國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)基本準(zhǔn)則分析論文

　　審計(jì)規(guī)范的完善程度可以反映一個(gè)國(guó)家審計(jì)理論研究的先進(jìn)程度，這對(duì)信息系統(tǒng)審計(jì)準(zhǔn)則也同樣適用。自2008年中國(guó)內(nèi)部審計(jì)協(xié)會(huì)頒布《內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)---信息系統(tǒng)審計(jì)》以來(lái)，我國(guó)信息系統(tǒng)審計(jì)準(zhǔn)則的制定基本上處于停滯階段。在信息系統(tǒng)審計(jì)準(zhǔn)則的制定方面，僅僅是在2013將內(nèi)審28號(hào)準(zhǔn)則修改為《第2203號(hào)內(nèi)部審計(jì)具體準(zhǔn)則---信息系統(tǒng)審計(jì)》，內(nèi)容沒(méi)有進(jìn)行大的修改。上述現(xiàn)象的出現(xiàn)，筆者認(rèn)為同信息系統(tǒng)審計(jì)基本準(zhǔn)則的缺失息息相關(guān)。基本準(zhǔn)則是審計(jì)指南和審計(jì)程序制定的基礎(chǔ)，是準(zhǔn)則的準(zhǔn)則，基本準(zhǔn)則的優(yōu)劣直接關(guān)系著審計(jì)準(zhǔn)則體系的完善。到目前為止，我國(guó)信息系統(tǒng)審計(jì)準(zhǔn)則體系依賴的基本準(zhǔn)則主要是財(cái)務(wù)審計(jì)的基本準(zhǔn)則，屬于財(cái)務(wù)審計(jì)準(zhǔn)則制定的附屬品，與信息系統(tǒng)審計(jì)相關(guān)的準(zhǔn)則都零星地散落于注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則、政府審計(jì)準(zhǔn)則和內(nèi)部審計(jì)準(zhǔn)則中，沒(méi)有形成一套邏輯嚴(yán)密的信息系統(tǒng)審計(jì)準(zhǔn)則體系。因此，本文擬對(duì)國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（InformationSystems Audit and Control Association，以下簡(jiǎn)稱ISACA）的基本準(zhǔn)則進(jìn)行分析和解讀，提出我國(guó)信息系統(tǒng)審計(jì)基本準(zhǔn)則制定與完善的思路與政策建議。

　　一、ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則現(xiàn)狀

　　ISACA主要致立于信息系統(tǒng)審計(jì)準(zhǔn)則的制定與發(fā)布工作，截止2013年12月，ISACA 共發(fā)布了16項(xiàng)基本準(zhǔn)則、41項(xiàng)審計(jì)指南和11項(xiàng)作業(yè)程序，這些規(guī)范層次清晰，可操作性強(qiáng)。ISACA的信息系統(tǒng)審計(jì)準(zhǔn)則體系類似于注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則體系，ISACA的信息系統(tǒng)審計(jì)準(zhǔn)則體系由基本準(zhǔn)則、審計(jì)指南和作業(yè)程序構(gòu)成，此框架為信息系統(tǒng)審計(jì)人員執(zhí)業(yè)提供了多層次的指引。雖然ISACA成立于1969年，但其基本準(zhǔn)則的制定經(jīng)歷了一段很長(zhǎng)的時(shí)間，至1997年才發(fā)布信息系統(tǒng)審計(jì)基本準(zhǔn)則，包括審計(jì)章程、獨(dú)立性、職業(yè)道德和準(zhǔn)則、職業(yè)技術(shù)、審計(jì)計(jì)劃、實(shí)施審計(jì)工作、報(bào)告和后續(xù)工作八個(gè)部分，該準(zhǔn)則于1997年7月25日開始生效。隨著審計(jì)指南與作業(yè)程序的制定與發(fā)布以及對(duì)信息系統(tǒng)審計(jì)基本準(zhǔn)則可擴(kuò)展性的考慮，ISACA于2005年將1997年所發(fā)布的信息系統(tǒng)審計(jì)準(zhǔn)則拆分為八個(gè)基本準(zhǔn)則，并對(duì)原有內(nèi)容根據(jù)信息技術(shù)發(fā)展?fàn)顩r進(jìn)行了修訂。同時(shí)，于2005年9月之后陸續(xù)發(fā)布了S9到S16等其它八個(gè)基本準(zhǔn)則。

　　二、ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則解讀

　　信息系統(tǒng)審計(jì)基本準(zhǔn)則是信息系統(tǒng)審計(jì)準(zhǔn)則體系的基礎(chǔ)，其完善與否直接關(guān)系著整個(gè)審計(jì)準(zhǔn)則體系的完善。ISACA是全球信息系統(tǒng)審計(jì)準(zhǔn)則制定的領(lǐng)跑者，其在基本準(zhǔn)則制定方面存在的諸多優(yōu)勢(shì)可供我國(guó)制定信息系統(tǒng)審計(jì)基本準(zhǔn)則借鑒。

　�。ㄒ� ）基 本準(zhǔn)則與審計(jì)指南 、 審計(jì)程序的關(guān)系審計(jì)基本準(zhǔn)則是ISACA審計(jì)準(zhǔn)則體系的總綱和基礎(chǔ)，對(duì)信息系統(tǒng)審計(jì)指南和審計(jì)程序的制定起著指導(dǎo)作用。ISACA的審計(jì)指南與審計(jì)程序都是在基本準(zhǔn)則的指導(dǎo)下制定或推導(dǎo)出來(lái)的，基本準(zhǔn)則是審計(jì)指南與審計(jì)程序制定的基礎(chǔ)依據(jù)（如圖1所示）。同時(shí)，根據(jù)ISACA審計(jì)指南和審計(jì)程序的制定情況，將實(shí)際制定過(guò)程的情況反饋給基本準(zhǔn)則的制定過(guò)程，對(duì)基本準(zhǔn)則中的不足之處進(jìn)行改善，從而實(shí)現(xiàn)ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則對(duì)信息系統(tǒng)審計(jì)指南和審計(jì)程序的指導(dǎo)作用。信息系統(tǒng)審計(jì)人員根據(jù)ISACA發(fā)布的信息系統(tǒng)審計(jì)指南和審計(jì)程序開展審計(jì)工作，若審計(jì)指南和審計(jì)程序中沒(méi)有明確規(guī)定的，審計(jì)人員可以根據(jù)ISACA相關(guān)內(nèi)容的規(guī)定開展信息和信息系統(tǒng)審計(jì)活動(dòng)。

　　（二 ）信息系統(tǒng)審計(jì)基本準(zhǔn)則的主要內(nèi)容ISACA將16項(xiàng)信息系統(tǒng)審計(jì)基本準(zhǔn)則分為四個(gè)部分，包括：（1）審計(jì)章程；（2）對(duì)注冊(cè)信息系統(tǒng)審計(jì)師職業(yè)資格的要求，包括審計(jì)人員的獨(dú)立性要求、職業(yè)道德要求和職業(yè)能力要求；（3）信息系統(tǒng)審計(jì)計(jì)劃、審計(jì)實(shí)施、審計(jì)報(bào)告與后續(xù)審計(jì)等審計(jì)過(guò)程；（4）其它信息系統(tǒng)審計(jì)規(guī)定，包括不正當(dāng)及非法行為、IT治理、審計(jì)計(jì)劃中風(fēng)險(xiǎn)評(píng)估的利用等。在ISACA基本準(zhǔn)則中，審計(jì)章程是對(duì)信息系統(tǒng)審計(jì)人員的職能、責(zé)任、權(quán)力以及義務(wù)進(jìn)行規(guī)范，獨(dú)立性、職業(yè)道德和標(biāo)準(zhǔn)和專業(yè)勝任能力則是對(duì)信息系統(tǒng)審計(jì)人員的要求，信息系統(tǒng)審計(jì)計(jì)劃、審計(jì)實(shí)施、審計(jì)報(bào)告和后續(xù)審計(jì)對(duì)信息系統(tǒng)審計(jì)過(guò)程進(jìn)行規(guī)范，而其它信息系統(tǒng)審計(jì)規(guī)定主要是對(duì)前三項(xiàng)內(nèi)容進(jìn)行后續(xù)補(bǔ)充，即ISACA根據(jù)審計(jì)對(duì)象的特殊性，將IT治理、IT控制、電子商務(wù)等納入到基本準(zhǔn)則規(guī)定的范疇，并對(duì)基本準(zhǔn)則的相關(guān)概念進(jìn)行補(bǔ)充界定�？傮w上講，ISACA在信息系統(tǒng)審計(jì)的基本準(zhǔn)則方面是比較全面的，從審計(jì)職能的責(zé)任、權(quán)力、義務(wù)到信息系統(tǒng)審計(jì)工作執(zhí)行，審計(jì)報(bào)告的出具，ISACA都做了規(guī)定，基本準(zhǔn)則不僅考慮到了審計(jì)的一般性特點(diǎn)，同時(shí)也結(jié)合了信息系統(tǒng)審計(jì)的獨(dú)特性。

　　（三 ）ISACA信息系統(tǒng)審計(jì)基本準(zhǔn)則制定模式在基本準(zhǔn)則的制定模式方式，ISACA先根據(jù)審計(jì)工作的一般要求，先頒布S1到S8的基本準(zhǔn)則，對(duì)審計(jì)人員的職業(yè)能力以及信息系統(tǒng)審計(jì)的程序進(jìn)行規(guī)范，再結(jié)合信息系統(tǒng)審計(jì)的特點(diǎn)和要求，陸續(xù)頒布S9到S16等其它基本準(zhǔn)則，以填補(bǔ)先前所頒布的準(zhǔn)則的不足或缺陷（如表1）。這種基本準(zhǔn)則的制定模式，可擴(kuò)展性較強(qiáng)，適應(yīng)信息技術(shù)飛速發(fā)展的要求，ISACA可根據(jù)信息系統(tǒng)審計(jì)發(fā)展的要求彌補(bǔ)基本準(zhǔn)則存在的不足與缺陷。

　　（四 ）ISACA信 息系統(tǒng)審計(jì)基本準(zhǔn)則存在的問(wèn)題ISACA盡管在基本準(zhǔn)則方面的內(nèi)容比較全面，形成了較為系統(tǒng)的信息系統(tǒng)審計(jì)準(zhǔn)則體系，但通過(guò)深入研究可以發(fā)現(xiàn)ISACA的基本準(zhǔn)則體系仍存在不足之處。這些不足之處也為我國(guó)制定專門的信息系統(tǒng)審計(jì)基本準(zhǔn)則提供了指導(dǎo)。

　�。�1）信息系統(tǒng)審計(jì)基本準(zhǔn)則包含審計(jì)職業(yè)道德規(guī)范的內(nèi)容，不利于信息系統(tǒng)審計(jì)職業(yè)道德規(guī)范的發(fā)展。在信息系統(tǒng)審計(jì)基本準(zhǔn)則的制定過(guò)程中，ISACA將審計(jì)獨(dú)立性、職業(yè)道德以及職業(yè)能力等審計(jì)職業(yè)道德規(guī)范一并納入基本準(zhǔn)則中，這三項(xiàng)審計(jì)職業(yè)道德規(guī)范應(yīng)從基本準(zhǔn)則中獨(dú)立出來(lái)。若將審計(jì)職業(yè)道德規(guī)范一并納入到基本準(zhǔn)則之中，不利于建立專門化的信息系統(tǒng)審計(jì)職業(yè)道德規(guī)范體系。信息系統(tǒng)審計(jì)職業(yè)道德規(guī)范同信息系統(tǒng)審計(jì)準(zhǔn)則處于同樣重要的地位，將其納入信息系統(tǒng)審計(jì)基本準(zhǔn)則的范疇會(huì)降低準(zhǔn)則制定機(jī)構(gòu)的重視程度，而將其單獨(dú)出來(lái)有利于建立層次分明，自成體系的審計(jì)職業(yè)道德規(guī)范體系，體現(xiàn)審計(jì)職業(yè)道德在信息系統(tǒng)審計(jì)中的重要性。

　�。�2）基本準(zhǔn)則沒(méi)有完整體現(xiàn)信息系統(tǒng)審計(jì)理論結(jié)構(gòu)的內(nèi)容。信息系統(tǒng)審計(jì)理論結(jié)構(gòu)是信息系統(tǒng)審計(jì)規(guī)范制定的理論基礎(chǔ)，ISACA所頒布的基本準(zhǔn)則沒(méi)有完整體現(xiàn)信息系統(tǒng)審計(jì)理論結(jié)構(gòu)的內(nèi)容，即沒(méi)有對(duì)信息系統(tǒng)審計(jì)進(jìn)行定義，沒(méi)有規(guī)定信息系統(tǒng)審計(jì)本質(zhì)、審計(jì)目標(biāo)、審計(jì)假設(shè)、審計(jì)質(zhì)量控制等內(nèi)容。具有摩爾定律發(fā)展速度的信息技術(shù)使信息系統(tǒng)變得越來(lái)越復(fù)雜，網(wǎng)絡(luò)安全及信息系統(tǒng)安全問(wèn)題也變得越來(lái)越重要。信息系統(tǒng)審計(jì)人員在面臨新的審計(jì)環(huán)境時(shí)，需要審計(jì)規(guī)范加以引導(dǎo)和約束，而在信息系統(tǒng)審計(jì)基本準(zhǔn)則中界定審計(jì)的本質(zhì)、目標(biāo)、假設(shè)以及信息系統(tǒng)審計(jì)質(zhì)量控制等內(nèi)容有利于正確引導(dǎo)信息系統(tǒng)審計(jì)人員的審計(jì)行為，界定信息系統(tǒng)審計(jì)以及審計(jì)范圍，可以在飛速發(fā)展的信息社會(huì)中出現(xiàn)新信息技術(shù)問(wèn)題時(shí)不至于使審計(jì)人員陷入判斷新領(lǐng)域是否屬于信息系統(tǒng)審計(jì)范疇的境地。審計(jì)質(zhì)量控制是信息系統(tǒng)審計(jì)理論的重要組成部分，也是信息系統(tǒng)審計(jì)準(zhǔn)則的主要構(gòu)成內(nèi)容之一。審計(jì)質(zhì)量就是審計(jì)活動(dòng)對(duì)公認(rèn)審計(jì)準(zhǔn)則或標(biāo)準(zhǔn)的遵循程度。非法使用者出于娛樂(lè)、報(bào)復(fù)或利益等目的而侵入計(jì)算機(jī)（Palmer，2001），Garg、Curtis和Hapler（2003）估計(jì)安全事件對(duì)普通的公開上市公司來(lái)說(shuō)，其市場(chǎng)影響占到年銷售額的0.5%到1.0%.除了病毒和蠕蟲之外，組織還可能遭受DOS攻擊，這是21世紀(jì)代價(jià)第二昂貴的網(wǎng)絡(luò)犯罪，估計(jì)其損失達(dá)6500萬(wàn)美元，而新發(fā)展的DDOS的威脅很現(xiàn)實(shí)，每周有超過(guò)4000次的DDOS攻擊，新型的DOS正在不斷地被制造出來(lái)，例如，DROS用偽造的有效數(shù)據(jù)包沖垮服務(wù)器 （Joyce，2002）。Bell實(shí)驗(yàn)室的網(wǎng)絡(luò)研究副總裁Krishan Sabnani表示，最新的DOS攻擊將威脅無(wú)線網(wǎng)絡(luò)。審計(jì)質(zhì)量是信息系統(tǒng)審計(jì)的基礎(chǔ)，沒(méi)有質(zhì)量保證的信息系統(tǒng)審計(jì)行為，不僅不能為企業(yè)信息系統(tǒng)的可靠性、安全性等提供保證，反而會(huì)給企業(yè)帶來(lái)更大的損失。在ISACA的基本準(zhǔn)則中，尚不存在審計(jì)質(zhì)量控制方面的規(guī)定，這有待于ISACA審計(jì)準(zhǔn)則制定機(jī)構(gòu)完善審計(jì)質(zhì)量控制方面的基本準(zhǔn)則，或是單獨(dú)建立信息系統(tǒng)審計(jì)質(zhì)量控制準(zhǔn)則體系。

　　三、對(duì)我國(guó)信息系統(tǒng)審計(jì)基本準(zhǔn)則制定的借鑒與啟示

　　我國(guó)信息系統(tǒng)審計(jì)準(zhǔn)則的制定尚處于起步階段，當(dāng)前頒布的信息系統(tǒng)審計(jì)準(zhǔn)則主要依附于財(cái)務(wù)審計(jì)準(zhǔn)則。無(wú)論是在信息系統(tǒng)審計(jì)準(zhǔn)則的數(shù)量上，還是質(zhì)量上，我國(guó)與ISACA發(fā)布的信息系統(tǒng)審計(jì)體系都存在相當(dāng)大的差距。這與信息系統(tǒng)審計(jì)基本準(zhǔn)則的缺失息息相關(guān)，信息系統(tǒng)審計(jì)基本準(zhǔn)則的缺失使得具體審計(jì)準(zhǔn)則或?qū)徲?jì)指南、審計(jì)程序的制定只能依附于財(cái)務(wù)審計(jì)準(zhǔn)則的制定。為加快信息系統(tǒng)審計(jì)基本準(zhǔn)則建設(shè)的步伐，筆者認(rèn)為應(yīng)當(dāng)加快信息系統(tǒng)審計(jì)基本準(zhǔn)則的制定步伐，借鑒ISACA的信息系統(tǒng)審計(jì)基本準(zhǔn)則，制定適合我國(guó)國(guó)情的信息系統(tǒng)審計(jì)基本準(zhǔn)則，為信息系統(tǒng)審計(jì)準(zhǔn)則體系的完善奠定基礎(chǔ)。

　�。ㄒ� ）借鑒ISACA的準(zhǔn)則制定模式 ，樹立以信息系統(tǒng)審計(jì)基本準(zhǔn)則為導(dǎo)向的審計(jì)準(zhǔn)則制定理念在信息系統(tǒng)審計(jì)基本準(zhǔn)則缺失的前提條件下，我國(guó)當(dāng)前的信息系統(tǒng)審計(jì)準(zhǔn)則只能依附于財(cái)務(wù)審計(jì)準(zhǔn)則的制定，不能形成較為完善的信息系統(tǒng)審計(jì)規(guī)范體系。信息系統(tǒng)審計(jì)具體準(zhǔn)則也只能由財(cái)務(wù)審計(jì)的基本準(zhǔn)則推導(dǎo)出來(lái)，信息系統(tǒng)審計(jì)準(zhǔn)則或規(guī)范的頒布主要是考慮到信息技術(shù)已經(jīng)影響到財(cái)務(wù)報(bào)告生產(chǎn)過(guò)程，為了更好的進(jìn)行財(cái)務(wù)審計(jì)，而不是單純的為制定信息系統(tǒng)審計(jì)準(zhǔn)則。信息化的浪潮正在席卷社會(huì)的各個(gè)角落，信息系統(tǒng)已經(jīng)成為政府、企事業(yè)單位不可缺少的組成部分。企業(yè)信息化與政務(wù)信息化正在逐步擴(kuò)大信息系統(tǒng)審計(jì)的范圍，已經(jīng)超出會(huì)計(jì)信息系統(tǒng)的范圍，信息系統(tǒng)的安全、軟硬件以及開發(fā)生命周期等都已成為信息系統(tǒng)審計(jì)的范圍，而且這些審計(jì)范圍變得越來(lái)越重要。因此，我國(guó)信息系統(tǒng)審計(jì)準(zhǔn)則的制定，其審計(jì)目標(biāo)不能再僅僅局限于財(cái)務(wù)審計(jì)的目標(biāo)，需要一個(gè)完善的信息系統(tǒng)審計(jì)準(zhǔn)則體系為審計(jì)人員審計(jì)信息系統(tǒng)安全、軟硬件以及系統(tǒng)開發(fā)生命周期服務(wù)。依附于財(cái)務(wù)審計(jì)準(zhǔn)則制定模式的轉(zhuǎn)變需要建立屬于信息系統(tǒng)審計(jì)準(zhǔn)則體系構(gòu)建的基本準(zhǔn)則，樹立以“以信息系統(tǒng)審計(jì)基本準(zhǔn)則為導(dǎo)向”的理念，由基本準(zhǔn)則推導(dǎo)具體準(zhǔn)則、審計(jì)指南或?qū)徲?jì)程序的制定，由基本準(zhǔn)則指導(dǎo)具體審計(jì)準(zhǔn)則缺失的“真空地帶”，有效指導(dǎo)信息系統(tǒng)審計(jì)人員的審計(jì)行為。

　　（二 ）在審計(jì)署的推動(dòng)下 ，成立類似 ISACA的信息系統(tǒng)審計(jì)準(zhǔn)則制定機(jī)構(gòu)到目前為止，我國(guó)具有真正意義的信息系統(tǒng)審計(jì)準(zhǔn)則是中國(guó)內(nèi)審協(xié)會(huì)頒布的第2203號(hào)內(nèi)部審計(jì)具體準(zhǔn)則，該準(zhǔn)則的基本準(zhǔn)則為《內(nèi)部審計(jì)基本準(zhǔn)則》，而《內(nèi)部審計(jì)基本準(zhǔn)則》主要是為了規(guī)范內(nèi)部審計(jì)工作，明確內(nèi)部審計(jì)機(jī)構(gòu)和審計(jì)人員職責(zé)，不是專門針對(duì)信息系統(tǒng)審計(jì)工作的。因此，中國(guó)內(nèi)部審計(jì)協(xié)會(huì)制定信息系統(tǒng)審計(jì)準(zhǔn)則，只是為完善內(nèi)部審計(jì)準(zhǔn)則體系，而不對(duì)信息系統(tǒng)審計(jì)準(zhǔn)則體系進(jìn)行系統(tǒng)型的研究。出現(xiàn)這些情況雖然同信息系統(tǒng)審計(jì)基本準(zhǔn)則的缺失息息相關(guān)，但更深層次的原因在于我國(guó)沒(méi)有類似ISACA的信息系統(tǒng)審計(jì)準(zhǔn)則制定專門機(jī)構(gòu)。我國(guó)要建立完善的信息系統(tǒng)審計(jì)準(zhǔn)則體系，其首要任務(wù)在于成立類似ISACA的信息系統(tǒng)審計(jì)準(zhǔn)則制定組織，由其統(tǒng)一制定與發(fā)布信息系統(tǒng)審計(jì)的基本準(zhǔn)則、具體準(zhǔn)則或?qū)徲?jì)指南、審計(jì)程序。ISACA的成立是由同類職業(yè)團(tuán)體組建而成的，在我國(guó)類似的職業(yè)團(tuán)體幾乎不存在。因此，信息系統(tǒng)審計(jì)準(zhǔn)則制定機(jī)構(gòu)的成立不能采用ISACA的成立模式，應(yīng)采取行政的力量或手段推動(dòng)其成立，由中華人民共和國(guó)審計(jì)署整合中注協(xié)、內(nèi)審計(jì)協(xié)會(huì)和審計(jì)署內(nèi)部的信息系統(tǒng)審計(jì)準(zhǔn)則制定資源，成立類似ISACA的信息系統(tǒng)審計(jì)組織。這種依靠行政力量的模式，可以在短時(shí)期內(nèi)完成組織的成立過(guò)程，從而避免信息系統(tǒng)審計(jì)組織長(zhǎng)期缺失對(duì)我國(guó)信息系統(tǒng)審計(jì)準(zhǔn)則體系完善的影響。

　�。ㄈ� ）借鑒ISACA基本準(zhǔn)則 ，構(gòu)建適合我國(guó)國(guó)情 的信息系統(tǒng)審計(jì)基本準(zhǔn)則筆者認(rèn)為信息系統(tǒng)審計(jì)規(guī)范包括正式制度安排和非正式制度安排。信息系統(tǒng)審計(jì)基本屬于正式制度安排的范疇。雖然ISACA基本準(zhǔn)則存在著一些不足之處，但I(xiàn)SACA在基本準(zhǔn)則制定方面仍存在許多可供借鑒的地方。我國(guó)信息系統(tǒng)審計(jì)基本準(zhǔn)則的制定應(yīng)在借鑒ISACA基本準(zhǔn)則的基礎(chǔ)上，根據(jù)我國(guó)的實(shí)際情況制定。筆者認(rèn)為，信息系統(tǒng)審計(jì)基本準(zhǔn)則的內(nèi)容應(yīng)包括：

　�。�1） 審計(jì)章程；

　�。�2）信息系統(tǒng)審計(jì)業(yè)務(wù)承接以及審計(jì)業(yè)務(wù)三方關(guān)系；

　�。�3）審計(jì)評(píng)價(jià)標(biāo)準(zhǔn)；

　�。�4）審計(jì)本質(zhì)；

　　（5）審計(jì)目標(biāo)；

　　（6）審計(jì)假設(shè)；

　　（7）審計(jì)計(jì)劃；

　　（8）審計(jì)工作的實(shí)施；

　　（9）審計(jì)報(bào)告；

　�。�10）后續(xù)工作；

　　（11）審計(jì)質(zhì)量控制準(zhǔn)則；

　　（12）其他。

　　需要特別指出的是，信息系統(tǒng)審計(jì)評(píng)價(jià)標(biāo)準(zhǔn)在信息系統(tǒng)審計(jì)過(guò)程中扮演著十分重要的角色。標(biāo)準(zhǔn)是指用于評(píng)價(jià)或計(jì)量鑒證對(duì)象的基準(zhǔn)。標(biāo)準(zhǔn)可以是正式的規(guī)定，如國(guó)家頒布的相關(guān)法律、法規(guī)；也可以是某些非正式的規(guī)定，如單位內(nèi)部制定的內(nèi)部控制制度。信息系統(tǒng)審計(jì)人員在運(yùn)用職業(yè)判斷對(duì)信息系統(tǒng)做出合理一致的評(píng)價(jià)或計(jì)量時(shí)，需要有適當(dāng)?shù)臉?biāo)準(zhǔn)。缺乏信息系統(tǒng)審計(jì)評(píng)價(jià)標(biāo)準(zhǔn)，將不利于指導(dǎo)信息系統(tǒng)審計(jì)人員選擇判斷標(biāo)準(zhǔn)，進(jìn)行合理的職業(yè)判斷。因此，我國(guó)構(gòu)建信息系統(tǒng)審計(jì)基本準(zhǔn)則，應(yīng)當(dāng)對(duì)信息系統(tǒng)審計(jì)的評(píng)價(jià)標(biāo)準(zhǔn)進(jìn)行界定，以指導(dǎo)審計(jì)人員的信息系統(tǒng)審計(jì)行為。

　�。� 四 ） 將 審 計(jì)職業(yè)道德 規(guī)范排除 在信息系統(tǒng)審計(jì)基本準(zhǔn)則 之外， 構(gòu)建專門的信息系統(tǒng)審計(jì)職業(yè)道德規(guī)范信息系統(tǒng)審計(jì)準(zhǔn)則或信息系統(tǒng)審計(jì)規(guī)范的正式制定安排包括信息系統(tǒng)審計(jì)職業(yè)道德規(guī)范、信息系統(tǒng)審計(jì)準(zhǔn)則和其他信息系統(tǒng)審計(jì)準(zhǔn)則。由此可知，應(yīng)當(dāng)建立單獨(dú)的信息系統(tǒng)審計(jì)職業(yè)道德規(guī)范，而不是同信息系統(tǒng)審計(jì)準(zhǔn)則混合起來(lái)。信息系統(tǒng)審計(jì)基本準(zhǔn)則是信息系統(tǒng)審計(jì)準(zhǔn)則這種制度安排的主要內(nèi)容之一。為建立合理的信息系統(tǒng)審計(jì)準(zhǔn)則或偏私系統(tǒng)審計(jì)規(guī)范體系，應(yīng)當(dāng)剔除職業(yè)道德的內(nèi)容，將職業(yè)道德的內(nèi)容并入信息系統(tǒng)審計(jì)職業(yè)道德規(guī)范體系中，建立專門的信息系統(tǒng)審計(jì)職業(yè)道德規(guī)范。

　�。ㄎ� ）建立具有可擴(kuò)展性的信息系統(tǒng)審計(jì)基本準(zhǔn)則現(xiàn)代信息技術(shù)以“摩爾定律”的速度正在飛速發(fā)展，信息系統(tǒng)審計(jì)基本準(zhǔn)則的制定應(yīng)當(dāng)與之相適應(yīng)，形成一種開放性的信息系統(tǒng)審計(jì)基本準(zhǔn)則制定方式，以滿足現(xiàn)代信息技術(shù)飛速發(fā)展的要求。在這個(gè)方面，我國(guó)可以借鑒ISACA基本準(zhǔn)則的制定模式，建立具有可擴(kuò)展性的基本準(zhǔn)則制定模式。這主要是考慮到基本準(zhǔn)則在實(shí)際執(zhí)行過(guò)程中會(huì)存在著許多問(wèn)題和不足之處，若遇到現(xiàn)有信息系統(tǒng)審計(jì)基本準(zhǔn)則的不足之處就重新制訂新的基本準(zhǔn)則會(huì)浪費(fèi)大量資源。因此，我國(guó)應(yīng)首先發(fā)布一批相對(duì)成熟的基本準(zhǔn)則，后期若遇到問(wèn)題時(shí)，再發(fā)布基本準(zhǔn)則對(duì)前期發(fā)布的準(zhǔn)則進(jìn)行補(bǔ)充。這種開放性的、可擴(kuò)展的審計(jì)準(zhǔn)則制定模式不僅可以彌補(bǔ)前期基本準(zhǔn)則的不足，同時(shí)也可以減少重新修訂基本準(zhǔn)則對(duì)信息系統(tǒng)審計(jì)人員的沖擊和節(jié)約準(zhǔn)則制定成本。

　　（六 ）加強(qiáng)中注協(xié) 、內(nèi)審 協(xié) 會(huì) 和國(guó)家 審計(jì)署的 溝通協(xié)調(diào)眾所周之，信息系統(tǒng)審計(jì)業(yè)務(wù)可以單獨(dú)開展，也可以和財(cái)務(wù)審計(jì)以及其他業(yè)務(wù)審計(jì)一起執(zhí)行。但在當(dāng)前審計(jì)實(shí)務(wù)中，信息系統(tǒng)審計(jì)業(yè)務(wù)工作的開展通常是和財(cái)務(wù)審計(jì)或其他業(yè)務(wù)審計(jì)一同開展的，這就要求在制定和頒布信息系統(tǒng)審計(jì)基本準(zhǔn)則時(shí)，加強(qiáng)與中注協(xié)、中國(guó)內(nèi)部審計(jì)協(xié)會(huì)和國(guó)家審計(jì)署的溝通協(xié)調(diào)工作，就基本準(zhǔn)則的內(nèi)容以及信息系統(tǒng)審計(jì)準(zhǔn)則如何與注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則、內(nèi)部審計(jì)準(zhǔn)則和國(guó)家審計(jì)準(zhǔn)則一致進(jìn)行探討，以增強(qiáng)信息系統(tǒng)審計(jì)基本準(zhǔn)則的實(shí)用性。

　　隨著現(xiàn)代信息技術(shù)的發(fā)展與運(yùn)用，信息系統(tǒng)審計(jì)這一職業(yè)已經(jīng)得到了一定程度的發(fā)展，理論界與實(shí)務(wù)界也越來(lái)越重視這一領(lǐng)域。筆者關(guān)于信息系統(tǒng)審計(jì)基本準(zhǔn)則的許多觀點(diǎn)尚不成熟，還有待進(jìn)一步改進(jìn)，希望通過(guò)本文的研究能引起理論界和實(shí)務(wù)界對(duì)于信息系統(tǒng)審計(jì)準(zhǔn)則研究的關(guān)注，讓更多的理論工作者與實(shí)務(wù)工作者參與到這一過(guò)程中，完善我國(guó)信息系統(tǒng)審計(jì)規(guī)范體系。

　　參考文獻(xiàn)：

　　[1]馬良渝、潘婉霞：《ISACA信息系統(tǒng)審計(jì)準(zhǔn)則體系淺析》，《中國(guó)管理信息化》2007年第3期。

　　[2]蔡春：《審計(jì)理論結(jié)構(gòu)研究》，東北財(cái)經(jīng)大學(xué)出版社2001年版。

　　[3]ISACA IS Standards， Guidelines and Procedures for Auditingand Control Professionals .ISACA， 2009.

　　[4]G41-Return on Security Investment.ISACA， 2010.

　　[5]G42-Continuous Audit.ISACA， 2010.

　　[6]Joyce， J.Disributed Denial of Service Attacks.ScientificComputing & Instrumentation， 2002， June:12-47

　　[7]Palmer， C. C.Ethical Hacking .IBM System Journal， 2001，（03）：769-780.

　　[8]Garg， A.， J. Curtis， and H. Halper.The Financial Impact ofIT Security Breaches: What Do Investors Think? .InformationSystems Security， 2003， March/April:22-32.

【國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)基本準(zhǔn)則分析論文】相關(guān)文章：

審計(jì)準(zhǔn)則變遷的制度經(jīng)濟(jì)學(xué)分析論文12-04

國(guó)際認(rèn)證協(xié)會(huì)(IPA)03-30

環(huán)境審計(jì)的探討與分析11-28

《審計(jì)》分析程序的運(yùn)用11-28

聯(lián)網(wǎng)審計(jì)的利與弊分析11-28

怎樣整理與分析審計(jì)證據(jù)10-13

全面分析聯(lián)網(wǎng)審計(jì)的利弊11-28

環(huán)境績(jī)效審計(jì)方法分析11-28

簡(jiǎn)述審計(jì)分析中引入杜邦分析體系11-28

南海公司案例分析審計(jì)作業(yè)11-28