浅析信息系统审计及其现状.doc

浅析信息系统审计及其现状摘 要：随着信息技术的发展，信息系统审计在我国审计事务中得到了不断的推进，文章通过对信息系统审计的相关概念及其现状的比较分析，以期进一步为信息系统审计发展提供参考 关键词：信息系统审计信息技术现状 国内外学者对于信息系统审计及其相关概念缺乏统一的认识，因此有必要厘清信息系统审计及其相关概念。现代审计的主流是以财务报表审计为代表的对信息的检验，对信息系统审计研究的文献极其有限，且缺乏对信息系统审计研究的文献的梳理与评说。同财务审计相比，信息系统审计在审计目标、审计内容等方面存在着不同之处 一、信息系统审计 信息系统审计（Information System Audit，ISA）是目前常常提到的概念，一般理解为对计算机系统的审计，信息系统审计的国际权威组织――国际信息系统审计和控制协会给信息系统审计作了如下定义：信息系统审计是收集和评估证据，以确定信息系统与相关资源能否适当地保护资产、维护数据完整、提供相关和可靠的信息、有效完成组织目标、高效率地利用资源并且存在有效的内部控制，以确保满足业务、运作和控制目标，在发生非期望事件的情况下，能够及时地阻止、检测或更正的过程。信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程。对信息系统合法性、可靠性、安全性、有效性和效率性进行审计，对被审单位的信息系统做出科学、合理的评价 信息技术在社会生产各个领域的广泛应用，也使得审计理论界与实务界出现了一系列相关术语。（1）计算机审计，国内学术界对计算机的叫法多种多样，例如信息系统审计、审计信息化、EDP审计等等；有的文献认为计算机审计包括：对计算机管理的数据进行检查；对管理数据的计算机进行检查。根据国内对“计算机审计”一词的使用情况，可以把计算机审计的含义总结如下：计算机审计是与传统审计相对称的概念，它是随着计算机技术的发展而产生的一种新的审计方式，其内容包括利用计算机进行审计和对计算机系统进行审计。由此可见，计算机审计的内涵和IT审计的内涵相似。（2）电子数据审计，电子数据审计是目前审计实务界使用较多的一个术语，对于电子数据审计，目前还没有给出明确的定义，根据目前对该术语的使用情况，电子数据审计一般可以理解为“对被审计单位信息系统中的电子数据进行采集、预处理以及分析，从而发现审计线索，获得审计证据的过程。”（3）电子数据处理审计，电子数据处理（Electronic Data Processing，EDP）审计和电子数据审计是两个不同的概念，电子数据处理审计是信息系统审计的初级阶段，它是指对计算机信息处理系统的开发及其软件、硬件和运行环境进行测试，并评价计算机信息系统数据处理是否准确、真实、安全、可靠、高效，满足企业经营管理的需要。对于电子数据审计和电子数据处理审计这两个不同的概念，在实际应用中，一定要加以区分。（4）持续审计，持续审计（Continuous Audit，CA）是指在相关事件发生的同时，或之后相当短的时间内产生审计结果的一种审计行为。持续审计是同传统期间审计相对应的概念，其本质是审计方法的创新，它强调审计过程的持续性、审计实施的即时性和审计活动的整合性，并且基于例外审计和战略系统审计的理念，要求审计师运用“自上而下”和“自下而上”相结合的手段，对审计对象做出合理的专业判断。（5）计算机辅助审计，如同CAM（Computer-aided Manufacturing，计算机辅助制造）、CAD（Computer-aided Design，计算机辅助设计）等概念一样，计算机在审计领域中的辅助应用被称为计算机辅助审计。中国国家审计署把计算机辅助审计理解为：“计算机辅助审计，是指审计机关、审计人员将计算机作为辅助审计的工具，对被审计单位财政、财务收支及其计算机应用系统实施的审计” 通过以上的分析，笔者认为计算机审计覆盖了计算机辅助审计和信息系统审计两项内容，信息系统审计是计算机审计的组成内容之一 二、国外信息系统审计研究现状 随着信息技术与审计理论的发展，国外信息系统审计大致经历了萌芽、发展、成熟和普及期四个时期 20世纪80年代，计算机犯罪率急剧上升，信息系统的安全防范体制仍很不充分。为适应信息系统审计实务发展的要求，美国EDP审计师协会1981年举办了首次注册信息系统审计师（CISA）资格认证考试，1984年发布的《EDP控制的目标》提出了信息系统的系列控制标准，1987年发布了《信息系统审计的基本准则》（General Standards for Information Systems Auditing）；日本通产省在1982年设立了“计算机安全研究会”，而后发表了《有关计算机安全对策》，19