信息系统审计的体系框架初探

二、 信息系统审计体系的目标
信息系统审计体系是指由" % 和审计相关的 学科为理论基础， 以传统审计为实践基础， 以审计 指南为 指导， 以审计工具为辅助， 以审计业务为 核心的有机整体。构建信息系统审计体系的目的 在于全面了解信息系统审计的内涵和外延， 从而 有助于该领域的进一步深入研究， 也可更加有效 地指导实际的审计工作。信息系统审计体系有助
万方数据
) $
同济大学学报 （社会科学版）
第! "卷
利用组织的资源并有效果地实现组织目标的过
［ ］ ! 程” 。 日本通产省情报协会对
系统审计应该由审计方与委托方签署审计合同， 合同应阐述信息系统审计的义务、 权利、 责任和绩 效度量， 信息系统审计要实现委托方的组织目标， 并提供反馈、 保证及建议。 （ ）信息系统审计师 & 应该在审计中始终保持独立性， 在组织上独立于 委托方和被审计方， 在行为上也应该保持独立性。 （ ）在审计过程中， 信息系统审计师应获得充分、 ’ 可靠、 相关和有用的证据， 以有效地实现审计目 标， 审计结论应当建立在对证据合理的分析和解 释的基础之上。 （ ）在审计完成后， 信息系统审 ( 计师应提交一份按要求格式书写的审计报告。审 计报告应陈述审计工作的范围、 目标、 周期、 性质 等并限定报告提交对象和发放条件。在报告中还 应陈述审计结论、 审计建议和保留意见。
三、 信息系统审计体系的结构
在! 审计理论基础得到了不断的增强 #环境下， 和加固， 拓展了 ! "审计已经成为一门新的学科体系， 原有审计的范畴， 成为多学科领域共同组成的动态、 多元性的有机整体。 ! "审计的体系框架主要由以下 几个部分组成： 实践基础、 审计 ! "审计的理论基础、 指南、 审计的资格认证、 审计工具、 审计实务等共同 构成。几者之间的关系如图$所示。其中， 理论基 础为! 传统的 "审计的理论研究与拓展奠定了基础， 审计流程和方法也为! "审计提供了可以借鉴的实 践经验， 审计资格认证能够确保该领域人才的持续 性， 审计指南为审计的实施提供了依据， 审计工具作 为! 使得传统审计无法实现的业 "审计的辅助手段， 务成为可能， 审计业务作为! 是 "审计的核心业务， 审计体系的具体应用。
!" # $ % & ’ & ( ) # , % . # ) / & . () 0 . 1 / / 2 $3 4 / $ ’ *+ * 5 # ) ’ $ 6 . # 7. 8 / 2 $ 9 ( 8 . # ’ ) / & . (3 4 / $ ’! 1 : & / *
， * + ,. + , / . 0 * 23 4 . 0 1 5
$ % % &年 ! %月
第! "卷第#期
同 济 大 学 学 报（社会科学版）
’ ( ) ,) , . / 0 1 , 2 ( 5 0 ) 6 78 ( 9 , 6 78 9 , / ) 9 /8 / 9 2 , ( ) * + 34
S , / ’ ! "T , ’ #
U A 7 ’ $ % % &
同济大学学报 （社会科学版）
第! "卷
论基础主要有： （ ）传统会计与审计理论。传统的会计理论 ! 与审计理论为 " # 审计提供了丰富的内部控制理 论与实践经验， 以及收集并评价证据的方法论和 控制哲学， 以保证" #审计有效实现企业目标的能 力。 （ ）信息技术理论。信息技术在审计中具体 $ 应用， 也是" #审计的标志之一。当代信息技术理 论包括： 网络技术理论， 信息技术理论， 数据挖掘 理论、 信息系统集成理论、 多媒体理论技术、 人工 智能技术等。这些理论、 技术提高了审计测试效 率、 审计监督质量， 为审计理论的发展提供了前所 未有的机遇， 使得审计理论基础从深度和广度上 得到不断地扩张。 （ ）经济学理论。 % " #审计离不开运用经济学 理论来分析信息系统所处的企业宏观和微观经济 环境等， 进行业务的成本效益分析， 可行性研究； 同时审计理论本身的发展也需要从经济学视角分 析， 寻求提高审计工作效率的途径， 革新审计测试 手段的策略， 如西方经济学、 产权பைடு நூலகம்济学、 交易费 用学说、 信息博弈论等， 丰富了审计理论的基础， 拓展了审计理论的内涵、 外延， 为审计人员提高审 计工作效率、降低审计交易费用、 进行理性审计 提供了新的思路。 （ ）司法诉讼学。 & " # 审计需要以管理为核 心， 技术为基础， 法律为保障。司法诉讼学与审计 理论相结合是现代审计理论的发展趋势。审计证 据的获得需要审计人员运用大量的司法刑侦手 段、 方法去检查、 判断、 排除伪证， 以取得真实可靠 的审计证据； 另外如何进行合法审计、 避免审计诉 讼， 也是审计师面临的现实问题。因此， 将司法诉 讼学注入审计理论基础， 可以提高审计人员守法、 学法意识， 在法律允许的范围内开展有效的审计。 （ ）行为科学理论。行为科学主要探索人的 ’ 心理活动、 研究人的行为激励问题。作为理论基 础， 行为科学既满足了管理审计的客观要求， 也为 审计人员进行有效审计提供了理论依据和方法。 ! "审计的实践基础 " #审计是从传统审计业务中逐渐延伸和分 离出来的， " #审计最初是审计职能集成的组成部 分， 支持审计师在 " ( 环境下对信息质量方面的
为 " #审计定义如下： 了信息系统的安全、 可靠与有效， 由独立于审计对象 的" 以第三方的客观立场对以计算机为核 #审计师， 心的信息系统进行综合的检查与评价， 向" #审计对
［ ］ $ 象的最高领导提出问题与建议的一连串的活动。
本文将信息系统审计的要点归纳如下： （ ）从过程角度而言， 审计对象存在于信息 ! 系统的整个生命周期之中， 是指各类以计算机为 核心的信息系统及其相关的技术和管理活动。在 信息化系统建设整个生命周期的任何一个阶段， 能够指出不合理之处 （不只是技术的不合理、 而是 在客户业务与" % 技术的结合处存在的一些错误 或不确定的因素） 的一种手段或方式。 （ ）信息 $
图! " #审计体系框架图
" #审计的理论基础 在! 审计理论基础为审计学与其 # 环境下， 他学科提供了一个公共区域， 各学科相互交叉、 融
合， 共同组成一个有序的、 相互关联的动态网络， 服务于审计理论。因而审计理论基础是连接审计 学与其他学科体系的桥梁与纽带。 ! " 审计的理
万方数据
) &
信息系统审计的体系框架初探
郝晓玲
摘
胡克瑾
要： 本文对信息系统审计的体系进行了初步的探讨， 论述了该审计的必要性， 提出了其体系框架的目
标和结构， 重点介绍了审计的理论与实践基础、 审计指南和审计的实务等内容， 并进行了总结与展望。 关键词： 信息系统审计；审计指南；注册信息系统审计师 中图分类号： $ ! % & ’ ( 文献标识码： )
［ ］ & 于解决如下问题：
体系有助于控制信息处理系统的风险、 加强事务 处理的完整性， 实现组织目标。 系统有效性 系统的有效性表明系统能否获 得预期的目标。有效性审计常在系统运行一段时 间之后进行， 以决定系统是否获得所声明的目标。 这个评估为系统是否继续运行或者进行某种程度 的修改提供决策。有效性审计也可以在系统设计 阶段进行。如果系统复杂， 实施成本高， 而且用户 经常很难识别需求或达成一致性建议， 在设计者和 用户之间也有很大的沟通问题， 管理者则希望通过 执行独立审计的方式评估是否满足用户的需求， 以 便及时做出更为科学的决策。 客 " # 审计从独立、 观、 公正的第三方的角度， 以目标驱动， 对信息的质 量进行审查， 对产生信息的系统、 信息的产生过程 及相应的内部控制进行评价、 审计， 审查交易数据 和评估其完整性及可靠性， 从而为管理者了解用户 的特征和决策环境提供了依据。 系统效率 系统效率是指系统达到预定目标 所消耗的资源， 一个效率高的信息系统能够以尽 量少的资源达到需要的目标。信息系统消耗不同 资源： 机器时间、 设备、 系统软件、 劳动力等， 这些 资源是稀缺资源， 不同的系统经常为争夺这些资 源而竞争。由于组织的利益环境复杂， 信息系统 的决策难免会牵涉部门利益之间的冲突， 所以系 统效率的评价很难独立于其它系统， 所以经常没
资产保护
组织的资产包括硬件、 软件、 设备、
人、 数据文件、 系统文档等， 它们必须受内部控制系 统的保护。由于重要的系统文档、 软件、 数据文件 等资产经常集中在信息系统中存放， 信息系统的运 行若经常出现故障， 如网络掉线、 服务器岩机、 病毒 肆虐、 客户资料被盗、 电脑售票系统突然发生死机 等故障， 则会对组织的资产保护造成巨大威胁。所 以， 资产保护成为许多组织要达到的一个重要目 标， 也是" #审计所追求的目标之一。 数据完整性 数据完整性是指数据能够满足 规定的条件， 防止错误信息的输入和输出， 以及非 授权状态下修改信息所造成的无效操作和错误后 果。由于网上银行、 网络证券交易等复杂业务的 出现对信息是否真实、 完整等提出了鉴证要求。 如果数据完整性得不到维护， 企业会失去竞争优 势。然而， 维护数据的完整性需要成本， 因此， 要
一、 信息系统审计的涵义与内容
关于G 目前还没有固定通用的定义， H审计， Q , 0 在 《信息系统审计与控制》 一书中认为 “信息系 R 4 = 4 8 统审计是一个获取并评价证据， 以判断信息系统是 否能够保证资产的安全、 数据的完整以及有效率地
郝晓玲： 同济大学经济与管理学院管理科学与工程专业! " " #级博士生 胡克瑾： 同济大学经济与管理学院教授、 博士生导师
（! " # $ $ % $ " $ ( $ ) * " + , ( -. , ( , 0 ) 0 ( 1， 2 $ ( *4 ( * 5 0 6 + * 1 ! # , ( # , *， 8 9 9 9 : 8; # * ( ,） &’ / / 3 7， /
： ! 0 4 / # ) ; / ) 6 7 4 8 + 8 4 / . : . 0 + 8 4 < / , 8 + 7 . , 0 + = , 2 7 7 > 4 ? ? 7 4 :, 6 7 > 4 . 0 6 , 8 : + 7 . , 0 + 2 @ . 7 + 0 @ 7 > 4 @ . ? A 2 ? ? . , 0 + = , 2 7 9 ; 9 ; ， 7 > 40 4 A 4 ? ? . 7 , 6 7 > 4 . 0 6 , 8 : + 7 . , 0 ? ? 7 4 :+ 2 @ . 7 7 > 4 + 4 8 2 7 ? 6 , 8 B + 8 @ 7 > 4 7 + 8 4 7 + 0 @ ? 7 8 2 A 7 2 8 4 + = , 2 7 7 > 4 ? ? C ; ; 99 9 1 ; ， ， + 0 @ 6 , A 2 ? 4 ? , 0 7 > 4 7 > 4 , 8 0 @9 8 + A 7 . A 4= + ? . ? + 2 @ . 7 2 . @ 4 C 7 4 :6 8 + : 4 B , 8 D, 6 7 > 4 . 0 6 , 8 : + 7 . , 0 ? ? 7 4 :+ 2 @ . 7 ;+ 1 ; ， ， / . 0 4 + ?B 4 / / + ? + 2 @ . 7 8 + A 7 . A 4 + 0 @ ? 2 : : + 8 . E 4 ? + 0 @9 8 , ? 4 A 7 ? 7 > 4@ 4 F 4 / , : 4 0 7 . 0 7 > 4 4 0 @ ’ 9 9 9 ： ； ； （J ） < $ . # : 4 G 0 6 , 8 : + 7 . , 0H ? 7 4 :) 2 @ . 7 ) 2 @ . 7I 2 . @ 4 / . 0 4 J G H ) 4 8 7 . 6 . 4 @ G 0 6 , 8 : + 7 . , 0H ? 7 4 :) 2 @ . 7 , 8 ; ; *= 信息系统审计 （也称G 作为 K 审计或G H审计） 新兴的研究与应用领域， 近年来逐渐升温， J G H ) （注册信息系统审计师） 正以每年 L " M !N " M 的 速度增加， 也显示了 G H 审计的发展需求。一方 面， 由于信息技术的发展， 引起审计的范围、 审计 的方法与审计的手段发生了变化， 由传统的手工 审计、 发展成为包括 O P G审计和计算机辅助审计， 财务管理信息系统在内的所有信息系统本身的安 全性、 保密性、 完整性及其实现企业目标的有效性 进行的审计。另一方面， 信息技术的进一步发展 与普及， 使得企业越来越依赖于信息系统， 要求对 并及时修正其内部控 G K 技术相关风险进行审计， 制来控管这些风险。目前国内在该领域的研究刚 刚起步， 因此， 探索信息系统审计的体系框架对于 有效促进G 指导 H审计的理论与应用体系的发展， 我国信息化建设具有重要的理论和现实意义。
立性， 管理者通常需要他们帮助解决评估的效率 问题。通过介入独立的! 可以分析信息系 "审计， 统给组织所带来的各种影响， 例如信息系统产生 效益的同时， 可能给企业带来什么新的问题； 信息 系统对组织机构和工作流程的影响等， 可以在安 全性、 稳定性和效率、 效用之间进行权衡， 为企业 信息系统的改造提供建议。
万方数据 确保所获收益大于所需的控制步骤的成本。审计
第 !期
郝晓玲等： 信息系统审计的体系框架初探
& %
有明确答案。然而， 系统效率与用户满意度息息 相关。如果计算机的容量不能满足需求， 或应用 系统性能下降时， 用户会非常恼怒， 此时管理者需 要了解原因， 如， 个人应用系统效率低或者是由于 现有计算机的资源配置产生了瓶颈， 从而决定是 否需要购买额外资源， 是否进行效率改善， 并确定 控制硬件和软件设计成本问题。由于审计师的独