信息系统审计理论结构研究,本文主要内容关键词为:信息系统论文,理论论文,结构论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
面对IS审计的强烈需求,国内外的很多机构和学者都做了大量的研究,但是到目前为止,国内外对于IS审计理论的研究存在滞后性,而且普遍缺乏系统性、规范性,这严重制约了IS审计理论的发展,也影响了IS审计实务的开展。因此,本文着重从系统论的角度来研究IS审计理论,提出了IS审计理论结构,以期创造出规范化与系统化的IS审计理论,保证IS审计实务的全面、有效开展。
系统论认为,任何系统(事物)的存在必然有其内在结构。审计理论也有其内在结构,IS审计是审计领域的一个新分支,自然也有其理论结构,这就是本文所说的IS审计理论结构,即IS审计理论的组成部分(要素)以及各部分(要素)之间的内在作用方式和组合方式。
本文借鉴蔡春教授提出的审计理论结构,从审计的本质出发来构建审计理论结构体系,提出了如图1所示的IS审计理论结构六要素模型。
图1 IS审计理论结构六要素模型
一、IS审计的本质
国内外一直没有明确IS审计的本质。1985年,日本通产省情报协会给出了IS审计的定义:由独立于审计对象的IS审计师站在客观的立场,对以计算机为核心的IS进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用和故障排除,使系统更加健全。1996年,日本通产省情报协会修订了这个定义,即IS审计是为了IS的安全、可靠与有效,由独立于审计对象的IS审计师以第三方的立场,对以计算机为核心的IS进行综合的检查与评价,向IS审计对象的最高领导提出问题与建议的一连串活动。
1999年,美国的RonA.Weber出版了《信息系统控制与审计》一书,认为IS审计是一个获取证据,对IS是否能保证资产的安全、数据的完整以及是否有效地使用了组织资源并有效地实现了组织目标做出评价和判断的过程。很多著作和学者的研究都只是徘徊在IS审计本质的周围,研究IS审计的内容、作用、意义、过程、方法和技术等,很少有真正针对IS审计的本质加以深刻解析的。
我们对以上三个有代表性的定义加以分析可以发现,日本通产省情报协会1985年的定义虽然强调了IS审计的独立性、明确了IS审计的对象和IS审计的内容,但是因当时的技术环境和IS应用的局限性,这个定义没有提到IS的安全性等重要问题。1996年的修正定义已经开始强调IS的安全、可靠和有效,并指出IS审计是一种综合性的审计,而且这个定义认为IS审计要向领导层指出问题,给出建议。但是这个修正定义没有清楚指明IS审计的目标,缺少审计师的专业判断这一重点。目前比较容易接受的是RonA.Weber的定义,它明确了IS审计的目标、内容。但是笔者认为,RonA.Weber的定义仅从一般方法、过程的角度研究IS审计的本质,侧重于对IS审计的表面过程、现象加以描述,没有揭示IS审计的本质。审计科学明确了受托经济责任与审计是密不可分的,IS审计是审计领域的新分支,有着与一般审计共同的本质,因此笔者认为受托经济责任才是IS审计的本质。
笔者认为,IS审计是合理保证与IS有关的受托经济责任的全面有效履行的一种控制机制。这个定义揭示出:①IS审计不仅要合理保证受托经济责任中行为责任的有效履行(安全性、可靠性、效率性、有效性等),还要合理保证受托经济责任中报告责任的有效履行。②IS审计的控制本质。IS审计不仅仅是做出判断的过程,它本质上是—种控制机制,意在通过取证、评价和判断来促进反馈和纠偏,这一定程度上体现了控制的本质。
二、IS审计假设
从目前来看,还没有人正式提出过IS审计假设,笔者借鉴蔡春教授的审计假设观,构建了IS审计五项假设:
(1)责任关系假设:与IS相关的受托经济责任的存在是审计产生的基本前提。正如企业受托经济责任产生企业(财务)审计、公共受托经济责任产生政府审计一样,与IS相关的受托经济责任产生IS审计。而且这种受托经济责任的认定与解除由独立的第三方的IS审计来实现。
(2)正当怀疑假设:因为信任,所以有受托经济责任,因为受托经济责任的履行过程及状况有值得怀疑之处,所以需要有审计来保证其全面、有效履行。正当怀疑假设明确了IS审计的直接原因,明确了实施IS审计的目标并提供了依据。
(3)可确认假设:假定与IS相关的受托经济责任的履行状况可以通过收集、评价相关证据及验证相关信息而得到确认。正因为与IS相关的受托经济责任的履行状况是可以确认的,制定IS审计准则、收集与评价IS审计证据、实施审计过程才有了实际意义。
(4)独立性假设:这是IS审计的灵魂。非独立、客观的IS审计是完全没有价值的。正因为如此,现行的公认审计准则和审计职业道德中才有了关于独立性要求及道德行为的规定。
(5)有效性假设:假设IS审计师和管理部门之间不存在必然的利害冲突,即使存在,也可以避免或不至于妨碍IS审计的有效实施。
这五项假设相互联系,互为一体,共同构成了IS审计理论与实务的基本前提与条件。责任关系假设确立了IS审计存在的基本前提;正当怀疑假设解释了实施IS审计的直接原因;可确认假设提供了实施各种IS审计手段的基本依据;独立性假设确立了IS审计的本质特征;有效性假设则为有效实施IS审计提供了坚强后盾。
三、IS审计的目标
从系统论来看,IS审计的目标是由一个目标体系中不同层次的目标共同组成的。笔者认为IS审计目标体系由总体目标、具体目标组成(如图2)。
图2 IS审计目标体系
IS审计的总体目标是:对与IS相关的受托经济责任的全面、有效履行做出合理保证。因为受托经济责任包括行为责任和报告责任,所以相应的审计目标应该考虑这两个方面。在行为责任方面,IS审计要按照保全性、合法(规)性、经济性、效率性、效果性和社会性以及控制性来经管该受托经济责任。在RonA.Weber的定义中,强调的IS安全性、可靠性、有效性和效率性都是IS审计对部分行为责任的保证。行为责任中的社会性要求IS的相关行为必须符合社会需求,符合社会利益并为社会做出贡献;行为责任中的控制性要求经管人建立控制系统对经管行为实施严密控制,也就是对IS系统的全生命周期实施严密控制。这一点,在目前的SOX法案中已经得到了体现。同时,SOX法案也对受托经济责任(包括与IS相关的受托经济责任)的报告责任作了严格的规定。
四、IS审计规范
IS审计不仅仅是技术实施的过程,更是一个社会过程,因而它遵循特定的技术性规范和社会性规范。IS审计的技术性规范是指IS审计职业技术标准,即IS审计标准;IS审计的社会性规范主要是指IS审计职业道德规范和法律规范,即IS审计道德标准和法律标准。
图3 IS审计规范
美国注册会计师协会下属的美国审计准则委员会一直关注IT对独立审计的影响,早在1972年就发布了SASI对EDP系统的审计做出了规定,以后又陆续发布了近20条规定,对信息技术环境下的内部控制及其评价、审计证据的收集、审计计划与审计监督等做出了规范。
国际会计师联合会下设的国际审计实务委员会对计算机IS环境下的审计的研究较早,先后公布了一系列的相关准则。到目前为止公布了6个相关的国际审计准则,分别就单机、联机和数据库系统下的电子数据处理环境对会计制度和相关的内部控制的研究和评价产生的影响做出了补充规定。
最高审计机关国际组织1992年发布了审计准则(AS),在AS2.AS12、AS144、AS153等中对IS审计做出了规定。
澳大利亚特许会计师协会也于1995年颁布了一系列关于IS审计的指南,包括对数据库系统、网络计算机系统等的审计。
我国审计署于1996年12月颁布的《审计机关计算机辅助审计办法》,是我国最早的关于计算机辅助审计的准则文件。中国注册会计师协会于1999年2月颁布了《独立审计具体准则第20号——计算机信息系统环境下的审计》,指出了在计算机信息系统环境下审计的一般原则、计划、内部控制研究、评价和风险评估以及审计程序。
目前得到普遍认可的IS审计准则是美国IS审计与控制协会(ISACA)推出的一系列IS审计准则、职业道德准则等规范性文件。1997年7月25日,ISACA发布实施了IS审计准则,其由IS审计准则(8大类共12条)、审计指南(共20条)和审计程序(共2条)三个层次的准则组成,并随着环境的变化不断加以修订。ISACA除了对IS审计的技术性方面作了规范以外,还颁布了IS审计师职业道德准则(共10条),要求ISACA会员和持有注册信息系统审计师证书的人员必须遵守。
在法律标准方面,各国也在积极颁布一些法令。我国关于IS审计的法律依据主要有修订后的国办发[2001]88号文件《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》和《审计法》等。这些法律法规的出台为审计部门对被审计单位的IS开展审计工作提供了法律依据。在具体的IS审计项目中,IS审计师除了要根据审计准则及相关法律法规进行审计,还要遵守职业道德。如在金融审计中,对银行信贷业务系统开展审计,就要将《公司法》、《担保法》、《票据法》、《商业银行法》等行业法律法规作为具体的审计依据来对相关审计事项进行检查和评估。
五、IS审计信息
目前很多的研究都将IS审计过程、IS审计方法和技术作为IS审计理论的结构要素。但笔者认为,从信息论和控制论的角度来看,IS审计信息的质量体系对IS审计采取的方法和技术、对IS审计师的能力以及IS审计的过程做出了规定,因此IS审计信息是决定性的结构因素。
IS审计信息要能够有助于IS审计目标的实现,IS审计信息必须具备相应的质量特征:①真实性。要求保证IS审计活动的独立性,也强调审计师必须保持应有的职业谨慎,认真做好审计证据的收集、检查和筛选工作。②相关性。要求IS审计活动的内容必须广泛,囊括所有与受托经济责任相关的活动。比如,IS审计不能只对IS这一对象进行审计,还应包括IS涉及的所有相关对象(人员、信息、应用软件和基础设施)以及与IS相关的内部控制(一般控制和应用控制)。③及时性。及时性越强的信息,效用越大,审计信息也是如此。相对于财务审计的事后审计而言,IS审计更强调事前、事中和事后的三类审计。要让委托人和受托人都能及时得到与IS状况相关的信息,以便于做出正确的判断。④明晰性。是指IS审计的表达必须明确、简洁、清晰、易于理解。为了满足这一要求,IS审计师要有一定的文字写作能力,IS审计报告的结构和措词必须规范化、标准化,所有IS审计判断与意见的表达必须准确、简洁和清晰。⑤有效性。为了实现有效性,IS审计师必须是合格的,必须遵循特定的审计规范,审计判断必须有相关的、客观的证据材料。
六、IS审计控制
目前,国内外的IS审计的种类越来越多,本文系统地将其分成了6种,如下表所示。
管理角度 1)管理计划与IS组织
IS的构成
技术角度 2)信息技术基础与操作实务
正常情况 3)信息资产的保护
IS的控制与安全
非常情况 4)灾难恢复与业务持续计划
(5)业务应用系统的开发、获取、实施与维护
(6)业务流程评价与风险管理3
上表中:①管理计划与IS组织。评价IS的管理、计划与组织方面的策略、政策、标准、程度和相关实务。②信息技术基础与操作实务。评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标。③信息资产的保护。对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。④灾难恢复与业务持续计划。这些计划是在发生灾难时,能够使组织持续开展业务,对这种计划的建立和维护流程需要进行评价。⑤业务应用系统的开发、获取、实施与维护。对应用系统的开发、获取、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。⑥业务流程评价与风险管理。评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。
随着IS审计实务开展的不断深入,信息系统审计理论研究的相对薄弱和滞后使其遭遇“瓶颈”。本文尝试着对IS审计理论结构各要素做了一些有益的探讨,但是IS审计环境与IS审计理论是不可分离的,IS审计理论和实务诞生于IS审计环境中,也必将随之得到不断的发展。因此,我们必须要用动态的、辩证的眼光来研究IS审计理论。
标签:审计师论文; 信息系统审计师论文; 审计计划论文; 审计质量论文; 控制环境论文; 审计准则论文; 注册审计师论文; 审计目标论文; 系统评价论文; 组织环境论文; 审计职业论文; 审计方法论文; 审计流程论文; 经济学论文;