論信息系統(tǒng)審計(jì)準(zhǔn)則在我國(guó)的需求與發(fā)展

論信息系統(tǒng)審計(jì)準(zhǔn)則在我國(guó)的需求與發(fā)展

［摘　 要］信息系統(tǒng)審計(jì)是計(jì)算機(jī)審計(jì)的兩個(gè)發(fā)展方向之一。 我國(guó)信息系統(tǒng)審計(jì)準(zhǔn)則的研究與規(guī)范尚處于起步階段。 在關(guān)涉內(nèi)容、詳略程度、審計(jì)實(shí)質(zhì)和完善程度方面，我國(guó)的信息系統(tǒng)審計(jì)準(zhǔn)則與國(guó)外存在較大差距，需要大幅完善，以滿足社會(huì)需求。 我國(guó)信息系統(tǒng)審計(jì)準(zhǔn)則的發(fā)展策略主要有：合理借鑒國(guó)外成熟的準(zhǔn)則體系，全面設(shè)計(jì)準(zhǔn)則完善方案，科學(xué)建立準(zhǔn)則內(nèi)容框架。
［關(guān)鍵詞］計(jì)算機(jī)審計(jì)；信息系統(tǒng)審計(jì)準(zhǔn)則；ＩＳＡＣＡ；協(xié)調(diào)機(jī)制

近年來(lái)，審計(jì)署、中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)（中注協(xié)）等部門對(duì)信息系統(tǒng)審計(jì)的開展都極為重視。２０１１年 ７月出臺(tái)的《審計(jì)署“十二五”審計(jì)工作發(fā)展規(guī)劃》指出，“有步驟、分階段地推進(jìn)與重點(diǎn)中央企業(yè)信息系統(tǒng)的聯(lián)網(wǎng)，試點(diǎn)實(shí)時(shí)審計(jì)”，“積極開展信息系統(tǒng)審計(jì)”［１］。 信息系統(tǒng)審計(jì)盡管遵循傳統(tǒng)審計(jì)程序，但與財(cái)務(wù)審計(jì)有根本的區(qū)別，它本質(zhì)上屬于評(píng)價(jià)性、鑒定性審計(jì)。 信息系統(tǒng)審計(jì)的研究在西方國(guó)家較為成熟，在我國(guó)的研究與規(guī)范則尚處于起步階段。 截至 ２０１２年 ２月，審計(jì)署、內(nèi)審協(xié)會(huì)出臺(tái)的有關(guān)信息系統(tǒng)審計(jì)方面的規(guī)范與標(biāo)準(zhǔn)僅 ２項(xiàng)，即審計(jì)署于 ２０１０年 ９月頒布的《中華人民共和國(guó)國(guó)家審計(jì)準(zhǔn)則》（第 ８號(hào)令）［２］和內(nèi)審協(xié)會(huì)于 ２００８年 ９月頒布的《內(nèi)部審計(jì)具體準(zhǔn)則第 ２８號(hào)———信息系統(tǒng)審計(jì)》（內(nèi)審準(zhǔn)則第 ２８號(hào)）［３］，而中注協(xié)至今還尚未頒布關(guān)于信息系統(tǒng)審計(jì)的規(guī)范。 我國(guó)亟待出臺(tái)完善的信息系統(tǒng)審計(jì)系列標(biāo)準(zhǔn)，以此推進(jìn)信息系統(tǒng)審計(jì)業(yè)務(wù)的開展。 結(jié)合近年的研究，本文就信息系統(tǒng)審計(jì)的特點(diǎn)、信息系統(tǒng)審計(jì)準(zhǔn)則的國(guó)內(nèi)外發(fā)展現(xiàn)狀以及在我國(guó)的發(fā)展策略作一探討。
一、計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)
目前，我國(guó)出臺(tái)的計(jì)算機(jī)輔助審計(jì)規(guī)范有 ７項(xiàng)，信息系統(tǒng)審計(jì)方面的規(guī)范卻較少。 若要促進(jìn)信息系統(tǒng)審計(jì)準(zhǔn)則的建設(shè)，區(qū)分計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)就十分必要，這將有助于消除我國(guó)學(xué)術(shù)研究中兩者混淆不清的情況。 日本會(huì)計(jì)檢察院計(jì)算機(jī)中心認(rèn)為，計(jì)算機(jī)審計(jì)包括兩個(gè)方面：一是對(duì)計(jì)算機(jī)系統(tǒng)本身的審計(jì)，如系統(tǒng)安裝、使用成本，系統(tǒng)和數(shù)據(jù)、硬件和系統(tǒng)環(huán)境的審計(jì)；二是計(jì)算機(jī)輔助審計(jì)，包括用計(jì)算機(jī)手段進(jìn)行傳統(tǒng)審計(jì)，用計(jì)算機(jī)建立一個(gè)審計(jì)數(shù)據(jù)庫(kù)，幫助專業(yè)部門進(jìn)行審計(jì)［４］。 根據(jù)２０１０年修訂的《中華人民共和國(guó)審計(jì)法實(shí)施條例》和 ２００１年發(fā)布的《國(guó)務(wù)院辦公廳關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)問(wèn)題的通知》，計(jì)算機(jī)審計(jì)包括對(duì)計(jì)算機(jī)管理的數(shù)據(jù)進(jìn)行檢查及對(duì)管理數(shù)據(jù)的計(jì)算機(jī)進(jìn)行檢查兩個(gè)方面［５］。 我國(guó)學(xué)者李學(xué)柔與秦榮生在《國(guó)際審計(jì)》一書中，對(duì)計(jì)算機(jī)審計(jì)的特性表述為：“一是對(duì)執(zhí)行經(jīng)濟(jì)業(yè)務(wù)和會(huì)計(jì)處理的計(jì)算機(jī)系統(tǒng)進(jìn)行審計(jì)，即計(jì)算機(jī)系統(tǒng)作為審計(jì)的對(duì)象；二是利用計(jì)算機(jī)輔助審計(jì)，即計(jì)算機(jī)作為審計(jì)的工具�！保郏叮莨P者認(rèn)同上述關(guān)于計(jì)算機(jī)審計(jì)內(nèi)涵的論述，并認(rèn)為計(jì)算機(jī)審計(jì)向兩個(gè)方向發(fā)展：其一是信息系統(tǒng)審計(jì)方向，其二是計(jì)算機(jī)輔助審計(jì)方向。
當(dāng)前，國(guó)內(nèi)外學(xué)者對(duì)信息系統(tǒng)審計(jì)的界定不盡一致，主流的觀點(diǎn)有：Ｒｏｎ Ｗｅｂｅｒ于 １９９９年提出，“信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效地實(shí)現(xiàn)組織目標(biāo)的過(guò)程”［７］；日本通產(chǎn)省情報(bào)協(xié)會(huì)于 １９９６年對(duì)信息系統(tǒng)審計(jì)的定義是“為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的信息系統(tǒng)審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向信息系統(tǒng)審計(jì)對(duì)象的最高領(lǐng)導(dǎo)，提出問(wèn)題與建議的一連串的活動(dòng)”［７］。 信息系統(tǒng)是由計(jì)算機(jī)硬件、網(wǎng)絡(luò)與通訊設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶和規(guī)章協(xié)議組成的，以處理信息流為目的的集成化人機(jī)系統(tǒng)。 有效提高信息系統(tǒng)的安全管理與運(yùn)行效率是信息系統(tǒng)審計(jì)的核心問(wèn)題。 筆者認(rèn)為，信息系統(tǒng)審計(jì)應(yīng)該是 ＩＴ審計(jì)師根據(jù)特定的規(guī)范，運(yùn)用科學(xué)的信息系統(tǒng)管理方法，對(duì)信息系統(tǒng)網(wǎng)絡(luò)的運(yùn)行規(guī)程與應(yīng)用政策所實(shí)施的一種評(píng)價(jià)與鑒證活動(dòng)，旨在增強(qiáng)復(fù)雜信息網(wǎng)絡(luò)的有效性、安全性、機(jī)密性與一致性，以此保障信息系統(tǒng)的高效運(yùn)行。
二、中外信息系統(tǒng)審計(jì)準(zhǔn)則的發(fā)展?fàn)顩r
（一） 我國(guó)信息系統(tǒng)審計(jì)準(zhǔn)則的發(fā)展情形
在傳統(tǒng)審計(jì)業(yè)務(wù)方面我國(guó)已經(jīng)形成了一套相對(duì)成熟的規(guī)范體系，然而，在信息系統(tǒng)審計(jì)理論方面，我國(guó)的相關(guān)研究幾乎是空白［８］，至于對(duì)信息系統(tǒng)審計(jì)準(zhǔn)則系列規(guī)定的構(gòu)建，在我國(guó)更是無(wú)從談起。 計(jì)算機(jī)審計(jì)包括信息系統(tǒng)審計(jì)與計(jì)算機(jī)輔助審計(jì)兩方面，截至目前，我國(guó)出臺(tái)的計(jì)算機(jī)審計(jì)規(guī)范或準(zhǔn)則共計(jì) ９項(xiàng)，其中，計(jì)算機(jī)輔助審計(jì)方面的規(guī)范 ７項(xiàng)，信息系統(tǒng)審計(jì)方面的準(zhǔn)則 ２項(xiàng)，見表 １。
表 １　 當(dāng)前我國(guó)已有的計(jì)算機(jī)審計(jì)規(guī)范
兩項(xiàng)信息系統(tǒng)審計(jì)準(zhǔn)則中，一項(xiàng)是內(nèi)審協(xié)會(huì)于 ２００８年 ９月頒布的《內(nèi)部審計(jì)具體準(zhǔn)則第 ２８號(hào)———信息系統(tǒng)審計(jì)》（內(nèi)審準(zhǔn)則第 ２８號(hào)），另一項(xiàng)是審計(jì)署于 ２０１０年 ９月頒布的《中華人民共和國(guó)國(guó)家審計(jì)準(zhǔn)則》（第 ８號(hào)令）中的 ５項(xiàng)具體條款。 內(nèi)審準(zhǔn)則第 ２８號(hào)總計(jì) ８章 ３２項(xiàng)條款，該準(zhǔn)則從總則、一般原則、信息技術(shù)風(fēng)險(xiǎn)評(píng)估、信息技術(shù)審計(jì)的內(nèi)容與方法等方面對(duì)信息系統(tǒng)內(nèi)審業(yè)務(wù)加以規(guī)范，它明確指出，“組織的信息技術(shù)管理目的是保證組織的信息技術(shù)戰(zhàn)略充分反映該組織的業(yè)務(wù)戰(zhàn)略目標(biāo)，提高組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準(zhǔn)確性，提高信息系統(tǒng)運(yùn)行的效果與效率，合理保證信息系統(tǒng)的運(yùn)行符合法律法規(guī)及監(jiān)管的相關(guān)要求”［３］。 審計(jì)署第 ８號(hào)令不是一項(xiàng)專業(yè)的信息系統(tǒng)審計(jì)準(zhǔn)則，而是一項(xiàng)傳統(tǒng)審計(jì)業(yè)務(wù)的新規(guī)范，但其某些具體條款涉及被審單位信息系統(tǒng)的檢查方法與審計(jì)原則。 僅有的兩項(xiàng)信息系統(tǒng)審計(jì)準(zhǔn)則，前一項(xiàng)條款涉及范圍相對(duì)全面，但是具體條款過(guò)于籠統(tǒng)，后一項(xiàng)所涉及的信息系統(tǒng)審計(jì)準(zhǔn)則過(guò)于零散，難成體系，兩項(xiàng)準(zhǔn)則無(wú)法為我國(guó)信息系統(tǒng)審計(jì)業(yè)務(wù)的開展提供具體指導(dǎo)。

（二） 國(guó)外信息系統(tǒng)審計(jì)準(zhǔn)則的發(fā)展情形
國(guó)外有關(guān)于信息系統(tǒng)審計(jì)準(zhǔn)則的發(fā)展已經(jīng)趨于成熟，其中較為典型的有信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ＩＳＡＣＡ）制定的《信息系統(tǒng)準(zhǔn)則體系》與《信息系統(tǒng)和技術(shù)控制目標(biāo)》（ＣＯＢＩＴ），美國(guó)審計(jì)署制定的《聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)》（ＦＩＳＣＡＭ），國(guó)際內(nèi)部審計(jì)協(xié)會(huì)制定的《基于風(fēng)險(xiǎn)的信息系統(tǒng)控制評(píng)價(jià)指南》（ＧＡＩＴ），以及英國(guó)、法國(guó)、德國(guó)與荷蘭共同制定的《信息技術(shù)安全評(píng)估準(zhǔn)則》（ＩＴＳＥＣ），這些準(zhǔn)則與規(guī)范均為多個(gè)國(guó)家所廣泛應(yīng)用［８ ９］。 上述準(zhǔn)則與規(guī)范中最為典型的應(yīng)為 ＩＳＡＣＡ機(jī)構(gòu)制定的準(zhǔn)則體系，該體系框架見表２。 ＩＳＡＣＡ是集信息系統(tǒng)控制、管理、審計(jì)于一體的專業(yè)機(jī)構(gòu)，總部在芝加哥，在全世界 １６０個(gè)國(guó)家約有９５０００名會(huì)員。 ＩＳＡＣＡ的任務(wù)包括注冊(cè)信息系統(tǒng)審計(jì)師（ＣＩＳＡ）資格認(rèn)證、制定 ＩＳＡ準(zhǔn)則、組織ＣＩＳＡ資格考試等七項(xiàng)內(nèi)容。 七項(xiàng)內(nèi)容相互輔助，融為一體，且 ＩＳＡ準(zhǔn)則的制定以其他六項(xiàng)為有機(jī)支撐。表２所闡釋的 ＩＳＡＣＡ信息系統(tǒng)審計(jì)準(zhǔn)則體系來(lái)源于 ＩＳＡＣＡ機(jī)構(gòu)出版的《ＩＴ Ｓｔａｎｄａｒｄｓ， Ｇｕｉｄｅｌｉｎｅｓ， ａｎｄＴｏｏｌｓ ａｎｄ Ｔｅｃｈｎｉｑｕｅｓ ｆｏｒ Ａｕｄｉｔ ａｎｄ Ａｓｓｕｒａｎｃｅ ａｎｄ Ｃｏｎｔｒｏｌ Ｐｒｏｆｅｓｓｉｏｎａｌｓ》［９］。 該體系總計(jì)３３０頁(yè)，將信息系統(tǒng)審計(jì)準(zhǔn)則分為審計(jì)標(biāo)準(zhǔn)、審計(jì)指南與作業(yè)程序三個(gè)部分，其中審計(jì)標(biāo)準(zhǔn)表述為 Ｓ１—Ｓ１６，規(guī)定了審計(jì)章程及審計(jì)過(guò)程所必須達(dá)到的基本要求，是 ＣＩＳＡ的執(zhí)業(yè)行為的基本規(guī)范；審計(jì)指南表述為 Ｇ１—Ｇ４２，明確規(guī)范了 ＣＩＳＡ實(shí)施審計(jì)業(yè)務(wù)的具體標(biāo)準(zhǔn)，為 ＣＩＳＡ如何遵守審計(jì)準(zhǔn)則提供指引；作業(yè)程序的表述為 Ｐ１—Ｐ１１，提供了信息系統(tǒng)審計(jì)業(yè)務(wù)的一般步驟，為 ＣＩＳＡ提供了 ＩＳ審計(jì)工作的具體思路。

（二） 我國(guó)的信息系統(tǒng)審計(jì)準(zhǔn)則無(wú)法滿足廣泛的社會(huì)需求
近年來(lái)，復(fù)雜的信息系統(tǒng)在我國(guó)得到廣泛應(yīng)用，如公安綜合網(wǎng)絡(luò)信息系統(tǒng)、集團(tuán)信息管理系統(tǒng)等。由于受到特定經(jīng)濟(jì)環(huán)境以及網(wǎng)狀信息系統(tǒng)復(fù)雜性等多種不確定因素的影響，信息系統(tǒng)安全問(wèn)題日趨嚴(yán)重，社會(huì)對(duì)信息系統(tǒng)審計(jì)準(zhǔn)則的需求亦日益迫切。 如，２００６年 １０月 １０日中國(guó)民航信息網(wǎng)絡(luò)股份有限公司離港系統(tǒng)主機(jī)發(fā)生故障，包括北京、上海、廣州在內(nèi)的眾多機(jī)場(chǎng)的離港系統(tǒng)整體性癱瘓；２００９年 ９月 １７日，知名券商申銀萬(wàn)國(guó)交易系統(tǒng)突然癱瘓，其位于全國(guó)各地的一百余個(gè)營(yíng)業(yè)部均受到影響，近半個(gè)小時(shí)未能進(jìn)行證券交易；２０１０年 ２月 ３日，民生銀行因信息系統(tǒng)故障，全國(guó)范圍所有業(yè)務(wù)無(wú)法辦理；２０１１年１０月２５日，北京東城區(qū)３９家社區(qū)衛(wèi)生服務(wù)站出現(xiàn)信息系統(tǒng)故障，近一周的時(shí)間無(wú)法為患者提供正常門診與取藥服務(wù)。 若要解決上述問(wèn)題，則亟須一套成熟的信息系統(tǒng)審計(jì)準(zhǔn)則對(duì)信息系統(tǒng)進(jìn)行事前預(yù)警、事中控制與事后評(píng)價(jià)，顯然，目前我國(guó)僅有的兩項(xiàng)準(zhǔn)則無(wú)法滿足社會(huì)的需求。 信息系統(tǒng)審計(jì)準(zhǔn)則在我國(guó)的需求主要體現(xiàn)在三個(gè)方面：一是信息系統(tǒng)內(nèi)部控制與審計(jì)的需求。 對(duì)此，內(nèi)審協(xié)會(huì)需要出臺(tái)全面的準(zhǔn)則與規(guī)范，為組織中內(nèi)部審計(jì)人員評(píng)價(jià)信息系統(tǒng)的安全提供參考標(biāo)準(zhǔn)。 二是公共機(jī)構(gòu)中信息系統(tǒng)外部審計(jì)的需求。 對(duì)此，審計(jì)署需要出臺(tái)系列的信息系統(tǒng)審計(jì)準(zhǔn)則，為政府審計(jì)人員提供明確的審計(jì)流程與技術(shù)方法。 三是公共機(jī)構(gòu)之外的組織中信息系統(tǒng)外部審計(jì)的需求。 對(duì)此，中注協(xié)需要出臺(tái)規(guī)范的信息系統(tǒng)審計(jì)準(zhǔn)則，為社會(huì)審計(jì)人員提供清晰的參照標(biāo)準(zhǔn)與風(fēng)險(xiǎn)控制思路。
（三） 我國(guó)的信息系統(tǒng)審計(jì)準(zhǔn)則多方制定主體間缺乏默契的協(xié)調(diào)機(jī)制
政府審計(jì)準(zhǔn)則、內(nèi)部審計(jì)準(zhǔn)則、社會(huì)審計(jì)準(zhǔn)則的出臺(tái)機(jī)構(gòu)分別為審計(jì)署、內(nèi)審協(xié)會(huì)與中注協(xié)，它們應(yīng)根據(jù)其自身服務(wù)范圍制定相應(yīng)的信息系統(tǒng)審計(jì)準(zhǔn)則。 然而，盡管三方均需制定各自的準(zhǔn)則，但是由于在信息系統(tǒng)審計(jì)的目標(biāo)、原則、方法與技術(shù)方面只是形式的不同，而內(nèi)容并未有實(shí)質(zhì)差異，因此，審計(jì)署、內(nèi)審協(xié)會(huì)、中注協(xié)有必要就信息系統(tǒng)審計(jì)的原則與方法等同質(zhì)的方面作出統(tǒng)一的規(guī)范，然后再根據(jù)各自的特點(diǎn)進(jìn)行修訂。 多年來(lái)，我國(guó)信息系統(tǒng)審計(jì)準(zhǔn)則出臺(tái)過(guò)于零散，其原因之一是審計(jì)署、內(nèi)審協(xié)會(huì)、中注協(xié)各自缺少對(duì)外交流機(jī)制，且彼此之間缺乏協(xié)調(diào)機(jī)制。 一項(xiàng)準(zhǔn)則的出臺(tái)，不僅僅需要制定主體之間相互協(xié)調(diào)，同時(shí)還需要集合制定主體之外的多方相關(guān)利益主體。 信息系統(tǒng)審計(jì)準(zhǔn)則所需集合的外部主體主要有信息系統(tǒng)審計(jì)師、信息系統(tǒng)管理工程師、信息安全工程師、信息系統(tǒng)項(xiàng)目管理師、學(xué)術(shù)界以及其他利益相關(guān)者。 因?yàn)樾畔⑾到y(tǒng)審計(jì)準(zhǔn)則制定者的理性并非無(wú)限的，因而，將各利益主體有機(jī)協(xié)調(diào)于一體，將會(huì)盡可能地集合審計(jì)學(xué)學(xué)科、計(jì)算機(jī)科學(xué)學(xué)科以及信息安全學(xué)學(xué)科中理論界與實(shí)務(wù)界更多人的知識(shí)與經(jīng)驗(yàn)，從而全面提高信息系統(tǒng)審計(jì)準(zhǔn)則的質(zhì)量。 在我國(guó)，盡管信息系統(tǒng)審計(jì)并非強(qiáng)制性審計(jì)，且耗費(fèi)人力、財(cái)力集合各方主體完善相關(guān)準(zhǔn)則從目前來(lái)看并不會(huì)產(chǎn)生更多的社會(huì)效益，但是從長(zhǎng)遠(yuǎn)來(lái)看，缺少必要的多方互動(dòng)機(jī)制并非明智之舉，準(zhǔn)則制定者應(yīng)在引入多方主體的基礎(chǔ)上采取聽證會(huì)等方式，多聽反對(duì)意見，廣納民意，集中民智。
四、信息系統(tǒng)審計(jì)準(zhǔn)則體系的構(gòu)建策略探析
構(gòu)建并完善信息系統(tǒng)審計(jì)準(zhǔn)則體系是一項(xiàng)系統(tǒng)工程，它不是簡(jiǎn)單工作的疊加，而是具體工作的有機(jī)整合。 我國(guó)的信息系統(tǒng)審計(jì)準(zhǔn)則建設(shè)剛剛起步，準(zhǔn)則制定主體將面臨全新的挑戰(zhàn)。 在此，筆者希望準(zhǔn)則制定主體在信息系統(tǒng)審計(jì)準(zhǔn)則制定上，盡可能堅(jiān)持以下三個(gè)方向。
（一） 合理借鑒國(guó)外成熟的信息系統(tǒng)審計(jì)準(zhǔn)則體系
國(guó)外信息系統(tǒng)審計(jì)準(zhǔn)則體系相對(duì)成熟，我國(guó)的準(zhǔn)則制定機(jī)構(gòu)可以直接引入國(guó)外先進(jìn)的信息系統(tǒng)審計(jì)準(zhǔn)則研究成果及實(shí)踐經(jīng)驗(yàn)，這樣不僅可以避免開展重復(fù)性工作，而且能快速站于更高的起點(diǎn)。 當(dāng)然，“借鑒”并不意味著“照搬”，準(zhǔn)則制定機(jī)構(gòu)在“借鑒”中應(yīng)關(guān)注國(guó)際趨同、中國(guó)特色和自主創(chuàng)新三點(diǎn)。
１． 國(guó)際趨同。 當(dāng)前，全球經(jīng)濟(jì)一體化趨勢(shì)要求審計(jì)準(zhǔn)則也趨向一體化。 ２０１０年 １１月 １０日，國(guó)際審計(jì)準(zhǔn)則制定機(jī)構(gòu)在與中國(guó)審計(jì)準(zhǔn)則委員會(huì)的聯(lián)合聲明中高度評(píng)價(jià)中國(guó)審計(jì)準(zhǔn)則的國(guó)際趨同成果。 審計(jì)作為一門學(xué)科不分國(guó)界，大量“吸收”國(guó)外成熟的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)，走“國(guó)際趨同”道路，將是我國(guó)發(fā)展審計(jì)準(zhǔn)則的大勢(shì)所趨。 信息系統(tǒng)審計(jì)準(zhǔn)則的國(guó)際趨同是矛盾的統(tǒng)一體，我國(guó)的準(zhǔn)則制定機(jī)構(gòu)需要實(shí)現(xiàn)“推動(dòng)趨同的積極因素”與“阻礙趨同的消極因素”二者作用的均衡。
２． 中國(guó)特色。 由于各個(gè)國(guó)家的國(guó)情不盡相同，因而外國(guó)成熟的理念不盡適于中國(guó)。 我國(guó)與國(guó)外審計(jì)文化的差異主要體現(xiàn)于三個(gè)層次：其一是物質(zhì)文化差異，包括審計(jì)環(huán)境、審計(jì)條件等；其二是制度文化差異，包括審計(jì)規(guī)范、審計(jì)機(jī)構(gòu)組織方式等；其三是精神文化差異，包括價(jià)值取向、行為方式等［１０］。 例如，國(guó)際政府審計(jì)準(zhǔn)則由四部分組成，全部具體準(zhǔn)則共計(jì) １９１項(xiàng)條款，然而我國(guó)政府審計(jì)準(zhǔn)則共分為六個(gè)部分，全部準(zhǔn)則共計(jì) ４７項(xiàng)條款［２］。 造成國(guó)內(nèi)外差異的原因有諸多方面，其中一個(gè)是我國(guó)政府審計(jì)無(wú)論是實(shí)踐經(jīng)歷還是理論研究都起步較晚。 正因如此，我國(guó)審計(jì)準(zhǔn)則的制定與出臺(tái)均是以實(shí)踐經(jīng)歷為基礎(chǔ)的，是緊緊圍繞實(shí)踐環(huán)節(jié)作出的程序性規(guī)定，在形式上和內(nèi)容上拘泥于條條框框，難以達(dá)到“適度拓展性”與“適時(shí)適應(yīng)性”等理論高度［１１］。 有鑒于此，我國(guó)的準(zhǔn)則制定機(jī)構(gòu)在“借鑒”中，需要充分認(rèn)識(shí)國(guó)內(nèi)外審計(jì)文化的差異，明確我國(guó)審計(jì)文化的特色，努力設(shè)計(jì)出適用于我國(guó)的高效的信息系統(tǒng)審計(jì)準(zhǔn)則體系。

３． 自主創(chuàng)新。 我國(guó)對(duì)信息系統(tǒng)審計(jì)準(zhǔn)則的制定不僅要做到中國(guó)特色，還要做到與時(shí)俱進(jìn)并具有前瞻性。 為滿足上述要求，準(zhǔn)則制定機(jī)構(gòu)在借鑒國(guó)外的基礎(chǔ)上，需要做到基于自身的不斷創(chuàng)新。 如ＩＳＡＣＡ采用的是會(huì)計(jì)師事務(wù)所的框架，美國(guó)審計(jì)署采用的是內(nèi)部控制理論，二者構(gòu)建的信息系統(tǒng)審計(jì)準(zhǔn)則體系都主要以內(nèi)部控制為基礎(chǔ)［８］，然而當(dāng)前我國(guó)大部分被審單位的內(nèi)控體系尚在建設(shè)之中。 再如，國(guó)外有眾多有關(guān)信息化的法規(guī)為 ＩＳＡＣＡ等體系做支撐，而我國(guó)尚缺［１１］。 類似問(wèn)題的解決都有賴于我國(guó)信息系統(tǒng)審計(jì)準(zhǔn)則制定機(jī)構(gòu)的持續(xù)創(chuàng)新。 為了實(shí)現(xiàn)“持續(xù)創(chuàng)新”，我國(guó)有必要為信息系統(tǒng)審計(jì)準(zhǔn)則的制定與組織設(shè)立專門的機(jī)構(gòu)，加大人力、物力、財(cái)力的投入，增強(qiáng)準(zhǔn)則制定的必要的動(dòng)力機(jī)制，強(qiáng)化準(zhǔn)則制定主體，最大限度地發(fā)揮相關(guān)機(jī)構(gòu)的創(chuàng)新潛力。（二） 全面設(shè)計(jì)信息系統(tǒng)審計(jì)準(zhǔn)則的完善方案
信息系統(tǒng)審計(jì)準(zhǔn)則的制定必須科學(xué)規(guī)劃，建立切合實(shí)際的信息系統(tǒng)審計(jì)準(zhǔn)則制訂方案并非無(wú)法完成。 筆者認(rèn)為，全面的信息系統(tǒng)審計(jì)準(zhǔn)則完善方案至少包括四項(xiàng)內(nèi)容：一是確立準(zhǔn)則制定相關(guān)主體的多方合作機(jī)制。 信息系統(tǒng)審計(jì)準(zhǔn)則制定主體的知識(shí)具有有限性，因此制定主體不可能制定出適用于任何情況的最優(yōu)規(guī)范，故準(zhǔn)則制定機(jī)構(gòu)需要擴(kuò)大準(zhǔn)則制定主體的代表性，將信息系統(tǒng)審計(jì)師、信息安全工程師、軟件工程師、資深學(xué)者等多方主體納入準(zhǔn)則制定團(tuán)隊(duì)，這樣一方面可以集思廣益，提升準(zhǔn)則質(zhì)量，另一方面可以向利益相關(guān)者增設(shè)利益訴求的通道，促進(jìn)其對(duì)準(zhǔn)則的遵從。 二是融合信息技術(shù)與安全方面的法規(guī)及標(biāo)準(zhǔn)。 信息系統(tǒng)審計(jì)涉及信息管理等多門學(xué)科，僅以傳統(tǒng)審計(jì)理論演繹信息系統(tǒng)審計(jì)理論還遠(yuǎn)遠(yuǎn)不夠，因此，我國(guó)在制定信息系統(tǒng)審計(jì)準(zhǔn)則過(guò)程中，還需要融合信息技術(shù)與安全方面的法規(guī)與標(biāo)準(zhǔn)，如《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《信息系統(tǒng)通用安全技術(shù)要求》、《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》、《操作系統(tǒng)安全技術(shù)要求》等都將會(huì)對(duì)準(zhǔn)則制定大有幫助。 三是加強(qiáng)與信息系統(tǒng)審計(jì)有關(guān)的法規(guī)與準(zhǔn)則的確立。 信息系統(tǒng)服務(wù)于信息經(jīng)濟(jì)，制定信息系統(tǒng)審計(jì)準(zhǔn)則就應(yīng)以有關(guān)信息經(jīng)濟(jì)的法律規(guī)范為基礎(chǔ)。 當(dāng)前，我國(guó)有關(guān)電子商務(wù)、電子政務(wù)的法律體系尚未完全建立，由此導(dǎo)致網(wǎng)上交易的安全問(wèn)題、電子證據(jù)的篡改問(wèn)題等在法律上難以認(rèn)定，這些都將促使審計(jì)人員在信息系統(tǒng)業(yè)務(wù)運(yùn)營(yíng)的合法性審計(jì)工作中無(wú)法可循。 四是做好與信息系統(tǒng)審計(jì)準(zhǔn)則建設(shè)相配套的其他工作。 ＩＳＡＣＡ機(jī)構(gòu)的工作重點(diǎn)包括 ＩＳＡＣＡ準(zhǔn)則建設(shè)等七項(xiàng)內(nèi)容，且這些內(nèi)容相互支撐。 我國(guó)在制定信息系統(tǒng)審計(jì)準(zhǔn)則的動(dòng)態(tài)過(guò)程中，也有必要做好與其相配套的其他工作，以便為準(zhǔn)則的制定打下良好的基礎(chǔ)。 信息系統(tǒng)審計(jì)準(zhǔn)則制定的配套工作應(yīng)該包括建立信息系統(tǒng)審計(jì)協(xié)會(huì)并明確會(huì)員的權(quán)利與義務(wù)，大力開展信息系統(tǒng)審計(jì)教育與培訓(xùn)等，只有如此，高水平的準(zhǔn)則參與團(tuán)隊(duì)才能涌現(xiàn)，準(zhǔn)則的制定質(zhì)量與執(zhí)行效果也才會(huì)大幅攀升。
（三） 科學(xué)建立信息系統(tǒng)審計(jì)準(zhǔn)則的內(nèi)容框架
信息系統(tǒng)審計(jì)準(zhǔn)則取材于審計(jì)主體、審計(jì)過(guò)程、審計(jì)方法以及審計(jì)風(fēng)險(xiǎn)管理，反過(guò)來(lái)又對(duì)它們加以規(guī)范。 結(jié)合 ＩＳＡＣＡ準(zhǔn)則，審計(jì)署、內(nèi)審協(xié)會(huì)、中注協(xié)在確定信息系統(tǒng)審計(jì)準(zhǔn)則體系框架時(shí)，有必要將該體系劃分為三個(gè)層次（見圖 １）：一是信息系統(tǒng)審計(jì)基本準(zhǔn)則層次。 信息系統(tǒng)審計(jì)基本準(zhǔn)則是信息系統(tǒng)審計(jì)準(zhǔn)則的總綱，是審計(jì)機(jī)構(gòu)與審計(jì)人員進(jìn)行信息系統(tǒng)審計(jì)時(shí)應(yīng)遵循的基本規(guī)范，是制定信息系統(tǒng)審計(jì)具體準(zhǔn)則與信息系統(tǒng)審計(jì)指南的依據(jù)。 信息系統(tǒng)審計(jì)基本準(zhǔn)則的主要內(nèi)容應(yīng)該包括總則、一般準(zhǔn)則、作業(yè)準(zhǔn)則、報(bào)告準(zhǔn)則、不正當(dāng)及非法行為、信息系統(tǒng)管理與附則等方面。 二是信息系統(tǒng)審計(jì)具體準(zhǔn)則層次。 信息系統(tǒng)審計(jì)具體準(zhǔn)則是審計(jì)機(jī)構(gòu)和人員在進(jìn)行信息系統(tǒng)審計(jì)時(shí)評(píng)價(jià)審計(jì)事項(xiàng)與作出審計(jì)決定應(yīng)當(dāng)遵循的具體規(guī)范。 信息系統(tǒng)審計(jì)具體準(zhǔn)則的主要內(nèi)容應(yīng)該包括職業(yè)道德準(zhǔn)則、審計(jì)證據(jù)準(zhǔn)則、審計(jì)工作底稿準(zhǔn)則、審計(jì)報(bào)告準(zhǔn)則、審計(jì)抽樣準(zhǔn)則、內(nèi)部控制評(píng)價(jià)準(zhǔn)則、審計(jì)結(jié)果溝通準(zhǔn)則等多個(gè)方面。 當(dāng)然，在上述具體準(zhǔn)則中需要融入有關(guān)信息系統(tǒng)技術(shù)與安全的多方面的專業(yè)知識(shí)，應(yīng)該列示信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估，入侵檢測(cè)，防火墻、病毒及其他惡意代碼、加密技術(shù)的管理控制評(píng)價(jià)等多項(xiàng)審計(jì)流程。 三是信息系統(tǒng)審計(jì)指南層次。 信息系統(tǒng)審計(jì)指南是為審計(jì)機(jī)構(gòu)與審計(jì)人員進(jìn)行信息系統(tǒng)審計(jì)提供的具有可操作性的指導(dǎo)意見。 由于當(dāng)前網(wǎng)絡(luò)經(jīng)濟(jì)的迅速發(fā)展與日趨復(fù)雜，我國(guó)出臺(tái)的信息系統(tǒng)審計(jì)指南要盡可能全面細(xì)致，未來(lái)出臺(tái)的信息系統(tǒng)審計(jì)操作指導(dǎo)性建議至少應(yīng)該包括應(yīng)用系統(tǒng)評(píng)審、訪問(wèn)控制、系統(tǒng)開發(fā)與維護(hù)、實(shí)物與環(huán)境安全、不正當(dāng)及非法行為、Ｂ２Ｂ與 Ｂ２Ｃ的電子商務(wù)審核、移動(dòng)計(jì)算、系統(tǒng)開發(fā)生命周期審核以及虛擬專用網(wǎng)絡(luò)等各個(gè)方面。 科學(xué)的準(zhǔn)則框架能夠?yàn)樾畔⑾到y(tǒng)審計(jì)準(zhǔn)則的需求方（開發(fā)主體、用戶主體、審計(jì)主體）提供規(guī)范化、專業(yè)化的管理框架，并能夠明確它們的定位、權(quán)利與職責(zé)，筆者期待大家的共同努力。
參考文獻(xiàn)：
［１］中華人民共和國(guó)審計(jì)署．審計(jì)署“十二五”審計(jì)工作發(fā)展規(guī)劃［Ｒ／ ＯＬ］．（２０１１０７０１）［２０１２０７１０］．．
［２］中華人民共和國(guó)審計(jì)署．中華人民共和國(guó)國(guó)家審計(jì)準(zhǔn)則（第 ８號(hào)令）［ＥＢ／ ＯＬ］．（２０１００９０１）［２０１２０７１０］．ｈｔｔｐ：／ ／ ｗｗｗ． ａｕｄｉｔ． ｇｏｖ． ｃｎ／ ｎ１９９２１３０／ ｎ１９９２１６５／ ｎ１９９３６７６／２６０１５３９． ｈｔｍｌ．
［３］中國(guó)內(nèi)部審計(jì)協(xié)會(huì)．內(nèi)部審計(jì)具體準(zhǔn)則第２８號(hào)———信息系統(tǒng)審計(jì)［ＥＢ／ ＯＬ］．［２０１１０５０７］［２０１２０７１０］． ｈｔ?ｔｐ：／ ／ ｗｗｗ． ｃｉｉａ． ｃｏｍ． ｃｎ／ ｄｏｃｓ／ ｆｇ＿ｘｇ＿ｎｓｚｚ／２０１１０５０７／１３０４７５４３０６５３４． ｈｔｍｌ．
［４］莊明來(lái)．計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)之比較［Ｊ］．會(huì)計(jì)之友，２０１０（５）：８２８５．
［５］中華人民共和國(guó)審計(jì)署．計(jì)算機(jī)審計(jì)［ＥＢ／ ＯＬ］．［２０１２０７１０］． ｈｔｔｐ：／ ／ ｗｗｗ． ａｕｄｉｔ． ｇｏｖ． ｃｎ／ ｃｙｓｉｔｅ／ ｄｏｃｐａｇｅ／ ｃ３４０／２００３０１／０１０９＿３４０＿６７０． ｈｔｍ．
［６］李學(xué)柔，秦榮生．國(guó)際審計(jì)［Ｍ］．北京：中國(guó)時(shí)代經(jīng)濟(jì)出版社，２００２．
［７］王會(huì)金，劉國(guó)城．中觀經(jīng)濟(jì)主體信息系統(tǒng)審計(jì)的理論分析及實(shí)施路徑探索［Ｊ］．審計(jì)與經(jīng)濟(jì)研究，２００９（５）：２７３１．
［８］李春青，周座．“國(guó)外引進(jìn)”還是“自主發(fā)展”？ ———對(duì)我國(guó)政府信息系統(tǒng)審計(jì)發(fā)展途徑的探討［Ｊ］．南京審計(jì)學(xué)院學(xué)報(bào)，２０１２（１）：５１５７．
［９］ＩＳＡＣＡ． Ａｂｏｕｔ ＩＳＡＣＡ［ＥＢ／ ＯＬ］．［２０１２０７
１０］． ．
［１０］徐春．試論中國(guó)特色審計(jì)文化理念的構(gòu)建與作用機(jī)制［Ｊ］．科技情報(bào)開發(fā)與經(jīng)濟(jì)，２００５（５）：１５４１５５．［１１］馬佳迪．我國(guó)政府審計(jì)準(zhǔn)則與國(guó)際審計(jì)準(zhǔn)則之比較［Ｊ］．財(cái)會(huì)月刊，２０１１（８）：３２３３．
［１２］唐志豪，馮占國(guó)，吳桂英．信息系統(tǒng)審計(jì)理論與實(shí)務(wù)［Ｍ］．北京：清華大學(xué)出版社，２０１２．

【論信息系統(tǒng)審計(jì)準(zhǔn)則在我國(guó)的需求與發(fā)展】相關(guān)文章：

論審計(jì)風(fēng)險(xiǎn)的防范與控制11-18

論民營(yíng)企業(yè)內(nèi)部審計(jì)生存和發(fā)展的基礎(chǔ)11-15

談我國(guó)鑄造裝備發(fā)展01-17

我國(guó)社區(qū)新聞的發(fā)展研究11-21

論培養(yǎng)適應(yīng)社會(huì)需求的理想“角色”11-21

審計(jì)市場(chǎng)發(fā)展與競(jìng)爭(zhēng)研究11-17

論藏藥發(fā)展的營(yíng)銷戰(zhàn)略03-28

論新媒介的發(fā)展態(tài)勢(shì)12-04

議主題酒店在我國(guó)的發(fā)展對(duì)策11-24