國際信息系統審計與控制協會基本準則分析論文

　　審計規范的完善程度可以反映一個國家審計理論研究的先進程度，這對信息系統審計準則也同樣適用。自2008年中國內部審計協會頒布《內部審計具體準則第28號---信息系統審計》以來，我國信息系統審計準則的制定基本上處于停滯階段。在信息系統審計準則的制定方面，僅僅是在2013將內審28號準則修改為《第2203號內部審計具體準則---信息系統審計》，內容沒有進行大的修改。上述現象的出現，筆者認為同信息系統審計基本準則的缺失息息相關。基本準則是審計指南和審計程序制定的基礎，是準則的準則，基本準則的優劣直接關系著審計準則體系的完善。到目前為止，我國信息系統審計準則體系依賴的基本準則主要是財務審計的基本準則，屬于財務審計準則制定的附屬品，與信息系統審計相關的準則都零星地散落于注冊會計師審計準則、政府審計準則和內部審計準則中，沒有形成一套邏輯嚴密的信息系統審計準則體系。因此，本文擬對國際信息系統審計與控制協會（InformationSystems Audit and Control Association，以下簡稱ISACA）的基本準則進行分析和解讀，提出我國信息系統審計基本準則制定與完善的思路與政策建議。

　　一、ISACA信息系統審計基本準則現狀

　　ISACA主要致立于信息系統審計準則的制定與發布工作，截止2013年12月，ISACA 共發布了16項基本準則、41項審計指南和11項作業程序，這些規范層次清晰，可操作性強。ISACA的信息系統審計準則體系類似于注冊會計師審計準則體系，ISACA的信息系統審計準則體系由基本準則、審計指南和作業程序構成，此框架為信息系統審計人員執業提供了多層次的指引。雖然ISACA成立于1969年，但其基本準則的制定經歷了一段很長的時間，至1997年才發布信息系統審計基本準則，包括審計章程、獨立性、職業道德和準則、職業技術、審計計劃、實施審計工作、報告和后續工作八個部分，該準則于1997年7月25日開始生效。隨著審計指南與作業程序的制定與發布以及對信息系統審計基本準則可擴展性的考慮，ISACA于2005年將1997年所發布的信息系統審計準則拆分為八個基本準則，并對原有內容根據信息技術發展狀況進行了修訂。同時，于2005年9月之后陸續發布了S9到S16等其它八個基本準則。

　　二、ISACA信息系統審計基本準則解讀

　　信息系統審計基本準則是信息系統審計準則體系的基礎，其完善與否直接關系著整個審計準則體系的完善。ISACA是全球信息系統審計準則制定的領跑者，其在基本準則制定方面存在的諸多優勢可供我國制定信息系統審計基本準則借鑒。

　�。ㄒ� ）基 本準則與審計指南 、 審計程序的關系審計基本準則是ISACA審計準則體系的總綱和基礎，對信息系統審計指南和審計程序的制定起著指導作用。ISACA的審計指南與審計程序都是在基本準則的指導下制定或推導出來的，基本準則是審計指南與審計程序制定的基礎依據（如圖1所示）。同時，根據ISACA審計指南和審計程序的制定情況，將實際制定過程的情況反饋給基本準則的制定過程，對基本準則中的不足之處進行改善，從而實現ISACA信息系統審計基本準則對信息系統審計指南和審計程序的指導作用。信息系統審計人員根據ISACA發布的信息系統審計指南和審計程序開展審計工作，若審計指南和審計程序中沒有明確規定的，審計人員可以根據ISACA相關內容的規定開展信息和信息系統審計活動。

　　（二 ）信息系統審計基本準則的主要內容ISACA將16項信息系統審計基本準則分為四個部分，包括：（1）審計章程；（2）對注冊信息系統審計師職業資格的要求，包括審計人員的獨立性要求、職業道德要求和職業能力要求；（3）信息系統審計計劃、審計實施、審計報告與后續審計等審計過程；（4）其它信息系統審計規定，包括不正當及非法行為、IT治理、審計計劃中風險評估的利用等。在ISACA基本準則中，審計章程是對信息系統審計人員的職能、責任、權力以及義務進行規范，獨立性、職業道德和標準和專業勝任能力則是對信息系統審計人員的要求，信息系統審計計劃、審計實施、審計報告和后續審計對信息系統審計過程進行規范，而其它信息系統審計規定主要是對前三項內容進行后續補充，即ISACA根據審計對象的特殊性，將IT治理、IT控制、電子商務等納入到基本準則規定的范疇，并對基本準則的相關概念進行補充界定�？傮w上講，ISACA在信息系統審計的基本準則方面是比較全面的，從審計職能的責任、權力、義務到信息系統審計工作執行，審計報告的出具，ISACA都做了規定，基本準則不僅考慮到了審計的一般性特點，同時也結合了信息系統審計的獨特性。

　�。ㄈ� ）ISACA信息系統審計基本準則制定模式在基本準則的制定模式方式，ISACA先根據審計工作的一般要求，先頒布S1到S8的基本準則，對審計人員的職業能力以及信息系統審計的程序進行規范，再結合信息系統審計的特點和要求，陸續頒布S9到S16等其它基本準則，以填補先前所頒布的準則的不足或缺陷（如表1）。這種基本準則的制定模式，可擴展性較強，適應信息技術飛速發展的要求，ISACA可根據信息系統審計發展的要求彌補基本準則存在的不足與缺陷。

　�。ㄋ� ）ISACA信 息系統審計基本準則存在的問題ISACA盡管在基本準則方面的內容比較全面，形成了較為系統的信息系統審計準則體系，但通過深入研究可以發現ISACA的基本準則體系仍存在不足之處。這些不足之處也為我國制定專門的信息系統審計基本準則提供了指導。

　　（1）信息系統審計基本準則包含審計職業道德規范的內容，不利于信息系統審計職業道德規范的發展。在信息系統審計基本準則的制定過程中，ISACA將審計獨立性、職業道德以及職業能力等審計職業道德規范一并納入基本準則中，這三項審計職業道德規范應從基本準則中獨立出來。若將審計職業道德規范一并納入到基本準則之中，不利于建立專門化的信息系統審計職業道德規范體系。信息系統審計職業道德規范同信息系統審計準則處于同樣重要的地位，將其納入信息系統審計基本準則的范疇會降低準則制定機構的重視程度，而將其單獨出來有利于建立層次分明，自成體系的審計職業道德規范體系，體現審計職業道德在信息系統審計中的重要性。

　　（2）基本準則沒有完整體現信息系統審計理論結構的內容。信息系統審計理論結構是信息系統審計規范制定的理論基礎，ISACA所頒布的基本準則沒有完整體現信息系統審計理論結構的內容，即沒有對信息系統審計進行定義，沒有規定信息系統審計本質、審計目標、審計假設、審計質量控制等內容。具有摩爾定律發展速度的信息技術使信息系統變得越來越復雜，網絡安全及信息系統安全問題也變得越來越重要。信息系統審計人員在面臨新的審計環境時，需要審計規范加以引導和約束，而在信息系統審計基本準則中界定審計的本質、目標、假設以及信息系統審計質量控制等內容有利于正確引導信息系統審計人員的審計行為，界定信息系統審計以及審計范圍，可以在飛速發展的信息社會中出現新信息技術問題時不至于使審計人員陷入判斷新領域是否屬于信息系統審計范疇的境地。審計質量控制是信息系統審計理論的重要組成部分，也是信息系統審計準則的主要構成內容之一。審計質量就是審計活動對公認審計準則或標準的遵循程度。非法使用者出于娛樂、報復或利益等目的而侵入計算機（Palmer，2001），Garg、Curtis和Hapler（2003）估計安全事件對普通的公開上市公司來說，其市場影響占到年銷售額的0.5%到1.0%.除了病毒和蠕蟲之外，組織還可能遭受DOS攻擊，這是21世紀代價第二昂貴的網絡犯罪，估計其損失達6500萬美元，而新發展的DDOS的威脅很現實，每周有超過4000次的DDOS攻擊，新型的DOS正在不斷地被制造出來，例如，DROS用偽造的有效數據包沖垮服務器 （Joyce，2002）。Bell實驗室的網絡研究副總裁Krishan Sabnani表示，最新的DOS攻擊將威脅無線網絡。審計質量是信息系統審計的基礎，沒有質量保證的信息系統審計行為，不僅不能為企業信息系統的可靠性、安全性等提供保證，反而會給企業帶來更大的損失。在ISACA的基本準則中，尚不存在審計質量控制方面的規定，這有待于ISACA審計準則制定機構完善審計質量控制方面的基本準則，或是單獨建立信息系統審計質量控制準則體系。

　　三、對我國信息系統審計基本準則制定的借鑒與啟示

　　我國信息系統審計準則的制定尚處于起步階段，當前頒布的信息系統審計準則主要依附于財務審計準則。無論是在信息系統審計準則的數量上，還是質量上，我國與ISACA發布的信息系統審計體系都存在相當大的差距。這與信息系統審計基本準則的缺失息息相關，信息系統審計基本準則的缺失使得具體審計準則或審計指南、審計程序的制定只能依附于財務審計準則的制定。為加快信息系統審計基本準則建設的步伐，筆者認為應當加快信息系統審計基本準則的制定步伐，借鑒ISACA的信息系統審計基本準則，制定適合我國國情的信息系統審計基本準則，為信息系統審計準則體系的完善奠定基礎。

　�。ㄒ� ）借鑒ISACA的準則制定模式 ，樹立以信息系統審計基本準則為導向的審計準則制定理念在信息系統審計基本準則缺失的前提條件下，我國當前的信息系統審計準則只能依附于財務審計準則的制定，不能形成較為完善的信息系統審計規范體系。信息系統審計具體準則也只能由財務審計的基本準則推導出來，信息系統審計準則或規范的頒布主要是考慮到信息技術已經影響到財務報告生產過程，為了更好的進行財務審計，而不是單純的為制定信息系統審計準則。信息化的浪潮正在席卷社會的各個角落，信息系統已經成為政府、企事業單位不可缺少的組成部分。企業信息化與政務信息化正在逐步擴大信息系統審計的范圍，已經超出會計信息系統的范圍，信息系統的安全、軟硬件以及開發生命周期等都已成為信息系統審計的范圍，而且這些審計范圍變得越來越重要。因此，我國信息系統審計準則的制定，其審計目標不能再僅僅局限于財務審計的目標，需要一個完善的信息系統審計準則體系為審計人員審計信息系統安全、軟硬件以及系統開發生命周期服務。依附于財務審計準則制定模式的轉變需要建立屬于信息系統審計準則體系構建的基本準則，樹立以“以信息系統審計基本準則為導向”的理念，由基本準則推導具體準則、審計指南或審計程序的制定，由基本準則指導具體審計準則缺失的“真空地帶”，有效指導信息系統審計人員的審計行為。

　�。ǘ� ）在審計署的推動下 ，成立類似 ISACA的信息系統審計準則制定機構到目前為止，我國具有真正意義的信息系統審計準則是中國內審協會頒布的第2203號內部審計具體準則，該準則的基本準則為《內部審計基本準則》，而《內部審計基本準則》主要是為了規范內部審計工作，明確內部審計機構和審計人員職責，不是專門針對信息系統審計工作的。因此，中國內部審計協會制定信息系統審計準則，只是為完善內部審計準則體系，而不對信息系統審計準則體系進行系統型的研究。出現這些情況雖然同信息系統審計基本準則的缺失息息相關，但更深層次的原因在于我國沒有類似ISACA的信息系統審計準則制定專門機構。我國要建立完善的信息系統審計準則體系，其首要任務在于成立類似ISACA的信息系統審計準則制定組織，由其統一制定與發布信息系統審計的基本準則、具體準則或審計指南、審計程序。ISACA的成立是由同類職業團體組建而成的，在我國類似的職業團體幾乎不存在。因此，信息系統審計準則制定機構的成立不能采用ISACA的成立模式，應采取行政的力量或手段推動其成立，由中華人民共和國審計署整合中注協、內審計協會和審計署內部的信息系統審計準則制定資源，成立類似ISACA的信息系統審計組織。這種依靠行政力量的模式，可以在短時期內完成組織的成立過程，從而避免信息系統審計組織長期缺失對我國信息系統審計準則體系完善的影響。

　�。ㄈ� ）借鑒ISACA基本準則 ，構建適合我國國情 的信息系統審計基本準則筆者認為信息系統審計規范包括正式制度安排和非正式制度安排。信息系統審計基本屬于正式制度安排的范疇。雖然ISACA基本準則存在著一些不足之處，但ISACA在基本準則制定方面仍存在許多可供借鑒的地方。我國信息系統審計基本準則的制定應在借鑒ISACA基本準則的基礎上，根據我國的實際情況制定。筆者認為，信息系統審計基本準則的內容應包括：

　　（1） 審計章程；

　�。�2）信息系統審計業務承接以及審計業務三方關系；

　�。�3）審計評價標準；

　�。�4）審計本質；

　�。�5）審計目標；

　　（6）審計假設；

　�。�7）審計計劃；

　�。�8）審計工作的實施；

　　（9）審計報告；

　�。�10）后續工作；

　�。�11）審計質量控制準則；

　　（12）其他。

　　需要特別指出的是，信息系統審計評價標準在信息系統審計過程中扮演著十分重要的角色。標準是指用于評價或計量鑒證對象的基準。標準可以是正式的規定，如國家頒布的相關法律、法規；也可以是某些非正式的規定，如單位內部制定的內部控制制度。信息系統審計人員在運用職業判斷對信息系統做出合理一致的評價或計量時，需要有適當的標準。缺乏信息系統審計評價標準，將不利于指導信息系統審計人員選擇判斷標準，進行合理的職業判斷。因此，我國構建信息系統審計基本準則，應當對信息系統審計的評價標準進行界定，以指導審計人員的信息系統審計行為。

　�。� 四 ） 將 審 計職業道德 規范排除 在信息系統審計基本準則 之外， 構建專門的信息系統審計職業道德規范信息系統審計準則或信息系統審計規范的正式制定安排包括信息系統審計職業道德規范、信息系統審計準則和其他信息系統審計準則。由此可知，應當建立單獨的信息系統審計職業道德規范，而不是同信息系統審計準則混合起來。信息系統審計基本準則是信息系統審計準則這種制度安排的主要內容之一。為建立合理的信息系統審計準則或偏私系統審計規范體系，應當剔除職業道德的內容，將職業道德的內容并入信息系統審計職業道德規范體系中，建立專門的信息系統審計職業道德規范。

　�。ㄎ� ）建立具有可擴展性的信息系統審計基本準則現代信息技術以“摩爾定律”的速度正在飛速發展，信息系統審計基本準則的制定應當與之相適應，形成一種開放性的信息系統審計基本準則制定方式，以滿足現代信息技術飛速發展的要求。在這個方面，我國可以借鑒ISACA基本準則的制定模式，建立具有可擴展性的基本準則制定模式。這主要是考慮到基本準則在實際執行過程中會存在著許多問題和不足之處，若遇到現有信息系統審計基本準則的不足之處就重新制訂新的基本準則會浪費大量資源。因此，我國應首先發布一批相對成熟的基本準則，后期若遇到問題時，再發布基本準則對前期發布的準則進行補充。這種開放性的、可擴展的審計準則制定模式不僅可以彌補前期基本準則的不足，同時也可以減少重新修訂基本準則對信息系統審計人員的沖擊和節約準則制定成本。

　�。�六 ）加強中注協 、內審 協 會 和國家 審計署的 溝通協調眾所周之，信息系統審計業務可以單獨開展，也可以和財務審計以及其他業務審計一起執行。但在當前審計實務中，信息系統審計業務工作的開展通常是和財務審計或其他業務審計一同開展的，這就要求在制定和頒布信息系統審計基本準則時，加強與中注協、中國內部審計協會和國家審計署的溝通協調工作，就基本準則的內容以及信息系統審計準則如何與注冊會計師審計準則、內部審計準則和國家審計準則一致進行探討，以增強信息系統審計基本準則的實用性。

　　隨著現代信息技術的發展與運用，信息系統審計這一職業已經得到了一定程度的發展，理論界與實務界也越來越重視這一領域。筆者關于信息系統審計基本準則的許多觀點尚不成熟，還有待進一步改進，希望通過本文的研究能引起理論界和實務界對于信息系統審計準則研究的關注，讓更多的理論工作者與實務工作者參與到這一過程中，完善我國信息系統審計規范體系。

　　參考文獻：

　　[1]馬良渝、潘婉霞：《ISACA信息系統審計準則體系淺析》，《中國管理信息化》2007年第3期。

　　[2]蔡春：《審計理論結構研究》，東北財經大學出版社2001年版。

　　[3]ISACA IS Standards， Guidelines and Procedures for Auditingand Control Professionals .ISACA， 2009.

　　[4]G41-Return on Security Investment.ISACA， 2010.

　　[5]G42-Continuous Audit.ISACA， 2010.

　　[6]Joyce， J.Disributed Denial of Service Attacks.ScientificComputing & Instrumentation， 2002， June:12-47

　　[7]Palmer， C. C.Ethical Hacking .IBM System Journal， 2001，（03）：769-780.

　　[8]Garg， A.， J. Curtis， and H. Halper.The Financial Impact ofIT Security Breaches: What Do Investors Think? .InformationSystems Security， 2003， March/April:22-32.

【國際信息系統審計與控制協會基本準則分析論文】相關文章：

審計準則變遷的制度經濟學分析論文12-04

國際認證協會(IPA)03-30

環境審計的探討與分析11-28

《審計》分析程序的運用11-28

聯網審計的利與弊分析11-28

怎樣整理與分析審計證據10-13

全面分析聯網審計的利弊11-28

環境績效審計方法分析11-28

簡述審計分析中引入杜邦分析體系11-28

南海公司案例分析審計作業11-28