信息系统审计的由来与发展现状 信息系统审计最早称为计算机审计,早期的计算机审计业务主要关注被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。从财务报表审计的角度看,这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查,属于实质性测试环节。随着计算机技术应用范围的不断扩展,在制度基础审计模式下,计算机审计的业务内容已经扩展到了符合性测试领域。 风险基础审计模式的采用以及信息技术在被审计单位各个领域的广泛应用,使信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,并且直接或间接地影响到财务报表的真实和公允。在这种情况下,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段,计算机审计的范围已经覆盖了审计业务的全过程,计算机审计这一概念也已经不能反映这一业务的全部内涵,信息系统审计的概念随之出现。目前,计算机审计和信息系统审计、IT审计的概念还在同时使用,但这些概念之间已经有了微妙的差别。 目前,信息系统审计业务已经超出了财务报表审计服务的范围,在很多大型会计公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。为财务报表审计提供服务只是信息系统审计部门业务内容很小的一部分,与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。国外一些大型会计公司中,已经出现了没有注册会计师资格的合伙人,他们持有的专业资格就是信息系统审计师资格。 信息系统审计的专业组织与专业资格 信息系统审计与控制协会(ISACA)成立于1969年,最初称为EDP审计师联合会,总部设在美国芝加哥,目前在世界上100多个国家设有160多个分会,有会员两万多人。该组织是信息系统审计行业唯一的国际性组织,注册信息系统审计师(CertifiedInformationSystemAuditor,简称CISA)是由该协会授予的此领域唯一的职业资格。 该组织通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作。它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够享用其最新研究成果。此外,还通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA每年举办CISA资格考试。通过考试的人员可以申请CISA资格,符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。CISA资格在国际上享有广泛的认可,拥有CISA资格的IT审计人员与普通IT审计人员之间的区别,正如持有CPA资格的注册会计师与一名普通会计人员的区别那样显而易见。