企業(yè)信息系統(tǒng)審計(jì)的研究

企業(yè)信息系統(tǒng)審計(jì)的研究

“實(shí)現(xiàn)化仍然是我國(guó)化進(jìn)程中艱巨的性任務(wù)。信息化是我國(guó)加快實(shí)現(xiàn)產(chǎn)業(yè)化和現(xiàn)代化的必然選擇�！苯�年來(lái)，對(duì)信息技術(shù)的投進(jìn)逐年加大，信息化程度也越來(lái)越高。信息化的蓬勃，促進(jìn)了其經(jīng)營(yíng)治理水平的進(jìn)步，特別是在進(jìn)步治理創(chuàng)新、集中管控能力、執(zhí)行力和市場(chǎng)反應(yīng)能力等方面，信息技術(shù)的確實(shí)帶來(lái)意想不到的效率和成果。但是，信息系統(tǒng)給帶來(lái)的危害主要體現(xiàn)在以下幾方面：突發(fā)事件的，由于1993年紐約世界貿(mào)易大廈爆炸事件，使得當(dāng)時(shí)進(jìn)住的多數(shù)企業(yè)的貿(mào)易數(shù)據(jù)如數(shù)喪失，導(dǎo)致在企業(yè)這一年內(nèi)的很多貿(mào)易活動(dòng)無(wú)法進(jìn)行；錯(cuò)誤操縱、不正當(dāng)使用和濫用信息技術(shù)，1998年發(fā)生的CIH病毒，導(dǎo)致全球數(shù)百萬(wàn)臺(tái)機(jī)硬件損壞，導(dǎo)致近百億美元的損失。信息系統(tǒng)開(kāi)發(fā)失敗。1994年，Standish Group對(duì)IT行業(yè)8400個(gè)項(xiàng)目（投資250億美元）的結(jié)果表明有34％的項(xiàng)目徹底失敗，50％的項(xiàng)目在補(bǔ)救后完成，預(yù)算均勻超出90％，進(jìn)度均勻超出120％。這些失敗和補(bǔ)救的項(xiàng)目中、不少未經(jīng)過(guò)投資風(fēng)險(xiǎn)評(píng)估便匆匆上馬，超成了極大的社會(huì)資源浪費(fèi)，對(duì)信息系統(tǒng)投資方面起到了極其惡劣的影響。因此，迫切需要對(duì)正在使用或即將投產(chǎn)的信息系統(tǒng)的安全性、真實(shí)性、完整性、有效性進(jìn)行鑒證。通過(guò)對(duì)信息系統(tǒng)的審計(jì)，保證信息系統(tǒng)的可信度，促進(jìn)內(nèi)控體系的規(guī)范建設(shè)，信息系統(tǒng)審計(jì)已成為擺在企業(yè)治理職員案頭迫切需要開(kāi)展的重要工作。在我國(guó)信息化推進(jìn)過(guò)程中，存在不同程度上的一些，主要表現(xiàn)在規(guī)劃制訂不夠，項(xiàng)目治理不夠嚴(yán)格，監(jiān)理機(jī)制不夠健全，系統(tǒng)運(yùn)行效益不夠明顯。致使相當(dāng)一部分信息化項(xiàng)目失敗或未能實(shí)現(xiàn)預(yù)期目標(biāo)，浪費(fèi)了大量資源。究其根源主要原因之一是信息化建設(shè)第三方監(jiān)管機(jī)制的缺失和標(biāo)準(zhǔn)的不健全。

一、審計(jì)信息系統(tǒng)
信息系統(tǒng)審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過(guò)程，以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)。
審計(jì)信息系統(tǒng)最早稱為計(jì)算機(jī)審計(jì)，計(jì)算機(jī)審計(jì)業(yè)務(wù)主要關(guān)注對(duì)被審計(jì)單位數(shù)據(jù)的取得、、計(jì)算等數(shù)據(jù)處理業(yè)務(wù)，還稱不上信息系統(tǒng)審計(jì)。隨著計(jì)算機(jī)技術(shù)應(yīng)用范圍的不斷擴(kuò)展，計(jì)算機(jī)審計(jì)所關(guān)注的也從單純的對(duì)電子的處理延伸到對(duì)計(jì)算機(jī)系統(tǒng)的可靠性、安全性進(jìn)行了解和評(píng)價(jià)。在制度基礎(chǔ)審計(jì)的模式下，計(jì)算機(jī)審計(jì)的業(yè)務(wù)內(nèi)容已經(jīng)擴(kuò)展到了符合性測(cè)試領(lǐng)域。信息系統(tǒng)的安全性、可靠性與其所服務(wù)的組織所面臨的各種風(fēng)險(xiǎn)的聯(lián)系越來(lái)越緊密，對(duì)被審計(jì)單位風(fēng)險(xiǎn)的評(píng)估必須將計(jì)算機(jī)信息系統(tǒng)納進(jìn)考慮范圍。計(jì)算機(jī)審計(jì)的業(yè)務(wù)范圍已經(jīng)覆蓋了一項(xiàng)審計(jì)業(yè)務(wù)的全過(guò)程，信息系統(tǒng)審計(jì)的概念隨之出現(xiàn)。
在建立信息系統(tǒng)審計(jì)制度，開(kāi)展信息系審計(jì)研究方面，美國(guó)走在了前面。早在計(jì)算機(jī)進(jìn)進(jìn)實(shí)用階段時(shí)，美國(guó)就開(kāi)始提出系統(tǒng)審計(jì)(SYSTEM AUDIT)。1969年在洛杉磯成立了電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)(EDPAA)，1994年該協(xié)會(huì)更名為信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)即ISACA，總部設(shè)在美國(guó)芝加哥。該組織在世界上100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì)，現(xiàn)有會(huì)員兩萬(wàn)多人，它是從事信息系統(tǒng)審計(jì)的專業(yè)職員唯一的國(guó)際性組織，CISA(Certified Information System Auditor)也是這一領(lǐng)域的唯一職業(yè)資格。
在很多大型公司內(nèi)部，信息系統(tǒng)審計(jì)部分已經(jīng)成為一個(gè)獨(dú)立的對(duì)外提供多種服務(wù)的部分。尤其是互聯(lián)網(wǎng)和電子商務(wù)的興起，更是為信息系統(tǒng)審計(jì)業(yè)務(wù)帶來(lái)了無(wú)盡的商機(jī)。為財(cái)務(wù)報(bào)表審計(jì)提供服務(wù)只占信息系統(tǒng)審計(jì)部分業(yè)務(wù)內(nèi)容很小的一部分。與信息安全相關(guān)的防火墻審計(jì)、安全診斷、信息技術(shù)認(rèn)證以及ERP相關(guān)的新型咨詢業(yè)務(wù)也不斷涌現(xiàn)。“未來(lái)審計(jì)行業(yè)和審計(jì)技術(shù)的發(fā)展動(dòng)力將主要來(lái)自于信息系統(tǒng)審計(jì)的發(fā)展”，這一觀點(diǎn)已經(jīng)逐漸成為國(guó)外、審計(jì)界的一個(gè)共叫。信息系統(tǒng)審計(jì)師的地位也在不斷進(jìn)步。在國(guó)外的一些大型會(huì)計(jì)公司中已經(jīng)出現(xiàn)了沒(méi)有CPA資格的合伙人，他們持有的專業(yè)資格就是CISA.據(jù)專家先容，國(guó)際信息系統(tǒng)審計(jì)師（簡(jiǎn)稱IT審計(jì)師）目前已經(jīng)成為全球范圍最搶手的高級(jí)人才。
在初期，信息系統(tǒng)審計(jì)是作為傳統(tǒng)審計(jì)業(yè)務(wù)的一部分，在審計(jì)師對(duì)由計(jì)算機(jī)系統(tǒng)處理的數(shù)據(jù)的質(zhì)量進(jìn)行判定時(shí)提供技術(shù)支持。有信息系統(tǒng)審計(jì)技能的審計(jì)師被看作是會(huì)計(jì)師事務(wù)所的技術(shù)資源，在必要時(shí)為同事提供技術(shù)支持。對(duì)于信息系統(tǒng)審計(jì)，需求領(lǐng)域很廣。如對(duì)組織的信息系統(tǒng)審計(jì)(主要集中在對(duì)信息技術(shù)的治理控制)、技術(shù)方面的信息系統(tǒng)審計(jì)(包括架構(gòu)、數(shù)據(jù)中心、數(shù)據(jù)通訊等)、應(yīng)用的信息系統(tǒng)審計(jì)(包括經(jīng)營(yíng)、財(cái)務(wù))、開(kāi)發(fā)實(shí)施信息系統(tǒng)審計(jì)(包括需求識(shí)別、設(shè)計(jì)、開(kāi)發(fā)以及實(shí)施后階段)和信息系統(tǒng)是否符合國(guó)家或國(guó)際標(biāo)準(zhǔn)的審計(jì)等等。

二、構(gòu)建信息系統(tǒng)審計(jì)
信息系統(tǒng)審計(jì)的建立是一項(xiàng)復(fù)雜的系統(tǒng)工程，所以應(yīng)制訂長(zhǎng)遠(yuǎn)的開(kāi)發(fā)規(guī)劃，由簡(jiǎn)到繁分階段逐步實(shí)現(xiàn)。它的功能應(yīng)該是：實(shí)現(xiàn)審計(jì)信息的收集、處理和共享；實(shí)現(xiàn)審計(jì)日常治理的自動(dòng)化；通過(guò)計(jì)算機(jī)建立程序化的標(biāo)準(zhǔn)審計(jì)和同一的審計(jì)標(biāo)準(zhǔn)，從而進(jìn)步審計(jì)工作的效率和質(zhì)量。實(shí)現(xiàn)審計(jì)治理規(guī)范化；保證審計(jì)作業(yè)規(guī)范化；促進(jìn)審計(jì)文檔規(guī)范化；審計(jì)質(zhì)量監(jiān)視規(guī)范化；進(jìn)步審計(jì)結(jié)論的層次�；�于上述的系統(tǒng)目標(biāo)，信息系統(tǒng)審計(jì)當(dāng)前應(yīng)由審計(jì)證據(jù)治理子系統(tǒng)、信息系統(tǒng)安全標(biāo)準(zhǔn)子系統(tǒng)、信息系統(tǒng)安全評(píng)估子系統(tǒng)、項(xiàng)目治理審計(jì)子系統(tǒng)和信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)子系統(tǒng)等五個(gè)子系統(tǒng)組成。
（一）審計(jì)證據(jù)治理子系統(tǒng)
１．審計(jì)證據(jù)收集
（1）傳統(tǒng)方法收集審計(jì)證據(jù)
（2）通過(guò)數(shù)據(jù)接口直接向計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)獲取審計(jì)證據(jù)
（3）在線系統(tǒng)審計(jì)證據(jù)收集
（4）計(jì)算機(jī)系統(tǒng)審計(jì)證據(jù)收集
2．審計(jì)證據(jù)評(píng)價(jià)
（1）真實(shí)性。查明審計(jì)證據(jù)的來(lái)源、形成的時(shí)間、地點(diǎn)、制作過(guò)程及設(shè)備情況，有無(wú)偽造和刪改的可能性。一般說(shuō)來(lái)，由第三方（如中間商或網(wǎng)絡(luò)服務(wù)商）來(lái)儲(chǔ)存記錄或轉(zhuǎn)存的證據(jù)具有較高的證據(jù)效力；被審計(jì)事項(xiàng)的事實(shí)和行為發(fā)生時(shí)留下的證據(jù)的效力較以后專為訴訟的目的而形成的證據(jù)更為真實(shí)；對(duì)于自相矛盾、內(nèi)容前后不一致或不符合情理的審計(jì)證據(jù)，應(yīng)小心對(duì)待，不可輕信，對(duì)不能排除公道懷疑的審計(jì)證據(jù)不得采納。
（2）正當(dāng)性。包括收集手段是否正當(dāng)和形式條件是否公道兩部分。有些審計(jì)證據(jù)其本身也有證據(jù)力，但在收集過(guò)程中，違反了規(guī)定的手續(xù)和程序，因而也就不具有法律效力，也不能用來(lái)證實(shí)題目，為此，鑒定分析審計(jì)證據(jù)時(shí)，要了解證據(jù)是以什么方法、在什么情況下取得的，是否違反了法定的程序和要求，是否符正當(dāng)律規(guī)定的形式要件，這樣有利于判明審計(jì)證據(jù)的真?zhèn)纬潭群托ЯΑ?
（3）相關(guān)性。查明審計(jì)證據(jù)反映的事實(shí)與被審計(jì)事項(xiàng)有無(wú)關(guān)系，只有與被審計(jì)事項(xiàng)的事實(shí)或邏輯上是相關(guān)的事實(shí)才能被以為是證據(jù)。
（4）結(jié)合其他證據(jù)進(jìn)行鑒定分析。將審計(jì)過(guò)程中收集的全部證據(jù)綜合起來(lái)加以分析、判定。如審查計(jì)算機(jī)審計(jì)證據(jù)中有無(wú)數(shù)據(jù)、圖表等反映的事實(shí)，同有關(guān)書證、物證、證人證言進(jìn)行分析，明確是否互相一致，是否有矛盾。假如與其他證據(jù)相一致，共同指向同一事實(shí)，就可以認(rèn)定其效力，可以作為審計(jì)證據(jù)。反之則不能作為審計(jì)證據(jù)。
（二）信息系統(tǒng)安全標(biāo)準(zhǔn)子系統(tǒng)
構(gòu)建通用的信息系統(tǒng)安全標(biāo)準(zhǔn)，作為信息系統(tǒng)審計(jì)工作中的標(biāo)準(zhǔn)。信息系統(tǒng)安全標(biāo)準(zhǔn)是由高級(jí)治理職員制定的最小標(biāo)準(zhǔn)、規(guī)則構(gòu)成的集合，所以必須加以實(shí)現(xiàn)，以確保信息系統(tǒng)安全政策的實(shí)現(xiàn)。信息系統(tǒng)安全標(biāo)準(zhǔn)需要指明每個(gè)信息系統(tǒng)控制的具體要求。它為治理職員提供一個(gè)基準(zhǔn)或底線，可以照此對(duì)單個(gè)信息系統(tǒng)控制的適當(dāng)性進(jìn)行評(píng)估。信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判定信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程。它是立足于組織的戰(zhàn)略目標(biāo)，為有效的實(shí)現(xiàn)組織戰(zhàn)略目標(biāo)而采取的一切活動(dòng)過(guò)程都在審計(jì)師的業(yè)務(wù)之內(nèi)。

（三）信息系統(tǒng)安全評(píng)估子系統(tǒng)
信息系統(tǒng)審計(jì)集中反映了的戰(zhàn)略目標(biāo)，主要從質(zhì)量、本錢、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來(lái)保證信息的安全性、可靠性、有效性； 信息系統(tǒng)審計(jì)資源維主要包括以信息、系統(tǒng)、設(shè)施及人在內(nèi)的信息相關(guān)的資源，這是信息系統(tǒng)審計(jì)治理過(guò)程的主要對(duì)象；信息系統(tǒng)審計(jì)過(guò)程則是在信息系統(tǒng)審計(jì)準(zhǔn)則的指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、獲取與實(shí)施、交付與支持、監(jiān)視與評(píng)估等方面確定了信息技術(shù)處理過(guò)程，每個(gè)處理過(guò)程還包括更加具體的控制目標(biāo)和審計(jì)方針以對(duì)信息系統(tǒng)審計(jì)處理過(guò)程進(jìn)行評(píng)估。
（四）項(xiàng)目治理審計(jì)子系統(tǒng)
項(xiàng)目治理系統(tǒng)是對(duì)審計(jì)過(guò)程進(jìn)行全面指導(dǎo)、幫助和控制的軟件，它通過(guò)對(duì)標(biāo)準(zhǔn)審計(jì)的各個(gè)工作流程的公道細(xì)分，使每個(gè)子流程都對(duì)應(yīng)相應(yīng)的機(jī)處理模塊。從而使一個(gè)完整的審計(jì)項(xiàng)目可通過(guò)計(jì)算機(jī)輔助而完成，并產(chǎn)生各個(gè)工作環(huán)節(jié)應(yīng)該天生的底稿和報(bào)告。有利于進(jìn)步工作效率，為進(jìn)行審計(jì)質(zhì)量考核提供了極大的方便。
（五）信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)子系統(tǒng)
此系統(tǒng)主要是實(shí)現(xiàn)信息資料的收集和共享。定期進(jìn)行更新，包括：審計(jì)工作所需要的各類法律、法規(guī)、規(guī)章制度等。一般來(lái)講，按不同層次設(shè)立，信息的共享通過(guò)系統(tǒng)內(nèi)互聯(lián)的企業(yè)網(wǎng)實(shí)現(xiàn)，還可根據(jù)信息的保密要求，設(shè)定不同的信息訪問(wèn)權(quán)限。

三、規(guī)范信息系統(tǒng)審計(jì)范圍
其業(yè)務(wù)范圍包括與信息系統(tǒng)有關(guān)的所有領(lǐng)域，例如對(duì)組織的信息系統(tǒng)審計(jì)(主要集中在對(duì)信息技術(shù)的治理控制)、技術(shù)方面的信息系統(tǒng)審計(jì)(包括架構(gòu)、數(shù)據(jù)中心、數(shù)據(jù)通訊等)、應(yīng)用的信息系統(tǒng)審計(jì)(包括經(jīng)營(yíng)、財(cái)務(wù))、開(kāi)發(fā)實(shí)施信息系統(tǒng)審計(jì)(包括需求識(shí)別、設(shè)計(jì)、開(kāi)發(fā)以及實(shí)施后階段)和信息系統(tǒng)是否符合國(guó)家或國(guó)際標(biāo)準(zhǔn)的審計(jì)以及網(wǎng)譽(yù)審計(jì)、簽名審計(jì)業(yè)務(wù)等電子商務(wù)審計(jì)。
1.信息系統(tǒng)開(kāi)發(fā)計(jì)劃、治理及組織架構(gòu)的戰(zhàn)略、政策、標(biāo)準(zhǔn)及相應(yīng)實(shí)踐過(guò)程的評(píng)估；
2.技術(shù)基礎(chǔ)設(shè)施及運(yùn)行實(shí)踐的效能和效率的評(píng)估；
3.信息資源在邏輯訪問(wèn)、運(yùn)行環(huán)境以及IT基礎(chǔ)設(shè)施各方面的安全性的評(píng)估；
4.系統(tǒng)災(zāi)難恢復(fù)及保證業(yè)務(wù)連續(xù)性的能力的評(píng)估；
5.業(yè)務(wù)應(yīng)用系統(tǒng)開(kāi)發(fā)、實(shí)施與維護(hù)的方法和過(guò)程的評(píng)估；
6.業(yè)務(wù)流程的風(fēng)險(xiǎn)治理水平的評(píng)估；
7.財(cái)務(wù)系統(tǒng)的評(píng)估。
　　第一，鑒證作用。信息系統(tǒng)審計(jì)的鑒證價(jià)值是指通過(guò)審計(jì)，公道地保證被審計(jì)單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實(shí)性、完整性與可靠性，政策遵循的一貫性。
　　第二促進(jìn)作用。促進(jìn)價(jià)值體現(xiàn)在兩個(gè)方面，一是指信息系統(tǒng)審計(jì)可以促進(jìn)被審計(jì)單位更有效地融進(jìn)到生活中；二是指審計(jì)可以促進(jìn)被審計(jì)單位改進(jìn)內(nèi)部控制，加強(qiáng)治理，進(jìn)步信息系統(tǒng)實(shí)現(xiàn)組織目標(biāo)的效率、效果。
第三咨詢作用。信息技術(shù)的為組織的治理變革提供了技術(shù)手段，組織扁平化、工作豐富化等治理變革都要信息技術(shù)來(lái)實(shí)現(xiàn)。信息化已是大勢(shì)所趨。

四、創(chuàng)建行業(yè)標(biāo)準(zhǔn)與實(shí)務(wù)指南 　　
如同開(kāi)展業(yè)務(wù)審計(jì)要具有相關(guān)法律法規(guī)作為審計(jì)依據(jù)一樣，開(kāi)展信息系統(tǒng)審計(jì)同樣需要審計(jì)依據(jù)。國(guó)內(nèi)信息系統(tǒng)審計(jì)方面的工作近幾年才剛剛開(kāi)始，基本仍處于摸索階段，而在國(guó)家審計(jì)中更是如此。，由于國(guó)內(nèi)關(guān)于信息系統(tǒng)審計(jì)方面的標(biāo)準(zhǔn)尚處于空缺狀態(tài)。
國(guó)際上關(guān)于信息系統(tǒng)審計(jì)方面可以的標(biāo)準(zhǔn)主要有信息及相關(guān)技術(shù)控制目標(biāo)COBIT（Control Objectives for Information and related Technology）、ISO17799、能力成熟度集成模型CMMI（Capability Maturity Model Integration）和IT基礎(chǔ)架構(gòu)庫(kù)ITIL（Information Technology Infrastructure Library）等。
信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA（Information System Audit and Control Association）于1996年公布的目前國(guó)際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)。它將IT 過(guò)程，IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來(lái)，形成一個(gè)三維的體系結(jié)構(gòu)。它是一個(gè)在國(guó)際上公以為最先進(jìn)、最權(quán)威的安全與信息技術(shù)治理和控制的標(biāo)準(zhǔn)。
英國(guó)國(guó)家標(biāo)準(zhǔn)局制定的BS7799-1《信息安全治理實(shí)踐規(guī)范》，該規(guī)范于2000年12月被國(guó)際標(biāo)準(zhǔn)化組織采納，成為ISO17799。ISO/IEC17799標(biāo)準(zhǔn)最初于1993年由英國(guó)貿(mào)易部立項(xiàng)，由標(biāo)準(zhǔn)化協(xié)會(huì)籌備起草并作為英國(guó)的標(biāo)準(zhǔn)。1995年，首次發(fā)布BS 7799-1:1995《信息安全治理業(yè)務(wù)規(guī)范》，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，其目的是作為確定各類信息系統(tǒng)通用控制范圍的唯一參考基準(zhǔn)，并且適用于大、中、小組織以及政府部分；1998年，標(biāo)準(zhǔn)化協(xié)會(huì)發(fā)表標(biāo)準(zhǔn)的第二部分BS 7799-2《信息安全治理體系規(guī)范》，它規(guī)定信息安全治理體系與信息安全控制要求，是一個(gè)組織的全面或部分信息安全治理體系評(píng)估的基礎(chǔ)，它還可以作為一個(gè)正式認(rèn)證方案的根據(jù)；BS 7799-1與BS 7799-2經(jīng)過(guò)修訂于1999年重新予以發(fā)布，此次考慮了信息處理技術(shù)，尤其是考慮了在和通訊領(lǐng)域應(yīng)用的最新發(fā)展情況；2000年12月，BS 7799-1:1999《信息安全治理業(yè)務(wù)規(guī)范》通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)，即ISO/IEC17799-1:2000《信息技術(shù)——信息安全治理業(yè)務(wù)規(guī)范》標(biāo)準(zhǔn)。
2005年，ISO發(fā)布了新版的信息安全治理實(shí)施細(xì)則，即ISO/IEC17799-2005，對(duì)2000年版的標(biāo)準(zhǔn)進(jìn)行了修訂，更加注重標(biāo)準(zhǔn)的通用性和實(shí)用性。
日本的系統(tǒng)審計(jì)是從八十年代開(kāi)始，1983年通產(chǎn)省公然發(fā)表了《系統(tǒng)審計(jì)標(biāo)準(zhǔn)》，并在全國(guó)軟件水平中增加了“系統(tǒng)審計(jì)師”一級(jí)的考試，著手培養(yǎng)從事信息系統(tǒng)審計(jì)的骨干隊(duì)伍。近幾年?yáng)|南亞各國(guó)也開(kāi)始制定電子商務(wù)法規(guī)，成立專門機(jī)構(gòu)開(kāi)展信息系統(tǒng)審計(jì)業(yè)務(wù)，并制定技術(shù)標(biāo)準(zhǔn)。
國(guó)內(nèi)目前關(guān)于信息系統(tǒng)審計(jì)的依據(jù)主要有修訂后的《中華人民共和國(guó)審計(jì)法》、國(guó)辦發(fā)【2001】88號(hào)文件《國(guó)務(wù)院辦公廳關(guān)利用計(jì)算機(jī)信息系統(tǒng)開(kāi)展審計(jì)工作有關(guān)的通知》、1999年頒布了獨(dú)立審計(jì)準(zhǔn)則第20號(hào)--計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)等，同時(shí)可以主要參考COBIT和ISO17799標(biāo)準(zhǔn)。
但是我國(guó)信息系統(tǒng)審計(jì)才剛起步，審計(jì)技術(shù)、審計(jì)規(guī)范、制度等都有待。隨著我國(guó)信息化水平的進(jìn)步，對(duì)信息系統(tǒng)的有效控制與審計(jì)將逐漸成為研究熱門。

五、開(kāi)展信息系統(tǒng)審計(jì)的意義
1．信息系統(tǒng)審計(jì)是未來(lái)審計(jì)發(fā)展的必然
未來(lái)審計(jì)行業(yè)和審計(jì)技術(shù)的發(fā)展動(dòng)力將主要來(lái)自于信息系統(tǒng)審計(jì)的發(fā)展。
2．維護(hù)信息的市場(chǎng)經(jīng)濟(jì)秩序
市場(chǎng)經(jīng)濟(jì)是建立在信用基礎(chǔ)上的，信息系統(tǒng)審計(jì)應(yīng)當(dāng)充當(dāng)信息時(shí)代經(jīng)濟(jì)生活中公正的鑒證人起著維護(hù)市場(chǎng)經(jīng)濟(jì)穩(wěn)定的作用。信息時(shí)代競(jìng)爭(zhēng)的加劇，信息流的電子傳播方式等，使市場(chǎng)對(duì)及時(shí)和相關(guān)信息的需求越來(lái)越多，現(xiàn)有財(cái)務(wù)報(bào)告模式的局限性性日漸突出。現(xiàn)有財(cái)務(wù)報(bào)告是以本錢為計(jì)量基礎(chǔ)的、周期性的向利益相關(guān)者報(bào)告。在新經(jīng)濟(jì)環(huán)境中，信息系統(tǒng)審計(jì)師應(yīng)能夠以在線、實(shí)時(shí)的信息為基礎(chǔ)提供鑒證，通過(guò)多種方式來(lái)保護(hù)公眾利益、提供鑒證服務(wù)并滿足投資公眾對(duì)決策有用信息的訪問(wèn)需要。提供實(shí)時(shí)報(bào)告鑒證對(duì)保護(hù)公眾利益和保護(hù)資本市場(chǎng)的有序發(fā)展是非常有意義的。
3．為信息化建設(shè)保駕護(hù)航
“以信息化帶動(dòng)產(chǎn)業(yè)化”，推進(jìn)“電子政務(wù)”及“電子商務(wù)”，很多企業(yè)也已著手整合與升級(jí)其信息化應(yīng)用系統(tǒng)。可以預(yù)計(jì)，全國(guó)將有更多、更大的信息系統(tǒng)建設(shè)項(xiàng)目展開(kāi)。但是，信息化是有風(fēng)險(xiǎn)的，信息系統(tǒng)規(guī)模越大，功能越復(fù)雜，風(fēng)險(xiǎn)也就越大。信息系統(tǒng)審計(jì)師的出現(xiàn)，可以從項(xiàng)目計(jì)劃開(kāi)始參與信息系統(tǒng)建設(shè)的每個(gè)環(huán)節(jié)，以他們的專業(yè)素養(yǎng)，從項(xiàng)目的初始階段一直到運(yùn)營(yíng)的全過(guò)程，給予項(xiàng)目投資者風(fēng)險(xiǎn)控制的評(píng)估與建議，進(jìn)步信息系統(tǒng)的投資效益。
　

參考書目

1．***同道在十六大的報(bào)告.
2．（美）Jack J.Champlain著 審計(jì)信息系統(tǒng)（第二版）張金城等譯 清華大學(xué)出版社 2004年11月初版.
3．計(jì)算機(jī)審計(jì)中數(shù)據(jù)處理新方法探討陳 偉 劉思峰 邱廣華 《審計(jì)與經(jīng)濟(jì)研究》2006年第1期（37）.
4．信息環(huán)境下審計(jì)技術(shù)的探索：實(shí)時(shí)在線審計(jì) 陳丹萍 《審計(jì)與經(jīng)濟(jì)研究》2005年第4期.
5．關(guān)于電子證據(jù)可采性與證實(shí)力的若干題目探討 姚太明 審計(jì)研究 2005年第1期.
6．電算化條件下的計(jì)算機(jī)審計(jì) 秦　宇會(huì)計(jì)之友2005年第三期（42）

【企業(yè)信息系統(tǒng)審計(jì)的研究】相關(guān)文章：

淺談中外內(nèi)部審計(jì)準(zhǔn)則比較研究05-03

論煤炭企業(yè)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)06-03

企業(yè)管理創(chuàng)新的研究論文12-02

會(huì)計(jì)審計(jì)研究若干國(guó)際動(dòng)態(tài)06-03

電網(wǎng)企業(yè)內(nèi)部審計(jì)文化構(gòu)建05-02

基于戰(zhàn)略治理的企業(yè)環(huán)境風(fēng)險(xiǎn)研究08-28

現(xiàn)代企業(yè)績(jī)效管理問(wèn)題研究05-03

大數(shù)據(jù)對(duì)信息系統(tǒng)審計(jì)的影響及其關(guān)鍵技術(shù)論文（通用10篇）04-12

構(gòu)建電網(wǎng)企業(yè)內(nèi)部審計(jì)文化探索08-27

淺談企業(yè)內(nèi)部管理審計(jì)的論文08-27