审计规范的完善程度可以反映一个国家审计理论研究的先进程度,这对信息系统审计准则也同样适用。自2008年中国内部审计协会颁布《内部审计具体准则第28号---信息系统审计》以来,我国信息系统审计准则的制定基本上处于停滞阶段。在信息系统审计准则的制定方面,仅仅是在2013将内审28号准则修改为《第2203号内部审计具体准则---信息系统审计》,内容没有进行大的修改。上述现象的出现,笔者认为同信息系统审计基本准则的缺失息息相关。基本准则是审计指南和审计程序制定的基础,是准则的准则,基本准则的优劣直接关系着审计准则体系的完善。到目前为止,我国信息系统审计准则体系依赖的基本准则主要是财务审计的基本准则,属于财务审计准则制定的附属品,与信息系统审计相关的准则都零星地散落于注册会计师审计准则、政府审计准则和内部审计准则中,没有形成一套逻辑严密的信息系统审计准则体系。因此,本文拟对国际信息系统审计与控制协会(InformationSystems Audit and Control Association,以下简称ISACA)的基本准则进行分析和解读,提出我国信息系统审计基本准则制定与完善的思路与政策建议。
一、ISACA信息系统审计基本准则现状
ISACA主要致立于信息系统审计准则的制定与发布工作,截止2013年12月,ISACA 共发布了16项基本准则、41项审计指南和11项作业程序,这些规范层次清晰,可操作性强。ISACA的信息系统审计准则体系类似于注册会计师审计准则体系,ISACA的信息系统审计准则体系由基本准则、审计指南和作业程序构成,此框架为信息系统审计人员执业提供了多层次的指引。虽然ISACA成立于1969年,但其基本准则的制定经历了一段很长的时间,至1997年才发布信息系统审计基本准则,包括审计章程、独立性、职业道德和准则、职业技术、审计计划、实施审计工作、报告和后续工作八个部分,该准则于1997年7月25日开始生效。随着审计指南与作业程序的制定与发布以及对信息系统审计基本准则可扩展性的考虑,ISACA于2005年将1997年所发布的信息系统审计准则拆分为八个基本准则,并对原有内容根据信息技术发展状况进行了修订。同时,于2005年9月之后陆续发布了S9到S16等其它八个基本准则。
二、ISACA信息系统审计基本准则解读
信息系统审计基本准则是信息系统审计准则体系的基础,其完善与否直接关系着整个审计准则体系的完善。ISACA是全球信息系统审计准则制定的领跑者,其在基本准则制定方面存在的诸多优势可供我国制定信息系统审计基本准则借鉴。
(一 )基 本准则与审计指南 、 审计程序的关系审计基本准则是ISACA审计准则体系的总纲和基础,对信息系统审计指南和审计程序的制定起着指导作用。ISACA的审计指南与审计程序都是在基本准则的指导下制定或推导出来的,基本准则是审计指南与审计程序制定的基础依据(如图1所示)。同时,根据ISACA审计指南和审计程序的制定情况,将实际制定过程的情况反馈给基本准则的制定过程,对基本准则中的不足之处进行改善,从而实现ISACA信息系统审计基本准则对信息系统审计指南和审计程序的指导作用。信息系统审计人员根据ISACA发布的信息系统审计指南和审计程序开展审计工作,若审计指南和审计程序中没有明确规定的,审计人员可以根据ISACA相关内容的规定开展信息和信息系统审计活动。
(二 )信息系统审计基本准则的主要内容ISACA将16项信息系统审计基本准则分为四个部分,包括:(1)审计章程;(2)对注册信息系统审计师职业资格的要求,包括审计人员的独立性要求、职业道德要求和职业能力要求;(3)信息系统审计计划、审计实施、审计报告与后续审计等审计过程;(4)其它信息系统审计规定,包括不正当及非法行为、IT治理、审计计划中风险评估的利用等。在ISACA基本准则中,审计章程是对信息系统审计人员的职能、责任、权力以及义务进行规范,独立性、职业道德和标准和专业胜任能力则是对信息系统审计人员的要求,信息系统审计计划、审计实施、审计报告和后续审计对信息系统审计过程进行规范,而其它信息系统审计规定主要是对前三项内容进行后续补充,即ISACA根据审计对象的特殊性,将IT治理、IT控制、电子商务等纳入到基本准则规定的范畴,并对基本准则的相关概念进行补充界定。总体上讲,ISACA在信息系统审计的基本准则方面是比较全面的,从审计职能的责任、权力、义务到信息系统审计工作执行,审计报告的出具,ISACA都做了规定,基本准则不仅考虑到了审计的一般性特点,同时也结合了信息系统审计的独特性。
(三 )ISACA信息系统审计基本准则制定模式在基本准则的制定模式方式,ISACA先根据审计工作的一般要求,先颁布S1到S8的基本准则,对审计人员的职业能力以及信息系统审计的程序进行规范,再结合信息系统审计的特点和要求,陆续颁布S9到S16等其它基本准则,以填补先前所颁布的准则的不足或缺陷(如表1)。这种基本准则的制定模式,可扩展性较强,适应信息技术飞速发展的要求,ISACA可根据信息系统审计发展的要求弥补基本准则存在的不足与缺陷。
(四 )ISACA信 息系统审计基本准则存在的问题ISACA尽管在基本准则方面的内容比较全面,形成了较为系统的信息系统审计准则体系,但通过深入研究可以发现ISACA的基本准则体系仍存在不足之处。这些不足之处也为我国制定专门的信息系统审计基本准则提供了指导。
(1)信息系统审计基本准则包含审计职业道德规范的内容,不利于信息系统审计职业道德规范的发展。在信息系统审计基本准则的制定过程中,ISACA将审计独立性、职业道德以及职业能力等审计职业道德规范一并纳入基本准则中,这三项审计职业道德规范应从基本准则中独立出来。若将审计职业道德规范一并纳入到基本准则之中,不利于建立专门化的信息系统审计职业道德规范体系。信息系统审计职业道德规范同信息系统审计准则处于同样重要的地位,将其纳入信息系统审计基本准则的范畴会降低准则制定机构的重视程度,而将其单独出来有利于建立层次分明,自成体系的审计职业道德规范体系,体现审计职业道德在信息系统审计中的重要性。
(2)基本准则没有完整体现信息系统审计理论结构的内容。信息系统审计理论结构是信息系统审计规范制定的理论基础,ISACA所颁布的基本准则没有完整体现信息系统审计理论结构的内容,即没有对信息系统审计进行定义,没有规定信息系统审计本质、审计目标、审计假设、审计质量控制等内容。具有摩尔定律发展速度的信息技术使信息系统变得越来越复杂,网络安全及信息系统安全问题也变得越来越重要。信息系统审计人员在面临新的审计环境时,需要审计规范加以引导和约束,而在信息系统审计基本准则中界定审计的本质、目标、假设以及信息系统审计质量控制等内容有利于正确引导信息系统审计人员的审计行为,界定信息系统审计以及审计范围,可以在飞速发展的信息社会中出现新信息技术问题时不至于使审计人员陷入判断新领域是否属于信息系统审计范畴的境地。审计质量控制是信息系统审计理论的重要组成部分,也是信息系统审计准则的主要构成内容之一。审计质量就是审计活动对公认审计准则或标准的遵循程度。非法使用者出于娱乐、报复或利益等目的而侵入计算机(Palmer,2001),Garg、Curtis和Hapler(2003)估计安全事件对普通的公开上市公司来说,其市场影响占到年销售额的0.5%到1.0%.除了病毒和蠕虫之外,组织还可能遭受DOS攻击,这是21世纪代价第二昂贵的网络犯罪,估计其损失达6500万美元,而新发展的DDOS的威胁很现实,每周有超过4000次的DDOS攻击,新型的DOS正在不断地被制造出来,例如,DROS用伪造的有效数据包冲垮服务器 (Joyce,2002)。Bell实验室的网络研究副总裁Krishan Sabnani表示,最新的DOS攻击将威胁无线网络。审计质量是信息系统审计的基础,没有质量保证的信息系统审计行为,不仅不能为企业信息系统的可靠性、安全性等提供保证,反而会给企业带来更大的损失。在ISACA的基本准则中,尚不存在审计质量控制方面的规定,这有待于ISACA审计准则制定机构完善审计质量控制方面的基本准则,或是单独建立信息系统审计质量控制准则体系。
三、对我国信息系统审计基本准则制定的借鉴与启示
我国信息系统审计准则的制定尚处于起步阶段,当前颁布的信息系统审计准则主要依附于财务审计准则。无论是在信息系统审计准则的数量上,还是质量上,我国与ISACA发布的信息系统审计体系都存在相当大的差距。这与信息系统审计基本准则的缺失息息相关,信息系统审计基本准则的缺失使得具体审计准则或审计指南、审计程序的制定只能依附于财务审计准则的制定。为加快信息系统审计基本准则建设的步伐,笔者认为应当加快信息系统审计基本准则的制定步伐,借鉴ISACA的信息系统审计基本准则,制定适合我国国情的信息系统审计基本准则,为信息系统审计准则体系的完善奠定基础。
(一 )借鉴ISACA的准则制定模式 ,树立以信息系统审计基本准则为导向的审计准则制定理念在信息系统审计基本准则缺失的前提条件下,我国当前的信息系统审计准则只能依附于财务审计准则的制定,不能形成较为完善的信息系统审计规范体系。信息系统审计具体准则也只能由财务审计的基本准则推导出来,信息系统审计准则或规范的颁布主要是考虑到信息技术已经影响到财务报告生产过程,为了更好的进行财务审计,而不是单纯的为制定信息系统审计准则。信息化的浪潮正在席卷社会的各个角落,信息系统已经成为政府、企事业单位不可缺少的组成部分。企业信息化与政务信息化正在逐步扩大信息系统审计的范围,已经超出会计信息系统的范围,信息系统的安全、软硬件以及开发生命周期等都已成为信息系统审计的范围,而且这些审计范围变得越来越重要。因此,我国信息系统审计准则的制定,其审计目标不能再仅仅局限于财务审计的目标,需要一个完善的信息系统审计准则体系为审计人员审计信息系统安全、软硬件以及系统开发生命周期服务。依附于财务审计准则制定模式的转变需要建立属于信息系统审计准则体系构建的基本准则,树立以“以信息系统审计基本准则为导向”的理念,由基本准则推导具体准则、审计指南或审计程序的制定,由基本准则指导具体审计准则缺失的“真空地带”,有效指导信息系统审计人员的审计行为。
(二 )在审计署的推动下 ,成立类似 ISACA的信息系统审计准则制定机构到目前为止,我国具有真正意义的信息系统审计准则是中国内审协会颁布的第2203号内部审计具体准则,该准则的基本准则为《内部审计基本准则》,而《内部审计基本准则》主要是为了规范内部审计工作,明确内部审计机构和审计人员职责,不是专门针对信息系统审计工作的。因此,中国内部审计协会制定信息系统审计准则,只是为完善内部审计准则体系,而不对信息系统审计准则体系进行系统型的研究。出现这些情况虽然同信息系统审计基本准则的缺失息息相关,但更深层次的原因在于我国没有类似ISACA的信息系统审计准则制定专门机构。我国要建立完善的信息系统审计准则体系,其首要任务在于成立类似ISACA的信息系统审计准则制定组织,由其统一制定与发布信息系统审计的基本准则、具体准则或审计指南、审计程序。ISACA的成立是由同类职业团体组建而成的,在我国类似的职业团体几乎不存在。因此,信息系统审计准则制定机构的成立不能采用ISACA的成立模式,应采取行政的力量或手段推动其成立,由中华人民共和国审计署整合中注协、内审计协会和审计署内部的信息系统审计准则制定资源,成立类似ISACA的信息系统审计组织。这种依靠行政力量的模式,可以在短时期内完成组织的成立过程,从而避免信息系统审计组织长期缺失对我国信息系统审计准则体系完善的影响。
(三 )借 鉴ISACA基 本准则 ,构建适合我国国情 的信息系统审计基本准则笔者认为信息系统审计规范包括正式制度安排和非正式制度安排。信息系统审计基本属于正式制度安排的范畴。虽然ISACA基本准则存在着一些不足之处,但ISACA在基本准则制定方面仍存在许多可供借鉴的地方。我国信息系统审计基本准则的制定应在借鉴ISACA基本准则的基础上,根据我国的实际情况制定。笔者认为,信息系统审计基本准则的内容应包括:(1) 审计章程;(2)信息系统审计业务承接以及审计业务三方关系;(3)审计评价标准;(4)审计本质;(5)审计目标;(6)审计假设;(7)审计计划;(8)审计工作的实施;(9)审计报告;(10)后续工作;(11)审计质量控制准则;(12)其他。需要特别指出的是,信息系统审计评价标准在信息系统审计过程中扮演着十分重要的角色。标准是指用于评价或计量鉴证对象的基准。标准可以是正式的规定,如国家颁布的相关法律、法规;也可以是某些非正式的规定,如单位内部制定的内部控制制度。信息系统审计人员在运用职业判断对信息系统做出合理一致的评价或计量时,需要有适当的标准。缺乏信息系统审计评价标准,将不利于指导信息系统审计人员选择判断标准,进行合理的职业判断。因此,我国构建信息系统审计基本准则,应当对信息系统审计的评价标准进行界定,以指导审计人员的信息系统审计行为。
( 四 ) 将 审 计职业道德 规范排除 在信息系统审计基本准则 之外, 构建专门的信息系统审计职业道德规范信息系统审计准则或信息系统审计规范的正式制定安排包括信息系统审计职业道德规范、信息系统审计准则和其他信息系统审计准则。由此可知,应当建立单独的信息系统审计职业道德规范,而不是同信息系统审计准则混合起来。信息系统审计基本准则是信息系统审计准则这种制度安排的主要内容之一。为建立合理的信息系统审计准则或偏私系统审计规范体系,应当剔除职业道德的内容,将职业道德的内容并入信息系统审计职业道德规范体系中,建立专门的信息系统审计职业道德规范。
(五 )建立具有可扩展性的信息系统审计基本准则现代信息技术以“摩尔定律”的速度正在飞速发展,信息系统审计基本准则的制定应当与之相适应,形成一种开放性的信息系统审计基本准则制定方式,以满足现代信息技术飞速发展的要求。在这个方面,我国可以借鉴ISACA基本准则的制定模式,建立具有可扩展性的基本准则制定模式。这主要是考虑到基本准则在实际执行过程中会存在着许多问题和不足之处,若遇到现有信息系统审计基本准则的不足之处就重新制订新的基本准则会浪费大量资源。因此,我国应首先发布一批相对成熟的基本准则,后期若遇到问题时,再发布基本准则对前期发布的准则进行补充。这种开放性的、可扩展的审计准则制定模式不仅可以弥补前期基本准则的不足,同时也可以减少重新修订基本准则对信息系统审计人员的冲击和节约准则制定成本。
(六 )加强中注协 、内审 协 会 和国家 审计署的 沟通协调众所周之,信息系统审计业务可以单独开展,也可以和财务审计以及其他业务审计一起执行。但在当前审计实务中,信息系统审计业务工作的开展通常是和财务审计或其他业务审计一同开展的,这就要求在制定和颁布信息系统审计基本准则时,加强与中注协、中国内部审计协会和国家审计署的沟通协调工作,就基本准则的内容以及信息系统审计准则如何与注册会计师审计准则、内部审计准则和国家审计准则一致进行探讨,以增强信息系统审计基本准则的实用性。
随着现代信息技术的发展与运用,信息系统审计这一职业已经得到了一定程度的发展,理论界与实务界也越来越重视这一领域。笔者关于信息系统审计基本准则的许多观点尚不成熟,还有待进一步改进,希望通过本文的研究能引起理论界和实务界对于信息系统审计准则研究的关注,让更多的理论工作者与实务工作者参与到这一过程中,完善我国信息系统审计规范体系。
参考文献:
[1]马良渝、潘婉霞:《ISACA信息系统审计准则体系浅析》,《中国管理信息化》2007年第3期。
[2]蔡春:《审计理论结构研究》,东北财经大学出版社2001年版。
[3]ISACA IS Standards, Guidelines and Procedures for Auditingand Control Professionals .ISACA, 2009.
[4]G41-Return on Security Investment.ISACA, 2010.
[5]G42-Continuous Audit.ISACA, 2010.
[6]Joyce, J.Disributed Denial of Service Attacks.ScientificComputing & Instrumentation, 2002, June:12-47
[7]Palmer, C. C.Ethical Hacking .IBM System Journal, 2001,(03):769-780.
[8]Garg, A., J. Curtis, and H. Halper.The Financial Impact ofIT Security Breaches: What Do Investors Think? .InformationSystems Security, 2003, March/April:22-32.
