在信息系统(Information System)向复杂化、大型化、综合化和网络化方向发展的过程中,信息系统的可用性、保密性、完整性和有效性已经引起用户的高度重视。但是,受到用户自身能力等诸多因素的限制,信息系统用户自己难以验证信息质量,无法对信息系统的抗风险能力作出准确评估,他们迫切需要在第三方独立专业机构的帮助下,提高信息系统资产的安全性,确保业务数据的完整性,提高系统的整体效率及合法性、合规性。因此,由独立审计师收集并评估证据,以判断信息系统是否有效做到保护信息资产、维护数据完整、完成既定目标且耗用资源最少的信息系统审计应运而生。随着经济管理与信息技术的不断结合与日益渗透,跨越传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个科学领域的信息系统审计,作为多学科融合的交叉学科,已成为国内外的一个研究热点。 一、信息系统审计准则的发展现状 作为全球信息系统审计的领导者和主要推动者,国际信息系统审计与控制协会(Information System Audit and Control Association,简称ISACA)推出了一系列信息系统审计准则、职业道德准则等规范性文件,并把焦点集中于信息系统保障、控制、安全和IT管理等主题上,发布了《信息及相关技术的控制目标》(Control OBjectives for Information and related Technology,简称COBIT)。国际内部审计师协会(Institute of Internal Auditors,简称IIA)制定了《全球技术审计指南》(Global Technology Audit Guide,简称GTAG)和《IT风险评价指南》(Guide to the Assessment of IT Risk,简称GAIT)。美国审计署(GAO)发布了《联邦政府信息系统控制审计手册》(Federal Information System Controls Audit Manual,简称FISCAM)。英国、加拿大、澳大利亚、日本等国的相应机构也先后颁布信息系统审计准则和审计指南,如指导有效IT服务的《信息技术基础构架库》(Information Technology Infrastructure Library,简称ITIL)和国际信息安全管理标准BS7799/ISO17799等。 我国的信息系统审计研究尚处于起步阶段,相关研究比较零散。石爱中副审计长2008年在五届三次理事会暨第二次理事论坛上的报告曾指出:科学、完整、系统的信息化审计方法几乎还是空白。胡晓明也认为我国信息系统审计研究很不完整、不系统,还没有一套成形的规范理论结构,他指出信息系统审计理论结构框架的要素应包括信息系统审计概念、目标、职能、依据、风险、技术、流程。唐志豪提出的信息系统审计理论结构模型由信息系统审计本质、目标、规范等六要素组成。卢红柱从实践探索出发研究信息系统审计的现实定位、关注操控流程和技术方法,指出需加强相关法律、规程、标准和指南的确立与完善。 目前,我国在信息系统审计方面的规定或准则主要有2001年发布的《关于利用计算机信息系统开展审计工作有关问题的通知》、2004年发布的《独立审计具体准则第20号——计算机信息系统环境下的审计》、2006年发布的《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》、2008年发布的《内部审计具体准则第28号——信息系统审计》等。从这些规定的具体内容来看,我国基本停留在对信息系统环境下会计信息的审计阶段,计算机仅是一种辅助审计工具,缺乏对信息系统自身的审计。我国的信息系统审计准则研究主要集中在对ISACA颁布的信息系统审计准则体系和COBIT的分析及应用,而对其他机构颁布的信息系统规范的研究较少。如陈婉玲、马良渝等人对ISACA信息系统审计准则体系进行了分析,陈婉玲、袁若宾研究了COBIT的构成和内容及其基本应用,王会金、刘国城分析了COBIT在中观经济主体信息系统重大错报风险评估中的应用。 我国政府有关部门要以科学发展观为指导,顺应信息系统复杂化、大型化、综合化和网络化的发展方向,采用科学方法,借鉴国际先进经验与成果,结合我国现状与特点,参照《审计署2008-2012年审计工作发展规划》,从关注信启、系统整体的安全、风险、管理、控制角度,加强相关制度和规范的建设,加快制定信息系统审计标准、指南与程序等,建立完善的信息系统审计规范体系。 二、信息系统审计的国际准则 信息系统审计准则是一个规范化的管理框架,它把信息系统、审计人员和被审计单位各自的权利、义务和责任等纳入管理框架,解决了各方因为职责不明确而影响信息系统质量的问题。 世界各国的多个机构和组织提出了不同的信息系统审计准则,如COBIT、GTAG、GAIT、FISCAM、ITIL、BS7799等。