信息系统审计是审计的重要部分,尤其一些依赖信息系统进行日常会计处理的企业,信息系统的审计就更为关键,本文就信息系统审计的特点、信息系统审计准则的国内外发展现状以及在我国的发展策略作一探讨。
《南京审计学院学报》是由南京审计学院主办的学术期刊,2004年2月正式创刊并公开发行,季刊,刊号为CN32-1724/F,大16开本,112页。
一、计算机审计与信息系统审计
目前,我国出台的计算机辅助审计规范有 7项,信息系统审计方面的规范却较少。 若要促进信息系统审计准则的建设,区分计算机审计与信息系统审计就十分必要,这将有助于消除我国学术研究中两者混淆不清的情况。 日本会计检察院计算机中心认为,计算机审计包括两个方面:一是对计算机系统本身的审计,如系统安装、使用成本,系统和数据、硬件和系统环境的审计;二是计算机辅助审计,包括用计算机手段进行传统审计,用计算机建立一个审计数据库,帮助专业部门进行审计[4]。 根据2010年修订的《中华人民共和国审计法实施条例》和 2001年发布的《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》,计算机审计包括对计算机管理的数据进行检查及对管理数据的计算机进行检查两个方面[5]。 我国学者李学柔与秦荣生在《国际审计》一书中,对计算机审计的特性表述为:“一是对执行经济业务和会计处理的计算机系统进行审计,即计算机系统作为审计的对象;二是利用计算机辅助审计,即计算机作为审计的工具。”[6]笔者认同上述关于计算机审计内涵的论述,并认为计算机审计向两个方向发展:其一是信息系统审计方向,其二是计算机辅助审计方向。
当前,国内外学者对信息系统审计的界定不尽一致,主流的观点有:Ron Weber于 1999年提出,“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效地实现组织目标的过程”[7];日本通产省情报协会于 1996年对信息系统审计的定义是“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导,提出问题与建议的一连串的活动”[7]。 信息系统是由计算机硬件、网络与通讯设备、计算机软件、信息资源、信息用户和规章协议组成的,以处理信息流为目的的集成化人机系统。 有效提高信息系统的安全管理与运行效率是信息系统审计的核心问题。 笔者认为,信息系统审计应该是 IT审计师根据特定的规范,运用科学的信息系统管理方法,对信息系统网络的运行规程与应用政策所实施的一种评价与鉴证活动,旨在增强复杂信息网络的有效性、安全性、机密性与一致性,以此保障信息系统的高效运行。
二、中外信息系统审计准则的发展状况
(一) 我国信息系统审计准则的发展情形
在传统审计业务方面我国已经形成了一套相对成熟的规范体系,然而,在信息系统审计理论方面,我国的相关研究几乎是空白[8],至于对信息系统审计准则系列规定的构建,在我国更是无从谈起。 计算机审计包括信息系统审计与计算机辅助审计两方面,截至目前,我国出台的计算机审计规范或准则共计 9项,其中,计算机辅助审计方面的规范 7项,信息系统审计方面的准则 2项。
两项信息系统审计准则中,一项是内审协会于 2008年 9月颁布的《内部审计具体准则第 28号———信息系统审计》(内审准则第 28号),另一项是审计署于 2010年 9月颁布的《中华人民共和国国家审计准则》(第 8号令)中的 5项具体条款。 内审准则第 28号总计 8章 32项条款,该准则从总则、一般原则、信息技术风险评估、信息技术审计的内容与方法等方面对信息系统内审业务加以规范,它明确指出,“组织的信息技术管理目的是保证组织的信息技术战略充分反映该组织的业务战略目标,提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规及监管的相关要求”[3]。 审计署第 8号令不是一项专业的信息系统审计准则,而是一项传统审计业务的新规范,但其某些具体条款涉及被审单位信息系统的检查方法与审计原则。 仅有的两项信息系统审计准则,前一项条款涉及范围相对全面,但是具体条款过于笼统,后一项所涉及的信息系统审计准则过于零散,难成体系,两项准则无法为我国信息系统审计业务的开展提供具体指导。
(二) 国外信息系统审计准则的发展情形
国外有关于信息系统审计准则的发展已经趋于成熟,其中较为典型的有信息系统审计与控制协会(ISACA)制定的《信息系统准则体系》与《信息系统和技术控制目标》(COBIT),美国审计署制定的《联邦信息系统控制审计手册》(FISCAM),国际内部审计协会制定的《基于风险的信息系统控制评价指南》(GAIT),以及英国、法国、德国与荷兰共同制定的《信息技术安全评估准则》(ITSEC),这些准则与规范均为多个国家所广泛应用[8 9]。 上述准则与规范中最为典型的应为 ISACA机构制定的准则体系,该体系框架见表2。 ISACA是集信息系统控制、管理、审计于一体的专业机构,总部在芝加哥,在全世界 160个国家约有95000名会员。 ISACA的任务包括注册信息系统审计师(CISA)资格认证、制定 ISA准则、组织CISA资格考试等七项内容。 七项内容相互辅助,融为一体,且 ISA准则的制定以其他六项为有机支撑。表2所阐释的 ISACA信息系统审计准则体系来源于 ISACA机构出版的《IT Standards, Guidelines, andTools and Techniques for Audit and Assurance and Control Professionals》[9]。 该体系总计330页,将信息系统审计准则分为审计标准、审计指南与作业程序三个部分,其中审计标准表述为 S1—S16,规定了审计章程及审计过程所必须达到的基本要求,是 CISA的执业行为的基本规范;审计指南表述为 G1—G42,明确规范了 CISA实施审计业务的具体标准,为 CISA如何遵守审计准则提供指引;作业程序的表述为 P1—P11,提供了信息系统审计业务的一般步骤,为 CISA提供了 IS审计工作的具体思路。
(二) 我国的信息系统审计准则无法满足广泛的社会需求
近年来,复杂的信息系统在我国得到广泛应用,如公安综合网络信息系统、集团信息管理系统等。由于受到特定经济环境以及网状信息系统复杂性等多种不确定因素的影响,信息系统安全问题日趋严重,社会对信息系统审计准则的需求亦日益迫切。 如,2006年 10月 10日中国民航信息网络股份有限公司离港系统主机发生故障,包括北京、上海、广州在内的众多机场的离港系统整体性瘫痪;2009年 9月 17日,知名券商申银万国交易系统突然瘫痪,其位于全国各地的一百余个营业部均受到影响,近半个小时未能进行证券交易;2010年 2月 3日,民生银行因信息系统故障,全国范围所有业务无法办理;2011年10月25日,北京东城区39家社区卫生服务站出现信息系统故障,近一周的时间无法为患者提供正常门诊与取药服务。 若要解决上述问题,则亟须一套成熟的信息系统审计准则对信息系统进行事前预警、事中控制与事后评价,显然,目前我国仅有的两项准则无法满足社会的需求。 信息系统审计准则在我国的需求主要体现在三个方面:一是信息系统内部控制与审计的需求。 对此,内审协会需要出台全面的准则与规范,为组织中内部审计人员评价信息系统的安全提供参考标准。 二是公共机构中信息系统外部审计的需求。 对此,审计署需要出台系列的信息系统审计准则,为政府审计人员提供明确的审计流程与技术方法。 三是公共机构之外的组织中信息系统外部审计的需求。 对此,中注协需要出台规范的信息系统审计准则,为社会审计人员提供清晰的参照标准与风险控制思路。
(三) 我国的信息系统审计准则多方制定主体间缺乏默契的协调机制
政府审计准则、内部审计准则、社会审计准则的出台机构分别为审计署、内审协会与中注协,它们应根据其自身服务范围制定相应的信息系统审计准则。 然而,尽管三方均需制定各自的准则,但是由于在信息系统审计的目标、原则、方法与技术方面只是形式的不同,而内容并未有实质差异,因此,审计署、内审协会、中注协有必要就信息系统审计的原则与方法等同质的方面作出统一的规范,然后再根据各自的特点进行修订。 多年来,我国信息系统审计准则出台过于零散,其原因之一是审计署、内审协会、中注协各自缺少对外交流机制,且彼此之间缺乏协调机制。 一项准则的出台,不仅仅需要制定主体之间相互协调,同时还需要集合制定主体之外的多方相关利益主体。 信息系统审计准则所需集合的外部主体主要有信息系统审计师、信息系统管理工程师、信息安全工程师、信息系统项目管理师、学术界以及其他利益相关者。 因为信息系统审计准则制定者的理性并非无限的,因而,将各利益主体有机协调于一体,将会尽可能地集合审计学学科、计算机科学学科以及信息安全学学科中理论界与实务界更多人的知识与经验,从而全面提高信息系统审计准则的质量。 在我国,尽管信息系统审计并非强制性审计,且耗费人力、财力集合各方主体完善相关准则从目前来看并不会产生更多的社会效益,但是从长远来看,缺少必要的多方互动机制并非明智之举,准则制定者应在引入多方主体的基础上采取听证会等方式,多听反对意见,广纳民意,集中民智。
四、信息系统审计准则体系的构建策略探析
构建并完善信息系统审计准则体系是一项系统工程,它不是简单工作的叠加,而是具体工作的有机整合。 我国的信息系统审计准则建设刚刚起步,准则制定主体将面临全新的挑战。 在此,笔者希望准则制定主体在信息系统审计准则制定上,尽可能坚持以下三个方向。
(一) 合理借鉴国外成熟的信息系统审计准则体系
国外信息系统审计准则体系相对成熟,我国的准则制定机构可以直接引入国外先进的信息系统审计准则研究成果及实践经验,这样不仅可以避免开展重复性工作,而且能快速站于更高的起点。 当然,“借鉴”并不意味着“照搬”,准则制定机构在“借鉴”中应关注国际趋同、中国特色和自主创新三点。
1. 国际趋同。 当前,全球经济一体化趋势要求审计准则也趋向一体化。 2010年 11月 10日,国际审计准则制定机构在与中国审计准则委员会的联合声明中高度评价中国审计准则的国际趋同成果。 审计作为一门学科不分国界,大量“吸收”国外成熟的信息系统审计标准,走“国际趋同”道路,将是我国发展审计准则的大势所趋。 信息系统审计准则的国际趋同是矛盾的统一体,我国的准则制定机构需要实现“推动趋同的积极因素”与“阻碍趋同的消极因素”二者作用的均衡。
2. 中国特色。 由于各个国家的国情不尽相同,因而外国成熟的理念不尽适于中国。 我国与国外审计文化的差异主要体现于三个层次:其一是物质文化差异,包括审计环境、审计条件等;其二是制度文化差异,包括审计规范、审计机构组织方式等;其三是精神文化差异,包括价值取向、行为方式等[10]。 例如,国际政府审计准则由四部分组成,全部具体准则共计 191项条款,然而我国政府审计准则共分为六个部分,全部准则共计 47项条款[2]。 造成国内外差异的原因有诸多方面,其中一个是我国政府审计无论是实践经历还是理论研究都起步较晚。 正因如此,我国审计准则的制定与出台均是以实践经历为基础的,是紧紧围绕实践环节作出的程序性规定,在形式上和内容上拘泥于条条框框,难以达到“适度拓展性”与“适时适应性”等理论高度[11]。 有鉴于此,我国的准则制定机构在“借鉴”中,需要充分认识国内外审计文化的差异,明确我国审计文化的特色,努力设计出适用于我国的高效的信息系统审计准则体系。
