隨着我國信息化資金投入量的逐年增加,加之不容樂觀的網絡安全與計算機疫情狀況,使得對信息系統審計需求增加,最終導致對信息系統審計準則需求的增加(李漢文、劉傑,2010)。我國現存較爲完整的信息系統審計規範爲《第2203號內部審計具體準則--信息系統審計》,該項內部審計具體準則的發佈,爲開展信息系統審計活動提供了依據。但該項內部審計準則不具備可操作性,沒有具體指導審計人員的指南或作業程序。我國也缺乏IT控制審計的審計指南,不能對審計人員的IT控制審計行爲提供指導(莊明來、陽傑,2009)。
在當前條件下,我國迫切需要建立一套完善的信息系統審計準則。鑑於此,本文對我國信息系統審計準則的構建進行探討,以期對我國信息系統審計準則體系的完善提供指導。
一、我國信息系統審計準則建設上的缺失
國外信息系統審計準則已經形成了一個完整的體系。截 止到2013年12月,信息系統審計與控制 協 會(ISACA)已經發布了16項基本準則、41項審計指南和11項作業程序,建立了信息系統審計基本準則指導信息系統審計指南和作業程序的準則體系,並制定和發佈了COBIT標準;而國際內審協會(IIA)也發佈了IT風險評估指南(GAIT)與全球技術審計指南(GTAG),以加深內部審計人員和管理層對於信息系統審計知識的瞭解。
同國外信息系統審計準則相比,我國審計準則在質量和數量方面都處於落後地位(如表1所示)。ISACA和IIA等機構所發佈的信息系統審計準則,不僅可以指導爲滿足財務審計需要的信息系統審計行爲,同樣也可以指導單一的信息系統審計行爲,這是有別於我國的。我國的信息系統審計準則主要爲滿足財務審計的需求,而不是單純針對單一的信息系統審計行爲。因此,我國信息系統審計準則處於制度供給不均衡的狀態(李漢文、劉傑,2010),制定與完善信息系統審計準則還有一段很長的路要走。
雖然中注協、中國內審協會與審計署沒有制定頒佈統一可操作的信息系統審計準則,但在信息系統審計實踐中卻存在着一些信息系統審計相關的操作規定,如審計署京津冀特派辦發佈的《信息系統審計操作規則》。該操作規則相比《第2203號內部審計具體準則--信息系統審計》而言,操作性更強,兩項規範在信息審計範圍、階段、方法、可操作性等方面存在差異(如表2所示)。
衆所周知,註冊會計師審計、內部審計和政府審計在信息系統審計對象方面並不存在巨大差異,三種類型的審計都可以運用相同的信息系統審計準則指導其審計活動,但《信息系統審計操作規則》與《第2203號內部審計具體準則--信息系統審計》卻存在着重大差異。這種情況的出現,表明我國信息系統審計準則的制定還處於起步階段,除國外的ISACA等機構的審計準則外,國內還沒有具有權威性的現成信息系統審計準則可供參考,各個機構與部門都依據自身情況和需求制定相關的信息系統審計準則。對信息系統審計的內容、範圍以及目標等方面業界認識比較一致,但在涉及準則制定時卻有不同的看法。我國起步伊始的信息系統審計制度體系,如果存在規範不一問題,勢必會使廣大審計人員無所適從,這無疑不利於我國信息系統審計的健康發展,同時表明,我國迫切需要一套完善的信息系統審計準則。
二、我國信息系統審計準則制定弊端
當前,我國所發佈的信息系統審計準則主要是圍繞財務審計工作開展的,發佈機構爲中注協、中國內部審計協會和國家審計署,而非專門的信息系統審計準則制定機構。發佈信息系統審計準則的目的在於更好地進行財務審計,而不是專門針對信息系統審計準則的。這種模式概括起來就是,以“財務審計”爲中心的信息系統審計準則制定模式。例如,《審計署關於計算機審計的暫行規定》規定,國家審計機關有權根據相關法律對計算機財務系統開展審計活動;《審計機關計算機輔助審計方法》規定,爲便於確定被審計單位使用計算機處理的信息對其財務收支的真實性、合法性是否會產生影響,被審計單位必須報送計算機應用系統開發的驗收報告、申請使用該系統的報告、與之配套的管理制度和措施以及計算機應用系統變動情況等資料;《審計法》更是從法律上明確了審計機關檢查財政財務收支信息系統的權力;《第2203號內部審計具體準則--信息系統審計》雖然從內容上來看是針對信息系統審計的,但其依據的基本準則爲《內部審計基本準則》,財務審計是內部審計的主要內容,這也沒有完全擺脫以“財務審計”爲中心的信息系統審計準則制定模式。
這種以“財務審計”爲中心的信息系統審計準則制定模式,準則或規範的發佈主要是考慮信息技術已經影響到財務報告生產過程,爲了更好地進行財務審計,而不是單純地爲制定信息系統審計準則。信息化的飛速發展使得非財務信息系統的審計變得日益重要,其重要程度在某些領域上已經超過財務信息系統的審計。我國信息系統審計準則的制定與發佈不能僅僅圍繞財務審計,這樣會制約信息系統審計行爲的開展。
信息系統不僅僅是輸出財務報告的會計信息系統,信息系統審計所涵蓋的內容包括內部控制審計、系統生命週期審計、信息系統軟硬件審計、安全審計和信息系統績效審計等。如果信息系統審計準則的制定僅僅是爲了更好地進行財務審計,那麼當系統生命週期審計、信息系統軟硬件審計、安全審計以及信息系統績效審計等提上議事日程時,現有的信息系統審計準則就遠遠不能起到引導和約束信息系統審計行爲的作用。
而在國外,ISACA這樣的機構專門制定信息系統審計準則,當面對服務於財務審計之外的信息系統審計時,ISACA有相應的審計準則、指南與程序用以引導和約束信息系統審計人員的審計行爲。如美國審計署在對聯邦存款保險計算機病毒保護程序進行審計時,ISACA所發佈的審計程序病毒及其他惡意代碼(P4)審計程序可以爲其提供依據。在我國,信息系統審計準則制定的原動力來自於財務審計的需要。當面臨其他類型的信息系統審計時,審計人員往往陷入不知所措的困境。因此,要使我國的信息系統審計準則縮短與國外先進的信息系統審計準則的差距,就必須擺脫爲以“財務審計”爲中心的信息系統審計準則制定模式。
三、我國信息系統審計準則的構建
信息系統審計規範包括正式制度安排和非正式制度安排,其中正式制度安排包括信息系統審計職業道德規範、信息系統審計準則和其他相關規範(劉傑,2012)。本文所指的信息系統審計準則構建,只是正式制度安排的一部分,不包括審計職業道德規範和其他相關規範的構建。對於信息系統審計準則的構建,不僅要考慮信息系統審計準則制定內容,還要考慮信息系統審計準則制定的框架、模式和發佈時間等。總體來講,在信息系統審計準則制定的策略方面,我們應立足中國的現實,考慮國家文化特點(張文秀,2012),借鑑ISACA信息系統審計準則的先進經驗,不再以“財務審計”爲中心,重新建立起以“信息系統審計”爲中心的準則制定模式。
(一)信息系統審計準則的框架
信息系統審計準則是“以管理爲核心,法律法規爲保障,技術爲支撐”的信息系統審計框架體系。信息系統審計準則是一個規範的管理框架,把信息系統審計人員和被審計單位各自的權利、義務和責任等納入管理框架內,解決各方因爲職責不明確而影響信息系統審計質量的問題。由此可知,信息系統審計準則不僅可以使信息系統審計走上法制化、規範化的道路,同時有助於提升信息系統審計工作的質量,爲政府或企事業單位的信息系統運行質量提供合理保證。信息系統審計準則的框架應合理滿足上述要求,否則,審計準則的制定與發佈將失去其意義。
在信息系統審計準則的體系結構上,我國可以借鑑ISACA的審計準則體系結構,即採用基本準則、審計指南與作業程序的結構。該體系結構是一個相對成熟的體系結構,既反映了ISACA對信息系統審計理論研究與實務研究的成果,又反映了ISACA信息系統審計準則制定的經驗。採用基本準則、審計指南和作業程序的體系結構,體現了概念統一、前後有序和科學完整的特徵(陳婉玲、楊文傑,2006)。在制定信息系統審計準則時,國內相關準則制定機構沒有必要另外開發信息系統審計準則的體系結構,可以借鑑ISACA的先進經驗,以基本準則爲核心,開發適合我國國情的信息系統審計指南或信息系統審計作業程序。這種三層次的體系結構既考慮了信息系統審計準則體系的完整性、前瞻性,又考慮了審計準則體系的靈活性,可以爲審計指南或作業程序中未規定的行爲提供指導。
(二)信息系統審計準則的制定模式
在信息系統審計準則的發展策略方面 ,王會金(2012)認爲,我國應借鑑國外成熟的信息系統審計準則,結合我國國情構建信息系統審計準則。對於信息系統審計準則制定模式的選擇,國內信息系統審計準則制定機構也應當借鑑國外成熟信息系統審計準則制定的經驗,擺脫以“財務審計”爲中心的制定模式,轉換爲以“信息系統審計”爲中心的制定模式。採用這種模式有利於建立全面、系統和完整的信息系統審計準則體系。
但信息系統審計準則制定模式的轉換,需要整合中注協、中國內部審計協會和審計署的審計準則制定資源(劉傑、黃忠莉,2013),建立專門的信息系統審計準則制定機構。這主要是考慮到中注協、中國內部審計協會和審計署制定準則的主要目的在於指導財務審計活動,讓其引領信息系統審計準則的制定會在一定程度上影響信息系統審計準則體系的構建,信息系統審計準則的制定也不能擺脫以“財務審計”爲中心的模式。這同我國信息化飛速發展的速度是不相適應的。因此,筆者認爲,建立以“信息系統審計”爲中心的準則制定模式,需要成立專門的信息系統審計準則制定機構。
(三)信息系統審計準則的具體內容
信息系統審計準則包括民間審計準則、內部審計準則和政府審計準則。國外針對政府信息系統審計制定了專門的信息系統審計準則或規範,如美國審計總署(GAO)就制定了專門的《聯邦信息系統控制審計手冊》,這在信息系統審計準則制定資源相對富裕的情況下,是很有必要的。但由於我國當前信息系統審計準則制定資源相對短缺,因此應首先立足於制定針對民間審計的信息系統審計準則,內部信息系統審計和政府信息系統審計可以參照執行。這主要是考慮到信息系統審計在國家審計、內部審計以及註冊會計師審計中不會存在顯着的差異(劉傑、黃忠莉,2013)。
1.信息系統審計準則的總體規劃。在準則制定的內容方面,國內外學者存在兩種觀點:①按照審計工作流程制定信息系統審計準則,即圍繞審計計劃、審計實施、審計報告和後續審計四個階段規劃信息系統審計準則;②按照審計任務制定信息系統審計準則,即圍繞內部控制評價、信息系統開發和信息系統功能等規劃信息系統審計準則的內容。
兩種觀點相比較而言,第一種觀點更具有普遍適用性,準則的制定可以適應信息技術的飛速發展,而第二種觀點要求準則制定面面俱到,不能有盲區出現。按照摩爾定律,集成電路板上可容納的晶體管數目約每隔18個月便會增加一倍,性能也將提升一倍。在第二種觀點下,現代信息技術的飛速發展可能會導致信息系統審計準則落後於審計實務,當審計人員面臨新的信息系統問題或情況時可能會處於無所適從的狀態。而按照審計工作流程制定的信息系統審計準則具有結構清晰與可擴展性強等特徵。當信息系統審計準則落後於審計實務時,審計人員同樣可根據基本準則以及對基本準則解析的審計指南執行審計工作。
綜上對信息系統審計準則內容規劃的論述可知,按審計工作流程規劃信息系統審計準則的內容,是當前條件下信息系統審計準則制定的現實選擇。
2.信息系統審計準則內容的具體規劃。其應當包括基本準則、審計指南和作業程序三個組成部分。基本準則是審計指南和作業程序的基礎,審計指南與作業程序的制定與發佈應當符合基本準則的相關規定。
(1)信息系統審計基本準則應在借鑑ISACA基本準則內容的基礎上,根據我國的國情進行規劃。基本準則的內容應力求全面、完整地體現審計理論的基本內容,對審計章程、信息系統審計業務承接以及審計業務三方關係、審計評價標準、審計本質、審計目標、審計假設、審計計劃、審計工作的實施、審計報告、後續工作和審計質量控制準則等進行規範與解釋。上述內容涉及對基礎概念的解釋,這些基礎概念的清晰度直接關係到信息系統審計目標的實現。若在信息系統審計基本準則中對這些基礎概念界定不清晰,則可能會將信息系統審計引入誤區。例如,部分審計機關及審計人員將信息系統審計的目標理解爲查錯糾弊,則對信息系統審計的理解也只能停留在計算機輔助審計層次上,不能針對信息系統進行審計。
審計理論或信息系統審計理論主要是用於指導、評估和發展信息系統審計準則、指南和審計程序。信息系統審計基本準則是準則的準則,是對審計理論或信息系統審計理論的全面反映,若將審計理論的內容排除在基本準則之外,信息系統審計指南和作業程序的制定將缺乏理論指導,飛速發展的信息技術也很可能使審計人員在面臨嶄新問題時陷入盲目的境地。因此,在信息系統審計基本準則中,應全面、完整地體現信息系統審計的.定義、本質、目標和假設、審計程序、審計報告等,使其成爲信息系統審計準則體系不可分割的組成部分。此外,在信息系統審計基本準則中,我國應對信息系統審計的評價標準進行規範。在審計和評價標準的選擇方面,我國一方面可以結合本國文化特點和制度差異等移植ISACA的CO-BIT標準,另一方面可以開發適合我國國情的信息系統審計和評價標準。
(2)信息系統審計指南的具體內容分爲兩個層次,第一個層次是對信息系統審計基本準則的解釋,第二個層次是信息系統審計的具體評審指南(如下圖所示)。
在信息系統審計指南的具體內容方面,我國的信息系統審計指南應當與ISACA所發佈的審計指南保持基本一致,其最主要的區別在於信息系統基本審計準則的解釋指南方面。在基本準則部分,筆者強調,應全面、完整地體現信息系統審計的定義、本質、目標和假設、審計程序、審計報告等內容,因此,在審計指南中也應有相關的解釋指南。在信息系統審計指南方面,需要特別強調的是,ISACA在2010年發佈了《信息系統審計指南第41號--安全投資收益評審》,這表明ISACA已經開始關注信息系統投資績效的審計問題。隨着我國經濟的發展,企業或政府在信息化資金方面的投入呈現不斷增長的趨勢。在此背景下,企業不得不應對如何科學、準確、公正地評價企業的信息系統效率、效益和效果以及軟硬件資產的保護問題。因此,信息系統的具體評審指南,應注重發佈對信息系統投資收益評審與信息系統軟硬件評審的相關指南。
(3)信息系統審計的作業程序不具有強制性,只是對審計實踐中的網絡入侵檢測、防火牆、數字簽名、電子資金轉賬等特殊問題提供指導性意見。截至2013年4月,ISACA已經發布了11項作業程序,這11項作業程序主要是關於信息系統風險管控與安全問題的作業程序。我國可以對比這11項作業程序制定與發佈同我國國情相適應的審計作業程序。同時,隨着企業對知識管理能力重視程度的提高,對企業知識管理能力評估的作業程序也應當成爲信息系統審計作業程序的重要組成部分,以指導企業對自我知識管理能力的評估。
3.信息系統審計準則制定需要注意的問題。信息系統審計準則的制定是一項龐大的系統工程,對於每一項基本準則、審計指南和審計程序具體內容的制定,都應當立足國情、廣開言路,發揮審計準則制定機構、信息系統審計實踐部門以及其他各方力量的作用,加強各方的溝通與協調工作,積極聽取各方意見,尤其要注重吸收信息系統審計實踐部門的意見。
在基本準則、審計指南與作業程序的各項具體內容上,除參考IIA與ISACA的審計準則之外,也應當積極借鑑我國現存的信息系統審計準則或規範,一些成熟的信息系統審計實踐準則或規範可以在修訂的基礎上由信息系統審計準則制定機構發佈。如審計署京津冀特派辦發佈的《信息系統審計操作規則》,該規則對信息系統審計階段以及每個階段的審計內容、步驟及方法等都做了深入、詳細的規定。雖然該操作規則主要是針對檢測信息系統的內部控制問題,而內部控制審計僅僅是信息系統審計的一個重要組成部分,因此該操作規則不能稱爲完整意義上的信息系統審計準則,但該操作規則對我國信息系統內部控制審計準則的構建具有重要的借鑑意義。這些信息系統審計準則或規範來源於我國信息系統審計實踐,符合我國國情,因此應當予以借鑑。
(四)信息系統審計準則的制定與發佈
1.信息系統審計準則制定與發佈的規劃。信息系統審計準則的制定、發佈可以參照ISACA的做法:首先制定與發佈基本準則,然後在基本準則的基礎上,有計劃、有步驟地制定審計指南和作業程序,按照信息系統審計實踐需求的輕重緩急制定審計準則,準則的制定與發佈採用“完成一項、發佈一項、實施一項”的方式(陳婉玲、楊文傑,2006)。
ISACA基本準則的雛形在1997年就已經制定併發布。2005年隨着審計指南與作業程序的制定與發佈,ISACA將1997年發佈的信息系統審計準則拆分成八項,並對基本準則的內容進行了修訂,2005年9月以後發佈了相關的補充準則以彌補前面八項準則的不足。
審計指南是根據基本準則制定的,因此ISACA發佈的信息系統審計指南在時間上晚於基本準則,第1號審計指南的發佈時間爲1998年1月1日,生效日期爲1998年6月1日。截止到2003年1月1日生效的前20項審計指南基本上都屬於審計指南的第一個層次,即對信息系統審計的基本準則進行解釋,這些審計指南也事關信息系統審計流程,是信息系統審計實踐急需的,因此,ISACA首先致力於與信息系統審計流程相關或實踐急需的基本準則與審計指南的制定與發佈。
隨着B2C電子商務、ERP系統、網上銀行、計算機信息系統、互聯網的廣泛運用以及企業業務流程再造的開展,ISACA陸續制定與發佈了B2C電子商務審覈、企業資源計劃系評審計、網上銀行、系統開發生命週期審覈、虛擬專用網絡評審、企業流程再造項目審覈等具體項目審計指南。同時,爲彌補前面所發佈的審計指南在後續審計、責任、權利和義務、保密以及審計方法等方面的不足,ISACA也根據信息系統審計實踐,修訂和發佈了相關指南。
在ISACA所發佈的作業程序方面,第1號作業程序的生效時間相對更晚,這主要是考慮到作業程序需要基本審計準則與審計指南應用於實踐之後,從信息系統審計實踐中進行提煉。
由此可見,ISACA信息系統審計準則的發佈是根據先基本準則,後審計指南,最後纔是作業程序的順序來進行的。而在基本準則與審計指南中,先發布信息系統審計實踐急需的規範,再發布具體項目的信息系統審計指南以及基本準則的補充準則。
2.信息系統審計準則制定與發佈應注意的問題。在信息系統審計準則制定方面,我國沒有現成的經驗可供借鑑,且信息系統審計準則制定資源短缺(劉傑、黃忠莉,2013),所發佈的基本準則或審計指南可能存在諸多不足之處,但並不影響信息系統審計基本準則的發佈。準則制定機構隨後可以根據審計實踐的調查與反饋,採用補充準則的方式對基本準則加以完善。
在信息系統審計指南方面,制定有關審計工作流程方面的指南也是當務之急,即制定與發佈利用其他審計人員的成果、審計取證、信息系統業務外包情況下的審計、審計業務承接、信息系統審計中的重要性概念、審計文檔、審計抽樣、信息系統控制的效果、審計計劃中風險評估的運用、應用系統評審、審計計劃修訂、第三方對信息系統控制的影響、標準、IT治理、審計報告以及後續審計等審計指南。
在具體項目的信息系統審計指南方面,準則制定機構應加強與實踐機構或部門的溝通,調查當前急需的信息系統審計指南,對急需的審計指南首先制定與發佈。例如,有關電子商務評審的審計指南,隨着2005年《電子商務簽名法》的發佈以及電子商務在企業中的廣泛應用,中注協制定了《中國註冊會計師審計準則第1633號--電子商務對財務報表審計的影響》。該準則指出:註冊會計師按照本準則的規定對電子商務進行考慮,旨在對財務報表形成審計意見,而非對電子商務系統或活動本身提出鑑證結論或諮詢意見。該準則與ISACA發佈的第22號審計指南存在着巨大差距。在《B2C電子商務評審》中,ISACA對B2C電子商務評審問題進行了深入、詳細的闡述。我國應當結合審計實踐儘早制定B2C電子商務評審等相關審計指南。
至於作業程序的制定與發佈,準則制定機構應當加強對信息系統審計實踐的調查研究,作業程序的內容應當借鑑國內信息系統審計實踐中成熟的審計操作規則,而不是完全照搬、照抄ISACA的信息系統審計作業程序,對當前審計實踐急需的作業程序先制定、先發布。
綜上對信息系統審計準則制定模式、具體內容以及制定與發佈等問題的論述,準則制定機構應當立足於我國國情,謹慎對待信息系統審計準則制定過程中出現的方方面面問題,這樣才能制定出符合我國國情的信息系統審計準則。
主要參考文獻
1.王會金。論信息系統審計準則在我國的需求與發展。南京審計學院學報,2012;11
2.張文秀。國外信息系統審計規範、國家文化差異與制度移植。審計研究,2012;5
3.劉傑,信息系統審計準則的制度形成機制與體系結構。財會月刊,2012;3
4.劉傑,黃忠莉。我國信息系統審計準則制定的組織際資源整合。財會月刊,2013;7
5.李漢文,劉傑。我國信息系統審計規範的非均衡性研究。財會月刊,2010;4
6.應明來,陽傑。美國IT控制的審計規範體系解讀與啓示。經濟管理,2009;11
