一、发展历史 信息系统审计是审计的一个分支,随着信息技术的发展及其对审计对象和审计人员所产生的影响而产生发展起来。美国是开展信息系统审计最早的国家,从20世纪60年代到现在,其发展先后经历了三个主要阶段。 第一阶段是电子数据处理审计(Electronic Data Processig Auit,EDPA)。从960年开始,人力成本的大幅上升和业务复杂程度的不断增加,迫使审计行业寻找一种更加高效的审计方式。此时,制度基础审计模式得到广泛的认同,即通过对内部控制的可靠性进行评估来确定审计程序的性质、时间和范围。与此同时,随着计算机在各个领域的应用日益增加,对信息系统控制进行审计的工作也显得越来越重要,并由此出现了以电子数据处理过程和结果及相关控制为审计内容的电子数据处理审计。此时,信息系统尚未成为审计的对象,但EDPA的发展却催生了信息系统审计的第一个行业组织——EDP审计师协会(1969年)。这也被视为美国信息系统审计发展历史上最为重要的事件之一。 第二阶段是信息系统审计(Information Systems AuditISA)。EP审计师协会成立以来,通过设立专项研究基金、出版行业标准“COBIT”(信息及相关技术环境下的控制目标)、推出“CISA”(注册信息系统审计师)资格认证,不断扩大其行业影响力、推进EPA审计的发展。这一时期也正是信息技术快速普及的年代,信息技术在企业管理中的应用先后经历了MRP、MRPII、ERP等阶段,同时,互联网、数据库等技术和以此为基础的电子商务应用有了新的发展。1994年,EDP审计师协会更名为“ISACA”(信息系统审计与控制协会),反映了审计行业为适应信息技术及其应用的发展带来的新要求,对信息化环境下审计的重点关注领域从电子数据转向了系统控制,审计对象和内容不再局限于电子数据及其处理过程,而是进一步扩大到整个信息系统。审计必须要搜集并评价证据,以判断一个信息系统是否能有效地保护资产、维护数据完整、经济使用资源和完成组织目标。 第三阶段是信息技术审计(Information Technology Auidt,ITA)。进入21世纪后,信息技术飞速发展,改变了审计行业所处的环境,也为信息系统审计的发展提供了广阔的空间。安然和安达信事件直接导致了萨班斯——奥克斯利法案的诞生。该法案对财务审计增加了内部控制方面的内容,也为信息系统审计提供了法律依据。人们逐步认识到内部控制的评估已经离不开对信息系统的评估,社会上对信息系统审计、信息安全等人员的需求也大幅增加。为了适应形势发展的需要,ISACA推出了“CISM”(注册信息安全经理)资格认证并进一步巩固了CISM和CISA这两个资格的地位。此时的信息系统审计也逐渐发展为信息技术审计。信息技术审计虽然也是针对系统的审计,但更加强调对信息技术的审计以及在审计过程中充分运用先进的信息技术手段。 二、发展现状 1.信息系统审计的内容和方式 根据ISACA的相关研究,信息系统审计包括六个方面的内容,即:信息系统审计程序、IT治理、系统与基础设施的生命周期、IT服务的交付和支持、信息资产的保护以及业务持续和灾难恢复。其存在的形态包括:IT专项审计、为财务审计服务的IT审计、IT建设项目绩效审计等。 2.信息系统审计的开展情况 信息系统审计在美国的社会审计、政府审计和内部审计中均得到了广泛的开展,但又各有侧重。 (1)社会审计 在注册会计师行业,根据萨班斯——奥克斯利法案的要求,审计报告中必须有专门的一段来对上市公司的内部控制进行评价,信息系统审计已成为内部控制审计中必不可少的部分。另外,会计师行业还开展各类IT认证服务,如信息系统认证、网站认证等。 (2)政府审计 政府审计更侧重于信息技术投资项目的效益审计。美国审计署(GAO)信息系统审计部门的工作职责包括:协助议会评估和提高政府重大信息技术控制项目;完善信息技术投资行为;加强信息安全和关键的计算机基础设施的保护;评估开展电子政务的机会;促进完善的组织结构和基础设施等等。 (3)内部审计 随着信息技术企业管理和生产领域的不断普及,内部审计也在关注信息系统审计。内部审计师比外部审计人员更了解本企业的生产管理和业务流程,可以在信息系统审计方面做得更深入。但也有些企业把信息系统审计外包给专业的会计事务所或咨询公司。 3.信息系统审计技术方法 信息系统审计所使用的技术方法是信息系统审计独有的,主要是一些计算机辅助方法,如测试数据法、平行模拟法、集成测试技术等。 (1)测试数据法 测试数据法是指把预先设计好的测试数据输入应用系统,将处理结果与预期结果进行比较,从而检测应用系统的控制与处理功能是否恰当、有效。 (2)平行模拟法 平行模拟法是指依靠应用系统的主要流程,简化设计另外的程序或模块,对输入数据同时进行并行处理,检测是否能够得到一致的数据输出,以测试系统功能。 (3)集成测试技术 集成测试技术是指在应用系统中建立一个虚拟实体,然后处理审计测试数据,核实处理过程的真实性、正确性和完整性。 4.信息系统审计组织 目前ISACA在全球有50000多名会员,遍布140多个国家和地区。这些会员从事着与IT相关的各种职业,包括首席信息官、咨询顾问、教师、信息系统审计师、信息系统安全人员、内部审计师等。他们遍及各行各业,包括财政金融、公共会计、政府和公共部门、公用事业和制造业等等。这种多元性使得ISACA的会员可以在一起相互学习,在许多专业问题上广泛交流彼此的观点,分享各行各业的信息。