【文章內(nèi)容簡介】 識，認為計算機處理數(shù)據(jù)準確可靠，不會出現(xiàn)錯弊，因而很少對數(shù)據(jù)處理系統(tǒng)進行審計，主要是對計算機打印出的一部分資料進行傳統(tǒng)的手工審計。隨著計算機在數(shù)據(jù)處理系統(tǒng)中應用的逐步擴大，利用計算機犯罪的案件不斷出現(xiàn)，使審計人員認識到要應用計算機輔助審計技術(shù)對電子數(shù)據(jù)處理系統(tǒng)本身進行審計，即EDI審計。同時隨著社會經(jīng)濟的發(fā)展，審計對象、范圍越來越大，審計業(yè)務也越來越復雜，利用傳統(tǒng)的手工方法已不能及時完成審計任務，必須應用計算機輔助審計技術(shù)（CAATs）進行審計。八十年代、九十年代信息技術(shù)的進一步發(fā)展與普及，使得企業(yè)越來越依賴信息及產(chǎn)生信息的信息系統(tǒng)。人們開始更多的關注信息系統(tǒng)的安全性、保密性、完整性及其實現(xiàn)企業(yè)目標的效率、效果，真正意義的信息系統(tǒng)審計才出現(xiàn)。隨著電子商務的全球普及，信息系統(tǒng)的審計對象、范圍及內(nèi)容將逐漸擴大，采用的技術(shù)也將日益復雜。到目前為止，信息系統(tǒng)審計在全球來看，還是一個新的業(yè)務，從美國五大會計師事務所的數(shù)據(jù)看1990年擁有信息系統(tǒng)審計師12名到近百名，1995年已有500名，到2000年時，信息系統(tǒng)審計師正以40%——50%的速度增加，說明信息系統(tǒng)審計正逐漸受到重視。美國在計算機進入實用階段時就開始提出系統(tǒng)審計（SYSTEM AUDIT），從成立電子數(shù)據(jù)處理審計協(xié)會（EDPAA后更名為ISACA）以來，從事系統(tǒng)審計活動已有三十多年歷史，成為信息系統(tǒng)審計的主要推動者，在全球建有一百多個分會，推出了一系列信息系統(tǒng)審計準則、職業(yè)道德準則等規(guī)范性文件，并開展了大量的理論研究，IT控制的開放式標準COBIT（Control Objectives for Information and Related Technology ）已出版了第三版。信息系統(tǒng)審計在國內(nèi)的發(fā)展目前國內(nèi)有學者提出計算機審計，電算化審計，但基本上停留在對會計信息系統(tǒng)的審計上，延伸手工會計信息系統(tǒng)審計，尚未全面探討信息時代給審計業(yè)務帶來的深刻變化。以我國在1999年頒布了獨立審計準則第20號——計算機信息系統(tǒng)環(huán)境下的審計為例，其更多關注的是會計信息系統(tǒng)。在信息時代，面對加入WTO后全球一體化市場，我國IT服務業(yè)面臨巨大的挑戰(zhàn)，開展信息系統(tǒng)審計業(yè)務不失為推動我國IT服務業(yè)發(fā)展的一次絕佳機會。（三） 信息系統(tǒng)審計的理論基礎信息系統(tǒng)審計不僅僅是傳統(tǒng)審計業(yè)務的簡單擴展，信息技術(shù)不單影響傳統(tǒng)審計人員執(zhí)行鑒證業(yè)務的能力，更重要的是公司和信息系統(tǒng)管理者都認識到信息資產(chǎn)是組織最有價值的資產(chǎn)，和傳統(tǒng)資產(chǎn)一樣需要控制，組織同時需要審計人員提供對信息資產(chǎn)控制的評價。因此信息系統(tǒng)審計是一門邊緣性學科，跨越多學科領域。如圖3所示，信息系統(tǒng)審計是建立在四個理論基礎之上的：216。 傳統(tǒng)審計理論。傳統(tǒng)審計理論為信息系統(tǒng)審計提供了豐富的內(nèi)部控制理論與實踐經(jīng)驗，以保證所有交易數(shù)據(jù)都被正確處理。同時收集并評價證據(jù)的方法論也在信息系統(tǒng)審計中廣泛應用，最為重要的是傳統(tǒng)審計給信息系統(tǒng)審計帶來的控制哲學，即用謹慎的眼光審視信息系統(tǒng)在保護資產(chǎn)安全、保證信息完整，并能有效地實現(xiàn)企業(yè)目標的能力。216。 信息系統(tǒng)管理理論。信息系統(tǒng)管理理論是一門關于如何更好地管理信息系統(tǒng)的開發(fā)與運行過程的理論，它的發(fā)展提高了系統(tǒng)保護資產(chǎn)安全、保證信息完整，并能有效地實現(xiàn)企業(yè)目標的能力。216。 行為科學理論。人是信息系統(tǒng)安全最薄弱的環(huán)節(jié)，信息系統(tǒng)有時會因為人的問題而失敗，比如對系統(tǒng)不滿的用戶故意破壞系統(tǒng)及其控制。因此審計人員必須了解哪些行為因素可能導致系統(tǒng)失敗。這方面行為科學特別是組織學理論解釋了組織中產(chǎn)生的“人的問題”。216。 計算機科學。計算機科學本身的發(fā)展也在關注如何保護資產(chǎn)安全、保證信息完整，并能有效地實現(xiàn)企業(yè)目標。但是技術(shù)是一把雙刃劍，計算機科學的發(fā)展可以使審計人員降低對系統(tǒng)組件可靠性的關注，信息技術(shù)的進步也可能啟發(fā)犯罪，例如一個重要的問題是信息技術(shù)在會計制度中的應用是否給罪犯提供了較多緩沖時間？如果是，那么今天網(wǎng)絡犯罪產(chǎn)生的社會威脅較以往任何時候都要大。圖3 ：IS審計的理論基礎IS審計傳統(tǒng)審計信息系統(tǒng)管理計算機科學行為科學（四） 信息系統(tǒng)審計的基本業(yè)務和依據(jù)信息系統(tǒng)審計的基本業(yè)務信息系統(tǒng)審計業(yè)務將隨著信息技術(shù)的發(fā)展而發(fā)展，為滿足信息使用者不斷變化的需要而增加新的服務內(nèi)容，目前其基本業(yè)務如下：216。 系統(tǒng)開發(fā)審計，包括開發(fā)過程的審計、開發(fā)方法的審計，為IT規(guī)劃指導委員會及變革控制委員會提供咨詢服務；216。 主要數(shù)據(jù)中心、網(wǎng)絡、通訊設施的結(jié)構(gòu)審計，包括財務系統(tǒng)和非財務系統(tǒng)的應用審計；216。 支持其他審計人員的工作，為財務審計人員與經(jīng)營審計人員提供技術(shù)支持和培訓；216。 為組織提供增值服務，為管理信息系統(tǒng)人員提供技術(shù)、控制與安全指導；推動風險自評估程序的執(zhí)行；216。 軟件及硬件供應商及外包服務商提供的方案、產(chǎn)品及服務質(zhì)量是否與合同相符審計；216。 災難恢復和業(yè)務持續(xù)計劃審計；216。 對系統(tǒng)運營效能、投資回報率及應用開發(fā)測試審計；216。 系統(tǒng)的安全審計；216。 網(wǎng)站的信譽審計；216。 全面控制審計等。一個信息系統(tǒng)不等同于一臺計算機。今天的信息系統(tǒng)是復雜的，由多個部分組成以做出商業(yè)解決方案。只有各個組成部分通過了評估，判定安全，才能保證整個信息系統(tǒng)的正常工作。對一個信息系統(tǒng)審計的主要組成部分分成以下幾類：216。 信息系統(tǒng)的管理、規(guī)劃與組織——評價信息系統(tǒng)的管理、計劃與組織方面的策略、政策、標準、程序和相關實務。216。 信息系統(tǒng)技術(shù)基礎設施與操作實務——評價組織在技術(shù)與操作基礎設施的管理和實施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標.216。 資產(chǎn)的保護——對邏輯、環(huán)境與信息技術(shù)基礎設施的安全性進行評價，確保其能支持組織保護信息資產(chǎn)的需要, 防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。216。 災難恢復與業(yè)務持續(xù)計劃——這些計劃是在發(fā)生災難時，能夠使組織持續(xù)進行業(yè)務,對這種計劃的建立和維護流程需要進行評價。216。 應用系統(tǒng)開發(fā)、獲得、實施與維護——對應用系統(tǒng)的開發(fā)、獲得、實施與維護方面所采用的方法和流程進行評價，以確保其滿足組織的業(yè)務目標。216。 業(yè)務流程評價與風險管理——評估業(yè)務系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務目標對相應風險實施管理。信息系統(tǒng)審計的依據(jù) 信息系統(tǒng)審計師須了解規(guī)劃、執(zhí)行及完成審計工作的步驟與技術(shù)，并盡量遵守國際信息系統(tǒng)審計與控制協(xié)會的一般公認信息系統(tǒng)審計準則、控制目標和其他法律與規(guī)定。216。 一般公認信息系統(tǒng)審計準則——包括職業(yè)準則、ISACA公告和職業(yè)道德規(guī)范。職業(yè)準則可歸類為：審計規(guī)章、獨立性、職業(yè)道德及規(guī)范、專業(yè)能力、規(guī)劃、審計工作的執(zhí)行、報告、期后審計。ISACA公告是信息系統(tǒng)審計與控制協(xié)會對信息系統(tǒng)審計一般準則所做的說明。ISACA職業(yè)道德及規(guī)范提供針對協(xié)會會員或信息系統(tǒng)審計認證（CISA）持有者有關職業(yè)上及個人的指導規(guī)范。216。 信息系統(tǒng)的控制目標——信息系統(tǒng)審計與控制協(xié)會在1996年公布的COBIT（Control Objectives for Information and related Technology）被國際上公認是最先進、最權(quán)威的安全與信息技術(shù)管理和控制的標準，目前已經(jīng)更新至第三版。它在商業(yè)風險、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。面向業(yè)務是COBIT的主題。它不僅設計用于用戶和審計師，而且更重要的是可用于全面指導管理者與業(yè)務過程的所有者。商業(yè)實踐中越來越多的包含了對業(yè)務過程所有者的全面授權(quán)，因此他們承擔著業(yè)務過程所有方面的全部責任。特別的是，這其中包含著要提供足夠的控制。Cobit 框架為業(yè)務過程所有者提供了一個工具，以方便他們承擔責任。其框架包括四大部分：架構(gòu)、控制目標、審計指南及執(zhí)行概要。COBIT架構(gòu)著重各項處理的高層次控制，控制目標則著重于各項IT處理或?qū)υ摷軜?gòu)所包括的34項IT處理的特定詳細控制目標，每一項IT處理都有5至25個詳細控制目標，控制目標使整體架構(gòu)和詳細控制目標密切對應，相互一致。詳細控制目標有18種主要來源，涵蓋現(xiàn)行的及法定有關IT的國際性準則與規(guī)定。這包括對各項IT工作所建置的控制程序擬達到的預期結(jié)果或目標的敘述，以提供全球所有的產(chǎn)業(yè)有關IT控制的明確方針及實際最佳的