国际信息系统审计与控制协会基本准则分析,审计论文

国际信息系统审计与控制协会基本准则分析,审计论文〔四〕ISACA信息系统审计基本准则存在的问题ISACA尽管在基本准则方面的内容比拟全面，构成了较为系统的信息系统审计准则体系，但通过深切进入研究能够发现ISACA的基本准则体系仍存在缺乏之处。这些缺乏之处也为我们国家制定专门的信息系统审计基本准则提供了指导。〔1〕信息系统审计基本准则包含审计职业道德规范的内容，不利于信息系统审计职业道德规范的发展。在信息系统审计基本准则的制定经过中，ISACA将审计独立性、职业道德以及职业能力等审计职业道德规范一并纳入基本准则中，这三项审计职业道德规范应从基本准则中独立出来。若将审计职业道德规范一并纳入到基本准则之中，不利于建立专门化的信息系统审计职业道德规范体系。信息系统审计职业道德规范同信息系统审计准则处于同样重要的地位，将其纳入信息系统审计基本准则的范畴会降低准则制定机构的重视程度，而将其单独出来有利于建立层次分明，自成体系的审计职业道德规范体系，具体表现出审计职业道德在信息系统审计中的重要性。〔2〕基本准则没有完好具体表现出信息系统审计理论构造的内容。信息系统审计理论构造是信息系统审计规范制定的理论基础，ISACA所公布的基本准则没有完好具体表现出信息系统审计理论构造的内容，即没有对信息系统审计进行定义，没有规定信息系统审计本质、审计目的、审计假设、审计质量控制等内容。具有摩尔定律发展速度的信息技术使信息系统变得越来越复杂，网络安全及信息系统安全问题也变得越来越重要。信息系统审计人员在面临新的审计环境时，需要审计规范加以引导和约束，而在信息系统审计基本准则中界定审计的本质、目的、假设以及信息系统审计质量控制等内容有利于正确引导信息系统审计人员的审计行为，界定信息系统审计以及审计范围，能够在飞速发展的信息社会中出现新信息技术问题时不至于使审计人员陷入判定新领域能否属于信息系统审计范畴的境地。审计质量控制是信息系统审计理论的重要组成部分，也是信息系统审计准则的主要构成内容之一。审计质量就是审计活动对公认审计准则或标准的遵循程度。非法使用者出于娱乐、报复或利益等目的而侵入计算机〔Palmer,2001〕，Garg、Curtis和Hapler〔2003〕估计安全事件对普通的公开上市公司来讲，其市场影响占到年销售额的0.5%到1.0%.除了病毒和蠕虫之外，组织还可能遭受DOS攻击，这是21世纪代价第二昂贵的网络犯罪，估计其损失达6500万美元，而新发展的DDOS的威胁很现实，每周有超过4000次的DDOS攻击，新型的DOS正在不断地被制造出来，例如，DROS用伪造的有效数据包冲垮服务器〔Joyce,2002〕。Bell实验室的网络研究副总裁KrishanSabnani表示，最新的DOS攻击将威胁无线网络。审计质量是信息系统审计的基础，没有质量保证的信息系统审计行为，不仅不能为企业信息系统的可靠性、安全性等提供保证，反而会给企业带来更大的损失。在ISACA的基本准则中，尚不存在审计质量控制方面的规定，这有待于ISACA审计准则制定机构完善审计质量控制方面的基本准则，或是单独建立信息系统审计质量控制准则体系。三、对我们国家信息系统审计基本准则制定的借鉴与启示我们国家信息系统审计准则的制定尚处于起步阶段，当下公布的信息系统审计准则主要依附于财务审计准则。无论是在信息系统审计准则的数量上，还是质量上，我们国家与ISACA发布的信息系统审计体系都存在相当大的差距。这与信息系统审计基本准则的缺失息息相关，信息系统审计基本准则的缺失使得详细审计准则或审计指南、审计程序的制定只能依附于财务审计准则的制定。为加快信息系统审计基本准则建设的步伐，笔者以为应当加快信息系统审计基本准则的制定步伐，借鉴ISACA的信息系统审计基本准则，制定合适我们国家国情的信息系统审计基本准则，为信息系统审计准则体系的完善奠定基础。〔一〕借鉴ISACA的准则制定形式,树立以信息系统审计基本准则为导向的审计准则制定理念在信息系统审计基本准则缺失的前提条件下，我们国家当下的信息系统审计准则只能依附于财务审计准则的制定，不能构成较为完善的信息系统审计规范体系。信息系统审计详细准则也只能由财务审计的基本准则推导出来，信息系统审计准则或规范的公布主要是考虑到信息技术已经影响到财务报告生产经过，为了更好的进行财务审计，而不是单纯的为制定信息系统审计准则。信息化的浪潮正在席卷社会的各个角落，信息系统已经成为、企事业单位不可缺少的组成部分。企业信息化与政务信息化正在逐步扩大信息系统审计的范围，已经超出会计信息系统的范围，信息系统的安全、软硬件以及开发生命周期等都已成为信息系统审计的范围，而且这些审计范围变得越来越重要。因而，我们国家信息系统审计准则的制定，其审计目的不能再仅仅局限于财务审计的目的，需要一个完善的信息系统审计准则体系为审计人员审计信息系统安全、软硬件以及系统开发生命周期服务。依附于财务审计准则制定形式的转变需要建立属于信息系统审计准则体系构建的基本准则，树立以以信息系统审计基本准则为导向的理念，由基本准则推导详细准则、审计指南或审计程序的制定，由基本准则指导详细审计准则缺失的真空地带,有效指导信息系统审计人员的审计行为。〔二〕在审计署的推动下,成立类似ISACA的信息系统审计准则制定机构到当前为止，我们国家具有真正意义的信息系统审计准则是中国内审协会公布的第2203号内部审计详细准则，该准则的基本准则为(内部审计基本准则〕，而(内部审计基本准则〕主要是为了规范内部审计工作，明确内部审计机构和审计人员职责，不是专门针对信息系统审计工作的。因而，中国内部审计协会制定信息系统审计准则，只是为完善内部审计准则体系，而不对信息系统审计准则体系进行系统型的研究。出现这些情况固然同信息系统审计基本准则的缺失息息相关，但更深层次的原因在于我们国家没有类似ISACA的信息系统审计准则制定专门机构。我们国家要建立完善的信息系统审计准则体系，其首要任务在于成立类似ISACA的信息系统审计准则制定组织，由其统一制定与发布信息系统审计的基本准则、详细准则或审计指南、审计程序。ISACA的成立是由同类职业团体组建而成的，在我们国家类似的职业团体几乎不存在。因而，信息系统审计准则制定机构的成立不能采用ISACA的成立形式，应采取行政的气力或手段推动其成立，由中国审计署整合中注协、内审计协会和审计署内部的信息系统审计准则制定资源，成立类似ISACA的信息系统审计组织。这种依靠行政气力的形式，能够在短时期内完成组织的成立经过，进而避免信息系统审计组织长期缺失对我们国家信息系统审计准则体系完善的影响。〔三〕借鉴ISACA基本准则,构建合适我们国家国情的信息系统审计基本准则笔者以为信息系统审计规范包括正式制度布置和非正式制度布置。信息系统审计基本属于正式制度布置的范畴。固然ISACA基本准则存在着一些缺乏之处，但ISACA在基本准则制定方面仍存在很多可供借鉴的地方。我们国家信息系统审计基本准则的制定应在借鉴ISACA基本准则的基础上，根据我们国家的实际情况制定。笔者以为，信息系统审计基本准则的内容应包括：〔1〕审计章程；〔2〕信息系统审计业务承接以及审计业务三方关系；〔3〕审计评价标准；〔4〕审计本质；〔5〕审计目的；〔6〕审计假设；〔7〕审计计划；〔8〕审计工作的施行；〔9〕审计报告；〔10〕后续工作；〔11〕审计质量控制准则；〔12〕其他。需要十分指出的是，信息系统审计评价标准在信息系统审计经过中扮演着特别重要的角色。标准是指用于评价或计量鉴证对象的基准。标准能够是正式的规定，如国家公布的相关法律、法规；可以以是某些非正式的规定，如单位内部制定的内部控制制度。信息系统审计人员在运用职业判定对信息系统做出合理一致的评价或计量时，需要有适当的标准。缺乏信息系统审计评价标准，将不利于指导信息系统审计人员选择判定标准，进行合理的职业判定。因而，我们国家构建信息系统审计基本准则，应当对信息系统审计的评价标准进行界定，以指导审计人员的信息系统审计行为。〔四〕将审计职业道德规范排除在信息系统审计基本准则之外，构建专门的信息系统审计职业道德规范信息系统审计准则或信息系统审计规范的正式制定布置包括信息系统审计职业道德规范、信息系统审计准则和其他信息系统审计准则。由此可知，应当建立单独的信息系统审计职业道德规范，而不是同信息系统审计准则混合起来。信息系统审计基本准则是信息系统审计准则这种制度布置的主要内容之一。为建立合理的信息系统审计准则或偏私系统审计规范体系，应当剔除职业道德的内容，将职业道德的内容并入信息系统审计职业道德规范体系中，建立专门的信息系统审计职业道德规范。〔五〕建立具有可扩展性的信息系统审计基本准则当代信息技术以摩尔定律的速度正在飞速发展，信息系统审计基本准则的制定应当与之相适应，构成一种开放性的信息系统审计基本准则制定方式，以知足当代信息技术飞速发展的要求。在这个方面，我们国家能够借鉴ISACA基本准则的制定形式，建立具有可扩展性的基本准则制定形式。这主要是考虑到基本准则在实际执行经过中会存在着很多问题和缺乏之处，若碰到现有信息系统审计基本准则的缺乏之处就重新制订新的基本准则会浪费大量资源。因而，我们国家应首先发布一批相对成熟的基本准则，后期若碰到问题时，再发布基本准则对前期发布的准则进行补充。这种开放性的、可扩展的审计准则制定形式不仅能够弥补前期基本准则的缺乏，同时可以以减少重新修订基本准则对信息系统审计人员的冲击和节约准则制定成本。〔六〕加强中注协、内审协会和国家审计署的沟通协调众所周之，信息系统审计业务能够单独开展，可以以和财务审计以及其他业务审计一起执行。但在当下审计实务中，信息系统审计业务工作的开展通常是和财务审计或其他业务审计一同开展的，这就要求在制定和公布信息系统审计基本准则时，加强与中注协、中国内部审计协会和国家审计署的沟通协调工作，就基本准则的内容以及信息系统审计准则怎样与注册会计师审计准则、内部审计准则和国家审计准则一致进行讨论，以加强信息系统审计基本准则的实用性。随着当代信息技术的发展与运用，信息系统审计这一职业已经得到了一定程度的发展，理论界与实务界也越来越重视这一领域。笔者关于信息系统审计基本准则的很多观点尚不成熟，还有待进一步改良，希望通过本文的研究能引起理论界和实务界对于信息系统审计准则研究的关注，让更多的理论工作者与实务工作者介入到这一经过中，完善我们国家信息系统审计规范体系。以下为参考文献：[1]马良渝、潘婉霞：(ISACA信息系统审计准则体系浅析〕，(中国管理信息化〕2007年第3期。[2]蔡春：(审计理论构造研究〕，东北财经大学出版社2001年版。[3]ISACAISStandards,GuidelinesandProceduresforAuditingandControlProfessionals.ISACA,2018.[4]G41-ReturnonSecurityInvestment.ISACA,2018.[5]G42-ContinuousAudit.ISACA,2018.[6]Joyce,J.DisributedDenialofServiceAttacks.ScientificComputingInstrumentation,2002,