“信息系統(tǒng)審計”是近些年來在中國出現(xiàn)的一個新名詞。單從字面上看，“信息系統(tǒng)審計”與“信息系統(tǒng)”和“審計”有關，但對于它究竟是做什么的，絕大多數(shù)人都沒有一個明確的概念。而在國外，尤其是在美國、日本、英國、加拿大等發(fā)達國家，信息系統(tǒng)審計已經(jīng)發(fā)展到相當程度，信息系統(tǒng)審計的理念也已深入人心。從國外信息系統(tǒng)審計的發(fā)展歷史來看，它是與企業(yè)信息化的過程緊密聯(lián)系的，是企業(yè)信息化的必然要求。

　　在計算機沒有出現(xiàn)之前，信息系統(tǒng)是以人為基礎的，信息的收集、處理、傳遞和存儲都是由人來完成的。隨著計算機的出現(xiàn)以及信息技術的進步，以計算機為基礎的信息系統(tǒng)也得到了不斷發(fā)展，并且主要應用于經(jīng)濟管理活動之中。企業(yè)以信息系統(tǒng)和信息技術為基礎，改變自己的財務、經(jīng)營管理等活動，以此來更好地實現(xiàn)企業(yè)的目標。在這一過程中，傳統(tǒng)的手工審計方式受到了極大的影響；同時，企業(yè)的信息化也引發(fā)了很多企業(yè)和社會的問題。正是這些影響和問題促使信息系統(tǒng)審計不斷發(fā)展。

　　1954年，通用電氣公司利用計算機進行工資計算成為基于計算機的企業(yè)信息系統(tǒng)應用的開端。這一時期，企業(yè)對計算機的作用有了初步的認識，并嘗試著引進了少量的計算機數(shù)據(jù)處理系統(tǒng)，應用于財務、統(tǒng)計、庫存等方面以替代人進行計算工作。由于第二代晶體管計算機的出現(xiàn)和信息技術的發(fā)展，到了20世紀60年代，計算機的應用開始蔓延到企業(yè)大多數(shù)部門，這些部門獨立開發(fā)了簡單的系統(tǒng)，用來改善部門事務處理的效率。這時出現(xiàn)了數(shù)據(jù)處理部門。企業(yè)的經(jīng)營管理方式發(fā)生了顯著的變化，尤其是企業(yè)會計信息處理實現(xiàn)了電算化即計算機化。紙質(zhì)會計憑證的電子化使得審計人員在開展傳統(tǒng)審計業(yè)務的過程中不得不關注電子數(shù)據(jù)的取得、分析、計算等數(shù)據(jù)處理業(yè)務。那時人們開始稱這種審計為電子數(shù)據(jù)處理審計（EDP審計）或計算機審計。為了解決會計師在新環(huán)境中開展審計工作時所面臨的問題，美國等發(fā)達國家的注冊會計師職業(yè)組織對電子數(shù)據(jù)處理環(huán)境下如何開展內(nèi)部和外部審計進行了大量的研究并取得了引人注目的成果。1969年，電子數(shù)據(jù)處理審計師協(xié)會（EDPAA）在美國洛杉礬成立。這個協(xié)會下設的電子數(shù)據(jù)處理審計師基金（EDPAA）負責研究當時情況下一個勝任的信息系統(tǒng)審計師應該具備哪些類型、什么水平的知識，并將其主要研究成果收錄成書?？傮w來講，這一時期社會對信息系統(tǒng)審計的認識不夠，信息系統(tǒng)審計遠未普及，審計人員本身也缺乏對信息系統(tǒng)的知識。

　　20世紀70年代，隨著計算機系統(tǒng)的繼續(xù)發(fā)展， 計算機在企業(yè)中得到了更廣泛的應用，電子數(shù)據(jù)處理在企業(yè)間普及。企業(yè)開始關注計算機應用帶來的成本和效益問題，并注意召集各部門人員共同對信息系統(tǒng)的建設和發(fā)展進行規(guī)劃。數(shù)據(jù)庫管理技術的逐漸成熟使得企業(yè)可以解決因各部門獨立開發(fā)數(shù)據(jù)處理系統(tǒng)所帶來的數(shù)據(jù)冗余和數(shù)據(jù)很難共享等問題；60年代中期發(fā)展起來的管理信息系統(tǒng)得以廣泛應用于企業(yè)，使企業(yè)可以從整體目標出發(fā)，對各項管理信息進行系統(tǒng)和綜合的處理，來為企業(yè)的管理決策服務。計算機以及信息系統(tǒng)在企業(yè)的普及使得這一時期利用計算機進行欺詐舞弊的犯罪事件不斷出現(xiàn)，如1973年1月美國“產(chǎn)權基金公司”的保險經(jīng)營商就利用計算機詐騙了數(shù)億美元。這些事件讓負責對實施欺詐的公司進行審計的注冊會計師事務所在經(jīng)濟和信譽上都遭受了巨大的損失，美國審計界開始重視信息系統(tǒng)在企業(yè)的應用給審計工作帶來的風險，并對電子數(shù)據(jù)處理審計的標準、計算機系統(tǒng)內(nèi)部控制設置與評審、計算機審計方法、計算機輔助審計技術和工具 （CAATT）等問題進行了詳細的研究。日本也派人到美國進行考察，以借鑒美國的經(jīng)驗研究如何在日本開展信息系統(tǒng)審計工作。

　　進入20世紀80年代，網(wǎng)絡和通訊技術迅速發(fā)展。企業(yè)業(yè)務的發(fā)展使得企業(yè)必須把其本地的信息系統(tǒng)和外地分支機構(gòu)的信息系統(tǒng)互聯(lián)互通，以共享信息等資源；同時，企業(yè)更注重從戰(zhàn)略目標出發(fā)，建立一個支持全企業(yè)的集成信息系統(tǒng)，來實現(xiàn)管理控制上的統(tǒng)一和協(xié)調(diào)。閉環(huán)物料需求計劃（閉環(huán)MRP）系統(tǒng)和制造資源計劃 （MRPⅡ）系統(tǒng)相繼在企業(yè)中廣泛應用，企業(yè)的物流和資金流實現(xiàn)了集成。這樣，業(yè)務系統(tǒng)數(shù)據(jù)能夠向財務會計信息系統(tǒng)自動轉(zhuǎn)換和傳送，企業(yè)可以隨時控制和指導生產(chǎn)經(jīng)營活動，使其與企業(yè)戰(zhàn)略目標相符合。由于這時財務數(shù)據(jù)的采集是由整個信息系統(tǒng)實時完成的，在進行財務審計時，必須考慮信息系統(tǒng)的安全性、可靠性和效率，以保證信息的真實和可靠。隨著社會對信息系統(tǒng)的依賴性普遍增強，利用計算機犯罪的案件也不斷增多。如日本僅1982年一年利用磁卡欺詐犯罪的案件數(shù)量就相當于該年之前確認的所有計算機犯罪案件之和；在美國，僅1987年因公司之間間諜利用信息技術竊取公司系統(tǒng)中的信息所造成的損失就高達500多億美元。這些都說明信息系統(tǒng)的防范體系還很不充分。越來越多的人認識到了信息系統(tǒng)審計的重要性。審計師們開始利用先進的工具和技術，研究與被審計信息系統(tǒng)相聯(lián)系的有關開發(fā)、程序設計和計算機處理的具體過程和內(nèi)容，以便更好地開展信息系統(tǒng)審計工作。1981年，美國電子數(shù)據(jù)處理審計師協(xié)會（EDPAA）開始舉辦注冊信息系統(tǒng)審計師（CISA）認證考試。日本也在1985年發(fā)表了《系統(tǒng)審計標準》，并在全國軟件水平考試中增加了“系統(tǒng)審計師”一級的考試。信息系統(tǒng)審計師成為了一種專門的職業(yè)。

　　20世紀90年代以來，互聯(lián)網(wǎng)技術和信息技術高速持續(xù)發(fā)展，網(wǎng)絡向世界范圍不斷擴充。人類社會開發(fā)利用信息資源的方式和能力發(fā)生了很大的變化。信息系統(tǒng)變得越來越復雜化、大型化、多樣化和網(wǎng)絡化。企業(yè)開始注重外部信息的處理效率和利用效益，逐漸對自己價值鏈上各類信息進行全面的管理和集成，以此來提高企業(yè)在市場中的競爭力。企業(yè)外聯(lián)網(wǎng)（Extranet）、企業(yè)資源計劃（ERP）、供應鏈管理（SCM）以及客戶關系管理（CRM）為企業(yè)實現(xiàn)目標提供了有力的保證。信息和信息技術對企業(yè)生存和保持可持續(xù)發(fā)展能力的影響越來越大，信息和信息系統(tǒng)已經(jīng)成為了企業(yè)的重要資產(chǎn)，像企業(yè)的其他資產(chǎn)那樣對信息系統(tǒng)加以控制和審計變成了企業(yè)必然的要求。企業(yè)對外業(yè)務的自動化要求業(yè)務單證必須電子化，這就使得對企業(yè)的信息系統(tǒng)進行審計的同時，不得不考慮與之相關的企業(yè)外部的信息系統(tǒng)。況且，因特網(wǎng)在成為電子商務、金融證券的運作平臺的同時，也成為犯罪分子危害地區(qū)、國家甚至全世界經(jīng)濟安全的場所。如何確保網(wǎng)絡平臺上的信息系統(tǒng)的安全、可靠和有效變得越來越重要。世界各國的學者、審計機關和組織都積極對此進行研究與探索。1994年，電子數(shù)據(jù)處理審計師協(xié)會（EDPAA）更名為信息系統(tǒng)審計與控制協(xié)會（ISACA），從而成為從事信息系統(tǒng)審計的專業(yè)人員惟一的國際性組織，這個組織的注冊信息系統(tǒng)審計師（CISA）資格認證也是信息系統(tǒng)審計領域的惟一職業(yè)資格認證。東南亞各國也開始制定電子商務法規(guī)，成立專門機構(gòu)開展信息系統(tǒng)審計業(yè)務，并制定技術標準。

　　盡管到目前為止，對于信息系統(tǒng)審計還沒有一個公認的通用定義，但從前面可以看出，隨著企業(yè)信息化過程中信息系統(tǒng)的發(fā)展，信息系統(tǒng)審計的對象從企業(yè)單個部門的數(shù)據(jù)處理系統(tǒng)發(fā)展到整個企業(yè)集成的信息系統(tǒng)，甚至企業(yè)外部的信息系統(tǒng)；審計的目標從對數(shù)據(jù)處理系統(tǒng)的效率和可靠性進行審查發(fā)展到對整個信息系統(tǒng)的效率、可靠性、有效性和安全性的審查；審計的方法從手工審計發(fā)展到手工審計與計算機輔助審計工具和技術兼而有之；開展審計的人員從注冊會計師發(fā)展到信息系統(tǒng)審計師；指導信息系統(tǒng)審計的組織從傳統(tǒng)的審計機關和組織發(fā)展成為專業(yè)的信息系統(tǒng)審計組織。另外，信息系統(tǒng)審計的內(nèi)容、依據(jù)、準則等也在隨著信息技術和信息系統(tǒng)的發(fā)展而不斷發(fā)展與完善。在這里，引用國際信息系統(tǒng)審計領域的權威專家RonWeber對信息系統(tǒng)審計的定義，即信息系統(tǒng)審計就是“收集并評估證據(jù)，以判斷一個計算機系統(tǒng)（信息系統(tǒng)）是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標，同時最經(jīng)濟的使用資源”。

　　目前，一些國際大型會計公司中已經(jīng)出現(xiàn)了沒有注冊會計師資格的合伙人，他們持有的職業(yè)資格是注冊信息系統(tǒng)審計師（CISA）。很多大公司也高薪聘請注冊信息系統(tǒng)審計師（CISA）為公司的發(fā)展出謀劃策。盡管如此，注冊會計師和會計師組織仍將在信息系統(tǒng)審計領域發(fā)揮重要的作用?，F(xiàn)代以風險為基礎的審計模式使得注冊會計師在對企業(yè)進行審計時必須考慮企業(yè)應用信息技術給企業(yè)帶來的風險，而他們對企業(yè)財務會計和內(nèi)部控制的深刻理解有助于他們采取措施控制這些風險； 同時，長期以來在企業(yè)信息化過程中積累的審計工作的經(jīng)驗和他們在風險控制方面的良好聲譽也有助于他們開展信息系統(tǒng)審計工作。

　　可以預見，隨著信息技術以及供應鏈管理（SCM）、客戶關系管理（CRM）的不斷發(fā)展，企業(yè)將在網(wǎng)絡的基礎上實現(xiàn)其內(nèi)部與外部的完全整合。當電子商務成為網(wǎng)絡經(jīng)濟時代商務活動的核心，企業(yè)的物流、資金流和信息流會更大程度地依靠基于網(wǎng)絡的信息系統(tǒng)。在這種環(huán)境下，信息系統(tǒng)審計的重點將是對網(wǎng)絡系統(tǒng)的審計， 這主要包括：對網(wǎng)絡系統(tǒng)的開發(fā)進行審計；對企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡的功能與控制進行審計；對網(wǎng)上認證機構(gòu)、網(wǎng)上銀行等與電子商務活動相關的單位進行審計等。審計人員還會建立審計網(wǎng)絡作為輔助手段對企業(yè)信息系統(tǒng)進行網(wǎng)上實時審計，以及建立審計專家系統(tǒng)和采用并行審計技術等。當然，這必將需要所有審計機構(gòu)和審計人員的共同努力與合作。