信息化建設的突飛猛進給現代審計帶來了一種新的范式，有人預言，信息系統審計(Information System Audit，簡稱IS審計，下同)將成為未 來審計行業和審計技術最為強勁的驅動力最。如今，在很多大型公司內部，IS審計部門已成為一個獨立的向組織提供多種服務的部門。尤其是 互聯網和電子商務的興起，更是為IS審計業務帶來了無盡的商機，與信息安全相關的防火墻審計、安全診斷、災難恢復、信息技術認證以及與 ERP相關的新型咨詢業務將不斷涌現。在實踐活動中，IS審計給政府、組織挽回或減少了巨額的經濟損失 例如美國各州曾對包括國防部信息系 統、電子政務信息系統等多個國家或非國有的系統進行了審計，提出了包括硬件、軟件、安全、人員、組織等多方面的改進建議；我國審計署 駐廣州特派員辦事處近幾年來，在對某國有商業銀行省分行進行年度資產負債表及信貸資產質量審計工作中，利用計算機輔助審計，發現了14 家關聯企業聯合騙貸3億多元；審計署駐南京特派員辦事處在對某商業銀行信用卡業務應用軟件系統進行審計時，審計查出該軟件系統在開發、 設計、運行、維護、管理、控制及核算等方面存在的缺陷與漏洞，并提出了改進對策和建議。IS審計的作用可以概括為，它是一種具有充分和 相關的內部控制的措施；從內部和外部都獲得很好保護的安全網絡；介于工程再造和控制之間的平衡；適時的起作用的IT安全政策；對IT安全 性的高度警覺和對更好的商業連續性的準備；能獲得IT投資上更好回報的方式。
　　有人認為，IS審計只是一個現代社會新興職業或專業技能的代名詞，沒有理論研究的必要。我們認為不妥。美國審計專家羅伯特·K·莫茨和侯 賽因·A·夏拉夫指出：“一種職業要牢牢地立足于社會，就必須建立一套成熟的理論體系。否則，它將僅僅是一門實踐學，是一種手藝，而不 是一門科學。”大力開展IS審計研究，對于保證信息系統的安全、可靠，維護信息時代的市場經濟秩序，為我國信息化建設與發展保駕護航， 具有重大的理論意義和廣闊的應用前景。
　　二、國內外IS審計研究現狀及分析
　　2O世紀8O～9O年代以來，由于經濟全球化、網絡化的影響，信息技術向傳統產業的滲透不斷提升，IS審計初現端倪。值得關注的是，lS審計理 論研究與實踐工作的領導者和主要推動者，國際信息系統審計與控制協會(ISACA，Information System Audit and Control Association)，自 成立3O多年來，推出了一系列IS審計準則、職業道德準則等規范性文件，開展了～定的理論研究，并把焦點集中于信息系統保障、控制、安全 和信息技術管理專業的技術與管理主題上；1996年ISACA 研制了《信息系統及相關技術的控制目標(C0BIT，Control Objectives for  Information and Related Technology)》，建立了控制模型，COBIT在商業風險、控制需要和技術問題之間架起了一座橋梁，打通不同部門、 不同系統之間的障礙，建立通暢的信息貫通渠道L4 ；1998年ISACA 又創立信息系統管理協會(IT Governance Institute)。目前已有170多個分 會遍布在全球100多個國家，擁有會員超過28 000人。2O世紀9O年代后期IS審計思想傳播到我國，2002年6月，ISACA舉辦了首次CISA(注冊信息 系統審計師)資格考試，與IS審計相關的概念、技術、實踐才慢慢引入，IS審計的理論研究也剛剛破題。
　　雖然國內外對IS審計理論和應用的研究已有相當規模和成果，但由于IS審計形成時間較短，IS審計研究(特別是在我國)還很不完整、不系統， 相關研究內容比較零星、分散。目前我國的審計實務還停留在繞過計算機審計階段，由于不對計算機程序處理過程進行審計而只對有限的部分 數據進行審計，顯然是片面的。IS審計工作目前還處于探索階段，還沒有形成一套成形的專業規范理論結構，會計審計界所進行的一些信息系 統審計的探索和嘗試以及開發的一些信息系統審計軟件還大都停留在對被審計單位的電子數據進行處理的階段。理論研究主要集中在IS審計執 業標準和規范、IS審計作用意義、IS審計業務內容、IS審計技術方法及應用模式和IS審計人員資格的規范等方面。理論界對IS審計的理解千差 萬別，沒有形成統一認識，甚至存在一些認識上的誤區，如將IS審計與計算機輔助審計(CAA，Co mputer Assisted Audit)混為一談，或認為IS 審計可由信息工程監理(IPS，information Projects Supervisal)代替，或認為IS審計僅是對財政財務收支處理的審計等。
　　三、構建IS審計理論結構
　　(一)IS審計理論基礎
　　審計理論基礎作為審計理論產生和發展的起點，是整個審計理論體系大廈的基石。審計理論基礎并不等同于審計理論，它不具備審計理論所特 有的高度抽象性、適用性、嚴密邏輯性和普遍指導性。IS審計理論基礎勾畫了IS審計理論與其他相關邊緣性學科理論相互交融的學科群輪廓， 相關學科理論正向IS審計領域侵蝕。傳統審計理論為IS審計提供了豐富的內部控制理論與實踐經驗，使IS審計師能“用批判的眼光”向系統信 息使用者提供外部鑒證服務；行為科學理論將幫助IS審計師解釋組織中產生的“人的問題”，研究人的行為，預防系統人為的故障，解決系統 的安全問題；信息管理理論將為IS審計提供如何提高系統運行的效率、控管系統資源等方面的理論和方法，提高實現企業內部管理目標的能力 ；信息技術學本身的發展也在關注如何保護資產安全、保證信息完整，并能有效地實現組織目標。各學科相互交叉、滲透、融合、互動，共同 打造一個多元化動態網絡，它為審計理論與其他學科理論提供了一個公共區域。審計理論基礎決定著審計理論發展的方向、趨勢，審計理論基 礎的每一次變革都會引起審計理論發生相應的變化。隨著IS審計的進化，傳統模式會發生變革，審計學科將逐漸脫離傳統學科歸屬范式束縛而 獨立存在、自成一體，我們認為，審計學科的重新定位必將推動審計理論的創新和進步。
　　(二)IS審計理論結構要素
　　理論界關于審計理論結構要素的研究由來已久、眾說紛紜、各無定論，其中，莫茨、夏拉夫的觀點提供了審計理論研究的指導性依據，兩位學 者在其著作《審計理論結構》中主張審計理論結構應是在審計概念基礎上制定程序和標準，其關系呈現錐形，概念處于錐頂，程序在錐底。按 此從抽象到其體的思路，我們可以將信息技術條件下IS審計理論結構要素規劃為如下層級(見圖1)。

　　1．IS審計概念。
　　Ron A．Weber認為IS審計是一個獲取并評價證據，以判斷信息系統是否能保證資產的安全、數據的完整以及有效率地利用組織 的資源并有效果地實現組織目標的過程。日本通產省情報協會的表述是，為了信息系統的安全、可菲與有效，由獨立于審計對象的IS審計師， 以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價，向IS審計對象的最高領導提出問題與建議的一連串的活動。因而， IS審計并非傳統審計業務的簡單擴展，其以電子計算機為核心的信息系統為對象，從縱向(生命周期)看，IS審計覆蓋了信息系統從計劃、分析 、設計、編程、測試、運行、維護到報廢的全過程的各種業務；從橫向(各階段截面)看，它包含對硬軟件的獲取審計、軟件審計、應用程序審 計、數據完整性審計、安全審計和生命周期共同業務(如文檔管理、人員管理、進度管理、外部委托、災難恢復等)審計等內容。我們認為，IS 審計的概念可以定義為，專業審計人員根據審計準則及相關規制，對信息系統從計劃、研發、實施到運行維護各個環節進行審查與評價，以保 證被審計信息系統安全、穩定和有效，并提出一系列改進建議的管理活動。
　　2．IS審計目標。
　　審計目標是審計理論研究的起點之一，目標定在何處是相當關鍵的。在信息時代，企業價值鏈上許多環節的信息都需與信息使用者(企業管理者、交易伙伴以及投資人)分享，社會的需要促使了現代審計目的的改變。IS審計師不僅要對系統信息的合法性、公允性進行審計，還要對信息系統的硬件和軟件，以及整個信息系統的安全性、穩定性、內部控制的健全性與有效性等方面進行審計，指出被審計單位信息系統內部管理和控制上的薄弱環節，提高其信息系統的可靠性和真實性，有效地防止利用信息技術隨意篡改系統信息或破壞磁性介質上的數據等舞弊行為的發生。因此，IS審計目標不僅僅在于應用計算機進行審計(即傳統EDI審計或計算機輔助審計)，更重要的是要對信息系統本身的安全性、穩定性及其實現組織目標的有效性進行實時的檢查、評價和改造。
　　3．IS審計職能。
　　審計職能即審計在客觀上所固有的功能。我們認為，為了實現審計目標，保證和咨詢應成為對信息系統進行審計的兩大基本職能。“保證”即“系統可靠性保證”，就是通過對信息系統運行過程、商業連續性能力、維護狀況進行評價，合理保證信息系統安全、穩定、有效，它是IS審計最基本的職能。“咨詢”就是指審計人員能夠向信息系統的高層管理者以及使用者提供解決問題的方案，以達到改善經營和為組織增加價值的目的。
　　4．IS審計依據。
　　審計依據是提出審計意見，做出審計決定的標準，是審計人員在審計過程中用來衡量被審計事項是非優劣的準繩。在信息時代，審計人員執行IS審計時，主要以信息系統的管理制度、條例和法規、ISO9000、信息系統的實際運行情況等為主要依據。目前IS審計工作還處于探索階段，沒有形成一套成形的專業規范，IS審計人員可遵照CISA發布的《信息系統審計準則》執行IS審計業務。
　　5．IS審計風險。
　　從審計的理論基礎看，審計經歷了主觀基礎審計—— 制度基礎審計—— 風險基礎審計。審計人員應運用風險基礎審計的基本理論，從社會和客戶的需要(期望)出發，整合IS審計風險模式中的各要素(固有風險、控制風險和檢查風險)，構建IS審計風險模型，科學分析與評價信息系統的操作程序、審計環境等，對系統控制要素進行測試，以確定IS審計線索、范圍和重點，研判信息系統內部控制的有效性以及IS審計程序設計和執行的恰當性。評估風險、信息安全政策、安全和災難計劃是掌控信息安全的途徑，系統發展和維護、接近和使用信息、個人方法、保密原則和物理安全控制是衡量安全的中心政策和一般指南。根據審計風險的概念，我們可以將IS審計風險定義為，信息系統的安全性、穩定性和有效性存在重大隱患，而IS審計師驗證后發表不恰當審計意見的可能性。
　　6．IS審計技術。
　　企業引用信息系統的目的就在于通過先進管理理念、先進作業技術，實現業務流程的重組，降低人力、物力、財力損耗，提高系統運行效率。為了保證信息系統安全、穩定與有效，審計人員應采用一定的方法對系統風險進行測試(符合性測試、實質性測試)，并對來自內部和外部的安全隱患，進行系統診斷，提出相應對策，幫助企業調整現有的管理架構和流程，使信息系統更好地為管理服務。審計人員應在充分利用傳統財務審計技術的基礎上，逐步構建新的審計技術方法體系，諸如測試數據法、并行測試法、受控處理法、程序比較法、嵌入審計程序法和程序追蹤法等，以促進完成系統檢查、風險評估以及實質性測試。
　　7．IS審計流程。
　　證據理論是審計學科的一個重要組成部分，審計過程實質是一個收集、評價和鑒證審計證據的過程。IS審計是一個獲取并評價證據，以研判信息系統是否能夠保證資產的安全、有效以及提供真實、完整的系統信息的動態循環流程。由于信息風險對審計風險的影響，在實施審計程序時，審計人員應采用傳統的被實踐證明為有效的審計體系，重點研究風險理論下可供操作的IS審計流程框架，包括依據IS審計目標、識別各種限制條件、制定IS審計的計劃、確定IS審計的指標體系、選擇IS審計方法，實施IS審計、編寫IS審計報告。恰當的審計流程有助于審計工作循序漸進、有條不紊地實現審計目標，并對審計風險的控制有著重要的意義。
　　四、結語
　　信息系統不斷發揮其先進技術的力量，把進步帶到世界的每一個角落。IS審計是一個完全嶄新的領域，它隨著信息系統的產生而產生，也必將隨著信息系統的發展而越來越受到人們的重視。IS審計既要實現信息系統外部審計的鑒證目標，即對被審計單位信息資產的安全性及系統數據的合法性、完整性進行鑒證，叉要達到內部審計的管理目標，即信息系統能否有效地保證組織價值增值。無論是政府審計、民間審計還是內部審計，離開IS審計將寸步難行。面對信息化時代，內、外部審計均面臨著需求環境變化、角色轉變的壓力與挑戰，合理鑒定內、外部審計在IS審計市場的地位和作用及其市場份額是IS審計研究的重點和難點。