本文将从制度供给的均衡与非均衡角度对我国信息系统审计规范现状进行分析。 一,制度均衡与非均衡的涵义 从行为均衡来看,制度均衡就是行为主体对现存制度安排和制度结构无意也无力改变的一种共同接受的状态。对于这个制度,行为主体不一定满意,但行为主体无法改变这种制度,这也是制度主体的利益和力量对比的均衡结果(罗必良,2005)。从供求关系来看,制度均衡是指当制度供求的影响因素一定时,制度的供给适应制度的需求。通常,人们会通过成本收益分析选择净收益最大的制度。事实上,制度的供需均衡只是一种静态表象,而制度非均衡即制度供需不平均,常常出现在制度变迁过程中,所以制度均衡只是制度变迁过程中的一个暂时的、特殊的现象。 诺斯和戴维斯(1971)认为,制度变迁的供给和需求动力来自于参与者对于新制度的实施可能会给自己的利益带来变化的计算。当制度变迁的净收益为正时,供需双方都有动力推动制度变迁。净收益的净现值越大,参与者改变现行制度的愿望就越强烈。 诺斯和戴维斯假设了这样一种初始均衡状态,也就是我们所称的制度均衡状态。即:①制度的调整已经使得参与者获得了全部潜在收入;②尽管存在潜在利润,但是改变现行制度安排的成本超过了潜在收入;③如果不对整体制度结构作根本性改变,将不可能实现收入的重新分配。在上述任意一种情况存在的状态下,现行制度安排将保持不变。但是,当任何一种情况发生变化时,制度变迁的动力也将随之产生。张维迎(1997)认为,一种制度安排要发挥效力,必须是一种纳什均衡,否则这种制度安排便不成立。 二、国外信息系统审计规范介绍 国外在信息系统审计准则的制定和完善方面都优于我国,借鉴国外的实践经验将有助于我国改进和完善信息系统审计规范。 1.国际信息系统审计协会(ISACA)制定的信息系统审计准则。ISACA是全球公认的信息科技管治、监控、保安,以及标准合规的领导组织。ISACA颁布的信息系统审计准则层次清晰,可操作性强。截至2009年1月,ISACA共发布了16项基本准则、39项审计指南和11项作业程序。基本准则由8个部分组成,其中,审计合同规定了审计人员的责任、权利和义务,而独立性、职业道德和标准以及专业胜任能力则是对审计人员的要求,最后的计划、审计工作的实施、报告和后续工作4个部分则是对审计工作的规范。审计指南提供了应用信息系统审计准则的指引,是信息系统审计准则的具体化,虽然每一项审计指南都隶属于一项基本准则,但是也对其他基本准则具有补充作用。作业程序对信息系统审计过程中可能遇到的一些特殊情况、特殊方面作出了参考性指导,为审计人员提供在实务中可以参考、遵循的例子。但其不是必须遵循的步骤和测试方法,也不是达到同样目的唯一的步骤和测试方法,而是对基本准则和审计指南的补充,仅供审计人员参考。 2.国际会计师联合会(IFAC)制定的计算机信息系统审计准则。IFAC制定了《国际审计准则第401号——在计算机信息系统环境下审计》、《国际审计实务公告第1001号——IT环境:独立微型计算机》、《国际审计实务公告第1002号——IT环境:联机计算机系统》、《国际审计实务公告第1003号——IT环境:数据库系统》、《国际审计实务公告第1008号——风险评估和内部控制:计算机信息系统的特征与考虑因素》和《国际审计实务公告第1009号——计算机辅助审计技术》。为反映审计师在从事含有较高信息技术因素的审计工作时审计方法的变化,以及大多数审计工作都涉及计算机信息系统的现实,IFAC下属的国际审计实务委员会(IAPC)同意更新现有关于计算机信息系统审计的准则和实务公告。2004年12月,IFAC颁布了《国际审计准则第315号——了解被审计单位及其环境和评估重大错报风险》与《国际审计准则第330号——审计师针对风险评估水平应采取的程序》取代《国际审计准则第401号——在计算机信息系统环境下审计》,将与信息系统审计相关的准则融入具体的财务审计、绩效审计等准则中。 3.国际内审协会(IIA)制定的基于风险的ITGC范围评估指南(GAIT)与全球技术审计指南(GTAG)。IIA认为,ISACA的规范主要是针对信息系统审计师和IT管理者在技术方面的需求,不太适合首席审计执行官(CAE)、审计委员会和执行管理层的需求,因为在这些个人与组织看来,只存在业务风险,而不存在所谓的IT风险,IT只是导致业务风险的因素之一(庄明来、阳杰,2009)。GAIT是一套原则和方法,用于帮助评价企业信息系统控制的成本收益以及效率效果。通过制定GAIT,IIA一方面帮助企业识别信息系统控制中的关键因素,避免财务数据错弊的发生;另一方面指导管理层和审计人员识别信息系统的关键控制点,以满足企业遵守《萨班斯—奥克斯利法案》404条款的要求。GTAG的制定是为了满足CAE和审计主管人员的要求,解决董事会和高级经理关心的问题,及时提供有关信息技术管理、控制或安全方面的信息。 三、我国信息系统审计规范的非均衡分析 1.我国信息系统审计规范的需求分析。我国在“信息化带动工业化,工业化促进信息化”的建设方面已经取得了令人瞩目的成就。信息资源和信息系统在经济发展过程中的重要作用与日俱增。企业对信息系统的依赖程度越大,信息系统安全和运营隐患可能带来的危害就越严重。在公安部2008年5月组织的“2008年度全国信息网络安全状况暨计算机病疫情调查活动”中,有12000余家信息网络使用单位和计算机用户参加了调查活动。调查结果显示,我国信息网络安全事件发生比例继前3年连续增长后出现下降,信息网络安全事件发生比例为62.7%,同比下降了3%;计算机病毒感染率为85.5%,同比减少了6%;多次发生网络安全事件的比例为50%;多次感染病毒的比例为66.8%。