信息系統(tǒng)審計概念及其四個國際準則論文

　　一、引言

　　信息系統(tǒng)審計（IS Audit）的概念最早出現(xiàn)于20世紀60年代，會計電算化的發(fā)展使得審計人員開始關(guān)注電子數(shù)據(jù)的采集、分析與處理，被人們稱為EDP審計，這是信息系統(tǒng)審計的早期萌芽。20世紀90年代，信息系統(tǒng)日益復(fù)雜，如何保障信息系統(tǒng)的安全、可靠和有效變得越來越重要，信息系統(tǒng)審計開始在美、日、澳、英等國普及起來。2001年，國家審計署將注冊信息系統(tǒng)審計師（CISA）考試引入我國，十余年來各行各業(yè)都開展了如火如荼的信息系統(tǒng)審計實踐。準則是審計工作的基本規(guī)范，信息系統(tǒng)審計準則是信息系統(tǒng)審計師共同遵循的標準，對于促進信息系統(tǒng)審計行業(yè)發(fā)展具有重要意義。日本通產(chǎn)省 （Ministry of Economy Trade and Industry，簡稱METI）早在1985年就頒布了信息系統(tǒng)審計準則，還成立了日本系統(tǒng)審計師協(xié)會 （JSSA）。

　　美國也成立了信息系統(tǒng)審計與控制協(xié)會（ISACA），制定和頒布了一系列信息系統(tǒng)審計準則指南，并在全球

　　范圍內(nèi)應(yīng)用推廣。我國審計署以實務(wù)公告形式頒布了《信息系統(tǒng)審計指南》，中國內(nèi)部審計協(xié)會也以具體準則形式頒布了信息系統(tǒng)審計準則，為規(guī)范我國的信息系統(tǒng)審計實踐提供了重要參考。然而，由于信息系統(tǒng)審計的技術(shù)復(fù)雜性，以及我國信息化發(fā)展的階段特征等客觀原因，目前我國的信息系統(tǒng)審計理論與實務(wù)研究都尚處于百花爭放時期，關(guān)于信息系統(tǒng)審計對象、范圍和目標等基礎(chǔ)概念的理解眾口不一，更是缺少系統(tǒng)化的信息系統(tǒng)審計準則體系，嚴重制約了我國信息系統(tǒng)審計行業(yè)的發(fā)展。

　　二、信息系統(tǒng)審計概念內(nèi)涵

　　信息系統(tǒng)審計概念，國內(nèi)外尚沒有統(tǒng)一定義。美國著名學(xué)者Ron A·Weber認為，IS審計是一個獲取證據(jù)，對信息系統(tǒng)是否能保證資產(chǎn)的安全，數(shù)據(jù)的完整，以及是否有效的使用了組織資源并有效地實現(xiàn)了組織目標做出評價和判斷的過程。該定義得到較為廣泛的流傳，印度審計署頒布的IT審計手冊也采用了該定義。ISACA協(xié)會則認為，信息系統(tǒng)審計是一個搜集和評估證據(jù)過程，以確定信息系統(tǒng)和相關(guān)資源是否受到充分保護、是否能保障數(shù)據(jù)和系統(tǒng)的完整性、是否能提供相關(guān)和可靠信息、是否有效使用組織資源以實現(xiàn)組織目標，并建立了有效內(nèi)部控制體系可以合理保障組織運營和控制目標。日本通產(chǎn)�。∕ETI）在1996年修訂了信息系統(tǒng)審計準則，指出信息系統(tǒng)審計是為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的IT審計師，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合檢查與評價，向IT審計對象的最高領(lǐng)導(dǎo)，提出問題與建議的一連串的活動。中國內(nèi)審協(xié)會頒布的《中國內(nèi)部審計具體準則28號——信息系統(tǒng)審計》中指出，信息系統(tǒng)審計是指由組織內(nèi)部審計機構(gòu)及人員對信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程開展的一系列綜合檢查、評價與報告活動。國家審計署頒布的《信息系統(tǒng)審計指南———計算機審計實務(wù)公告第34號》認為，信息系統(tǒng)審計是指國家審計機關(guān)依法對被審計單位信息系統(tǒng)的真實性、合法性、效益性和安全性進行檢查監(jiān)督的活動。

　　上述定義有差異，也有共同之處，本文從審計目標、審計對象和審計內(nèi)容這些概念進行了對比分析。

　　目前學(xué)術(shù)界和業(yè)界對于信息系統(tǒng)審計的對象有較為統(tǒng)一認識，但學(xué)者們對審計目標、審計內(nèi)容的理解存在較大分歧。信息系統(tǒng)審計是源于信息系統(tǒng)和審計理論的新興交叉學(xué)科，觀點分歧代表了信息系統(tǒng)審計的不同定位。日本的信息系統(tǒng)審計師考試是一種全國信息處理人員水平考試，因此日本信息系統(tǒng)審計強調(diào)對信息技術(shù)和軟件規(guī)劃開發(fā)等內(nèi)容的審計，并不提及審計師的專業(yè)判斷；其它觀點多出自審計師視角，審計師們通常更多關(guān)注控制與風險，所以審計內(nèi)容通常是一般控制和應(yīng)用控制審計等；另外，審計又區(qū)分為國家審計，社會審計與內(nèi)部審計，有著不同業(yè)務(wù)領(lǐng)域性質(zhì)與要求，導(dǎo)致各領(lǐng)域?qū)π畔⑾到y(tǒng)審計目標理解的多樣化。

　　基于上述討論，本文提出信息系統(tǒng)審計是審計主體遵循一定標準規(guī)范搜集與評估證據(jù)，判斷信息系統(tǒng)及相關(guān)資產(chǎn)的安全性、可靠性和有效性，提出審計意見與建議，促進被審計單位信息系統(tǒng)實現(xiàn)組織目標的行為。從該定義可知，信息系統(tǒng)審計的對象是系統(tǒng)及相關(guān)資產(chǎn)，主要包括計算機硬件、軟件、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、數(shù)據(jù)、人和相關(guān)管理制度。信息系統(tǒng)審計有三大目標：安全性、可靠性和有效性。其中，系統(tǒng)安全性是指信息系統(tǒng)資源是否受到妥善保護，不因自然和人為的因素而遭到破壞、更改或者泄露系統(tǒng)中的信息。系統(tǒng)可靠性包括三個方面的內(nèi)涵：硬件、軟件和數(shù)據(jù)的可靠性。硬件的可靠性是指在一個指定的時間周期內(nèi)，在給定的控制條件下，硬件系統(tǒng)執(zhí)行所需功能的成功概率。軟件的可靠性是指在運行環(huán)境中，在規(guī)定的運行時間內(nèi)或規(guī)定的運行次數(shù)下，程序和所有數(shù)據(jù)元素運行不同測試用例的無差錯概率。數(shù)據(jù)的可靠性是指數(shù)據(jù)的真實、準確和完整，它取決于系統(tǒng)對數(shù)據(jù)的處理過程是否準確無誤，以及確保數(shù)據(jù)可靠的控制措施是否有效。系統(tǒng)有效性也有三方而的內(nèi)涵：一是指信息系統(tǒng)的處理過程是否符介國家法律和有關(guān)規(guī)章制度的要求（合規(guī)性）；二是指信息系統(tǒng)是否能夠?qū)崿F(xiàn)既定的業(yè)務(wù)目標（效益性）；三是指系統(tǒng)的效率性即系統(tǒng)利用各種資源輸出用戶所需要信息的及時程度和運行速度。

　　三、信息系統(tǒng)審計準則國際經(jīng)驗

　　目前，國際上影響力較大的信息系統(tǒng)審計準則有四個，分別是國際信息系統(tǒng)審計與控制協(xié)會（ISACA）、日本通產(chǎn)省信息系統(tǒng)審計標準，以及國際內(nèi)部審計師協(xié)會（IIA）頒布的全球技術(shù)審計指南和美國審計總署（GAO）頒布的聯(lián)邦信息系統(tǒng)控制審計手冊。

　　（一）ISACA的信息系統(tǒng)審計準則體系1994年，電子數(shù)據(jù)審計師協(xié)會（EDPAA）更名為ISACA協(xié)會，該協(xié)會是目前最有影響力的信息系統(tǒng)審計專業(yè)人員的國際性組織。它在全世界許多國家舉辦注冊信息系統(tǒng)審計師（CISA）考試，還制定和頒布信息系統(tǒng)審計準則體系來規(guī)范和指導(dǎo)CISA工作。ISACA的信息系統(tǒng)審計準則體系由ISA標準、指南和程序三部分構(gòu)成。信息系統(tǒng)審計標準是整體準則體系的總綱，是制定指南和程序的基礎(chǔ)。審計標準規(guī)定了審計章程、獨立性、職業(yè)道德和勝任能力，以及審計工作執(zhí)行的基本行為規(guī)范，是CISA執(zhí)行審計業(yè)務(wù)必須遵循的標準，具有強制性。目前ISACA共頒布了16條審計標準，42項審計指南，為CISA執(zhí)行審計業(yè)務(wù)中如何遵守審計標準提供指引，任何偏離指南的行為必須有充分的理由，屬于“強烈推薦遵循”。審計程序是依據(jù)審計標準與審計指南制定的，為CISA提供審計業(yè)務(wù)的程序與步驟，類似一種工作范例，并不強制要求。到目前為止有效的'ISA程序共有9 項。

　�。ǘ�）日本的信息系統(tǒng)審計準則日本通產(chǎn)�。∕ETI）于1985年發(fā)布了信息系統(tǒng)審計準則，1996年進行了修訂。該準則由一般標準、執(zhí)行標準和報告標準三部分組成。一般標準描述了信息系統(tǒng)審計的目標、對象、人員和流程等。執(zhí)行標準描述了信息系統(tǒng)審計的具體實施內(nèi)容，強調(diào)系統(tǒng)審計師應(yīng)關(guān)注信息系統(tǒng)規(guī)劃、開發(fā)到運行全生命周期各階段的風險。報告標準描述了信息系統(tǒng)審計結(jié)果的收集整理，以及根據(jù)審計結(jié)論應(yīng)采取的措施。

　�。ㄈ�）IIA的全球技術(shù)審計指南（GTAG） 國際內(nèi)部審計師協(xié)會（IIA）的內(nèi)部審計國際實務(wù)準則框架（IPPF）是內(nèi)部審計規(guī)范體系的標桿。IIA非常重視信息系統(tǒng)審計，IPPF在“實務(wù)指南”層次用相當篇幅詳細規(guī)范了信息系統(tǒng)審計的內(nèi)容與方法。自從2005年發(fā)布第1號全球信息技術(shù)審計指南（GTAG）指南起至今，IIA已發(fā)布了16項信息系統(tǒng)審計指南，內(nèi)容涉及信息系統(tǒng)控制、應(yīng)用控制審計、制訂IT審計計劃、IT項目審計和信息安全治理等等。

　�。ㄋ� ）聯(lián)邦 信息系統(tǒng)控制審計手冊 （FISCAM）2009年美國審計總署（GAO）發(fā)布了聯(lián)邦信息系統(tǒng)控制審計手冊（FISCAM），在該手冊的指導(dǎo)下，GAO每年還安排若干審計項目對政府部門信息系統(tǒng)控制進行審查評估。FISCAM的IT控制包括一般控制和應(yīng)用控制。其中一般控制包括：實體安全控制、訪問控制、應(yīng)用軟件開發(fā)和變更控制、職責分離控制、應(yīng)急計劃；應(yīng)用控制包括：應(yīng)用級一般控制、輸入控制、處理控制、輸出控制、接口控制、數(shù)據(jù)管理系統(tǒng)控制。FISCAM對以上各類控制的審計程序與步驟進行了詳細說明。

　　ISACA作為專門的信息系統(tǒng)審計與控制協(xié)會，建立了較為完整的信息系統(tǒng)審計準則體系，它采用總分式分層體系，16項審計標準是總綱，自2005年發(fā)布后基本保持穩(wěn)定，而42項審計指南一半以上是新增或新修訂的，不斷更新的審計指南賦予了審計標準新的內(nèi)涵與外延，審計程序則重在描述審計程序與步驟。日本通產(chǎn)省的審計準則采取一體化形式，整套準則的內(nèi)容相當于ISACA的審計標準層次。

　　從準則具體內(nèi)容上看，日本的信息系統(tǒng)審計師屬于計算機行業(yè)，其審計標準具有明顯信息技術(shù)特征，主要規(guī)范了信息系統(tǒng)審計目標、審計對象、審計人員資質(zhì)和審計方法，尤其詳細明確了信息系統(tǒng)規(guī)劃、開發(fā)和運行全過程的關(guān)鍵風險點；而ISACA的審計標準更多關(guān)注信息系統(tǒng)審計的審計特征，主要規(guī)范審計權(quán)力責任、審計人員職業(yè)道德規(guī)范、審計計劃、審計證據(jù)、審計記錄、審計抽樣和審計報告等內(nèi)容。ISACA協(xié)會的審計指南與IIA協(xié)會的GTAG指南的操作性程度不同，前者類似我國的具體準則，GTAG指南則圍繞不同的審計業(yè)務(wù)詳細描述審計工作思路，審計方法、技術(shù)與工具等。

　　從是否強制性要求來看，ISACA協(xié)會的準則體系中既包含強制性遵循的審計標準、強烈推薦遵循的審計指南和非強制性要求的審計程序，還包含ISACA制訂或編寫的出版物以支持實務(wù)工作。IIA協(xié)會的GTAG指南處于IPPF框架的實務(wù)指南層次，屬于強烈推薦遵循；美國審計總署GAO頒布的FISACM是非強制性要求的手冊，用以指導(dǎo)實務(wù)工作。

　　四、我國信息系統(tǒng)審計準則現(xiàn)狀

　　我國目前頒布的信息系統(tǒng)審計準則規(guī)范屈指可數(shù)，主要有審計署以實務(wù)公告形式頒布的信息系統(tǒng)審計指南，中國內(nèi)審協(xié)會發(fā)布的信息系統(tǒng)審計具體準則。

　　（一）信息系統(tǒng)審計指南為指導(dǎo)和規(guī)范國家審計機關(guān)組織開展信息系統(tǒng)審計，2012年，審計署發(fā)布了《信息系統(tǒng)審計指南———計算機審計實務(wù)公告第34號》。該指南在借鑒國外信息系統(tǒng)審計指南的基礎(chǔ)上，結(jié)合國家審計機關(guān)依法審計的法定職能，以及我國目前信息系統(tǒng)審計實踐現(xiàn)狀，提出了包含應(yīng)用控制審計、一般控制審計、項目管理審計3大塊的信息系統(tǒng)審計內(nèi)容框架，重點描述了89項審計事項的審計要點。此外，審計署還在2013年出版了與該指南配套的《信息系統(tǒng)審計實務(wù)》，針對指南的各審計事項，分別描述了審計目標、審計程序、應(yīng)取得的資料和常見錯弊與定性依據(jù)等。

　�。ǘ�）內(nèi)部審計具體準則第28號———信息系統(tǒng)審計為規(guī)范組織內(nèi)部審計機構(gòu)及人員開展信息系統(tǒng)審計活動，保證審計質(zhì)量，中國內(nèi)審協(xié)會頒布了《內(nèi)部審計具體準則第28號———信息系統(tǒng)審計》，自2009年1月1日起開始實施。該準則對信息系統(tǒng)審計的一般原則、信息技術(shù)風險評估、信息系統(tǒng)審計內(nèi)容、信息系統(tǒng)審計方法，審計報告和后續(xù)工作共五個方面的內(nèi)容進行了規(guī)定，明確提出信息系統(tǒng)審計包括對組織層面信息技術(shù)控制、信息技術(shù)一般性控制及業(yè)務(wù)流程層面相關(guān)應(yīng)用控制的審計。

　　綜合來說，我國目前尚未建立信息系統(tǒng)審計行業(yè)協(xié)會，審計署發(fā)布了信息系統(tǒng)審計指南，屬于非強制性要求，更高級別的強制性要求準則尚未發(fā)布；內(nèi)審協(xié)會的信息系統(tǒng)審計具體準則雖屬于強烈推薦遵循層次，但與IIA協(xié)會相比，其信息系統(tǒng)審計準則和相關(guān)指南還有極大的豐富與細化空間。總體來看，我國的信息系統(tǒng)審計準則體系缺少系統(tǒng)性與結(jié)構(gòu)性，尚沒有建立完整的信息系統(tǒng)審計準則體系。目前，國家審計、社會審計和獨立審計都在各自業(yè)務(wù)領(lǐng)域內(nèi)開展了一些信息系統(tǒng)審計實踐探索，但各界人士對信息系統(tǒng)審計的基本原則與規(guī)范還缺少共識，長此以往將給我國信息系統(tǒng)審計行業(yè)發(fā)展帶來混亂。

　　五、結(jié)論

　　信息系統(tǒng)審計準則是信息系統(tǒng)審計師共同遵循的標準，對促進我國信息系統(tǒng)審計行業(yè)發(fā)展具有重要意義。首先，從準則制定的社會背景來看，我國的社會信息化水平與美國、日本等國家存在客觀的差距，ISACA，IIA和FISCAM等準則指南均基于相對完善的內(nèi)部控制（IT控制）環(huán)境，而我國政府部門、企事業(yè)單位的信息化建設(shè)正處于飛速發(fā)展時期，大部分被審單位的IT控制體系尚在建立之中，如果按照國外規(guī)范開展我國信息系統(tǒng)審計，過于理想化的審計意見建議很難得到認同。

　　第二，從準則的框架結(jié)構(gòu)來說，ISACA，IIA和日本通產(chǎn)省的框架結(jié)構(gòu)，不太符合中國人的理解習(xí)慣。ISACA采用的審計標準、指南和程序的三層框架結(jié)構(gòu)，跟我國的內(nèi)部審計準則體系，注冊會計師鑒證業(yè)務(wù)準則和國家審計準則采用的常用結(jié)構(gòu)也不一樣，不太符合我國審計師的認知習(xí)慣。

　　第三，從準則的具體內(nèi)容來看，由于我國信息系統(tǒng)審計方面的法律法規(guī)還非常不完善。目前只有信息系統(tǒng)安全方面頒布了安全保護條例和強制性標準，IT運維服務(wù)、外包、信息資源開發(fā)利用，信息公開與政務(wù)服務(wù)等方面尚缺乏充分的審計依據(jù)。審計環(huán)境決定了我國信息系統(tǒng)審計準則在明確信息系統(tǒng)審計目標、規(guī)范信息系統(tǒng)審計內(nèi)容等方面都需要充分考慮本土國情。但是，國外ISACA，IIA，F(xiàn)ISACM等信息系統(tǒng)審計準則指南歷經(jīng)20多年的發(fā)展，已形成相對成熟的體系，相關(guān)觀點已為我國審計師熟識。而且，國家的信息系統(tǒng)審計準則需要在國際舞臺上相互交流與合作。

　　因此，制定我國信息系統(tǒng)審計準則需要遵循的重要原則是：堅持國際化與本土化相結(jié)合，既立足本土國情又實現(xiàn)國際接軌。本文借鑒ISACA，IIA和FISCAM等準則指南的優(yōu)秀經(jīng)驗，參照我國國家審計準則的體系框架，考慮信息系統(tǒng)審計新業(yè)務(wù)的不同特征，嘗試提出如下圖1所示的中國信息系統(tǒng)審計準則體系框架。

　　該框架采用了審計準則、審計指南和實務(wù)手冊三層結(jié)構(gòu)。審計準則是強制性要求，審計指南是強烈推薦遵循，實務(wù)手冊是非強制性要求。審計準則分成基本準則和具體準則兩層，基本準則可包括五塊內(nèi)容，分別是總則、信息系統(tǒng)審計道德規(guī)范、信息系統(tǒng)審計作業(yè)準則、信息系統(tǒng)審計質(zhì)量控制準則和附則。審計指南包括通用指南和專業(yè)指南兩類，如面向一般信息系統(tǒng)的通用指南，針對電子政務(wù)、電子商務(wù)和ERP系統(tǒng)的專業(yè)指南，或者體現(xiàn)行業(yè)信息系統(tǒng)特征（如金融、通信行業(yè)）的專業(yè)指南等等。指南的內(nèi)容框架可以采用一般控制和應(yīng)用控制的基本框架，但在設(shè)計具體事項，或者明確審計內(nèi)容重點時，應(yīng)充分考慮我國企業(yè)或政府部門的信息化發(fā)展階段及當前法律環(huán)境。實務(wù)手冊是審計指南的具體化，詳細規(guī)范審計內(nèi)容、審計程序、審計依據(jù)、審計技術(shù)方法和典型錯弊等相關(guān)知識點。實務(wù)手冊可根據(jù)審計指南來加以制定，也可以針對某類突出問題（如電子銀行、IT外包等）進行特別規(guī)范。

　　為逐步完善我國信息系統(tǒng)審計準則體系，我們建議采取如下策略：首先，以審計署為主導(dǎo)，協(xié)調(diào)整合中國注冊會計師協(xié)會、內(nèi)審協(xié)會以及高校的相關(guān)專家資源，組建信息系統(tǒng)審計準則研究課題組和專家咨詢小組，激發(fā)信息系統(tǒng)審計職業(yè)界的積極討論與參與。其次，成立類似ISACA的中國信息系統(tǒng)審計行業(yè)協(xié)會專門機構(gòu)，以信息系統(tǒng)審計職業(yè)化建設(shè)為主線，組織修訂與持續(xù)完善信息系統(tǒng)審計準則體系；組織信息系統(tǒng)審計師職業(yè)教育，提升信息系統(tǒng)審計師職業(yè)素質(zhì)；總結(jié)我國信息系統(tǒng)審計優(yōu)秀經(jīng)驗，積極開展與國外相關(guān)協(xié)會和政府機關(guān)之間的合作與交流。最后，人才是行業(yè)持續(xù)發(fā)展的源泉，也是準則規(guī)范有效實施的載體。建議增設(shè)我國信息系統(tǒng)審計師職業(yè)資格考試，明確我國信息系統(tǒng)審計師應(yīng)具備的素質(zhì)、知識與技能以及任職資格，既能保障準則規(guī)范的有效實施，也為促進我國信息系統(tǒng)審計行業(yè)發(fā)展提供人才支撐。

　　參考文獻：

　　[1]張文秀：《國外信息系統(tǒng)審計規(guī)范、國家文化差異與制度移植》，《審計研究》2012年第5期。

　　[2]石愛中、周德銘、王智玉、楊蘊毅：《信息系統(tǒng)審計實務(wù)———中國計算機審計實務(wù)報告》，時代經(jīng)濟出版社2012年版。

【信息系統(tǒng)審計概念及其四個國際準則論文】相關(guān)文章：

國際信息系統(tǒng)審計與控制協(xié)會基本準則分析論文08-08

中國審計準則與國際審計準則趨同05-18

我國信息系統(tǒng)審計準則制定弊端與完善論文08-11

審計準則國際趨同的整體構(gòu)思05-17

探討我國審計準則的國際趨同問題05-18

探討國際趨同化下的會計審計準則發(fā)展及對策論文08-08

關(guān)于促進中國CPA審計準則國際趨同的建議論文08-09

會計準則與審計準則兩難選擇論文06-07

審計準則講解05-16