信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計比較分析(共15).doc

1、信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計：中國的實踐與美國的經(jīng)驗孫強 孟秀轉(zhuǎn)摘要 建立信息化建設的第三方監(jiān)督對保證信息化建設的效益最大化至關(guān)重要。本文通過信息系統(tǒng)監(jiān)理和信息系統(tǒng)審計的概念、產(chǎn)生動因等進行比較，分析我國信息系統(tǒng)監(jiān)理面臨的新問題、新要求，并介紹美國信息系統(tǒng)審計的實踐經(jīng)驗，在此基礎上提出對我國信息系統(tǒng)監(jiān)理事業(yè)發(fā)展的若干建議。關(guān)鍵詞 信息系統(tǒng)信息系統(tǒng)監(jiān)理 信息系統(tǒng)審計 比較 獨立性一、 引言“信息化帶動工業(yè)化”是我國長期的重要發(fā)展戰(zhàn)略，江澤民同志在十六大的報告中指出：“實現(xiàn)工業(yè)化仍然是我國現(xiàn)代化進程中艱巨的歷史性任務。信息化是我國加快實現(xiàn)工業(yè)化和現(xiàn)代化的必然選擇。堅持以信息化帶動工業(yè)化，以工業(yè)化促進

2、信息化，走出一條科技含量高、經(jīng)濟效益好、資源消耗低、環(huán)境污染少、人力資源優(yōu)勢得到充分發(fā)揮的新型工業(yè)化路子?！边@段論述表現(xiàn)了我們黨對信息化建設的高度重視，也指明信息化帶出一條新型工業(yè)化路子的光明前景。目前，各地區(qū)、各部門都在認真貫徹十六大精神，十分重視推進信息化工作，我國信息化建設已經(jīng)進入新的階段，我國信息化事業(yè)已發(fā)展到一個新的階段。各級政府正在積極推進“電子政務”，許多城市及企業(yè)也已著手整合與升級其信息化應用系統(tǒng)?？梢灶A計，全國將有更多、更大的信息系統(tǒng)建設項目展開。但是，在信息化推進過程中，存在不同程度上的一些問題，主要表現(xiàn)在規(guī)劃制訂不夠科學，項目管理不夠嚴格，監(jiān)理機制不夠健全，系統(tǒng)運行效益不

3、夠明顯。致使相當一部分信息化項目失敗或未能實現(xiàn)預期目標，浪費了大量資源。究其根源主要原因之一是信息化建設第三方監(jiān)管機制的缺失和標準的不健全。國內(nèi)外的實踐表明：信息化是有風險的，信息系統(tǒng)規(guī)模越大，功能越復雜，風險也就越大。英國Kalido于英國時間2001年12月12日公布了有關(guān)企業(yè)信息管理的調(diào)查結(jié)果。調(diào)查顯示，96的企業(yè)對于本公司的信息管理系統(tǒng)感到不滿。關(guān)于目前正在使用的信息系統(tǒng)，認為"所制作的報告缺乏一貫性"或者是"核對信息花費了太多時間"的企業(yè)約占70。特別引人深思的是該調(diào)查是由美國Harte-Hanks以全球500強企業(yè)以及財富1000企業(yè)中的17

4、1家公司為對象通過問卷方式實施的。調(diào)查對象中，40以上的企業(yè)年交易額超過20億美元。其他主要調(diào)查結(jié)果如下回答目前的信息系統(tǒng)不能靈活因應變化的企業(yè)約占60；對于數(shù)據(jù)的精度表示擔心的企業(yè)約占60；60以上的企業(yè)正在策劃有關(guān)數(shù)據(jù)及信息的整合計劃。這充分說明，信息系統(tǒng)的建設項目較之傳統(tǒng)工業(yè)工程項目成功率更低，風險也更加突出。中央領導同志在國家信息化領導小組第一次會議中特別強調(diào)：信息化建設一定要講求效益，不能搞花架子。因此建立并逐步完善我國信息系統(tǒng)審計制度是健康、有序地推進信息化和落實領導小組會議精神的一項重要措施。目前，在國內(nèi)的信息化項目工程建設中，絕大多數(shù)用戶（業(yè)主）無法組織隊伍對信息系統(tǒng)建設進行專

5、業(yè)化管理，難以勝任從可行性分析、規(guī)劃設計、招標、方案評審到工程監(jiān)理和工程驗收全過程的管理與組織協(xié)調(diào)工作，建設方和承建方在信息建設過程中存在嚴重的信息不對稱問題。這表現(xiàn)為借助外援進行工程管理咨詢的案例越來越多，一些省市的行業(yè)主管部門也開始在信息系統(tǒng)建設中推行由監(jiān)理進行工程質(zhì)量管理的做法。但是，監(jiān)理介入信息系統(tǒng)在我國還處于一個探索的過程中。我國加入WTO后，鑒于我國IT服務業(yè)未來巨大的增長空間，國際知名咨詢顧問公司、專業(yè)技術(shù)服務提供商等紛紛搶灘我國市場。在信息系統(tǒng)第三方鑒證業(yè)務方面，他們提供符合國際標準的信息系統(tǒng)審計服務。因此當前監(jiān)理事業(yè)的發(fā)展面臨新的形勢，監(jiān)理工作外部環(huán)境發(fā)生了深刻變化，勢將對我

6、國監(jiān)理企業(yè)形成嚴重沖擊，本土監(jiān)理企業(yè)面臨前所未有的嚴峻挑戰(zhàn)。監(jiān)理事業(yè)往何處去？這是擺在每一個監(jiān)理人面前的重大課題。每一個監(jiān)理企業(yè)必須以發(fā)展的眼光、動態(tài)的觀點、創(chuàng)新的思想和創(chuàng)新的理論正確認識和判斷當前的監(jiān)理形勢，增強危機感和緊迫感，迎接新的挑戰(zhàn)。二、 信息系統(tǒng)監(jiān)理（一） 信息系統(tǒng)監(jiān)理概念依據(jù)信息產(chǎn)業(yè)部信息系統(tǒng)工程監(jiān)理暫行規(guī)定，信息系統(tǒng)工程監(jiān)理是指依法設立且具備相應資質(zhì)的信息系統(tǒng)工程監(jiān)理單位，受業(yè)主單位委托，依據(jù)國家有關(guān)法律法規(guī)、技術(shù)標準和信息系統(tǒng)工程監(jiān)理合同，對信息系統(tǒng)工程項目實施的監(jiān)督管理。（二） 信息系統(tǒng)監(jiān)理產(chǎn)生動因及其發(fā)展1、信息系統(tǒng)監(jiān)理產(chǎn)生動因分析監(jiān)理工作、監(jiān)理企業(yè)是我國在計劃經(jīng)濟向市場

7、經(jīng)濟轉(zhuǎn)變的過程中在建設領域中應運而生的，并取得了有目共睹的顯著成效，直接促進了工程監(jiān)理業(yè)的繁榮發(fā)展，這也導致在通信業(yè)工程建設、信息系統(tǒng)建設等方面監(jiān)理的出現(xiàn)。因此，回顧建設工程監(jiān)理的發(fā)展，將有助于對信息系統(tǒng)監(jiān)理的認識。1988年7月建設部發(fā)布了關(guān)于開展建設監(jiān)理工作的通知，隨后又于1988年11月印發(fā)了關(guān)于開展建設監(jiān)理試點問題的若干意見，使得試點工作有章可循。1989年，根據(jù)初步試點取得的經(jīng)驗，建設部制定了建設監(jiān)理試行規(guī)定，這是我國第一個比較完備的關(guān)于工程建設監(jiān)理的法規(guī)文件，勾畫出具有我國特色的工程建設監(jiān)理制度的初步框架。1991年又分別制定頒發(fā)了建設監(jiān)理單位資質(zhì)管理試行辦法和監(jiān)理工程師資格考試及

8、注冊試行辦法，建設監(jiān)理法規(guī)制度進一步配套完善。1993年，上海市開始了工程設備監(jiān)理制度的試點工作。1998年，國務院機構(gòu)改革后賦予了國家質(zhì)量技術(shù)監(jiān)督局“協(xié)調(diào)建立設備工程監(jiān)理制度”的職能要求，隨后，國家質(zhì)量技術(shù)監(jiān)督局擬定了協(xié)調(diào)建立設備工程監(jiān)理制度的方案，在國家發(fā)展計劃委員會的指導和具體參與下，會同國務院有關(guān)部門，在國內(nèi)有關(guān)技術(shù)及咨詢機構(gòu)的幫助、支持下,完成了設備監(jiān)理制度中有關(guān)規(guī)章的起草工作。此間，世界銀行、國家開發(fā)銀行等亦曾規(guī)定，其貸款的有關(guān)項目要有監(jiān)理公司監(jiān)理，并作為申請貸款的項目單位獲得貸款的基本條件。由此開始推行建設工程監(jiān)理制度，監(jiān)理事業(yè)得到持續(xù)快速發(fā)展，從而積累了一定經(jīng)驗，取得了積極成效

9、。發(fā)展至今建立了一套比較完整的監(jiān)理法規(guī)體系，組成了一支規(guī)模較大的監(jiān)理隊伍，監(jiān)理出一批優(yōu)良的工程項目，監(jiān)理工作在工程建設中發(fā)揮了重要作用，得到了各級領導的支持，得到了社會的普遍認可，正逐步向規(guī)范化、制度化、科學化方向邁進。但同時我國工程監(jiān)理事業(yè)經(jīng)過十多年的發(fā)展，雖然取得了一定成績，但也存在不少問題。如：監(jiān)理人員整體素質(zhì)不高、監(jiān)理工作缺位、監(jiān)理取費普遍較低、監(jiān)理市場競爭機制不健全、監(jiān)理企業(yè)缺乏自我積累和發(fā)展能力、監(jiān)理責任不明確、監(jiān)理工作缺乏系統(tǒng)的理論研究、宣傳工作滯后等問題比較突出。2、信息系統(tǒng)監(jiān)理的發(fā)展目前信息系統(tǒng)工程的現(xiàn)狀類似于二十世紀八十年代以前建筑工程的狀態(tài)。自1988年建設部頒布關(guān)于開展

10、建設監(jiān)理工作的通知以后，特別是1996年建設監(jiān)理全面推行后，建筑工程的質(zhì)量普遍提高，業(yè)主和承建商之間的糾紛普遍減少，凡是出問題的工程，監(jiān)理也有問題。因此，要求參考建筑工程的管理辦法對信息工程實施監(jiān)理的呼聲日益高漲，這既是信息工程用戶（業(yè)主）的愿望，也是系統(tǒng)集成商的愿望，信息工程市場呼喚“第三方”信息系統(tǒng)工程監(jiān)理的出現(xiàn)。早在1995年，原電子工業(yè)部就出臺了電子工程建設監(jiān)理規(guī)定（試行）。1996年，深圳市成立了全國第一家信息工程質(zhì)量監(jiān)督機構(gòu)信息工程質(zhì)量監(jiān)督檢驗總站。1998年，西安協(xié)同軟件股份有限公司經(jīng)西安技術(shù)監(jiān)督局和西安市科委批準，獲得“計算機管理信息系統(tǒng)工程監(jiān)理”資質(zhì)認證，成為國內(nèi)第一家獲此資

11、格的公司。1999年6月，深圳市政府在國內(nèi)率先出臺了包括實施信息工程監(jiān)理條款在內(nèi)的深圳市信息工程管理辦法，并要求首屆我國國際高新技術(shù)成果交易會信息網(wǎng)絡工程實施監(jiān)理。2000年7月，深圳市信息化建設委員會辦公室制訂了深圳市信息工程建設管理辦法實施意見，要求“市、區(qū)、鎮(zhèn)人民政府及其所屬部門使用財政性資金（包括預算內(nèi)資金、預算外資金、事業(yè)收入等），投資規(guī)模在100萬元以上的信息工程建設項目必須遵照本實施意見進行立項、招投標、監(jiān)理、質(zhì)量監(jiān)督、驗收”。2002年7月，北京市信息化工作辦公室制定了北京市信息系統(tǒng)工程監(jiān)理管理辦法（試行），要求“本市推行信息系統(tǒng)工程監(jiān)理制度，建設單位應當通過協(xié)議或者招標的方式

12、優(yōu)先選擇具有相應資質(zhì)等級的信息系統(tǒng)工程監(jiān)理單位承擔監(jiān)理業(yè)務。各級財政全部補助或者部分補助以及為社會提供公共服務的重大信息化工程項目必須通過招標的方式選擇信息系統(tǒng)工程監(jiān)理單位，實行強制監(jiān)理?！?2002年11月，國家質(zhì)量監(jiān)督檢驗檢疫總局公布設備監(jiān)理單位資格管理辦法，在該管理辦法的21類設備工程專業(yè)中，涉及信息工程的共有三類，即信息網(wǎng)絡系統(tǒng)、信息資源開發(fā)系統(tǒng)和信息應用系統(tǒng)。最近，在國家信息辦和國家標準管理委員會直接領導下，信息化系統(tǒng)監(jiān)理規(guī)范化項目正在加緊制定中，并且是作為電子政務標準化項目的一個子項目而提出的。預計在今年年底，監(jiān)理規(guī)范就要完成，經(jīng)過試用和修改后，將上升為國家標準。 2002年12月

13、，信息產(chǎn)業(yè)部在廣泛征求意見和開展試點工作的基礎上，正式頒布信息系統(tǒng)工程監(jiān)理暫行規(guī)定，這標志著我國信息工程監(jiān)理開始邁向科學化、專業(yè)化和規(guī)范化，也預示著在我國即將出現(xiàn)一個新的中介服務行業(yè)，將很快涌現(xiàn)一批監(jiān)理機構(gòu)和執(zhí)業(yè)人員，從此信息系統(tǒng)工程監(jiān)理工程師也將逐步成為國民經(jīng)濟和社會信息化的“警察”。但我國的信息系統(tǒng)工程監(jiān)理目前僅僅是處在起步階段，事實上根據(jù)對國內(nèi)信息化應用程度較高的行業(yè)部門（如銀行、證券、保險、氣象、社保、旅游等）和部分大型企業(yè)（如華北制藥、哈爾濱軸承集團、哈爾濱飛機制造企業(yè)、躍進汽車集團、我國石化等）30個樣本作為調(diào)查對象的調(diào)查結(jié)果顯示，對于大多數(shù)企業(yè)來說，項目監(jiān)理是個新概念。只有30%

14、的被調(diào)查者表示在某些信息化項目中使用過監(jiān)理服務。在70%未使用過項目監(jiān)理的被調(diào)查者中，5%表示聽說過，95%表示知道建筑工程有監(jiān)理，但在IT信息化項目中引入監(jiān)理還是第一次聽說。圖1 監(jiān)理服務內(nèi)容重要程度（引自胡敏市場呼喚項目監(jiān)理）目前，我國還沒有一套完善的IT項目監(jiān)理制度，相應的監(jiān)理法規(guī)、監(jiān)理內(nèi)容、收費標準等也都沒有制定。特別是收費標準問題，大多數(shù)用戶采用協(xié)商解決。以北京城域網(wǎng)項目的監(jiān)理費為例，其采用了建筑行業(yè)的監(jiān)理服務收費標準（2%-10%），支付的服務費占整個項目資金支出的2%。廣大用戶也反映，項目監(jiān)理的標準如何才能做到公正、科學，項目監(jiān)理的工作流程是否也應該規(guī)范，如何界定和權(quán)衡監(jiān)理公司、

15、用戶、IT廠商三方利益？監(jiān)理過程中出了問題，該怎么辦？，這一系列問題都需要不斷探索。原北京市信息中心主任華平瀾表示，只有使監(jiān)理更加規(guī)范化，才能更好地推進監(jiān)理工作，才能使信息系統(tǒng)的建設更加順利。事實上，與建筑等其他發(fā)展很成熟的行業(yè)的監(jiān)理相比，對IT項目的監(jiān)理要難得多。并且由于信息技術(shù)是一個新興技術(shù)，它本身還在不斷發(fā)展和完善，因此，即使制定出的監(jiān)理的內(nèi)容和標準也不能僵化，需要不斷地變更和完善。（三） 信息系統(tǒng)監(jiān)理的基本理論信息系統(tǒng)監(jiān)理的中心任務是科學地規(guī)劃和控制工程項目的投資、進度和質(zhì)量三大目標;監(jiān)理的基本方法是目標規(guī)劃、動態(tài)控制、組織協(xié)調(diào)和合同管理；監(jiān)理工作貫穿規(guī)劃、設計、實施和驗收的全過程。信

16、息工程監(jiān)理正是通過投資控制、進度控制、質(zhì)量控制以及合同管理和信息管理來對工程項目進行監(jiān)督和管理，保證工程的順利進行和工程質(zhì)量。1、成本控制成本控制的任務，主要是在建設前期進行可行性研究，協(xié)助建設單位正確地進行投資決策；在設計階段對設計方案、設計標準、總概（預）算進行審查；在建設準備階段協(xié)助確定標底和合同造價；在實施階段審核設計變更，核實已完成的工程量，進行工程進度款簽證和索賠控制；在工程竣工階段審核工程結(jié)算。2、進度控制進度控制首先要在建設前期通過周密分析研究確定合理的工期目標，并在實施前將工期要求納入承包合同；在建設實施期通過運籌學、網(wǎng)絡計劃技術(shù)等科學手段，審查、修改實施組織設計和進度計劃，

17、做好協(xié)調(diào)與監(jiān)督，排除干擾，使單項工程及其分階段目標工期逐步實現(xiàn)，最終保證項目建設總工期的實現(xiàn)。3、質(zhì)量控制質(zhì)量控制要貫穿在項目建設從可行性研究、設計、建設準備、實施、竣工、啟用及用后維護的全過程。主要包括組織設計方案評比，進行設計方案磋商及圖紙審核，控制設計變更；在施工前通過審查承建單位資質(zhì)等；在施工中通過多種控制手段檢查監(jiān)督標準、規(guī)范的貫徹；以及通過階段驗收和竣工驗收把好質(zhì)量關(guān)等。3、合同管理合同管理是進行投資控制、工期控制和質(zhì)量控制的手段。因為合同是監(jiān)理單位站在公正立場采取各種控制、協(xié)調(diào)與監(jiān)督措施，履行糾紛調(diào)解職責的依據(jù)，也是實施三大目標控制的出發(fā)點和歸宿。4、信息管理信息管理包括投資控制

18、管理、設備控制管理、實施管理及軟件管理。5、協(xié)調(diào)協(xié)調(diào)貫穿在整個信息系統(tǒng)工程從設計到實施再到驗收的全過程。主要采用現(xiàn)場和會議方式進行協(xié)調(diào)。總之，三控兩管一協(xié)調(diào)，構(gòu)成了監(jiān)理工作的主要內(nèi)容。為完滿地完成監(jiān)理基本任務，監(jiān)理單位首先要協(xié)助建設單位確定合理、優(yōu)化的三大目標，同時要充分估計項目實施過程中可能遇到的風險，進行細致的風險分析與評估，研究防止和排除干擾的措施以及風險補救對策。使三大目標及其實現(xiàn)過程建立在合理水平和科學預測基礎之上。其次要將既定目標準確、完整、具體地體現(xiàn)在合同條款中，絕不能有含糊、籠統(tǒng)和有漏洞的表述。最后才是在信息工程建設實施中進行主動的、不間斷的、動態(tài)的跟蹤和糾偏管理。圖2監(jiān)理內(nèi)容

19、示意圖（四） 信息系統(tǒng)監(jiān)理的主要業(yè)務和依據(jù)1、信息系統(tǒng)監(jiān)理的主要業(yè)務信息系統(tǒng)監(jiān)理的主要業(yè)務范圍有信息網(wǎng)絡系統(tǒng)、信息資源系統(tǒng)、信息應用系統(tǒng)的新建、升級、改造工程。根據(jù)國內(nèi)信息系統(tǒng)監(jiān)理的實踐，其涵蓋計算機工程、網(wǎng)絡工程、通信工程、結(jié)構(gòu)化布線工程、智能大廈工程、軟件工程、系統(tǒng)集成工程以及有關(guān)計算機和信息化建設的工程及項目。其業(yè)務內(nèi)容具體如下：Ø 幫助建設單位做好項目需求分析，協(xié)助建設單位選擇合適的承建單位；Ø 審定承建單位的開工報告、系統(tǒng)實施方案、施工進度計劃；Ø 對項目實施的各個階段進行有效的監(jiān)督和控制，幫助建設單位控制工程進度、投資和質(zhì)量；Ø 審查和處理工

20、程變更；Ø 參與工程質(zhì)量和其他事故調(diào)查；Ø 調(diào)解建設單位與承包單位的合同爭議，處理索賠、審批工程延期；Ø 組織進行竣工驗收測試。Ø 組織建設單位和承建單位完成工程移交。2、信息系統(tǒng)監(jiān)理的依據(jù)信息系統(tǒng)監(jiān)理的依據(jù)如下：Ø 國務院頒發(fā)的質(zhì)量振興綱要；Ø 現(xiàn)行國家、各省、市、自治區(qū)的有關(guān)法律、法規(guī)、規(guī)定；Ø 國際、國內(nèi)IT行業(yè)質(zhì)量標準規(guī)范；Ø 建設單位和承建單位的合同；Ø 將來還有國家標準，例如信息化工程監(jiān)理規(guī)范等。（五） 信息系統(tǒng)監(jiān)理的程序組建監(jiān)理機構(gòu)編制監(jiān)理計劃編制監(jiān)理細則實施監(jiān)理參與驗收并簽署監(jiān)理意見提交監(jiān)

21、理檔案資料完成監(jiān)理圖3 信息系統(tǒng)監(jiān)理的程序信息系統(tǒng)工程監(jiān)理的特點是全過程監(jiān)理，主要包括四個階段的監(jiān)理工作：招投標階段、設計階段、實施階段、驗收階段。監(jiān)理的目標、方法和程序都體現(xiàn)在這四個階段的監(jiān)理工作中。三、 信息系統(tǒng)審計（一） 信息系統(tǒng)審計概念信息系統(tǒng)審計是全部審計過程的一個部分，信息系統(tǒng)審計（IS audit）目前還沒有固定通用的定義，美國信息系統(tǒng)審計的權(quán)威專家Ron Weber將它定義為“收集并評估證據(jù)以決定一個計算機系統(tǒng)（信息系統(tǒng)）是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標，同時最經(jīng)濟的使用資源”。信息系統(tǒng)審計的目的是評估并提供反饋、保證及建議。其關(guān)注之處可被分為如下三類：

22、6; 可用性商業(yè)高度依賴的信息系統(tǒng)能否在任何需要的時刻提供服務？信息系統(tǒng)是否被完好保護以應對各種的損失和災難？Ø 保密性系統(tǒng)保存的信息是否僅對需要這些信息的人員開放，而不對其他任何人開放？Ø 完整性信息系統(tǒng)提供的信息是否始終保持正確、可信、及時？能否防止未授權(quán)的對系統(tǒng)數(shù)據(jù)和軟件的修改？（二） 信息系統(tǒng)審計產(chǎn)生動因及其發(fā)展1、信息系統(tǒng)審計產(chǎn)生動因分析關(guān)于信息系統(tǒng)審計的產(chǎn)生動因，目前國際上存在兩種觀點：一種觀點認為是從會計審計發(fā)展到計算機審計再發(fā)展到信息系統(tǒng)審計（計算機審計的范圍擴展，最后涵蓋整個信息系統(tǒng)）演變過來的；另外一種認為由于信息系統(tǒng)尤其是大型信息系統(tǒng)的建設是一項龐大的

23、系統(tǒng)工程，它投資大、周期長、高技術(shù)、高風險，在系統(tǒng)的建設過程中，對工程進行嚴格、規(guī)范的管理和控制至關(guān)重要。而正是由于信息系統(tǒng)工程所具有的這些特點，建設單位往往由于技術(shù)力量有限，無力對項目的技術(shù)、設備、進度、質(zhì)量和風險進行控制，無法保證項目的實施成功。所以需要有第三方進行獨立審計。2、信息系統(tǒng)審計在國際上的發(fā)展信息系統(tǒng)審計的發(fā)展是伴隨著信息技術(shù)的發(fā)展而發(fā)展的。在數(shù)據(jù)處理電算化的初期，由于人們對計算機在數(shù)據(jù)處理中的應用所產(chǎn)生的影響沒有足夠的認識，認為計算機處理數(shù)據(jù)準確可靠，不會出現(xiàn)錯弊，因而很少對數(shù)據(jù)處理系統(tǒng)進行審計，主要是對計算機打印出的一部分資料進行傳統(tǒng)的手工審計。隨著計算機在數(shù)據(jù)處理系統(tǒng)中應

24、用的逐步擴大，利用計算機犯罪的案件不斷出現(xiàn)，使審計人員認識到要應用計算機輔助審計技術(shù)對電子數(shù)據(jù)處理系統(tǒng)本身進行審計，即EDI審計。同時隨著社會經(jīng)濟的發(fā)展，審計對象、范圍越來越大，審計業(yè)務也越來越復雜，利用傳統(tǒng)的手工方法已不能及時完成審計任務，必須應用計算機輔助審計技術(shù)（CAATs）進行審計。八十年代、九十年代信息技術(shù)的進一步發(fā)展與普及，使得企業(yè)越來越依賴信息及產(chǎn)生信息的信息系統(tǒng)。人們開始更多的關(guān)注信息系統(tǒng)的安全性、保密性、完整性及其實現(xiàn)企業(yè)目標的效率、效果，真正意義的信息系統(tǒng)審計才出現(xiàn)。隨著電子商務的全球普及，信息系統(tǒng)的審計對象、范圍及內(nèi)容將逐漸擴大，采用的技術(shù)也將日益復雜。到目前為止，信息系

25、統(tǒng)審計在全球來看，還是一個新的業(yè)務，從美國五大會計師事務所的數(shù)據(jù)看1990年擁有信息系統(tǒng)審計師12名到近百名，1995年已有500名，到2000年時，信息系統(tǒng)審計師正以40%50%的速度增加，說明信息系統(tǒng)審計正逐漸受到重視。美國在計算機進入實用階段時就開始提出系統(tǒng)審計（SYSTEM AUDIT），從成立電子數(shù)據(jù)處理審計協(xié)會（EDPAA后更名為ISACA）以來，從事系統(tǒng)審計活動已有三十多年歷史，成為信息系統(tǒng)審計的主要推動者，在全球建有一百多個分會，推出了一系列信息系統(tǒng)審計準則、職業(yè)道德準則等規(guī)范性文件，并開展了大量的理論研究，IT控制的開放式標準COBIT（Control Objectives

26、for Information and Related Technology ）已出版了第三版。3、信息系統(tǒng)審計在國內(nèi)的發(fā)展目前國內(nèi)有學者提出計算機審計，電算化審計，但基本上停留在對會計信息系統(tǒng)的審計上，延伸手工會計信息系統(tǒng)審計，尚未全面探討信息時代給審計業(yè)務帶來的深刻變化。以我國在1999年頒布了獨立審計準則第20號計算機信息系統(tǒng)環(huán)境下的審計為例，其更多關(guān)注的是會計信息系統(tǒng)。在信息時代，面對加入WTO后全球一體化市場，我國IT服務業(yè)面臨巨大的挑戰(zhàn)，開展信息系統(tǒng)審計業(yè)務不失為推動我國IT服務業(yè)發(fā)展的一次絕佳機會。（三） 信息系統(tǒng)審計的理論基礎信息系統(tǒng)審計不僅僅是傳統(tǒng)審計業(yè)務的簡單擴展，信息技術(shù)

27、不單影響傳統(tǒng)審計人員執(zhí)行鑒證業(yè)務的能力，更重要的是公司和信息系統(tǒng)管理者都認識到信息資產(chǎn)是組織最有價值的資產(chǎn)，和傳統(tǒng)資產(chǎn)一樣需要控制，組織同時需要審計人員提供對信息資產(chǎn)控制的評價。因此信息系統(tǒng)審計是一門邊緣性學科，跨越多學科領域。如圖3所示，信息系統(tǒng)審計是建立在四個理論基礎之上的：Ø 傳統(tǒng)審計理論。傳統(tǒng)審計理論為信息系統(tǒng)審計提供了豐富的內(nèi)部控制理論與實踐經(jīng)驗，以保證所有交易數(shù)據(jù)都被正確處理。同時收集并評價證據(jù)的方法論也在信息系統(tǒng)審計中廣泛應用，最為重要的是傳統(tǒng)審計給信息系統(tǒng)審計帶來的控制哲學，即用謹慎的眼光審視信息系統(tǒng)在保護資產(chǎn)安全、保證信息完整，并能有效地實現(xiàn)企業(yè)目標的能力。

28、6; 信息系統(tǒng)管理理論。信息系統(tǒng)管理理論是一門關(guān)于如何更好地管理信息系統(tǒng)的開發(fā)與運行過程的理論，它的發(fā)展提高了系統(tǒng)保護資產(chǎn)安全、保證信息完整，并能有效地實現(xiàn)企業(yè)目標的能力。Ø 行為科學理論。人是信息系統(tǒng)安全最薄弱的環(huán)節(jié)，信息系統(tǒng)有時會因為人的問題而失敗，比如對系統(tǒng)不滿的用戶故意破壞系統(tǒng)及其控制。因此審計人員必須了解哪些行為因素可能導致系統(tǒng)失敗。這方面行為科學特別是組織學理論解釋了組織中產(chǎn)生的“人的問題”。Ø 計算機科學。計算機科學本身的發(fā)展也在關(guān)注如何保護資產(chǎn)安全、保證信息完整，并能有效地實現(xiàn)企業(yè)目標。但是技術(shù)是一把雙刃劍，計算機科學的發(fā)展可以使審計人員降低對系統(tǒng)組件可靠性

29、的關(guān)注，信息技術(shù)的進步也可能啟發(fā)犯罪，例如一個重要的問題是信息技術(shù)在會計制度中的應用是否給罪犯提供了較多緩沖時間？如果是，那么今天網(wǎng)絡犯罪產(chǎn)生的社會威脅較以往任何時候都要大。圖3 ：IS審計的理論基礎IS審計傳統(tǒng)審計信息系統(tǒng)管理計算機科學行為科學（四） 信息系統(tǒng)審計的基本業(yè)務和依據(jù)1、信息系統(tǒng)審計的基本業(yè)務信息系統(tǒng)審計業(yè)務將隨著信息技術(shù)的發(fā)展而發(fā)展，為滿足信息使用者不斷變化的需要而增加新的服務內(nèi)容，目前其基本業(yè)務如下：Ø 系統(tǒng)開發(fā)審計，包括開發(fā)過程的審計、開發(fā)方法的審計，為IT規(guī)劃指導委員會及變革控制委員會提供咨詢服務；Ø 主要數(shù)據(jù)中心、網(wǎng)絡、通訊設施的結(jié)構(gòu)審計，包括財務系

30、統(tǒng)和非財務系統(tǒng)的應用審計；Ø 支持其他審計人員的工作，為財務審計人員與經(jīng)營審計人員提供技術(shù)支持和培訓；Ø 為組織提供增值服務，為管理信息系統(tǒng)人員提供技術(shù)、控制與安全指導；推動風險自評估程序的執(zhí)行；Ø 軟件及硬件供應商及外包服務商提供的方案、產(chǎn)品及服務質(zhì)量是否與合同相符審計；Ø 災難恢復和業(yè)務持續(xù)計劃審計；Ø 對系統(tǒng)運營效能、投資回報率及應用開發(fā)測試審計；Ø 系統(tǒng)的安全審計；Ø 網(wǎng)站的信譽審計；Ø 全面控制審計等。一個信息系統(tǒng)不等同于一臺計算機。今天的信息系統(tǒng)是復雜的，由多個部分組成以做出商業(yè)解決方案。只有各個組成部

31、分通過了評估，判定安全，才能保證整個信息系統(tǒng)的正常工作。對一個信息系統(tǒng)審計的主要組成部分分成以下幾類：Ø 信息系統(tǒng)的管理、規(guī)劃與組織評價信息系統(tǒng)的管理、計劃與組織方面的策略、政策、標準、程序和相關(guān)實務。Ø 信息系統(tǒng)技術(shù)基礎設施與操作實務評價組織在技術(shù)與操作基礎設施的管理和實施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標.Ø 資產(chǎn)的保護對邏輯、環(huán)境與信息技術(shù)基礎設施的安全性進行評價，確保其能支持組織保護信息資產(chǎn)的需要, 防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。Ø 災難恢復與業(yè)務持續(xù)計劃這些計劃是在發(fā)生災難時，能夠使組織持續(xù)進行業(yè)

32、務,對這種計劃的建立和維護流程需要進行評價。Ø 應用系統(tǒng)開發(fā)、獲得、實施與維護對應用系統(tǒng)的開發(fā)、獲得、實施與維護方面所采用的方法和流程進行評價，以確保其滿足組織的業(yè)務目標。Ø 業(yè)務流程評價與風險管理評估業(yè)務系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務目標對相應風險實施管理。2、信息系統(tǒng)審計的依據(jù)信息系統(tǒng)審計師須了解規(guī)劃、執(zhí)行及完成審計工作的步驟與技術(shù)，并盡量遵守國際信息系統(tǒng)審計與控制協(xié)會的一般公認信息系統(tǒng)審計準則、控制目標和其他法律與規(guī)定。Ø 一般公認信息系統(tǒng)審計準則包括職業(yè)準則、ISACA公告和職業(yè)道德規(guī)范。職業(yè)準則可歸類為：審計規(guī)章、獨立性、職業(yè)道德及規(guī)范、專業(yè)能力、規(guī)

33、劃、審計工作的執(zhí)行、報告、期后審計。ISACA公告是信息系統(tǒng)審計與控制協(xié)會對信息系統(tǒng)審計一般準則所做的說明。ISACA職業(yè)道德及規(guī)范提供針對協(xié)會會員或信息系統(tǒng)審計認證（CISA）持有者有關(guān)職業(yè)上及個人的指導規(guī)范。Ø 信息系統(tǒng)的控制目標信息系統(tǒng)審計與控制協(xié)會在1996年公布的COBIT（Control Objectives for Information and related Technology）被國際上公認是最先進、最權(quán)威的安全與信息技術(shù)管理和控制的標準，目前已經(jīng)更新至第三版。它在商業(yè)風險、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。面向業(yè)務是COBIT的主題。

34、它不僅設計用于用戶和審計師，而且更重要的是可用于全面指導管理者與業(yè)務過程的所有者。商業(yè)實踐中越來越多的包含了對業(yè)務過程所有者的全面授權(quán)，因此他們承擔著業(yè)務過程所有方面的全部責任。特別的是，這其中包含著要提供足夠的控制。Cobit 框架為業(yè)務過程所有者提供了一個工具，以方便他們承擔責任。其框架包括四大部分：架構(gòu)、控制目標、審計指南及執(zhí)行概要。COBIT架構(gòu)著重各項處理的高層次控制，控制目標則著重于各項IT處理或?qū)υ摷軜?gòu)所包括的34項IT處理的特定詳細控制目標，每一項IT處理都有5至25個詳細控制目標，控制目標使整體架構(gòu)和詳細控制目標密切對應，相互一致。詳細控制目標有18種主要來源，涵蓋現(xiàn)行的及法

35、定有關(guān)IT的國際性準則與規(guī)定。這包括對各項IT工作所建置的控制程序擬達到的預期結(jié)果或目標的敘述，以提供全球所有的產(chǎn)業(yè)有關(guān)IT控制的明確方針及實際最佳的應用。Ø 其他法律及規(guī)定。每個組織不論規(guī)模大小或?qū)儆诤畏N產(chǎn)業(yè)，都需要遵守政府或外部對與電腦系統(tǒng)運作、控制，及電腦、程序、信息的使用情況等有關(guān)的規(guī)定或要求，對于一向受嚴格管制的行業(yè)，尤其要注意遵守。以國際性銀行為例，若因不良備份及復原程序而無法提供適當?shù)姆账疁?，其公司及員工將受嚴重處罰。此外，由于對EDP及信息系統(tǒng)的依賴性加重，許多國家極力建立更多有關(guān)信息系統(tǒng)審計的規(guī)定。這些規(guī)定內(nèi)容是關(guān)于建置、組織、責任與財務及業(yè)務操作審計功能的關(guān)聯(lián)性

36、。有關(guān)的管理階層人員必須考慮與組織目標、計劃及與信息服務部門/職能/工作的責任及工作等有關(guān)的外部規(guī)定或要求。（五） 信息系統(tǒng)審計流程開始審計工作的準備包括收集背景信息，估計完成審計需要的資源和技巧。包括合理進行人員分工。與負責的高級經(jīng)理舉行一次正式的開始審計會議，最后決定范圍，理解特別關(guān)注之處，如果有的話，制定日程，解釋審計方法。這樣的會議有高級經(jīng)理的參與，使人們互相認識，闡明問題強調(diào)商業(yè)關(guān)注點，使得審計工作得以順利進行。類似的，在審計完成后，也召開一次正式會議，向高級經(jīng)理交流審計結(jié)果，提出改進建議。這將確保進一步的理解，增加審計建議的接納程度。也給了被審計者一個機會來表達他們對提出問題的觀點

37、。會議之后書寫報告，可以大大增加審計的效果。開始審計工作預備工作了解內(nèi)部控制結(jié)構(gòu)評價控制風險是否信賴內(nèi)部控制？是否仍可信賴內(nèi)部控制？內(nèi)部控制測試評價控制風險是否提高內(nèi)部控制的信賴程度？擴大實質(zhì)性測試有限的實質(zhì)性測試形成審計意見出具審計報告是否是是否結(jié)束否（六） 基于風險的審計方法很多組織意識到技術(shù)能帶來的潛在好處。然而，成功的組織還能夠理解和管理好與采用新技術(shù)相關(guān)的很多風險。因此，審計從基于控制（Control-Based）演變?yōu)榛陲L險（Risk-Based）的方法,其內(nèi)涵包括企業(yè)風險、確定風險、風險評估、風險管理、風險溝通。每個組織使用許多信息系統(tǒng)。對不同功能和活動有不同的應用軟件，在不同

38、的地理區(qū)域可能有眾多的計算機配置。審計者面臨的問題是審計什么，什么時候及審計頻率。其答案是接納基于風險的方法。信息系統(tǒng)有著與生俱來的風險，這些風險用不同方式?jīng)_擊信息系統(tǒng)。對繁忙的零售超市，信息系統(tǒng)哪怕一個小時的不可用都會對營業(yè)系統(tǒng)造成嚴重影響。未授權(quán)的修改可能造成對在線銀行系統(tǒng)的欺詐及潛在損失。系統(tǒng)運行的技術(shù)環(huán)境也可能影響系統(tǒng)的運行風險?；陲L險方法來進行審計的步驟是：Ø 編制組織使用的信息系統(tǒng)清單并對其進行分類。Ø 決定哪些系統(tǒng)影響關(guān)鍵功能和資產(chǎn)。Ø 評估哪些風險影響這些系統(tǒng)及對商業(yè)運做的沖擊。Ø 在上述評估的基礎上對系統(tǒng)分級，決定審計優(yōu)先值，資源，進

39、度和頻率。審計者可以制定年度審計計劃，羅列出一年之中要進行的審計項目。四、 信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計之對比分析從前面兩部分的介紹可知，信息系統(tǒng)審計在國際上已經(jīng)體系化、標準化、程序化，而我國信息系統(tǒng)監(jiān)理僅有最基本的輪廓，積累了一些經(jīng)驗，但尚沒有形成完整的方法論。因此，目前只能從概念、發(fā)展動因等方面做較為寬泛的對比。不過，對比國際通用體系，可為我國發(fā)展信息系統(tǒng)監(jiān)管體系以及制定相應的管理制度或?qū)嵤┘殑t提供借鑒。信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計之對比，可歸納出以下特點：（一） 兩者性質(zhì)相同，都是第三方監(jiān)督，但對獨立性的要求有差別。兩者都是立足在第三方的立場，公平對待委托方與被監(jiān)督方，并要求確保公正性、公平

40、性，以北京市信息系統(tǒng)工程監(jiān)理管理辦法為例，其第十四條是“信息系統(tǒng)工程監(jiān)理單位應當客觀、公平、公正地執(zhí)行監(jiān)理任務”，但是對這一行業(yè)賴以存在并得以發(fā)展的信條和靈魂獨立性沒做明確要求。而信息系統(tǒng)審計對第三方的超然獨立要求極其嚴格，也因此在保證客觀、公正上更有可操作性?？陀^公正應當是每個信息系統(tǒng)審計師和監(jiān)理工程師職業(yè)道德方面追求的最高目標，但是人們很難衡量其在執(zhí)行業(yè)務時是否已經(jīng)達到了客觀公正，如果只作精神上的要求，那么準則和要求將變成牧師的布道，職業(yè)人員很難執(zhí)行，社會公眾很難觀察，所以信息系統(tǒng)審計準則中有關(guān)于審計師獨立性的要求。有關(guān)獨立性問題的系統(tǒng)研究當首推羅伯特.K.莫茨（R.K.Mautz）和侯賽

41、因.A.夏拉夫（H.A.sharaf）1961年出版的審計哲學（The philosophy of Auditing）。其中對獨立性的討論包含了兩個方面：執(zhí)業(yè)者的獨立性(Practitioner-independence)和職業(yè)的獨立性（Profession-independence）。前者包括審計計劃的獨立性、審計過程的獨立性和審計報告的獨立性；后者則是指社會公眾對注冊會計師行業(yè)的一種印象。曾任美國注冊會計師協(xié)會職業(yè)道德委員會主席的托馬斯.G.希金斯（Thomas G Higgins）在1962年對獨立性的概念又進行了進一步的提升與概括，他認為：“注冊會計師必須擁有的獨立性，實際上有兩種，實

42、質(zhì)上的獨立性和形式上的獨立性”。所謂形式上的獨立性，是指注冊會計師必須與被審查企業(yè)或個人沒有任何特殊的利益關(guān)系，如不得擁有被審查企業(yè)股權(quán)或擔任其高級職務，不能是企業(yè)的主要貸款人、資產(chǎn)受托人或與管理當局有親屬關(guān)系，等等。否則，就會影響注冊會計師公正地執(zhí)行業(yè)務。形式上的獨立性又可進一步分為組織上的獨立性、經(jīng)濟上的獨立性與人員上的獨立性三種。所謂實質(zhì)上的獨立性，又稱為精神獨立性，即認為獨立性是一種精神狀態(tài)、一種自信心以及在判斷時不依賴和屈從于外界的壓力和影響。它要求注冊會計師在執(zhí)業(yè)過程中嚴格保持超然性，不能主觀袒護任何一方當事人，尤其不應使自己的結(jié)論依附或屈從于持反對意見利益集團或人士的影響和壓力。

43、由上可知，實質(zhì)上的獨立性是無形的，通常是難以觀察和度量的，而形式上的獨立性則是有形的和可以觀察的。社會公眾通常是透過注冊會計師形式上的獨立性來推測其實質(zhì)上的獨立性。因此，從這個意義上來說，形式上的獨立性是實質(zhì)上的獨立性的載體和重要前提。由此可見，形式上獨立很重要，因為它很好界定，便于準則規(guī)范，在現(xiàn)實環(huán)境中有很好的可執(zhí)行性。因此我們認為，信息系統(tǒng)監(jiān)理行業(yè)如果不能在獨立性的制度建設上取得重大突破，整個行業(yè)的社會信任度大打折扣，而誠信和道德水準的提升對制度缺陷的修正也會很難在實質(zhì)上取得成效。信息系統(tǒng)監(jiān)理行業(yè)發(fā)展中所面臨的各種問題都很重要，但圍繞信息系統(tǒng)監(jiān)理職業(yè)獨立性的建設可能是各項工作中的重中之重。

44、（本文對注冊會計師的討論同樣適用于信息系統(tǒng)審計師）。（二） 國外信息系統(tǒng)審計已經(jīng)發(fā)展為較完善的行業(yè)監(jiān)督體系。目前國內(nèi)信息系統(tǒng)審計剛剛起步，而信息工程監(jiān)理還不夠規(guī)范。國家缺乏相應的法律、法規(guī)和標準，至今還沒有有效的管理手段，在委托方和被委托方之間也沒有一種協(xié)調(diào)的機制來建立兩者之間的信任。并且我國行業(yè)不規(guī)范的責任往往被輕易地歸咎于政府監(jiān)管的不力；同樣輕易得到的結(jié)論，是因此要“加強監(jiān)管機構(gòu)的權(quán)力和范圍”。美國的會計行業(yè)規(guī)范不是這么一種邏輯。在規(guī)范行業(yè)行為中，政府監(jiān)管是一個重要的輔助措施；而真正起決定性作用的，是市場中的制衡力量，以及為這些制衡力量切實發(fā)揮作用而形成的各種正式或非正式的制度安排。美國注

45、冊會計師行業(yè)的管理機制行業(yè)自我管理和外部約束向結(jié)合發(fā)揮了重要作用。行業(yè)自我管理是通過行業(yè)組織、準則和規(guī)則、監(jiān)督來實現(xiàn)的，行業(yè)外部約束通過政府組織、準則和規(guī)則、監(jiān)督和實施來實現(xiàn)。如美國國會和SEC監(jiān)管下的行業(yè)自律。外部監(jiān)管以加強管制的可能性來對行業(yè)施加約束。而較強的行政管制，將在很大程度上限制會計行業(yè)自主發(fā)展的權(quán)利和業(yè)務拓展空間，損害所有從業(yè)者的利益，因此行業(yè)總體上需要以行業(yè)自律來換取行業(yè)自我管制。如果行業(yè)不能自律，公眾要求國會加強行政管制的壓力使得這種可能性現(xiàn)實存在。（三） 兩者業(yè)務范圍和目的均有所差別。信息系統(tǒng)工程監(jiān)理和信息系統(tǒng)審計都是對質(zhì)量控制的再控制，但兩者業(yè)務范圍和目的均有所差別。1、

46、兩者業(yè)務范圍差別信息系統(tǒng)工程監(jiān)理是指具有信息系統(tǒng)工程監(jiān)理資質(zhì)的單位，接受建設單位的委托，依據(jù)國家和本市有關(guān)規(guī)定、信息系統(tǒng)工程建設標準和工程承建、監(jiān)理合同，對信息系統(tǒng)工程的質(zhì)量、進度和投資方面實施監(jiān)督。目前主要應用在信息化工程建設階段。信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程。它是立足于組織的戰(zhàn)略目標，為有效的實現(xiàn)組織戰(zhàn)略目標而采取的一切活動過程都在審計師的業(yè)務之內(nèi)。其業(yè)務范圍包括與信息系統(tǒng)有關(guān)的所有領域，例如信息系統(tǒng)安全審計、網(wǎng)譽審計、PKI/CA審計、電子簽名審計業(yè)務等。2、兩者目的差別信息系統(tǒng)工

47、程監(jiān)理的目的是保證工程建設質(zhì)量、進度和投資額滿足建設要求。監(jiān)理活動隨著工程的完成而結(jié)束。信息系統(tǒng)審計的目的是合理保證信息系統(tǒng)能夠保護資產(chǎn)的安全、數(shù)據(jù)的完整、系統(tǒng)有效地實現(xiàn)組織目標并有效率的利用組織資源，其核心是信息系統(tǒng)的效率、效果。不僅包括對建設過程的審計，更重要的是對信息系統(tǒng)的運營審計，向公眾出具審計報告，鑒證信息系統(tǒng)能否保護企業(yè)資產(chǎn)安全，其產(chǎn)生、傳遞的信息是否完整，整個系統(tǒng)是否有效地實現(xiàn)組織目標并有效率的利用組織資源。只要信息系統(tǒng)在運行，審計活動一直存在。另外，信息系統(tǒng)工程監(jiān)理的過程是可見的，即對項目成本、進度和質(zhì)量與目標出現(xiàn)的偏差是可見的，及時糾正也方便。但信息系統(tǒng)審計對信息系統(tǒng)的安全性

48、、可靠性與有效性的認定具有不可見性，這也正是信息系統(tǒng)比工程項目復雜的主要原因。信息系統(tǒng)建設完畢，這僅僅是信息化的開始，大量的問題將出現(xiàn)在信息系統(tǒng)運維階段，因此，從這個角度而言，信息系統(tǒng)審計是保證信息系統(tǒng)質(zhì)量的行之有效的方法。（四） 信息系統(tǒng)審計與方法研究具有科學化、規(guī)范化、智能化和系統(tǒng)化的特點。所謂科學化，是指現(xiàn)代審計技術(shù)與方法的研究，已經(jīng)超越了傳統(tǒng)的經(jīng)驗論，非常強調(diào)把科學手段和經(jīng)驗總結(jié)相結(jié)合。比較典型的例子就是分析性復核技術(shù)的發(fā)展。所謂分析性復核，其實質(zhì)就是將審計人員掌握的一些客觀規(guī)律總結(jié)出來，測算出被審計事項的合理預期值，再與被審計事項的實際值相比較，進一步評估差異的合理性之后，確定是否還

49、需要對被審計事項進行詳細測試。這一個過程，實際上被許多審計人員不自覺地運用了多年，但通過公式和比率等形式總結(jié)出來，主動指導審計人員的實踐，卻是最近年來審計技術(shù)與方法研究的一大突出特點?？茖W化的另一個表現(xiàn)就是數(shù)學和統(tǒng)計學技術(shù)在審計中的運用日益廣泛，抽樣統(tǒng)計技術(shù)的全面推廣就是例證。所謂規(guī)范化，是指審計機構(gòu)將審計程序設計與審計技術(shù)方法的運用有機結(jié)合，規(guī)范和引導審計人員運用適當?shù)膶徲嫾夹g(shù)和方法。以往，審計人員在運用審計技術(shù)和方法的過程中容易有較大的隨意性，用與不用，在什么時候用，如何使用，都沒有規(guī)范和約束，導致整個審計機構(gòu)的標準不統(tǒng)一，質(zhì)量沒有保證。隨著程序?qū)蚴綄徲嬡浖脚_的開發(fā)和廣泛運用，越來越多

50、的審計機構(gòu)開始把審計技術(shù)與方法融入到規(guī)范的審計程序之中，要求并指導審計人員合理運用審計技術(shù)。所謂智能化，強調(diào)的就是將歷史經(jīng)驗總結(jié)、科學規(guī)律推導和審計人員的專業(yè)判斷結(jié)合起來，指導審計人員得出合理的審計結(jié)論。在審計過程中，數(shù)學、統(tǒng)計學的分析結(jié)果，都不能完全替代審計人員的專業(yè)判斷，因為在其利用的數(shù)學公式中，仍然有許多變量需要審計人員主觀確定。在這種情況下，越來越多的審計機構(gòu)，傾向于在審計軟件中為審計人員的決策提供參考。目前，許多審計機構(gòu)不惜花巨資，邀請審計領域的專家，分析在各種情況下常見的審計策略或方法以及對不同審計結(jié)果的判斷標準。當然，對審計而言，智能化永遠都是一個相對的概念，電腦和機器永遠不能替

51、代審計人員的決策，但提供決策輔助和參考意見，確實非常必要。所謂系統(tǒng)化，是指審計戰(zhàn)略（策略）和審計技術(shù)方法的全面協(xié)調(diào)。審計戰(zhàn)略（策略）解決的是要審什么、想達到什么目的，審計技術(shù)和方法解決的是怎么審和怎么達到目的，這兩者的協(xié)調(diào)是審計技術(shù)與方法的研究成果得以全面運用的關(guān)鍵?；仡欁罱嗄陙韺徲嫾夹g(shù)與方法的研究歷程，可以清晰地發(fā)現(xiàn)，審計技術(shù)的研究和運用完全是在風險基礎審計理論指導下的開拓和發(fā)展，而脫離理論指導的實踐經(jīng)驗總結(jié)相對越來越少。這一點給我們的啟示在于，審計技術(shù)與方法的研究，不能超越基本審計理論和審計目標的研究，也不能脫離審計戰(zhàn)略和審計目標的總體要求。（五） 信息系統(tǒng)審計具有較完善的職業(yè)教育和認證體系。國際信息系統(tǒng)審計與控制協(xié)會ISACA（Information System Audit and Control Association）是唯一有權(quán)授予國際信息系統(tǒng)審計師資格的跨國界、跨行業(yè)專業(yè)機構(gòu)，該協(xié)會成立于1969年，總部在美國的芝加哥。目前在世界上100多個國家設有160多個分會，現(xiàn)有會員兩萬多人。注冊信息系統(tǒng)審計師CISA（Certified Information System Auditor）資格由ISACA授予，是信息系統(tǒng)審計領域的唯一職