論信息系統(tǒng)審計準則在我國的需求與發(fā)展

1、<p>　　論信息系統(tǒng)審計準則在我國的需求與發(fā)展</p><p>　?。壅?要］信息系統(tǒng)審計是計算機審計的兩個發(fā)展方向之一。 我國信息系統(tǒng)審計準則的研究與規(guī)范尚處于起步階段。 在關涉內容、詳略程度、審計實質和完善程度方面，我國的信息系統(tǒng)審計準則與國外存在較大差距，需要大幅完善，以滿足社會需求。 我國信息系統(tǒng)審計準則的發(fā)展策略主要有：合理借鑒國外成熟的準則體系，全面設計準則完善方案，科學建立準則內容框架

2、。</p><p>　?。坳P鍵詞］計算機審計；信息系統(tǒng)審計準則；ＩＳＡＣＡ；協(xié)調機制</p><p>　　近年來，審計署、中國注冊會計師協(xié)會（中注協(xié)）等部門對信息系統(tǒng)審計的開展都極為重視。２０１１年 ７月出臺的《審計署“十二五”審計工作發(fā)展規(guī)劃》指出，“有步驟、分階段地推進與重點中央企業(yè)信息系統(tǒng)的聯(lián)網，試點實時審計”，“積極開展信息系統(tǒng)審計”［１］。 信息系統(tǒng)審計盡管遵循傳統(tǒng)審計程序，但與

3、財務審計有根本的區(qū)別，它本質上屬于評價性、鑒定性審計。 信息系統(tǒng)審計的研究在西方國家較為成熟，在我國的研究與規(guī)范則尚處于起步階段。 截至 ２０１２年 ２月，審計署、內審協(xié)會出臺的有關信息系統(tǒng)審計方面的規(guī)范與標準僅 ２項，即審計署于 ２０１０年 ９月頒布的《中華人民共和國國家審計準則》（第 ８號令）［２］和內審協(xié)會于 ２００８年 ９月頒布的《內部審計具體準則第 ２８號———信息系統(tǒng)審計》（內審準則第 ２８號）［３］，而中注協(xié)至今還尚未頒布

4、關于信息系統(tǒng)審計的規(guī)范。 我國亟待出臺完善的信息系統(tǒng)審計系列標準，以此推進信息系統(tǒng)審計業(yè)務的開展。 結合近年的研究，本文就信息系統(tǒng)審計的特點、信息系統(tǒng)審計準則的國內外發(fā)展現(xiàn)狀以及在我國的發(fā)展策略作一探討。</p><p>　　一、計算機審計與信息系統(tǒng)審計</p><p>　　目前，我國出臺的計算機輔助審計規(guī)范有 ７項，信息系統(tǒng)審計方面的規(guī)范卻較少。 若要促進信息系統(tǒng)審計準則的建設，區(qū)分計算

5、機審計與信息系統(tǒng)審計就十分必要，這將有助于消除我國學術研究中兩者混淆不清的情況。 日本會計檢察院計算機中心認為，計算機審計包括兩個方面：一是對計算機系統(tǒng)本身的審計，如系統(tǒng)安裝、使用成本，系統(tǒng)和數(shù)據(jù)、硬件和系統(tǒng)環(huán)境的審計；二是計算機輔助審計，包括用計算機手段進行傳統(tǒng)審計，用計算機建立一個審計數(shù)據(jù)庫，幫助專業(yè)部門進行審計［４］。 根據(jù)２０１０年修訂的《中華人民共和國審計法實施條例》和 ２００１年發(fā)布的《國務院辦公廳關于利用計算機信息系統(tǒng)開展

6、審計工作有關問題的通知》，計算機審計包括對計算機管理的數(shù)據(jù)進行檢查及對管理數(shù)據(jù)的計算機進行檢查兩個方面［５］。 我國學者李學柔與秦榮生在《國際審計》一書中，對計算機審計的特性表述為：“一是對執(zhí)行經濟業(yè)務和會計處理的計算機系統(tǒng)進行審計，即計算機系統(tǒng)作為審計的對象；二是利用計算機輔助審計，即計算機作為審計的工具?！保郏叮莨P者認同上述關于計算機審計內涵的論述，并認為計算機審計向兩個方向發(fā)展：其一是信息系統(tǒng)審計方向，其二是計算機輔助審計方向。&

7、lt;/p><p>　　當前，國內外學者對信息系統(tǒng)審計的界定不盡一致，主流的觀點有：Ｒｏｎ Ｗｅｂｅｒ于 １９９９年提出，“信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效地實現(xiàn)組織目標的過程”［７］；日本通產省情報協(xié)會于 １９９６年對信息系統(tǒng)審計的定義是“為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的信息系統(tǒng)審計師，以第三方的客觀立場對以計算機為

8、核心的信息系統(tǒng)進行綜合的檢查與評價，向信息系統(tǒng)審計對象的最高領導，提出問題與建議的一連串的活動”［７］。 信息系統(tǒng)是由計算機硬件、網絡與通訊設備、計算機軟件、信息資源、信息用戶和規(guī)章協(xié)議組成的，以處理信息流為目的的集成化人機系統(tǒng)。 有效提高信息系統(tǒng)的安全管理與運行效率是信息系統(tǒng)審計的核心問題。 筆者認為，信息系統(tǒng)審計應該是 ＩＴ審計師根據(jù)特定的規(guī)范，運用科學的信息系統(tǒng)管理方法，對信息系統(tǒng)網絡的運行規(guī)程與應用政策所實施的一種評價與鑒證活動

9、，旨在增強復雜信息網絡的有效性、安全性、機密性與一致性，以此保障信息系統(tǒng)的高效運行。</p><p>　　二、中外信息系統(tǒng)審計準則的發(fā)展狀況</p><p>　?。ㄒ唬?我國信息系統(tǒng)審計準則的發(fā)展情形</p><p>　　在傳統(tǒng)審計業(yè)務方面我國已經形成了一套相對成熟的規(guī)范體系，然而，在信息系統(tǒng)審計理論方面，我國的相關研究幾乎是空白［８］，至于對信息系統(tǒng)審計準則系列規(guī)

10、定的構建，在我國更是無從談起。 計算機審計包括信息系統(tǒng)審計與計算機輔助審計兩方面，截至目前，我國出臺的計算機審計規(guī)范或準則共計 ９項，其中，計算機輔助審計方面的規(guī)范 ７項，信息系統(tǒng)審計方面的準則 ２項，見表 １。</p><p>　　表 １　 當前我國已有的計算機審計規(guī)范</p><p>　　兩項信息系統(tǒng)審計準則中，一項是內審協(xié)會于 ２００８年 ９月頒布的《內部審計具體準則第 ２８號———

11、信息系統(tǒng)審計》（內審準則第 ２８號），另一項是審計署于 ２０１０年 ９月頒布的《中華人民共和國國家審計準則》（第 ８號令）中的 ５項具體條款。 內審準則第 ２８號總計 ８章 ３２項條款，該準則從總則、一般原則、信息技術風險評估、信息技術審計的內容與方法等方面對信息系統(tǒng)內審業(yè)務加以規(guī)范，它明確指出，“組織的信息技術管理目的是保證組織的信息技術戰(zhàn)略充分反映該組織的業(yè)務戰(zhàn)略目標，提高組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整

12、性和準確性，提高信息系統(tǒng)運行的效果與效率，合理保證信息系統(tǒng)的運行符合法律法規(guī)及監(jiān)管的相關要求”［３］。 審計署第 ８號令不是一項專業(yè)的信息系統(tǒng)審計準則，而是一項傳統(tǒng)審計業(yè)務的新規(guī)范，但其某些具體條款涉及被審單位信息系統(tǒng)的檢查方法與審計原則。 僅有的兩項信息系統(tǒng)審計準則，前一項條款涉及范圍相對全面，但是具體條款過于籠統(tǒng)，后一項所涉及的信息系統(tǒng)審計準則過于零散，難成體系，兩項準則無法為我國信息系統(tǒng)審計業(yè)務的開展提供具體指導。</p&g

13、t;<p>　　（二） 國外信息系統(tǒng)審計準則的發(fā)展情形</p><p>　　國外有關于信息系統(tǒng)審計準則的發(fā)展已經趨于成熟，其中較為典型的有信息系統(tǒng)審計與控制協(xié)會（ＩＳＡＣＡ）制定的《信息系統(tǒng)準則體系》與《信息系統(tǒng)和技術控制目標》（ＣＯＢＩＴ），美國審計署制定的《聯(lián)邦信息系統(tǒng)控制審計手冊》（ＦＩＳＣＡＭ），國際內部審計協(xié)會制定的《基于風險的信息系統(tǒng)控制評價指南》（ＧＡＩＴ），以及英國、法國、德國與荷蘭

14、共同制定的《信息技術安全評估準則》（ＩＴＳＥＣ），這些準則與規(guī)范均為多個國家所廣泛應用［８ ９］。 上述準則與規(guī)范中最為典型的應為 ＩＳＡＣＡ機構制定的準則體系，該體系框架見表２。 ＩＳＡＣＡ是集信息系統(tǒng)控制、管理、審計于一體的專業(yè)機構，總部在芝加哥，在全世界 １６０個國家約有９５０００名會員。 ＩＳＡＣＡ的任務包括注冊信息系統(tǒng)審計師（ＣＩＳＡ）資格認證、制定 ＩＳＡ準則、組織ＣＩＳＡ資格考試等七項內容。 七項內容相互輔助，融為一體，且

15、 ＩＳＡ準則的制定以其他六項為有機支撐。表２所闡釋的 ＩＳＡＣＡ信息系統(tǒng)審計準則體系來源于 ＩＳＡＣＡ機構出版的《ＩＴ Ｓｔａｎｄａｒｄｓ， Ｇｕｉｄｅｌｉｎｅｓ， ａｎｄＴｏｏｌｓ ａｎｄ Ｔｅｃｈｎｉｑｕｅｓ ｆｏｒ Ａｕｄｉｔ </p><p>　?。ǘ?我國的信息系統(tǒng)審計準則無法滿足廣泛的社會需求</p><p>　　近年來，復雜的信息系統(tǒng)在我國得到廣泛應用，如公安綜合網絡信息系

16、統(tǒng)、集團信息管理系統(tǒng)等。由于受到特定經濟環(huán)境以及網狀信息系統(tǒng)復雜性等多種不確定因素的影響，信息系統(tǒng)安全問題日趨嚴重，社會對信息系統(tǒng)審計準則的需求亦日益迫切。 如，２００６年 １０月 １０日中國民航信息網絡股份有限公司離港系統(tǒng)主機發(fā)生故障，包括北京、上海、廣州在內的眾多機場的離港系統(tǒng)整體性癱瘓；２００９年 ９月 １７日，知名券商申銀萬國交易系統(tǒng)突然癱瘓，其位于全國各地的一百余個營業(yè)部均受到影響，近半個小時未能進行證券交易；２０１０年 ２月

17、 ３日，民生銀行因信息系統(tǒng)故障，全國范圍所有業(yè)務無法辦理；２０１１年１０月２５日，北京東城區(qū)３９家社區(qū)衛(wèi)生服務站出現(xiàn)信息系統(tǒng)故障，近一周的時間無法為患者提供正常門診與取藥服務。 若要解決上述問題，則亟須一套成熟的信息系統(tǒng)審計準則對信息系統(tǒng)進行事前預警、事中控制與事后評價，顯然，目前我國僅有的兩項準則無法滿足社會的需求。 信息系統(tǒng)審計準則在我國的需求主要體現(xiàn)在三個方面：一是信息系統(tǒng)內部控制與審計的需求。 對此，內審協(xié)會需要出臺全面的準則與

18、規(guī)范，為組織中內部審計人員評價信息系統(tǒng)的安全提供參考標準。</p><p>　?。ㄈ?我國的信息系統(tǒng)審計準則多方制定主體間缺乏默契的協(xié)調機制</p><p>　　政府審計準則、內部審計準則、社會審計準則的出臺機構分別為審計署、內審協(xié)會與中注協(xié)，它們應根據(jù)其自身服務范圍制定相應的信息系統(tǒng)審計準則。 然而，盡管三方均需制定各自的準則，但是由于在信息系統(tǒng)審計的目標、原則、方法與技術方面只是形式

19、的不同，而內容并未有實質差異，因此，審計署、內審協(xié)會、中注協(xié)有必要就信息系統(tǒng)審計的原則與方法等同質的方面作出統(tǒng)一的規(guī)范，然后再根據(jù)各自的特點進行修訂。 多年來，我國信息系統(tǒng)審計準則出臺過于零散，其原因之一是審計署、內審協(xié)會、中注協(xié)各自缺少對外交流機制，且彼此之間缺乏協(xié)調機制。 一項準則的出臺，不僅僅需要制定主體之間相互協(xié)調，同時還需要集合制定主體之外的多方相關利益主體。 信息系統(tǒng)審計準則所需集合的外部主體主要有信息系統(tǒng)審計師、信息系統(tǒng)管

20、理工程師、信息安全工程師、信息系統(tǒng)項目管理師、學術界以及其他利益相關者。 因為信息系統(tǒng)審計準則制定者的理性并非無限的，因而，將各利益主體有機協(xié)調于一體，將會盡可能地集合審計學學科、計算機科學學科以及信息安全學學科中理論界與實務界更多人的知識與經驗，從而全面提高信息系統(tǒng)審計準則的質量。 在我國，盡管信息系統(tǒng)審計并非強制性審計，且耗費</p><p>　　四、信息系統(tǒng)審計準則體系的構建策略探析</p>

21、<p>　　構建并完善信息系統(tǒng)審計準則體系是一項系統(tǒng)工程，它不是簡單工作的疊加，而是具體工作的有機整合。 我國的信息系統(tǒng)審計準則建設剛剛起步，準則制定主體將面臨全新的挑戰(zhàn)。 在此，筆者希望準則制定主體在信息系統(tǒng)審計準則制定上，盡可能堅持以下三個方向。</p><p>　?。ㄒ唬?合理借鑒國外成熟的信息系統(tǒng)審計準則體系</p><p>　　國外信息系統(tǒng)審計準則體系相對成熟，我國的準

22、則制定機構可以直接引入國外先進的信息系統(tǒng)審計準則研究成果及實踐經驗，這樣不僅可以避免開展重復性工作，而且能快速站于更高的起點。 當然，“借鑒”并不意味著“照搬”，準則制定機構在“借鑒”中應關注國際趨同、中國特色和自主創(chuàng)新三點。</p><p>　　１． 國際趨同。 當前，全球經濟一體化趨勢要求審計準則也趨向一體化。 ２０１０年 １１月 １０日，國際審計準則制定機構在與中國審計準則委員會的聯(lián)合聲明中高度評價中國審計

23、準則的國際趨同成果。 審計作為一門學科不分國界，大量“吸收”國外成熟的信息系統(tǒng)審計標準，走“國際趨同”道路，將是我國發(fā)展審計準則的大勢所趨。 信息系統(tǒng)審計準則的國際趨同是矛盾的統(tǒng)一體，我國的準則制定機構需要實現(xiàn)“推動趨同的積極因素”與“阻礙趨同的消極因素”二者作用的均衡。</p><p>　　２． 中國特色。 由于各個國家的國情不盡相同，因而外國成熟的理念不盡適于中國。 我國與國外審計文化的差異主要體現(xiàn)于三個層次

24、：其一是物質文化差異，包括審計環(huán)境、審計條件等；其二是制度文化差異，包括審計規(guī)范、審計機構組織方式等；其三是精神文化差異，包括價值取向、行為方式等［１０］。 例如，國際政府審計準則由四部分組成，全部具體準則共計 １９１項條款，然而我國政府審計準則共分為六個部分，全部準則共計 ４７項條款［２］。 造成國內外差異的原因有諸多方面，其中一個是我國政府審計無論是實踐經歷還是理論研究都起步較晚。 正因如此，我國審計準則的制定與出臺均是以實踐經歷為

25、基礎的，是緊緊圍繞實踐環(huán)節(jié)作出的程序性規(guī)定，在形式上和內容上拘泥于條條框框，難以達到“適度拓展性”與“適時適應性”等理論高度［１１］。 有鑒于此，我國的準則制定機構在“借鑒”中，需要充分認識國內外審計文化的差異，明確我國審計文化的特色，努力設計出適用于我國的高效的信息系統(tǒng)審計準則體系。</p><p>　　３． 自主創(chuàng)新。 我國對信息系統(tǒng)審計準則的制定不僅要做到中國特色，還要做到與時俱進并具有前瞻性。 為滿足上述

26、要求，準則制定機構在借鑒國外的基礎上，需要做到基于自身的不斷創(chuàng)新。 如ＩＳＡＣＡ采用的是會計師事務所的框架，美國審計署采用的是內部控制理論，二者構建的信息系統(tǒng)審計準則體系都主要以內部控制為基礎［８］，然而當前我國大部分被審單位的內控體系尚在建設之中。 再如，國外有眾多有關信息化的法規(guī)為 ＩＳＡＣＡ等體系做支撐，而我國尚缺［１１］。 類似問題的解決都有賴于我國信息系統(tǒng)審計準則制定機構的持續(xù)創(chuàng)新。 為了實現(xiàn)“持續(xù)創(chuàng)新”，我國有必要為信息系統(tǒng)

27、審計準則的制定與組織設立專門的機構，加大人力、物力、財力的投入，增強準則制定的必要的動力機制，強化準則制定主體，最大限度地發(fā)揮相關機構的創(chuàng)新潛力。（二） 全面設計信息系統(tǒng)審計準則的完善方案</p><p>　　信息系統(tǒng)審計準則的制定必須科學規(guī)劃，建立切合實際的信息系統(tǒng)審計準則制訂方案并非無法完成。 筆者認為，全面的信息系統(tǒng)審計準則完善方案至少包括四項內容：一是確立準則制定相關主體的多方合作機制。 信息系統(tǒng)審計準則

28、制定主體的知識具有有限性，因此制定主體不可能制定出適用于任何情況的最優(yōu)規(guī)范，故準則制定機構需要擴大準則制定主體的代表性，將信息系統(tǒng)審計師、信息安全工程師、軟件工程師、資深學者等多方主體納入準則制定團隊，這樣一方面可以集思廣益，提升準則質量，另一方面可以向利益相關者增設利益訴求的通道，促進其對準則的遵從。 二是融合信息技術與安全方面的法規(guī)及標準。 信息系統(tǒng)審計涉及信息管理等多門學科，僅以傳統(tǒng)審計理論演繹信息系統(tǒng)審計理論還遠遠不夠，因此，我

29、國在制定信息系統(tǒng)審計準則過程中，還需要融合信息技術與安全方面的法規(guī)與標準，如《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《信息系統(tǒng)通用安全技術要求》、《網絡基礎安全技術要求》、《操作系統(tǒng)安全技術要求》等都將會對準則制定大有幫助。 三是加強與信息系統(tǒng)審計有關的法規(guī)與準則的確立。 信息系統(tǒng)服務于信息經濟，制定信息系統(tǒng)審計準則就應以有關信息經濟的法律規(guī)范為</p><p>　?。ㄈ?科學建立信息系統(tǒng)審計準則的內容框

30、架</p><p>　　信息系統(tǒng)審計準則取材于審計主體、審計過程、審計方法以及審計風險管理，反過來又對它們加以規(guī)范。 結合 ＩＳＡＣＡ準則，審計署、內審協(xié)會、中注協(xié)在確定信息系統(tǒng)審計準則體系框架時，有必要將該體系劃分為三個層次（見圖 １）：一是信息系統(tǒng)審計基本準則層次。 信息系統(tǒng)審計基本準則是信息系統(tǒng)審計準則的總綱，是審計機構與審計人員進行信息系統(tǒng)審計時應遵循的基本規(guī)范，是制定信息系統(tǒng)審計具體準則與信息系統(tǒng)審計指

31、南的依據(jù)。 信息系統(tǒng)審計基本準則的主要內容應該包括總則、一般準則、作業(yè)準則、報告準則、不正當及非法行為、信息系統(tǒng)管理與附則等方面。 二是信息系統(tǒng)審計具體準則層次。 信息系統(tǒng)審計具體準則是審計機構和人員在進行信息系統(tǒng)審計時評價審計事項與作出審計決定應當遵循的具體規(guī)范。 信息系統(tǒng)審計具體準則的主要內容應該包括職業(yè)道德準則、審計證據(jù)準則、審計工作底稿準則、審計報告準則、審計抽樣準則、內部控制評價準則、審計結果溝通準則等多個方面。 當然，在上述

32、具體準則中需要融入有關信息系統(tǒng)技術與安全的多方面的專業(yè)知識，應該列示信息系統(tǒng)風險評估，入侵檢測，防火墻、病毒及其他惡意代碼、加密技術的管理控制評價等多項審計流程。 三是</p><p><b>　　參考文獻：</b></p><p>　?。郏保葜腥A人民共和國審計署．審計署“十二五”審計工作發(fā)展規(guī)劃［Ｒ／ ＯＬ］．（２０１１０７０１）［２０１２０７１０］．．</p

33、><p>　　［２］中華人民共和國審計署．中華人民共和國國家審計準則（第 ８號令）［ＥＢ／ ＯＬ］．（２０１００９０１）［２０１２０７１０］．ｈｔｔｐ：／ ／ ｗｗｗ． ａｕｄｉｔ． ｇｏｖ． ｃｎ／ ｎ１９９２１３０／ ｎ１９９２１６５／ ｎ１９９３６７６／２６０１５３９． ｈｔｍｌ．</p><p>　?。郏常葜袊鴥炔繉徲媴f(xié)會．內部審計具體準則第２８號———信息系統(tǒng)審計［ＥＢ／ ＯＬ］．［

34、２０１１０５０７］［２０１２０７１０］． ｈｔｔｐ：／ ／ ｗｗｗ． ｃｉｉａ． ｃｏｍ． ｃｎ／ ｄｏｃｓ／ ｆｇ＿ｘｇ＿ｎｓｚｚ／２０１１０５０７／１３０４７５４３０６５３４． ｈｔｍｌ．</p><p>　?。郏矗萸f明來．計算機審計與信息系統(tǒng)審計之比較［Ｊ］．會計之友，２０１０（５）：８２８５．</p><p>　?。郏担葜腥A人民共和國審計署．計算機審計［ＥＢ／ ＯＬ］．［２０１２

35、０７１０］． ｈｔｔｐ：／ ／ ｗｗｗ． ａｕｄｉｔ． ｇｏｖ． ｃｎ／ ｃｙｓｉｔｅ／ ｄｏｃｐａｇｅ／ ｃ３４０／２００３０１／０１０９＿３４０＿６７０． ｈｔｍ．</p><p>　?。郏叮堇顚W柔，秦榮生．國際審計［Ｍ］．北京：中國時代經濟出版社，２００２．</p><p>　　［７］王會金，劉國城．中觀經濟主體信息系統(tǒng)審計的理論分析及實施路徑探索［Ｊ］．審計與經濟研究，２００９（５

36、）：２７３１．</p><p>　　［８］李春青，周座．“國外引進”還是“自主發(fā)展”？ ———對我國政府信息系統(tǒng)審計發(fā)展途徑的探討［Ｊ］．南京審計學院學報，２０１２（１）：５１５７．</p><p>　?。郏梗荩桑樱粒茫粒?Ａｂｏｕｔ ＩＳＡＣＡ［ＥＢ／ ＯＬ］．［２０１２０７</p><p><b>　　１０］． ．</b></p>