2014年 第 17 期
总第 693 期
财会月刊(上)
审计园地
我国信息系统审计准则构建研究

作  者
刘 杰(博士)

作者单位
(贵州财经大学会计学院 贵阳 550025)

摘  要

      【摘要】本文首先对我国信息系统审计准则的现状进行深入剖析,然后提出信息系统审计准则制定的弊端,最后对信息系统审计准则框架、制定模式、制定内容以及发布等问题进行探讨,并提出相关政策建议。
【关键词】信息系统审计准则   框架   制定   发布

随着我国信息化资金投入量的逐年增加,加之不容乐观的网络安全与计算机疫情状况,使得对信息系统审计需求增加,最终导致对信息系统审计准则需求的增加(李汉文、刘杰,2010)。我国现存较为完整的信息系统审计规范为《第2203号内部审计具体准则——信息系统审计》,该项内部审计具体准则的发布,为开展信息系统审计活动提供了依据。但该项内部审计准则不具备可操作性,没有具体指导审计人员的指南或作业程序。我国也缺乏IT控制审计的审计指南,不能对审计人员的IT控制审计行为提供指导(庄明来、阳杰,2009)。
在当前条件下,我国迫切需要建立一套完善的信息系统审计准则。鉴于此,本文对我国信息系统审计准则的构建进行探讨,以期对我国信息系统审计准则体系的完善提供指导。
一、我国信息系统审计准则建设上的缺失
国外信息系统审计准则已经形成了一个完整的体系。截止到2013年12月,信息系统审计与控制协会(ISACA)已经发布了16项基本准则、41项审计指南和11项作业程序,建立了信息系统审计基本准则指导信息系统审计指南和作业程序的准则体系,并制定和发布了COBIT标准;而国际内审协会(IIA)也发布了IT风险评估指南(GAIT)与全球技术审计指南(GTAG),以加深内部审计人员和管理层对于信息系统审计知识的了解。
同国外信息系统审计准则相比,我国审计准则在质量和数量方面都处于落后地位(如表1所示)。ISACA和IIA等机构所发布的信息系统审计准则,不仅可以指导为满足财务审计需要的信息系统审计行为,同样也可以指导单一的信息系统审计行为,这是有别于我国的。我国的信息系统审计准则主要为满足财务审计的需求,而不是单纯针对单一的信息系统审计行为。因此,我国信息系统审计准则处于制度供给不均衡的状态(李汉文、刘杰,2010),制定与完善信息系统审计准则还有一段很长的路要走。

 

 

 

 

 

 

 

 

 

 

 


虽然中注协、中国内审协会与审计署没有制定颁布统一可操作的信息系统审计准则,但在信息系统审计实践中却存在着一些信息系统审计相关的操作规定,如审计署京津冀特派办发布的《信息系统审计操作规则》。该操作规则相比《第2203号内部审计具体准则——信息系统审计》而言,操作性更强,两项规范在信息审计范围、阶段、方法、可操作性等方面存在差异(如表2所示)。

 

 

 

 

 

众所周知,注册会计师审计、内部审计和政府审计在信息系统审计对象方面并不存在巨大差异,三种类型的审计都可以运用相同的信息系统审计准则指导其审计活动,但《信息系统审计操作规则》与《第2203号内部审计具体准则——信息系统审计》却存在着重大差异。这种情况的出现,表明我国信息系统审计准则的制定还处于起步阶段,除国外的ISACA等机构的审计准则外,国内还没有具有权威性的现成信息系统审计准则可供参考,各个机构与部门都依据自身情况和需求制定相关的信息系统审计准则。对信息系统审计的内容、范围以及目标等方面业界认识比较一致,但在涉及准则制定时却有不同的看法。我国起步伊始的信息系统审计制度体系,如果存在规范不一问题,势必会使广大审计人员无所适从,这无疑不利于我国信息系统审计的健康发展,同时表明,我国迫切需要一套完善的信息系统审计准则。
二、我国信息系统审计准则制定弊端
当前,我国所发布的信息系统审计准则主要是围绕财务审计工作开展的,发布机构为中注协、中国内部审计协会和国家审计署,而非专门的信息系统审计准则制定机构。发布信息系统审计准则的目的在于更好地进行财务审计,而不是专门针对信息系统审计准则的。这种模式概括起来就是,以“财务审计”为中心的信息系统审计准则制定模式。例如,《审计署关于计算机审计的暂行规定》规定,国家审计机关有权根据相关法律对计算机财务系统开展审计活动;《审计机关计算机辅助审计方法》规定,为便于确定被审计单位使用计算机处理的信息对其财务收支的真实性、合法性是否会产生影响,被审计单位必须报送计算机应用系统开发的验收报告、申请使用该系统的报告、与之配套的管理制度和措施以及计算机应用系统变动情况等资料;《审计法》更是从法律上明确了审计机关检查财政财务收支信息系统的权力;《第2203号内部审计具体准则——信息系统审计》虽然从内容上来看是针对信息系统审计的,但其依据的基本准则为《内部审计基本准则》,财务审计是内部审计的主要内容,这也没有完全摆脱以“财务审计”为中心的信息系统审计准则制定模式。
这种以“财务审计”为中心的信息系统审计准则制定模式,准则或规范的发布主要是考虑信息技术已经影响到财务报告生产过程,为了更好地进行财务审计,而不是单纯地为制定信息系统审计准则。信息化的飞速发展使得非财务信息系统的审计变得日益重要,其重要程度在某些领域上已经超过财务信息系统的审计。我国信息系统审计准则的制定与发布不能仅仅围绕财务审计,这样会制约信息系统审计行为的开展。
信息系统不仅仅是输出财务报告的会计信息系统,信息系统审计所涵盖的内容包括内部控制审计、系统生命周期审计、信息系统软硬件审计、安全审计和信息系统绩效审计等。如果信息系统审计准则的制定仅仅是为了更好地进行财务审计,那么当系统生命周期审计、信息系统软硬件审计、安全审计以及信息系统绩效审计等提上议事日程时,现有的信息系统审计准则就远远不能起到引导和约束信息系统审计行为的作用。
而在国外,ISACA这样的机构专门制定信息系统审计准则,当面对服务于财务审计之外的信息系统审计时,ISACA有相应的审计准则、指南与程序用以引导和约束信息系统审计人员的审计行为。如美国审计署在对联邦存款保险计算机病毒保护程序进行审计时,ISACA所发布的审计程序病毒及其他恶意代码(P4)审计程序可以为其提供依据。在我国,信息系统审计准则制定的原动力来自于财务审计的需要。当面临其他类型的信息系统审计时,审计人员往往陷入不知所措的困境。因此,要使我国的信息系统审计准则缩短与国外先进的信息系统审计准则的差距,就必须摆脱为以“财务审计”为中心的信息系统审计准则制定模式。
三、我国信息系统审计准则的构建
信息系统审计规范包括正式制度安排和非正式制度安排,其中正式制度安排包括信息系统审计职业道德规范、信息系统审计准则和其他相关规范(刘杰,2012)。本文所指的信息系统审计准则构建,只是正式制度安排的一部分,不包括审计职业道德规范和其他相关规范的构建。对于信息系统审计准则的构建,不仅要考虑信息系统审计准则制定内容,还要考虑信息系统审计准则制定的框架、模式和发布时间等。总体来讲,在信息系统审计准则制定的策略方面,我们应立足中国的现实,考虑国家文化特点(张文秀,2012),借鉴ISACA信息系统审计准则的先进经验,不再以“财务审计”为中心,重新建立起以“信息系统审计”为中心的准则制定模式。(一)信息系统审计准则的框架
信息系统审计准则是“以管理为核心,法律法规为保障,技术为支撑”的信息系统审计框架体系。信息系统审计准则是一个规范的管理框架,把信息系统审计人员和被审计单位各自的权利、义务和责任等纳入管理框架内,解决各方因为职责不明确而影响信息系统审计质量的问题。由此可知,信息系统审计准则不仅可以使信息系统审计走上法制化、规范化的道路,同时有助于提升信息系统审计工作的质量,为政府或企事业单位的信息系统运行质量提供合理保证。信息系统审计准则的框架应合理满足上述要求,否则,审计准则的制定与发布将失去其意义。
在信息系统审计准则的体系结构上,我国可以借鉴ISACA的审计准则体系结构,即采用基本准则、审计指南与作业程序的结构。该体系结构是一个相对成熟的体系结构,既反映了ISACA对信息系统审计理论研究与实务研究的成果,又反映了ISACA信息系统审计准则制定的经验。采用基本准则、审计指南和作业程序的体系结构,体现了概念统一、前后有序和科学完整的特征(陈婉玲、杨文杰,2006)。在制定信息系统审计准则时,国内相关准则制定机构没有必要另外开发信息系统审计准则的体系结构,可以借鉴ISACA的先进经验,以基本准则为核心,开发适合我国国情的信息系统审计指南或信息系统审计作业程序。这种三层次的体系结构既考虑了信息系统审计准则体系的完整性、前瞻性,又考虑了审计准则体系的灵活性,可以为审计指南或作业程序中未规定的行为提供指导。
(二)信息系统审计准则的制定模式
在信息系统审计准则的发展策略方面,王会金(2012)认为,我国应借鉴国外成熟的信息系统审计准则,结合我国国情构建信息系统审计准则。对于信息系统审计准则制定模式的选择,国内信息系统审计准则制定机构也应当借鉴国外成熟信息系统审计准则制定的经验,摆脱以“财务审计”为中心的制定模式,转换为以“信息系统审计”为中心的制定模式。采用这种模式有利于建立全面、系统和完整的信息系统审计准则体系。
但信息系统审计准则制定模式的转换,需要整合中注协、中国内部审计协会和审计署的审计准则制定资源(刘杰、黄忠莉,2013),建立专门的信息系统审计准则制定机构。这主要是考虑到中注协、中国内部审计协会和审计署制定准则的主要目的在于指导财务审计活动,让其引领信息系统审计准则的制定会在一定程度上影响信息系统审计准则体系的构建,信息系统审计准则的制定也不能摆脱以“财务审计”为中心的模式。这同我国信息化飞速发展的速度是不相适应的。因此,笔者认为,建立以“信息系统审计”为中心的准则制定模式,需要成立专门的信息系统审计准则制定机构。
(三)信息系统审计准则的具体内容
信息系统审计准则包括民间审计准则、内部审计准则和政府审计准则。国外针对政府信息系统审计制定了专门的信息系统审计准则或规范,如美国审计总署(GAO)就制定了专门的《联邦信息系统控制审计手册》,这在信息系统审计准则制定资源相对富裕的情况下,是很有必要的。但由于我国当前信息系统审计准则制定资源相对短缺,因此应首先立足于制定针对民间审计的信息系统审计准则,内部信息系统审计和政府信息系统审计可以参照执行。这主要是考虑到信息系统审计在国家审计、内部审计以及注册会计师审计中不会存在显著的差异(刘杰、黄忠莉,2013)。
1. 信息系统审计准则的总体规划。在准则制定的内容方面,国内外学者存在两种观点:①按照审计工作流程制定信息系统审计准则,即围绕审计计划、审计实施、审计报告和后续审计四个阶段规划信息系统审计准则;②按照审计任务制定信息系统审计准则,即围绕内部控制评价、信息系统开发和信息系统功能等规划信息系统审计准则的内容。
两种观点相比较而言,第一种观点更具有普遍适用性,准则的制定可以适应信息技术的飞速发展,而第二种观点要求准则制定面面俱到,不能有盲区出现。按照摩尔定律,集成电路板上可容纳的晶体管数目约每隔18个月便会增加一倍,性能也将提升一倍。在第二种观点下,现代信息技术的飞速发展可能会导致信息系统审计准则落后于审计实务,当审计人员面临新的信息系统问题或情况时可能会处于无所适从的状态。而按照审计工作流程制定的信息系统审计准则具有结构清晰与可扩展性强等特征。当信息系统审计准则落后于审计实务时,审计人员同样可根据基本准则以及对基本准则解析的审计指南执行审计工作。
综上对信息系统审计准则内容规划的论述可知,按审计工作流程规划信息系统审计准则的内容,是当前条件下信息系统审计准则制定的现实选择。
2. 信息系统审计准则内容的具体规划。其应当包括基本准则、审计指南和作业程序三个组成部分。基本准则是审计指南和作业程序的基础,审计指南与作业程序的制定与发布应当符合基本准则的相关规定。
(1)信息系统审计基本准则应在借鉴ISACA基本准则内容的基础上,根据我国的国情进行规划。基本准则的内容应力求全面、完整地体现审计理论的基本内容,对审计章程、信息系统审计业务承接以及审计业务三方关系、审计评价标准、审计本质、审计目标、审计假设、审计计划、审计工作的实施、审计报告、后续工作和审计质量控制准则等进行规范与解释。上述内容涉及对基础概念的解释,这些基础概念的清晰度直接关系到信息系统审计目标的实现。若在信息系统审计基本准则中对这些基础概念界定不清晰,则可能会将信息系统审计引入误区。例如,部分审计机关及审计人员将信息系统审计的目标理解为查错纠弊,则对信息系统审计的理解也只能停留在计算机辅助审计层次上,不能针对信息系统进行审计。
审计理论或信息系统审计理论主要是用于指导、评估和发展信息系统审计准则、指南和审计程序。信息系统审计基本准则是准则的准则,是对审计理论或信息系统审计理论的全面反映,若将审计理论的内容排除在基本准则之外,信息系统审计指南和作业程序的制定将缺乏理论指导,飞速发展的信息技术也很可能使审计人员在面临崭新问题时陷入盲目的境地。因此,在信息系统审计基本准则中,应全面、完整地体现信息系统审计的定义、本质、目标和假设、审计程序、审计报告等,使其成为信息系统审计准则体系不可分割的组成部分。此外,在信息系统审计基本准则中,我国应对信息系统审计的评价标准进行规范。在审计和评价标准的选择方面,我国一方面可以结合本国文化特点和制度差异等移植ISACA的COBIT标准,另一方面可以开发适合我国国情的信息系统审计和评价标准。
(2)信息系统审计指南的具体内容分为两个层次,第一个层次是对信息系统审计基本准则的解释,第二个层次是信息系统审计的具体评审指南(如下图所示)。

 

 

 

 

 

在信息系统审计指南的具体内容方面,我国的信息系统审计指南应当与ISACA所发布的审计指南保持基本一致,其最主要的区别在于信息系统基本审计准则的解释指南方面。在基本准则部分,笔者强调,应全面、完整地体现信息系统审计的定义、本质、目标和假设、审计程序、审计报告等内容,因此,在审计指南中也应有相关的解释指南。在信息系统审计指南方面,需要特别强调的是,ISACA在2010年发布了《信息系统审计指南第41号——安全投资收益评审》,这表明ISACA已经开始关注信息系统投资绩效的审计问题。随着我国经济的发展,企业或政府在信息化资金方面的投入呈现不断增长的趋势。在此背景下,企业不得不应对如何科学、准确、公正地评价企业的信息系统效率、效益和效果以及软硬件资产的保护问题。因此,信息系统的具体评审指南,应注重发布对信息系统投资收益评审与信息系统软硬件评审的相关指南。
(3)信息系统审计的作业程序不具有强制性,只是对审计实践中的网络入侵检测、防火墙、数字签名、电子资金转账等特殊问题提供指导性意见。截至2013年4月,ISACA已经发布了11项作业程序,这11项作业程序主要是关于信息系统风险管控与安全问题的作业程序。我国可以对比这11项作业程序制定与发布同我国国情相适应的审计作业程序。同时,随着企业对知识管理能力重视程度的提高,对企业知识管理能力评估的作业程序也应当成为信息系统审计作业程序的重要组成部分,以指导企业对自我知识管理能力的评估。
3. 信息系统审计准则制定需要注意的问题。信息系统审计准则的制定是一项庞大的系统工程,对于每一项基本准则、审计指南和审计程序具体内容的制定,都应当立足国情、广开言路,发挥审计准则制定机构、信息系统审计实践部门以及其他各方力量的作用,加强各方的沟通与协调工作,积极听取各方意见,尤其要注重吸收信息系统审计实践部门的意见。
在基本准则、审计指南与作业程序的各项具体内容上,除参考IIA与ISACA的审计准则之外,也应当积极借鉴我国现存的信息系统审计准则或规范,一些成熟的信息系统审计实践准则或规范可以在修订的基础上由信息系统审计准则制定机构发布。如审计署京津冀特派办发布的《信息系统审计操作规则》,该规则对信息系统审计阶段以及每个阶段的审计内容、步骤及方法等都做了深入、详细的规定。虽然该操作规则主要是针对检测信息系统的内部控制问题,而内部控制审计仅仅是信息系统审计的一个重要组成部分,因此该操作规则不能称为完整意义上的信息系统审计准则,但该操作规则对我国信息系统内部控制审计准则的构建具有重要的借鉴意义。这些信息系统审计准则或规范来源于我国信息系统审计实践,符合我国国情,因此应当予以借鉴。
(四)信息系统审计准则的制定与发布
1. 信息系统审计准则制定与发布的规划。信息系统审计准则的制定、发布可以参照ISACA的做法:首先制定与发布基本准则,然后在基本准则的基础上,有计划、有步骤地制定审计指南和作业程序,按照信息系统审计实践需求的轻重缓急制定审计准则,准则的制定与发布采用“完成一项、发布一项、实施一项”的方式(陈婉玲、杨文杰,2006)。
ISACA基本准则的雏形在1997年就已经制定并发布。2005年随着审计指南与作业程序的制定与发布,ISACA将1997年发布的信息系统审计准则拆分成八项,并对基本准则的内容进行了修订,2005年9月以后发布了相关的补充准则以弥补前面八项准则的不足。
审计指南是根据基本准则制定的,因此ISACA发布的信息系统审计指南在时间上晚于基本准则,第1号审计指南的发布时间为1998年1月1日,生效日期为1998年6月1日。截止到2003年1月1日生效的前20项审计指南基本上都属于审计指南的第一个层次,即对信息系统审计的基本准则进行解释,这些审计指南也事关信息系统审计流程,是信息系统审计实践急需的,因此,ISACA首先致力于与信息系统审计流程相关或实践急需的基本准则与审计指南的制定与发布。
随着B2C电子商务、ERP系统、网上银行、计算机信息系统、互联网的广泛运用以及企业业务流程再造的开展,ISACA陆续制定与发布了B2C电子商务审核、企业资源计划系评审计、网上银行、系统开发生命周期审核、虚拟专用网络评审、企业流程再造项目审核等具体项目审计指南。同时,为弥补前面所发布的审计指南在后续审计、责任、权利和义务、保密以及审计方法等方面的不足,ISACA也根据信息系统审计实践,修订和发布了相关指南。
在ISACA所发布的作业程序方面,第1号作业程序的生效时间相对更晚,这主要是考虑到作业程序需要基本审计准则与审计指南应用于实践之后,从信息系统审计实践中进行提炼。
由此可见,ISACA信息系统审计准则的发布是根据先基本准则,后审计指南,最后才是作业程序的顺序来进行的。而在基本准则与审计指南中,先发布信息系统审计实践急需的规范,再发布具体项目的信息系统审计指南以及基本准则的补充准则。
2. 信息系统审计准则制定与发布应注意的问题。在信息系统审计准则制定方面,我国没有现成的经验可供借鉴,且信息系统审计准则制定资源短缺(刘杰、黄忠莉,2013),所发布的基本准则或审计指南可能存在诸多不足之处,但并不影响信息系统审计基本准则的发布。准则制定机构随后可以根据审计实践的调查与反馈,采用补充准则的方式对基本准则加以完善。
在信息系统审计指南方面,制定有关审计工作流程方面的指南也是当务之急,即制定与发布利用其他审计人员的成果、审计取证、信息系统业务外包情况下的审计、审计业务承接、信息系统审计中的重要性概念、审计文档、审计抽样、信息系统控制的效果、审计计划中风险评估的运用、应用系统评审、审计计划修订、第三方对信息系统控制的影响、标准、IT治理、审计报告以及后续审计等审计指南。
在具体项目的信息系统审计指南方面,准则制定机构应加强与实践机构或部门的沟通,调查当前急需的信息系统审计指南,对急需的审计指南首先制定与发布。例如,有关电子商务评审的审计指南,随着2005年《电子商务签名法》的发布以及电子商务在企业中的广泛应用,中注协制定了《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》。该准则指出:注册会计师按照本准则的规定对电子商务进行考虑,旨在对财务报表形成审计意见,而非对电子商务系统或活动本身提出鉴证结论或咨询意见。该准则与ISACA发布的第22号审计指南存在着巨大差距。在《B2C电子商务评审》中,ISACA对B2C电子商务评审问题进行了深入、详细的阐述。我国应当结合审计实践尽早制定B2C电子商务评审等相关审计指南。
至于作业程序的制定与发布,准则制定机构应当加强对信息系统审计实践的调查研究,作业程序的内容应当借鉴国内信息系统审计实践中成熟的审计操作规则,而不是完全照搬、照抄ISACA的信息系统审计作业程序,对当前审计实践急需的作业程序先制定、先发布。
综上对信息系统审计准则制定模式、具体内容以及制定与发布等问题的论述,准则制定机构应当立足于我国国情,谨慎对待信息系统审计准则制定过程中出现的方方面面问题,这样才能制定出符合我国国情的信息系统审计准则。
主要参考文献
1. 王会金.论信息系统审计准则在我国的需求与发展.南京审计学院学报,2012;11
2. 张文秀.国外信息系统审计规范、国家文化差异与制度移植.审计研究,2012;5
3. 刘杰,信息系统审计准则的制度形成机制与体系结构.财会月刊,2012;3
4. 刘杰,黄忠莉.我国信息系统审计准则制定的组织际资源整合.财会月刊,2013;7
5. 李汉文,刘杰.我国信息系统审计规范的非均衡性研究.财会月刊,2010;4
6. 应明来,阳杰.美国IT控制的审计规范体系解读与启示.经济管理,2009;11