“IT审计”对国内大多数人来讲,可能还是一个陌生的名词,但在发达国家,IT审计经过半个多世纪的发展已经较为普及。目前,全世界已有超过2万人获得了信息系统审计和控制协会(ISACA)颁发的国际注册信息系统审计师(CISA,简称IT审计师)资格证书。他们作为独立于信息系统本身及其开发使用者的第三方,站在客观公正的角度上,收集审计信息,生成审计报告,对信息系统的安全性、稳定性和有效性进行审计、检查、评价,并促成信息系统生命周期活动和成果物的改善。实施IT审计能够强化IT投资效果,提高信息系统的安全性,能够客观评价信息系统及信息系统开发,在优化企业及国家信息化投资决策、维护社会经济稳定和信息安全等方面都具有重要的意义。
IT审计的历史和发展
IT审计最早源自上世纪六十年代IBM出版的《Audit encounters Electronic Data Processing》等有关在EDI环境下进行审核和组织的论述。随后有关该方面的研究结果不断涌现,IT审计初步形成。但由于当时信息系统在社会上尚未得到广泛的应用,因此IT审计尚未引起更多的重视。
七十年代中后期到八十年代初,随着计算机在发达国家企业中的初步应用,利用计算机犯罪的事件频频出现,这使得IT审计的必要性日益明显。美国、日本先后成立了IT审计方面的协会组织,专门制定IT审计的相关规则并对其具体实施给予指导。值得一提的是,1985年日本政府出台了《IT审计标准》并根据美国劳工部的相关从业标准,制订了IT审计师(系统监查员)的技能标准,以之作为相关职业等级考试的参考标准。
九十年代是IT审计的普及期,这主要归功于互联网的普及。互联网的迅速发展一方面给企业建设开发利用信息系统提高管理效率创造了技术基础,另一方面却也为危害企业管理信息系统安全与秩序的网络犯罪制造了温床。此外,日趋增多的软件项目失败问题,也引发了是否要对信息系统的投资和开发进行审计的深思。IT审计因此得到了前所未有的重视并获得了迅速的发展。
从IT审计看审计学科的发展
IT审计是技术审计的一个典型,它的发展普及标志着一个新的审计时代——“技术审计时代”的到来。
IT审计的实质,是对计算机软件和硬件及整个信息系统的审计。随着计算机的广泛应用,审计环境发生了巨大变化。单纯的传统审计面临着潜在的审计风险。在无纸办公条件下,会计及其他信息资料被存入计算机信息系统,审计人员如果不考虑被审单位计算机软件和硬件的安全程度,对被审单位的系统与设备盲目信任,即使懂得计算机的简单应用,也极有可能误入计算机陷阱。只有首先对计算机审计风险进行正确评估并采取相应的审计对策,在风险较大的情况下针对计算机信息系统(包括硬件与软件)实施必要的技术性审计,才能最终保证审计结果的正确性,防止和降低信息技术条件下的审计风险。由此可见,IT审计师不仅从事对财务会计、经济管理活动的审计,更重要也更关键的是对被审单位信息系统进行技术审计。
实际上,IT审计并不是最早的技术审计。在其之前,就已经出现了各种各样的技术性审计。比如,质量管理中的技术性审计——质量审计(包括产品质量审计、工序质量审计与体系质量审计等),要求对产品质量进行抽查试验;清洁生产中的技术性审计——清洁生产审计,要求揭示生产技术的缺陷并提出预防和消减污染的机会与对策;能源管理中的技术性审计——能源审计,要求进行能源监测,提出能源技术改造方案;环境管理中的技术性审计——环境审计,要求实施环境质量监测,提出环境改进建议与降低污染方案等等。这些都是具有不同技术程度的审计类型,与IT审计并称“技术审计”。
技术审计是当代科技发展与审计发展相互融合的产物。当代社会是科学技术飞跃发展的社会,科技的迅猛发展已经给整个社会的经济管理活动造成了巨大影响。正是在这种大背景下才产生了各种各样的技术性审计。技术性审计是在原来的财务审计和管理审计基础上,由于科学技术向经济管理领域的渗透而产生的。尽管目前技术审计尚未独立于财务审计和管理审计成为现代审计的第三大分支,但随着IT审计的进一步发展,未来审计行业和审计技术的发展动力将主要来源于信息系统审计的发展,这一观点已经逐渐成为国内外会计、审计界的共识。
IT审计对我国审计行业发展的影响
在不久的将来,无论是国家审计、内部审计还是注册会计师审计,不懂IT技术必然遭遇灾难性风险,离开IT审计将寸步难行。国际著名会计公司德勤会计师行的高级合伙人鲍威尔先生指出,全世界即将迎来管理领域信息化的高潮。信息技术对传统管理和控制的挑战是空前的,主要表现在三个方面:一是内部控制环节的变化,许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础;二是管理的风险增加,由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,企业信息系统安全性导致的信息技术风险日益增长;三是对复合性高级人才的需求骤增,要求管理者、审计师和咨询人员必须在精通管理和专业的同时熟悉信息系统和网络技术。
信息技术的发展对中国注册会计师和会计师事务所的业务能力提出了更高的要求。国际同行的业务收入中,传统的财务审计服务所占收入比例正在迅速下降,风险控制服务和管理咨询服务收入的比重大大提高,而这些收入增长的部分往往又和IT环境审计、信息系统安全审计服务等技术性审计有关。可以断言,在社会信息化程度迅速提高的今天,如果我国的会计师事务所不及早作好IT技术方面的人才准备,不仅谈不上和国际知名会计师事务所竞争,而且连国内的市场也会丧失殆尽。
尽管目前IT审计在国内的发展仍处于起步阶段,但我们有理由相信,随着互联网时代中国经济和企业信息化、国际化水平的日益提高,IT审计必将成为审计行业的明日之星!
