20世纪50年代以来,随着信息技术的高速发展与广泛应用,特别是电子商务的推广,信息技术正成为当今企业环境中最重要的资源之一。谁拥有最准确、最及时的信息,谁就会赢得竞争的胜利。获取信息的能力正成为企业的核心竞争能力之一b而互联网技术在电子商务中的应用越来越广泛和深人,可以使得价值链的各环节实现无缝隙的光滑的链接。企业与竞争对手建立起合作联系,原来的“价值链”(ValueChain)变成了“价值网”(ValueChain)。电于商务以及价值链的转变改变了传统的审计业务。当企业开始与新的贸易伙伴交换数据进行交易时,贸易伙伴及其交易处理系统的可靠性都必须得到评估。 当供应链管理中各个过程和步骤,如库存需求计划、购货订单、销售订单、运货单和现金支出等,通过电于商务信息系统被电子化处理时,审查交易数据和评估其完整性及可靠性则成为必要。社会的需要促使新的审计业务—lS审计的产生。它不仅仅是应用计算机技术进行审计(即传统EDI审计或计算机辅助审计),更重要的是对包括财务管理信息系统在内的所有信息系统本身的安全性、保密性、完整性及其实现企业目标的有效性进行的审计。 一、IS审计产生动因分析 1.电子商务的迅猛发展改变了商务环境 何谓“电子商务”?一般来说,电子商务可以理解为所有的商业行为和交易(包括内部和外部的)都是在基于互联网或类似互联网的计算机网络上进行。这些行为可以是简单的交易,如直接利用互联网销售商品,也可能是非常复杂的交易,如通过互联网技术将企业的价值链的各个环节,各类职能都整合在一体。当前网络经营的发展已经初具规模。 企业掀起了一波又一波的电子商务浪潮。如图所示:图中显示每一浪都比前一浪更进步、更大,伴随着每一浪潮的是电子商务技术和实务的更广泛应用。第一浪主要是80年代和90年代初的电子数据交换实务,现在已让位给第二浪,如今许多公司己踏上追赶第三浪的征程了。 在第一浪中电子交易仅仅出现在早已建立关系的商业伙伴之间。第二浪中电子交易能发生在虚拟的陌生人之间,因此要求向更广泛的人群(潜在的客户)提供公司的信息。无现金交易与智能将是第三浪的主题。商务环境正日益数字化、信息化。 2.电子商务改变了传统的价值链 传统价值链通常将信息系统的数据描述为在最初阶段的供应商输人到最终阶段的客户输出的依次流动。而信息时代,电子商务使公司在价值链的许多环节都与客户和供应商分享信息。互联网技术的支持对信息的基础结构产生了革命性的影响,特别是近几年基于网络技术的内联网和外联网的发展正是对这一点最好的诊释。企业逐步向所信任的供应商、合作伙伴及客户开发其内联网(Intranets),从而成倍降低其交易成本的同时分享价值链增值带来的好处。当公司的业务流程和工作流程实现了自动化,就进人了企业界内部联网的Intranet,将众多的连接在一起,就使得上下游企业的合作成为可能,工作流不仅在企业内部流动,而且也在企业间流动,这一外联网(Ex仃allets)使得企业网上商务活动水到渠成。在价值链的各个环节(如供应商、消费者以及他们所处的环境)中流动的信息必须具有可靠性和及时性。正是由于互联网技术在电子商务中的应用越来越广泛和深人,使得价值链的各环节实现了无缝隙的光滑的链接。企业与竞争对手逐步建立起合作联系,原来的“价值链”(ValueChain)变成了“价值网”(valueChain)。 3.价值链的改变带来信息使用者对信息要求的改变 信息使用者既包括企业管理者、交易伙伴也包括投资人。在信息时代,谁先掌握最及时最可靠的信息,谁就可以赢得市场。他们对信息的关注不再只是财务报表所反映的过去的信息.而是更多关注公司的实时信息以便及时做出更为科学的决策。因此信息使用者有着强烈的愿望需要有一个独立、客观、公正的第三方,为其提供所需信息的质量审查,以合理保证其信息的完整性、可靠性,社会的需要促使新的审计业务—IS审计(infbnl飞ation易stenlaudit)的产生。它不仅仅是应用计算机技术进行审计(即传统El)1审计或计算机辅助审计),更重要的是对包括财务管理信息系统在内的所有信息系统本身的安全性、保密性、完整性及其实现企业目标的有效性进行的审计。 二、IS审计的发展 lS审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期,由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识,认为计算机处理数据准确可靠,不会出现错弊,因而很少对数据处理系统进行审计,主要是对计算机打印出的一部分资料进行传统的手工审计。 随着计算机在数据处理系统中应用的逐步扩大,利用计算机犯罪的案件不断出现,使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计,即EDI审计。 同时随着社会经济的发展,审计对象、范围越来越大,审计业务也越来越复杂,利用传统的手工方法已不能及时完成审计任务,必须应用计算机辅助审计技术(CAA叮rs)进行审计。20世纪80年代、90年代信息技术的进一步发展与普及,使得企业越来越依赖信息及产生信息的信息系统。人们开始更多地关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果,真正意义的IS审计才出现。随着电子商务的全球普及,信息系统的审计对象、范围及内容将逐渐扩大,采用的技术也将日益复杂。 1.信息技术带来审计范围的改变 信息技术的高速发展与广泛应用改变着商业环境,改变着信息的产生与处理方式,从而改变着信息使用者对信息的要求,而这一切必然影响并改变着审计鉴证业务的范围、内容与方法。在信息时代,电于商务公司为预防不良事件的发生必须将其内部控制扩展到交易处理系统的各个方面,包括企业内联网与外联网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统,因为该系统与包括贸易伙伴在内的其他系统有着密切的联系。此外,这些公司还必须对与其互通商业数据的贸易伙伴的内部控制系统有信心。#p#分页标题#e# 2.信息技术带来审计内容的改变 信息系统(15)审计应对以下业务进行审计:(l)系统开发审计。包括开发过程的审计、开发方法的审计,为IT筹划指导委员会提供咨询服务。(2)主要数据中心、网络、通讯设施的结构审计。包括财务系统和非财务系统的应用审计。(3)支持其他审计人员的工作,如为财务审计人员与经营审计人员提供技术支持和培训。(4)为组织提供增值服务。如为管理信息系统人员提供技术、控制与安全指导;推动控制自评估程序的执行。(5)对软件及硬件供应商及外包服务商提供的产品及服务质量是否与合同相符的审计。(6)灾难恢复和业务持续计划审计。(7)计算机运行及应用开发测试。(8)系统的安全审计。(9)网站信誉审计。(10)全面控制审计等_ 3.信息技术带来审计方法的改变 在电子商务系统下,信息需求者要求实时的信息鉴证服务,并且纸上审计已不存在,所以要求有新的审计方法出现。 如:(l)连续步骤审计(continuousprocessauditing)。这种方法是审计师制定交易选择标准并执行测试,而这些测试的执行是在一定的间隙内进行的,如每天、每小时或发生时。审计师应该参与融人这些系统的设计过程,以便能对连续监督程序和输出结果有必要的保证。系统的输出可能是以例外报告或警告的形式出现。这种方法包括运用绕过计算机的审计技术和通过计算机技术。(2)控制(controlagent)。这是审计师定义的经验实用法,可以定期地运用到交易模式上。在找到不寻常业务活动时会首先搜寻类似的活动,以试图理解该活动模式。如果该活动无法解释,控制就会提醒审计师警觉。此外,他们还能促成对电于商务系统整体完整性的更及时的评估,这能使事件的发生与相关信息披露之间的差距缩小。 总之,IS审计业务将随着信息技术的发展而发展,为满足信息使用者不断变化的需要而增加新的服务内容。随着电子交易的普及,网络会计必然代替传统会计,鉴证传统会计报表的传统审计业务也将被IS审计包容。到目前为止,IS审计在全球来看,还是一个新的业务,从美国五大会计师事务所的数据看1990年拥有IS审计师12名到近百名,1995年已有500名,到2000年时,IS审计师正以40%一50%的速度增加,说明lS审计正逐渐受到重视。IS审计的主要推动者是美国信息系统AC气〔IS审计与控制协会),成立于1969年,在全球建有100多个分会,推出了一系列IS审计准则、职业道德准则等规范性文件,并开展了大量的理论研究,CO-Bl’f(G卫ltro!ObjectivoforInlbnllationandRelat司Technolo-盯)已出版了第三版。 三、我国注册会计师面对IS审计的机遇与挑战 1.机遇 (l)我国注册会计师面临的最大机遇是广阔市场需求。 仅2002年,中国每十天左右就会有一个预算为500万元以上的ERP项目招投标,一年的项目在50一70个左右;预算为100万元至500万元的ERP项目在60一100个左右;预算为100万元的项目在100一150个左右。有些项目是企业自筹资金,有些项目是国家资金支持。另外,从1999年起,全国普遍实行了政府上网工程。到2001年,绝大多数乡级以上政府都设有站点,通过网站向社会信息,有的还开始提供在线服务。2000年底,中国各式电子商务公司超过500家。预计电于商务市场规模将从2000年的873亿美元增长到20()4年的5463亿美元。网上银行、网络证券交易也出现在我们的生活中。大规模的信息化建设,对信息系统的安全、有效、保密以及其提供的信息的真实、完整等提出了鉴证要求,因此我们拥有极大的1s审计需求市场。 (2)lS审计在全球来看也是一项新业务,它的审计准则、规范、审计方法等还不成熟,有待进一步研究。这使我们有机会与世界强国在同一水平线起跑,通过积极参与IS审计研究,参与规则的制订,为我国lS审计争得有利地位 (3)我国注册会计师审计业务单一、事务所之间在有限的报表审计领域低层次竞争,过分依赖这一单一业务,甚至影响到注册会计师的独立性。发展IS审计业务,无疑为注册会计师找到了一个新的利润增长点。 2.挑战 (l)国际著名会计师事务所已纷纷抢滩中国,在lS审计方面会更甚。因为IS审计的许多准则都是由他们制订的普华永道、德勤、安永、毕马威都已开展IS审计业务,争夺重要客户,诸如网上银行、网上证券以及电子政府。而国内会计师事务所基本没有IS审计业务,甚至根本没有意识到信息时代新的业务机会。我国注册会计师若想站稳国内市场,必须充分认识到开展IS审计业务的紧迫性,奋起直追 (2)我国注册会计师的知识结构尚无法满足1S审计业务发展的要求。如注册会计师考试仅包括会计、审计、税法、经济法、成本与财务管理五部分,没有信息技术知识的要求,会是一个知识结构缺陷。此外,受观念落后的制约,我国目前计算机审计最多停留在计算机辅助审计与会计lS审计层面上,对非财务信息系统几乎没有关注。 3.几点建议 (l)加强宣传和引导。应加大对信息及信息系统资产的安全、完整、有效地实现组织目标的宣传,提高人们对IS审计的关注,引导并培育市场。如越来越多的传统企业大规模实施的企业信息化,提高了企业效率的同时,也为企业带来种种困难,如网络经常掉线,服务器宕机,邮件发不出去,病毒肆虐,客户资料被盗。这正是通过lS审计能够合理避免的现象,可以由此开展宣传。 (2)建议中注协成立信息系统(工S)审计专业委员会。着手研究制定我国IS审计执业规范体系,做好1S审计的推动与管理工作,并由委员会组织培训和执业资格考试,培养一批IS审计师,培育一批可以进行lS审计的事务所。 (3)建议相关部门尽快研究我国的琳审计制度,制定相关的法律、法规。对任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统都要求审计,并可在重大信息化工程项目中试点,在总结经验教训的基础_L.再逐步推广施行lS审计制度。#p#分页标题#e# (4)加强对注册会计师信息技术知识的要求。lS审计人员一般都应具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财务会计和单位内部控制有深刻的理解。为此,可在注册会计师资格考试中应加人信息技术方面的内容,在后续教育中也应不断对注册会计师的信息技术加以培训,以便能及时掌握技术的最新发展‘、同时注册会计师协会应该不断关注技术的发展。
