論信息系統審計準則在我國的需求與發展
[摘 要]信息系統審計是計算機審計的兩個發展方向之一。 我國信息系統審計準則的研究與規范尚處于起步階段。 在關涉內容、詳略程度、審計實質和完善程度方面,我國的信息系統審計準則與國外存在較大差距,需要大幅完善,以滿足社會需求。 我國信息系統審計準則的發展策略主要有:合理借鑒國外成熟的準則體系,全面設計準則完善方案,科學建立準則內容框架。
[關鍵詞]計算機審計;信息系統審計準則;ISACA;協調機制
近年來,審計署、中國注冊會計師協會(中注協)等部門對信息系統審計的開展都極為重視。2011年 7月出臺的《審計署“十二五”審計工作發展規劃》指出,“有步驟、分階段地推進與重點中央企業信息系統的聯網,試點實時審計”,“積極開展信息系統審計”[1]。 信息系統審計盡管遵循傳統審計程序,但與財務審計有根本的區別,它本質上屬于評價性、鑒定性審計。 信息系統審計的研究在西方國家較為成熟,在我國的研究與規范則尚處于起步階段。 截至 2012年 2月,審計署、內審協會出臺的有關信息系統審計方面的規范與標準僅 2項,即審計署于 2010年 9月頒布的《中華人民共和國國家審計準則》(第 8號令)[2]和內審協會于 2008年 9月頒布的《內部審計具體準則第 28號———信息系統審計》(內審準則第 28號)[3],而中注協至今還尚未頒布關于信息系統審計的規范。 我國亟待出臺完善的信息系統審計系列標準,以此推進信息系統審計業務的開展。 結合近年的研究,本文就信息系統審計的特點、信息系統審計準則的國內外發展現狀以及在我國的發展策略作一探討。
一、計算機審計與信息系統審計
目前,我國出臺的計算機輔助審計規范有 7項,信息系統審計方面的規范卻較少。 若要促進信息系統審計準則的建設,區分計算機審計與信息系統審計就十分必要,這將有助于消除我國學術研究中兩者混淆不清的情況。 日本會計檢察院計算機中心認為,計算機審計包括兩個方面:一是對計算機系統本身的審計,如系統安裝、使用成本,系統和數據、硬件和系統環境的審計;二是計算機輔助審計,包括用計算機手段進行傳統審計,用計算機建立一個審計數據庫,幫助專業部門進行審計[4]。 根據2010年修訂的《中華人民共和國審計法實施條例》和 2001年發布的《國務院辦公廳關于利用計算機信息系統開展審計工作有關問題的通知》,計算機審計包括對計算機管理的數據進行檢查及對管理數據的計算機進行檢查兩個方面[5]。 我國學者李學柔與秦榮生在《國際審計》一書中,對計算機審計的特性表述為:“一是對執行經濟業務和會計處理的計算機系統進行審計,即計算機系統作為審計的對象;二是利用計算機輔助審計,即計算機作為審計的工具!保郏叮莨P者認同上述關于計算機審計內涵的論述,并認為計算機審計向兩個方向發展:其一是信息系統審計方向,其二是計算機輔助審計方向。
當前,國內外學者對信息系統審計的界定不盡一致,主流的觀點有:Ron Weber于 1999年提出,“信息系統審計是一個獲取并評價證據,以判斷信息系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效地實現組織目標的過程”[7];日本通產省情報協會于 1996年對信息系統審計的定義是“為了信息系統的安全、可靠與有效,由獨立于審計對象的信息系統審計師,以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價,向信息系統審計對象的最高領導,提出問題與建議的一連串的活動”[7]。 信息系統是由計算機硬件、網絡與通訊設備、計算機軟件、信息資源、信息用戶和規章協議組成的,以處理信息流為目的的集成化人機系統。 有效提高信息系統的安全管理與運行效率是信息系統審計的核心問題。 筆者認為,信息系統審計應該是 IT審計師根據特定的規范,運用科學的信息系統管理方法,對信息系統網絡的運行規程與應用政策所實施的一種評價與鑒證活動,旨在增強復雜信息網絡的有效性、安全性、機密性與一致性,以此保障信息系統的高效運行。
二、中外信息系統審計準則的發展狀況
(一) 我國信息系統審計準則的發展情形
在傳統審計業務方面我國已經形成了一套相對成熟的規范體系,然而,在信息系統審計理論方面,我國的相關研究幾乎是空白[8],至于對信息系統審計準則系列規定的構建,在我國更是無從談起。 計算機審計包括信息系統審計與計算機輔助審計兩方面,截至目前,我國出臺的計算機審計規范或準則共計 9項,其中,計算機輔助審計方面的規范 7項,信息系統審計方面的準則 2項,見表 1。
表 1 當前我國已有的計算機審計規范
兩項信息系統審計準則中,一項是內審協會于 2008年 9月頒布的《內部審計具體準則第 28號———信息系統審計》(內審準則第 28號),另一項是審計署于 2010年 9月頒布的《中華人民共和國國家審計準則》(第 8號令)中的 5項具體條款。 內審準則第 28號總計 8章 32項條款,該準則從總則、一般原則、信息技術風險評估、信息技術審計的內容與方法等方面對信息系統內審業務加以規范,它明確指出,“組織的信息技術管理目的是保證組織的信息技術戰略充分反映該組織的業務戰略目標,提高組織所依賴的信息系統的可靠性、穩定性、安全性及數據處理的完整性和準確性,提高信息系統運行的效果與效率,合理保證信息系統的運行符合法律法規及監管的相關要求”[3]。 審計署第 8號令不是一項專業的信息系統審計準則,而是一項傳統審計業務的新規范,但其某些具體條款涉及被審單位信息系統的檢查方法與審計原則。 僅有的兩項信息系統審計準則,前一項條款涉及范圍相對全面,但是具體條款過于籠統,后一項所涉及的信息系統審計準則過于零散,難成體系,兩項準則無法為我國信息系統審計業務的開展提供具體指導。
國外有關于信息系統審計準則的發展已經趨于成熟,其中較為典型的有信息系統審計與控制協會(ISACA)制定的《信息系統準則體系》與《信息系統和技術控制目標》(COBIT),美國審計署制定的《聯邦信息系統控制審計手冊》(FISCAM),國際內部審計協會制定的《基于風險的信息系統控制評價指南》(GAIT),以及英國、法國、德國與荷蘭共同制定的《信息技術安全評估準則》(ITSEC),這些準則與規范均為多個國家所廣泛應用[8 9]。 上述準則與規范中最為典型的應為 ISACA機構制定的準則體系,該體系框架見表2。 ISACA是集信息系統控制、管理、審計于一體的專業機構,總部在芝加哥,在全世界 160個國家約有95000名會員。 ISACA的任務包括注冊信息系統審計師(CISA)資格認證、制定 ISA準則、組織CISA資格考試等七項內容。 七項內容相互輔助,融為一體,且 ISA準則的制定以其他六項為有機支撐。表2所闡釋的 ISACA信息系統審計準則體系來源于 ISACA機構出版的《IT Standards, Guidelines, andTools and Techniques for Audit and Assurance and Control Professionals》[9]。 該體系總計330頁,將信息系統審計準則分為審計標準、審計指南與作業程序三個部分,其中審計標準表述為 S1—S16,規定了審計章程及審計過程所必須達到的基本要求,是 CISA的執業行為的基本規范;審計指南表述為 G1—G42,明確規范了 CISA實施審計業務的具體標準,為 CISA如何遵守審計準則提供指引;作業程序的表述為 P1—P11,提供了信息系統審計業務的一般步驟,為 CISA提供了 IS審計工作的具體思路。
(二) 我國的信息系統審計準則無法滿足廣泛的社會需求
近年來,復雜的信息系統在我國得到廣泛應用,如公安綜合網絡信息系統、集團信息管理系統等。由于受到特定經濟環境以及網狀信息系統復雜性等多種不確定因素的影響,信息系統安全問題日趨嚴重,社會對信息系統審計準則的需求亦日益迫切。 如,2006年 10月 10日中國民航信息網絡股份有限公司離港系統主機發生故障,包括北京、上海、廣州在內的眾多機場的離港系統整體性癱瘓;2009年 9月 17日,知名券商申銀萬國交易系統突然癱瘓,其位于全國各地的一百余個營業部均受到影響,近半個小時未能進行證券交易;2010年 2月 3日,民生銀行因信息系統故障,全國范圍所有業務無法辦理;2011年10月25日,北京東城區39家社區衛生服務站出現信息系統故障,近一周的時間無法為患者提供正常門診與取藥服務。 若要解決上述問題,則亟須一套成熟的信息系統審計準則對信息系統進行事前預警、事中控制與事后評價,顯然,目前我國僅有的兩項準則無法滿足社會的需求。 信息系統審計準則在我國的需求主要體現在三個方面:一是信息系統內部控制與審計的需求。 對此,內審協會需要出臺全面的準則與規范,為組織中內部審計人員評價信息系統的安全提供參考標準。 二是公共機構中信息系統外部審計的需求。 對此,審計署需要出臺系列的信息系統審計準則,為政府審計人員提供明確的審計流程與技術方法。 三是公共機構之外的組織中信息系統外部審計的需求。 對此,中注協需要出臺規范的信息系統審計準則,為社會審計人員提供清晰的參照標準與風險控制思路。
(三) 我國的信息系統審計準則多方制定主體間缺乏默契的協調機制
政府審計準則、內部審計準則、社會審計準則的出臺機構分別為審計署、內審協會與中注協,它們應根據其自身服務范圍制定相應的信息系統審計準則。 然而,盡管三方均需制定各自的準則,但是由于在信息系統審計的目標、原則、方法與技術方面只是形式的不同,而內容并未有實質差異,因此,審計署、內審協會、中注協有必要就信息系統審計的原則與方法等同質的方面作出統一的規范,然后再根據各自的特點進行修訂。 多年來,我國信息系統審計準則出臺過于零散,其原因之一是審計署、內審協會、中注協各自缺少對外交流機制,且彼此之間缺乏協調機制。 一項準則的出臺,不僅僅需要制定主體之間相互協調,同時還需要集合制定主體之外的多方相關利益主體。 信息系統審計準則所需集合的外部主體主要有信息系統審計師、信息系統管理工程師、信息安全工程師、信息系統項目管理師、學術界以及其他利益相關者。 因為信息系統審計準則制定者的理性并非無限的,因而,將各利益主體有機協調于一體,將會盡可能地集合審計學學科、計算機科學學科以及信息安全學學科中理論界與實務界更多人的知識與經驗,從而全面提高信息系統審計準則的質量。 在我國,盡管信息系統審計并非強制性審計,且耗費人力、財力集合各方主體完善相關準則從目前來看并不會產生更多的社會效益,但是從長遠來看,缺少必要的多方互動機制并非明智之舉,準則制定者應在引入多方主體的基礎上采取聽證會等方式,多聽反對意見,廣納民意,集中民智。
四、信息系統審計準則體系的構建策略探析
構建并完善信息系統審計準則體系是一項系統工程,它不是簡單工作的疊加,而是具體工作的有機整合。 我國的信息系統審計準則建設剛剛起步,準則制定主體將面臨全新的挑戰。 在此,筆者希望準則制定主體在信息系統審計準則制定上,盡可能堅持以下三個方向。
(一) 合理借鑒國外成熟的信息系統審計準則體系
國外信息系統審計準則體系相對成熟,我國的準則制定機構可以直接引入國外先進的信息系統審計準則研究成果及實踐經驗,這樣不僅可以避免開展重復性工作,而且能快速站于更高的起點。 當然,“借鑒”并不意味著“照搬”,準則制定機構在“借鑒”中應關注國際趨同、中國特色和自主創新三點。
1. 國際趨同。 當前,全球經濟一體化趨勢要求審計準則也趨向一體化。 2010年 11月 10日,國際審計準則制定機構在與中國審計準則委員會的聯合聲明中高度評價中國審計準則的國際趨同成果。 審計作為一門學科不分國界,大量“吸收”國外成熟的信息系統審計標準,走“國際趨同”道路,將是我國發展審計準則的大勢所趨。 信息系統審計準則的國際趨同是矛盾的統一體,我國的準則制定機構需要實現“推動趨同的積極因素”與“阻礙趨同的消極因素”二者作用的均衡。
2. 中國特色。 由于各個國家的國情不盡相同,因而外國成熟的理念不盡適于中國。 我國與國外審計文化的差異主要體現于三個層次:其一是物質文化差異,包括審計環境、審計條件等;其二是制度文化差異,包括審計規范、審計機構組織方式等;其三是精神文化差異,包括價值取向、行為方式等[10]。 例如,國際政府審計準則由四部分組成,全部具體準則共計 191項條款,然而我國政府審計準則共分為六個部分,全部準則共計 47項條款[2]。 造成國內外差異的原因有諸多方面,其中一個是我國政府審計無論是實踐經歷還是理論研究都起步較晚。 正因如此,我國審計準則的制定與出臺均是以實踐經歷為基礎的,是緊緊圍繞實踐環節作出的程序性規定,在形式上和內容上拘泥于條條框框,難以達到“適度拓展性”與“適時適應性”等理論高度[11]。 有鑒于此,我國的準則制定機構在“借鑒”中,需要充分認識國內外審計文化的差異,明確我國審計文化的特色,努力設計出適用于我國的高效的信息系統審計準則體系。
信息系統審計準則的制定必須科學規劃,建立切合實際的信息系統審計準則制訂方案并非無法完成。 筆者認為,全面的信息系統審計準則完善方案至少包括四項內容:一是確立準則制定相關主體的多方合作機制。 信息系統審計準則制定主體的知識具有有限性,因此制定主體不可能制定出適用于任何情況的最優規范,故準則制定機構需要擴大準則制定主體的代表性,將信息系統審計師、信息安全工程師、軟件工程師、資深學者等多方主體納入準則制定團隊,這樣一方面可以集思廣益,提升準則質量,另一方面可以向利益相關者增設利益訴求的通道,促進其對準則的遵從。 二是融合信息技術與安全方面的法規及標準。 信息系統審計涉及信息管理等多門學科,僅以傳統審計理論演繹信息系統審計理論還遠遠不夠,因此,我國在制定信息系統審計準則過程中,還需要融合信息技術與安全方面的法規與標準,如《中華人民共和國計算機信息系統安全保護條例》、《信息系統通用安全技術要求》、《網絡基礎安全技術要求》、《操作系統安全技術要求》等都將會對準則制定大有幫助。 三是加強與信息系統審計有關的法規與準則的確立。 信息系統服務于信息經濟,制定信息系統審計準則就應以有關信息經濟的法律規范為基礎。 當前,我國有關電子商務、電子政務的法律體系尚未完全建立,由此導致網上交易的安全問題、電子證據的篡改問題等在法律上難以認定,這些都將促使審計人員在信息系統業務運營的合法性審計工作中無法可循。 四是做好與信息系統審計準則建設相配套的其他工作。 ISACA機構的工作重點包括 ISACA準則建設等七項內容,且這些內容相互支撐。 我國在制定信息系統審計準則的動態過程中,也有必要做好與其相配套的其他工作,以便為準則的制定打下良好的基礎。 信息系統審計準則制定的配套工作應該包括建立信息系統審計協會并明確會員的權利與義務,大力開展信息系統審計教育與培訓等,只有如此,高水平的準則參與團隊才能涌現,準則的制定質量與執行效果也才會大幅攀升。
(三) 科學建立信息系統審計準則的內容框架
信息系統審計準則取材于審計主體、審計過程、審計方法以及審計風險管理,反過來又對它們加以規范。 結合 ISACA準則,審計署、內審協會、中注協在確定信息系統審計準則體系框架時,有必要將該體系劃分為三個層次(見圖 1):一是信息系統審計基本準則層次。 信息系統審計基本準則是信息系統審計準則的總綱,是審計機構與審計人員進行信息系統審計時應遵循的基本規范,是制定信息系統審計具體準則與信息系統審計指南的依據。 信息系統審計基本準則的主要內容應該包括總則、一般準則、作業準則、報告準則、不正當及非法行為、信息系統管理與附則等方面。 二是信息系統審計具體準則層次。 信息系統審計具體準則是審計機構和人員在進行信息系統審計時評價審計事項與作出審計決定應當遵循的具體規范。 信息系統審計具體準則的主要內容應該包括職業道德準則、審計證據準則、審計工作底稿準則、審計報告準則、審計抽樣準則、內部控制評價準則、審計結果溝通準則等多個方面。 當然,在上述具體準則中需要融入有關信息系統技術與安全的多方面的專業知識,應該列示信息系統風險評估,入侵檢測,防火墻、病毒及其他惡意代碼、加密技術的管理控制評價等多項審計流程。 三是信息系統審計指南層次。 信息系統審計指南是為審計機構與審計人員進行信息系統審計提供的具有可操作性的指導意見。 由于當前網絡經濟的迅速發展與日趨復雜,我國出臺的信息系統審計指南要盡可能全面細致,未來出臺的信息系統審計操作指導性建議至少應該包括應用系統評審、訪問控制、系統開發與維護、實物與環境安全、不正當及非法行為、B2B與 B2C的電子商務審核、移動計算、系統開發生命周期審核以及虛擬專用網絡等各個方面。 科學的準則框架能夠為信息系統審計準則的需求方(開發主體、用戶主體、審計主體)提供規范化、專業化的管理框架,并能夠明確它們的定位、權利與職責,筆者期待大家的共同努力。
參考文獻:
[1]中華人民共和國審計署.審計署“十二五”審計工作發展規劃[R/ OL].(20110701)[20120710]..
[2]中華人民共和國審計署.中華人民共和國國家審計準則(第 8號令)[EB/ OL].(20100901)[20120710].http:/ / www. audit. gov. cn/ n1992130/ n1992165/ n1993676/2601539. html.
[3]中國內部審計協會.內部審計具體準則第28號———信息系統審計[EB/ OL].[20110507][20120710]. ht?tp:/ / www. ciia. com. cn/ docs/ fg_xg_nszz/20110507/1304754306534. html.
[4]莊明來.計算機審計與信息系統審計之比較[J].會計之友,2010(5):8285.
[5]中華人民共和國審計署.計算機審計[EB/ OL].[20120710]. http:/ / www. audit. gov. cn/ cysite/ docpage/ c340/200301/0109_340_670. htm.
[6]李學柔,秦榮生.國際審計[M].北京:中國時代經濟出版社,2002.
[7]王會金,劉國城.中觀經濟主體信息系統審計的理論分析及實施路徑探索[J].審計與經濟研究,2009(5):2731.
[8]李春青,周座.“國外引進”還是“自主發展”? ———對我國政府信息系統審計發展途徑的探討[J].南京審計學院學報,2012(1):5157.
[9]ISACA. About ISACA[EB/ OL].[201207
10]. .
[10]徐春.試論中國特色審計文化理念的構建與作用機制[J].科技情報開發與經濟,2005(5):154155.[11]馬佳迪.我國政府審計準則與國際審計準則之比較[J].財會月刊,2011(8):3233.
[12]唐志豪,馮占國,吳桂英.信息系統審計理論與實務[M].北京:清華大學出版社,2012.
【論信息系統審計準則在我國的需求與發展】相關文章:
論審計風險的防范與控制11-18
論民營企業內部審計生存和發展的基礎11-15
談我國鑄造裝備發展01-17
我國社區新聞的發展研究11-21
論培養適應社會需求的理想“角色”11-21
審計市場發展與競爭研究11-17
論藏藥發展的營銷戰略03-28
論新媒介的發展態勢12-04
議主題酒店在我國的發展對策11-24
- 相關推薦