时间:2023-12-22 15:20:12
引言:寻求写作上的突破?我们特意为您精选了4篇审计信息理论范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
任何一个成熟的学科,都应在总结实践成果的基础上,构建一个完整的、相互关联的、合乎逻辑的理论框架。信息系统审计也是如此,它需要建立一个由各审计概念构建而成的、足以支撑并指导审计实践的理论框架。在研究信息系统审计的理论框架时,首先明确信息系统审计的相关概念是非常重要的。
一、信息系统审计的概念
(一)与信息系统审计有关的几个概念
信息系统审计是一种新兴的审计类型。尤其近年来,国外对信息系统审计的研究增长颇多,国内的研究和应用也呈上升趋势。在我国广泛开展对信息系统审计研究过程中,不可避免地采用和借鉴国外关于信息系统审计的研究成果。因此,不同的翻译和认知所导致的一个现象是,有关信息系统审计的名词大量出现,在学术方面有着不同的涵义和理解。
本文在研究和分析的基础上,试图借鉴前人的学术成果,并加之自己的理解,对现有名词进行甄别,对有关信息系统审计的相关概念的理解提出新的看法。涉及到的概念包括:EDP审计,信息技术环境下的财务审计,信息系统审计,IT审计,计算机审计,计算机辅助审计。在明确这些概念的同时,也可以看出信息系统审计从萌芽、发展、成熟到普及的发展历程。
1.EDP(Electronic Data Processing)审计,即电子数据处理审计。EDP审计可以看作是信息系统审计的雏形。美国学者F・坎夫曼在1961出版了第一本有关EDP审计的著作――《电子数据处理和审计》,此书被看做是信息系统审计的萌芽,但此时还未出现“信息系统审计”这个名词。而当时的EDP审计,也就是指针对电子数据及其处理过程的审计,审计的对象不是进行电子数据处理的计算机信息系统,而是被审计机构的电子数据处理过程和结果及相关的控制。1987年美国EDP审计师协会了《信息系统审计的基本准则》(General Standards for Information Systems Auditing),正式提出了信息系统审计这个名词;1994年,EDP审计师协会正式更名为信息系统审计与控制协会(Information System Audit and Control Association, ISACA),标志着EDP审计这个名词正式退出了历史舞台,由信息系统审计全面取代。
2.信息技术环境下的财务审计,是指运用计算机技术对被审单位的财务收支及其他活动进行的审计,对被审单位的财务收支活动的真实、合法和效益发表审计意见。从这个定义可以看出,信息技术环境下的财务审计,“依然是对被审计单位财务收支活动和会计资料是否真实、正确、合法和有效所进行的审计。这不仅表现在审计的具体内容上,而且还表现在审计的对象、目标、依据、时间、执行者等方面” 。由此可以看出,信息技术环境下的财务审计,即为我们日常工作中,口头上一般所指的“计算机审计”,但是显然,“计算机审计”这个名词的涵义要大于信息技术环境下的财务审计,这不能不承认是使用者对于计算机审计理解的误区。另外,与传统审计相比较,信息技术环境下的财务审计的区别在于,后者是随着信息技术的发展而产生的,是为了适应信息技术在企业财务会计活动中的广泛应用而产生的,并且是现在以及未来审计的发展方向。
3.信息系统审计,也称为IS审计(Information Systems Audit,ISA),简单来说,是对被审计单位信息系统的安全性、可靠性、有效性和效率所进行的审计。有关信息系统审计的定义,下文将进行具体阐述,在此只讨论信息系统审计这个名词的产生原因及与其他相关概念的区别与联系。信息系统审计的产生,与审计人员对内部控制和风险的重视有着十分重要的关系。随着信息技术的发展,传统的内部控制发生了变化,信息系统的安全性、可靠性与有效性已经直接影响被审单位的财务信息质量。因此,信息系统审计的产生是顺应时展需要的。
4. IT审计,也叫信息技术审计(Information Technology Audit ,ITA)。有观点认为,“IT 审计与信息系统审计是不完全相同的,信息技术审计虽然也是针对系统的审计但更加强调对信息技术的审计以及审计过程中信息技术手段的运用,” 本文的观点认为,信息技术审计与信息系统审计从审计方法到审计对象、目的、内容和准则都没有区别,不需要将二者作为不同的概念加以区分。此外,到2009年3月为止,由国际内部审计师协会(IIA)出台的全球信息系统审计指南(GTAG)中,对于信息技术审计和信息系统审计也未加以区分,并且明确指出,“本书中IIA所使用的信息技术审计,其实质就是信息系统审计。 ”
5.计算机审计(Computer Audit ,CA),在我国这个名词最早见于肖泽忠教授的《计算机审计》一书(1990),是与传统手工审计相对应的概念。经过多年的研究和发展,虽然对于计算机审计尚无一个统一的定义,但一般认为,计算机审计基本包括两方面的内容:一是指运用计算机审计技术对被审计单位的会计报表和其他资料及所反映的经济活动进行审查,对被审单位会计报表的合法性、公允性、一贯性发表审计意见;二是指对被审单位计算机信息系统保护资产的安全性、数据完整性及系统的有效性和效率进行审查、评价并发表审计意见 。
由这个定义可以看出来,计算机审计是一个高度概括性的定义,涵义范围较广,其中第一部分的内容,可以概括为信息技术环境下的财务审计;第二部分的内容,可以概括为信息系统审计。因此,本文认为,计算机审计实质包括两个方面,即信息技术环境下的财务审计与信息系统审计。
6.计算机辅助审计(Computer Assisted Audit,CAA),有关其定义,国家审计署认为,“计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计。”由这个定义不难看出,计算机辅助审计与计算机审计并无实质区别,既包括信息技术环境下的财务审计,又包括信息系统审计。在过去的一些理解中,有观点将计算机辅助审计和计算机审计加以区分,认为计算机审计包括计算机辅助审计和信息系统审计。本文认为,这种区分混淆了计算机辅助审计与信息技术环境下的财务审计两个概念。而之所以选择后者,是因为信息技术环境下的财务审计,这个名词更能清晰的传达审计的目的和内容。因此,本文的观点是,计算机辅助审计与计算机审计实际上是同一概念。
综上所述,本文认为,虽然有关概念数量繁杂,难以理解,但有实际意义的概念只有以下三个,其他均为概念混淆或者重复命名:计算机审计,信息技术环境下的财务审计和信息系统审计。三者的关系为,计算机审计是这门学科的总称,后两者为计算机审计之下的两项具体内容和研究方向。
(二)信息系统审计的基本概念
有关信息系统审计的定义,至今还没有一个统一的说法。
目前,比较有代表性的定义有以下几种:
1.“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效果地实现组织目标的过程。”
2.“为了信息系统的安全、可靠与有效,由独立于审计对象的 IT 审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动。”
3.“信息技术(IT)审计侧重于企业信息系统的计算机应用方面,它包括对适当的实施、操作过程和计算机资源控制的评估。”
以上所说的IT审计或信息技术审计,严格意义上与信息系统审计有所不同,但从其定义来说有可借鉴的地方。Ron Weber、日本通产省对信息系统审计定义有共同之处,都认为信息系统审计是一个获取和评价审计证据的过程,并且都明确了信息系统审计的目的,不同的是Ron Weber认为信息系统审计的目的是保证资产的安全、数据的完整以及有效率的利用组织资源实现组织目标。日本通产省则把信息系统审计的目标定位在审查信息系统是否安全、可靠、有效等方面。詹姆斯・A・霍尔则侧重于对信息系统审计的对象进行分析,认为信息系统审计是对适当的实施、操作过程和计算机资源控制的评估。
通过对相关方面信息系统审计概念的分析,本文认为,所谓信息系统审计,是指通过对被审单位信息系统的组成部分及其规划、研发、实施、运行、维护等过程进行审查,就被审计单位的信息系统的安全性、可靠性、有效性和效率性,以及信息系统能否有效的使用组织资源并帮助实现组织目标发表意见和建议。
二、信息系统审计理论结构的逻辑起点
研究信息系统审计理论结构框架,一个首要的问题便是从何入手,即以什么作为逻辑的出发点。选择一个正确的逻辑起点有利于建立一个逻辑体系严密、完整、前后一致的理论体系,并对该学科其他理论要素的建立、发展和完善起着决定性作用。因此,构建信息系统审计理论的结构框架,首先需要合理确立它的逻辑起点。
(一) 审计理论结构逻辑起点的几种观点
目前,因为对信息系统审计理论结构框架的研究在我国基本还没有开展过,所以缺乏可以对比的理论依据,但是,我国学术界对审计理论结构框架的研究已有多年历史,本文借鉴了目前理论界对于审计理论结构逻辑起点的一些看法,从中引申和提炼出对于信息系统审计理论结构逻辑起点的观点。
对于审计理论结构的逻辑起点,目前我国理论界主要有以下几种代表性的观点:
1.审计本质起点论
本质是事物本身所固有的、决定事物性质、面貌和发展的根本属性,是决定一物区别于他物的根本属性。1984年,英国审计学家汤姆・李在《公司审计学》中,以审计的本质为逻辑起点,提出了审计理论结构;我国的蔡春教授在他所著的《审计理论结构研究》中指出,“只有准确地揭示并把握了审计的本质,才能把握住审计理论发展的方向”,并结合我国的国情,以审计本质作为逻辑起点,构建了审计理论结构。
审计本质,是在社会实践的基础上,为确保受托责任有效履行而形成的特定的人与人之间的关系。审计本质是一个高度抽象的理论范畴,具有作为审计理论框架逻辑起点的一般特征。我国过去的审计理论研究,大多选择“审计本质”作为逻辑起点,进而阐述审计属性、审计对象、审计职能、审计作用等一系列理论问题。但是,审计本质作为审计固有的属性,无法随着时代的发展反映审计环境的变化,以及由环境变化所引起的审计目标和职能的变化,易造成审计理论研究与实践相脱节。
2.审计目标起点论
这种观点认为审计目标是整个审计监督系统的定向机制,从审计目标出发,根据审计目标规定审计信息的质量特征,然后研究作为信息传递手段的审计报告的构成要素等问题。“目标是一切工作的出发点。”1977年,安德森在《外部审计》(The External Auditing)一书中提出了审计理论结构框架的六个要素,构建了以审计目标为逻辑起点的审计理论结构。国际审计准则委员会在 1986 年构建的审计理论结构中,也是将审计目标作为逻辑起点,将其它审计要素串联起来,建立审计理论结构。
实现审计目标,是从事审计活动的出发点和落脚点。在审计理论结构框架中,审计目标的确是一个非常重要的构成要素,它引导着审计系统的运行,还制约着审计准则、审计假设等要素。但是,审计目标同时也是由审计本质,以及信息使用者的需求所决定的。即审计目标的提出,是顺应审计环境的要求,同时受限于审计本质,因此,在理论结构框架中应列在第二个层次。因此,将审计目标作为审计理论结构的逻辑起点,在逻辑上不够严密,倾向于实用主义,使由此建立的审计理论结构框架难以揭示更深层次的审计理论。
3.审计环境起点论
按照系统论观点,审计是社会经济系统中的一个子系统,它的发展在很大程度上受到包括统计和数学等相关知识以及政治、哲学、经济、文化、法律、会计、计算机技术等的影响。审计环境包括社会需求和职业的自身条件两个方面,审计理论中的各要素均受审计环境的影响。近些年,各门学科的研究都对环境尤为重视。会计理论界也掀起了一阵以会计环境为逻辑起点构建会计理论的热潮,同样,审计环境也受到了许多专家、学者的关注。以审计环境作为逻辑起点的人认为,审计理论结构作为一个理论体系与所依存的社会经济环境存在相互作用关系,审计环境要求审计理论结构的构建必须适应环境的需要,并随环境的变革而变革。
的确,审计环境是审计理论结构框架中不可缺少的基本要素,脱离审计环境的审计理论结构是没有实际意义的。但是,以审计环境作为审计理论结构的逻辑起点,也存在一定的局限性:把审计放在社会政治、经济、文化、法律环境中来研究,并不表明审计环境就是研究审计理论结构框架的逻辑起点。因为从环境的涵义来看,环境是存在于系统之外的,对研究系统有影响作用的一切外部系统的总和。研究审计理论离不开审计环境,然而,审计与审计环境的关系,是本体与客体的关系,以审计环境作为逻辑起点是忽略了审计理论结构的内在要求的。
4.审计假设起点论
持这种观点的人认为,审计假设是审计人员对那些未确切认识或无法正面论证的现象,根据客观的正常情况或趋势做出的合乎情理的推断,是演绎的先决条件,是建立审计理论结构的基石,是理论研究的基本要素。1978 年,C・W・尚德尔教授发表《审计理论――评价、调查和判断》一书,提出了以审计假设为逻辑起点的,包括审计假设、定理、结构、原则和标准的审计理论结构。
审计假设是构造审计理论结构的基础,也是审计科学发展的前提。但是,审计假设是被决定的,是审计系统运行的前提条件,前提条件不能等同于逻辑起点,逻辑起点应该是不以该体系中任何其他范畴为中介和前提的范畴。此外,因为审计环境存在不确定性,才导致了审计假设的出现,但审计环境却是处于变化之中的,审计假设一旦确定,就无法反映不断发展变化着的审计环境对审计的要求,因此,审计假设不能成为构建审计理论结构的起点和基石。
(二)确定信息系统审计理论结构逻辑起点的标准
从哲学的角度看,逻辑起点是指研究对象(任何一种思想、理论、学说、流派)中最简单、最一般的本质规定,即构成研究对象最直接和最基本的单位。逻辑起点是构造一门学科的理论结构框架的出发点,是该学科理论体系中最简单、最抽象、最基本的一个理论范畴,对该学科中其他理论要素的建立和发展,以及整个理论结构框架的构建都起着决定性的作用。
因此作为信息系统审计理论结构的逻辑起点,应该符合以下几个要求:
第一,逻辑起点应该是信息系统审计理论结构中最简单、最抽象、最基本的本质规定。
第二,逻辑起点应该是信息系统审计理论结构的重要组成部分,能够紧密联系信息系统审计理论和实务,是信息系统审计理论和实务形成和发展的动力,贯穿于信息系统审计理论发展全过程。
第三,逻辑起点应该能够揭示信息系统审计理论诸要素之间的内在矛盾,以及信息系统审计理论结构中的一切矛盾,有助于形成完整的科学理论体系。
第四,逻辑起点作为信息系统审计理论结构中的一个基本要素,同整个系统发生着多方面的联系,应该能够推导论证其他抽象的信息系统审计理论范畴。
(三)信息系统审计理论结构逻辑起点观
纵观以上几种关于审计理论逻辑起点的代表性观点,以及确定逻辑起点的标准,单纯以某一信息系统审计理论要素作为信息系统审计理论结构的逻辑起点是不完善的。本文的观点是,应以信息系统审计环境和信息系统审计本质共同作为逻辑起点,构造二元的信息系统审计理论结构逻辑起点。理由如下:
信息系统审计本质是审计理论结构中最一般、最简单的规定,其自身的特点决定了它具备作为信息系统审计理论逻辑起点的先天条件;然而,信息系统审计本质作为信息系统审计固有的属性,无法反映信息系统审计目标和职能的变化,不能推导论证其他信息系统审计理论,不符合逻辑起点的内在要求。针对信息系统审计本质的这一缺陷,只有信息系统审计环境能够弥补:信息系统审计理论须适应环境的需要,并且必须随环境的变革而变革。
从信息系统审计环境的角度来看,世界经济一体化带来信息系统审计国际化,信息系统审计国际化的前提是充分认识不同审计环境下的国家审计差异,只有包含了信息系统审计环境的各国信息系统审计理论体系才有利于对上述差异的理解。此外,信息技术日新月异,审计环境的变化对于信息系统审计的影响,较之对于传统审计的影响要深刻的多,使得信息系统审计环境对信息系统审计理论和实务具有前所未有的影响力。任何一种未包括信息系统审计环境的、仅以一个要素为起点的信息系统审计理论结构框架都是不完善的。然而,信息系统审计环境不是唯一的起点,因为人们从信息系统审计环境并不能直接推导出其他的信息系统审计理论范畴。那么在这种情况下,就需要有不变的、内在的信息系统审计本质来与信息系统审计环境相互作用,即信息系统审计环境是通过信息系统审计本质来影响信息系统审计理论结构的,使信息系统审计本质克服了先天上的缺陷,能够紧密联系信息系统审计理论与实务,贯穿于理论发展全过程。
综上所述,以信息系统审计本质和信息系统审计环境共同作为信息系统审计理论框架的逻辑起点,充分体现了逻辑起点的内在要求,符合辩证法中动静结合的观点,不变当中体现着变化,变化中又蕴含着不变,完全符合信息系统审计工作本身的要求。
三、信息系统审计理论结构框架及其逻辑关系
(一)构建信息系统审计理论结构的原则
构建信息系统审计理论结构,揭示的是信息系统审计理论体系要素的内在有机联系形式。一个完善的理论结构框架,必须是在遵循一定原则的基础上构建起来的。因此,在构建信息系统审计理论结构框架时,应该遵循以下原则:
1.理论与实践相结合的原则
科学的信息系统审计理论结构,应具备与实践紧密相连且不断发展的特点。对实践的经验总结便形成了信息系统审计理论,而形成信息系统审计理论的目的是指导信息系统审计实践,二者是相互作用的关系,不可分离开来。只有这样,才能使信息系统审计理论结构起到正确指导审计实践的作用。
2.理论结构的整体性和层次性原则
信息系统审计理论结构框架中各要素虽然有主次之分,但它们是相互联系、相互作用的,具有内在的严密性和整体功能,是一个有机的体系结构。只有先从整体上把握信息系统审计理论结构的基本框架,在确定了逻辑起点的基础上,再确定应包括哪些理论要素,以及如何划分层次,才能对各信息系统审计理论要素按一定的逻辑关系进行系统的归类,透过各要素之间的相关性、有机性,从整体上构建信息系统审计理论结构。
3.理论结构内在逻辑一致性原则
在构建信息系统审计理论结构框架时,要按照各信息系统审计要素之间的逻辑关系来进行,而首要因素当然就是逻辑起点。此外,还应该充分使用系统论观点去考察各个信息系统审计要素之间内在的逻辑关系,构建前后一致、逻辑合理的信息系统审计理论结构,以免因逻辑不清、杂乱无序而导致信息系统审计理论结构前后矛盾,更造成实践的混乱。
(二)信息系统审计理论结构框架
根据以上构建信息系统审计理论结构的原则,本文认为,信息系统审计理论结构框架应如图1所示:
(三)信息系统审计理论结构逻辑关系
从整体上看,信息系统审计理论结构框架大致可以划分为两个层次,即信息系统审计基本理论与信息系统审计应用理论。信息系统审计基本理论是研究信息系统审计的一般规律,探索能揭示信息系统审计实践的普遍本质和发展规律的知识体系,在信息系统审计理论结构中处于基础地位。信息系统审计应用理论是信息系统审计基本理论在实践应用中的具体反映,是与信息系统审计实践工作直接相关的,可以直接用来指导信息系统审计工作的理论。
信息系统审计基本理论包括六个信息系统审计要素,分为五个层次:
1. 信息系统审计环境和信息系统审计本质共同作为逻辑起点,处于理论结构的最高层次,起着统驭整个信息系统审计理论结构的导向作用。有关逻辑起点的选择的内容,前文已做过详细阐述,此处不再重复,但要进一步说明的是,之所以将信息系统审计环境放在信息系统审计本质前面,是因为从选择逻辑起点的标准来看,信息系统审计本质无疑构成了逻辑起点的核心,但是不同的信息系统审计环境是一切信息系统审计要素的前提,它通过信息系统审计本质影响着信息系统审计目标、信息系统审计假设和信息系统审计职能,进而影响了信息系统审计应用理论。离开了信息系统审计环境,信息系统审计目标、假设等都成为空中楼阁。但不可否认的是,信息系统审计目标、信息系统审计假设研究的目的也是为了指导实践,从而进一步改造信息系统审计环境。
2.信息系统审计目标是对被审单位信息系统的安全、可靠、有效和效率以及能否有效地使用组织资源、实现组织目标等发表审计意见并提出改进建议。由以上定义可以看出,信息系统审计的目标是信息系统审计本质与特定的信息系统审计环境相互作用、相互影响的结果。即,信息系统审计目标的提出是应信息系统审计环境的要求而产生的,同时受制于信息系统审计本质。信息系统审计目标的确立必须紧扣信息系统审计本质,同时又要反映信息系统审计环境的变化。当信息系统审计环境发生变化时,信息系统审计目标应适应环境的要求作相应的改变,但无论这些目标如何变化均未偏离信息系统审计本质这一本源。
信息系统审计目标又是一切审计实践活动的中心,是制定信息系统审计程序、解释信息系统审计技术方法的依据,目标的实现结果也是评估信息系统审计风险的最有力的依据,所以,将信息系统审计目标置于信息系统审计理论结构的第二层,有助于排列其他组成要素。
3. 信息系统审计假设是信息系统审计人员在面对复杂的审计环境时,对某些无法正面论证的事项和现象所作出的合理推断。本文认为,信息系统假设应该包括以下几个方面:
(1) 信息系统审计标准假设。该假设是指存在用来衡量、评价信息系统审计对象的公认的信息系统审计标准。
(2)信息系统审计可验证假设。该假设是指,与信息系统审计目标有关的所有信息,都可以通过获取相关的信息系统审计证据,利用信息系统审计技术加以确认。
(3)信息系统审计风险可控性假设。该假设是指信息系统审计风险能够被识别和评价,而且在此基础上,信息系统审计风险能够被合理的控制。
信息系统审计假设是信息系统审计理论结构中的一个基本问题,是联系信息系统审计目标和其他审计要素的桥梁。信息系统审计假设为信息系统审计运行的前提条件做出限定,而这种限定取决于信息系统审计目标,因而信息系统审计目标制约着信息系统审计假设。
4.信息系统审计职能,即信息系统审计在客观上所固有的功能。为了确保信息系统审计目标的实现,信息系统审计的两大基本职能应为保证和咨询。保证,即通过对信息系统运行过程、维护状况等进行评价,合理保证信息系统的安全、稳定和有效。它是信息系统审计最基本的职能。咨询,就是指信息系统审计人员能够为信息系统的服务对象提供解决问题的方案,达到实现信息系统的安全有效和改善经营的目的。因此,信息系统审计职能是以信息系统审计目标和假设为前提而产生的,作为信息系统审计理论结构中基本理论的重要组成部分,从理论结构框架的逻辑关系上来说,应该位于信息系统审计目标和假设之后。
5.信息系统审计准则,是信息系统审计人员开展信息系统审计时所必须遵循的标准,一般由行业内专业的职业团体所制定和,是职业团体的全体会员共同遵循的行为准则。信息系统审计准则是在特定的信息系统审计环境下信息系统审计本质的拓展,又是信息系统审计假设的具体化和制度化。信息系统审计准则作为联系信息系统审计基本理论和应用理论的纽带,是根据信息系统审计目标和职能而制定具体的规范准则,同时又对信息系统审计流程、信息系统审计技术、信息系统审计风险等方面的内容作了相应的规定,对审计人员执业行为进行规范。因此,它既是审计基本理论的终点又是审计应用理论的起点。先有准则而后施行,符合人们认识世界、改造世界的一般规律与程序。
信息系统审计应用理论是建立在信息系统基础理论之上的,包含四个信息系统审计要素,分为两个层次:
1. 信息系统审计流程、信息系统审计技术和信息系统审计风险,是信息系统审计应用理论的主体部分,是信息系统审计基本理论在应用理论中的具体反映,也是由具体的信息系统审计准则所规范和影响的。
信息系统审计流程,是审计工作从开始到结束的整个过程。信息系统审计流程,实质上是一个获取并评价证据,以研判信息系统是否能够保证资产的安全、有效以及提供真实、完整的系统信息的动态循环流程。科学的信息系统审计流程是建立在信息系统审计基础理论和信息系统审计准则之上的,是保证信息系统审计工作顺利开展的必要条件。
信息系统审计技术,是信息系统审计的核心内容,是信息系统审计得以实现的必要手段。信息系统审计技术与方法的运用必须符合具体的规范准则,因为这将影响信息系统审计风险。先进的、与审计环境相适应的有效的信息系统审计技术,是信息系统审计工作顺利开展的重要前提。
信息系统审计风险,是信息系统的安全性、稳定性和有效性存在重大隐患,而信息系统审计师验证后发表不恰当审计意见的可能性。信息系统审计风险很显然在信息系统审计准则的规定之上,受信息系统审计流程和技术的影响,科学的审计流程和先进的技术方法可以降低风险,反之,则会使审计风险加大。
2.信息系统审计报告,是在审计工作完成之后由信息系统审计人员对于审计事项有关的审计证据进行整理、归纳和评价,形成的对信息系统的书面审计意见。报告的内容与格式,受到信息系统审计准则的规范,但实务工作中也可以根据环境变化的客观条件调整审计报告的具体内容。信息系统审计报告是信息系统审计行为的最终成果,是信息系统审计基础理论和应用理论最终体现的结果,也是信息系统理论结构框架的终点。
研究和构建信息系统审计理论结构框架,笔者认为还应明确的一点是,随着社会经济的发展和科学技术的进步,理论框架中各要素的内容及层次关系可能会发生相应的变化。因此,信息系统审计理论结构也会有发展和变化,需要学术界进行不懈地研究、思考,使之更能适应时代的发展、适应信息系统审计实务的需要。
【参考文献】
[1] 卢红柱.计算机信息系统审计的探索之路[J].审计研究,2006(12).
[2] 胡克瑾.IT 审计[M].电子工业出版社,2004.
[3] 时现,李庭燎等.全球信息系统审计指南[M].中国时代经济出版社,2010.
[4] 吴沁红.信息系统审计内容分析[J].财会月刊,2008(10).
[5] 吴沁红.信息技术环境下财务审计与信息系统审计的比较[J].中国注册会计师,2008(10).
[6] 唐飞兵.关于构建我国计算机审计理论体系的探讨[J].中国管理信息化,2007(10).
[7] 姚靠华,周岳亭.构建计算机审计理论体系的逻辑起点:审计环境[J].中国管理信息化,2005(4).
[8] 王振武.信息系统审计技术研究[J].东北财经大学学报,2009(4).
[9] 王振武.会计信息系统[M].东北财经大学出版社,2006.
[10] 杨周南,赵纳晖.信息技术在会计和审计实务中的应用[M]. 清华大学出版社,2003.
[11] 张茂燕.论我国的信息系统审计[D].厦门大学硕士学位论文,2005.
[12] 庄明来,吴沁红,李俊.信息系统审计内容与方法[M].中国时代经济出版社,2008.
[13] 庄明来.计算机审计与信息系统审计之比较[J].会计之友(下旬刊),2010,(5).
随着信息技术的不断发展,审计理论的基础在不断的扩展范围,主要涵盖了信息经济学、博弈论、信息技术学、以及纳米科技、基因技术等多种理论。这些理论都要渗透到审计理论的基础中去。在实际的工作中,审计的内容不仅包括企业中的财务数据和会计凭证,还包括很多的非财务上的信息,这些非财务信息的范围非常广泛,主要包括关于审计的法律法规、被审计企业的基本资料以及被审计单位的关联企业的信息等等。
(二)必须要保障审计质量
审计基本理论是审计理论的根本,在新信息技术环境下,审计基本理论对审计的质量提出了新的要求。总体来说,审计基本理论的质量性主要表现为稳定性、安全性以及品质性方面。就稳定性来说,审计基本理论在整个的历史的发展过程中是动态的,但是对某个时间段来说是具有一定的稳定性的;安全性主要是说审计基本理论必须是经过实践的检验的,其理论必须是正确的,这样才能保证审计结果的正确性;品质性主要表现为审计结果的水平,高水准的审计结果其品质性就高。
(三)审计环境与审计基本理论的互动性
在新的信息技术环境下,新的审计基本理论要与审计环境之间进行互动,审计环境的变化是审计理论以及审计基本理论发生变革的外在原因。审计环境一旦变化,审计理论和审计基本理论也要根据环境的变化不断的发生变化。审计环境刺激审计基本理论的变革,审计基本理论的变化又影响审计环境,二者相互促进,相互发展,在彼此互动的过程中不断的提高。
(四)审计数据的虚拟性
新信息经济环境下,审计基本理论是一种通过多个相互联系的学科彼此结合而形成的客观存在,它超出了空间的范围,依靠网络技术把这些数据联系起来,它自身具有很强的抽象性与逻辑性,因此审计的数据具有很强的虚拟性,这种虚拟性主要表现为两方面,首先是审计基本理论的理论都是虚拟的,它来源于现实,却是以虚拟化的形式存在的。其次是审计学科和企业的其他学科之间是相互渗透的,这种渗透是虚拟存在的,没有实际的物质让我们看得到。
(五)审计具有高度的融合性
在新的信息经济环境下,审计基本理论为审计理论和其他的理论提供了一个公共的平台,这个平台上面,各个学科之间相互的交叉融合,彼此影响,相互的发展。审计基本理论是审计理论整个科学体系中主要研究的内容,但它自身并不是一种审计理论,它只是一种把审计理论和其他学科体系有效连接在一起的桥梁,是审计理论和其他学科相互渗透的平台。
二、新信息经济环境下审计基本理论方法的创新
(一)互联网审计
这个时代是以计算机网络为代表的知识经济时代,计算机审计的主要表现形式就是互联网在审计系统中的应用,也被称之为网络审计。网络审计主要是说审计人员通过互联网技术对被审计单位的各种经济活动中的会计信息进行的审核,在整个审计的过程中,主要运用了审计软件的方式进行审核。首先,这种审计基本理论方法具有很强的实时性和动态性。利用互联网审计能够有效保证会计信息审计的实时性,把静态监督转变为一种动态监督,从而有效提高审计的及时性。其次,利用互联网审计还能够提高审计结果的准确性,互联网是一个百科全书,审计中很多的资料都能够从中获得,包括最新出台的法律、法规,被审计单位的基本情况以及进行审计经验方面的交流,进行进一步的培训和学习。再次,利用互联网审计可以突破地域的限制,让注册会计师能够进行远距离实时审计,利用互联网的传输功能,对于审计中需要的信息进行快速传输,让注册会计师免于奔波去各个地方寻找证据,不仅节省时间,还节约了成本。互联网审计是新信息经济环境下对审计基本理论方法的创新。
(二)详细审计
新信息经济环境下,审计基本理论方法需要运用详细审计,详细审计的审计对象主要是企业业务事件中的所有的数据仓库,它不仅包括财务上的数据和信息,还包括非财务以及非货币性的数据和信息。详细审计不能只是锁定于以货币为基础的会计系统中,这样会让详细审计的发展受到很大的影响。未来详细审计不但要面对会计系统,同时还要面对企业的管理系统,作为审计机构不仅要审计企业的财务事项进行审计,还要审计企业的非财务事项进行审计,只有这样才能够对企业的各项事项实现全面的审计,审计的结果才能够具有更强的真实性和可靠性。在进行审计的过程中,注册会计师应该熟练的运用数据分析理论对审计的财务信息进行详细审计,详细审计分为两部分,首先,注册会计师要进行大量的数据资料的采集,保证审计数据的完整性;其次,进行详细的数据分析,在分析的过程中可以根据分析的需要不断的调整数据的采集工作。在审计的过程中,数据采集与数据分析工作相辅相成,共同作用,从而保证详细审计工作的顺利完成。从另一方面分析,利用详细审计的方法,还能有效地缓解高端审计人员缺乏,低端审计人员过多的现象,让低端审计人员进行数据采集,高端人员进行数据分析,高端审计人员还可以在分析的同时指导低端审计人员,让他们不断的进步与提高,从而保障审计工作的顺利完成。
(三)持续审计
持续审计要求审计工作是随时随地的进行,因此,注册会计师出具财务报告的时间间隔是非常短暂的。它要求注册会计师在客户进行交易或者事项发生的过程中就要不断的收集与评价证据,并及时的出具审计报告。和传统的审计相比较来说,持续审计能够更好的保证审计结果的可靠性。持续审计与传统审计相比还具有更强的广泛性,它需要审计所有与该事项相关的信息,不仅包括财务信息也包括非财务信息。另外,持续审计同时具有认证、鉴证与审计的职能。它是审计行业不断发展的产物,通过持续审计,注册会计师能够利用经营风险审计的方法对客户进行全面的审计,对客户的业务流程进行更加全面的了解,从而使得审计结果具有更强的可靠性和可信度。审计部门在进行持续审计的过程中可以运用新型的审计技术,引进嵌入式审计模块技术,更好的保证审计的持续性,提高审计结果的可靠性。在新信息经济环境下,审计机构在进行持续审计的过程中可以更多的利用电子审计证据,利用电子审计证据进行审计,可以有效保证审计的持续性,对审计对象进行实时监控,这是对审计基本理论方法的又一创新。
经济责任审计作为一项具有中国特色的经济监督制度,已成为加强干部监督管理、预防和惩治腐败、推进民主法制建设和国有资产保值增值的重要手段。当前,学术界大多采用委托理论来解释经济责任审计的基本理论并在此基础上进行拓展,认为经济责任审计是随着委托关系的产生和发展而产生和发展起来的,无论是政府部门还是公营企业事业单位,只要存在受托经营管理的公共财产,就必须要承担公共受托经济责任,就应该由政府审计机关对其公共受托经济责任履行情况进行审计,以保证公共受托经济责任合规、适当、有效履行。在这一委托关系中,涉及三个基本主体:审计部门(受托人)、被审计领导干部及单位(人)、政府管理者(委托人),如果用信息不对称理论去分析审计参与三方关系的构成,就会发现在每个具体环节中,信息不对称的情况是始终存在的。
首先经济责任审计由信息不对称而产生。在审计未实施前,管理者和领导干部之间的信息是不对称的,领导干部具有信息优势,管理者因为不具备完全信息,无法对其委任的领导干部的经济管理和资源配置使用情况进行审查,因此,便急需具有专业水平的独立第三方,对其经济管理行为等做出客观、公正的评价,以解决这种信息不对称的问题,经济责任审计便由此产生。其次,在经济责任审计出现后,管理者与领导干部间的信息不对称情况的风险,便被转化为两部分:一是领导干部和审计部门之间,二是审计部门与管理者之间。在审计过程中,领导干部具备完全信息,拥有信息优势,审计部门作为代表管理者行使监督和评价职能的一方,无论怎样努力都不可能使审计具备的信息绝对完全化,由此对领导干部经济责任履行情况做出不恰当的审计评价,得出不准确的审计结论,或者造成其他不良后果,引发经济责任审计风险。
二、经济责任审计中信息不对称的类型
一是审计信息源的不对称。被审计领导干部层级较高,处于信息管理者的中心地位,比审计人员更了解本业务系统财经收支信息、管理信息、效益信息,更了解审计信息所处的法律环境、会计环境、业务环境和内部控制制度环境等经济管理环境,对审计信息的掌控处于优势地位,审计人员要获得该信息需要花费更多的成本和时间。
二是审计信息知悉数量的不对称。审计对象由于处于审计信息的中心地位,对于各种层级相关的审计信息都了如指掌。审计所需的各种相关的、充分的审计信息都依赖于审计对象的及时、完整的提供,要做到查深查透、评价客观公正,建议切实可行,必须要花费更多的人力、物力和时间。
三是审计信息质量的不对称。审计信息的真实性决定审计的合规、合法、效益目标的实现,决定着审计的成败,影响着审计风险的大小。经济责任审计能否获得真实可靠的审计信息,不但取决于审计对象的诚信水准,而且也取决于审计人员的能力和审计成本投入的大小。
三、解决经济责任审计中信息不对称问题的策略
由于审计双方信息不对称,领导干部可以利用信息的不对称对审计人员进行欺骗,这就是“隐藏信息”和“隐藏行为”,将导致“逆向选择”问题,一是增加审计风险,二是影响对领导干部的评价,扭曲干部监督、评价和选拔机制。依据信息不对称的基本原理,可以采取强化市场机制、落实承诺机制、建立激励机制和完善监督体系等措施来有效约束信息优势方的行为。借鉴这一理论,笔者就解决经济责任审计中信息不对称问题提出以下建议:
1.完善体制机制,增强审计工作的独立性
一是改革现行审计管理体制。对审计机关人财物和业务统一垂直管理,在一定范围内实行领导干部经济责任分级同步审计和交叉审计等,都是增强审计独立性的有益探索。二是优化审计力量组成。打破条块管理,统一组织协调人力物力,有机整合审计资源。通过审计资源的统一调配,使审计人力资源得到有效利用,在具体审计项目上形成力量和技术优势。
2.健全法规制度,??强信息提供的约束性
一是完善承诺制度。审计承诺制度是针对审计部门与被审计单位之间信息不对称而制定的,要有效发挥审计承诺制度的作用,首先细化审计承诺内容,突出审计承诺的针对性,对承诺的内容和责任加以细化,明确提供虚假承诺的法律后果及后续审计验证的措施方案,防止走过场,同时对领导承诺和具体工作责任人承诺责任加以区分,防止推诿责任;另外,审计人员要将验证领导干部及被审计单位提供审计信息是否真实作为一项重要工作内容,从制度上约束被审计单位及其领导干部的行为,保证审计信息的真实、完整。二是完善奖惩制度。对违规问题划分不同类型,让抗拒者一旦查实问题后面临严重处罚,提高违法成本,让其自行判断是否如实提供信息。三是明确部门职责,完善协作制度。进一步明确其他职能部门提供有关信息以及抓好成果运用反馈的职责义务,减少信息截留或流失,拓宽信息来源渠道。
3.改进方法手段,增强信息选取的有效性
中图分类号:F239文献标识码:A
近年来,随着审计对象信息化水平的不断提高,国家审计署以现场审计实施系统(即AO系统)与审计管理系统(即OA系统)为平台,积极部署和推进计算机审计工作。目前,全国各级审计机关基本完成了从手工审计向计算机审计的转型,部分先进地区还实现了项目全覆盖,这为我们进一步探索、研究信息化条件下审计质量控制的科学化、规范化提供了技术基础。
一、审计质量控制概述
(一)审计质量控制的一般涵义
在传统的手工审计环境下,对审计质量的认识主要有两种观点:第一种观点认为,审计质量最终反映在审计报告的质量上,因而审计质量就是审计报告的质量。第二种观点认为,审计是包括了审计计划、取证、判断和报告的一个系统过程,因而审计质量是整个审计活动过程的优劣程度。综合以上两种观点,审计质量控制是审计机关为实现审计目标,规范审计行为,明确审计责任,确保审计质量符合国家审计准则的要求而建立和实施的控制政策和控制程序的总称。
(二)审计质量控制的重要性
审计质量是审计工作的生命线,犹如产品质量是企业的生命一样。审计质量的高低不仅影响着审计报告使用者的利益,影响着社会公众的利益,更事关审计部门的切身利益。控制审计质量已经成为当前审计机关的一项核心工作。
二、信息化条件下审计质量控制的新内涵
(一)信息化条件为在审计质量控制中引入风险管理理论提供了技术基础。
1.风险管理理论。所谓风险是未来结果的不确定性,对风险进行管理的理论即风险管理理论。
2.风险控制理论改变审计质量控制的内涵。
目前风险控制理论已在各个经济领域得到广泛而有效的应用。根据风险控制理论,审计质量事实上是对各类审计风险进行有效控制的结果,审计质量控制就是对审计风险进行控制的政策和程序的总称。
(二)在信息化条件下,审计风险呈现出新的特征。
1.存在转型风险。传统的审计理念、审计方法、审计手段已经成为制约审计工作发展的“瓶颈”。比如在信息化条件下,被审计单位的手工明细账、日记账不存在了,记账凭证数据存储在磁性介质上,财务处理过程由软件自动完成,肉眼可见的审计线索大大减少,这无疑给审计人员带来了转型风险。
2.存在系统风险。比如电子化会计数据可能被滥用、篡改和丢失,电子化的审计线索易于减少或消失,原始数据的录入可能存在错漏以及不可预计的突发灾害、软硬件故障等都会给系统的可靠性造成严重危害。
3.存在控制风险。比如权限设置或职责分工导致约束机制失效、网络传输和数据存贮故障会使审计数据出现异常错误、审计软件对业务缺乏实时有效的控制手段等。
4.存在检查风险。比如会计软件的更新换代,增加了历史数据难以采集汇总的可能性;内部控制主要依赖软件本身,难以全面检查测试等。
三、利用信息化技术,强化“五环节”审计风险的控制
(一)加强审计立项环节的风险控制
在审计项目立项时,要以审计对象信息资源库为基础,对被审计单位组织结构和业务流程,信息系统的软硬件等情况作深入调查,获取充分的信息。以防止到现场实施审计阶段,因被审计单位的会计软件与审计软件不兼容,数据采集第一关就无法实现,致使后续审计计划的指导、规范和控制作用无法发挥。
(二)加强审前调查环节的风险控制
在信息化条件下,我们可以通过在审计软件中预设评估模型、评估方法、评估标准等,来指导规范审计人员在审前调查阶段的工作。首先要按照审计署《审计机关审计项目质量控制办法》中规定的范围和内容进行审前调查;其次执行初步分析性复核,运用计算机的自动筛选、汇总、分析等功能,对审计对象进行定性和定量分析,迅速发现审计重点,并选择符合实际情况的审计策略和步骤;第三要运用审计软件科学评价被审计单位内部控制制度,合理确定重要性水平。
(三)加强审计现场实施环节的风险控制
1.数据采集环节。审计人员应在被审计单位的配合下,自主地获取被审计单位财务和业务等方面的完整数据。为排除被审计单位有意识隐瞒、修改部分数据的可能性,审计人员应检查数据是否发生遗漏、是否为审计时间范围的电子数据、是否是“结账”后的数据、并从核对总金额、借贷是否平衡、凭证是否断、重号、钩稽关系等方面检查其是否与相配套的纸质账册和报表一致。
2.数据预处理环节。由于被审计单位数据来源复杂、数据格式不统一、信息表示代码化等诸多影响,对采集到的原始数据必须进行预处理。这个环节要求计算机审计人员在处理过程中确保数据不失真。
3.数据分析环节。在审计数据的分析阶段,要注意选择合理的数据分析方法,首先从不同层次、不同角度对电子数据进行分析,从总体上把握情况,找准薄弱环节,选择审计重点,深化实施审计方案,避免审计的片面性、盲目性。
四、加强审计报告环节的风险控制
做好审计发现问题的综合分析工作,强化精品意识,提升审计报告的层次和水平是提高审计报告质量的关键。
可以利用AO系统的报告模板功能,做好以下四方面质量控制:一是对审计发现进行深加工,防止问题定性表面化;二是审计报告立意要高,防止内容庸俗化;三是审计结论要客观准确,防止言而无据;四是提出的审计意见和建议要有可操作性,防止纯理论化。
五、加强审计后续环节的风险控制
在审计信息化条件下,由于审计记录载体的转变,对审计证据、审计档案的质量控制提出了新要求。一是实行电子数据(含电子审计证据)保存使用责任制度。二是加快审计档案信息化建设。
参考文献:
[1]王鲁泉.论信息化条件下审计项目质量控制,《商场现代化》,2008