“財務(wù)審計導(dǎo)向”的信息系統(tǒng)審計規(guī)范制定模式研究

劉杰 張夢藝

“財務(wù)審計導(dǎo)向”的信息系統(tǒng)審計規(guī)范制定模式研究

劉杰 張夢藝

本文在分析我國“財務(wù)審計導(dǎo)向”信息系統(tǒng)審計規(guī)范制定模式的基礎(chǔ)上，剖析了“財務(wù)審計導(dǎo)向”信息系統(tǒng)審計規(guī)范制定模式產(chǎn)生的原因；其次，對美國信息系統(tǒng)審計規(guī)范制定模式進行了探計；最后，提出了我國信息系統(tǒng)審計規(guī)范制定模式改革的思路和政策建議，即我國信息系統(tǒng)審計規(guī)范制定應(yīng)同時采用“財務(wù)審計導(dǎo)向”和“業(yè)務(wù)審計導(dǎo)向”兩種思路。

財務(wù)審計導(dǎo)向 業(yè)務(wù)審計導(dǎo)向 信息系統(tǒng)審計規(guī)范

一、引言

信息系統(tǒng)審計是計算機審計的重要組成部分，大數(shù)據(jù)環(huán)境下的數(shù)據(jù)式審計離不開信息系統(tǒng)審計。若將信息處理過程視為生產(chǎn)過程，則信息系統(tǒng)是生產(chǎn)信息的機器，開展數(shù)據(jù)式審計的前提條件為數(shù)據(jù)是真實、可靠的，而信息系統(tǒng)的可靠性是數(shù)據(jù)真實、可靠的前提條件。由此可見，信息系統(tǒng)審計在計算機審計中扮演著十分重要的角色，但理論界對于信息系統(tǒng)審計的研究卻不能匹配信息系統(tǒng)審計地位的提升。同財務(wù)審計研究相比，信息系統(tǒng)審計研究相對落后，國內(nèi)學者對信息系統(tǒng)審計的研究文獻相對較少。近年來，隨著“大數(shù)據(jù)”、“互聯(lián)網(wǎng)+”等新研究內(nèi)容的出現(xiàn)，信息系統(tǒng)審計研究本應(yīng)呈現(xiàn)遞增趨勢，但國內(nèi)學者對信息系統(tǒng)審計的關(guān)注較少，而專門研究信息系統(tǒng)審計規(guī)范的文章更少。

目前，信息系統(tǒng)審計規(guī)范仍散落于各項審計規(guī)定之中，國家尚未頒布一套完善的信息系統(tǒng)審計規(guī)范，信息系統(tǒng)審計人員迫切需要一套完善、成熟的信息系統(tǒng)審計規(guī)范指導(dǎo)。我國與信息系統(tǒng)審計相關(guān)的規(guī)范主要采用以“財務(wù)審計導(dǎo)向”的制定模式，制定信息系統(tǒng)審計規(guī)范的目的主要是滿足財務(wù)審計的需要，這或多或少影響著信息系統(tǒng)審計規(guī)范的發(fā)展。鑒于此，本文以“‘財務(wù)審計導(dǎo)向’的信息系統(tǒng)審計規(guī)范制定模式”為研究對象，研究“財務(wù)審計導(dǎo)向”制定模式存在的弊端，以期能為我國信息系統(tǒng)審計規(guī)范的制定提供相應(yīng)的政策建議，提升信息系統(tǒng)審計規(guī)范的適用性。

二、“財務(wù)審計導(dǎo)向”的信息系統(tǒng)審計規(guī)范制定模式及其弊端分析

（一）當前我國信息系統(tǒng)審計規(guī)范制定的模式

我國頒布的與信息系統(tǒng)相關(guān)的審計準則基本上都出于“真實、合法、效益”的審計目標。我國的審計規(guī)范分為國家審計規(guī)范、內(nèi)部審計規(guī)范和注冊會計師審計規(guī)范三大類。在國家審計規(guī)范層面，為適應(yīng)現(xiàn)代信息技術(shù)的發(fā)展，1993年國家審計署頒布了《審計署關(guān)于計算機審計的暫行規(guī)定》，該暫行規(guī)定的第二條中指出，凡使用計算機管理財政、財務(wù)收支及其有關(guān)經(jīng)濟活動的被審計單位，審計機關(guān)有權(quán)采用計算機技術(shù)，依法獨立對其計算機財務(wù)系統(tǒng)進行審計監(jiān)督。1996年，國家審計署又頒布了《審計機關(guān)計算機輔助審計辦法》，該辦法的第二條中指出，本辦法所稱計算機輔助審計，是指審計機關(guān)、審計人員將計算機作為輔助審計工具，對被審計單位財政、財務(wù)收支及其計算機應(yīng)用系統(tǒng)實施的審計。2006年，我國修訂了《審計法》，其二十二條中規(guī)定，審計機關(guān)有權(quán)檢查財政財務(wù)收支信息系統(tǒng)。在上述審計法規(guī)的指引下，審計署及審計署駐各地特派辦紛紛開展了信息系統(tǒng)審計的實務(wù)研究，并制定了信息系統(tǒng)審計的相關(guān)操作規(guī)則，操作規(guī)則的制定主要是為了滿足數(shù)據(jù)式審計的需要，而其數(shù)據(jù)式審計仍然沒有偏離財政、財務(wù)審計的方向。因此，國家審計規(guī)范的制定模式是“財務(wù)審計導(dǎo)向”的制定模式，信息系統(tǒng)審計準則或規(guī)范的頒布主要是考慮到信息技術(shù)已經(jīng)影響到財務(wù)報告生產(chǎn)過程，為了更好進行財務(wù)審計，而不是單純?yōu)橹贫ㄐ畔⑾到y(tǒng)審計準則。

在注冊會計師審計規(guī)范層面，中國注冊會計師協(xié)會（以下簡稱“中注協(xié)”）在《中國注冊會計師審計準則第1101號——注冊會計師的總體目標和審計工作的基本要求》中明確規(guī)定，中國注冊會計師審計準則適用于注冊會計師開展財務(wù)報表審計業(yè)務(wù)。在該思想的指導(dǎo)下，中注協(xié)頒布了《中國注冊會計師審計準則第1633號——電子商務(wù)對財務(wù)報表審計的影響》，研究電子商務(wù)對財務(wù)報表審計的影響。注冊會計師審計規(guī)范中與信息系統(tǒng)審計相關(guān)的規(guī)范，其制定模式依然是“財務(wù)審計導(dǎo)向”的，并沒有系統(tǒng)性的研究信息系統(tǒng)審計規(guī)范，而是當信息系統(tǒng)審計影響到財務(wù)報表審計時，才開始著手制定和發(fā)布信息系統(tǒng)審計規(guī)范。

在內(nèi)部審計規(guī)范層面，中國內(nèi)部審計協(xié)會（以下簡稱“中國內(nèi)審協(xié)會”）發(fā)布了中國第一個真正意義的信息系統(tǒng)審計規(guī)范《第2203號內(nèi)部審計具體準則——信息系統(tǒng)審計》，在一定程度上彌補了我國信息系統(tǒng)審計規(guī)范存在的缺失。在《第1101號——內(nèi)部審計基本準則》中，中國內(nèi)審協(xié)會強調(diào)，內(nèi)部審計準則是依據(jù)《審計法》制定的，這表明內(nèi)部審計準則依然無法擺脫“財務(wù)審計導(dǎo)向”的思維模式。

綜上所述，我國信息系統(tǒng)審計規(guī)范制定模式始終秉承“財務(wù)審計導(dǎo)向”的思路，這同我國長期以來相當重視財政、財務(wù)審計的思維模式息息相關(guān)，這一點在注冊會計師審計中更為明顯。

（二）當前我國信息系統(tǒng)審計規(guī)范制定的弊端分析

1.不利于形成相對較為完善的信息系統(tǒng)審計規(guī)范體系

同國外信息系統(tǒng)審計規(guī)范相比，我國并未形成類似于ISACA的信息系統(tǒng)審計規(guī)范體系，與信息系統(tǒng)審計相關(guān)的規(guī)范散落于國家審計規(guī)范、內(nèi)部審計規(guī)范和注冊會計師審計規(guī)范之中。國際內(nèi)部審計師協(xié)會（IIA）、國際會計師聯(lián)合會（IFAC）和國際信息系統(tǒng)審計協(xié)會（ISACA）在信息系統(tǒng)審計方面建立了相對較為完善的信息系統(tǒng)審計規(guī)范體系。IIA發(fā)布了GAIT（IT風險評估指南）和GTAG（全球信息技術(shù)審計指南），其目的在于滿足管理層首席審計師和審計主管的需求，以解決董事會關(guān)心的信息系統(tǒng)審計問題，ISACA發(fā)布信息系統(tǒng)審計規(guī)范的目的在于指導(dǎo)審計人員開展信息系統(tǒng)審計活動。IIA、IFAC和ISACA形成了較為嚴密的信息系統(tǒng)審計規(guī)范體系。中國內(nèi)審協(xié)會發(fā)布的2203號內(nèi)部審計準則并未全面、系統(tǒng)地考慮董事會、管理層所關(guān)心的信息系統(tǒng)審計問題，所制定的信息系統(tǒng)審計規(guī)范也沒有建立類似于ISACA的審計準則、審計指南和審計程序的體系結(jié)構(gòu)。信息系統(tǒng)審計規(guī)范的供給不足使得財務(wù)審計人員與信息系統(tǒng)審計人員的合作、信息系統(tǒng)審計人員與企事業(yè)單位內(nèi)部管理人員的合作匱乏，不能推動信息系統(tǒng)審計工作的有效開展。

2.不利于信息系統(tǒng)審計規(guī)范制定資源的整合

無論是國家審計、內(nèi)部審計，還是注冊會計師審計，其信息系統(tǒng)審計目標僅僅存在文字上的差異，其本質(zhì)并不存在任何差異，都是對信息系統(tǒng)的安全、可靠、效率和效果發(fā)表審計意見（劉杰、黃忠莉，2013）。然而，當前我國的信息系統(tǒng)審計規(guī)范制定資源分散于國家審計署、中國內(nèi)審協(xié)會和中國注冊會計師協(xié)會，沒有形成資源整合的信息系統(tǒng)審計規(guī)范制定力量，不利于制定體系的信息系統(tǒng)審計規(guī)范。“財務(wù)審計導(dǎo)向”的信息系統(tǒng)審計規(guī)范制定模式加劇了信息系統(tǒng)審計規(guī)范制定資源的分散。注冊會計師審計規(guī)范偏重于指導(dǎo)企業(yè)財務(wù)報表發(fā)表審計意見，內(nèi)部審計規(guī)范偏重于指導(dǎo)政府或企業(yè)業(yè)務(wù)活動、內(nèi)部控制以及風險管理等審計，而國家審計規(guī)范偏重于指導(dǎo)財政收支審計和國家企業(yè)審計，這三者在審計目標上存在差異性。若采用“財務(wù)審計導(dǎo)向”的信息系統(tǒng)審計規(guī)范制定模式，這必然會導(dǎo)致信息系統(tǒng)審計服務(wù)的對象存在差異，不利于整合國家審計、內(nèi)部審計和注冊會計師審計的信息系統(tǒng)審計規(guī)范制定資源。

3.不利于非財務(wù)審計工作的開展

隨著企業(yè)信息化、政務(wù)信息化等的發(fā)展，信息系統(tǒng)的安全審計、生命周期審計以及軟硬件審計等變得越來越重要，其重要程度在很多時候已經(jīng)超過了出于“真實、合法、效益”審計目標的信息系統(tǒng)審計。

信息系統(tǒng)不僅僅是輸出財務(wù)報告的會計信息系統(tǒng)，信息系統(tǒng)審計所涵蓋的內(nèi)容包括內(nèi)部控制審計、系統(tǒng)生命周期審計、信息系統(tǒng)軟硬件審計、安全審計和信息系統(tǒng)績效審計等。如果信息系統(tǒng)審計準則的制定僅僅是為更好地進行財務(wù)審計，那么當系統(tǒng)生命周期審計、信息系統(tǒng)軟硬件審計、安全審計以及信息系統(tǒng)績效審計等提上日程時，現(xiàn)有的信息系統(tǒng)審計準則遠遠不能起到發(fā)揮引導(dǎo)和約束信息系統(tǒng)審計行為功能的作用。而在國外，存在如ISACA這樣的機構(gòu)專門制定信息系統(tǒng)審計準則，當面對服務(wù)于財務(wù)審計之外的信息系統(tǒng)審計時，ISACA有相應(yīng)的審計準則、指南與程序用以引導(dǎo)和約束信息系統(tǒng)審計人員的審計行為，如美國審計署在對聯(lián)邦存款保險計算機病毒保護程序進行審計時，ISACA所頒布的審計程序病毒及其它惡意代碼（P4）審計程序可以為其提供依據(jù)。在我國，信息系統(tǒng)審計準則制定的源動力來自于財務(wù)審計的需要。當面臨其它類型的信息系統(tǒng)審計時，審計人員往往陷入不知所措的困境。因此，要使我國的信息系統(tǒng)審計準則趕上國外先進的信息系統(tǒng)審計準則，必須擺脫以財務(wù)審計為主的信息系統(tǒng)審計準則制定模式。

三、“財務(wù)審計導(dǎo)向”信息系統(tǒng)審計規(guī)范制定模式的根源

在信息系統(tǒng)審計發(fā)展的初期，“財務(wù)審計導(dǎo)向”的信息系統(tǒng)審計規(guī)范制定模式起到了推動信息系統(tǒng)審計工作的作用，但到現(xiàn)代信息技術(shù)廣泛應(yīng)用于政府和企事業(yè)單位的階段，信息系統(tǒng)審計規(guī)范供給不足必然處于常態(tài)。筆者認為，“財務(wù)審計導(dǎo)向”的信息系統(tǒng)審計規(guī)范制定模式主要受到以下幾方面因素的影響：

（一）我國信息系統(tǒng)審計起步較晚

國外早在20世紀50年代就對信息系統(tǒng)審計技術(shù)進行了研究，IBM公司在1956年出版的《The Auditor Encounters Electronic Data Processing》手冊中制定了電子數(shù)據(jù)環(huán)境下的內(nèi)部審計規(guī)則和組織方法，介紹了許多諸如測試數(shù)據(jù)、并行模擬等新的審計技術(shù)。美國內(nèi)部審計師協(xié)會在1977年發(fā)表了著名的《系統(tǒng)可審計性及控制制度的研究》，簡稱SAC報告，提出了多種計算機輔助審計技術(shù)，是利用計算機對計算機信息系統(tǒng)直接進行審核檢查的開創(chuàng)性探索。Wand & Weber（1989）提出了信息系統(tǒng)中不同層次子系統(tǒng)如何追蹤傳輸變化的模型。這個模型為審計人員提供了一個結(jié)構(gòu)化的方法用于識別控制和審計程序需要修正的地方。ISACA（1998，2008）對計算機輔助審計技術(shù)（簡稱CAATs）運用的范圍、采用CAATs需要考慮的因素以及CAATs運用的步驟及范圍等進行了詳細的論述，認為CAATs可運用于交易的詳細測試、分析性復(fù)核程序、一般控制與應(yīng)用控制測試以及穿透性測試之中。ISACA（2010）對CAATs與持續(xù)審計、持續(xù)認證進行了區(qū)別，提出CAATs是各種各樣的自動化審計技術(shù)，而持續(xù)審計、持續(xù)認證是一種審計方法，同時，ISACA在其審計指南《持續(xù)認證》（G42）中對持續(xù)審計與持續(xù)認證在審計計劃、審計實施與審計報告中運用的相關(guān)問題進行了深入詳細的規(guī)定。

國內(nèi)對于信息系統(tǒng)審計的理論研究與實務(wù)研究相對較晚。張毅（1989）對電算化會計信息系統(tǒng)審計問題進行了研究，結(jié)合計算機軟件測試方法介紹了黑盒測試法和白盒測試法。陳婉玲、楊文杰（2006）系統(tǒng)性地介紹了ISACA的信息系統(tǒng)審計規(guī)范。國家審計署2005年對某航空公司的收入結(jié)算系統(tǒng)進行審計時審計人員對信息系統(tǒng)到底怎么審，怎么評價缺乏類似經(jīng)驗，也無現(xiàn)成的案例和信息系統(tǒng)審計規(guī)范可借鑒（劉汝焯，2006）。國內(nèi)信息系統(tǒng)審計理論與實務(wù)研究開展較晚直接影響著信息系統(tǒng)審計規(guī)范的研究。與此同時，我國財務(wù)審計研究相對較早，財務(wù)審計在整個審計活動中占據(jù)著十分重要的位置，因此，國內(nèi)審計規(guī)范制定機構(gòu)自然就形成“財務(wù)審計導(dǎo)向”的信息系統(tǒng)審計規(guī)范制定模式。

（二）財務(wù)審計在審計活動中占據(jù)主導(dǎo)地位

我國2006年修訂的《審計法》中指出，審計是對財政收支或者財務(wù)收支的真實、合法和效益發(fā)表審計意見。財務(wù)審計在整個審計活動中占據(jù)著十分重要的位置。在傳統(tǒng)的審計思維模式中，審計主要是指財務(wù)審計，業(yè)務(wù)審計僅僅在財務(wù)審計需要涉及時才開展。近年來，隨著審計范圍的擴大以及財務(wù)欺詐向業(yè)務(wù)端前移，業(yè)務(wù)審計才逐步受到重視。信息系統(tǒng)審計不僅服務(wù)于財務(wù)審計，而且服務(wù)于業(yè)務(wù)審計。重視財務(wù)審計活動，而忽視業(yè)務(wù)審計的發(fā)展模式導(dǎo)致信息系統(tǒng)審計主要服務(wù)于財務(wù)審計，因此，信息系統(tǒng)審計規(guī)范體系的制定呈現(xiàn)“財務(wù)審計導(dǎo)向”的現(xiàn)象。我國信息系統(tǒng)審計實踐與國外信息系統(tǒng)審計實踐在這方面的差異，除了在信息系統(tǒng)審計的人力、物力等方面趕不上諸如美國、加拿大等西方國家之后，最主要的原因還是我國沒有相對完善的信息系統(tǒng)審計規(guī)范，信息系統(tǒng)審計還處于依附財務(wù)審計的狀態(tài)。在遵從SOX法案的過程中，尤其是在規(guī)范企業(yè)管理方面，信息系統(tǒng)起著極為重要的作用，因此，信息系統(tǒng)審計與內(nèi)部管理審計相融合成為歷史的必然（時現(xiàn)、李庭僚，2009），過渡依賴財務(wù)審計的信息系統(tǒng)審計規(guī)范制定模式將得到改善。

（三）受到ERP發(fā)展路徑的影響

自1990年，美國甘特公司提出ERP概念以來，我國也開始致立于該方面的研究。但我國ERP軟件的發(fā)展路徑有別于國外，尤其是首次提出ERP概念的美國。美國ERP 軟件遵循財務(wù)業(yè)務(wù)一體化的思路，財務(wù)子系統(tǒng)與業(yè)務(wù)子系統(tǒng)是ERP軟件不可分離的重要組成部分。我國ERP軟件是以總賬子系統(tǒng)為核心，根據(jù)企業(yè)經(jīng)營管理的需要不斷加入銷售與收款循環(huán)子系統(tǒng)、采購與付款循環(huán)子系統(tǒng)、生產(chǎn)循環(huán)子系統(tǒng)等，并沒有完全按照ERP思想設(shè)計軟件。因此，我國信息系統(tǒng)審計首先也是對會計信息系統(tǒng)的影響，而后才開始涉足業(yè)務(wù)系統(tǒng)的審計活動。信息系統(tǒng)審計規(guī)范的制定也必然會采用“財務(wù)審計導(dǎo)向”的模式。

圖1 美國信息系統(tǒng)審計規(guī)范體系

四、國外信息系統(tǒng)審計規(guī)范制定模式的借鑒與啟示

（一）國外信息系統(tǒng)審計規(guī)范體系

國外計算機輔助審計和信息系統(tǒng)審計起步較早，早在上世紀50年代美國政府就開始探索信息系統(tǒng)審計。經(jīng)過近60多年的發(fā)展，國外形成了較為完善的信息系統(tǒng)審計規(guī)范體系（如圖1所示）。

國外信息系統(tǒng)審計規(guī)范的體系包括信息系統(tǒng)審計準則和會計信息系統(tǒng)審計準則。會計信息系統(tǒng)審計準則由國際會計師聯(lián)合會（IFAC）下屬的國際審計實務(wù)委員會（IAPC）制定，其目的是指導(dǎo)注冊會計師開展會計信息系統(tǒng)審計，以確保財務(wù)報表審計結(jié)果的可靠性。信息系統(tǒng)審計準則包括國際內(nèi)部審計師協(xié)會（IIA）和國際信息系統(tǒng)審計協(xié)會（ISACA）。IIA發(fā)布GAIT和GTAG旨在解決董事會和高級經(jīng)理所關(guān)心信息系統(tǒng)審計問題，便于外部信息系統(tǒng)審計人員與董事會以及高級經(jīng)理進行溝通。ISACA審計準則由國際信息系統(tǒng)審計協(xié)會制定。ISACA所頒布的信息系統(tǒng)審計準則不僅僅是為了滿足更好地進行財務(wù)審計的需要，這也決定了在執(zhí)行信息系統(tǒng)審計時所涵蓋的范圍廣泛。如，2001年澳大利亞聯(lián)邦政府互聯(lián)網(wǎng)安全的審計，2003年多倫多審計局對該市政府的ORACLE數(shù)據(jù)庫安全問題進行了審計，加拿大審計署對2002年加拿大政府IT安全審計的后續(xù)審計等，這些信息系統(tǒng)審計實踐不是依附于財務(wù)審計的信息系統(tǒng)審計，而是完全意義上的信息系統(tǒng)審計。這同我國信息系統(tǒng)審計出于“真實、合法、效益”的審計目標相比，信息系統(tǒng)審計的范圍擴大了許多。

（二）國外信息系統(tǒng)審計規(guī)范制定模式的借鑒與啟示

總體來講，國外信息系統(tǒng)審計規(guī)范制定模式并沒有完全采用“財務(wù)審計導(dǎo)向”的規(guī)范制定模式，而是混合采用“財務(wù)審計導(dǎo)向”和“業(yè)務(wù)審計導(dǎo)向”的規(guī)范制定模式。IFAC制定審計規(guī)范的目的在于規(guī)范財務(wù)審計行為，因此，IFAC采用了“財務(wù)審計導(dǎo)向”的規(guī)范制定模式，而ISACA和IIA則將信息系統(tǒng)混合采用了上述兩種模式，其制定的信息系統(tǒng)審計規(guī)范不僅可以用于指導(dǎo)審計人員審計財務(wù)信息系統(tǒng)，也可以用于指導(dǎo)審計人員審計非財務(wù)信息系統(tǒng)。國外信息系統(tǒng)審計規(guī)范還呈現(xiàn)如下兩方面的特點：

1.信息系統(tǒng)審計規(guī)范來源于審計實踐

ISACA的基本準則自1997年7月25日后陸續(xù)生效，審計指南自1998年6月1日后陸續(xù)生效，審計程序自2002年7月1日后陸續(xù)生效。雖然ISACA基本準則生效的最早時間為1997年7月25日，但這并沒有妨礙美國的信息系統(tǒng)審計實踐。例如，美國審計署1996年11月對美國聯(lián)邦存款保險公司時間和出勤處理系統(tǒng)進行了審計，并出具了審計報告。在此次審計實踐中，審計人員有明確的審計目標、審計范圍等，這與ISACA后來所頒布的基本準則——審計計劃（S5）中的規(guī)定基本一致，即在S5中要求“信息系統(tǒng)審計師必須起草并以書面形式記錄一份審計計劃書，詳述審計目標及其性質(zhì)、審計時間和范圍、以及所需相關(guān)資源”。同時，美國審計署還針對美國聯(lián)邦存款保險公司時間和出勤處理系統(tǒng)的開發(fā)情況，提出了系統(tǒng)開發(fā)需要完善的流程，并在1998年再次對美國聯(lián)邦存款保險公司中止開發(fā)時間和出勤處理系統(tǒng)的具體情況進行了審計。美國審計署對該項目的后續(xù)跟蹤也蘊涵著ISACA所頒布的基本準則——后續(xù)工作（S8）的基本思想，即在報告審計發(fā)現(xiàn)和建議后，信息系統(tǒng)審計師必須獲取和評估相關(guān)信息，對管理層是否已及時采取恰當?shù)拇胧┳龀鼋Y(jié)論。雖然不能說ISACA所頒布的基本準則、審計指南和作業(yè)程序全部來自于審計實踐，但可以肯定的是，ISACA所頒布的準則中部分來自于信息系統(tǒng)審計實踐，這是值得我國借鑒的，在完善信息系統(tǒng)審計規(guī)范體系的過程中，除了借鑒國外先進的信息系統(tǒng)審計規(guī)范之后，還以從國家審計、注冊會計師審計以及內(nèi)部審計的實踐中發(fā)掘有價值的審計規(guī)范，使其成為信息系統(tǒng)審計規(guī)范的成文法典，引導(dǎo)和約束信息系統(tǒng)審計行為。

2.權(quán)威的信息系統(tǒng)審計規(guī)范是信息系統(tǒng)審計成功實踐的指南

國外信息系統(tǒng)審計規(guī)范體系雖然不存在成熟的信息系統(tǒng)審計質(zhì)量控制準則，卻有著相對完善的信息系統(tǒng)審計準則、指南和作業(yè)程序。從TALLAHASSEE市審計局對本市局域網(wǎng)邏輯安全審計的案例、多倫多審計局2003年對該市政府的Oracle數(shù)據(jù)庫安全問題審計的案例以及美國審計署2000年關(guān)于SBA財務(wù)管理信息安全審計的案例等可以看出，審計組在整個審計過程中有明確的審計目標、審計范圍、審計方法，同時審計組還根據(jù)審計過程中發(fā)現(xiàn)的問題提出有建設(shè)性的改進意見。管理層在整個審計過程中也并非置身事外，在審計工作開始階段與審計組人員交換意見，介紹現(xiàn)有的邏輯進入控制，提出認為還需要改進的方面；在后續(xù)審計階段，根據(jù)審計組所提的建議進行整改，并將整改結(jié)果回復(fù)給有關(guān)信息系統(tǒng)審計部門。在整個審計過程中，ISACA的審計準則、審計指南與作業(yè)程序都能為其提供從審計計劃、實施、審計報告和后續(xù)審計方面的指導(dǎo)，如在審計過程中，審計組成員要進行薄弱點評價，而ISACA所頒布的作業(yè)程序——安全性評估-穿透測試和弱點分析（P8）可以引導(dǎo)審計人員進行薄弱點分析，而不至于讓審計人員在審計過程中處于無序狀態(tài)。

圖2 信息系統(tǒng)審計協(xié)會組織際關(guān)系圖

（三）缺陷：信息系統(tǒng)審計質(zhì)量控制準則亟待發(fā)布

審計質(zhì)量是信息系統(tǒng)審計的生命，審計質(zhì)量達不到規(guī)定要求，信息系統(tǒng)審計較強的技術(shù)性也使得沒有人敢去相信經(jīng)審計人員審計過的信息系統(tǒng)是質(zhì)量好的信息系統(tǒng)。健全完善的質(zhì)量控制制度是保證信息系統(tǒng)審計人員遵守法律法規(guī)、職業(yè)道德規(guī)范以及信息系統(tǒng)審計程序的保障。國外的財務(wù)審計質(zhì)量控制準則相對于信息系統(tǒng)審計的質(zhì)量控制準則而言是比較完善的，信息系統(tǒng)審計的質(zhì)量控制準則，除了在ISACA所頒布的審計指南——審計章程（G5）中有粗略的闡述之外，還基本上處于空白狀態(tài)。信息系統(tǒng)審計較強的技術(shù)性決定了審計人員掌握的信息會優(yōu)于委托人，更容易導(dǎo)致審計師在審計過程中與被審計機構(gòu)勾結(jié)欺騙委托人，被審計過的信息系統(tǒng)并不一定會被認可為質(zhì)量好的信息系統(tǒng)，會產(chǎn)生高質(zhì)量的信息，內(nèi)部沒有嵌入非法的內(nèi)部控制規(guī)范等等。從而失去對信息系統(tǒng)審計的信任。為確保信息系統(tǒng)審計的質(zhì)量，審計規(guī)范制定機構(gòu)不僅僅要制定信息系統(tǒng)審計準則，而且還要加快制定信息系統(tǒng)審計質(zhì)量控制準則的步伐。

五、我國信息系統(tǒng)審計規(guī)范制定模式改革的政策建議

（一）改變“財務(wù)審計導(dǎo)向”信息系統(tǒng)審計規(guī)范制定的單一模式

“財務(wù)審計導(dǎo)向”信息系統(tǒng)審計規(guī)范制定的單一模式是特殊歷史條件下的產(chǎn)物，是財務(wù)審計占主導(dǎo)地位下的產(chǎn)物。隨著財務(wù)欺詐向業(yè)務(wù)端前移，業(yè)務(wù)系統(tǒng)的審計變得越來越重要，忽視業(yè)務(wù)系統(tǒng)的審計將直接影響財務(wù)審計結(jié)果的可靠性。因此，有必要改變當前“財務(wù)審計導(dǎo)向”的信息系統(tǒng)審計規(guī)范制定模式，混合采用“財務(wù)審計導(dǎo)向”和“業(yè)務(wù)審計導(dǎo)向”的信息系統(tǒng)審計規(guī)范制定模式。結(jié)合國家審計、內(nèi)部審計和注冊會計師審計目標、人力資源等等，國家審計署、中國內(nèi)審協(xié)會以及中注協(xié)在制定信息系統(tǒng)審計準則時，可以采用“財務(wù)審計導(dǎo)向”的信息系統(tǒng)審計規(guī)范制定模式，以滿足其會計信息系統(tǒng)審計的需求，但專門的信息系統(tǒng)審計準則制定機構(gòu)應(yīng)當混合采用“財務(wù)審計導(dǎo)向”和“業(yè)務(wù)審計導(dǎo)向”兩種模式。此外，為避免審計規(guī)范資源的浪費，國家審計署、中國內(nèi)審協(xié)會以及中注協(xié)應(yīng)當加強溝通與協(xié)調(diào)工作，互相承認其所制定的信息系統(tǒng)審計規(guī)范。

（二）加強資源整合，成立專門的信息系統(tǒng)審計規(guī)范制定機構(gòu)

國外信息系統(tǒng)審計規(guī)范體系的完善得益于其存在專門的信息系統(tǒng)審計準則制定機構(gòu)ISACA，而我國并沒有專門的信息系統(tǒng)審計規(guī)范制定機構(gòu)，信息系統(tǒng)審計規(guī)范分別由國家審計署、中國內(nèi)審協(xié)會和中注協(xié)制定。上述三家機構(gòu)的性質(zhì)就決定了其不能完全致立于信息系統(tǒng)審計規(guī)范的完善與發(fā)展。因此，為完善我國信息系統(tǒng)審計規(guī)范的制定，應(yīng)加強信息系統(tǒng)審計規(guī)范制定資源的整合。這種資源整合包括兩個方面：

1.整合信息系統(tǒng)審計規(guī)范制定的人力、物力與財務(wù)，成立專門的信息系統(tǒng)審計規(guī)范制定機構(gòu)。

從國家審計署、中國內(nèi)審協(xié)會和中注協(xié)抽調(diào)信息系統(tǒng)審計規(guī)范制定的資源，成立類似ISACA的信息系統(tǒng)審計規(guī)范制定機構(gòu)（劉杰、黃忠莉，2013）。從中注協(xié)、國家審計署和中國內(nèi)部審計協(xié)會抽調(diào)信息系統(tǒng)審計規(guī)范制定資源能在一定程度上滿足審計規(guī)范制定的需要，但距離制定一個相對較為完善的信息系統(tǒng)審計規(guī)范體系還是遠遠不夠的，這還需要信息系統(tǒng)審計規(guī)范制定機構(gòu)吸引外部信息系統(tǒng)審計人才，尤其是參與制定ISACA信息系統(tǒng)審計規(guī)范的人才。

2.整合現(xiàn)有與信息系統(tǒng)審計相關(guān)的規(guī)范，同時借鑒國外信息系統(tǒng)審計準則和國內(nèi)先進的信息系統(tǒng)審計實踐經(jīng)驗，制定與發(fā)布適合中國國情的信息系統(tǒng)審計規(guī)范。

制定機構(gòu)發(fā)布的信息系統(tǒng)審計規(guī)范應(yīng)包括兩個方面，即一方面發(fā)布用于指導(dǎo)信息系統(tǒng)審計人員的信息系統(tǒng)審計準則，另一方面發(fā)布用于指導(dǎo)企事業(yè)單位和政府組織內(nèi)部管理人員或高級審計人員的信息系統(tǒng)審計準則。此外，我國在信息系統(tǒng)審計規(guī)范體系的構(gòu)建方面，應(yīng)當按照信息系統(tǒng)審計職業(yè)道德規(guī)范、信息系統(tǒng)審計準則和信息系統(tǒng)審計質(zhì)量控制準則的架構(gòu)構(gòu)建信息系統(tǒng)審計規(guī)范體系，以規(guī)避信息系統(tǒng)審計制定質(zhì)量控制準則的弊端。

作者單位：貴州財經(jīng)大學會計學院

1.IAPS1001, IT Enviroments—Stand-alone Personal Computers [Z]．IFAC，2001．

2.IAPS1002, IT Enviroments—On-line Computer Systems [Z]．IFAC，2001．

3.IAPS1003, IT Enviroments—Database Systems [Z]．IFAC，2001．

4.IAPS1008, Risk Assessments and Internal Control—CIS Characteristics and Considerations [Z]．IFAC, 2001．

5.IAPS1009，Computer-Assisted Audit Techniques [Z]．IFAC, 2001．

6.ISA401Auditing in a Computer Information Systems Evironment[Z]．IFAC．1994

7.IIA．Data Processing Audit Practices Report, Systems Auditability & Control [R]．Institute of Internal Auditors, Altamonte Springs, FL., 1977．

8.張毅．電算化會計信息系統(tǒng)的審計.財經(jīng)研究.1989（05）

9.劉汝焯等編著．計算機審計情景案例.清華大學出版社.2006

10.陳婉玲，楊文杰．ISACA信息系統(tǒng)審計準則及其啟示.審計研究.2006年增刊

11.劉杰，黃忠莉．中國信息系統(tǒng)審計規(guī)范制定的組織際資源整合問題研究.財會朋刊.2013（14）