随着我国信息化资金投入量的逐年增加,加之不容乐观的网络安全与计算机疫情状况,使得对信息系统审计需求增加,最终导致对信息系统审计准则需求的增加(李汉文、刘杰,2010)。我国现存较为完整的信息系统审计规范为《第2203号内部审计具体准则--信息系统审计》,该项内部审计具体准则的发布,为开展信息系统审计活动提供了依据。但该项内部审计准则不具备可操作性,没有具体指导审计人员的指南或作业程序。我国也缺乏IT控制审计的审计指南,不能对审计人员的IT控制审计行为提供指导(庄明来、阳杰,2009)。
在当前条件下,我国迫切需要建立一套完善的信息系统审计准则。鉴于此,本文对我国信息系统审计准则的构建进行探讨,以期对我国信息系统审计准则体系的完善提供指导。
一、我国信息系统审计准则建设上的缺失
国外信息系统审计准则已经形成了一个完整的体系。截 止到2013年12月,信息系统审计与控制 协 会(ISACA)已经发布了16项基本准则、41项审计指南和11项作业程序,建立了信息系统审计基本准则指导信息系统审计指南和作业程序的准则体系,并制定和发布了COBIT标准;而国际内审协会(IIA)也发布了IT风险评估指南(GAIT)与全球技术审计指南(GTAG),以加深内部审计人员和管理层对于信息系统审计知识的了解。
同国外信息系统审计准则相比,我国审计准则在质量和数量方面都处于落后地位(如表1所示)。ISACA和IIA等机构所发布的信息系统审计准则,不仅可以指导为满足财务审计需要的信息系统审计行为,同样也可以指导单一的信息系统审计行为,这是有别于我国的。我国的信息系统审计准则主要为满足财务审计的需求,而不是单纯针对单一的信息系统审计行为。因此,我国信息系统审计准则处于制度供给不均衡的状态(李汉文、刘杰,2010),制定与完善信息系统审计准则还有一段很长的路要走。
虽然中注协、中国内审协会与审计署没有制定颁布统一可操作的信息系统审计准则,但在信息系统审计实践中却存在着一些信息系统审计相关的操作规定,如审计署京津冀特派办发布的《信息系统审计操作规则》。该操作规则相比《第2203号内部审计具体准则--信息系统审计》而言,操作性更强,两项规范在信息审计范围、阶段、方法、可操作性等方面存在差异(如表2所示)。
众所周知,注册会计师审计、内部审计和政府审计在信息系统审计对象方面并不存在巨大差异,三种类型的审计都可以运用相同的信息系统审计准则指导其审计活动,但《信息系统审计操作规则》与《第2203号内部审计具体准则--信息系统审计》却存在着重大差异。这种情况的出现,表明我国信息系统审计准则的制定还处于起步阶段,除国外的ISACA等机构的审计准则外,国内还没有具有权威性的现成信息系统审计准则可供参考,各个机构与部门都依据自身情况和需求制定相关的信息系统审计准则。对信息系统审计的内容、范围以及目标等方面业界认识比较一致,但在涉及准则制定时却有不同的看法。我国起步伊始的信息系统审计制度体系,如果存在规范不一问题,势必会使广大审计人员无所适从,这无疑不利于我国信息系统审计的健康发展,同时表明,我国迫切需要一套完善的信息系统审计准则。
二、我国信息系统审计准则制定弊端
当前,我国所发布的信息系统审计准则主要是围绕财务审计工作开展的,发布机构为中注协、中国内部审计协会和国家审计署,而非专门的信息系统审计准则制定机构。发布信息系统审计准则的目的在于更好地进行财务审计,而不是专门针对信息系统审计准则的。这种模式概括起来就是,以“财务审计”为中心的信息系统审计准则制定模式。例如,《审计署关于计算机审计的暂行规定》规定,国家审计机关有权根据相关法律对计算机财务系统开展审计活动;《审计机关计算机辅助审计方法》规定,为便于确定被审计单位使用计算机处理的信息对其财务收支的真实性、合法性是否会产生影响,被审计单位必须报送计算机应用系统开发的验收报告、申请使用该系统的报告、与之配套的管理制度和措施以及计算机应用系统变动情况等资料;《审计法》更是从法律上明确了审计机关检查财政财务收支信息系统的权力;《第2203号内部审计具体准则--信息系统审计》虽然从内容上来看是针对信息系统审计的,但其依据的基本准则为《内部审计基本准则》,财务审计是内部审计的主要内容,这也没有完全摆脱以“财务审计”为中心的信息系统审计准则制定模式。
这种以“财务审计”为中心的信息系统审计准则制定模式,准则或规范的发布主要是考虑信息技术已经影响到财务报告生产过程,为了更好地进行财务审计,而不是单纯地为制定信息系统审计准则。信息化的飞速发展使得非财务信息系统的审计变得日益重要,其重要程度在某些领域上已经超过财务信息系统的审计。我国信息系统审计准则的制定与发布不能仅仅围绕财务审计,这样会制约信息系统审计行为的开展。
信息系统不仅仅是输出财务报告的会计信息系统,信息系统审计所涵盖的内容包括内部控制审计、系统生命周期审计、信息系统软硬件审计、安全审计和信息系统绩效审计等。如果信息系统审计准则的制定仅仅是为了更好地进行财务审计,那么当系统生命周期审计、信息系统软硬件审计、安全审计以及信息系统绩效审计等提上议事日程时,现有的信息系统审计准则就远远不能起到引导和约束信息系统审计行为的作用。
而在国外,ISACA这样的机构专门制定信息系统审计准则,当面对服务于财务审计之外的信息系统审计时,ISACA有相应的审计准则、指南与程序用以引导和约束信息系统审计人员的审计行为。如美国审计署在对联邦存款保险计算机病毒保护程序进行审计时,ISACA所发布的审计程序病毒及其他恶意代码(P4)审计程序可以为其提供依据。在我国,信息系统审计准则制定的原动力来自于财务审计的需要。当面临其他类型的信息系统审计时,审计人员往往陷入不知所措的困境。因此,要使我国的信息系统审计准则缩短与国外先进的信息系统审计准则的差距,就必须摆脱为以“财务审计”为中心的信息系统审计准则制定模式。
