我国信息系统审计准则制定弊端与完善(3)

　　在信息系统审计指南的具体内容方面，我国的信息系统审计指南应当与ISACA所发布的审计指南保持基本一致，其最主要的区别在于信息系统基本审计准则的解释指南方面。在基本准则部分，笔者强调，应全面、完整地体现信息系统审计的定义、本质、目标和假设、审计程序、审计报告等内容，因此，在审计指南中也应有相关的解释指南。在信息系统审计指南方面，需要特别强调的是，ISACA在2010年发布了《信息系统审计指南第41号--安全投资收益评审》，这表明ISACA已经开始关注信息系统投资绩效的审计问题。随着我国经济的发展，企业或政府在信息化资金方面的投入呈现不断增长的趋势。在此背景下，企业不得不应对如何科学、准确、公正地评价企业的信息系统效率、效益和效果以及软硬件资产的保护问题。因此，信息系统的具体评审指南，应注重发布对信息系统投资收益评审与信息系统软硬件评审的相关指南。
　　
　　（3）信息系统审计的作业程序不具有强制性，只是对审计实践中的网络入侵检测、防火墙、数字签名、电子资金转账等特殊问题提供指导性意见。截至2013年4月，ISACA已经发布了11项作业程序，这11项作业程序主要是关于信息系统风险管控与安全问题的作业程序。我国可以对比这11项作业程序制定与发布同我国国情相适应的审计作业程序。同时，随着企业对知识管理能力重视程度的提高，对企业知识管理能力评估的作业程序也应当成为信息系统审计作业程序的重要组成部分，以指导企业对自我知识管理能力的评估。
　　
　　3.信息系统审计准则制定需要注意的问题。信息系统审计准则的制定是一项庞大的系统工程，对于每一项基本准则、审计指南和审计程序具体内容的制定，都应当立足国情、广开言路，发挥审计准则制定机构、信息系统审计实践部门以及其他各方力量的作用，加强各方的沟通与协调工作，积极听取各方意见，尤其要注重吸收信息系统审计实践部门的意见。
　　
　　在基本准则、审计指南与作业程序的各项具体内容上，除参考IIA与ISACA的审计准则之外，也应当积极借鉴我国现存的信息系统审计准则或规范，一些成熟的信息系统审计实践准则或规范可以在修订的基础上由信息系统审计准则制定机构发布。如审计署京津冀特派办发布的《信息系统审计操作规则》，该规则对信息系统审计阶段以及每个阶段的审计内容、步骤及方法等都做了深入、详细的规定。虽然该操作规则主要是针对检测信息系统的内部控制问题，而内部控制审计仅仅是信息系统审计的一个重要组成部分，因此该操作规则不能称为完整意义上的信息系统审计准则，但该操作规则对我国信息系统内部控制审计准则的构建具有重要的借鉴意义。这些信息系统审计准则或规范来源于我国信息系统审计实践，符合我国国情，因此应当予以借鉴。
　　
　　（四）信息系统审计准则的制定与发布
　　
　　1.信息系统审计准则制定与发布的规划。信息系统审计准则的制定、发布可以参照ISACA的做法：首先制定与发布基本准则，然后在基本准则的基础上，有计划、有步骤地制定审计指南和作业程序，按照信息系统审计实践需求的轻重缓急制定审计准则，准则的制定与发布采用“完成一项、发布一项、实施一项”的方式（陈婉玲、杨文杰，2006）。
　　
　　ISACA基本准则的雏形在1997年就已经制定并发布。2005年随着审计指南与作业程序的制定与发布，ISACA将1997年发布的信息系统审计准则拆分成八项，并对基本准则的内容进行了修订，2005年9月以后发布了相关的补充准则以弥补前面八项准则的不足。
　　
　　审计指南是根据基本准则制定的，因此ISACA发布的信息系统审计指南在时间上晚于基本准则，第1号审计指南的发布时间为1998年1月1日，生效日期为1998年6月1日。截止到2003年1月1日生效的前20项审计指南基本上都属于审计指南的第一个层次，即对信息系统审计的基本准则进行解释，这些审计指南也事关信息系统审计流程，是信息系统审计实践急需的，因此，ISACA首先致力于与信息系统审计流程相关或实践急需的基本准则与审计指南的制定与发布。
　　
　　随着B2C电子商务、ERP系统、网上银行、计算机信息系统、互联网的广泛运用以及企业业务流程再造的开展，ISACA陆续制定与发布了B2C电子商务审核、企业资源计划系评审计、网上银行、系统开发生命周期审核、虚拟专用网络评审、企业流程再造项目审核等具体项目审计指南。同时，为弥补前面所发布的审计指南在后续审计、责任、权利和义务、保密以及审计方法等方面的不足，ISACA也根据信息系统审计实践，修订和发布了相关指南。
　　
　　在ISACA所发布的作业程序方面，第1号作业程序的生效时间相对更晚，这主要是考虑到作业程序需要基本审计准则与审计指南应用于实践之后，从信息系统审计实践中进行提炼。
　　
　　由此可见，ISACA信息系统审计准则的发布是根据先基本准则，后审计指南，最后才是作业程序的顺序来进行的。而在基本准则与审计指南中，先发布信息系统审计实践急需的规范，再发布具体项目的信息系统审计指南以及基本准则的补充准则。
　　
　　2.信息系统审计准则制定与发布应注意的问题。在信息系统审计准则制定方面，我国没有现成的经验可供借鉴，且信息系统审计准则制定资源短缺（刘杰、黄忠莉，2013），所发布的基本准则或审计指南可能存在诸多不足之处，但并不影响信息系统审计基本准则的发布。准则制定机构随后可以根据审计实践的调查与反馈，采用补充准则的方式对基本准则加以完善。
　　
　　在信息系统审计指南方面，制定有关审计工作流程方面的指南也是当务之急，即制定与发布利用其他审计人员的成果、审计取证、信息系统业务外包情况下的审计、审计业务承接、信息系统审计中的重要性概念、审计文档、审计抽样、信息系统控制的效果、审计计划中风险评估的运用、应用系统评审、审计计划修订、第三方对信息系统控制的影响、标准、IT治理、审计报告以及后续审计等审计指南。
　　
　　在具体项目的信息系统审计指南方面，准则制定机构应加强与实践机构或部门的沟通，调查当前急需的信息系统审计指南，对急需的审计指南首先制定与发布。例如，有关电子商务评审的审计指南，随着2005年《电子商务签名法》的发布以及电子商务在企业中的广泛应用，中注协制定了《中国注册会计师审计准则第1633号--电子商务对财务报表审计的影响》。该准则指出：注册会计师按照本准则的规定对电子商务进行考虑，旨在对财务报表形成审计意见，而非对电子商务系统或活动本身提出鉴证结论或咨询意见。该准则与ISACA发布的第22号审计指南存在着巨大差距。在《B2C电子商务评审》中，ISACA对B2C电子商务评审问题进行了深入、详细的阐述。我国应当结合审计实践尽早制定B2C电子商务评审等相关审计指南。
　　
　　至于作业程序的制定与发布，准则制定机构应当加强对信息系统审计实践的调查研究，作业程序的内容应当借鉴国内信息系统审计实践中成熟的审计操作规则，而不是完全照搬、照抄ISACA的信息系统审计作业程序，对当前审计实践急需的作业程序先制定、先发布。
　　
　　综上对信息系统审计准则制定模式、具体内容以及制定与发布等问题的论述，准则制定机构应当立足于我国国情，谨慎对待信息系统审计准则制定过程中出现的方方面面问题，这样才能制定出符合我国国情的信息系统审计准则。
　　
　　主要参考文献
　　
　　1.王会金。论信息系统审计准则在我国的需求与发展。南京审计学院学报，2012;11
　　2.张文秀。国外信息系统审计规范、国家文化差异与制度移植。审计研究，2012;5
　　3.刘杰，信息系统审计准则的制度形成机制与体系结构。财会月刊，2012;3
　　4.刘杰，黄忠莉。我国信息系统审计准则制定的组织际资源整合。财会月刊，2013;7
　　5.李汉文，刘杰。我国信息系统审计规范的非均衡性研究。财会月刊，2010;4
　　6.应明来，阳杰。美国IT控制的审计规范体系解读与启示。经济管理，2009;11