隨著我國資訊化資金投入量的逐年增加,加之不容樂觀的網路安全與計算機疫情狀況,使得對資訊系統審計需求增加,最終導致對資訊系統審計準則需求的增加(李漢文、劉傑,2010)。我國現存較為完整的資訊系統審計規範為《第2203號內部審計具體準則--資訊系統審計》,該項內部審計具體準則的釋出,為開展資訊系統審計活動提供了依據。但該項內部審計準則不具備可操作性,沒有具體指導審計人員的指南或作業程式。我國也缺乏IT控制審計的審計指南,不能對審計人員的IT控制審計行為提供指導(莊明來、陽傑,2009)。
在當前條件下,我國迫切需要建立一套完善的資訊系統審計準則。鑑於此,本文對我國資訊系統審計準則的構建進行探討,以期對我國資訊系統審計準則體系的完善提供指導。
一、我國資訊系統審計準則建設上的缺失
國外資訊系統審計準則已經形成了一個完整的體系。截 止到2013年12月,資訊系統審計與控制 協 會(ISACA)已經發布了16項基本準則、41項審計指南和11項作業程式,建立了資訊系統審計基本準則指導資訊系統審計指南和作業程式的準則體系,並制定和釋出了COBIT標準;而國際內審協會(IIA)也釋出了IT風險評估指南(GAIT)與全球技術審計指南(GTAG),以加深內部審計人員和管理層對於資訊系統審計知識的瞭解。
同國外資訊系統審計準則相比,我國審計準則在質量和數量方面都處於落後地位(如表1所示)。ISACA和IIA等機構所釋出的資訊系統審計準則,不僅可以指導為滿足財務審計需要的資訊系統審計行為,同樣也可以指導單一的資訊系統審計行為,這是有別於我國的。我國的資訊系統審計準則主要為滿足財務審計的需求,而不是單純針對單一的資訊系統審計行為。因此,我國資訊系統審計準則處於制度供給不均衡的狀態(李漢文、劉傑,2010),制定與完善資訊系統審計準則還有一段很長的路要走。
雖然中注協、中國內審協會與審計署沒有制定頒佈統一可操作的資訊系統審計準則,但在資訊系統審計實踐中卻存在著一些資訊系統審計相關的操作規定,如審計署京津冀特派辦釋出的《資訊系統審計操作規則》。該操作規則相比《第2203號內部審計具體準則--資訊系統審計》而言,操作性更強,兩項規範在資訊審計範圍、階段、方法、可操作性等方面存在差異(如表2所示)。
眾所周知,註冊會計師審計、內部審計和政府審計在資訊系統審計物件方面並不存在巨大差異,三種類型的審計都可以運用相同的資訊系統審計準則指導其審計活動,但《資訊系統審計操作規則》與《第2203號內部審計具體準則--資訊系統審計》卻存在著重大差異。這種情況的出現,表明我國資訊系統審計準則的制定還處於起步階段,除國外的ISACA等機構的審計準則外,國內還沒有具有權威性的現成資訊系統審計準則可供參考,各個機構與部門都依據自身情況和需求制定相關的資訊系統審計準則。對資訊系統審計的內容、範圍以及目標等方面業界認識比較一致,但在涉及準則制定時卻有不同的看法。我國起步伊始的資訊系統審計制度體系,如果存在規範不一問題,勢必會使廣大審計人員無所適從,這無疑不利於我國資訊系統審計的健康發展,同時表明,我國迫切需要一套完善的資訊系統審計準則。
二、我國資訊系統審計準則制定弊端
當前,我國所釋出的資訊系統審計準則主要是圍繞財務審計工作開展的,釋出機構為中注協、中國內部審計協會和國家審計署,而非專門的資訊系統審計準則制定機構。釋出資訊系統審計準則的目的在於更好地進行財務審計,而不是專門針對資訊系統審計準則的。這種模式概括起來就是,以“財務審計”為中心的資訊系統審計準則制定模式。例如,《審計署關於計算機審計的暫行規定》規定,國家審計機關有權根據相關法律對計算機財務系統開展審計活動;《審計機關計算機輔助審計方法》規定,為便於確定被審計單位使用計算機處理的資訊對其財務收支的真實性、合法性是否會產生影響,被審計單位必須報送計算機應用系統開發的驗收報告、申請使用該系統的報告、與之配套的管理制度和措施以及計算機應用系統變動情況等資料;《審計法》更是從法律上明確了審計機關檢查財政財務收支資訊系統的權力;《第2203號內部審計具體準則--資訊系統審計》雖然從內容上來看是針對資訊系統審計的,但其依據的基本準則為《內部審計基本準則》,財務審計是內部審計的主要內容,這也沒有完全擺脫以“財務審計”為中心的資訊系統審計準則制定模式。
這種以“財務審計”為中心的資訊系統審計準則制定模式,準則或規範的釋出主要是考慮資訊科技已經影響到財務報告生產過程,為了更好地進行財務審計,而不是單純地為制定資訊系統審計準則。資訊化的飛速發展使得非財務資訊系統的審計變得日益重要,其重要程度在某些領域上已經超過財務資訊系統的審計。我國資訊系統審計準則的制定與釋出不能僅僅圍繞財務審計,這樣會制約資訊系統審計行為的開展。
資訊系統不僅僅是輸出財務報告的會計資訊系統,資訊系統審計所涵蓋的內容包括內部控制審計、系統生命週期審計、資訊系統軟硬體審計、安全審計和資訊系統績效審計等。如果資訊系統審計準則的制定僅僅是為了更好地進行財務審計,那麼當系統生命週期審計、資訊系統軟硬體審計、安全審計以及資訊系統績效審計等提上議事日程時,現有的資訊系統審計準則就遠遠不能起到引導和約束資訊系統審計行為的作用。
而在國外,ISACA這樣的機構專門制定資訊系統審計準則,當面對服務於財務審計之外的資訊系統審計時,ISACA有相應的審計準則、指南與程式用以引導和約束資訊系統審計人員的審計行為。如美國審計署在對聯邦存款保險計算機病毒保護程式進行審計時,ISACA所釋出的審計程式病毒及其他惡意程式碼(P4)審計程式可以為其提供依據。在我國,資訊系統審計準則制定的原動力來自於財務審計的需要。當面臨其他型別的資訊系統審計時,審計人員往往陷入不知所措的困境。因此,要使我國的資訊系統審計準則縮短與國外先進的資訊系統審計準則的差距,就必須擺脫為以“財務審計”為中心的資訊系統審計準則制定模式。
三、我國資訊系統審計準則的構建
資訊系統審計規範包括正式制度安排和非正式制度安排,其中正式制度安排包括資訊系統審計職業道德規範、資訊系統審計準則和其他相關規範(劉傑,2012)。本文所指的資訊系統審計準則構建,只是正式制度安排的一部分,不包括審計職業道德規範和其他相關規範的構建。對於資訊系統審計準則的構建,不僅要考慮資訊系統審計準則制定內容,還要考慮資訊系統審計準則制定的框架、模式和釋出時間等。總體來講,在資訊系統審計準則制定的策略方面,我們應立足中國的現實,考慮國家文化特點(張文秀,2012),借鑑ISACA資訊系統審計準則的先進經驗,不再以“財務審計”為中心,重新建立起以“資訊系統審計”為中心的準則制定模式。
(一)資訊系統審計準則的框架
資訊系統審計準則是“以管理為核心,法律法規為保障,技術為支撐”的資訊系統審計框架體系。資訊系統審計準則是一個規範的管理框架,把資訊系統審計人員和被審計單位各自的權利、義務和責任等納入管理框架內,解決各方因為職責不明確而影響資訊系統審計質量的問題。由此可知,資訊系統審計準則不僅可以使資訊系統審計走上法制化、規範化的道路,同時有助於提升資訊系統審計工作的質量,為政府或企事業單位的資訊系統執行質量提供合理保證。資訊系統審計準則的框架應合理滿足上述要求,否則,審計準則的制定與釋出將失去其意義。
在資訊系統審計準則的體系結構上,我國可以借鑑ISACA的審計準則體系結構,即採用基本準則、審計指南與作業程式的結構。該體系結構是一個相對成熟的體系結構,既反映了ISACA對資訊系統審計理論研究與實務研究的成果,又反映了ISACA資訊系統審計準則制定的經驗。採用基本準則、審計指南和作業程式的體系結構,體現了概念統一、前後有序和科學完整的特徵(陳婉玲、楊文傑,2006)。在制定資訊系統審計準則時,國內相關準則制定機構沒有必要另外開發資訊系統審計準則的體系結構,可以借鑑ISACA的先進經驗,以基本準則為核心,開發適合我國國情的資訊系統審計指南或資訊系統審計作業程式。這種三層次的體系結構既考慮了資訊系統審計準則體系的完整性、前瞻性,又考慮了審計準則體系的靈活性,可以為審計指南或作業程式中未規定的行為提供指導。
(二)資訊系統審計準則的制定模式
在資訊系統審計準則的發展策略方面 ,王會金(2012)認為,我國應借鑑國外成熟的資訊系統審計準則,結合我國國情構建資訊系統審計準則。對於資訊系統審計準則制定模式的選擇,國內資訊系統審計準則制定機構也應當借鑑國外成熟資訊系統審計準則制定的經驗,擺脫以“財務審計”為中心的制定模式,轉換為以“資訊系統審計”為中心的制定模式。採用這種模式有利於建立全面、系統和完整的資訊系統審計準則體系。
但資訊系統審計準則制定模式的轉換,需要整合中注協、中國內部審計協會和審計署的審計準則制定資源(劉傑、黃忠莉,2013),建立專門的資訊系統審計準則制定機構。這主要是考慮到中注協、中國內部審計協會和審計署制定準則的主要目的在於指導財務審計活動,讓其引領資訊系統審計準則的制定會在一定程度上影響資訊系統審計準則體系的構建,資訊系統審計準則的制定也不能擺脫以“財務審計”為中心的模式。這同我國資訊化飛速發展的速度是不相適應的。因此,筆者認為,建立以“資訊系統審計”為中心的準則制定模式,需要成立專門的資訊系統審計準則制定機構。
(三)資訊系統審計準則的具體內容
資訊系統審計準則包括民間審計準則、內部審計準則和政府審計準則。國外針對政府資訊系統審計制定了專門的資訊系統審計準則或規範,如美國審計總署(GAO)就制定了專門的《聯邦資訊系統控制審計手冊》,這在資訊系統審計準則制定資源相對富裕的情況下,是很有必要的。但由於我國當前資訊系統審計準則制定資源相對短缺,因此應首先立足於制定針對民間審計的資訊系統審計準則,內部資訊系統審計和政府資訊系統審計可以參照執行。這主要是考慮到資訊系統審計在國家審計、內部審計以及註冊會計師審計中不會存在顯著的差異(劉傑、黃忠莉,2013)。
1.資訊系統審計準則的總體規劃。在準則制定的內容方面,國內外學者存在兩種觀點:①按照審計工作流程制定資訊系統審計準則,即圍繞審計計劃、審計實施、審計報告和後續審計四個階段規劃資訊系統審計準則;②按照審計任務制定資訊系統審計準則,即圍繞內部控制評價、資訊系統開發和資訊系統功能等規劃資訊系統審計準則的內容。
兩種觀點相比較而言,第一種觀點更具有普遍適用性,準則的制定可以適應資訊科技的飛速發展,而第二種觀點要求準則制定面面俱到,不能有盲區出現。按照摩爾定律,整合電路板上可容納的電晶體數目約每隔18個月便會增加一倍,效能也將提升一倍。在第二種觀點下,現代資訊科技的飛速發展可能會導致資訊系統審計準則落後於審計實務,當審計人員面臨新的資訊系統問題或情況時可能會處於無所適從的狀態。而按照審計工作流程制定的資訊系統審計準則具有結構清晰與可擴充套件性強等特徵。當資訊系統審計準則落後於審計實務時,審計人員同樣可根據基本準則以及對基本準則解析的審計指南執行審計工作。
綜上對資訊系統審計準則內容規劃的論述可知,按審計工作流程規劃資訊系統審計準則的內容,是當前條件下資訊系統審計準則制定的現實選擇。
2.資訊系統審計準則內容的具體規劃。其應當包括基本準則、審計指南和作業程式三個組成部分。基本準則是審計指南和作業程式的基礎,審計指南與作業程式的制定與釋出應當符合基本準則的相關規定。
(1)資訊系統審計基本準則應在借鑑ISACA基本準則內容的基礎上,根據我國的國情進行規劃。基本準則的內容應力求全面、完整地體現審計理論的基本內容,對審計章程、資訊系統審計業務承接以及審計業務三方關係、審計評價標準、審計本質、審計目標、審計假設、審計計劃、審計工作的實施、審計報告、後續工作和審計質量控制準則等進行規範與解釋。上述內容涉及對基礎概念的解釋,這些基礎概念的清晰度直接關係到資訊系統審計目標的實現。若在資訊系統審計基本準則中對這些基礎概念界定不清晰,則可能會將資訊系統審計引入誤區。例如,部分審計機關及審計人員將資訊系統審計的目標理解為查錯糾弊,則對資訊系統審計的理解也只能停留在計算機輔助審計層次上,不能針對資訊系統進行審計。
審計理論或資訊系統審計理論主要是用於指導、評估和發展資訊系統審計準則、指南和審計程式。資訊系統審計基本準則是準則的準則,是對審計理論或資訊系統審計理論的全面反映,若將審計理論的內容排除在基本準則之外,資訊系統審計指南和作業程式的制定將缺乏理論指導,飛速發展的資訊科技也很可能使審計人員在面臨嶄新問題時陷入盲目的境地。因此,在資訊系統審計基本準則中,應全面、完整地體現資訊系統審計的.定義、本質、目標和假設、審計程式、審計報告等,使其成為資訊系統審計準則體系不可分割的組成部分。此外,在資訊系統審計基本準則中,我國應對資訊系統審計的評價標準進行規範。在審計和評價標準的選擇方面,我國一方面可以結合本國文化特點和制度差異等移植ISACA的CO-BIT標準,另一方面可以開發適合我國國情的資訊系統審計和評價標準。
(2)資訊系統審計指南的具體內容分為兩個層次,第一個層次是對資訊系統審計基本準則的解釋,第二個層次是資訊系統審計的具體評審指南(如下圖所示)。
在資訊系統審計指南的具體內容方面,我國的資訊系統審計指南應當與ISACA所釋出的審計指南保持基本一致,其最主要的區別在於資訊系統基本審計準則的解釋指南方面。在基本準則部分,筆者強調,應全面、完整地體現資訊系統審計的定義、本質、目標和假設、審計程式、審計報告等內容,因此,在審計指南中也應有相關的解釋指南。在資訊系統審計指南方面,需要特別強調的是,ISACA在2010年釋出了《資訊系統審計指南第41號--安全投資收益評審》,這表明ISACA已經開始關注資訊系統投資績效的審計問題。隨著我國經濟的發展,企業或政府在資訊化資金方面的投入呈現不斷增長的趨勢。在此背景下,企業不得不應對如何科學、準確、公正地評價企業的資訊系統效率、效益和效果以及軟硬體資產的保護問題。因此,資訊系統的具體評審指南,應注重釋出對資訊系統投資收益評審與資訊系統軟硬體評審的相關指南。
(3)資訊系統審計的作業程式不具有強制性,只是對審計實踐中的網路入侵檢測、防火牆、數字簽名、電子資金轉賬等特殊問題提供指導性意見。截至2013年4月,ISACA已經發布了11項作業程式,這11項作業程式主要是關於資訊系統風險管控與安全問題的作業程式。我國可以對比這11項作業程式制定與釋出同我國國情相適應的審計作業程式。同時,隨著企業對知識管理能力重視程度的提高,對企業知識管理能力評估的作業程式也應當成為資訊系統審計作業程式的重要組成部分,以指導企業對自我知識管理能力的評估。
3.資訊系統審計準則制定需要注意的問題。資訊系統審計準則的制定是一項龐大的系統工程,對於每一項基本準則、審計指南和審計程式具體內容的制定,都應當立足國情、廣開言路,發揮審計準則制定機構、資訊系統審計實踐部門以及其他各方力量的作用,加強各方的溝通與協調工作,積極聽取各方意見,尤其要注重吸收資訊系統審計實踐部門的意見。
在基本準則、審計指南與作業程式的各項具體內容上,除參考IIA與ISACA的審計準則之外,也應當積極借鑑我國現存的資訊系統審計準則或規範,一些成熟的資訊系統審計實踐準則或規範可以在修訂的基礎上由資訊系統審計準則制定機構釋出。如審計署京津冀特派辦釋出的《資訊系統審計操作規則》,該規則對資訊系統審計階段以及每個階段的審計內容、步驟及方法等都做了深入、詳細的規定。雖然該操作規則主要是針對檢測資訊系統的內部控制問題,而內部控制審計僅僅是資訊系統審計的一個重要組成部分,因此該操作規則不能稱為完整意義上的資訊系統審計準則,但該操作規則對我國資訊系統內部控制審計準則的構建具有重要的借鑑意義。這些資訊系統審計準則或規範來源於我國資訊系統審計實踐,符合我國國情,因此應當予以借鑑。
(四)資訊系統審計準則的制定與釋出
1.資訊系統審計準則制定與釋出的規劃。資訊系統審計準則的制定、釋出可以參照ISACA的做法:首先制定與釋出基本準則,然後在基本準則的基礎上,有計劃、有步驟地制定審計指南和作業程式,按照資訊系統審計實踐需求的輕重緩急制定審計準則,準則的制定與釋出採用“完成一項、釋出一項、實施一項”的方式(陳婉玲、楊文傑,2006)。
ISACA基本準則的雛形在1997年就已經制定併發布。2005年隨著審計指南與作業程式的制定與釋出,ISACA將1997年釋出的資訊系統審計準則拆分成八項,並對基本準則的內容進行了修訂,2005年9月以後釋出了相關的補充準則以彌補前面八項準則的不足。
審計指南是根據基本準則制定的,因此ISACA釋出的資訊系統審計指南在時間上晚於基本準則,第1號審計指南的釋出時間為1998年1月1日,生效日期為1998年6月1日。截止到2003年1月1日生效的前20項審計指南基本上都屬於審計指南的第一個層次,即對資訊系統審計的基本準則進行解釋,這些審計指南也事關資訊系統審計流程,是資訊系統審計實踐急需的,因此,ISACA首先致力於與資訊系統審計流程相關或實踐急需的基本準則與審計指南的制定與釋出。
隨著B2C電子商務、ERP系統、網上銀行、計算機資訊系統、網際網路的廣泛運用以及企業業務流程再造的開展,ISACA陸續制定與釋出了B2C電子商務稽核、企業資源計劃系評審計、網上銀行、系統開發生命週期稽核、虛擬專用網路評審、企業流程再造專案稽核等具體專案審計指南。同時,為彌補前面所釋出的審計指南在後續審計、責任、權利和義務、保密以及審計方法等方面的不足,ISACA也根據資訊系統審計實踐,修訂和釋出了相關指南。
在ISACA所釋出的作業程式方面,第1號作業程式的生效時間相對更晚,這主要是考慮到作業程式需要基本審計準則與審計指南應用於實踐之後,從資訊系統審計實踐中進行提煉。
由此可見,ISACA資訊系統審計準則的釋出是根據先基本準則,後審計指南,最後才是作業程式的順序來進行的。而在基本準則與審計指南中,先發布資訊系統審計實踐急需的規範,再發布具體專案的資訊系統審計指南以及基本準則的補充準則。
2.資訊系統審計準則制定與釋出應注意的問題。在資訊系統審計準則制定方面,我國沒有現成的經驗可供借鑑,且資訊系統審計準則制定資源短缺(劉傑、黃忠莉,2013),所釋出的基本準則或審計指南可能存在諸多不足之處,但並不影響資訊系統審計基本準則的釋出。準則制定機構隨後可以根據審計實踐的調查與反饋,採用補充準則的方式對基本準則加以完善。
在資訊系統審計指南方面,制定有關審計工作流程方面的指南也是當務之急,即制定與釋出利用其他審計人員的成果、審計取證、資訊系統業務外包情況下的審計、審計業務承接、資訊系統審計中的重要性概念、審計文件、審計抽樣、資訊系統控制的效果、審計計劃中風險評估的運用、應用系統評審、審計計劃修訂、第三方對資訊系統控制的影響、標準、IT治理、審計報告以及後續審計等審計指南。
在具體專案的資訊系統審計指南方面,準則制定機構應加強與實踐機構或部門的溝通,調查當前急需的資訊系統審計指南,對急需的審計指南首先制定與釋出。例如,有關電子商務評審的審計指南,隨著2005年《電子商務簽名法》的釋出以及電子商務在企業中的廣泛應用,中注協制定了《中國註冊會計師審計準則第1633號--電子商務對財務報表審計的影響》。該準則指出:註冊會計師按照本準則的規定對電子商務進行考慮,旨在對財務報表形成審計意見,而非對電子商務系統或活動本身提出鑑證結論或諮詢意見。該準則與ISACA釋出的第22號審計指南存在著巨大差距。在《B2C電子商務評審》中,ISACA對B2C電子商務評審問題進行了深入、詳細的闡述。我國應當結合審計實踐儘早制定B2C電子商務評審等相關審計指南。
至於作業程式的制定與釋出,準則制定機構應當加強對資訊系統審計實踐的調查研究,作業程式的內容應當借鑑國內資訊系統審計實踐中成熟的審計操作規則,而不是完全照搬、照抄ISACA的資訊系統審計作業程式,對當前審計實踐急需的作業程式先制定、先發布。
綜上對資訊系統審計準則制定模式、具體內容以及制定與釋出等問題的論述,準則制定機構應當立足於我國國情,謹慎對待資訊系統審計準則制定過程中出現的方方面面問題,這樣才能制定出符合我國國情的資訊系統審計準則。
主要參考文獻
1.王會金。論資訊系統審計準則在我國的需求與發展。南京審計學院學報,2012;11
2.張文秀。國外資訊系統審計規範、國家文化差異與制度移植。審計研究,2012;5
3.劉傑,資訊系統審計準則的制度形成機制與體系結構。財會月刊,2012;3
4.劉傑,黃忠莉。我國資訊系統審計準則制定的組織際資源整合。財會月刊,2013;7
5.李漢文,劉傑。我國資訊系統審計規範的非均衡性研究。財會月刊,2010;4
6.應明來,陽傑。美國IT控制的審計規範體系解讀與啟示。經濟管理,2009;11
