【摘要】 现代审计的主流是财务报表审计，对信息系统审计研究的文献极其有限，且缺乏对信息系统审计研究文献的梳理与评说，这必然影响信息系统审计规范研究。有鉴于此，文章以计算机信息系统为背景，对与此相关的审计文献进行回顾与评述。
　　【关键词】 信息系统；审计线索；审计规范；审计风险
　　
　　1954年，通用电气公司运用计算机进行工资核算成为企业运用计算机信息系统的开端。计算机信息系统有利于企业经营管理效率的提高，成为企业经营管理必不可少的工具，然而计算机信息系统也对审计线索、审计工作以及审计规范等方面产生了巨大影响。因此，笔者从计算机信息系统对上述三方面的影响对该领域的文献进行回顾与评述。
　　
　　一、对审计线索的影响
　　
　　（一）对审计线索影响的文献回顾
　　审计过程实质上是不断收集、鉴证和综合运用审计证据的过程。在手工数据处理系统中，存在着大量肉眼可见的审计线索，对手工数据处理系统的审计，就是建立在这种肉眼可见的审计线索之上。而在计算机信息系统中，传统的凭证、账簿、报表等文字记录消失，取而代之的是存储在电子介质上的相关信息。对于组织来讲，信息技术的运用给企业带来了新的商业风险，例如日益依赖于计算机系统，消除了传统的纸质审计线索，在电子媒介上保留记录，日益依赖于交易伙伴，减少人为因素的介入，依赖于EDI网络、数据交易系统和过程（Pearson，1996；Pirie & Sheehy，1996；
　　Ratnasingham1998；Cullen，1995），越来越多的组织开始关注保存信息系统审计线索问题（Caroline Allinson，2001）。纸质记录的消除也给管理层和审计人员带来了相当重要的问题，纸质记录仍然需要被保留，因为它们可以保证“充分的数据以恰当的格式和足够长的时间被保留，以满足法律和审计的需要，提供会计责任的依据”（Jamieson，1994）。审计师事务所应当强调对控制的可靠性测试，而不是实质性测试，因为随着对计算机控制的日益依赖，减少纸质文档，审计线索将不会长时间的在线保留。由于审计证据类型和地点的改变，仅有少量纸质文档或者没有纸质文档，传统实质性测试将很难执行，这时也会考虑大量运用计算机辅助审计技术（Jamieson，1994）。审计人员不能认为EDI环境是更加简单和自动化，在执行控制测试时，识别证据的类型和地点与以纸介质为基础的系统不同，审计人员需要测试和评估电子签名，更进一步的，审计人员需要执行对相关控制和主要证据更广泛的收集，超越具体循环或子系统提供必要的证据。同时，一些形式的证据由于在组织、交易伙伴或增值网（VAN）中信息保留政策，不可能存在很长的时间。审计人员需要考虑将什么时候收集证据（Stein & Rittenberg，1995）。计算机网络环境已经对审计活动产生了重大影响，有必要以风险导向审计观念为主导，实施计算机网络环境下的详细审计。网络环境下的详细审计应当借鉴早期详细审计的具体做法，将详细审计的重点定位于系统的输入口，对于电子化、网络化的原始凭证，在进行逐项审计之前，必须对其网络传递安全性进行确认（庄明来，2003）。审计线索的变化也对审计准则的制定与颁布产生了重要影响。在中国注册会计师协会2006年颁布的审计准则之中，多处涉及电子审计证据的获取与检查，以及其可靠性和相关性鉴证，其中《中国注册会计师审计准则第1301号——审计证据》明确将电子介质的记录形式列为审计证据，同时认为它比口头形式的审计证据更可靠（庄明来，2008）。
　　（二）对我国审计规范制定的启示
　　计算机信息系统的运用从审计线索中排除了纸质文档，其本质是消除了许多传统的内部控制方式，需要审计人员在思想观念、审计工作组织方式等方面发生深刻的转变。审计线索的变化也催促着制定与发布相关审计规范以应对审计线索发生变化后的审计取证问题。ISACA为应对审计线索发生变化后，审计取证所面临的各方面问题，发布并实施了信息系统审计指南第22号《计算机取证》。在审计指南第22号中，ISACA首先对计算机取证进行了定义，其次对审计人员在审计取证中的电子数据传输有效性识别、各方交易内容的识别、欺诈识别以及审计取证中的数据保护、数据获取和审计报告中审计证据选取等问题提供了相应的指南。因此，为应对计算机信息系统对审计线索的影响，我国审计准则制定机构应尽快制定与颁布计算机取证方面的规范。
　　
　　二、对审计风险的影响
　　
　　（一）对审计风险影响的文献回顾
　　信息技术的运用历来都是一把双刃剑，在提高财务审计、绩效审计以及信息系统审计效率的同时，也给审计机构或审计人员带来了不容忽视的审计风险。信息技术的发展给组织带来了新的风险，内部审计人员、外部审计人员以及IT专家应当在评估和管理这些风险的过程中扮演重要的角色，但通过调查发现内部审计人员主要集中于传统IT风险与控制，例如IT资产保护、应用程序、数据完整性、隐私和安全，很少关注系统的开发与获取问题（Dana R. Hermanson etc，2000）。进行信息系统审计时，必须识别与新技术相联系的风险，内部审计应该通过建立、监测预警指标和运用一套完整的风险评估程序关注高度优先领域。有意义的早期预警指标能够识别威胁以及提供精确程度高的现场指标，对现场指标的需求是基于对没有检测到的威胁经过一段时间可能会发生的考虑（Burns & Sorton，1991）。同时，Burns和Sorton还认为电子信息传输中的早期预警指标应该强调揭示三种类型风险因素，即固有风险、控制风险和控制结构风险。Sally Wright和Arnold M. Wright（2002）通过对五大会计师事务所的信息系统审计人员进行调查发现，识别供应链ERP子系统与支付子系统存在着较高的控制风险和安全风险。对企业ERP系统的鉴证活动应将重点放在对系统过程的鉴证，而不是将重点放在信息系统输出结果的鉴证上。Kinney（2003）认为理解信息技术对风险、风险评价和风险管理的影响，需要深入理解外部因素和内部因素在企业组织运用信息技术中的不同影响。Diane Janvrin等（2009）对与计算机相关程序的运用以及控制风险评估和事务所大小是否影响计算机相关审计程序的运用进行了实证检验，研究结果发现计算机审计程序的运用取决于审计人员对被审单位系统的了解以及与计算机相关的内部控制的测试。而且，42.9%的审计人员计算机审计程序的运用依赖于内部控制，这个比例在四大会计师事务所会更高。
　　（二）对我国审计规范制定的启示
　　信息系统的风险，同其它审计对象的风险相比，更具有隐蔽性，破坏性更强，舞弊手段及方法更为先进。为引导信息系统审计人员应对计算机信息系统对审计风险的影响，强化信息系统审计风险的管理与控制，有关风险评估方面的信息系统审计规范发挥着不可替代的作用。国外准则制定机构相当关注信息系统审计风险问题，为引导审计人员应对审计风险，ISACA早在2000年就发布的信息系统审计指南第13号《审计计划中风险评估的运用》。我国在信息系统审计的风险评估方面还基本上处于空白状态。因此，为应对计算机信息系统对审计风险的影响，我国审计准则制定机构应尽快制定与颁布信息系统审计风险评估方面的规范。
　　
　　三、对信息系统审计规范的影响
　　
　　（一）对信息系统审计规范影响的文献回顾
　　
　　电子数据处理、MIS、ERP等信息系统在企业的广泛应用，改变了人类社会利用信息资源的能力与方式，但随着信息技术应用的普及，利用信息技术进行欺诈和舞弊的犯罪事件也不断出现。1973年1月，美国“产权基金公司”的保险经验商利用计算机进行欺诈，诈骗金额高达数亿美元，负责该公司审计的事务所也被判赔偿损失，这件事情引起了美国审计界的震惊，使得人们开始重视信息系统审计 。国外审计准则制定机构为满足信息系统审计实践的需求也不遗余力的致力于信息系统审计规范的制定与颁布。AICPA于1974年发表了《电子数据处理对审计人员影响的调查与内部控制评估》成为对电子数据处理系统实施审计的标准，为信息系统审计提供了指导和依据。日本注册会计师协会也于1976年发表了《使用电子计算机的会计组织的内部控制制度质问书（修订案）》、《电子数据处理系统的审计标准及审计过程案例》和《电子数据处理系统审计方法》等，作为对信息系统审计执行的强制标准。美国EDP审计师协会1984年发布的《EDP控制的目标》提出了信息系统的系列控制标准，随后于1987年发布了《信息系统审计的一般准则》，为信息系统审计活动提供了一般准则，指导审计人员的审计实践活动。而日本通产省下属的“计算机安全研究会”于1985年发表了《IT审计标准》，认为“随着信息系统网络化的进展，仅仅是系统内部的审计是不充分的，有必要尽早地引入由具有专门知识与技术的、与系统没有直接关系的第三方（信息系统审计师）对信息系统的安全、可靠等进行全面检查……”等观点。
　　进入20世纪90年代以后，信息技术的迅速发展使得信息系统越来越复杂化及网络化，如何确保信息系统的安全、可靠和有效变得越来越重要，审计实践对信息系统审计规范的需求也日益强烈。美国EDP审计师协会也于1994年正式更名为信息系统审计与控制协会（ISACA），致力于信息系统审计准则、审计指南以及审计程序的颁布。截止2010年4月，ISACA共发布了16项基本准则、41项审计指南和11项作业程序，对信息系统审计的程序、技术、方法以及目标等进行了详细深入的规定。为配合外部审计人员的信息系统审计活动，国际内审协会（IIA）为适应信息系统审计的需要也于2006年颁布了IT风险评估指南（GAIT）与全球技术审计指南（GTAG），GAIT是为管理者和外部审计师提供了一种识别IT控制中的关键控制点的方法，而GTAG中用于解决董事会和高级经理关心的问题，提供了有关信息技术管理、控制或安全方面最及时的问题。截止2009年9月，IIA共发布了12个全球信息技术审计指南。与此同时，IT治理协会（Information Technology GovernanceInstitute，简称ITGI）在吸收借鉴了41个国际性文档研究成果的基础上于1996年、1998年、2000年、2005年分别颁布了Cobit1.0，Cobit2.0，Cobit3.0，Cobit4.0，并于2007年5月将Cobit更新到4.1版本。信息系统审计领域这一系列规范有利于指导审计人员从事信息系统审计活动，为整合信息系统审计领域的已有规范，并弥补ISACA所发布的基本准则、审计指南以及审计程序的不足，ISACA于2008年4月又推出IT鉴证框架（ITAF），借助统一的框架整合这些规范。尽管ITAF目前还只是一个由基本准则（包括一般准则、执业准则和报告准则）、审计指南、工具与技术三部分组成的框架结构，但ISACA则希望ITAF作为一个“活文档”，可以在该框架下不断完善。
　　随着我国企业信息化、政务信息化等工程的开展，信息系统审计实践也得到迅速发展，“透过计算机审计”①已经成为国家审计、内部审计以及注册会计师审计对信息系统审计的必然。在计算机信息系统与网络环境的影响下，我国政府和信息系统审计实践部门也开始重视信息系统审计规范的制定与发布。审计署京津冀特派办在2005年发布了《计算机审计操作规则》、《审计中间表创建和使用管理规则》和《数据分析报告撰写规则》等操作规则之后，又于2006年9月发布了《信息系统审计操作规则》、《网上审计操作规则》以及《审计数字化应用规则》等审计信息化建设的规则。中国内部审计协会为了规范组织内部审计机构及人员开展信息系统审计活动，保证审计质量，于2008年根据《内部基本审计准则》制定并颁布了《内部审计具体准则第28 号——信息系统审计》。尽管“内审准则28号”存在诸多缺陷，却是我国第一个真正意义上的信息系统审计准则。与此同时，为了应对信息系统广泛应用企业所带来的一系列问题，越来越多的学者也开始关注如何在当前条件下完善我国的信息系统审计规范体系，以指导信息系统审计实践。李丹（2002，2003）对我国开展信息系统审计的紧迫性、面临的问题以及未来的发展前景进行了研究，认为我国信息系统审计面临的问题包括审计观念的转变、信息系统审计的专业人才以及行业准则与实务指南，应加快行业准则与实务指南的制定。汪家常、许娟（2003）认为与发达国家相比，我国计算机审计准则缺乏操作层次规范，弱化实际应用性，内容时效滞后，内控制度过于笼统，审计风险评价乏力，重构我国计算机审计准则系统，应本着系统性、完整性、实用性原则，科学规划一般准则和具体审计指南。在借鉴国外先进经验，制定计算机审计准则时，应保持中国特色。王景东（2003）认为目前我国信息系统审计是计算机审计中最为薄弱的环节，既没有形成一个较为完善的能够指导实践的规范和准则体系，也没有较为成熟的适合实践的可供借鉴的案例和经验。胡晓明（2005）提出我国应在国家审计署下成立专门的信息系统审计研究中心，负责对信息系统审计标准、操作指南、职业规范体系进行研究。陈婉玲、杨文杰（2006）在介绍了ISACA的信息系统审计准则及其发展的基础上，简要讨论了我国计算机审计发展的现状与准则建设情况，提出了我国在建设信息系统审计准则体系时，可以借鉴ISACA的做法，也采用三个层次体系结构，以基本准则为核心，统领审计指南和作业程序，从而使整个准则体系不断扩展、完善。唐志豪（2007）认为信息系统审计包括技术性规范和社会性规范，其中技术性规范是指信息系统审计标准，社会性规范是指审计职业道德规范和法律规范。庄明来、吴沁红、李俊（2008）回顾了与信息系统审计相关的规范发现，我国信息系统审计人员开展信息系统审计主要参考ISACA组织颁布的信息系统审计准则和我国审计准则中关于计算机审计的部分，这种现状不适合我国信息化快速发展的现状，也不适应信息系统审计事业的发展。我国在制定专门的信息系统审计准则时应注意准则体系问题、准则制定的方法问题以及信息化相关法规的完善等方面。张金城、黄作明（2009）对我国与信息系统审计相关的规范进行了回顾，认为我国至今仍然没有正式的信息系统审计准则。
　　（二）对信息系统审计规范制定与研究的启示
　　电子数据处理、MIS、ERP等信息系统的广泛应用使得原有审计准则已经不能满足对信息系统审计的要求。因此，需要在原有审计准则的基础上，建立一系列新的审计准则以满足对信息系统审计的需求。国外审计准则制定机构为适应信息社会发展的要求，从20世纪70年代就已经开始对信息系统审计规范进行理论与实务研究，在审计规范的数量与质量方面都优于我国。因此，在呼吁我国相关准则制定机构加快制定适合我国国情信息系统审计规范的同时，我们还应当认识到，国内学者对计算机信息系统审计规范的研究大都在简要介绍ISACA审计准则以及与计算机审计相关的准则，没有对ISACA所发布的信息系统审计准则体系进行完整系统的研究。然而，通过调查研究发现在信息系统审计实践中，部分审计机构为更好地开展信息系统审计活动已经开始尝试着颁布适用于指导和约束审计人员行为的信息系统审计操作规则，如审计署京津冀特派办于2006年9月发布的审计信息化操作规则，但这些实践在学术研究中并没有得到体现，理论研究落后于实践，没有真正起到理论指导实践的作用。
　　
　　基于以上对国内信息系统审计规范研究现状的认识，我国在信息系统审计规范体系的建设过程中需要解决以下几个问题：一是厘清信息系统审计理论结构与信息系统审计规范之间的关系进行分析。众所周知，信息技术发展的摩尔定律使得其发展日新月异，新兴的信息系统审计领域不断出现，分析信息系统审计理论结构与信息系统审计规范之间的关系，有助于在信息系统审计规范制定无法跟上的时候指导审计人员的审计行为；二是对国外信息系统审计规范进行完整、系统的回顾与评述。国外存在着大量诸如ISACA审计准则、GAIT和GTAG以及Cobit等审计规范资源，深入分析这些审计规范有助于夯实我国信息系统审计规范体系完善基础；三是国内学者对我国信息系统审计规范现状的研究基本上都停留在介绍我国与信息系统审计相关规范的基础上，对我国信息系统审计规范供给与需求不均衡的深层次问题缺乏探讨。因此，有必要深入剖析我国信息系统审计规范的现状；四是分析我国信息系统审计规范的框架结构，同时对我国信息系统审计规范制定的路径选择问题进行探讨。
　　
　　【主要参考文献】
　　［1］ Pearson， M.Auditing in a paperless environment［J］.Ohio CPA Journal， 1996， Vol. 55 No. 3：31-32.
　　［2］ Ratnasingham， P.Internet-based EDI trust and security ［J］.Information Manage- ment and Computer Security， 1998， Vol. 6， No. 1：33-39.
　　［3］ Cullen， S.Electronic data interchange： implementation and control issues ［J］.Perspective on Contemporary Auditing， ASCPA Audit Centre of Excellence， 1995：58-66.
　　［4］ Caroline Allinson.Information Systems Audit Trails in Legal Proceedings as Evidence ［J］.Computers & Security， 2001， Vol.20， No.5：409-421.
　　［5］ Jamieson， R.EDI： An Audit Approach， Monograph Series 7［J］.The EDP Auditors Foundation， USA， 1994.
　　［6］ Dana R. Hermanson， Mary Callahan Hill， Daniel M. Ivancevich.Information Technology—Related Activities of Internal Auditors［J］.Journal of Information Systems， 2000 supplement， vol.14：39-53.
　　［7］ Diane Janvrin， James Bierstaker， D. Jordan Lowe.An Investigation of Factors Influencing the Use of Computer-Related Audit Procedures ［J］.Journal of Information Systems， 2009， Vol. 23， No. 1：97-118.
　　［8］ ISACA IS Standards， Guidelines and Procedures for Auditing and Control Professionals ［R］.ISACA， 2009.
　　［9］ IIA.GAIT Summary［R］.2007.
　　［10］ 刘杰.我国信息系统审计规范体系研究［D］.厦门大学博士学位论文，2010.
　　［11］ 李丹.美国信息系统审计发展的历史和现状［J］.中国审计，2008（3）：25-27.
　　［12］ 李丹.信息系统审计——传统审计的一场革命［J］.中国审计，2002（3）：57-58.
　　［13］ 李丹.信息系统审计系列专题研讨（一）信息系统及控制审计的现状与发展［J］.中国审计，2003（1）：67－69.
　　［14］ 汪家常，许娟.计算机审计准则体系重构［J］.安徽工业大学学报（社会科学版），2003（5）：54－57.
　　［15］ 王景东.财政审计的深化：信息系统审计［J］.中国审计，2003（5）：77－78.
　　［16］ 庄明来，吴沁红，李俊等.信息系统审计内容与方法［M］.北京：中国时代经济出版社，2008.
　　［17］ 庄明来，阳杰.美国IT控制的审计规范体系解读与启示［J］.经济管理，2009（11）：125-129.
　　［18］ 胡晓明.我国信息系统审计的发展战略研究［J］.学习与探索，2005（5）：204－206.
　　［19］ 唐志豪.信息系统审计理论结构研究［J］.财会月刊，2007（3）：59－61.
　　［20］ 张金城，黄作明.信息系统审计［M］.北京：清华大学出版社，2009.
　　［21］ 审计署京津冀特派办.信息系统审计操作规则［Z］.2006.