近年来,审计署、中国注册会计师协会(中注协)等部门对信息系统审计的开展都极为重视。2011年7月出台的《审计署“十二五”审计工作发展规划》指出,“有步骤、分阶段地推进与重点中央企业信息系统的联网,试点实时审计”,“积极开展信息系统审计”。信息系统审计尽管遵循传统审计程序,但与财务审计有根本的区别,它本质上属于评价性、鉴定性审计。信息系统审计的研究在西方国家较为成熟,在我国的研究与规范则尚处于起步阶段。截至2012年2月,审计署、内审协会出台的有关信息系统审计方面的规范与标准仅2项,即审计署于2010年9月颁布的《中华人民共和国国家审计准则》(第8号令)和内审协会于2008年9月颁布的《内部审计具体准则第28号——信息系统审计》(内审准则第28号),而中注协至今还尚未颁布关于信息系统审计的规范。我国亟待出台完善的信息系统审计系列标准,以此推进信息系统审计业务的开展。结合近年的研究,本文就信息系统审计的特点、信息系统审计准则的国内外发展现状以及在我国的发展策略作一探讨。 一、计算机审计与信息系统审计 目前,我国出台的计算机辅助审计规范有7项,信息系统审计方面的规范却较少。若要促进信息系统审计准则的建设,区分计算机审计与信息系统审计就十分必要,这将有助于消除我国学术研究中两者混淆不清的情况。日本会计检察院计算机中心认为,计算机审计包括两个方面:一是对计算机系统本身的审计,如系统安装、使用成本,系统和数据、硬件和系统环境的审计;二是计算机辅助审计,包括用计算机手段进行传统审计,用计算机建立一个审计数据库,帮助专业部门进行审计。根据2010年修订的《中华人民共和国审计法实施条例》和2001年发布的《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》,计算机审计包括对计算机管理的数据进行检查及对管理数据的计算机进行检查两个方面。我国学者李学柔与秦荣生在《国际审计》一书中,对计算机审计的特性表述为:“一是对执行经济业务和会计处理的计算机系统进行审计,即计算机系统作为审计的对象;二是利用计算机辅助审计,即计算机作为审计的工具。”笔者认同上述关于计算机审计内涵的论述,并认为计算机审计向两个方向发展:其一是信息系统审计方向,其二是计算机辅助审计方向。 当前,国内外学者对信息系统审计的界定不尽一致,主流的观点有:Ron Weber于1999年提出,“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效地实现组织目标的过程”;日本通产省情报协会于1996年对信息系统审计的定义是“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导,提出问题与建议的一连串的活动”。信息系统是由计算机硬件、网络与通讯设备、计算机软件、信息资源、信息用户和规章协议组成的,以处理信息流为目的的集成化人机系统。有效提高信息系统的安全管理与运行效率是信息系统审计的核心问题。笔者认为,信息系统审计应该是IT审计师根据特定的规范,运用科学的信息系统管理方法,对信息系统网络的运行规程与应用政策所实施的一种评价与鉴证活动,旨在增强复杂信息网络的有效性、安全性、机密性与一致性,以此保障信息系统的高效运行。 二、中外信息系统审计准则的发展状况 (一)我国信息系统审计准则的发展情形 在传统审计业务方面我国已经形成了一套相对成熟的规范体系,然而,在信息系统审计理论方面,我国的相关研究几乎是空白,至于对信息系统审计准则系列规定的构建,在我国更是无从谈起。计算机审计包括信息系统审计与计算机辅助审计两方面,截至目前,我国出台的计算机审计规范或准则共计9项,其中,计算机辅助审计方面的规范7项,信息系统审计方面的准则2项,见表1。
两项信息系统审计准则中,一项是内审协会于2008年9月颁布的《内部审计具体准则第28号——信息系统审计》(内审准则第28号),另一项是审计署于2010年9月颁布的《中华人民共和国国家审计准则》(第8号令)中的5项具体条款。内审准则第28号总计8章32项条款,该准则从总则、一般原则、信息技术风险评估、信息技术审计的内容与方法等方面对信息系统内审业务加以规范,它明确指出,“组织的信息技术管理目的是保证组织的信息技术战略充分反映该组织的业务战略目标,提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规及监管的相关要求”。审计署第8号令不是一项专业的信息系统审计准则,而是一项传统审计业务的新规范,但其某些具体条款涉及被审单位信息系统的检查方法与审计原则。仅有的两项信息系统审计准则,前一项条款涉及范围相对全面,但是具体条款过于笼统,后一项所涉及的信息系统审计准则过于零散,难成体系,两项准则无法为我国信息系统审计业务的开展提供具体指导。 (二)国外信息系统审计准则的发展情形 国外有关于信息系统审计准则的发展已经趋于成熟,其中较为典型的有信息系统审计与控制协会(ISACA)制定的《信息系统准则体系》与《信息系统和技术控制目标》(COBIT),美国审计署制定的《联邦信息系统控制审计手册》(FISCAM),国际内部审计协会制定的《基于风险的信息系统控制评价指南》(GAIT),以及英国、法国、德国与荷兰共同制定的《信息技术安全评估准则》(ITSEC),这些准则与规范均为多个国家所广泛应用。上述准则与规范中最为典型的应为ISACA机构制定的准则体系,该体系框架见表2。ISACA是集信息系统控制、管理、审计于一体的专业机构,总部在芝加哥,在全世界160个国家约有95000名会员。ISACA的任务包括注册信息系统审计师(CISA)资格认证、制定ISA准则、组织CISA资格考试等七项内容。七项内容相互辅助,融为一体,且ISA准则的制定以其他六项为有机支撑。表2所阐释的ISACA信息系统审计准则体系来源于ISACA机构出版的《IT Standards,Guidelines,and Tools and Techniques for Audit and Assurance and Control Professionals》。该体系总计330页,将信息系统审计准则分为审计标准、审计指南与作业程序三个部分,其中审计标准表述为S1—S16,规定了审计章程及审计过程所必须达到的基本要求,是CISA的执业行为的基本规范;审计指南表述为G1—G42,明确规范了CISA实施审计业务的具体标准,为CISA如何遵守审计准则提供指引;作业程序的表述为P1—P11,提供了信息系统审计业务的一般步骤,为CISA提供了IS审计工作的具体思路。