美国信息系统审计发展的历史和现状

美国信息系统审计发展的历史和现状
审计署国外贷援款项目审计服务中心李丹
一、概述
美国是开信息系统审计最早的国家，迄今为止已经发展了近40年。

美国也是目前信息系统审计发展最快、最全面的国家。

为了全面地了解信息系统审计在美国的发展历程及当今信息系统审计在美国的发展现状，并从中总结和发现信息系统审计的发展规律，供我国审计部门及审计工作者借鉴，本文从审计方法的发展、信息技术的发展、信息系统审计的法律、标准以及信息系统审计职业团体等几个角度来描述信息系统审计在美国发展的历程和当前的开展状态。

二、信息系统审计在美国的发展历史
信息系统审计是审计的一个分支，它是随着计算机信息技术的发展以及这种技术对审计对象及审计人员本身所产生的影响而产生发展起来的。

为了研究信息系统审计发展的历史，我们还要从审计的产生以及信息技术的发展对审计对象和对审计人员产生的影响来对这一历史进程加以考察。

（一）1940年代之前：
工业革命所导致的企业经营方式的转变是审计产生根本原因（审计的产生和早期的发展）。

1750年至1850年之间在英国兴起的工业革命使得经济的发展进入了一个新的历史时期。

其中一个重要的变化是由职业经理人代替了企业的所有者来对企业的的经营进行管理，也就是我们常说的所有权与经营权分离。

这种分离的结果直接导致了对独立审计人员的需要。

企业所有者聘请审计人员对企业经营人员的工作进行审查。

这种审查后来发展成为定期的审计，“独立审计师报告”也就随之产生。

由于对发生的所有业务进行全面详细检查是不经济甚至是不可行的，“测试”（抽查）的概念也就在这一时期产生。

由于不是全面检查，抽查被认为是现代审计的局限性之一。

与此同时，由于对现金的管理和复式记账的运用，控制的概念也逐渐被人们所认识。

但这时人们对控制的认识还没有达到使审计方法产生变革的程度。

1905年至1930年，在审计目标方面，英国和美国各自经历了两条不同的道路。

在美国，审计目标逐渐从舞弊的检查转变为对被审计单位的真实财务状况进行报告，并且大量运用抽查的方法。

在英国，审计的主要目标仍然是舞弊的检查，并且主要采用详细审查的方法。

虽然这时对内部控制的好处有所认识，但这种认识对审计程序的性质、时间及程度并没有产生太大的影响。

在1933年至1940年期间，更加柔和的审计目标被人们所接受，这一点在标准的审计报告中的用词有所反映。

在美国，审计报告的用词是：所审计的财务报表是否“公允地反映”了企业情况。

而在英国，审计报告的用词更加清晰，他们的说法是“真实
和公允”。

（二）1940年代:
第一台计算机诞生；内部控制的概念使得审计方式发生转变。

1946年2月15日，世界上第一台通用电子数字计算机“埃尼阿克”（ENIAC）宣告研制成功。

“埃尼阿克”的成功，是计算机发展史上的一座纪念碑，是人类在发展计算技术的历程中，到达的一个新的起点。

“埃尼阿克”计算机的最初设计方案，是由36岁的美国工程师莫奇利于1943年提出的，计算机的主要任务是分析炮弹轨道。

美国军械部拨款支持研制工作，并建立一个专门研究小组，由莫奇利负责。

总工程师由年仅24岁的埃克特担任，组员格尔斯坦是位数学家，另外还有逻辑学家勃克斯。

“埃尼阿克”共使用了18000个电子管，另加1500个继电器以及其它器件，其总体积约90立方米，重达30吨，占地170平方米，需要用一间30多米长的大房间才能存放，是个地地道道的庞然大物。

在审计方法方面，到了1940年，抽查成为了主流，而详查成为了例外。

同时，人们普遍认识到充分的“内部核查”（当时人们对内部控制的叫法）可以减少审计人员抽查的工作量。

从那时起，审计人员对内部控制的重要性有了越来越深刻的认识。

内部控制成为确定审计程序的性质、时间和范围的重要因素。

由于这一时期计算机技术主要是应用于军事领域，并没有应用于企业的管理，因此，IT审计及IT审计人员还无从谈起。

但内部控制概念在审计中的应用，为后来信息系统审计打下了伏笔。

（三）1950年代：
计算机化的会计系统出现。

1954年，通用电气公司第一次使用了计算机化的会计系统。

计算机技术应用于会计系统，改变了数据的存储、提取和控制方式。

这给审计人员提出了新的挑战。

由于这时采用的是大型计算机，并且只有少数技术人员才能通过编程来使用计算机。

这时的审计人员没有能力对这样的计算机系统程序内部处理过程进行检查，只能根据计算机处理的原始数据，直接对计算机的处理结果进行人工核对。

这种方式被称为“绕过计算机审计”。

这种情况一直持续到1960年代中期。

（四）1960年代：
从1960年代中期开始，出现了更加小型和廉价的计算机。

计算机在商业领域的应用不断增加。

这就要求审计人员要了解和熟悉相关商业领域的EDP（电子数据处理）。

同时会计软件的种类也多了起来。

1960年代还产生了MRP（物料需求计划）软件，它主要用于采购管理和库存控制。

其主要的功能是利用物料清单、库存数据和生产计划计算物料的需求。

MRP可能看做是当今流行的ERP软件的雏形。

这时审计人员认识到，他们自己也需要能够满足审计工作需要的软件产品，并过努力开发出了第一个通用审计软件。

1968年，美国注册会计师协会邀请“八大”会计事务所共同参与，开展EDP审计研究，出版了《审计和EDP》一书。

该书介绍了如何开展EDP审计，并举例说明如何进行内部控制检查。

1960年代还是互联网的萌芽期。

1961年：美国麻省理工学院的伦纳德·克兰罗克(Leonard Kleinrock)博士发表了分组交换技术的论文，该技术后来成为了互联网的标准通信方式；
1969年：美国国防部开始起动具有抗核打击性的计算机网络开发计划"ARPANET"；
在电子商务方面，EDI也在60年代末期产生。

当时的贸易商们在使用计算机处理各类商务文件的时候发现，由人工输入到一台计算机中的数据70%是来源于另一台计算机输出的文件，由于过多的人为因素，影响了数据的准确性和工作效率的提高，人们开始尝试在贸易伙伴之间的计算机上使数据能够自动交换，EDI（Electronic Data Interchange电子数据交换）应运而生。

EDI是将业务文件按一个公认的标准从一台计算机传输到另一台计算机上去的电子传输方法。

由于EDI大大减少了纸张票据，因此，人们也形象地称之为“无纸贸易”或“无纸交易”。

从1960年开始，全世界范围内的审计行业都经历了一个人力成本大幅上升的时期。

商业领域的业务的复杂程度也日益增加。

同时，计算机化的信息系统展现出了强大的生命力。

所有这些因素，都迫使审计行业寻找一种更加有效并且是高效审计方式。

从1960到1980年期间，通过对内部控制的可靠性进行评估来确定审计程序的性质、时间和范围的方式得到了广泛的认同。

这种方式又被称为“基于系统的审计”（制度基础审计）。

在这期间，统计学的方法也被引入到审计工作中，用来确定抽查的范围。

但统计学方法的使用并不广泛。

在信息系统审计发展的历史上也许是最为重要的事件也在1960年代发生。

1967年，对计算机系统控制进行审计的工作变得越来越重要。

几名从事该项工作的人员相聚在一起，讨论建立一个为该领域集中提供信息交流和工作指导的平台。

1969年，他们正式成立了信息系统审计的行业组织—EDP（电子数据处理）审计师协会。

（五）1970年代：
1971年计算机发展到大规模集成电路时代，计算机开始应用到了各个领域。

信息技术在企业中的应用在这个时期进入了第二阶段--闭环MRP。

在MRP的基础
上，集成了能力需求计划、生产和采购，形成反馈，构成封闭的循环。

在互联网方面，1971年，位于美国剑桥的BBN科技公司的工程师雷·汤姆林森(Ray Tomlinson)开发出了电子邮件。

此后ARPANET的技术开始向大学等研究机构普及；
在审计方法方面，大约在1972年左右，审计风险的概念开始在审计行业中流行起来。

在信息系统审计方面，发生在美国的“美国权益融资公司”的案例使得信息系统审计在方法上取得了一项重大突破。

从1964年到1973年，美国权益融资公司的管理人员通过运用虚假的保险的政策来虚增利润，从而使公司的股票大幅上涨。

如果不是有人举报，这种行为很可能还会持续更长的时间。

该行为被揭发后，由Touche Ross 审计事务所花了两年的时间对其进行审计，证实了该公司的保险政策是虚假的。

在这次审计中，审计人员首次采用了“通过计算机审计”的方式来进行审计。

1976年EDP审计师协会设立了一项教育基金来支持大规模的研究工作，以扩大“IT治理和控制”行业的影响力。

1977年，该协会出版了行业标准“COBIT”（“信息及相关技术环境下的控制目标”）。

1978年该协会推出了CISA（注册信息系统审计师）资格认证。

（六）1980年代：
信息技术在企业管理中的应用在1980年代主要体现在MRPII（制造资源计划）的产生。

MRPII是在MRP的基础上，集成了财务、供销链管理和制造，构成了完整的企业管理流程。

另外，互联网在1980年代有了新的发展。

1983年：ARPANET宣布将把过去的通信协议"NCP(网络控制协议)"向新协议"TCP/IP(传输控制协议/互联网协议)"过渡；
1986年：思科公司生产第一台路由器，从此将世界各地的人、计算设备以及网络联结起来；
1988年：美国伊利诺斯大学当时的学生史蒂夫·多那(Steve Dorner)开始开发电子邮件软件"Eudora"；
在审计方法方面，1980年开始，审计成本的压力不断上升，要求审计工作的开展不仅要注重效果而且还要注重效率。

从那时起一直到现在，在实践中人们对审计风险概念的重视程度越来越高。

审计事务所在审计中纷纷采用“基于风险的审计方法”。

通过这种方法，审计人员可以确定审计程序的性质、时间和范围。

这种方法是基于对财务报表中可能存在的重大错误的风险进行评估展开的。

（七）1990年代：
信息技术在企业管理中的应用在1990年代初进入了第四阶段--ERP（企业资源计划）阶段。

在MRPII的基础上，采用了更先进的IT技术，如INTERNET网络技术、图形界面、第四代计算机语言、关系型数据库、客户机服务器型分布式数据库处理、开放系统和简化集成等。

在功能方面，ERP的功能更强大，能够支持多种制造类型和混合制造，集成了整个供应、制造扣销售过程，并将系统延伸到供应商和客户。

同时，系统集成程度更强，能够支持企业的全球运作。

随着ERP作为企业管理工具功能的不断加强，其应用领域也扩展到金融、通信、零售和高科技等第三产业。

1991年：CERN(欧洲粒子物理研究所)的科学家提姆·伯纳斯李(Tim Berners-Lee)开发出了万维网(World Wide Web)。

他还开发出了极其简单的浏览器软件。

此后互联网开始向社会大众普及；
1993年：伊利诺斯大学美国国家超级计算机应用中心(National Centre for Supercomputing Applications)当时的学生马克·安德里森(Mark Andreesen)等人开发出了真正的浏览器"Mosaic"。

该软件后来被作为Netscape Navigator推向市场。

此后互联网开始爆炸性普及。

90年代以来，电子商务开始在国际互联网上开展起来。

由于使用VAN的费用很高，仅大型企业才会使用，因此限制了基于EDI的电子商务应用范围的扩大。

20世纪90年代中期后，国际互联网（INTERNET）迅速走向普及化，逐步地从大学、科研机构走向企业和百姓家庭，其功能也已从信息共享演变为一种大众化的信息传播工具。

从1991年起，一直排斥在互联网之外的商业贸易活动正式进入到这个王国，因此而使电子商务成为互联网应用的最大热点。

以直接面对消费者的网络直销模式而闻名的美国戴尔（Dell）公司1998年5月的网上销售额高达500万美元，该公司期望2000年网上收入占总收入的一半。

另一个网络新贵亚马逊（）网上书店的营业收入从1996年的1580万美元猛增到1998年的4亿美元。

eBay公司是互联网上最大的个人对个人的拍卖网站，这个跳蚤市场1998年第一季度的销售额就达1亿美元。

象这样的营业性网站已从1995年的2000个急升为1998年的42.4万个。

利用互联网开展电子商务比基于EDI的电子商务具有以下一些明显的优势：
1）费用低廉：由于互联网是国际的开放性网络，使用费用很便宜，一般来说，其费用不到VAN的四分之一，这一优势使得许多企业尤其是中小企业对其非常感兴趣； 2）覆盖面广：互联网几乎遍及全球的各个角落，用户通过普通电话线就可以方便地与贸易伙伴传递商业信息和文件；
3）功能更全面：互联网可以全面支持不同类型的用户实现不同层次的商务目标，如发布电子商情、在线洽谈、建立虚拟商场或网上银行等；
4）使用更灵活：基于互联网的电子商务可以不受特殊数据交换协议的限制，任何商业文件或单据都可以直接在屏幕上填写，与现行的纸面单证格式看起来完全一致，不需要再进行翻译，任何人都能看懂或直接使用。

1998年AT&T公司的IT故障使全世界的商务和通讯受到了重大影响。

由于软件和程序的错误，一台主要的交换机产生故障，许多信用卡用户在长达18个小时的时间里无法完成正常的交易。

这类事件的发生使得人们开始关注IT服务的可靠性问题，
也使这些公司产生了对自己的计算机系统进行审计的需要。

1994年，EDP审计师协会更名为“信息系统审计与控制协会”（ISACA）。

这也反映了人们对计算机环境下审计的重点关注领域从对电子数据审计转向了对系统控
制进行审计。

（八）2000年代：
信息技术飞速发展，改变了审计行业所处的环境，也为未来信息系统审计的发展提供了广阔的空间。

互联网上的电子商务在2000年之后有了很大的发展。

2000年1月10日，“美国在线（AOL）”与时代华纳宣布合并，标志着传统的商业模式在网络时代的一个发展方向。

2000年2月，许多大型电子商务公司受到了计算机黑客的攻击。

这些公司包括雅虎、亚马逊、易贝等。

这些攻击也使得消费者对电子商务的信心受到影响。

网上公司开始关注如何对自己进行保护，从而产生了对信息系统安全进行审计的需求。

网上电子商务的发展给消费者带来了极大的便利，但网上交易的风险使得消费者对网上电子商务的可靠性产生怀疑。

在这种情况下，对电子商务网站的可靠性进行认证的服务应运而生。

这种由会计师事务所提供的服务被称为Webtrust（网站认证）。

这种服务由美国注册会计师协会和加拿大特许会计师协会共同开发的。

其标准被称为“Webtrust原则与标准”。

经过认证的网站上会有一个认证标志。

通过这个标志，消费者就可以放心地在该网站上进行网上交易。

目前欧洲的会计师协会也开始提供这项服务。

安然和安达信事件是美国历史上最大的倒闭事件。

这个丑闻对审计历史产生了重大的影响，它直接导致了2002年萨班斯-奥克斯利法案的诞生。

该法案对财务审计提出了新的要求，在上市公司的年度审计中增加了内部控制方面的内容，而且也为信息系统审计提供了法律依据。

社会上对信息系统审计人才的需求也随之大幅度增加。

根据该法案的要求美国还成立了“上市公司会计监督委员会（PCAOB）”，负责对上市公司和审计人员进行监督。

虽然该委员会是一个私营组织，但它履行了许多类似于政府的职责。

萨班斯-奥克斯利法案的出台为信息系统审计的发展创造了机遇，可以从以下几个方面得到解释：
1、大多数公司的财务报告过程是由IT系统产生的，这些公司对电子数据、文件和处理过程有很大的依赖性。

因此，在内部控制中，IT系统起着十分重要的作用。

“上市公司会计监督委员会”的审计准则-第2号声明：“公司的信息系统中所使用的信息技术的性质和特征对公司的财务报告方面的内部控制会产生影响。

”
2、由于首席信息官（CIO）要对管理和报告财务数据的系统的安全、准确和可靠性负责，而ERP之类的系统已经将业务的启动、授权、处理和财务数据的报告紧密地整合在一起，所以根据萨班斯-奥克斯利法案的要求，这种系统必须要经过评估。

在
这种情况下，对CIO责任的以及对IT审计的要求都在大大提高。

3、根据COSO内部控制框架，内部控制的五个要素：风险评估、控制环境、控制活动、监督、信息与沟通都受到IT的影响。

因此内部控制的评估已经离不开对其中的信息系统的评估。

随着企业内部信息安全的日益重要，信息安全人员的地位也不断上升，社会上对信息安全人员的需求量也在扩大。

为了适应形势发展的需要。

信息系统审计与控制协会（ISACA）于2002年推出了CISM（注册信息安全经理）资格认证，并得到了市场的认可。

2004年8月，美国国防部将CISA和CISM列为对该部门从事信息系统安全方面的职工的专业技术资格要求。

2005年9月，美国国家标准协会（ANSI）对ISACA提供的CISA和CISM资格进行了鉴定的认可，巩固了这两个资格的地位。

三、信息系统审计在美国的发展现状
（一）信息系统审计的领域
根据ISACA对信息系统审计与控制领域的工作研究，信息系统审计从知识结构的角度可以分为六个大的方面。

包括：信息系统审计程序、IT治理、系统与基础设施的生命周期、IT服务的交付和支持、信息资产的保护以及业务持续和灾难恢复。

这六个方面的后五个方面是针对信息系统的不同层面开展的审计。

具体到实践中，IT审计存在的形态包括:专门的IT审计（或称为IT专项审计）、为财务审计服务的IT审计、IT建设项目绩效审计等等。

会计事务所、政府审计和企业内部审计在不同的方面各有侧重。

（二）各行业信息系统审计开展
1、会计事务所
在注册会计师行业，信息系统审计除了作为传统财务审计中内部控制审计的一部分之外，根据萨班斯-奥克斯利法案的要求，审计报告中还有专门的一段来对上市公司的内部控制进行评价，该部分已经成为法定的要求。

另外，会计师行业来开展各类IT认证服务，如sys-trust（信息系统认证）、web-trust（网站认证）等。

各大会计师事务所都建立了自己的信息系统审计部门，尽管他们的名字各不相同。

2、政府审计
政府审计在计算机环境下的审计方面更主要侧重于信息技术投资项目的效益审计。

如：美国审计署（GAO）信息系统审计部门对自己的工作描述如下：
“协助议会评估和提高政府重大信息技术控制项目；开发和完善最佳实务方法，这些方法已经在政府各门中广泛应用，帮助他们制定信息技术投资方面的决策。

......
我们尤其关注以下几个方面：
●加强信息安全和关键的计算机基础设施的保护；
●加强政府信息的收集、使用和销毁工作；
●评估开展电子政务的机会；
●促进完善的组织结构和基础设施；
●培育成熟的系统采购、开发和操作实务；
●开发和建立最佳实务方法，完善信息技术投资行为；
●开发信息技术人力资本策略。

”
3、内部审计
随着信息技术在企业管理和生产领域的不断普及，内部审计也在关注对信息系统的审计。

内部审计师比外部审计人员更了解本企业的生产管理和业务流程，因此，他们可以在信息审计方面做得更深入。

但不同企业的信息系统审计的开展情况也不相同，有些单位更愿意把信息系统审计的工作外包给专业的会计事务所或咨询公司去做。

（四）信息系统审计职业团体
目前ISACA的会员在全球有50000多人，遍布于140多个国家和地区。

他们从事着各种各样的与IT相关的职业，包括信息系统审计师、咨询顾问、教师、信息系统安全人员、首席信息官、内部审计师等。

他们所处的行业也是十分广泛的，包括财务、银行、会计事务所、政府和公共部门、公用事业和制造企业等等。

这使得ISACA的会员可以在一起分享和交流各行各业的信息。

ISACA在世界上70多个国家和地区设有170多个分会。

这些分会为当地的会员提供培训、资源共享、建立职业关系网的机会。

经过30多年的发展，ISACA已经成为世界范围有信息治理、控制、安全与审计领域有影响的专业组织。

它颁布的信息系统审计和控制标准、指南和操作程序在世界范围内得到了广泛应用。

它所颁布的COBIT标准是信息系统管理、控制和审计的公认行业标准。

目前世界上已经有50000多人拥有ISACA组织的CISA资格、6000多人拥有CISM资格。

该协会出版的《信息系统控制》期刊是是信息系统控制领域最有影响的杂志。

ISACA每年召开一系列国际会议，研究和讨论与信息系统鉴证、控制、安全和IT 治理相关的技术和管理问题。

ISACA与它所属的IT治理学会一起领导整个信息系统审计与控制领域在不断变化的世界中开拓更广阔的空间。

四、结论:
回顾信息系统审计发展的历史，我们可以总结出以下几点：
（一）审计的产生和发展是社会经济发展的产物；
（二）信息技术的发展是信息系统审计发展的基本的推动力；
（三）在计算机环境下的审计从对电子数据审计发展到对信息系统审计是一个必然趋势；
（四）信息系统审计的健康发展并成为一个成熟的行业必须有组织地开展，其中行业协会的作用不可忽视；
（五）法律的支持不仅是信息系统审计存在的基本保障，而且可以极大地推动这一行业的发展。

五、参考文献：
History of IS audit in the U.S., Robert Lin.
ISACA 2005 Annual Report,Information System Audit and Control Association , Information System Audit and Control Association
, General Accountability Office
, The Institute of Internal Auditors
, American Institute of Certified Public Accountants
六、信息系统审计历史进程中关键词出现年代一览表。