论IT审计与会计信息化

　　IT技术的飞速发展和广泛应用使得现代企业的业务流程基本依赖于信息系统，IT风险已成为企业风险管理的重要内容。IT系统正朝着规模化、综合化、复杂化、网络化的方向发展，IT系统的可靠性、机密性、有效性和完整性越来越引起用户的高度重视。现代会计信息系统往往已经嵌入企业管理信息系统当中，企业财务会计数据整合到了企业信息资源库当中，然而，企业会计信息系统固有的脆弱性和企业面临的复杂的IT环境使企业的IT应用经常面临着各种威胁;另一方面，企业内部控制失效导致的案件频发，社会各界针对企业内控进行定期审查和专项审查的呼声越来越高。随着企业内部自发需求的增加和外部监管机构干预的增强，针对会计信息系统内部控制的IT审计显得格外重要。

　　一、IT审计的本质、目标与方法

　　(一)IT审计的概念和本质

　　随着信息化建设的不断深入，信息系统本身的安全性、合法性、有效性和可靠性成为影响企业风险控制的重要因素，也因此带来了对信息系统进行审计的需求。IT审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现。认为，IT审计是一个获取证据，对信息系统是否能保证资产的安全、

　　数据的完整以及是否有效地使用了组织资源并有效地实现了组织目标做出评价和判断的过程。胡克瑾(2002)指出，IT审计是指对以计算机为核心的信息系统的审计。李会太等(2002)认为，IT审计实质上是对计算机软件和硬件及整个信息系统的审计，IT审计是技术审计的一个典型。

　　(二)IT审计的目标

　　IT审计以企业或政府等组织的信息系统为审计对象，通过现代的审计理论和IT管理理论，从信息资产的安全性、数据的完整性以及系统的有效性和效率性等方面出发，对其是否能够有效可靠地达到组织的战略目标进行全面的监测和评估，并为改善和健全组织对信息系统的控制提出详细的建议。基于IT的连续审计能使企业信息系统获得免疫，确保企业资产的安全系统的有效性和效率性以及数据的完整性。

　　(三)IT审计的方法

　　在审计方法上，目前国内主要还是借鉴国际上IT治理框架和方法，比如COBIT标准(1996年是C〇BIT1.0,2012年已更新至COBIT5.0版本)、ISO系列标准、ITIL、COSO框架等。这些协议有不同的控制重点，COBIT的审计范围几乎涵盖了所有与IT相关的活动，COS◦则侧重于企业自身内部控制，ITIL着重于IT系统的交付和支持等。目前，IT审计的开展可以采取基于独立的外部审计(独立执业的信息系统审计师，如CISA)、企业内部审计(企业内审部门的成员)以及作为财务审计的支撑(注册会计师事务所的IT审计机构，财务审计小组的IT控制专家)三种形式进行。通常，IT审计的成果可以是独立的IT审计报告，也可以作为注册会计师审计报告的一部分进行披露。

　　二、IT审计是会计信息化的内在要求

　　(一)IT审计是会计信息化风险控制的需要

　　会计信息系统(AIS)是企业管理信息系统的敏感地带，会计信息系统的风险控制是企业风险控制的重中之重。近年来因信息系统漏洞问题导致的案件屡见不鲜，信息系统的风险，如账务数据被销毁、巨额资金遭挪用而未被发现、银行交易系统存在漏洞，对业务操作中明显违反业务逻辑的操作没有任何控制防范功能等，对社会经济的运行危害巨大。一般地，会计信息化的风险来源于会计信息系统内部和外部的各种漏洞和威胁。会计信息化过程中的漏洞(技术漏洞、业务流程漏洞、管理控制漏洞)和IT环境中的威胁(攻击、篡改、窃取)，导致会计信息化面临各种安全问题。为了避免问题的产生，控制风险，需要对技术、业务、管理控制等进行统一的全方位的防范。IT审计通过获取与AIS控制和保证措施相关的证据，评估AIS控制的有效性、评价会计信息化绩效及会计信息化战略与业务目标的符合程度。CISA(注册信息系统审计师)针对会计信息系统的IT审计与传统的CPA(注册会计师)针对财务报表的财务审计以及针对经济管理的管理审计是并行不悖的，企业会计信息化环境下，IT审计既是财务审计、管理审计的基础，又是财务审计和管理审计的补充，它们共同对会计风险负责。IT审计对被审计单位会计信息系统的安全性、可靠性、有效性和效率性进行识别和评估，实现对会计信息化风险的控制。

　　(二)IT审计是会计信息化社会和行业监管的需要

　　CPA审计的工作重点往往集中于财务数据审计，而忽视了对财务数据进行收集、记录、存储、处理、分析与输出的会计信息系统(AIS)的审计。然而，会计数据是AIS的产出，信息系统对数据的真实性、完整性以及数据分析的可靠性有重要影响。同时，针对AIS的入侵和犯罪也越来越多，AIS本身的漏洞会带来巨大损失，IT风险日益严重。基于此，各国政府和组织认识到AIS本身的合法性、可靠性、安全性和有效性是首先要被审计的。IT审计成为会计信息化接受外部监管的内在需要。

　　在国外，1969年美国的计算机犯罪案件导致了后来的世界上第一个电子数据处理审计组织一一EDP审计师协会(EDPAA)的产生;1994年EDPAA更名为信息系统审计与控制协会，ISACA是一个非牟利的独立组织，工作内容除了主办国际会议、出版《国际信息系统审计期刊》、制定国际公认的信息系统的审计与监控标准，还推出各项全球公认的专业认证注册信息系统审计师。目前，CISA正在会计信息化监管中扮演着日益重要的角色。

　　1999年审计署颁布了独立审计准则第20号一一《计算机信息系统环境下的审计》，对CPA基于会计信息化的审计工作做了要求。2001年，国务院办公厅颁布了〈关于利用计算机系统开展审计工作的通知》。《通知》规定，审计机关有权审查被审计单位包括财务会计系统在内的计算机管理信息系统;审计机关发现被审计单位的计算机管理系统不符合法律、法规和政府有关主管部门的规定、标准的，可以责令其更正发现故意使用舞弊功能的计算机管理信息系统的，要依法追究有关单位和人员的责任。与此同时，国家标准《信息技术：会计核算软件数据接口》(GB/T19581—2004)于2005年1月1日起生效，进一步从法律规范和技术手段上为计算机在会计审计中的应用奠定了基础。

　　(三)IT审计是会计信息化体系的重要组成部分

　　杨周南(2003)在《论会计管理信息化的ISCA模型》一文中提出，会计信息化的工作内涵或称“会计信息化”的体系结构应由三大部分组成：⑴建立和实施IT环境下的会计信息系统(AIS);(2)确保AIS安全有效运作的系统内控制度;(3)开展对AIS及其内控制度的审计，以最终达到对AIS安全、可靠、有效和高效地应用。上述体系结构称为ISCA(InformationSystem,ControlandAuditing)模型图1)。ISCA模型是融AIS、内控制度和IT审计于一体的会计信息化体系结构，它成为我国会计信息化理论研究的基本框架。企业AIS在建设和运行过程中面临着各种风险，会计信息化通过IT审计可以发现信息系统本身及其控制环节的不足之处，并及时改进与完善，使信息系统在企业的经营管理中有效发挥作用。会计信息化中的IT审计包括计算机硬件和网络设备审计、服务器审计、操作系统和系统软件审计、程序和应用系统审计、数据和数据库系统审计、会计信息系统开发审计、会计信息系统运行审计、会计信息系统维护与升级审计等。IT审计是会计信息化体系中风险控制、确保和审查AIS有效实施的重要手段，是会计信息化体系的免疫系统。

　　(四)IT审计是开展会计信息化IT治理、实施会计信息化鉴证与评价的需要

　　信息时代的公司治理以IT为支撑，成功的企业已经意识到企业高层需要像重视业务一样重视IT，IT治理已成为公司治理的一部分。IT治理是企业为获得有效的IT应用，同时平衡IT及其流程中的风险和收益，增加价值，确保实现企业目标而采取的有效机制。IT审计是IT治理架构的重点要素，IT治理通过IT审计不断促进调整IT控制环境，使组织在风险可识别、可控、可管理的环境下保证组织利益最大化。会计信息化是企业信息化的重要内容，企业开展会计信息化的同时，必须遵循IT治理的框架和方法开展IT审计。ISACA近期发布的COBIT5中的《审计指南》为IT审计师对组织的会计信息系统进行分析、评估、实施、审计等提供了建议和指导。

　　IT审计同时又是实施会计信息化鉴证和评价的需要。会计信息化实施过程中，IT审计机构和IT审计师对被审计单位的会计信息系统及会计信息化建设进行检查和验证，对被审计单位会计信息系统的安全性、可靠性、有效性及效率进行审查和评价，并发表审计意见，出具书面证明，以便为审计授权人或委托人提供确切的信息，并取信于社会公众，从而为会计信息化提供鉴证职能。另一方面，IT审计机构和IT审计师对被审计单位的会计信息系统及会计信息化应用进行审查，并依据一定的标准对所查明的事实进行分析和判断，形成基于事实的评定或基于改善管理、提高效率的建议，这是IT审计为会计信息化提供的评价职能。

　　三、会计信息化IT审计的目标、内容和实施条件

　　(一)会计信息化IT审计的目标

　　会计信息化中的IT审计主要以会计信息系统为审计对象，围绕会计信息系统的IT资源、运行环境及系统的生命周期全过程，对被审计单位会计信息系统的安全性、可靠性、有效性及效率性进行审查和评价，并发表审计意见。会计信息化IT审计的目标。

　　(二)会计信息化IT审计的内容

　　会计信息化IT审计的内容包括相互联系而又相对独立的三个方面：会计信息系统本身的审计;会计信息化环境审计;会计信息系统数据的审计。会计信息系统的审计是指会计信息系统本身硬件和软件的

　　基于物理和逻辑的审计，以及基于软件生命周期的会计信息系统各阶段的过程审计。会计信息化环境的审计是指会计信息系统运行的外部环境(如防火墙、防止黑客攻击、备份制度等)及会计信息系统运行的内部环境(内部控制管理制度，如操作岗位授权、相关职务分离等)的审计。会计信息数据的审计是指财务会计数据及报表的审计。会计信息化IT审计的内容界定了会计信息化IT审计的范围。

　　(三)会计信息化IT审计的实施条件

　　IT审计的实施条件是指为促使审计目标的实现，确保审计过程的顺利开展所需要的企业内外部环境。开展会计信息化IT审计的实施条件包括：企业会计信息化水平、高层领导的重视、组织管理、审计人员的素质(IT审计师，CPA、CISA)、费用、会计信息系统审计依据与准则、其他。

　　企业会计信息化水平决定着IT审计的规模，会计信息化程度高的企业开展IT审计更具有现实性。当前会计信息化IT审计更多地应用于规模较大的银行、保险等大型金融类企业以及中央企业，如中国人民银行、中国烟草总公司、中化集团、中国石油化工集团等。企业高层领导的重视或介入使得IT审计更具有便利性。会计信息化已构成企业提高核心竞争力、获得生存与可持续发展的重要影响因素，已成为企业的重要资产，与企业的其他资产一样对会计信息系统加以控制和审计变成了企业必然的要求，企业需要在组织管理层面上为接受和实行IT审计做好准备。会计信息化环境下的IT审计要求审计人员掌握信息技术并熟悉会计与审计知识，可以是信息系统审计人员和注册信息系统审计师(CISA)。CISA既要熟悉信息系统的软件、硬件、开发、运营、维护、管理和安全，又要熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。开展会计信息系统IT审计工作所发生的成本支出表现为费用，费用是开展IT审计的必要前提。会计信息系统审计依据是指IT审计师提出审计意见、做出审计决定的依据，会计信息系统审计准则是IT审计工作本身的规范，是审计人员的行为指南。会计信息系统审计依据包括会计信息系统的管理制、条例和法规、ISO9000、会计信息系统的实际运行情况等，而会计信息系统审计准则可以参照ISACA的信息系统审计标准。

　　四、会计信息化中开展IT审计面临的问题

　　(一)企业缺乏会计信息化IT审计的自发需求

　　当前，企业管理层对于IT审计重要性缺乏高度认识，企业会计信息化进行IT审计的压力更多地来自外部监管，而不是企业内部的自发性需求。比如，2002年7月，美国颁布了《萨班斯法案》，使得在美国上市的企业都必须遵循这一旨在“提高公司披露的准确性和可靠性的改革法案;在国内，中国上市公司需遵守《企业内部控制基本规范》(2008年发布)、银行业要遵循《商业银行信息科技风险管理指引》(2009年发布)、保险业需遵循《保险公司信息化工作管理指引(试行)》(2009年发布)。这些外部的监管机构与法律无一例外地对会计信息化安全和会计信息系统审计提出了要求。而在企业内部，基于观念不足和成本控制的原因，会计信息化过

　　程中IT审计的内在动力不足。传统审计将注意力集中在数据的输入和输出分析上，而针对会计信息加工机制和加工过程的会计信息系统的审计重视不足。IT审计本应是会计信息化不可或缺的一部分，但企业以及审计人员对会计信息化开展IT审计的意义和作用、必要性和紧迫性认识不够，对IT审计多持等待与观望态度。另一方面，企业为了控制审计成本，会计信息化过程中自发开展IT审计的不多，多是被动应对。

　　(二)会计信息化IT审计的审计准则不够完善审计必须依公共准则执行，会计信息化IT审计也不例外。会计信息化IT审计还处于探索阶段，尚未建立较完整的IT审计规范体系，缺乏一套公认的、成形的、针对会计信息化的专业准则。