互联网的普及使得信息系统(IS)由“信息孤岛”的现象转变成开放、复杂的状态,意味着信息系统由传统IS转变为现代IS,其中传统IS特指利用计算机实现对产品生产制造过程的自动控制,实现企业内部管理的自动化;现代IS是在传统IS基础上进一步扩展,企业还会利用互联网开展电子商务,实现企业生产、交易、管理的系统化,如阿里巴巴、卓越等电子商务公司。据智研咨询统计结果显示,截至2016年12月,我国60%以上的企业部署了企业信息化系统,其中50.4%、28.2%、25.9%的企业建设使用了办公自动化(OA)系统、企业资源计划(ERP)系统和客户关系管理(CRM)系统,相比于上一年提升了13.4个百分点,且预测整体呈快速的上升趋势。此外,2018年7月中国互联网信息中心(CNNIC)在公布的第42次《中国互联网络发展状况统计报告》中指出,2018年1~5月电子商务平台收入达1164亿元,同比增长39.1%,电子商务保持快速增长、增速平稳态势,服务模式、技术形态和赋能效力均在不断地创新突破。由此可见,企业的生存和发展越来越依靠信息系统,信息系统显得愈加重要。尽管如此,信息系统也暴露出诸多安全问题,2001年爆发的安然事件就是代表性的事件。为防止企业利用信息系统进行舞弊,对现代信息系统进行审计显得格外重要。 现代信息系统主要利用电子商务平台进行交易,信息系统变得复杂化、开放化,如何针对此类系统进行审计亟待解决。目前信息系统审计相关的依据主要是国际信息系统审计协会(IASCA)制定的信息系统审计准则、COSO内部控制及风险管理框架以及COBIT控制框架。其中信息系统审计准则是由基本准则、审计指南和作业程序三个层次组成,明确审计人员的基本要求以及具体的审计程序,是一套通用的审计准则;COSO框架主要包括内部控制和企业风险管理整合框架两个方面,旨在使企业风险管理过程流程化,为企业目标实现提供合理保证;COBIT框架重视信息系统控制问题,提出了一般控制和应用控制两要素审计方法,为企业管理层、IT与审计之间交流架起桥梁。三种审计依据各有侧重地对信息系统审计进行一定程度的指导,但针对现代企业信息系统,以上任意一种审计依据都无法满足审计需求,因此,有必要重新探索信息系统审计方法体系,以便为现代信息系统审计工作提供一个可行的实务指南。 二、文献回顾 (一)基于ISACA信息系统审计准则体系的相关研究 ISACA信息系统审计准则体系从多个层次为审计人员提供指引。由于我国目前还未建立起一套完整的信息系统审计准则,因此,国内部分学者主要基于ISACA信息系统审计准则进行相关的研究,诸如通过解读国际信息系统审计准则的相关内容,提出用于制定我国信息系统审计准则的建议。刘杰通过比较国内外信息系统审计准则,指出我国准则的弊端,并提出相关政策建议;张文秀等指出在我国借鉴国际信息系统审计规范的过程中要注意国家文化的特征,要探讨适合我国国情的审计准则;陈婉玲等借鉴ISACA的信息系统审计准则,提出顶层设计方案,指出我国可以按照工作流程或审计工作任务进行准则制定。通过文献回顾,可以了解到信息系统审计准则对审计工作具有指导作用,我国信息系统审计需要从基本准则、审计职能和作业程序等诸多方面进行规范。 (二)基于COBIT框架体系的相关研究 COBIT框架体系重视信息系统的控制以防范风险。周德铭等在借鉴国外信息系统过程控制审计框架基础上,提出四维结构的信息系统审计控制审计框架;王会金提出中观信息系统审计风险控制框架体系,为相关系统安全提供理论支持与实践指导;张文秀等构建我国信息系统审计框架,提出面向系统和面向数据的信息系统审计,进一步深入了我国信息系统审计的研究与应用;金文等提出以信息系统生命周期为出发点,构建符合COBIT定义的信息技术过程和管理、控制与审计模型。上述研究主要依据COBIT标准构建我国信息系统审计框架,通常COBIT便于人们了解和分析信息系统建设与应用过程,帮助审计师明确审计轨迹。 (三)基于COSO框架体系的相关研究 COSO框架主要包括内部控制和企业风险管理整合框架两个方面,凸显企业内控和风险管理的重要性。王培华等基于COSO-ERM框架,构建审计机关廉政风险防控体系,进行风险分类管理,以便于查找各部门、岗位的关键风险点,评估风险等级,健全防控长效机制;施金龙等认为应该加强中小企业内部控制,并基于COSO内控框架研究其存在的问题及成因,最后提出一系列完善内控的措施;席龙胜在审计质量控制基础上引入COSO风险管理框架,建立新的审计质量控制体系,认为审计应该转向以控制风险为目标的主动型质量管理;陈震晗基于COSO-ERM框架研究企业风险导向审计模型,并提出应用模型的初步方案,为审计研究提供新的方向。可见,目前基于COSO框架的文献研究主要是针对各企业内部控制问题,并提出相关建议,表现企业内部控制的重要作用。