信息系统审计国内研究综述.docVIP

信息系统审计国内研究综述 摘要：系统地回顾了1999年—2011年国内关于信息系统审计相关文献，并从国外信息系统审计的理论与发展、信息系统审计基础理论研究、信息系统审计应用研究这三个方面对信息系统审计文献进行了述评，最后在文献综述的基础上，提出了对我国信息系统审计研究的启示。 关键词：信息系统；信息系统审计；文献综述 我国对信息系统审计的研究是随着审计事业的恢复而逐步发展起来的。早在20世纪90年代，学术界就开始了这一领域的探索和研究，并取得了一批研究成果。就研究内容来说，国内对于信息系统审计的研究大致可以分为研究国外信息系统审计的理论与发展、信息系统审计基础理论研究、信息系统审计应用研究三类。 1 研究国外信息系统审计的理论与发展 我国的信息系统审计研究相对于国外起步较晚，最初阶段主要是翻译和介绍国外的研究，并对我国的信息系统审计建设作一些指导性的建议。其中比较有代表性的有以下成果： 胡晓明等（2006）系统地研究了cobit4.0标准产生的背景、整体框架以及核心内容，并把它与cobit3rd版本进行了简要对比，就如何以cobit4.0为蓝本，整合商业目标与it目标，指导it治理实践作了一定的分析。他认为实施cobit标准，从it治理的角度为企业管理层提供了一个新的视角，有助于实现it治理目标与商业目标的战略统一。 胡克瑾等（2008）建立了cobit4.1中it过程的通用描述模型，再分别定量考察过程模型的五个元素，得出过程的成熟度。通过对成熟度的汇总分析，得出对组织it治理总体现状的认识，并明确了改进方向；再通过敏感性分析和回溯分析。帮助管理层选择it治理改进方案，细化行动细则。 王会金，刘国城（2009）在阐述cobit模型的基础上，分析了其在中观经济主体信息系统重大错报风险评估中的应用，并从规范审计行为的角度研究了其在完善当前我国信息系统审计准则方面的指导作用。 2 信息系统审计基础理论研究 2.1 关于信息系统审计、计算机审计 我国从一开始就将电算化会计信息系统确定为计算机审计对象，致使人们将其等同于is审计的审计对象。多数学者将计算机审计作为一个广义的概念，认为其包括两个方面，一是将计算机系统作为审计的对象；二是将计算机作为审计的工具。郭宗文等认为计算机审计与传统手工设审计没有本质区别，其目的和职能没有改变同样是执行经济监督智能。而isaca认为信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率的利用组织的资源并有效果的实现组织目标的过程。 2.2 关于信息系统审计与会计信息系统审计 在笔者研究的206篇信息系统审计的文献中，其中有31篇研究的对象是会计电算化审计，占总数的15.0%。会计信息系统审计指“通过一定的技术手段收集并评估证据，以判断一个会计信息系统是否做到安全、可靠和有效，同时又能最经济的使用资源”。所以会计信息系统审计是信息系统审计的一个子集，它只是将广泛的信息系统具体为会计信息系统审计。 国内对于会计信息系统审计的研究集中在技术方法、策略、审计程序方面，孙立辉（2009）提出的审计策略是:将整个会计信息系统分解成为子系统，确定每一子系统的可靠性，并根据每一子系统的可靠性推导出系统总体的可靠性。董霞（2006）、孔春玉（2008），对会计信息系统审计的程序进行了探讨，张福蕊（2004）、郑英雪（2007）、陈瑜（2009）、孙立辉（2009）从互联网角度探讨了会计信息系统审计，马万民（1999）、赵立洋（2008）、史振生（2008）从风险控制角度研究了会计信息系统审计。 3 信息系统审计基本概念研究 国内关于信息系统审计的基本概念研究包括：审计目标、审计对象、内容以及方法。 陈希晖（2010）认为，目前，我国信息系统审计按照目标来分，主要有两种，一种是以信息安全为导向的信息系统审计，意在识别系统的各种安全威胁，使信息系统在一个安全的环境下运行；另一种是以内部控制为导向的信息系统审计，通过分析信息系统的各项指标，找出薄弱环节并有效的控制风险。 我国专家孙强（2003）认为，信息系统审计的对象包括信息安全、数据中心运营、技术支持服务、灾难恢复与业务持续、绩效与容量、基础设施、硬件管理、软件管理、数据库管理、系统开发、变革管理、问题管理、网络问题、通信等，他认为审计的对象会随着信息技术的不断发展将不断扩展。吴晓东（2009）认为，信息系统的对象具有综合性和复杂性，从纵向（生命周期）看，覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务；从横向（各阶段截面）看，它包含对软硬件的获取审计、应用程序审计、安全审计等。 吴沁红（2008）从信息系统构成要素、信息系统生命周期和信息系统管理三个维度来描述信息系统的逻辑结构，进而全面分析和准确定位了信息系统的审计内