贵州财经大学会计学院 刘杰 刘雪晴

信息系统审计理论与审计规范文献述评

贵州财经大学会计学院 刘杰 刘雪晴

现代审计的主流是以财务报表审计为代表的对会计信息的检验，对信息系统审计研究的文献极其有限，对信息系统审计规范的研究文献相对更少。本文对信息系统审计目标、审计内容以及审计技术与方法进行回顾与评述，并阐述其对信息系统审计规范的影响，以期为我国信息系统审计规范制定夯实基础，为未来信息系统审计研究提供方向。

信息系统审计 审计目标 审计内容 审计技术与方法 文献综述

一、引言

同财务审计研究相比，信息系统审计研究相对落后，国内学者对信息系统审计的研究文献相对较少。近年来，随着“大数据”、“互联网+”等新研究内容的出现，国内学者对信息系统审计的关注程度越来越少，在北大核心期刊和CSSCI期刊上发表的文章相对较少（如表1所示）。信息系统审计是计算机审计的重要组成部分，大数据环境下的数据式审计离不开信息系统审计。若将信息处理过程视为生产过程，则信息系统是生产信息的机器，开展数据式审计的前提条件为数据是真实、可靠的，而信息系统的可靠性是数据真实、可靠的前提条件。由此可见，信息系统审计在计算机审计中扮演着十分重要的角色。但截止到目前，信息系统审计规范仍散落于各项审计规定之中，国家尚未颁布一套完善的信息系统审计规范。审计规范建设的滞后同理论研究的滞后存在极大的关联性。因此，需要进一步深化信息系统审计理论研究，厘清两者之间的关系，为我国制定制定信息系统审计规范夯实基础，同时让更多的学者关注信息系统审计规范问题研究。

表1 近年来国内学者信息系统审计研究文献统计

信息系统是生产财务数据的“机器”，在审计目标、内容与方法等方面，与财务审计存在着一定程度的差异。有鉴于此，本文将从信息系统审计目标、基本内容以及技术与方法等方面对现有文献加以梳理与评述，分析其对信息系统审计规范研究的影响，推动我国信息系统审计规范的制定，也为未来信息系统审计理论研究和信息系统审计规范研究提供一些方向。

二、信息系统审计目标与信息系统审计规范

审计目标的确定是一种主观见之于客观的行为，是审计活动的出发点和落脚点。一方面具体活动本身总是依存于特定的社会政治经济环境并为其服务，因而，审计目标的内容必须反映其环境的客观需要；另一方面，审计目标本身又是由认识了周围环境的客观需要的理论工作者结合其内在功能而确立的。本部分将在信息系统审计目标分析的基础上，论述信息系统审计目标与信息系统规范之间的关系。

（一）信息系统审计目标的本质分析没有审计，就没有受托经济责任；而没有受托经济责任，也就没有控制（Mackenzie，1966）。审计是确保受托经济责任有效履行的手段，是一种保证或落实受托经济责任的控制机制（Flint，1988）。蔡春（1991）指出，审计的本质目标就是确保受托经济责任的全面有效履行。信息系统审计是现代审计功能的拓展，不同于传统财务审计，信息系统审计的对象为被审计单位的信息系统，这仿佛与受托责任履行不存在任何关联，但信息系统是处理企业信息的“机器”，其产生的信息主要服务于组织的管理活动。随着信息技术在社会经济中的应用，为更好的履行受托经济责任，开展财务报告审计、绩效审计、环境审计等，对财务报告等信息产生的载体进行审计变得十分重要。信息系统审计与财务报表审计、环境审计等的关系如同生产产品的机器与产品一样，对生产产品的机器进行维修，其最终目标是生产更好的产品。信息系统审计的本质也是一种控制活动，其目的在于保证对信息系统的资产保全责任以及对信息系统运行效率等受托责任的全面、有效履行。信息系统审计过程是一个控制过程。信息系统审计师将收集的有关被审计单位信息系统运行活动的数据，与已有的相关内部控制规定以及其它法律规范或者是手工处理的结果等进行比较，来判断被审单位是否在信息系统中嵌入了非法的内部控制措施，是否对计算机硬件、软件等资产履行了保全责任等，并将结果及时传递给管理当局、政府部门与社会公众，通过管理当局控制活动、政府部门的监督活动以及社会公众舆论监督等对被审计单位的行为施加影响，以实现对被审单位的经营管理过程的控制。因此，笔者认为信息系统审计的本质目标仍然是确保受托经济责任的全面有效履行。

（二）信息系统审计的具体目标信息系统审计的具体目标随着周围客观政治经济环境的变化而变化，随着审计对象以及人们主观认识程度的提高而提高。对于信息系统审计的具体目标，国内外学者或机构不存在统一的观点。国际信息系统审计协会（ISACA）认为信息系统审计的具体目标是确定资产得到适当保护，数据完整和具有可靠性、有效性、效率性。Strous（1998）认为，信息系统审计目标包括可靠性、安全性、效率性和效果性等内容，审计人员需要在保证独立性的基础上对被审单位的信息系统做出客观、公正的评价。吴沁红（2002）认为，信息系统审计目标包括安全性、可靠性、有效性和效率性等内容，这同Strous（1998）所提出的观点基本一致。Wulandari（2003）认为信息系统审计的目标是评估和报告系统内部控制、效率性、经济性以及安全性等。刘汝焯（2007）认为信息系统审计目标包括三个方面：评价被审单位数据的真实性与完整性；评价被审单位信息系统的漏洞与薄弱环节；审计评价被审单位信息系统的功能。唐志豪（2007）认为信息系统审计的总体目标与财务审计的总体目标是一致的，即信息系统受托责任的履行情况，而其具体目标包括行为责任目标与报告责任目标两个方面。庄明来、吴沁红、李俊（2008）认为信息系统审计目标是对被审单位信息系统的安全性、可靠性、有效性和效率性发表审计意见。我国于2008年颁布了《内部审计具体准则第28号——信息系统审计》，在该准则中，将信息信息系统审计的目标定位于对被审计单位信息系统是否达成信息技术管理目标进行全面、综合的评价。陈耿、王万军（2009）认为，信息系统审计的目标包括真实性、完整性、合法性、安全性、可用性、可靠性、保密性、效果、效率和效益。张金城、黄作明（2009）认为，信息系统审计的目标包括资产完整性、数据准确性、系统有效性和效率性四个方面。谢岳山（2009）认为联网环境下的信息系统审计目标包括两个方面，即一方面对事关国计民生的重要信息进行审计，从事后审计转向事前、事中审计；另一方面，为审计人员开展数据式审计提供一个安全、可靠的数据审计环境。崔孟修（2012）对国有企业信息系统审计目标进行了研究，研究后认为国有企业的审计目标直接决定着其信息系统的审计目标，即信息系统审计目标为真实性、合法性、效益性等。信息系统审计从本质上讲是确保受托经济责任全面履行的特殊经济控制制度。虽然不同的学者或机构对信息系统审计目标所涵盖的内容持不同的观点，但信息系统审计的目标取决于受托经济责任的分解（如图1所示）。

图1 信息系统审计的具体目标

信息系统审计的受托经济责任包括行为责任和报告责任两个方面。由图1对信息系统所肩负的受托经济责任进行分解，其具体审计目标也可分解为信息系统的资产保全、安全性、可靠性、有效性、效率性、效益性目标以及报告公允性目标，值得关注的是信息系统审计的资产保全目标与效益性目标。随着数据式审计工作的开展，对信息系统这项特殊资产的保全责任也变得越来越重要。与此同时，“索洛生产率悖论”使人们对“信息技术给组织增加了哪些价值”这个问题有了越来越多的认识，也更加关注信息系统的效益性目标。正如前文所述，信息系统审计的目标也是随着周围客观政治经济环境的变化而变化的。对信息系统这项特殊资产的安全目标以及效益性目标也将会变得越来越重要。

（三）信息系统审计目标对信息系统审计规范的影响信息系统审计目标与信息系统审计规范存在着密切的联系，审计目标决定着信息系统审计规范的内容，要实现什么样的目标，就应制定什么样的审计规范；同时也只有制定和实施完善的信息系统审计规范，才能达到既定的信息系统审计目标。信息系统审计的目标包括行为责任目标与报告责任目标两个方面，具体包括保全、安全、可靠、控制、效率、效益以及报等。信息系统审计规范制定机构应当围绕这些具体目标来制定与发布信息系统审计规范。为实现信息系统审计的资产保全目标，在审计规范中应详细规定计算机软硬件等资产的盘查计划、盘查程序等内容；为保证信息系统审计安全性与可靠性目标的实现，安全管理评审、信息系统风险评估、入侵检测、病毒及其它恶意代码、指纹识别控制、安全性评估-穿透测试和弱点分析、系统生命周期评审、应用系统评审等审计指南与审计程序的提供是相当必要的；系统开发生命周期审计、应用系统内部控制评审等规范的提供，则是为实现信息系统审计的有效性与效率性目标；而信息系统审计报告公允性目标的实现要求，准则制定机构应当制定信息系统审计报告的基本准则与审计指南。因此，制定信息系统审计规范，必须考虑审计目标的具体要求，并将审计目标反映在审计规范的各个方面，否则信息系统审计规范就会脱离审计实践，不能有效地发挥审计规范应有的作用。此外，信息系统审计目标的清晰界定对于指导信息系统审计规范的界定有着相当重要的作用，即在信息系统审计规范没有进行约束的区域，信息系统审计人员也可根据信息系统审计目标有计划、有步骤的开展信息系统审计活动。

三、信息系统审计内容与信息系统审计规范

信息系统审计的对象是被审单位的计算机信息系统，涉及信息系统的各个组成部分。为深入分析信息系统审计内容与信息系统审计规范之间的关系，笔者在回顾国内外关于信息系统审计基本内容论述的基础上，以信息系统的组成部分为基础分析信息系统审计的基本内容。

（一）信息系统审计的基本内容同信息系统审计的目标一样，国内外学者或机构对信息系统审计的基本内容也持不同的观点。国外信息系统审计所涵盖的领域比较广泛，James A.Hall（2000）提出了一个用于确定潜在计算机风险关键领域的风险评估模型，并提出信息系统审计与鉴证的关键领域包括计算机操作、数据管理系统、新系统开发、系统维护、电子商务和计算机应用几大部分。ISACA从知识结构的角度认为，信息系统审计可分为六大方面，即信息系统审计程序、IT治理、系统与基础设施的生命周期、IT服务的交付和支持、信息资产的保护以及业务持续和灾难恢复，具体到实践中，信息系统审计存在的形态包括：信息系统专项审计、为财务审计服务的信息系统审计、信息系统建设项目绩效审计等等。国内学者（张毅，1989；张金城，1991；黄颂翔，1995；王如燕，1999，马万民，1999）早期对信息系统审计的研究主要集中在会计信息系统审计的研究上面，信息系统审计所涵盖的内容并不丰富。2000年以后，国内学者开始注重对非财务信息系统审计的研究，信息系统审计的内涵与外延也在不断拓展。王献锋（2000）认为计算机信息系统审计的主要内容包括计算机程序审计、计算机文件审计和计算机内部控制审计。吴沁红（2008）认为信息系统审计内容涵盖信息系统生命周期的各个阶段，从信息系统生命周期维度来看，信息系统审计的内容既涉及系统开发审计又涉及系统运行审计和系统维护审计，包括软硬件获取审计、软硬件管理审计、系统开发审计、系统维护审计、应用系统审计、应用系统控制审计、应用系统安全审计、灾难恢复计划审计等。中国内审协会（2008）在《内部审计具体准则第28号——信息系统审计》中认为信息系统审计通常包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。张金城、黄作明（2009）认为信息系统审计主要包括内部控制系统审计、系统开发审计、应用程序审计、数据文件审计等内容。

尽管国内外学者或机构对信息系统审计所涵盖的基本内容存在着不同的观点，但笔者认为信息系统审计基本内容的界定是基于对信息系统组成部分认识的（如图2所示）。信息系统是由计算机硬件平台、计算机软件平台、应用系统、信息资源、信息用户和运行规程组成的以处理信息流为目的的人机一体化系统。软件平台与硬件平台是信息系统运行的基础，对软硬件平台的管理包括软硬件的获取、管理与维护，具体到信息系统审计实践则表现为软硬件获取审计、软硬件管理审计与软硬件维护审计。系统开发与运行维护构成了信息系统的生命周期。为提高决策者的决策质量，提高信息系统设计的质量以及信息系统开发与获取过程的质量是相当必要的（Boritz，2002），审计人员必须较验输出过程是否可靠（Cash et al.，1977；ASCPA，1994；Cullen，1995）。对信息系统生命周期的审计活动包括系统开发审计、系统交付运行后对应用系统的审计和系统维护审计。对信息资源、信息用户与运行规程的管理活动主要体现在企业或相关部门的内部控制制度上面，包括规划与组织控制、系统开发控制、软硬件控制、操作控制、数据资源控制、系统维护控制以及灾难恢复控制等一般控制制度和输入控制、处理控制与输出控制等应用控制制度，因此，对信息资源、信息用户与运行规程的主要审计内容表现为信息系统内部控制审计；信息系统安全管理与效率、效益和效果评价是信息系统安全运行与持续运作的重要保障，在信息系统审计实践活动中，具体表现为信息系统完全审计和信息系统绩效审计。

图2 信息系统审计的基本内容

由上可见，信息系统审计的基本内容应当包括信息系统内部控制审计、应用系统生命周期审计、信息系统软硬审计、信息系统安全审计与信息系统绩效审计。需要特别指出的是，我国信息系统审计主要是为计算机数据审计的开展夯实基础，提供线索，服务于财务审计。笔者在本文所论述的信息系统审计不仅仅是指为财务审计服务的信息系统审计，而是包括内部控制审计、系统生命周期审计、软件硬审计、安全审计以及信息系统绩效审计等内容。

（二）信息系统审计内容对信息系统审计规范的影响信息系统审计准则在信息审计中起着相当重要的作用（Boritz，2002）。信息系统审计的执行有赖于信息系统审计的内容、审计活动的性质、保证审计活动开展的准则与相关实施机制等（J.E.Boritz，2002）。信息系统审计的基本内容与信息系统审计规范在信息系统审计活动的执行过程中密切相关。信息系统的组成部分构成了信息系统审计的基本内容，而信息系统审计规范则是围绕这些基本内容制定的。清晰界定信息系统审计的基本内容可以促进信息系统审计规范的完善。相反，若信息系统审计内容界定的不清晰在某种程度上会导致信息系统审计规范的不完善。ISACA是信息系统审计规范制定的权威机构，其规范也主要是围绕着ISACA对信息系统审计内容的理解颁布的。ISACA从知识结构的角度认为信息系统审计可分为六大方面，包括信息系统审计程序、IT治理、系统与基础设施的生命周期、IT服务的交付和支持、信息资产的保护以及业务持续和灾难恢复。ISACA基本准则中的审计计划（S5）、审计工作的实施（S6）、审计报告（S7）以及后续工作（S8）、审计计划中风险评估的运用（S11）、审计重要性（S12）等是关于信息系统审计程序的规范，IT治理（S15）、IT控制（S16）是关于IT治理的规范，ISACA审计指南中的企业资源计划系统评审（G21）、系统开发生命周期审核（G23）等关于系统与基础设施生命周期的规范。在审计指南也包括信息系统审计程序、IT治理、IT服务的交付和支持、信息资产的保护等相关指南，本文在此也不进行一一列举。由此可知，我国欲制定信息系统审计规范应当对信息系统审计的基本内容进行清晰界定。

四、信息系统审计技术、方法与信息系统审计规范

在ISACA发布的基本准则《审计报告》（G7）中指出，审计人员的审计报告必须叙述实质性或重大的缺陷，和此缺陷对达到监控标准目标的影响。面对庞大复杂信息系统，不借助于计算机工具和技术对信息系统审计，就可能带来很大的审计风险（庄明来、吴沁红、李俊，2008）。只有采用适当的审计技术与方法，才能在执行信息系统审计时全面充分地了解被审单位信息系统的情况，并有效地开展信息系统审计活动。

（一）信息系统审计技术与方法国外早在20世纪50年代就对信息系统审计技术进行了研究，IBM公司在1956年出版的《The Auditor Encounters Electronic Data Processing》手册中制定了电子数据环境下的内部审计规则和组织方法，介绍了许多诸如测试数据、并行模拟等新的审计技术。美国内部审计师协会在1977年发表了著名的《系统可审计性及控制制度的研究》，简称SAC报告，提出了多种计算机辅助审计技术，是利用计算机对计算机信息系统直接进行审核检查的开创性探索。Wand&Weber（1989）提出了信息系统中不同层次子系统如何追踪传输变化的模型。这个模型为审计人员提供了一个结构化的方法用于识别控制和审计程序需要修正的地方。ISACA（1998，2008）对计算机辅助审计技术（简称CAATs）运用的范围，采用CAATs需要考虑的因素以及CAATs运用的步骤及范围等进行了详细的论述，认为CAATs可运用于交易的详细测试、分析性复核程序、一般控制与应用控制测试以及穿透性测试之中。ISACA（2010）对CAATs与持续审计、持续认证进行了区别，提出CAATs是各种各样的自动化审计技术，而持续审计、持续认证是一种审计方法，同时，ISACA在其审计指南《持续认证》（G42）中对持续审计与持续认证在审计计划、审计实施与审计报告中运用的相关问题进行了深入详细的规定。

国内学者对于信息系统审计技术的研究相对较晚。张金城（1991）鉴于电算化会计信息系统在组织形式、数据处理等方面的变化，对电算化会计信息系统审计技术进行了探讨。葛世伦（1995）初略阐述了绕过计算机进行审计、透过计算机进行审计和运用计算机进行审计以及信息系统审计技术与类型等。吴沁红（2002）在回顾国内外相关文献的基础上，对信息系统审计技术进行了总结，并对综合测试、快照和系统控制审计复核文件等三种并行审计技术进行了深入分析。庄明来、吴沁红、李俊（2008）基于使广大审计人员熟悉信息系统审计技术的思路，对信息系统审计初步审查的技术方法进行了描述，同时认为询问、检查和观察等财务审计中经常使用的方法在信息系统审计中依然适用，但在执行信息系统审计时，询问、检查和观察的内容会有所不同。中国内审协会（2008）认为信息系统审计技术与方法包括询问、观察、审阅、穿行测试、追踪交易、验证系统控制、利用专业机构审计结果等方面。

相比财务审计而言，信息系统本身的复杂性也使得信息系统审计的技术与方法呈现出复杂性的特征。但目前还没有一整套审计技术可以全面解决信息系统审计的所有问题（王振武，2009）。综合国内外学者或机构对信息系统审计技术与方法的观点，信息系统审计技术方法不仅包括在财务审计中试用的询问、检查、观察和函证等审计方法，同时也信息系统审计环境中所特有的审计技术与方法，包括测试数据、综合测试、平行模拟、审计软件、嵌入审计程序、快照、追踪、映像、专家系统、实用软件、系统文档审核等技术方法。面对众多的信息系统审计技术与方法，审计人员或审计机构应根据被审单位信息系统的特点、信息系统审计的目标以及审计人员的技术水平等合理选择一种或多种方法执行信息系统审计活动。同时，信息系统审计技术与方法选择的关键在于CAATs的选择。信息系统审计人员在选择CAATs时应当考虑的主要因素包括信息系统审计人员的计算机知识、技能与经验、时间约束、审计风险水平、信息系统与IT环境的整合程度、运用CAATs代替手工技术的效率和效果以及可适用的CAATs与信息系统基础设施等（ISACA，1998，2008）。在准备采用所选择的CAATs时，信息系统审计人员一般按以下步骤进行（ISACA，1998，2008）：（1）设置CAATs的审计目标，它可能包括在了解被审单位基本情况后认为有必要采用的；（2）确定组织的信息系统设施，包括了解被审系统、被审程序和数据的可获得性和可用性；（3）清楚地了解被审系统处理数据的组成，包括数量、类型、格式和布局；（4）确定采取的程序（如统计样本、重新计算、确认等）；（5）确定输出要求；（6）确定资源要求，如审计人员、计算机辅助审计工具与技术、处理环境（组织的信息系统设施或审计信息系统设施）；（7）获取对被审单位的信息系统设施、应用程序、被审系统和数据，其中包括数据文件的定义；（8）CAATs运用的文档，包括目标、高阶流程图和运行指令。在确定采用CAATs之后，从了解被审单位的基本情况到正确选择CAATs和相关的测试数据，可能需要很多时间，审计人员应当及时与被审单位进行沟通（ISACA，1998，2008）。

（二）信息系统审计技术方法对信息系统审计规范影响信息系统审计是一项技术性较强的审计活动，其执行有赖于信息系统审计技术与方法的选择，审计技术与方法选择的正确与否同信息系统审计的成功与失败密切相关。无论是财务审计准则制定机构发布的财务审计规范，还是ISACA、中国内部审计协会等机构发布的信息系统审计准则都比较重视审计技术与方法的相关规范。中国注册会计师协会在其2006年修订并发布的注册会计师审计准则中，对财务审计方法的相关准则包括《中国注册会计师审计准则第1311号——存货监盘》、《中国注册会计师审计准则第1312号——函证》以及《中国注册会计师审计准则第1314号——审计抽样和其他选取测试项目的方法》等。而在ISACA所发布的信息系统审计指南中，为引导信息系统审计人员选择正确的CAATs，ISACA于1998年发布了信息系统审计指南第3号——利用计算机辅助审计技术（G3），并于2008年根据信息技术发展的现状对G3进行了更新，在G3中，ISACA对选择CAATs所考虑的主要因素、步骤等进行了深入详细的规定。与此同时，在中国内部审计协会2008年发布的《内部审计具体准则第28号——信息系统审计》中也对信息系统审计人员审计技术与方法的选择及其相关问题进行了阐述。在当前环境下，针对信息系统审计技术与方法的复杂多样性，如何引导信息系统审计人员选择信息系统审计技术与方法有赖于相关规范的制定与发布。

五、信息系统审计理论研究深化建议

上述关于信息系统审计理论与信息系统审计规范的研究仅仅是起到了“抛砖引玉”的作用，其目的是希望更多的学者关注信息系统审计理论问题研究。在信息系统审计目标、信息系统审计内容、信息系统审计技术与方法的指引下，可以从以下方面进行研究：

（一）信息系统审计基本内容研究上文对信息系统审计基本内部进行了评述，并提出个人的观点，但上文对于信息系统审计基本内容的研究力度是不够的。虽然信息系统审计与财务审计存在着区别，但两者存在着诸多联系。一般而言，信息系统审计实质是对内部控制的审计，是财务审计或数据式审计的前提。如何实现信息系统审计与财务审计的融合，有赖于准确定位信息系统审计基本内容。

（二）低成本信息系统审计方法与技术研究信息系统审计内容会加大审计人员的工作强度，增加审计成本。因此，开发低成本的信息系统审计方法与技术是未来研究的一个热点问题。

（三）信息系统审计评价标准的制定问题评价标准是信息系统审计的基础。当前，我国尚未制定一套统一的信息系统审计评价标准，审计人员在不同的时点审计同一套信息系统，或者不同的审计人员在审计同一套信息系统时，其所得出的信息系统审计结论往往是不一致的，这与我国信息系统审计评价标准滞后是息息相关的。因此，信息系统审计评价标准的制定也将成为未来研究的一个重要方向。

（四）信息系统审计规范与注册会计师审计规范的整合问题随着企业信息化的深入发展，企业内部控制规则已经逐步嵌入到信息系统中，信息系统审计在注册会计师对上市公司内部控制的审计中扮演着越来越重要的角色。与此同时，注册会计师进行财务审计的数据来源于信息系统，信息系统的可靠性直接决定着财务审计数据的可靠性。审计规范是指导审计人员开展审计工作的指南，信息系统审计规范是注册会计师审计规范不可或缺的重要组成部分。因此，如何整合信息系统审计规范与注册会计师审计规范将成为未来信息系统审计规范研究的方向。

（五）大数据时代下的信息系统审计规范制定问题人类社会进入21世纪后，信息存储的介质发生了深刻变化，审计人员置身于大数据环境之中，“生产”数据的信息系统直接决定着数据式审计的效果。一旦数据式审计开展的前提条件数据不可靠，那么数据式审计将演变成“数字游戏”，审计结论也将毫无意义。由此可见，数据式审计应当更加重视信息系统审计，而数据式审计条件下的信息系统审计的方法、流程也是值得探讨的。

（六）注册会计师审计规范、政府审计规范、内部审计规范与信息系统审计规范的资源整合问题当前，我国的信息系统审计规范散落于注册会计师审计规范、政府审计规范以及内部审计规范之中，这在成本上是不经济的，也不利于我国制定出一套成熟、完善的信息系统审计规范。因此，学者们从博弈论、制度学经济的视角分析整合注册会计师审计、政府审计和内部审计的信息系统审计规范制定资源，以提升我国信息系统审计规范的科学性与合理性。

［1］谢岳山：《联网环境下信息系统审计的体系结构》，《审计研究》2009年第5期。

［2］吴沁红：《信息系统审计内容分析》，《财会月刊》2008年第10期。

［3］唐志豪：《信息系统审计理论结构研究》，《财会月刊》2007年第3期。

［4］李丹：《美国信息系统审计发展的历史和现状》，《中国审计》2008年第3期。

［5］吴沁红：《信息系统审计研究》，财政部财政科学研究所2002年博士学位论文。

［5］蔡春：《审计理论结构研究》，东北财经大学出版社2001年版。

［6］庄明来、吴沁红、李俊：《信息系统审计内容与方法》，中国时代经济出版社2008年版。

［7］陈耿、王万军：《信息系统审计》，清华大学出版社2009年版。

［11］萧应达：《比较审计学》，中国财政经济出版社1991年版。

［12］刘汝焯等编著：《计算机审计——概念、框架与规则》，清华大学出版社2007年版。

［13］张金城、黄作明：《信息系统审计》，清华大学出版社2009年版。

［14］［美］詹姆斯·A·霍尔（Jame A·Hall）著，李丹等译：《信息系统审计与鉴证》，中信出版社2003年版。

［15］Flint,D．Philosophy and Principles of Auditing:An Introduction．Macmillan Education Ltd,1988:12.

［16］ISACA IS Standards,Guidelines and Procedures for Auditing and Control Professionals.ISACA,2009．

［17］Strous,L．Audit of Information System:The Need for Cooperation.Paper presented at the 25th Conference on Current Trends in Theory&Practice of Informatics,Jasna,Slovaikia, 1998．

［18］Wulandari,S.S.Information systems audit adopted as an assurance service in accounting firms.Ingenious,2003,Vol. 1,No.1：2.

（编辑 刘姗）