“国外引进”还是“自主发展”?

——对我国政府信息系统审计发展途径的探讨

作 者:

作者简介:
李春青,审计署金融审计司;周座,审计署驻兰州特派员办事处

原文出处:
南京审计学院学报

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2012 年 03 期

关 键 词:

字号:

      从最早介绍国外理论的文章算起,我国对信息系统审计的研究与实践已将近三十年时间。由于实施主体不同,我国的信息系统审计形成了不同的方向,本文主要讨论的是政府审计机关为了更好地履行其审计监督职能而组织开展的政府信息系统审计。

      在经历了从理论引进到实践探索、从局部尝试到广泛开展的转变之后,审计人员对政府信息系统审计的发展途径出现了不同的观点,典型而极端的有两种:一种是认为国外的信息系统审计理论已经非常成熟,我国审计机关可以直接引进国外标准,不必浪费时间和精力去做重复工作,即从“国外引进”;另一种则认为国外理论与我国审计机关的实际工作相差甚远,我们不能够也不应该照搬国外模式,而是要根据我国的环境和现实探索自己的模式,即“自主发展”。

      这两种观点都有自己的道理,它们都拥有各自忠实的支持者,但同时它们也都存在不同的缺陷。对于大多数在审计机关中从事信息系统审计的人员而言,他们在这两种观点之间常常感到矛盾和彷徨,这使得在政府信息系统审计的目的、内容、方法和过程等问题上都出现了较大的分歧和争议。短期的分歧是正常现象,但长久的分歧则容易进入混乱状态,因此,我们有必要在分析历史和现状的基础上,对我国政府信息系统审计的发展途径做出选择,以促进其健康发展。

      一、“国外引进”与“自主发展”的历史和现状

      (一)国外信息系统审计体系的引进

      众所周知,我国审计机关对信息系统审计的最初理解是从美国等西方国家引入而来。在过去一个时期内,审计人员所做的大量工作是对西方国家信息系统审计思想、理论和方法体系的引进。

      1,ISACA体系的引入

      在国外的信息系统审计体系中,最受我国审计人员关注的是由信息系统审计与控制协会(Information System Audit and Control Association,简称ISACA)发布的由基本准则、审计指南和作业程序三部分组成的信息系统审计准则体系。

      在相当长的一段时期内,ISACA体系是我国审计机关引入的主要内容和研究的主要对象,研究者发表了大量文献对之进行介绍,并就其对我国的借鉴意义展开讨论。可以说,在很多审计人员的理解中,ISACA就是信息系统审计的代名词。在审计实务中,一些审计人员也展开探索,尝试基于ISACA体系的信息系统审计。这一时期,ISACA体系自身也在不断地发展,其涉及范围逐渐扩展到IT治理等领域,建立起了《信息系统和技术控制目标》(Control Objectives for Information and related Technology,简称COBIT)等框架。这些内容同时受到我国审计人员的关注,他们进行了介绍和翻译。

      在引进准则体系和理论知识的同时,我国也引入了ISACA的职业资格认证,注册信息系统审计师(Certified Information Systems Auditor,简称CISA)成为一段时期炙手可热的职业认证,相关媒体对CISA进行了大量的报道和介绍,吸引了一批审计人员的关注。

      2.GAO体系和IIA体系的引入

      虽然ISACA的准则体系受到广泛关注,但其内容偏向于咨询和内部管理,与我国审计机关的经济监督定位存在不小差异,因此部分人员开始将视角转向美国审计署(Government Accountability Office,简称GAO)发布的《联邦信息系统控制审计手册》(Federal Information System Controls Audit Manual,简称FISCAM)等信息系统审计体系。

      审计人员对GAO信息系统审计体系的引进主要体现为对FISCAM等资料的翻译以及访问美国审计机关后撰写的考察报告。GAO的信息系统审计理论对我国的政府审计机关产生了较大的影响,如FISCAM将信息系统控制分为一般控制和应用控制两大类的做法被我国政府审计机关广泛接受。

      同时,审计机关中的部分人员开始关注国际内部审计师协会(Institute of Internal Auditors,简称IIA)对信息系统审计的理解,对其发布的《基于风险的信息系统控制评价指南》(Guide to the Assessment of IT General Controls Scope Based on Risk,简称GAIT)、《全球信息系统审计指南》(Global Technology Audit Guide,简称GTAG)等进行了引进和介绍。

      3.日本信息系统审计体系的引入

      日本是另一个较早开展信息系统审计的国家,通产省于1985年出台了由基本准则、实施准则和报告准则三部分组成的信息系统审计准则体系,并于1996年进行了修订。

      我国审计人员对日本信息系统审计体系的引入是比较特殊的,从目前已经出版的书籍和发表的文献来看,直接对其进行学习、翻译、研究和引进的人员很少,主要是间接性的转述或引用。

      日本的信息系统审计并不属于审计行业,而是归属于计算机行业,加之语言原因,其准则体系本身并未引起我国审计人员的广泛关注,他们而是把目光主要集中在定义和方法层面之上。审计人员在讨论信息系统审计或者IT审计、计算机审计等概念时,大多会提到日本通产省给出的定义,在当前所使用的信息系统审计技术方法中,也有相当一部分受到了日本信息系统审计的影响。

相关文章: