一、引言
信息系統審計(IS Audit)的概念最早出現於20世紀60年代,會計電算化的發展使得審計人員開始關注電子數據的採集、分析與處理,被人們稱爲EDP審計,這是信息系統審計的早期萌芽。20世紀90年代,信息系統日益複雜,如何保障信息系統的安全、可靠和有效變得越來越重要,信息系統審計開始在美、日、澳、英等國普及起來。2001年,國家審計署將註冊信息系統審計師(CISA)考試引入我國,十餘年來各行各業都開展瞭如火如荼的信息系統審計實踐。準則是審計工作的基本規範,信息系統審計準則是信息系統審計師共同遵循的標準,對於促進信息系統審計行業發展具有重要意義。日本通產省 (Ministry of Economy Trade and Industry,簡稱METI)早在1985年就頒佈了信息系統審計準則,還成立了日本系統審計師協會 (JSSA)。
美國也成立了信息系統審計與控制協會(ISACA),制定和頒佈了一系列信息系統審計準則指南,並在全球
範圍內應用推廣。我國審計署以實務公告形式頒佈了《信息系統審計指南》,中國內部審計協會也以具體準則形式頒佈了信息系統審計準則,爲規範我國的信息系統審計實踐提供了重要參考。然而,由於信息系統審計的技術複雜性,以及我國信息化發展的階段特徵等客觀原因,目前我國的信息系統審計理論與實務研究都尚處於百花爭放時期,關於信息系統審計對象、範圍和目標等基礎概念的理解衆口不一,更是缺少系統化的信息系統審計準則體系,嚴重製約了我國信息系統審計行業的發展。
二、信息系統審計概念內涵
信息系統審計概念,國內外尚沒有統一定義。美國著名學者Ron A·Weber認爲,IS審計是一個獲取證據,對信息系統是否能保證資產的安全,數據的完整,以及是否有效的使用了組織資源並有效地實現了組織目標做出評價和判斷的過程。該定義得到較爲廣泛的流傳,印度審計署頒佈的IT審計手冊也採用了該定義。ISACA協會則認爲,信息系統審計是一個蒐集和評估證據過程,以確定信息系統和相關資源是否受到充分保護、是否能保障數據和系統的完整性、是否能提供相關和可靠信息、是否有效使用組織資源以實現組織目標,並建立了有效內部控制體系可以合理保障組織運營和控制目標。日本通產省(METI)在1996年修訂了信息系統審計準則,指出信息系統審計是爲了信息系統的安全、可靠與有效,由獨立於審計對象的IT審計師,以第三方的客觀立場對以計算機爲核心的信息系統進行綜合檢查與評價,向IT審計對象的最高領導,提出問題與建議的一連串的活動。中國內審協會頒佈的《中國內部審計具體準則28號——信息系統審計》中指出,信息系統審計是指由組織內部審計機構及人員對信息系統及其相關的信息技術內部控制和流程開展的一系列綜合檢查、評價與報告活動。國家審計署頒佈的《信息系統審計指南———計算機審計實務公告第34號》認爲,信息系統審計是指國家審計機關依法對被審計單位信息系統的真實性、合法性、效益性和安全性進行檢查監督的活動。
上述定義有差異,也有共同之處,本文從審計目標、審計對象和審計內容這些概念進行了對比分析。
目前學術界和業界對於信息系統審計的對象有較爲統一認識,但學者們對審計目標、審計內容的理解存在較大分歧。信息系統審計是源於信息系統和審計理論的新興交叉學科,觀點分歧代表了信息系統審計的不同定位。日本的信息系統審計師考試是一種全國信息處理人員水平考試,因此日本信息系統審計強調對信息技術和軟件規劃開發等內容的審計,並不提及審計師的專業判斷;其它觀點多出自審計師視角,審計師們通常更多關注控制與風險,所以審計內容通常是一般控制和應用控制審計等;另外,審計又區分爲國家審計,社會審計與內部審計,有着不同業務領域性質與要求,導致各領域對信息系統審計目標理解的多樣化。
基於上述討論,本文提出信息系統審計是審計主體遵循一定標準規範蒐集與評估證據,判斷信息系統及相關資產的安全性、可靠性和有效性,提出審計意見與建議,促進被審計單位信息系統實現組織目標的行爲。從該定義可知,信息系統審計的對象是系統及相關資產,主要包括計算機硬件、軟件、網絡基礎設施、數據、人和相關管理制度。信息系統審計有三大目標:安全性、可靠性和有效性。其中,系統安全性是指信息系統資源是否受到妥善保護,不因自然和人爲的因素而遭到破壞、更改或者泄露系統中的信息。系統可靠性包括三個方面的內涵:硬件、軟件和數據的可靠性。硬件的可靠性是指在一個指定的時間週期內,在給定的控制條件下,硬件系統執行所需功能的成功概率。軟件的可靠性是指在運行環境中,在規定的運行時間內或規定的運行次數下,程序和所有數據元素運行不同測試用例的無差錯概率。數據的可靠性是指數據的真實、準確和完整,它取決於系統對數據的處理過程是否準確無誤,以及確保數據可靠的控制措施是否有效。系統有效性也有三方而的內涵:一是指信息系統的處理過程是否符介國家法律和有關規章制度的要求(合規性);二是指信息系統是否能夠實現既定的業務目標(效益性);三是指系統的效率性即系統利用各種資源輸出用戶所需要信息的及時程度和運行速度。
三、信息系統審計準則國際經驗
目前,國際上影響力較大的信息系統審計準則有四個,分別是國際信息系統審計與控制協會(ISACA)、日本通產省信息系統審計標準,以及國際內部審計師協會(IIA)頒佈的全球技術審計指南和美國審計總署(GAO)頒佈的聯邦信息系統控制審計手冊。
(一)ISACA的信息系統審計準則體系1994年,電子數據審計師協會(EDPAA)更名爲ISACA協會,該協會是目前最有影響力的信息系統審計專業人員的國際性組織。它在全世界許多國家舉辦註冊信息系統審計師(CISA)考試,還制定和頒佈信息系統審計準則體系來規範和指導CISA工作。ISACA的信息系統審計準則體系由ISA標準、指南和程序三部分構成。信息系統審計標準是整體準則體系的總綱,是制定指南和程序的基礎。審計標準規定了審計章程、獨立性、職業道德和勝任能力,以及審計工作執行的基本行爲規範,是CISA執行審計業務必須遵循的標準,具有強制性。目前ISACA共頒佈了16條審計標準,42項審計指南,爲CISA執行審計業務中如何遵守審計標準提供指引,任何偏離指南的行爲必須有充分的理由,屬於“強烈推薦遵循”。審計程序是依據審計標準與審計指南制定的,爲CISA提供審計業務的程序與步驟,類似一種工作範例,並不強制要求。到目前爲止有效的ISA程序共有9 項。
(二)日本的信息系統審計準則日本通產省(METI)於1985年發佈了信息系統審計準則,1996年進行了修訂。該準則由一般標準、執行標準和報告標準三部分組成。一般標準描述了信息系統審計的目標、對象、人員和流程等。執行標準描述了信息系統審計的具體實施內容,強調系統審計師應關注信息系統規劃、開發到運行全生命週期各階段的風險。報告標準描述了信息系統審計結果的收集整理,以及根據審計結論應採取的措施。
(三)IIA的全球技術審計指南(GTAG) 國際內部審計師協會(IIA)的內部審計國際實務準則框架(IPPF)是內部審計規範體系的標杆。IIA非常重視信息系統審計,IPPF在“實務指南”層次用相當篇幅詳細規範了信息系統審計的內容與方法。自從2005年發佈第1號全球信息技術審計指南(GTAG)指南起至今,IIA已發佈了16項信息系統審計指南,內容涉及信息系統控制、應用控制審計、制訂IT審計計劃、IT項目審計和信息安全治理等等。
(四 )聯邦 信息系統控制審計手冊 (FISCAM)2009年美國審計總署(GAO)發佈了聯邦信息系統控制審計手冊(FISCAM),在該手冊的指導下,GAO每年還安排若干審計項目對政府部門信息系統控制進行審查評估。FISCAM的IT控制包括一般控制和應用控制。其中一般控制包括:實體安全控制、訪問控制、應用軟件開發和變更控制、職責分離控制、應急計劃;應用控制包括:應用級一般控制、輸入控制、處理控制、輸出控制、接口控制、數據管理系統控制。FISCAM對以上各類控制的審計程序與步驟進行了詳細說明。
ISACA作爲專門的信息系統審計與控制協會,建立了較爲完整的信息系統審計準則體系,它採用總分式分層體系,16項審計標準是總綱,自2005年發佈後基本保持穩定,而42項審計指南一半以上是新增或新修訂的,不斷更新的審計指南賦予了審計標準新的內涵與外延,審計程序則重在描述審計程序與步驟。日本通產省的審計準則採取一體化形式,整套準則的內容相當於ISACA的審計標準層次。
從準則具體內容上看,日本的信息系統審計師屬於計算機行業,其審計標準具有明顯信息技術特徵,主要規範了信息系統審計目標、審計對象、審計人員資質和審計方法,尤其詳細明確了信息系統規劃、開發和運行全過程的關鍵風險點;而ISACA的審計標準更多關注信息系統審計的審計特徵,主要規範審計權力責任、審計人員職業道德規範、審計計劃、審計證據、審計記錄、審計抽樣和審計報告等內容。ISACA協會的審計指南與IIA協會的GTAG指南的操作性程度不同,前者類似我國的具體準則,GTAG指南則圍繞不同的審計業務詳細描述審計工作思路,審計方法、技術與工具等。
從是否強制性要求來看,ISACA協會的準則體系中既包含強制性遵循的審計標準、強烈推薦遵循的審計指南和非強制性要求的審計程序,還包含ISACA制訂或編寫的出版物以支持實務工作。IIA協會的GTAG指南處於IPPF框架的實務指南層次,屬於強烈推薦遵循;美國審計總署GAO頒佈的FISACM是非強制性要求的手冊,用以指導實務工作。
四、我國信息系統審計準則現狀
我國目前頒佈的信息系統審計準則規範屈指可數,主要有審計署以實務公告形式頒佈的信息系統審計指南,中國內審協會發布的.信息系統審計具體準則。
(一)信息系統審計指南爲指導和規範國家審計機關組織開展信息系統審計,2012年,審計署發佈了《信息系統審計指南———計算機審計實務公告第34號》。該指南在借鑑國外信息系統審計指南的基礎上,結合國家審計機關依法審計的法定職能,以及我國目前信息系統審計實踐現狀,提出了包含應用控制審計、一般控制審計、項目管理審計3大塊的信息系統審計內容框架,重點描述了89項審計事項的審計要點。此外,審計署還在2013年出版了與該指南配套的《信息系統審計實務》,針對指南的各審計事項,分別描述了審計目標、審計程序、應取得的資料和常見錯弊與定性依據等。
(二)內部審計具體準則第28號———信息系統審計爲規範組織內部審計機構及人員開展信息系統審計活動,保證審計質量,中國內審協會頒佈了《內部審計具體準則第28號———信息系統審計》,自2009年1月1日起開始實施。該準則對信息系統審計的一般原則、信息技術風險評估、信息系統審計內容、信息系統審計方法,審計報告和後續工作共五個方面的內容進行了規定,明確提出信息系統審計包括對組織層面信息技術控制、信息技術一般性控制及業務流程層面相關應用控制的審計。
綜合來說,我國目前尚未建立信息系統審計行業協會,審計署發佈了信息系統審計指南,屬於非強制性要求,更高級別的強制性要求準則尚未發佈;內審協會的信息系統審計具體準則雖屬於強烈推薦遵循層次,但與IIA協會相比,其信息系統審計準則和相關指南還有極大的豐富與細化空間。總體來看,我國的信息系統審計準則體系缺少系統性與結構性,尚沒有建立完整的信息系統審計準則體系。目前,國家審計、社會審計和獨立審計都在各自業務領域內開展了一些信息系統審計實踐探索,但各界人士對信息系統審計的基本原則與規範還缺少共識,長此以往將給我國信息系統審計行業發展帶來混亂。
五、結論
信息系統審計準則是信息系統審計師共同遵循的標準,對促進我國信息系統審計行業發展具有重要意義。首先,從準則制定的社會背景來看,我國的社會信息化水平與美國、日本等國家存在客觀的差距,ISACA,IIA和FISCAM等準則指南均基於相對完善的內部控制(IT控制)環境,而我國政府部門、企事業單位的信息化建設正處於飛速發展時期,大部分被審單位的IT控制體系尚在建立之中,如果按照國外規範開展我國信息系統審計,過於理想化的審計意見建議很難得到認同。
第二,從準則的框架結構來說,ISACA,IIA和日本通產省的框架結構,不太符合中國人的理解習慣。ISACA採用的審計標準、指南和程序的三層框架結構,跟我國的內部審計準則體系,註冊會計師鑑證業務準則和國家審計準則採用的常用結構也不一樣,不太符合我國審計師的認知習慣。
第三,從準則的具體內容來看,由於我國信息系統審計方面的法律法規還非常不完善。目前只有信息系統安全方面頒佈了安全保護條例和強制性標準,IT運維服務、外包、信息資源開發利用,信息公開與政務服務等方面尚缺乏充分的審計依據。審計環境決定了我國信息系統審計準則在明確信息系統審計目標、規範信息系統審計內容等方面都需要充分考慮本土國情。但是,國外ISACA,IIA,FISACM等信息系統審計準則指南歷經20多年的發展,已形成相對成熟的體系,相關觀點已爲我國審計師熟識。而且,國家的信息系統審計準則需要在國際舞臺上相互交流與合作。
因此,制定我國信息系統審計準則需要遵循的重要原則是:堅持國際化與本土化相結合,既立足本土國情又實現國際接軌。本文借鑑ISACA,IIA和FISCAM等準則指南的優秀經驗,參照我國國家審計準則的體系框架,考慮信息系統審計新業務的不同特徵,嘗試提出如下圖1所示的中國信息系統審計準則體系框架。
該框架採用了審計準則、審計指南和實務手冊三層結構。審計準則是強制性要求,審計指南是強烈推薦遵循,實務手冊是非強制性要求。審計準則分成基本準則和具體準則兩層,基本準則可包括五塊內容,分別是總則、信息系統審計道德規範、信息系統審計作業準則、信息系統審計質量控制準則和附則。審計指南包括通用指南和專業指南兩類,如面向一般信息系統的通用指南,針對電子政務、電子商務和ERP系統的專業指南,或者體現行業信息系統特徵(如金融、通信行業)的專業指南等等。指南的內容框架可以採用一般控制和應用控制的基本框架,但在設計具體事項,或者明確審計內容重點時,應充分考慮我國企業或政府部門的信息化發展階段及當前法律環境。實務手冊是審計指南的具體化,詳細規範審計內容、審計程序、審計依據、審計技術方法和典型錯弊等相關知識點。實務手冊可根據審計指南來加以制定,也可以針對某類突出問題(如電子銀行、IT外包等)進行特別規範。
爲逐步完善我國信息系統審計準則體系,我們建議採取如下策略:首先,以審計署爲主導,協調整合中國註冊會計師協會、內審協會以及高校的相關專家資源,組建信息系統審計準則研究課題組和專家諮詢小組,激發信息系統審計職業界的積極討論與參與。其次,成立類似ISACA的中國信息系統審計行業協會專門機構,以信息系統審計職業化建設爲主線,組織修訂與持續完善信息系統審計準則體系;組織信息系統審計師職業教育,提升信息系統審計師職業素質;總結我國信息系統審計優秀經驗,積極開展與國外相關協會和政府機關之間的合作與交流。最後,人才是行業持續發展的源泉,也是準則規範有效實施的載體。建議增設我國信息系統審計師職業資格考試,明確我國信息系統審計師應具備的素質、知識與技能以及任職資格,既能保障準則規範的有效實施,也爲促進我國信息系統審計行業發展提供人才支撐。
參考文獻:
[1]張文秀:《國外信息系統審計規範、國家文化差異與制度移植》,《審計研究》2012年第5期。
[2]石愛中、周德銘、王智玉、楊蘊毅:《信息系統審計實務———中國計算機審計實務報告》,時代經濟出版社2012年版。
