统的“产品”与“生产工厂”的关系看,两者在审计过程中是紧密联系的。只有当产生信息的系统本身具有可靠性时,审计师才能初步确信该系统产生信息的可靠性。而为了鉴证系统的可靠性,IS审计师往往通过检测被审系统输入、处理与输出数据与信息来加以鉴证,其有效性不言而喻。鉴于计算机审计与IS审计两者的审计目标的不同,两者采用审计技术与工具也就有所不同。以下是笔者根据国内、外有关文献对两者采用技术与工具的归纳:
1.两者共同采用的技术与工具。主要有:测试数据法、追踪法、综合测试工具(ITF)、平行模拟法、嵌入审计模块法、流程图检查法、审计软件法、程序编码审查法、程序比较法等。
2.两者各自采用不同的技术与工具。其中,计算机审计技术主要有:受控处理法、受控再处理法、漏洞扫描与入侵检测、利用数据管理系统辅助法、利用操作系统和实用程序法、利用被审系统辅助法和利用电子表格辅助法等。IS审计技术主要有:基本案例评估法、系统控制审计复核文件(SCARF)、快照法、审计钩(hooks)、连续与间歇模拟(CIS)、延展性记录法等。
四、结论
计算机审计与IS审计无论是其产生与发展,还是其基本概念、审计目标、审计内容,抑或是其适用准则与采用的审计技术,都有着很大的区别。但两者在我国审计发展过程中却有其特定的地位与作用。以信息化会计系统的财务数据为审计对象的计算机审计,在当前广泛开展财务报表审计过程中对其展开研究仍然有着重要意义。同时,它所强调的审计信息化建设使其“二方观”能够进一步发扬光大。可以预见,随着环境的变化与信息技术应用的深入,计算机审计的内涵与外延也必将得以深入与拓展。
成功地开展我国的IS审计,是我国审计走向世界的必由之路。上市公司根据COBIT框架实施内部控制已是大势所趋,大、中型企业也必然紧随其后,由此也就决定了IS审计的势在必行。透过IS审计师资格考试的内容使我们看到了IS审计对知识与技术要求的高难度,尤其是近年来对某些企业单位的IS审计之实践更使我们感到任重而道远。因此,起步伊始的我国IS审计,倘一开始就能够借鉴国外先进的经验,追踪国际惯例,并针对国情提出自己的发展对策,无疑可以健康发展。
计算机审计与IS审计两者绝非泾渭分明,而两者究竟应当遵循哪些审计准则,是近期内我国应当重点研究的问题。诚然,从技术的角度看,国际IS审计标准、指南和程序已经日臻完整和成熟,我国似无另起炉灶之必要,但由于我国企业单位种类繁多,许多内外环境与国外迥然不同,如果没有切合国情的部门规章和规范性文件对IS审计加以指导,则可能欲速不达。因此,应当结合我国IS审计的现实状况,根据实践经验、具体业务流程和技术方法分期发布相应规章与规范性文件,逐步规范我国的IS审计。
标签:审计师论文; 计算机审计论文; 审计准则论文; 信息系统审计师论文; 审计软件论文; 审计计划论文; 审计质量论文; 审计目标论文; 控制环境论文; 会计与审计论文; 审计方法论文; 审计职业论文; 信息系统规划论文; 电脑论文; 准则论文;