相对于会计而言,更是笼罩着一层神秘的面纱。我记得在杰克。C.罗伯逊的经典着作《审计学》中曾有这么一段妙语:
岳母:杰克,你的工作是什麽?
杰克:我是一名审计师。
岳母的朋友:杰克的工作是什麽?
杰克的岳母:他的工作是在别人的账本中搜事儿(He snoops around in other peoples books)。
的确老百姓对审计知之甚少,不过话又说回来,如果将审计理解成监督会计账目,“搜事儿”之说也不完全错误。老百姓是在用最简单的话语来总结审计的功能,事实上这也没有太大的错。
但随着时代的进步,再用“搜事儿”来形容审计可能就不那么准确了。目前审计出现了多个分枝,除了传统的会计账目审计、报表审计外,还出现了绩效审计、经济责任审计、价格审计、信息系统审计,以及为防止舞弊发展出的专项舞弊审计,当然最新的就是信息系统审计了。
随着计算机的发明及IT科技的迅猛发展,这给传统意义上的审计带来了无法抗拒的新挑战。随着电脑与人工处理的整合,内部审计与信息系统审计间的界限也越来越模糊。举例说,随着及的逐步推行,在企业内部,会计成为整体信息化的一个相互关联的组成部分。企业的库存材料可由计算机管理,当领用材料降低到危险水平,可能影响生产时,计算机会自动发出指令,通过网络向供应商订货,并纪录会计账项供应商也会自动处理订单,发货,并收款,记录会计账项。在这过程中人为因素减少,所有纪录均电子化,审计师所需的审计线索、证据难以寻找;而且,这一过程是机器按软件程序进行,对审计师而言,计算机是“黑箱”,谁知道计算机在里面做什麽?所以,对被审计单位的信息系统的了解、测试和评价也成为审计师的工作范围。
中国的信息化建设也急需信息系统审计,尤其是信息化建设项目的绩效审计。作为一个媒体工作人员,我在与一些企业的接触过程中,对一些企业由于电脑升级换代,调试时线路发生故障,引发系统瘫痪的事也履有耳闻。越来越多的传统企业大规模实施企业信息化,在提高了企业效率的同时,也带来了种种困惑,网络经常掉线,宕机,邮件发不出去,病毒肆虐,客户资料被盗等等。而在这方面,信息系统审计能发挥极大的作用,通过在IT系统上“搜事儿”,使得企业在IT系统上的投资发挥最大效能。所以,把信息系统审计说成是在帐务和IT系统上“搜事儿”也没错。
应该说,信息系统审计还是一门边缘性学科,跨越传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个科学领域。所以对相关从业人员的要求就相当高,是指一批既通晓信息系统的软件、硬件、开发、运营、维护、管理和,又熟悉经济管理的核心要义的专家级人士,他们能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造,以降低组织日益面临的信息系统,有效率使用信息系统审计,使到组织IT目标与业务目标保持一致。
目前一方面企业非常需要信息系统审计人员,另一方面相关从业人员却非常缺乏,就连相关的书籍也很少。目前一般有志于从事信息系统审计的人员,多半来自两类,一类是传统审计师,可往往相应的技术技能;另一类是从事信息化咨询的IT技术人员,可又缺乏审计理论知识,特别在观念上喜欢从纯技术的角度思考问题,而非从管理控制的角度。此外对于那些已进入信息系统审计行业的“幸运儿”而言,由于信息系统审计是门新兴学科,需要其内部从业人员不断学习。