IT技术的飞速发展和广泛应用使得现代企业的业务流程基本依赖于信息系统,IT风险已成为企业风险管理的重要内容。IT系统正朝着规模化、综合化、复杂化、网络化的方向发展,IT系统的可靠性、机密性、有效性和完整性越来越引起用户的高度重视。现代会计信息系统往往已经嵌入企业管理信息系统当中,企业财务会计数据整合到了企业信息资源库当中,然而,企业会计信息系统固有的脆弱性和企业面临的复杂的IT环境使企业的IT应用经常面临着各种威胁;另一方面,企业内部控制失效导致的案件频发,社会各界针对企业内控进行定期审查和专项审查的呼声越来越高。随着企业内部自发需求的增加和外部监管机构干预的增强,针对会计信息系统内部控制的IT审计显得格外重要。 一、IT审计的本质、目标与方法 (一)IT审计的概念和本质 随着信息化建设的不断深入,信息系统本身的安全性、合法性、有效性和可靠性成为影响企业风险控制的重要因素,也因此带来了对信息系统进行审计的需求。IT审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。RonA.Weber(1999)认为,IT审计是一个获取证据,对信息系统是否能保证资产的安全、数据的完整以及是否有效地使用了组织资源并有效地实现了组织目标做出评价和判断的过程。胡克瑾(2002)指出,IT审计是指对以计算机为核心的信息系统的审计。李会太等(2002)认为,IT审计实质上是对计算机软件和硬件及整个信息系统的审计,IT审计是技术审计的一个典型。 (二)IT审计的目标 IT审计以企业或政府等组织的信息系统为审计对象,通过现代的审计理论和IT管理理论,从信息资产的安全性、数据的完整性以及系统的有效性和效率性等方面出发,对其是否能够有效可靠地达到组织的战略目标进行全面的监测和评估,并为改善和健全组织对信息系统的控制提出详细的建议。基于IT的连续审计能使企业信息系统获得免疫,确保企业资产的安全性、系统的有效性和效率性以及数据的完整性。 (三)IT审计的方法 在审计方法上,目前国内主要还是借鉴国际上IT治理框架和方法,比如COBIT标准(1996年是COBIT1.0,2012年已更新至COBIT5.0版本)、ISO系列标准、ITIL、COSO框架等。这些协议有不同的控制重点,COBIT的审计范围几乎涵盖了所有与IT相关的活动,COSO则侧重于企业自身内部控制,ITIL着重于IT系统的交付和支持等。目前,IT审计的开展可以采取基于独立的外部审计(独立执业的信息系统审计师,如CISA)、企业内部审计(企业内审部门的成员)以及作为财务审计的支撑(注册会计师事务所的IT审计机构,财务审计小组的IT控制专家)三种形式进行。通常,IT审计的成果可以是独立的IT审计报告,也可以作为注册会计师审计报告的一部分进行披露。 二、IT审计是会计信息化的内在要求 (一)IT审计是会计信息化风险控制的需要 会计信息系统(AIS)是企业管理信息系统的敏感地带,会计信息系统的风险控制是企业风险控制的重中之重。近年来因信息系统漏洞问题导致的案件屡见不鲜,信息系统的风险,如账务数据被销毁、巨额资金遭挪用而未被发现、银行交易系统存在漏洞,对业务操作中明显违反业务逻辑的操作没有任何控制防范功能等,对社会经济的运行危害巨大。一般地,会计信息化的风险来源于会计信息系统内部和外部的各种漏洞和威胁。会计信息化过程中的漏洞(技术漏洞、业务流程漏洞、管理控制漏洞)和IT环境中的威胁(攻击、篡改、窃取),导致会计信息化面临各种安全问题。为了避免问题的产生,控制风险,需要对技术、业务、管理控制等进行统一的全方位的防范。IT审计通过获取与AIS控制和保证措施相关的证据,评估AIS控制的有效性、评价会计信息化绩效及会计信息化战略与业务目标的符合程度。CISA(注册信息系统审计师)针对会计信息系统的IT审计与传统的CPA(注册会计师)针对财务报表的财务审计以及针对经济管理的管理审计是并行不悖的,企业会计信息化环境下,IT审计既是财务审计、管理审计的基础,又是财务审计和管理审计的补充,它们共同对会计风险负责。IT审计对被审计单位会计信息系统的安全性、可靠性、有效性和效率性进行识别和评估,实现对会计信息化风险的控制。 (二)IT审计是会计信息化社会和行业监管的需要 CPA审计的工作重点往往集中于财务数据审计,而忽视了对财务数据进行收集、记录、存储、处理、分析与输出的会计信息系统(AIS)的审计。然而,会计数据是AIS的产出,信息系统对数据的真实性、完整性以及数据分析的可靠性有重要影响。同时,针对AIS的入侵和犯罪也越来越多,AIS本身的漏洞会带来巨大损失,IT风险日益严重。基于此,各国政府和组织认识到AIS本身的合法性、可靠性、安全性和有效性是首先要被审计的。IT审计成为会计信息化接受外部监管的内在需要。 在国外,1969年美国的计算机犯罪案件导致了后来的世界上第一个电子数据处理审计组织—EDP审计师协会(EDPAA)的产生;1994年EDPAA更名为信息系统审计与控制协会(Information Systems Audit and Control Association,ISACA),ISACA是一个非牟利的独立组织,工作内容除了主办国际会议、出版《国际信息系统审计期刊》、制定国际公认的信息系统的审计与监控标准,还推出各项全球公认的专业认证——注册信息系统审计师(Certified Information Systems Auditor,CISA)。目前,CISA正在会计信息化监管中扮演着日益重要的角色。