信息化建設的突飛猛進給現(xiàn)代審計帶來了一種新的范式，有人預言，信息系統(tǒng)審計(Information System Audit，簡稱IS審計，下同)將成為未 來審計行業(yè)和審計技術最為強勁的驅(qū)動力最。如今，在很多大型公司內(nèi)部，IS審計部門已成為一個獨立的向組織提供多種服務的部門。尤其是 互聯(lián)網(wǎng)和電子商務的興起，更是為IS審計業(yè)務帶來了無盡的商機，與信息安全相關的防火墻審計、安全診斷、災難恢復、信息技術認證以及與 ERP相關的新型咨詢業(yè)務將不斷涌現(xiàn)。在實踐活動中，IS審計給政府、組織挽回或減少了巨額的經(jīng)濟損失 例如美國各州曾對包括國防部信息系 統(tǒng)、電子政務信息系統(tǒng)等多個國家或非國有的系統(tǒng)進行了審計，提出了包括硬件、軟件、安全、人員、組織等多方面的改進建議；我國審計署 駐廣州特派員辦事處近幾年來，在對某國有商業(yè)銀行省分行進行年度資產(chǎn)負債表及信貸資產(chǎn)質(zhì)量審計工作中，利用計算機輔助審計，發(fā)現(xiàn)了14 家關聯(lián)企業(yè)聯(lián)合騙貸3億多元；審計署駐南京特派員辦事處在對某商業(yè)銀行信用卡業(yè)務應用軟件系統(tǒng)進行審計時，審計查出該軟件系統(tǒng)在開發(fā)、 設計、運行、維護、管理、控制及核算等方面存在的缺陷與漏洞，并提出了改進對策和建議。IS審計的作用可以概括為，它是一種具有充分和 相關的內(nèi)部控制的措施；從內(nèi)部和外部都獲得很好保護的安全網(wǎng)絡；介于工程再造和控制之間的平衡；適時的起作用的IT安全政策；對IT安全 性的高度警覺和對更好的商業(yè)連續(xù)性的準備；能獲得IT投資上更好回報的方式。
　　有人認為，IS審計只是一個現(xiàn)代社會新興職業(yè)或?qū)I(yè)技能的代名詞，沒有理論研究的必要。我們認為不妥。美國審計專家羅伯特·K·莫茨和侯 賽因·A·夏拉夫指出：“一種職業(yè)要牢牢地立足于社會，就必須建立一套成熟的理論體系。否則，它將僅僅是一門實踐學，是一種手藝，而不 是一門科學。”大力開展IS審計研究，對于保證信息系統(tǒng)的安全、可靠，維護信息時代的市場經(jīng)濟秩序，為我國信息化建設與發(fā)展保駕護航， 具有重大的理論意義和廣闊的應用前景。
　　二、國內(nèi)外IS審計研究現(xiàn)狀及分析
　　2O世紀8O～9O年代以來，由于經(jīng)濟全球化、網(wǎng)絡化的影響，信息技術向傳統(tǒng)產(chǎn)業(yè)的滲透不斷提升，IS審計初現(xiàn)端倪。值得關注的是，lS審計理 論研究與實踐工作的領導者和主要推動者，國際信息系統(tǒng)審計與控制協(xié)會(ISACA，Information System Audit and Control Association)，自 成立3O多年來，推出了一系列IS審計準則、職業(yè)道德準則等規(guī)范性文件，開展了～定的理論研究，并把焦點集中于信息系統(tǒng)保障、控制、安全 和信息技術管理專業(yè)的技術與管理主題上；1996年ISACA 研制了《信息系統(tǒng)及相關技術的控制目標(C0BIT，Control Objectives for  Information and Related Technology)》，建立了控制模型，COBIT在商業(yè)風險、控制需要和技術問題之間架起了一座橋梁，打通不同部門、 不同系統(tǒng)之間的障礙，建立通暢的信息貫通渠道L4 ；1998年ISACA 又創(chuàng)立信息系統(tǒng)管理協(xié)會(IT Governance Institute)。目前已有170多個分 會遍布在全球100多個國家，擁有會員超過28 000人。2O世紀9O年代后期IS審計思想傳播到我國，2002年6月，ISACA舉辦了首次CISA(注冊信息 系統(tǒng)審計師)資格考試，與IS審計相關的概念、技術、實踐才慢慢引入，IS審計的理論研究也剛剛破題。
　　雖然國內(nèi)外對IS審計理論和應用的研究已有相當規(guī)模和成果，但由于IS審計形成時間較短，IS審計研究(特別是在我國)還很不完整、不系統(tǒng)， 相關研究內(nèi)容比較零星、分散。目前我國的審計實務還停留在繞過計算機審計階段，由于不對計算機程序處理過程進行審計而只對有限的部分 數(shù)據(jù)進行審計，顯然是片面的。IS審計工作目前還處于探索階段，還沒有形成一套成形的專業(yè)規(guī)范理論結構，會計審計界所進行的一些信息系 統(tǒng)審計的探索和嘗試以及開發(fā)的一些信息系統(tǒng)審計軟件還大都停留在對被審計單位的電子數(shù)據(jù)進行處理的階段。理論研究主要集中在IS審計執(zhí) 業(yè)標準和規(guī)范、IS審計作用意義、IS審計業(yè)務內(nèi)容、IS審計技術方法及應用模式和IS審計人員資格的規(guī)范等方面。理論界對IS審計的理解千差 萬別，沒有形成統(tǒng)一認識，甚至存在一些認識上的誤區(qū)，如將IS審計與計算機輔助審計(CAA，Co mputer Assisted Audit)混為一談，或認為IS 審計可由信息工程監(jiān)理(IPS，information Projects Supervisal)代替，或認為IS審計僅是對財政財務收支處理的審計等。
　　三、構建IS審計理論結構
　　(一)IS審計理論基礎
　　審計理論基礎作為審計理論產(chǎn)生和發(fā)展的起點，是整個審計理論體系大廈的基石。審計理論基礎并不等同于審計理論，它不具備審計理論所特 有的高度抽象性、適用性、嚴密邏輯性和普遍指導性。IS審計理論基礎勾畫了IS審計理論與其他相關邊緣性學科理論相互交融的學科群輪廓， 相關學科理論正向IS審計領域侵蝕。傳統(tǒng)審計理論為IS審計提供了豐富的內(nèi)部控制理論與實踐經(jīng)驗，使IS審計師能“用批判的眼光”向系統(tǒng)信 息使用者提供外部鑒證服務；行為科學理論將幫助IS審計師解釋組織中產(chǎn)生的“人的問題”，研究人的行為，預防系統(tǒng)人為的故障，解決系統(tǒng) 的安全問題；信息管理理論將為IS審計提供如何提高系統(tǒng)運行的效率、控管系統(tǒng)資源等方面的理論和方法，提高實現(xiàn)企業(yè)內(nèi)部管理目標的能力 ；信息技術學本身的發(fā)展也在關注如何保護資產(chǎn)安全、保證信息完整，并能有效地實現(xiàn)組織目標。各學科相互交叉、滲透、融合、互動，共同 打造一個多元化動態(tài)網(wǎng)絡，它為審計理論與其他學科理論提供了一個公共區(qū)域。審計理論基礎決定著審計理論發(fā)展的方向、趨勢，審計理論基 礎的每一次變革都會引起審計理論發(fā)生相應的變化。隨著IS審計的進化，傳統(tǒng)模式會發(fā)生變革，審計學科將逐漸脫離傳統(tǒng)學科歸屬范式束縛而 獨立存在、自成一體，我們認為，審計學科的重新定位必將推動審計理論的創(chuàng)新和進步。
　　(二)IS審計理論結構要素
　　理論界關于審計理論結構要素的研究由來已久、眾說紛紜、各無定論，其中，莫茨、夏拉夫的觀點提供了審計理論研究的指導性依據(jù)，兩位學 者在其著作《審計理論結構》中主張審計理論結構應是在審計概念基礎上制定程序和標準，其關系呈現(xiàn)錐形，概念處于錐頂，程序在錐底。按 此從抽象到其體的思路，我們可以將信息技術條件下IS審計理論結構要素規(guī)劃為如下層級(見圖1)。

　　1．IS審計概念。
　　Ron A．Weber認為IS審計是一個獲取并評價證據(jù)，以判斷信息系統(tǒng)是否能保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織 的資源并有效果地實現(xiàn)組織目標的過程。日本通產(chǎn)省情報協(xié)會的表述是，為了信息系統(tǒng)的安全、可菲與有效，由獨立于審計對象的IS審計師， 以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向IS審計對象的最高領導提出問題與建議的一連串的活動。因而， IS審計并非傳統(tǒng)審計業(yè)務的簡單擴展，其以電子計算機為核心的信息系統(tǒng)為對象，從縱向(生命周期)看，IS審計覆蓋了信息系統(tǒng)從計劃、分析 、設計、編程、測試、運行、維護到報廢的全過程的各種業(yè)務；從橫向(各階段截面)看，它包含對硬軟件的獲取審計、軟件審計、應用程序?qū)?計、數(shù)據(jù)完整性審計、安全審計和生命周期共同業(yè)務(如文檔管理、人員管理、進度管理、外部委托、災難恢復等)審計等內(nèi)容。我們認為，IS 審計的概念可以定義為，專業(yè)審計人員根據(jù)審計準則及相關規(guī)制，對信息系統(tǒng)從計劃、研發(fā)、實施到運行維護各個環(huán)節(jié)進行審查與評價，以保 證被審計信息系統(tǒng)安全、穩(wěn)定和有效，并提出一系列改進建議的管理活動。
　　2．IS審計目標。
　　審計目標是審計理論研究的起點之一，目標定在何處是相當關鍵的。在信息時代，企業(yè)價值鏈上許多環(huán)節(jié)的信息都需與信息使用者(企業(yè)管理者、交易伙伴以及投資人)分享，社會的需要促使了現(xiàn)代審計目的的改變。IS審計師不僅要對系統(tǒng)信息的合法性、公允性進行審計，還要對信息系統(tǒng)的硬件和軟件，以及整個信息系統(tǒng)的安全性、穩(wěn)定性、內(nèi)部控制的健全性與有效性等方面進行審計，指出被審計單位信息系統(tǒng)內(nèi)部管理和控制上的薄弱環(huán)節(jié)，提高其信息系統(tǒng)的可靠性和真實性，有效地防止利用信息技術隨意篡改系統(tǒng)信息或破壞磁性介質(zhì)上的數(shù)據(jù)等舞弊行為的發(fā)生。因此，IS審計目標不僅僅在于應用計算機進行審計(即傳統(tǒng)EDI審計或計算機輔助審計)，更重要的是要對信息系統(tǒng)本身的安全性、穩(wěn)定性及其實現(xiàn)組織目標的有效性進行實時的檢查、評價和改造。
　　3．IS審計職能。
　　審計職能即審計在客觀上所固有的功能。我們認為，為了實現(xiàn)審計目標，保證和咨詢應成為對信息系統(tǒng)進行審計的兩大基本職能。“保證”即“系統(tǒng)可靠性保證”，就是通過對信息系統(tǒng)運行過程、商業(yè)連續(xù)性能力、維護狀況進行評價，合理保證信息系統(tǒng)安全、穩(wěn)定、有效，它是IS審計最基本的職能。“咨詢”就是指審計人員能夠向信息系統(tǒng)的高層管理者以及使用者提供解決問題的方案，以達到改善經(jīng)營和為組織增加價值的目的。
　　4．IS審計依據(jù)。
　　審計依據(jù)是提出審計意見，做出審計決定的標準，是審計人員在審計過程中用來衡量被審計事項是非優(yōu)劣的準繩。在信息時代，審計人員執(zhí)行IS審計時，主要以信息系統(tǒng)的管理制度、條例和法規(guī)、ISO9000、信息系統(tǒng)的實際運行情況等為主要依據(jù)。目前IS審計工作還處于探索階段，沒有形成一套成形的專業(yè)規(guī)范，IS審計人員可遵照CISA發(fā)布的《信息系統(tǒng)審計準則》執(zhí)行IS審計業(yè)務。
　　5．IS審計風險。
　　從審計的理論基礎看，審計經(jīng)歷了主觀基礎審計—— 制度基礎審計—— 風險基礎審計。審計人員應運用風險基礎審計的基本理論，從社會和客戶的需要(期望)出發(fā)，整合IS審計風險模式中的各要素(固有風險、控制風險和檢查風險)，構建IS審計風險模型，科學分析與評價信息系統(tǒng)的操作程序、審計環(huán)境等，對系統(tǒng)控制要素進行測試，以確定IS審計線索、范圍和重點，研判信息系統(tǒng)內(nèi)部控制的有效性以及IS審計程序設計和執(zhí)行的恰當性。評估風險、信息安全政策、安全和災難計劃是掌控信息安全的途徑，系統(tǒng)發(fā)展和維護、接近和使用信息、個人方法、保密原則和物理安全控制是衡量安全的中心政策和一般指南。根據(jù)審計風險的概念，我們可以將IS審計風險定義為，信息系統(tǒng)的安全性、穩(wěn)定性和有效性存在重大隱患，而IS審計師驗證后發(fā)表不恰當審計意見的可能性。
　　6．IS審計技術。
　　企業(yè)引用信息系統(tǒng)的目的就在于通過先進管理理念、先進作業(yè)技術，實現(xiàn)業(yè)務流程的重組，降低人力、物力、財力損耗，提高系統(tǒng)運行效率。為了保證信息系統(tǒng)安全、穩(wěn)定與有效，審計人員應采用一定的方法對系統(tǒng)風險進行測試(符合性測試、實質(zhì)性測試)，并對來自內(nèi)部和外部的安全隱患，進行系統(tǒng)診斷，提出相應對策，幫助企業(yè)調(diào)整現(xiàn)有的管理架構和流程，使信息系統(tǒng)更好地為管理服務。審計人員應在充分利用傳統(tǒng)財務審計技術的基礎上，逐步構建新的審計技術方法體系，諸如測試數(shù)據(jù)法、并行測試法、受控處理法、程序比較法、嵌入審計程序法和程序追蹤法等，以促進完成系統(tǒng)檢查、風險評估以及實質(zhì)性測試。
　　7．IS審計流程。
　　證據(jù)理論是審計學科的一個重要組成部分，審計過程實質(zhì)是一個收集、評價和鑒證審計證據(jù)的過程。IS審計是一個獲取并評價證據(jù)，以研判信息系統(tǒng)是否能夠保證資產(chǎn)的安全、有效以及提供真實、完整的系統(tǒng)信息的動態(tài)循環(huán)流程。由于信息風險對審計風險的影響，在實施審計程序時，審計人員應采用傳統(tǒng)的被實踐證明為有效的審計體系，重點研究風險理論下可供操作的IS審計流程框架，包括依據(jù)IS審計目標、識別各種限制條件、制定IS審計的計劃、確定IS審計的指標體系、選擇IS審計方法，實施IS審計、編寫IS審計報告。恰當?shù)膶徲嬃鞒逃兄趯徲嫻ぷ餮驖u進、有條不紊地實現(xiàn)審計目標，并對審計風險的控制有著重要的意義。
　　四、結語
　　信息系統(tǒng)不斷發(fā)揮其先進技術的力量，把進步帶到世界的每一個角落。IS審計是一個完全嶄新的領域，它隨著信息系統(tǒng)的產(chǎn)生而產(chǎn)生，也必將隨著信息系統(tǒng)的發(fā)展而越來越受到人們的重視。IS審計既要實現(xiàn)信息系統(tǒng)外部審計的鑒證目標，即對被審計單位信息資產(chǎn)的安全性及系統(tǒng)數(shù)據(jù)的合法性、完整性進行鑒證，叉要達到內(nèi)部審計的管理目標，即信息系統(tǒng)能否有效地保證組織價值增值。無論是政府審計、民間審計還是內(nèi)部審計，離開IS審計將寸步難行。面對信息化時代，內(nèi)、外部審計均面臨著需求環(huán)境變化、角色轉變的壓力與挑戰(zhàn)，合理鑒定內(nèi)、外部審計在IS審計市場的地位和作用及其市場份額是IS審計研究的重點和難點。