同财务审计研究相比,信息系统审计研究相对落后,国内学者对信息系统审计的研究文献相对较少。近年来,随着“大数据”、“互联网+”等新研究内容的出现,国内学者对信息系统审计的关注程度越来越少,在北大核心期刊和CSSCI期刊上发表的文章相对较少(如表1所示)。信息系统审计是计算机审计的重要组成部分,大数据环境下的数据式审计离不开信息系统审计。若将信息处理过程视为生产过程,则信息系统是生产信息的机器,开展数据式审计的前提条件为数据是真实、可靠的,而信息系统的可靠性是数据真实、可靠的前提条件。由此可见,信息系统审计在计算机审计中扮演着十分重要的角色。但截止到目前,信息系统审计规范仍散落于各项审计规定之中,国家尚未颁布一套完善的信息系统审计规范。审计规范建设的滞后同理论研究的滞后存在极大的关联性。因此,需要进一步深化信息系统审计理论研究,厘清两者之间的关系,为我国制定制定信息系统审计规范夯实基础,同时让更多的学者关注信息系统审计规范问题研究。 信息系统是生产财务数据的“机器”,在审计目标、内容与方法等方面,与财务审计存在着一定程度的差异。有鉴于此,本文将从信息系统审计目标、基本内容以及技术与方法等方面对现有文献加以梳理与评述,分析其对信息系统审计规范研究的影响,推动我国信息系统审计规范的制定,也为未来信息系统审计理论研究和信息系统审计规范研究提供一些方向。
二、信息系统审计目标与信息系统审计规范 审计目标的确定是一种主观见之于客观的行为,是审计活动的出发点和落脚点。一方面具体活动本身总是依存于特定的社会政治经济环境并为其服务,因而,审计目标的内容必须反映其环境的客观需要;另一方面,审计目标本身又是由认识了周围环境的客观需要的理论工作者结合其内在功能而确立的。本部分将在信息系统审计目标分析的基础上,论述信息系统审计目标与信息系统规范之间的关系。 (一)信息系统审计目标的本质分析 没有审计,就没有受托经济责任;而没有受托经济责任,也就没有控制(Mackenzie,1966)。审计是确保受托经济责任有效履行的手段,是一种保证或落实受托经济责任的控制机制(Flint,1988)。蔡春(1991)指出,审计的本质目标就是确保受托经济责任的全面有效履行。信息系统审计是现代审计功能的拓展,不同于传统财务审计,信息系统审计的对象为被审计单位的信息系统,这仿佛与受托责任履行不存在任何关联,但信息系统是处理企业信息的“机器”,其产生的信息主要服务于组织的管理活动。随着信息技术在社会经济中的应用,为更好地履行受托经济责任,开展财务报告审计、绩效审计、环境审计等,对财务报告等信息产生的载体进行审计变得十分重要。信息系统审计与财务报表审计、环境审计等的关系如同生产产品的机器与产品一样,对生产产品的机器进行维修,其最终目标是生产更好的产品。信息系统审计的本质也是一种控制活动,其目的在于保证对信息系统的资产保全责任以及对信息系统运行效率等受托责任的全面、有效履行。信息系统审计过程是一个控制过程。信息系统审计师将收集的有关被审计单位信息系统运行活动的数据,与已有的相关内部控制规定以及其他法律规范或者是手工处理的结果等进行比较,来判断被审单位是否在信息系统中嵌入了非法的内部控制措施,是否对计算机硬件、软件等资产履行了保全责任等,并将结果及时传递给管理当局、政府部门与社会公众,通过管理当局控制活动、政府部门的监督活动以及社会公众舆论监督等对被审计单位的行为施加影响,以实现对被审单位的经营管理过程的控制。因此,笔者认为信息系统审计的本质目标仍然是确保受托经济责任的全面有效履行。 (二)信息系统审计的具体目标 信息系统审计的具体目标随着周围客观政治经济环境的变化而变化,随着审计对象以及人们主观认识程度的提高而提高。对于信息系统审计的具体目标,国内外学者或机构不存在统一的观点。国际信息系统审计协会(ISACA)认为信息系统审计的具体目标是确定资产得到适当保护,数据完整和具有可靠性、有效性、效率性。Strous(1998)认为,信息系统审计目标包括可靠性、安全性、效率性和效果性等内容,审计人员需要在保证独立性的基础上对被审单位的信息系统做出客观、公正的评价。吴沁红(2002)认为,信息系统审计目标包括安全性、可靠性、有效性和效率性等内容,这同Strous(1998)所提出的观点基本一致。Wulandari(2003)认为信息系统审计的目标是评估和报告系统内部控制、效率性、经济性以及安全性等。刘汝焯(2007)认为信息系统审计目标包括三个方面:评价被审单位数据的真实性与完整性;评价被审单位信息系统的漏洞与薄弱环节;审计评价被审单位信息系统的功能。唐志豪(2007)认为信息系统审计的总体目标与财务审计的总体目标是一致的,即信息系统受托责任的履行情况,而其具体目标包括行为责任目标与报告责任目标两个方面。庄明来、吴沁红、李俊(2008)认为信息系统审计目标是对被审单位信息系统的安全性、可靠性、有效性和效率性发表审计意见。我国于2008年颁布了《内部审计具体准则第28号——信息系统审计》,在该准则中,将信息信息系统审计的目标定位于对被审计单位信息系统是否达成信息技术管理目标进行全面、综合的评价。陈耿、王万军(2009)认为,信息系统审计的目标包括真实性、完整性、合法性、安全性、可用性、可靠性、保密性、效果、效率和效益。张金城、黄作明(2009)认为,信息系统审计的目标包括资产完整性、数据准确性、系统有效性和效率性四个方面。谢岳山(2009)认为联网环境下的信息系统审计目标包括两个方面,即一方面对事关国计民生的重要信息进行审计,从事后审计转向事前、事中审计;另一方面,为审计人员开展数据式审计提供一个安全、可靠的数据审计环境。崔孟修(2012)对国有企业信息系统审计目标进行了研究,研究后认为国有企业的审计目标直接决定着其信息系统的审计目标,即信息系统审计目标为真实性、合法性、效益性等。信息系统审计从本质上讲是确保受托经济责任全面履行的特殊经济控制制度。虽然不同的学者或机构对信息系统审计目标所涵盖的内容持不同的观点,但信息系统审计的目标取决于受托经济责任的分解(如图1所示)。