1 绪论
1.1 研究背景及研究意义
信息技术的发展,在提供先进的审计手段引起审计方法和审计程序变革的同时,又自然而然地扩大了审计对象、范围以及审计内容。在这种背景下,企业不仅要面临传统的经营风险和财务风险,还不可避免的面临着利用信息技术造假、舞弊、欺诈的信息系统风险。如果不进行有效的风险识别及风险控制,企业将受到严重的威胁。因此,只有针对信息系统的开发、数据及软硬件资源、系统内部控制的实施情况以及系统固有风险实施审计,让信息系统的运行和管理处于安全、有效的可控范围之内,才能降低企业面临的信息系统乃至整个内部控制系统的风险。 在确定了审计内容的基础上要达到预定的审计目标,需要审计人员在一定的社会前提条件下,运用自身的职业判断,采取恰当的审计手段,对审计对象实施审计。而这个前提条件就是拥有规范化和制度化的法律法规以及完整详细的审计准则和指南。如果没有标准和规范的准则,所有的信息系统审计活动只是局限在低水平上的重复,没有现实意义。因此,建立完整、系统的信息系统审计准则体系,能够帮助我国信息系统审计工作的顺利发展。目前,美国、日本、英国等国家都制定了比较成熟的信息系统审计准则体系,从形式到内容上,都相对较为完善。而我国信息系统审计工作还在探索阶段,相关审计准则比较分散、不成体系,还没有形成一套成型的专业规范,因此需要进一步研究。
.......
1.2 文献综述
20 世纪中期,美国、加拿大等国家学者就针对信息系统审计进行了专门研究,并于1961 年出版了首部计算机审计的研究著作——《电子数据处理与审计》。1969 年美国率先针对信息系统的审计和发展在洛杉矶建立了信息系统审计与控制协会(Information Systems Audit and Control Association,简称 ISACA)。目前 ISACA 已经成为全球范围内在信息系统规范领域最具权威的组织。ISACA 在 1996 年发布并于 2013 年重新修订的信息系统审计准则,是目前最权威和最具代表性的信息系统审计准则,并已在全球范围内应用推广。国际审计实务委员会(International Auditing Practices Committee,简称 IAPC)对信息系统审计的研究较早,也先后发布了一系列的研究成果,例如《信息系统环境下的审计》、《风险评估和内部控制—计算机信息系统环境特征和考虑因素》、《计算机辅助审计技术》,在国际范围内产生一定影响。日本在信息系统审计准则的研究方面也起步较早,并专门成立了日本系统审计师协会(JSSA),日本经济产业省(METI)在 1985年就颁布了信息系统审计准则——《IT 审计标准》。此外,美国电子数据处理(EDP)审计师协会 1984 年发布的《EDP 控制的目标》及其 1987 年发布的《信息系统审计的基本准则》,美国的计算机系统评估准则(TCSEC),以及英国、法国、德国和荷兰共同提出的《信息技术安全评估准则》(ITSEC)等都曾经或现在被一些国家的信息系统审计师使用。美国审计准则委员会(ASB)于 2001 年出台了《IT 对 CPA 评价内部控制的影响》(第 94 号准则),该准则对企业内部控制、注册会计师、审计风险在 IT 环境下的变化进行了研究。
..........
2 信息系统审计准则的基本理论
2.1 信息系统审计的基本概念
关于信息系统审计(Information System Audit,ISA)的定义,目前用得最多也是最被认可的为 ISACA 给出的定义:“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标的过程”8。 信息系统审计覆盖信息系统的整个生命周期过程。一般来说,信息系统在系统设计和开发阶段修改或调整相对容易,而投入使用后再修改则复杂而昂贵。因此,需要在信息系统开发设计阶段就进行审计,以验证其是否符合实际需求;在信息系统运行阶段,需要审计系统是否运行正常,是否存在利用信息技术舞弊的风险;在信息系统运行后,审计其是否有效地利用了资源,以完成工作计划。信息系统审计的对象是以计算机为核心的整个信息系统及规范和控制其运行的信息系统的内控制度。它不仅包含被审计单位的财务及财务相关系统,还包含与生产经营有关的所有其他信息系统,此外还包括信息系统内控制度的建立和执行情况。因此,审计对象更加复杂。
.........
2.2 信息系统审计的内容和过程
信息系统开发审计属于事前审计。在信息系统开发审计过程中,审计人员一方面需要核查信息系统是否按照既定的规划开发,还要核查开发的系统是否遵循了行业标准并满足企业要求,同时还要检查系统开发过程中是否存在人为的漏洞甚至有意的不合法的功能等。因此,信息系统开发审计是信息系统审计工作的一个重要方面。控制是企业管理的一个重要手段,企业通过控制去发现缺点和错误,并加以纠正,保证企业能有效和高效地实现既定的目标。按照控制实施的范围和对象分类,信息系统内部控制可以分为一般控制和应用控制。一般控制侧重于信息系统安全。主要从信息系统的基础设施、访问方法、网络服务、数据保护、灾难恢复等几个进行控制。应用控制针对的是与计算机应用相关的事务与数据,是从技术的角度来对信息系统进行控制,目的是确保数据的准确性、完全性、有效性、可验证性和一致性,从而保证数据的完整性与可靠性。
........
3 信息系统审计准则国内外现状 ......... 17
3.1 国际信息系统审计准则 ........... 17
3.2 我国与信息系统审计相关的规范 .... 24
3.3 我国信息系统审计准则的现状及问题 ..... 25
3.3.1 我国信息系统审计准则的现状 ....... 25
3.3.2 我国信息系统审计准则的问题 ....... 27
4 构建我国信息系统审计准则的必要性和可行性 ........ 29
4.1 构建我国信息系统审计准则的必要性 ..... 29
4.2 构建我国信息系统审计准则的可行性 ..... 33
5 我国信息系统审计准则的构建 ......... 35
5.1 构建我国信息系统审计准则应遵循的原则 ...... 35
5.2 信息系统审计准则的框架思路 ........ 36
5.3 信息系统审计准则的制定模式 ........ 37
5.4 信息系统审计准则的内容 ....... 38
5.5 信息系统审计准则的发布及研究机构 ..... 41
6 完善我国信息系统审计准则的建议
随着信息化社会的不断发展,信息技术已超过人们的想象力发展着,信息系统审计已然突显出其重要性。不断有企业投入信息化过程中,信息系统也已成为主流化,被越来越多的审计人员所看重。虽然前景广阔,但我国的信息系统审计还处于起步阶段,并没有被大众所熟知,也没有得到广泛应用,因此,信息系统审计远没有发展起来。人们对于信息系统审计的认识和关注,还需要更大力度。我们只有通过对信息系统审计的不断研究,才能清楚地了解到与世界的差异;我们只有先建立起信息系统审计准则,才能有效地指导信息系统审计工作,才能为其发展做出贡献。因此,对于我国信息系统审计准则体系的建立,提出以下建议:
6.1 建立健全信息系统审计准则制定机制
目前我国信息系统审计工作发展了二十多年,然而却只有一些零散的规范准则,说明人们对这领域没有清晰的认知,更没有达到广泛实际应用。政府部门虽然发布过相关文件,引进相关考试,但没有形成法规,也没有要求企业进行强制性工作,这也导致了信息系统准则建设相对落后。从机构层面,各种协会虽然发布过一些与信息系统审计有关的准则规范,但并不是以信息系统审计为主体,这也导致即使在进行信息系统审计工作时,也没有系统的准则和实务操作规范来参考。因此,重视信息系统审计工作,是当前面临的一个重要问题。
........
结论
信息系统审计是一门交叉学科,对人才素质的要求也较高,因此需要一支包含信息系统管理、审计、计算机、行为科学等知识的专业素质与综合能力较高的人才队伍,并且具有快速的学习能力、敏锐的判断能力、细心的分析能力和优秀的表达能力。我国缺乏对其专业知识的研究和此方面的课程学习,对于高校的人才培养更是缺乏。目前我国唯一的信息系统审计师资格认证是 2002 年 6 月由 ISACA 授权的注册信息系统审计师资格考试,却没有自己的注册资格认证,这也导致了专业人才的缺乏与不足。 对于计算机审计人员的后续教育问题可以通过以下途径加以解决:(1)加大培训力度,将信息系统审计普及性培训与专业应用相结合。(2)设置中国的注册信息系统审计师资格考试,与国际接轨。(3)在高校中开展信息系统审计课程,储备相关人才。 #p#分页标题#e#
.........
参考文献(略
