三、我国信息系统审计准则的构建
信息系统审计规范包括正式制度安排和非正式制度安排,其中正式制度安排包括信息系统审计职业道德规范、信息系统审计准则和其他相关规范(刘杰,2012)。本文所指的信息系统审计准则构建,只是正式制度安排的一部分,不包括审计职业道德规范和其他相关规范的构建。对于信息系统审计准则的构建,不仅要考虑信息系统审计准则制定内容,还要考虑信息系统审计准则制定的框架、模式和发布时间等。总体来讲,在信息系统审计准则制定的策略方面,我们应立足中国的现实,考虑国家文化特点(张文秀,2012),借鉴ISACA信息系统审计准则的先进经验,不再以“财务审计”为中心,重新建立起以“信息系统审计”为中心的准则制定模式。
(一)信息系统审计准则的框架
信息系统审计准则是“以管理为核心,法律法规为保障,技术为支撑”的信息系统审计框架体系。信息系统审计准则是一个规范的管理框架,把信息系统审计人员和被审计单位各自的权利、义务和责任等纳入管理框架内,解决各方因为职责不明确而影响信息系统审计质量的问题。由此可知,信息系统审计准则不仅可以使信息系统审计走上法制化、规范化的道路,同时有助于提升信息系统审计工作的质量,为政府或企事业单位的信息系统运行质量提供合理保证。信息系统审计准则的框架应合理满足上述要求,否则,审计准则的制定与发布将失去其意义。
在信息系统审计准则的体系结构上,我国可以借鉴ISACA的审计准则体系结构,即采用基本准则、审计指南与作业程序的结构。该体系结构是一个相对成熟的体系结构,既反映了ISACA对信息系统审计理论研究与实务研究的成果,又反映了ISACA信息系统审计准则制定的经验。采用基本准则、审计指南和作业程序的体系结构,体现了概念统一、前后有序和科学完整的特征(陈婉玲、杨文杰,2006)。在制定信息系统审计准则时,国内相关准则制定机构没有必要另外开发信息系统审计准则的体系结构,可以借鉴ISACA的先进经验,以基本准则为核心,开发适合我国国情的信息系统审计指南或信息系统审计作业程序。这种三层次的体系结构既考虑了信息系统审计准则体系的完整性、前瞻性,又考虑了审计准则体系的灵活性,可以为审计指南或作业程序中未规定的行为提供指导。
(二)信息系统审计准则的制定模式
在信息系统审计准则的发展策略方面 ,王会金(2012)认为,我国应借鉴国外成熟的信息系统审计准则,结合我国国情构建信息系统审计准则。对于信息系统审计准则制定模式的选择,国内信息系统审计准则制定机构也应当借鉴国外成熟信息系统审计准则制定的经验,摆脱以“财务审计”为中心的制定模式,转换为以“信息系统审计”为中心的制定模式。采用这种模式有利于建立全面、系统和完整的信息系统审计准则体系。
但信息系统审计准则制定模式的转换,需要整合中注协、中国内部审计协会和审计署的审计准则制定资源(刘杰、黄忠莉,2013),建立专门的信息系统审计准则制定机构。这主要是考虑到中注协、中国内部审计协会和审计署制定准则的主要目的在于指导财务审计活动,让其引领信息系统审计准则的制定会在一定程度上影响信息系统审计准则体系的构建,信息系统审计准则的制定也不能摆脱以“财务审计”为中心的模式。这同我国信息化飞速发展的速度是不相适应的。因此,笔者认为,建立以“信息系统审计”为中心的准则制定模式,需要成立专门的信息系统审计准则制定机构。
(三)信息系统审计准则的具体内容
信息系统审计准则包括民间审计准则、内部审计准则和政府审计准则。国外针对政府信息系统审计制定了专门的信息系统审计准则或规范,如美国审计总署(GAO)就制定了专门的《联邦信息系统控制审计手册》,这在信息系统审计准则制定资源相对富裕的情况下,是很有必要的。但由于我国当前信息系统审计准则制定资源相对短缺,因此应首先立足于制定针对民间审计的信息系统审计准则,内部信息系统审计和政府信息系统审计可以参照执行。这主要是考虑到信息系统审计在国家审计、内部审计以及注册会计师审计中不会存在显着的差异(刘杰、黄忠莉,2013)。
1.信息系统审计准则的总体规划。在准则制定的内容方面,国内外学者存在两种观点:①按照审计工作流程制定信息系统审计准则,即围绕审计计划、审计实施、审计报告和后续审计四个阶段规划信息系统审计准则;②按照审计任务制定信息系统审计准则,即围绕内部控制评价、信息系统开发和信息系统功能等规划信息系统审计准则的内容。
两种观点相比较而言,第一种观点更具有普遍适用性,准则的制定可以适应信息技术的飞速发展,而第二种观点要求准则制定面面俱到,不能有盲区出现。按照摩尔定律,集成电路板上可容纳的晶体管数目约每隔18个月便会增加一倍,性能也将提升一倍。在第二种观点下,现代信息技术的飞速发展可能会导致信息系统审计准则落后于审计实务,当审计人员面临新的信息系统问题或情况时可能会处于无所适从的状态。而按照审计工作流程制定的信息系统审计准则具有结构清晰与可扩展性强等特征。当信息系统审计准则落后于审计实务时,审计人员同样可根据基本准则以及对基本准则解析的审计指南执行审计工作。
综上对信息系统审计准则内容规划的论述可知,按审计工作流程规划信息系统审计准则的内容,是当前条件下信息系统审计准则制定的现实选择。
2.信息系统审计准则内容的具体规划。其应当包括基本准则、审计指南和作业程序三个组成部分。基本准则是审计指南和作业程序的基础,审计指南与作业程序的制定与发布应当符合基本准则的相关规定。
(1)信息系统审计基本准则应在借鉴ISACA基本准则内容的基础上,根据我国的国情进行规划。基本准则的内容应力求全面、完整地体现审计理论的基本内容,对审计章程、信息系统审计业务承接以及审计业务三方关系、审计评价标准、审计本质、审计目标、审计假设、审计计划、审计工作的实施、审计报告、后续工作和审计质量控制准则等进行规范与解释。上述内容涉及对基础概念的解释,这些基础概念的清晰度直接关系到信息系统审计目标的实现。若在信息系统审计基本准则中对这些基础概念界定不清晰,则可能会将信息系统审计引入误区。例如,部分审计机关及审计人员将信息系统审计的目标理解为查错纠弊,则对信息系统审计的理解也只能停留在计算机辅助审计层次上,不能针对信息系统进行审计。
审计理论或信息系统审计理论主要是用于指导、评估和发展信息系统审计准则、指南和审计程序。信息系统审计基本准则是准则的准则,是对审计理论或信息系统审计理论的全面反映,若将审计理论的内容排除在基本准则之外,信息系统审计指南和作业程序的制定将缺乏理论指导,飞速发展的信息技术也很可能使审计人员在面临崭新问题时陷入盲目的境地。因此,在信息系统审计基本准则中,应全面、完整地体现信息系统审计的定义、本质、目标和假设、审计程序、审计报告等,使其成为信息系统审计准则体系不可分割的组成部分。此外,在信息系统审计基本准则中,我国应对信息系统审计的评价标准进行规范。在审计和评价标准的选择方面,我国一方面可以结合本国文化特点和制度差异等移植ISACA的CO-BIT标准,另一方面可以开发适合我国国情的信息系统审计和评价标准。
(2)信息系统审计指南的具体内容分为两个层次,第一个层次是对信息系统审计基本准则的解释,第二个层次是信息系统审计的具体评审指南(如下图所示)。
