计算机审计(Computer Auditing)与信息系统审计(Information System Audit,简称IS审计),前者约定俗成,后者势在必行,但两者在我国的学术研究与实践应用中长期模糊不清、难舍难分,这不仅不利于我国审计工作的开展,同时也可能影响我国审计信息化的发展。本文拟通过两者的产生与发展、基本概念与审计目标、适用准则与审计技术等方面的比较,厘清两者的主要区别,以求它们在我国取得并行不悖的发展。 一、两者的产生与发展过程比较 在计算机审计与IS审计产生之前,电子数据处理(Electronic Data Processmg,EDP)审计早已存在。可以说,EDP审计是计算机审计与IS审计的前身与发展的基础。 (一)EDP审计的产生与发展 EDP审计不仅是指电子数据处理环境下的审计,还包括对电子数据处理系统的审计。F Kanfuman(1961)、APinkney(1966)、T W.Merae(1976)、Joseph Sardinas(1987)、W.ThomasPoter和William E Perry(1987)等学者都从不同的角度对EDP环境中内外部审计规则和组成方法、EDP审计的测试方法、特殊审计技术、审计步骤等方面展开深入研究。1968年美国注册会计师协会(AICPA)出版的《会计审计与计算机》一书,详细阐述了在EDP环境下如何开展IS审计和传统的外部审计。而作为信息系统审计与控制协会(IASCA)的前身,成立于1969年的EDP审计协会(EDPAA)及其属下的EDP审计师基金会(EDPAF)25年间一直使用EDP一词。至今,EDP审计与IS审计仍有并驾齐驱之势。例如,在Jack.J.Champlain所著的《审计信息系统》(第2版,2003)一书中,仍然将EDP审计师与IS审计师相提并论。 从诸多文献资料分析,EDP包含两种含义,一为环境说;二为系统说。作环境说,诚如国际审计准则15指出:“为了国际审计准则的目的,当一个单位对与审计有重要意义的财务资料的处理,包含有任何类型或大小的计算机时,就存在着电子数据处理的环境”。面对这一环境进行审计的审计师也就是EDP审计师。而作系统说,则更多是指计算机信息系统,以该系统作为审计对象必然会改变审计的总体目标和范围,因而也才有应运而生的信息系统审计与控制协会及其单独发布的审计标准、指南和程序,以及由此产生的IS审计师。 表1 三种研究倾向统计表(1980年至2008年)
(二)计算机审计的产生与发展 有关计算机审计的研究,在国外参考文献中并不少见。例如,Andrew D Chambers(1984)、Javier FKuong(1987)和S.Rao Vallabhaneni(1989)等学者,均围绕计算机审计的安全与内部控制、相关技术、内部控制的实施等加以论述。值得注意的是,在各职业组织所发布的有关标准、指南或程序中,却鲜有使用计算机审计一词,如美国注册会计师协会(AICPA)发布的《计算机辅助审计》(1978)和取代SASNo.3号(1974)的《审计标准说明书第48号》(SAS.No.48,1984),国际内部审计师协会20世纪70年代发布的《系统控制与审计》,加拿大执业会计师协会(CICA)两次发布的《计算机控制和工作指南》(1970,1986),以及加拿大审计标准委员会颁布的《EDP环境下的审计——一般原则》(1984.)等等,也都较少采用“计算机审计”一词。 在我国,有关计算机审计研究经久不衰。在20世纪80年代,我国学者往往将其与国外的EDP审计相联系。例如在对Poter和Perry(1987)合著的《EDP:Controlls And Auditing(第5版)》翻译中,李大庆和乔勇等学者(1990)就将其直接译为《计算机审计》。我国学者潘晓江(1983)较早针对我国会计电算化提出审计应采取的充分发挥人在控制中的主导地位、注意实行数据可靠性控制和注意保留必要的审计线索三大措施。从20世纪90年代至今,我国以“计算机审计”为题的研究成果颇丰。据笔者不完全统计,这类教材和专著已逾30本,较早的作者有肖泽忠(1990)、陈婉玲(1990)、李长旭(1990)等。 我国审计机关无论是关于计算机应用的规定,还是组织系统内有关专家进行研究,也多以计算机审计为题加以进行。例如,审计署1993年发布的《审计署关于计算机审计的暂行规定》和1996年发布的《审计机关计算机辅助审计办法》等。邱胜利和张玉(1990,1993)、董化礼(2002)、刘汝焯(2004)、国家863计划审计署课题组(2006)等,也都以计算机审计为题展开研究。