从企业信息化进程看信息系统审计发展.docVIP

从企业信息化的进程看信息系统审计的发展 “信息系统审计”是近些年来在中国出现的一个新名词。单从字面上看，“信息系统审计”与“信息系统”和“审计”有关，但对于它究竟是做什么的，绝大多数人都没有一个明确的概念。而在国外，尤其是在美国、日本、英国、加拿大等发达国家，信息系统审计已经发展到相当程度，信息系统审计的理念也已深入人心。从国外信息系统审计的发展历史来看，它是与企业信息化的过程紧密联系的，是企业信息化的必然要求。 在计算机没有出现之前，信息系统是以人为基础的，信息的收集、处理、传递和存储都是由人来完成的。随着计算机的出现以及信息技术的进步，以计算机为基础的信息系统也得到了不断发展，并且主要应用于经济管理活动之中。企业以信息系统和信息技术为基础，改变自己的财务、经营管理等活动，以此来更好地实现企业的目标。在这一过程中，传统的手工审计方式受到了极大的影响；同时，企业的信息化也引发了很多企业和社会的问题。正是这些影响和问题促使信息系统审计不断发展。 1954年，通用电气公司利用计算机进行工资计算成为基于计算机的企业信息系统应用的开端。这一时期，企业对计算机的作用有了初步的认识，并尝试着引进了少量的计算机数据处理系统，应用于财务、统计、库存等方面以替代人进行计算工作。由于第二代晶体管计算机的出现和信息技术的发展，到了20世纪60年代，计算机的应用开始蔓延到企业大多数部门，这些部门独立开发了简单的系统，用来改善部门事务处理的效率。这时出现了数据处理部门。企业的经营管理方式发生了显著的变化，尤其是企业会计信息处理实现了电算化即计算机化。纸质会计凭证的电子化使得审计人员在开展传统审计业务的过程中不得不关注电子数据的取得、分析、计算等数据处理业务。那时人们开始称这种审计为电子数据处理审计（EDP审计）或计算机审计。为了解决会计师在新环境中开展审计工作时所面临的问题，美国等发达国家的注册会计师职业组织对电子数据处理环境下如何开展内部和外部审计进行了大量的研究并取得了引人注目的成果。1969年，电子数据处理审计师协会（EDPAA）在美国洛杉矾成立。这个协会下设的电子数据处理审计师基金（EDPAA）负责研究当时情况下一个胜任的信息系统审计师应该具备哪些类型、什么水平的知识，并将其主要研究成果收录成书。总体来讲，这一时期社会对信息系统审计的认识不够，信息系统审计远未普及，审计人员本身也缺乏对信息系统的知识。 20世纪70年代，随着计算机系统的继续发展，计算机在企业中得到了更广泛的应用，电子数据处理在企业间普及。企业开始关注计算机应用带来的成本和效益问题，并注意召集各部门人员共同对信息系统的建设和发展进行规划。数据库管理技术的逐渐成熟使得企业可以解决因各部门独立开发数据处理系统所带来的数据冗余和数据很难共享等问题；60年代中期发展起来的管理信息系统得以广泛应用于企业，使企业可以从整体目标出发，对各项管理信息进行系统和综合的处理，来为企业的管理决策服务。计算机以及信息系统在企业的普及使得这一时期利用计算机进行欺诈舞弊的犯罪事件不断出现，如1973年1月美国“产权基金公司”的保险经营商就利用计算机诈骗了数亿美元。这些事件让负责对实施欺诈的公司进行审计的注册会计师事务所在经济和信誉上都遭受了巨大的损失，美国审计界开始重视信息系统在企业的应用给审计工作带来的风险，并对电子数据处理审计的标准、计算机系统内部控制设置与评审、计算机审计方法、计算机辅助审计技术和工具（CAATT）等问题进行了详细的研究。日本也派人到美国进行考察，以借鉴美国的经验研究如何在日本开展信息系统审计工作。 进入20世纪80年代，网络和通讯技术迅速发展。企业业务的发展使得企业必须把其本地的信息系统和外地分支机构的信息系统互联互通，以共享信息等资源；同时，企业更注重从战略目标出发，建立一个支持全企业的集成信息系统，来实现管理控制上的统一和协调。闭环物料需求计划（闭环MRP）系统和制造资源计划（MRPⅡ）系统相继在企业中广泛应用，企业的物流和资金流实现了集成。这样，业务系统数据能够向财务会计信息系统自动转换和传送，企业可以随时控制和指导生产经营活动，使其与企业战略目标相符合。由于这时财务数据的采集是由整个信息系统实时完成的，在进行财务审计时，必须考虑信息系统的安全性、可靠性和效率，以保证信息的真实和可靠。随着社会对信息系统的依赖性普遍增强，利用计算机犯罪的案件也不断增多。如日本仅1982年一年利用磁卡欺诈犯罪的案件数量就相当于该年之前确认的所有计算机犯罪案件之和；在美国，仅1987年因公司之间间谍利用信息技术窃取公司系统中的信息所造成的损失就高达500多亿美元。这些都说明信息系统的防范体系还很不充分。越来越多的人认识到了信息系统审计的重要性。审计师们开始利用先进的工具和技术，研