论会计系统信息审计.docVIP

论会计系统的信息审计 　　一、引言 　　长期以来，在应用信息技术（IT）过程中，人们总是过多关注其中的技术（T），而缺少对其中的信息（I）给予足够的重视，然而，当人们欣喜地看到IT使会计信息的相关性得以加强之际，又更应当为会计信息的可靠性所受到的威胁深感担忧。为此，COSO的风险管理框架、SOX法案、CIBIT等一系列IT控制规范相继出台，而国际信息系统审计与控制协会（ISACA）发布的诸多标准、指南和程序更是直接将焦点对准组织的信息资产的安全之上。我国《企业内部控制基本规范》和《企业内部控制应用指引18――信息系统》等规范文件的发布，强调信息化环境下的会计信息的安全性与可靠性，随后，财政部于2009年发布的《关于全面推进我国会计信息化工作的指导意见》中，提出未来5~10年会计信息化首要的工作目标，是要建立健全会计信息化法规体系和会计信息化标准体系。国内外诸多IT控制与审计制度的不断涌现，充分说明在构建会计信息化标准化体系之中，当务之急是建立会计信息的生产与传递严密的控制与审计标准体系，为此，笔者在梳理国内外信息审计基本理论的基础上，分析信息审计在会计系统中应用的必要性，进而提出会计系统应用信息审计的若干思考，以求这一工具与方法在我国会计系统中早日得以应用。 　　二、信息审计研究概述 　　对信息审计的研究，主要集中在信息审计的基本概念、基本目标及信息审计的主要内容等方面。 　　（一）信息审计的基本概念 目前，信息审计内涵尚未有一个被理论界认同的概念。美国信息学家D.Ellis（1993）首次将信息审计定义为：“审查已有的信息管理系统，找出问题，提供解决问题的备选方案”（任玉珍，2009），试图将信息审计与信息系统审计合二而一，以求寻找解决问题的方案。布彻南（Buchanan，1998）和吉伯（Gibb）则将信息审计界定为：“对组织信息资源和信息流进行发现、控制和评估，以实施、维护或改进组织的信息管理的过程”，这一定义将信息审计的内容确定为信息资源与信息流两大部分至今影响至深。奥那（Orna，2004）则将信息审计的对象拓展为人、文档和信息，并认为，信息审计是通过对一个组织中的人、文档等的查证，系统地检查信息产生、利用和流动的情况，进而确定其支持目标。英国信息管理协会（Aslib）拓展了信息审计的内容，指出它是参考组织的人员和已有文献，对组织的信息资源、信息流和信息需求等方面进行的系统检查，以确定其对组织目标的贡献程度。我国学者娄策勤和高策（2009）则结合当前新的信息环境和信息理论，将信息审计看作是一种管理工具，认为它是一种发现、解决组织信息管理缺陷的管理工具。黄亦西（2005）也指出，信息审计是为了充分开发信息价值，通过对组织的信息流和信息资源的调查、评估，从而识别组织的信息需求，确定组织的信息环境，并制定相应政策的过程。 　　必须强调的是，信息审计中的“信息”是一个广义信息的概念，包括严格意义上的信息和数据两类。笔者认为，处于IT广泛应用的今天，信息与数据的细分必不可少，它对人们研究信息审计的对象、内容和范围至关重要，因此，笔者将对应于数据审计的信息审计称为狭义信息审计，以括号注明“狭义”。而将涵盖数据、信息的审计视为广义信息审计。 　　（二）信息审计的基本目标 美国学者查菲（Chaffey）和伍德（Wood，2008）指出，信息审计是用来评价当前信息质量和管理行为的水平，即“是什么”的问题。它也可作为一种状态分析的工具，用以协助构建信息政策和评价信息战略的目标是否已经实现，将信息审计看成是信息质量与管理不可或缺的工具。赖茂生（2005）认为，信息审计的目的是为了实施、维护或提高组织机构的信息管理。胡善勤则从IT视角出发，指出用以记录网络上各计算机行为的信息审计，其目标有两个：一是可定期对各种网络行为进行采集、统计和分析等，发现存在的漏洞并及时修补；二是在发生安全事故后可以进行信息分析，找到事故原因，进而采取相应的措施。可见，信息审计的根本目标，主要在于提升信息质量，由于信息质量的优劣首先取决于信息资源对企业实现目标所作的贡献，故而在当前情况下，信息审计所面对的必然是企业的IT系统（如ERP系统），基于IT视角可使人们进一步明确信息审计目标，并为企业IT环境确定信息审计的内容与范围。 　　（三）信息审计的主要内容 随着IT应用的深入，众多学者认为，不应把信息审计看成是一种选择，而是达到确定信息资源的价值、功能和用途，以便充分开发其战略价值的必要步骤。信息审计包括信息资源和信息需求两大内容，但它是否也应包括信息流则是众说纷纭。鉴于信息流审计和信息流程重组中的众多理论和流程具有相似性，有些学者认为信息流审计不应归属于信息审计范畴之内（高策，2009）。笔者认为，处于IT应用的初始阶段，将信息流纳入信息审计的主