信息化时代的IS审计理论结构构建

一、IS审计理论研究的意义

　　信息化建设的突飞猛进给现代审计带来了一种新的范式，有人预言，信息系统审计(Information System Audit，简称IS审计，下同)将成为未 来审计行业和审计技术最为强劲的驱动力最。如今，在很多大型公司内部，IS审计部门已成为一个独立的向组织提供多种服务的部门。尤其是 互联网和电子商务的兴起，更是为IS审计业务带来了无尽的商机，与信息安全相关的防火墙审计、安全诊断、灾难恢复、信息技术认证以及与 ERP相关的新型咨询业务将不断涌现。在实践活动中，IS审计给政府、组织挽回或减少了巨额的经济损失 例如美国各州曾对包括国防部信息系 统、电子政务信息系统等多个国家或非国有的系统进行了审计，提出了包括硬件、软件、安全、人员、组织等多方面的改进建议；我国审计署 驻广州特派员办事处近几年来，在对某国有商业银行省分行进行年度资产负债表及信贷资产质量审计工作中，利用计算机辅助审计，发现了14 家关联企业联合骗贷3亿多元；审计署驻南京特派员办事处在对某商业银行信用卡业务应用软件系统进行审计时，审计查出该软件系统在开发、 设计、运行、维护、管理、控制及核算等方面存在的缺陷与漏洞，并提出了改进对策和建议。IS审计的作用可以概括为，它是一种具有充分和 相关的内部控制的措施；从内部和外部都获得很好保护的安全网络；介于工程再造和控制之间的平衡；适时的起作用的IT安全政策；对IT安全 性的高度警觉和对更好的商业连续性的准备；能获得IT投资上更好回报的方式。

　　有人认为，IS审计只是一个现代社会新兴职业或专业技能的代名词，没有理论研究的必要。我们认为不妥。美国审计专家罗伯特·K·莫茨和侯 赛因·A·夏拉夫指出：“一种职业要牢牢地立足于社会，就必须建立一套成熟的理论体系。否则，它将仅仅是一门实践学，是一种手艺，而不 是一门科学。”大力开展IS审计研究，对于保证信息系统的安全、可靠，维护信息时代的市场经济秩序，为我国信息化建设与发展保驾护航， 具有重大的理论意义和广阔的应用前景。

二、国内外IS审计研究现状及分析

　　2O世纪8O～9O年代以来，由于经济全球化、网络化的影响，信息技术向传统产业的渗透不断提升，IS审计初现端倪。值得关注的是，lS审计理 论研究与实践工作的领导者和主要推动者，国际信息系统审计与控制协会(ISACA，Information System Audit and Control Association)，自 成立3O多年来，推出了一系列IS审计准则、职业道德准则等规范性文件，开展了一定的理论研究，并把焦点集中于信息系统保障、控制、安全 和信息技术管理专业的技术与管理主题上；1996年ISACA 研制了《信息系统及相关技术的控制目标(C0BIT，Control Objectives for  Information and Related Technology)》，建立了控制模型，COBIT在商业风险、控制需要和技术问题之间架起了一座桥梁，打通不同部门、 不同系统之间的障碍，建立通畅的信息贯通渠道L4 ；1998年ISACA 又创立信息系统管理协会(IT Governance Institute)。目前已有170多个分 会遍布在全球100多个国家，拥有会员超过28 000人。2O世纪9O年代后期IS审计思想传播到我国，2002年6月，ISACA举办了首次CISA(注册信息 系统审计师)资格考试，与IS审计相关的概念、技术、实践才慢慢引入，IS审计的理论研究也刚刚破题。

　　虽然国内外对IS审计理论和应用的研究已有相当规模和成果，但由于IS审计形成时间较短，IS审计研究(特别是在我国)还很不完整、不系统， 相关研究内容比较零星、分散。目前我国的审计实务还停留在绕过计算机审计阶段，由于不对计算机程序处理过程进行审计而只对有限的部分 数据进行审计，显然是片面的。IS审计工作目前还处于探索阶段，还没有形成一套成形的专业规范理论结构，会计审计界所进行的一些信息系 统审计的探索和尝试以及开发的一些信息系统审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。理论研究主要集中在IS审计执 业标准和规范、IS审计作用意义、IS审计业务内容、IS审计技术方法及应用模式和IS审计人员资格的规范等方面。理论界对IS审计的理解千差 万别，没有形成统一认识，甚至存在一些认识上的误区，如将IS审计与计算机辅助审计(CAA，Co mputer Assisted Audit)混为一谈，或认为IS 审计可由信息工程监理(IPS，information Projects Supervisal)代替，或认为IS审计仅是对财政财务收支处理的审计等。

三、构建IS审计理论结构

　　(一)IS审计理论基础

　　审计理论基础作为审计理论产生和发展的起点，是整个审计理论体系大厦的基石。审计理论基础并不等同于审计理论，它不具备审计理论所特 有的高度抽象性、适用性、严密逻辑性和普遍指导性。IS审计理论基础勾画了IS审计理论与其他相关边缘性学科理论相互交融的学科群轮廓， 相关学科理论正向IS审计领域侵蚀。传统审计理论为IS审计提供了丰富的内部控制理论与实践经验，使IS审计师能“用批判的眼光”向系统信 息使用者提供外部鉴证服务；行为科学理论将帮助IS审计师解释组织中产生的“人的问题”，研究人的行为，预防系统人为的故障，解决系统 的安全问题；信息管理理论将为IS审计提供如何提高系统运行的效率、控管系统资源等方面的理论和方法，提高实现企业内部管理目标的能力 ；信息技术学本身的发展也在关注如何保护资产安全、保证信息完整，并能有效地实现组织目标。各学科相互交叉、渗透、融合、互动，共同 打造一个多元化动态网络，它为审计理论与其他学科理论提供了一个公共区域。审计理论基础决定着审计理论发展的方向、趋势，审计理论基 础的每一次变革都会引起审计理论发生相应的变化。随着IS审计的进化，传统模式会发生变革，审计学科将逐渐脱离传统学科归属范式束缚而 独立存在、自成一体，我们认为，审计学科的重新定位必将推动审计理论的创新和进步。