论信息系统审计准则在我国的需求与发展.doc

资源描述

1、论信息系统审计准则在我国的需求与发展摘要信息系统审计是计算机审计的两个发展方向之一。我国信息系统审计准则的研究与规范尚处于起步阶段。在关涉内容、详略程度、审计实质和完善程度方面，我国的信息系统审计准则与国外存在较大差距，需要大幅完善，以满足社会需求。我国信息系统审计准则的发展策略主要有：合理借鉴国外成熟的准则体系，全面设计准则完善方案，科学建立准则内容框架。关键词计算机审计；信息系统审计准则；协调机制近年来，审计署、中国注册会计师协会（中注协）等部门对信息系统审计的开展都极为重视。年月出台的审计署“十二五”审计工作发展规划指出， “有步骤、分阶段地推进与重点中央企业信息系统的联网，试

2、点实时审计” ， “积极开展信息系统审计” 。信息系统审计尽管遵循传统审计程序，但与财务审计有根本的区别，它本质上属于评价性、鉴定性审计。信息系统审计的研究在西方国家较为成熟，在我国的研究与规范则尚处于起步阶段。截至年月，审计署、内审协会出台的有关信息系统审计方面的规范与标准仅项，即审计署于年月颁布的中华人民共和国国家审计准则（第号令）和内审协会于年月颁布的内部审计具体准则第号信息系统审计（内审准则第号），而中注协至今还尚未颁布关于信息系统审计的规范。我国亟待出台完善的信息系统审计系列标准，以此推进信息系统审计业务的开展。结合近年的研究，本文就信息系统审计

3、的特点、信息系统审计准则的国内外发展现状以及在我国的发展策略作一探讨。一、计算机审计与信息系统审计目前，我国出台的计算机辅助审计规范有项，信息系统审计方面的规范却较少。若要促进信息系统审计准则的建设，区分计算机审计与信息系统审计就十分必要，这将有助于消除我国学术研究中两者混淆不清的情况。日本会计检察院计算机中心认为，计算机审计包括两个方面：一是对计算机系统本身的审计，如系统安装、使用成本，系统和数据、硬件和系统环境的审计；二是计算机辅助审计，包括用计算机手段进行传统审计，用计算机建立一个审计数据库，帮助专业部门进行审计。根据年修订的中华人民共和国审计法实施条例和年发布的国务院办公厅

4、关于利用计算机信息系统开展审计工作有关问题的通知，计算机审计包括对计算机管理的数据进行检查及对管理数据的计算机进行检查两个方面。我国学者李学柔与秦荣生在国际审计一书中，对计算机审计的特性表述为：“一是对执行经济业务和会计处理的计算机系统进行审计，即计算机系统作为审计的对象；二是利用计算机辅助审计，即计算机作为审计的工具。 ”笔者认同上述关于计算机审计内涵的论述，并认为计算机审计向两个方向发展：其一是信息系统审计方向，其二是计算机辅助审计方向。当前，国内外学者对信息系统审计的界定不尽一致，主流的观点有：于年提出， “信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全

5、、数据的完整以及有效率地利用组织的资源并有效地实现组织目标的过程” ；日本通产省情报协会于年对信息系统审计的定义是“为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导，提出问题与建议的一连串的活动” 。信息系统是由计算机硬件、网络与通讯设备、计算机软件、信息资源、信息用户和规章协议组成的，以处理信息流为目的的集成化人机系统。有效提高信息系统的安全管理与运行效率是信息系统审计的核心问题。笔者认为，信息系统审计应该是审计师根据特定的规范，运用科学的信息系统管理方法，对信息系统网络

6、的运行规程与应用政策所实施的一种评价与鉴证活动，旨在增强复杂信息网络的有效性、安全性、机密性与一致性，以此保障信息系统的高效运行。二、中外信息系统审计准则的发展状况（一）我国信息系统审计准则的发展情形在传统审计业务方面我国已经形成了一套相对成熟的规范体系，然而，在信息系统审计理论方面，我国的相关研究几乎是空白，至于对信息系统审计准则系列规定的构建，在我国更是无从谈起。计算机审计包括信息系统审计与计算机辅助审计两方面，截至目前，我国出台的计算机审计规范或准则共计项，其中，计算机辅助审计方面的规范项，信息系统审计方面的准则项，见表。表当前我国已有的计算机审计规范两项信息系统审计准则

7、中，一项是内审协会于年月颁布的内部审计具体准则第号信息系统审计（内审准则第号），另一项是审计署于年月颁布的中华人民共和国国家审计准则（第号令）中的项具体条款。内审准则第号总计章项条款，该准则从总则、一般原则、信息技术风险评估、信息技术审计的内容与方法等方面对信息系统内审业务加以规范，它明确指出， “组织的信息技术管理目的是保证组织的信息技术战略充分反映该组织的业务战略目标，提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性，提高信息系统运行的效果与效率，合理保证信息系统的运行符合法律法规及监管的相关要求” 。审计署第号令不是一项专业的信

8、息系统审计准则，而是一项传统审计业务的新规范，但其某些具体条款涉及被审单位信息系统的检查方法与审计原则。仅有的两项信息系统审计准则，前一项条款涉及范围相对全面，但是具体条款过于笼统，后一项所涉及的信息系统审计准则过于零散，难成体系，两项准则无法为我国信息系统审计业务的开展提供具体指导。（二）国外信息系统审计准则的发展情形国外有关于信息系统审计准则的发展已经趋于成熟，其中较为典型的有信息系统审计与控制协会（）制定的信息系统准则体系与信息系统和技术控制目标（），美国审计署制定的联邦信息系统控制审计手册（），国际内部审计协会制定的基于风险的信息系统控制评价指南（），以及英国、法国、德

9、国与荷兰共同制定的信息技术安全评估准则（），这些准则与规范均为多个国家所广泛应用。上述准则与规范中最为典型的应为机构制定的准则体系，该体系框架见表。是集信息系统控制、管理、审计于一体的专业机构，总部在芝加哥，在全世界个国家约有名会员。的任务包括注册信息系统审计师（）资格认证、制定准则、组织资格考试等七项内容。七项内容相互辅助，融为一体，且准则的制定以其他六项为有机支撑。表所阐释的信息系统审计准则体系来源于机构出版的，，。该体系总计页，将信息系统审计准则分为审计标准、审计指南与作业程序三个部分，其中审计标准表述为，规定了审计章程及审计过程所必须达到的基本要求，

10、是的执业行为的基本规范；审计指南表述为，明确规范了实施审计业务的具体标准，为如何遵守审计准则提供指引；作业程序的表述为，提供了信息系统审计业务的一般步骤，为提供了审计工作的具体思路。（二）我国的信息系统审计准则无法满足广泛的社会需求近年来，复杂的信息系统在我国得到广泛应用，如公安综合网络信息系统、集团信息管理系统等。由于受到特定经济环境以及网状信息系统复杂性等多种不确定因素的影响，信息系统安全问题日趋严重，社会对信息系统审计准则的需求亦日益迫切。如，年月日中国民航信息网络股份有限公司离港系统主机发生故障，包括北京、上海、广州在内的众多机场的离港系统整体性瘫痪；年月日，

11、知名券商申银万国交易系统突然瘫痪，其位于全国各地的一百余个营业部均受到影响，近半个小时未能进行证券交易；年月日，民生银行因信息系统故障，全国范围所有业务无法办理；年月日，北京东城区家社区卫生服务站出现信息系统故障，近一周的时间无法为患者提供正常门诊与取药服务。若要解决上述问题，则亟须一套成熟的信息系统审计准则对信息系统进行事前预警、事中控制与事后评价，显然，目前我国仅有的两项准则无法满足社会的需求。信息系统审计准则在我国的需求主要体现在三个方面：一是信息系统内部控制与审计的需求。对此，内审协会需要出台全面的准则与规范，为组织中内部审计人员评价信息系统的安全提供参考标准。二是公共机构

12、中信息系统外部审计的需求。对此，审计署需要出台系列的信息系统审计准则，为政府审计人员提供明确的审计流程与技术方法。三是公共机构之外的组织中信息系统外部审计的需求。对此，中注协需要出台规范的信息系统审计准则，为社会审计人员提供清晰的参照标准与风险控制思路。（三）我国的信息系统审计准则多方制定主体间缺乏默契的协调机制政府审计准则、内部审计准则、社会审计准则的出台机构分别为审计署、内审协会与中注协，它们应根据其自身服务范围制定相应的信息系统审计准则。然而，尽管三方均需制定各自的准则，但是由于在信息系统审计的目标、原则、方法与技术方面只是形式的不同，而内容并未有实质差异，因此，审计署、内审协

13、会、中注协有必要就信息系统审计的原则与方法等同质的方面作出统一的规范，然后再根据各自的特点进行修订。多年来，我国信息系统审计准则出台过于零散，其原因之一是审计署、内审协会、中注协各自缺少对外交流机制，且彼此之间缺乏协调机制。一项准则的出台，不仅仅需要制定主体之间相互协调，同时还需要集合制定主体之外的多方相关利益主体。信息系统审计准则所需集合的外部主体主要有信息系统审计师、信息系统管理工程师、信息安全工程师、信息系统项目管理师、学术界以及其他利益相关者。因为信息系统审计准则制定者的理性并非无限的，因而，将各利益主体有机协调于一体，将会尽可能地集合审计学学科、计算机科学学科以及信息安全学学科

14、中理论界与实务界更多人的知识与经验，从而全面提高信息系统审计准则的质量。在我国，尽管信息系统审计并非强制性审计，且耗费人力、财力集合各方主体完善相关准则从目前来看并不会产生更多的社会效益，但是从长远来看，缺少必要的多方互动机制并非明智之举，准则制定者应在引入多方主体的基础上采取听证会等方式，多听反对意见，广纳民意，集中民智。四、信息系统审计准则体系的构建策略探析构建并完善信息系统审计准则体系是一项系统工程，它不是简单工作的叠加，而是具体工作的有机整合。我国的信息系统审计准则建设刚刚起步，准则制定主体将面临全新的挑战。在此，笔者希望准则制定主体在信息系统审计准则制定上，尽可能坚持以下三个方

15、向。（一）合理借鉴国外成熟的信息系统审计准则体系国外信息系统审计准则体系相对成熟，我国的准则制定机构可以直接引入国外先进的信息系统审计准则研究成果及实践经验，这样不仅可以避免开展重复性工作，而且能快速站于更高的起点。当然， “借鉴”并不意味着“照搬” ，准则制定机构在“借鉴”中应关注国际趋同、中国特色和自主创新三点。国际趋同。当前，全球经济一体化趋势要求审计准则也趋向一体化。年月日，国际审计准则制定机构在与中国审计准则委员会的联合声明中高度评价中国审计准则的国际趋同成果。审计作为一门学科不分国界，大量“吸收”国外成熟的信息系统审计标准，走“国际趋同”道路，将是我国发展审计准则的

16、大势所趋。信息系统审计准则的国际趋同是矛盾的统一体，我国的准则制定机构需要实现“推动趋同的积极因素”与“阻碍趋同的消极因素”二者作用的均衡。中国特色。由于各个国家的国情不尽相同，因而外国成熟的理念不尽适于中国。我国与国外审计文化的差异主要体现于三个层次：其一是物质文化差异，包括审计环境、审计条件等；其二是制度文化差异，包括审计规范、审计机构组织方式等；其三是精神文化差异，包括价值取向、行为方式等。例如，国际政府审计准则由四部分组成，全部具体准则共计项条款，然而我国政府审计准则共分为六个部分，全部准则共计项条款。造成国内外差异的原因有诸多方面，其中一个是我国政府审计无论是实践

17、经历还是理论研究都起步较晚。正因如此，我国审计准则的制定与出台均是以实践经历为基础的，是紧紧围绕实践环节作出的程序性规定，在形式上和内容上拘泥于条条框框，难以达到“适度拓展性”与“适时适应性”等理论高度。有鉴于此，我国的准则制定机构在“借鉴”中，需要充分认识国内外审计文化的差异，明确我国审计文化的特色，努力设计出适用于我国的高效的信息系统审计准则体系。自主创新。我国对信息系统审计准则的制定不仅要做到中国特色，还要做到与时俱进并具有前瞻性。为满足上述要求，准则制定机构在借鉴国外的基础上，需要做到基于自身的不断创新。如采用的是会计师事务所的框架，美国审计署采用的是内部控制理论，二者构建

18、的信息系统审计准则体系都主要以内部控制为基础，然而当前我国大部分被审单位的内控体系尚在建设之中。再如，国外有众多有关信息化的法规为等体系做支撑，而我国尚缺。类似问题的解决都有赖于我国信息系统审计准则制定机构的持续创新。为了实现“持续创新” ，我国有必要为信息系统审计准则的制定与组织设立专门的机构，加大人力、物力、财力的投入，增强准则制定的必要的动力机制，强化准则制定主体，最大限度地发挥相关机构的创新潜力。（二）全面设计信息系统审计准则的完善方案信息系统审计准则的制定必须科学规划，建立切合实际的信息系统审计准则制订方案并非无法完成。笔者认为，全面的信息系统审计准则完善方案至少包

19、括四项内容：一是确立准则制定相关主体的多方合作机制。信息系统审计准则制定主体的知识具有有限性，因此制定主体不可能制定出适用于任何情况的最优规范，故准则制定机构需要扩大准则制定主体的代表性，将信息系统审计师、信息安全工程师、软件工程师、资深学者等多方主体纳入准则制定团队，这样一方面可以集思广益，提升准则质量，另一方面可以向利益相关者增设利益诉求的通道，促进其对准则的遵从。二是融合信息技术与安全方面的法规及标准。信息系统审计涉及信息管理等多门学科，仅以传统审计理论演绎信息系统审计理论还远远不够，因此，我国在制定信息系统审计准则过程中，还需要融合信息技术与安全方面的法规与标准，如中华人民共和国

20、计算机信息系统安全保护条例、信息系统通用安全技术要求、网络基础安全技术要求、操作系统安全技术要求等都将会对准则制定大有帮助。三是加强与信息系统审计有关的法规与准则的确立。信息系统服务于信息经济，制定信息系统审计准则就应以有关信息经济的法律规范为基础。当前，我国有关电子商务、电子政务的法律体系尚未完全建立，由此导致网上交易的安全问题、电子证据的篡改问题等在法律上难以认定，这些都将促使审计人员在信息系统业务运营的合法性审计工作中无法可循。四是做好与信息系统审计准则建设相配套的其他工作。机构的工作重点包括准则建设等七项内容，且这些内容相互支撑。我国在制定信息系统审计准则的动态过程中，也有必要做好与其相配套的其他工作，以便为准则的制定打下良好的基础。信息系统审计准则制定的配套工作应该包括建立信息系统审计协会并明确会员的权利与义务，

展开阅读全文