一、信息系統(tǒng)審計的萌芽

　　隨著計算機的迅速發(fā)展，利用計算機處理的業(yè)務越來越廣泛。計算機在企業(yè)的應用，使企業(yè)的經營過程、思想意識和方法等產生了顯著的變化。最初是由會計師事務所對利用計算機較早、較為深入的金融領域進行審計，但還沒有形成統(tǒng)一的制度。IBM出版的《Audit Encounters Electronic Data Processing》《In-line Electronic Processing and Audit Trail》等文獻，給出了在新的電子數據環(huán)境下的內部審計規(guī)則和組織方法，介紹了許多新的概念、術語和審計技術等。接著在1968年由美國注冊會計師協(xié)會出版了《會計審計與計算機》一書。20世紀60年代先后發(fā)表了若干引人注目的研究成果，金融企業(yè)設立了電子數據處理及安全辦公室，美國國防部海軍審計局引進了通用的審計軟件包。

　　嚴格意義上講，最初的信息系統(tǒng)審計就其范圍和目的而言，與我們現(xiàn)在的信息系統(tǒng)審計是不同的。在信息系統(tǒng)審計的萌芽階段，人們稱之為電子數據處理審計（electronic data processing auditing）或計算機審計，它是作為傳統(tǒng)審計業(yè)務的擴展發(fā)展起來的。那時侯，人們需要信息系統(tǒng)審計主要是由于：

　　1、審計師認識到計算機已經影響了他們執(zhí)行鑒證業(yè)務的能力；

　　2、企業(yè)認識到在信息時代，計算機像其它有價值的商業(yè)資源一樣，是商業(yè)競爭的關鍵資源，因此也迫切需要對其進行審計；

　　3、職業(yè)團體、組織和政府機構認識到需要對信息技術加以控制，并使其可以審核。

　　在初期，信息系統(tǒng)審計是作為傳統(tǒng)審計業(yè)務的一部分，在審計師對由計算機系統(tǒng)處理的數據的質量進行判斷時提供技術支持。有信息系統(tǒng)審計技能的審計師被看作是會計師事務所的技術資源，在必要時為同事提供技術支持。對于信息系統(tǒng)審計，需求領域很廣。如對組織的信息系統(tǒng)審計（主要集中在對信息技術的管理控制）、技術方面的信息系統(tǒng)審計（包括架構、數據中心、數據通信等）、應用的信息系統(tǒng)審計（包括經營、財務）、開發(fā)實施信息系統(tǒng)審計（包括需求識別、設計、開發(fā)以及實施后階段）和信息系統(tǒng)是否符合國家或國際標準的審計等等。

　　二、信息系統(tǒng)審計的發(fā)展

　　信息系統(tǒng)審計最早稱為計算機審計，是隨著計算機在財務會計領域的應用而產生的。早期的計算機應用比較簡單，相應地，計算機審計業(yè)務主要關注對被審計單位電子數據的取得、分析、計算等數據處理業(yè)務，還稱不上信息系統(tǒng)審計。從財務報表審計的角度來看，這一階段的主要業(yè)務內容是對交易金額和賬戶、報表余額進行檢查，屬于審計程序中的實質性測試環(huán)節(jié)。此時，它只是傳統(tǒng)財務審計業(yè)務的一種輔助工具，對客戶的電子化會計數據進行處理和分析，為財務報表審計人員提供服務。

　　隨著計算機技術應用范圍的不斷擴展，計算機對被審計單位各個業(yè)務環(huán)節(jié)的影響越來越大，計算機審計所關注的內容也從單純的對電子的處理，延伸到對計算機系統(tǒng)的可靠性、安全性進行了解和評價。在制度基礎審計的模式下，計算機審計的業(yè)務內容已經擴展到了符合性測試領域。風險基礎的審計模式的采用以及信息技術在被審計單位的各個領域的廣泛應用，信息系統(tǒng)的安全性、可靠性與其所服務的組織所面臨的各種風險的聯(lián)系越來越緊密，并且直接或間接地影響到財務報表的真實、公允。在這種情況下，對被審計單位風險的評估必須將計算機信息系統(tǒng)納入考慮范圍。發(fā)展到這一階段，計算機審計的業(yè)務范圍已經覆蓋了一項審計業(yè)務的全過程，計算機審計這一概念已經不能反映這一業(yè)務的全部內涵，信息系統(tǒng)審計的概念隨之出現(xiàn)。目前，計算機審計和信息系統(tǒng)審計，IT審計師和IS審計師的概念還在同時使用，但這些概念之間已經有了微妙的差別。

　　由于社會信息化程度的提高，發(fā)達國家大力發(fā)展信息產業(yè)，加上計算機與通信技術的結合，使計算機的應用更加普及，同時也導致了利用計算機犯罪的比率上升，在社會上引起了強烈的反響，使人們日益關注包括財務信息系統(tǒng)在內的所有信息系統(tǒng)的安全性、可靠性，及其與組織目標的一致性。信息系統(tǒng)審計的必要性逐漸凸顯。如今的信息系統(tǒng)審計的業(yè)務已經超出了為財務報表審計提供服務的范圍，在很多大型會計公司內部，信息系統(tǒng)審計部門已經成為一個獨立的對外提供多種服務的部門。尤其是互聯(lián)網和電子商務的興起，更是為信息系統(tǒng)審計業(yè)務帶來了無盡的商機。為財務報表審計提供服務只占信息系統(tǒng)審計部門業(yè)務內容很小的一部分。與信息安全相關的防火墻審計、安全診斷、信息技術認證以及ERP相關的新型咨詢業(yè)務也不斷涌現(xiàn)?！拔磥韺徲嬓袠I(yè)和審計技術的發(fā)展動力將主要來自于信息系統(tǒng)審計的發(fā)展”，這一觀點已經逐漸成為國外會計、審計界的一個共識。

　　會計公司以及整個社會對信息系統(tǒng)審計師需求量將隨之成倍地增長，信息系統(tǒng)審計師的地位也在不斷提高。在國際大型會計公司中已經出現(xiàn)了沒有CPA資格的合伙人，他們持有的專業(yè)資格就是CISA.信息系統(tǒng)審計師（簡稱CISA）目前已經成為全球范圍最搶手的高級人才，這些人才一般都具備全面的計算機軟硬件知識，對網絡和系統(tǒng)安全有獨特的敏感性，并且對財務會計和單位內部控制有深刻的理解。隨著計算機技術在管理中的廣泛運用，傳統(tǒng)的控制、管理、檢查和審計技術都受到巨大的挑戰(zhàn)，國際會計公司、咨詢公司和專業(yè)服務提供商都將控制風險，特別是控制計算機環(huán)境風險和信息系統(tǒng)運行風險作為管理咨詢和服務的重點。幾乎所有的大型跨國公司，由于普遍使用大型管理信息系統(tǒng)，都非常重視對信息系統(tǒng)安全性和可靠性的控制，常常高薪聘請信息系統(tǒng)審計師進行內部審計。

　　我國的信息系統(tǒng)審計工作目前還處于探索階段，還沒有形成一套成形的專業(yè)規(guī)范，也沒有形成一支能夠全面開展信息系統(tǒng)審計業(yè)務的人才隊伍。目前我國會計審計界所進行的一些計算機審計的探索和嘗試以及開發(fā)的一些計算機審計軟件還大都停留在對被審計單位的電子數據進行處理的階段。無論是國際上大型的跨國公司還是國內一些規(guī)模較大的企業(yè)都在不斷地擴大信息技術在其經營活動和會計領域應用范圍，運用傳統(tǒng)的會計審計知識已經不能對這樣的客戶進行風險評估、內控測試與評價，從而無法進行真正意義上的“風險基礎模式”的審計業(yè)務，進而也影響到我國會計師行業(yè)審計業(yè)務的質量。這一現(xiàn)狀使得我國的注冊會計師行業(yè)在與國外大型會計公司的競爭中處于不利地位。

　　在建立信息系統(tǒng)審計制度，開展信息系審計研究方面，美國走在了前面。早在計算機進入實用階段時，美國就開始提出系統(tǒng)審計（SYSTEM AUDIT）。1969年在洛杉磯成立了電子數據處理審計師協(xié)會（EDPAA），1994年該協(xié)會更名為信息系統(tǒng)審計與控制協(xié)會（INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION）即ISACA，總部設在美國芝加哥。目前該組織在世界上100多個國家設有160多個分會，現(xiàn)有會員兩萬多人，它是從事信息系統(tǒng)審計的專業(yè)人員唯一的國際性組織，CISA（Certified Information System Auditor）也是這一領域的唯一職業(yè)資格。

　　信息系統(tǒng)審計與控制協(xié)會通過制定和頒布信息系統(tǒng)審計準則、實務指南等專業(yè)標準來規(guī)范和指導信息系統(tǒng)審計師的工作；它還設立了信息系統(tǒng)審計與控制基金會，從事相關領域的研究工作，以使該組織的成員能夠享用其最新研究成果；通過在世界各地舉辦各種形式的研討會、培訓班等活動，增進國際間同業(yè)人員的交流。ISACA每年還舉辦CISA資格考試，通過考試的人員可以申請CISA資格，符合ISACA規(guī)定的工作經驗及其他相關要求的申請人會被授予CISA資格。CISA資格在世界各國都被廣泛的認可。

　　日本的系統(tǒng)審計是從八十年代開始，1983年通產省公開發(fā)表了《系統(tǒng)審計標準》，并在全國軟件水平考試中增加了“系統(tǒng)審計師”一級的考試，著手培養(yǎng)從事信息系統(tǒng)審計的骨干隊伍。近幾年東南亞各國也開始制定電子商務法規(guī)，成立專門機構開展信息系統(tǒng)審計業(yè)務，并制定技術標準。我國在1999年頒布了獨立審計準則第20號——計算機信息系統(tǒng)環(huán)境下的審計。但是我國信息系統(tǒng)審計才剛起步，審計技術、審計規(guī)范、制度等都有待研究。隨著我國信息化水平的提高，對信息系統(tǒng)的有效控制與審計將逐漸成為研究熱點。

　　三、在中國普及信息系統(tǒng)審計的重要意義

　　1、信息系統(tǒng)審計有利于維護信息時代的市場經濟秩序

　　市場經濟是建立在信用基礎上的，信息系統(tǒng)審計師應當充當信息時代經濟生活中公正的鑒證人起著維護市場經濟穩(wěn)定的作用。信息時代競爭的加劇，信息流的電子傳播方式等，使市場對及時和相關信息的需求越來越多，現(xiàn)有財務報告模式的局限性性日漸突出?，F(xiàn)有財務報告是以歷史成本為計量基礎的、周期性的向利益相關者報告。這些報表往往要在事實發(fā)生30天或是更長的時間后才能發(fā)布給報表使用者，因此要用這些財務報表來作“實時決策”是不可能的。對投資者、分析者和監(jiān)管者而言，這些報表不過是企業(yè)某個時點的“快照”而非持續(xù)性報告。今天的利益相關者要求“即需即取”的、格式化的數據來幫助他們更好的進行投資決策。商業(yè)信息的在線和實時披露是不可扭轉的必然趨勢。信息時代的財務報告模式將會是是以企業(yè)的業(yè)績評估為基礎，在線的、實時的信息披露。在新經濟環(huán)境中，信息系統(tǒng)審計師應能夠以在線、實時的信息為基礎提供鑒證，通過多種方式來保護公眾利益、提供鑒證服務并滿足投資公眾對決策有用信息的訪問需要。提供實時報告鑒證對保護公眾利益和保護資本市場的有序發(fā)展是非常有意義的。

　　只有當產生信息的系統(tǒng)本身具有可靠性時，它的產品——信息才是對決策有用的。為了鑒證系統(tǒng)的可靠性，信息系統(tǒng)審計師可以通過檢測公司信息系統(tǒng)的可用性、安全性和過程的完整性來確定其是否可靠。這種保證職能叫做“系統(tǒng)可靠性保證”（System reliability assurance）。它是保證信息資產安全、完整、真實可靠的基礎。

　　此外，電子商務的風險對交易雙方都構成威脅。破壞者可以來自公司外部也可以來自內部。所面臨的風險包括數據的失竊、毀壞、截取、改動、延誤或傳輸路徑的改變以及偽造信息。這些風險會破壞正常的交易秩序，給交易雙方帶來巨大的損失。如下圖所示。信息系統(tǒng)審計師可以憑借自己的專業(yè)知識評估服務器的效率與網站的可靠性，幫助從事電子商務的公司評估其電子商務系統(tǒng)的內部控制與風險。信息系統(tǒng)審計師的存在有利于維護信息時代的市場經濟秩序，降低風險。

　　2、信息系統(tǒng)審計為我國信息化建設保駕護航

　　當前，我國信息化事業(yè)已發(fā)展到一個新的階段。各級政府正在認真落實“以信息化帶動工業(yè)化”的戰(zhàn)略，推進“電子政務”及“電子商務”，許多城市及企業(yè)也已著手整合與升級其信息化應用系統(tǒng)?？梢灶A計，全國將有更多、更大的信息系統(tǒng)建設項目展開。但是，國內外的實踐表明：信息化是有風險的，信息系統(tǒng)規(guī)模越大，功能越復雜，風險也就越大。中央領導同志在國家信息化領導小組第一次會議中特別強調：信息化建設一定要講求效益，不能搞花架子。信息系統(tǒng)審計師的出現(xiàn)，可以從項目計劃開始介入信息系統(tǒng)建設的每個環(huán)節(jié)，以他們的專業(yè)素養(yǎng)，從項目的初始階段一直到運營的全過程，給予項目投資者風險控制的評估與建議，提高信息系統(tǒng)的投資效益。建立并逐步完善我國信息系統(tǒng)審計制度是健康、有序地推進信息化和落實國家信息化領導小組會議精神的一項重要措施。