0 引言 2018年4月,习近平总书记在全国网络安全和信息化工作会议上深入阐述了网络强国战略思想。网络强国战略思想是习近平新时代中国特色社会主义思想的重要组成部分,在高新技术飞速发展的背景下势在必行。在网络强国背景下,如何保证信息安全,为高新技术的发展创造良好环境是我国需要解决的问题。因此,信息系统审计逐渐发展起来,对推进网络强国建设具有积极影响。从国内来看,信息系统审计的发展年限还比较短,因此相应的流程和规范还存在不完善之处。 1 信息系统审计概况 1.1 概念界定 Ron Weber是美国信息系统审计方面的专家,其提出“信息系统审计是收集并评估证据的过程,从而判断信息系统是否完成了组织目标并实现了资源的经济适用”。我国目前对信息系统审计还没有通用的定义,张金城、黄作明(2009)在《信息系统审计》一书中给出的定义为:“对信息系统能够保护资产安全、维护数据完整,从而使被审计单位实现目标并高效使用资源的过程进行判断”。 1.2 信息系统审计的主要方法 信息系统审计的过程包括准备、实施和报告阶段,这与其他审计过程具有一致性。信息系统审计方法与一般审计方法也具有共通之处,同时也具有其自身的特点。从对信息系统的了解和描述过程来看,信息系统审计方法主要有审阅法、观察法和描述法等,这与传统手工审计方法具有相同之处。从借助计算机进行审计的方法来看,信息系统审计方法主要有综合测试法和受控处理法等,主要用于对信息系统进行控制测试。不同的信息系统审计方法要根据不同审计项目、环境、主体等因素来确定,选择最适合的审计方法助力于提高信息系统审计效率。 2 信息系统审计规范的发展现状及存在的问题 2.1 信息系统审计规范的发展现状 与国外相比,我国的信息系统审计工作发展时间较短,各方面还存在不成熟之处,目前来看审计规范体系并不成熟。从外部审计来看,1993年以来审计署出台了一系列信息系统审计规范和标准(见表1)。从目前出台的信息系统审计规范来看,虽然可以对信息系统审计工作进行指引,但是规范的更新并不及时。 从内部审计来看,目前普遍适用的信息系统审计规范是在2014年颁布的《第2203号内部审计具体准则——信息系统审计》。随后,2016年证监会组织和发布了7项《信息系统审计指南》。 2.2 信息系统审计规范形成中存在的问题
通过上文论述可以看出,我国信息系统审计规范形成中还存在诸多问题,还需要进一步完善规范的形成机制,才能提高信息系统审计质量。 2.2.1 信息系统审计的起步时间比较晚 国外20世纪50年代就已经开始了对信息系统审计的理论研究,并且形成了一套成熟的规范。以美国为例,由政府责任署(GAO)负责信息系统审计工作,GAO制定了详细的信息系统审计流程和模式,形成了完善的规范体系。但从我国来看,20世纪90年代才提出信息系统审计的相关概念,起步时间较晚。同时,虽然我国近年来信息科技水平不断提升,但是信息科技的起步时间仍然晚于西方发达国家,这也是信息系统审计规范并不完善的原因之一。 2.2.2 信息系统审计法律法规不健全 无论是外部审计还是内部审计,都需要国家相关部门制定完善的信息系统审计法律法规。根据上文的论述,信息系统审计工作起步后,审计署和相关部门也制定了一系列信息系统审计规范。但是近年来对相关条款的修正和更新并不多,缺乏专门的准则用于指导信息系统审计工作。此外,由于信息科技的发展速度十分快,所以相应的信息系统审计规范也应当跟上技术的发展速度,这样才能充分发挥审计的监督作用。 2.2.3 单一的财务审计导向影响规范体系的建立和资源的整合 我国的审计工作主要是由财务审计发展而来,最初审计工作的目标也是以财务目标为核心,后来随着时间的推移逐渐出现了全面审计、信息系统审计等。目前来看,我国的信息系统审计工作仍然是以财务审计为导向。信息系统审计应当是针对所有与信息系统有关的审计工作,而不仅仅是财务方面的内容,单一的财务审计导向不利于审计规范体系的建立和资源的整合。 2.2.4 对信息系统审计的重视程度不足 长期以来,无论是外部审计机构还是内部审计机构,对信息系统审计的重视程度不足。在信息科技高速发展的背景下,审计部门和被审计单位还没有充分认识到信息系统存在的风险,也未认识到信息系统审计的重要作用。目前只有银行等金融机构和大型企业对信息系统审计相对重视,部分地方审计机关甚至并未开展信息系统审计工作。 3 信息系统审计规范的形成机制 虽然我国信息系统审计起步较晚,但是在金融机构、大型企业中的实践也在不断推进,相应的审计规范也在逐渐形成。要保障信息系统审计规范的机制形成,就需要借助国家和企业两个层面的共同力量。 3.1 国家层面 从国家层面来看,主要应当从两方面进行推进。一方面,不断完善国家层面的信息系统审计相关的法律和准则。信息系统审计规范体系的完善离不开国家相关政策的支持和约束,因此我国应当从国家层面制定相应的法律和规范,在鼓励信息系统审计发展的同时约束相关主体的行为。另一方面,设立专门的机构用于制定和管理信息系统审计规范。信息系统审计规范的形成非一朝一夕之事,需要经历相当长的过程。所以,我国应当设立专门的机构对信息系统审计规范进行不断修正和管理,从而保证信息系统审计规范体系的完善运行。