100
2022-04-12 21:12
1、我国信息系统审计准则制定弊端与完善论文
随着我国信息化资金投入量的逐年增加,加之不容乐观的网络安全与计算机疫情状况,使得对信息系统审计需求增加,最终导致对信息系统审计准则需求的增加(李汉文、刘杰,2010)。我国现存较为完整的信息系统审计规范为《第2203号内部审计具体准则--信息系统审计》,该项内部审计具体准则的发布,为开展信息系统审计活动提供了依据。但该项内部审计准则不具备可操作性,没有具体指导审计人员的指南或作业程序。我国也缺乏it控制审计的审计指南,不能对审计人员的it控制审计行为提供指导(庄明来、阳杰,2009)。
在当前条件下,我国迫切需要建立一套完善的信息系统审计准则。鉴于此,本文对我国信息系统审计准则的构建进行探讨,以期对我国信息系统审计准则体系的完善提供指导。
一、我国信息系统审计准则建设上的缺失
国外信息系统审计准则已经形成了一个完整的体系。截 止到2013年12月,信息系统审计与控制 协 会(isaca)已经发布了16项基本准则、41项审计指南和11项作业程序,建立了信息系统审计基本准则指导信息系统审计指南和作业程序的准则体系,并制定和发布了cobit标准;而国际内审协会(iia)也发布了it风险评估指南(gait)与全球技术审计指南(gtag),以加深内部审计人员和管理层对于信息系统审计知识的了解。
同国外信息系统审计准则相比,我国审计准则在质量和数量方面都处于落后地位(如表1所示)。isaca和iia等机构所发布的信息系统审计准则,不仅可以指导为满足财务审计需要的信息系统审计行为,同样也可以指导单一的信息系统审计行为,这是有别于我国的。我国的信息系统审计准则主要为满足财务审计的需求,而不是单纯针对单一的信息系统审计行为。因此,我国信息系统审计准则处于制度供给不均衡的状态(李汉文、刘杰,2010),制定与完善信息系统审计准则还有一段很长的路要走。
虽然中注协、中国内审协会与审计署没有制定颁布统一可操作的信息系统审计准则,但在信息系统审计实践中却存在着一些信息系统审计相关的操作规定,如审计署京津冀特派办发布的《信息系统审计操作规则》。该操作规则相比《第2203号内部审计具体准则--信息系统审计》而言,操作性更强,两项规范在信息审计范围、阶段、方法、可操作性等方面存在差异(如表2所示)。
众所周知,注册会计师审计、内部审计和政府审计在信息系统审计对象方面并不存在巨大差异,三种类型的审计都可以运用相同的信息系统审计准则指导其审计活动,但《信息系统审计操作规则》与《第2203号内部审计具体准则--信息系统审计》却存在着重大差异。这种情况的出现,表明我国信息系统审计准则的制定还处于起步阶段,除国外的isaca等机构的审计准则外,国内还没有具有权威性的现成信息系统审计准则可供参考,各个机构与部门都依据自身情况和需求制定相关的信息系统审计准则。对信息系统审计的内容、范围以及目标等方面业界认识比较一致,但在涉及准则制定时却有不同的看法。我国起步伊始的信息系统审计制度体系,如果存在规范不一问题,势必会使广大审计人员无所适从,这无疑不利于我国信息系统审计的健康发展,同时表明,我国迫切需要一套完善的信息系统审计准则。
二、我国信息系统审计准则制定弊端
当前,我国所发布的信息系统审计准则主要是围绕财务审计工作开展的,发布机构为中注协、中国内部审计协会和国家审计署,而非专门的信息系统审计准则制定机构。发布信息系统审计准则的目的在于更好地进行财务审计,而不是专门针对信息系统审计准则的。这种模式概括起来就是,以“财务审计”为中心的信息系统审计准则制定模式。例如,《审计署关于计算机审计的暂行规定》规定,国家审计机关有权根据相关法律对计算机财务系统开展审计活动;《审计机关计算机辅助审计方法》规定,为便于确定被审计单位使用计算机处理的信息对其财务收支的真实性、合法性是否会产生影响,被审计单位必须报送计算机应用系统开发的验收报告、申请使用该系统的报告、与之配套的管理制度和措施以及计算机应用系统变动情况等资料;《审计法》更是从法律上明确了审计机关检查财政财务收支信息系统的权力;《第2203号内部审计具体准则--信息系统审计》虽然从内容上来看是针对信息系统审计的,但其依据的基本准则为《内部审计基本准则》,财务审计是内部审计的主要内容,这也没有完全摆脱以“财务审计”为中心的信息系统审计准则制定模式。
这种以“财务审计”为中心的信息系统审计准则制定模式,准则或规范的发布主要是考虑信息技术已经影响到财务报告生产过程,为了更好地进行财务审计,而不是单纯地为制定信息系统审计准则。信息化的飞速发展使得非财务信息系统的审计变得日益重要,其重要程度在某些领域上已经超过财务信息系统的审计。我国信息系统审计准则的制定与发布不能仅仅围绕财务审计,这样会制约信息系统审计行为的开展。
信息系统不仅仅是输出财务报告的会计信息系统,信息系统审计所涵盖的内容包括内部控制审计、系统生命周期审计、信息系统软硬件审计、安全审计和信息系统绩效审计等。如果信息系统审计准则的制定仅仅是为了更好地进行财务审计,那么当系统生命周期审计、信息系统软硬件审计、安全审计以及信息系统绩效审计等提上议事日程时,现有的信息系统审计准则就远远不能起到引导和约束信息系统审计行为的作用。
而在国外,isaca这样的机构专门制定信息系统审计准则,当面对服务于财务审计之外的信息系统审计时,isaca有相应的审计准则、指南与程序用以引导和约束信息系统审计人员的审计行为。如美国审计署在对联邦存款保险计算机病毒保护程序进行审计时,isaca所发布的审计程序病毒及其他恶意代码(p4)审计程序可以为其提供依据。在我国,信息系统审计准则制定的原动力来自于财务审计的需要。当面临其他类型的信息系统审计时,审计人员往往陷入不知所措的困境。因此,要使我国的信息系统审计准则缩短与国外先进的信息系统审计准则的差距,就必须摆脱为以“财务审计”为中心的信息系统审计准则制定模式。
三、我国信息系统审计准则的构建
信息系统审计规范包括正式制度安排和非正式制度安排,其中正式制度安排包括信息系统审计职业道德规范、信息系统审计准则和其他相关规范(刘杰,2012)。本文所指的信息系统审计准则构建,只是正式制度安排的一部分,不包括审计职业道德规范和其他相关规范的构建。对于信息系统审计准则的构建,不仅要考虑信息系统审计准则制定内容,还要考虑信息系统审计准则制定的框架、模式和发布时间等。总体来讲,在信息系统审计准则制定的策略方面,我们应立足中国的现实,考虑国家文化特点(张文秀,2012),借鉴isaca信息系统审计准则的先进经验,不再以“财务审计”为中心,重新建立起以“信息系统审计”为中心的准则制定模式。
(一)信息系统审计准则的框架
信息系统审计准则是“以管理为核心,法律法规为保障,技术为支撑”的信息系统审计框架体系。信息系统审计准则是一个规范的管理框架,把信息系统审计人员和被审计单位各自的权利、义务和责任等纳入管理框架内,解决各方因为职责不明确而影响信息系统审计质量的问题。由此可知,信息系统审计准则不仅可以使信息系统审计走上法制化、规范化的道路,同时有助于提升信息系统审计工作的质量,为政府或企事业单位的信息系统运行质量提供合理保证。信息系统审计准则的框架应合理满足上述要求,否则,审计准则的制定与发布将失去其意义。
在信息系统审计准则的体系结构上,我国可以借鉴isaca的审计准则体系结构,即采用基本准则、审计指南与作业程序的结构。该体系结构是一个相对成熟的体系结构,既反映了isaca对信息系统审计理论研究与实务研究的成果,又反映了isaca信息系统审计准则制定的经验。采用基本准则、审计指南和作业程序的体系结构,体现了概念统一、前后有序和科学完整的特征(陈婉玲、杨文杰,2006)。在制定信息系统审计准则时,国内相关准则制定机构没有必要另外开发信息系统审计准则的体系结构,可以借鉴isaca的先进经验,以基本准则为核心,开发适合我国国情的信息系统审计指南或信息系统审计作业程序。这种三层次的体系结构既考虑了信息系统审计准则体系的完整性、前瞻性,又考虑了审计准则体系的灵活性,可以为审计指南或作业程序中未规定的行为提供指导。
(二)信息系统审计准则的制定模式
在信息系统审计准则的发展策略方面 ,王会金(2012)认为,我国应借鉴国外成熟的信息系统审计准则,结合我国国情构建信息系统审计准则。对于信息系统审计准则制定模式的选择,国内信息系统审计准则制定机构也应当借鉴国外成熟信息系统审计准则制定的经验,摆脱以“财务审计”为中心的制定模式,转换为以“信息系统审计”为中心的制定模式。采用这种模式有利于建立全面、系统和完整的信息系统审计准则体系。
但信息系统审计准则制定模式的转换,需要整合中注协、中国内部审计协会和审计署的审计准则制定资源(刘杰、黄忠莉,2013),建立专门的信息系统审计准则制定机构。这主要是考虑到中注协、中国内部审计协会和审计署制定准则的主要目的在于指导财务审计活动,让其引领信息系统审计准则的制定会在一定程度上影响信息系统审计准则体系的构建,信息系统审计准则的制定也不能摆脱以“财务审计”为中心的模式。这同我国信息化飞速发展的速度是不相适应的。因此,笔者认为,建立以“信息系统审计”为中心的准则制定模式,需要成立专门的信息系统审计准则制定机构。
(三)信息系统审计准则的具体内容
信息系统审计准则包括民间审计准则、内部审计准则和政府审计准则。国外针对政府信息系统审计制定了专门的信息系统审计准则或规范,如美国审计总署(gao)就制定了专门的《联邦信息系统控制审计手册》,这在信息系统审计准则制定资源相对富裕的情况下,是很有必要的。但由于我国当前信息系统审计准则制定资源相对短缺,因此应首先立足于制定针对民间审计的信息系统审计准则,内部信息系统审计和政府信息系统审计可以参照执行。这主要是考虑到信息系统审计在国家审计、内部审计以及注册会计师审计中不会存在显着的差异(刘杰、黄忠莉,2013)。
1.信息系统审计准则的总体规划。在准则制定的内容方面,国内外学者存在两种观点:①按照审计工作流程制定信息系统审计准则,即围绕审计计划、审计实施、审计报告和后续审计四个阶段规划信息系统审计准则;②按照审计任务制定信息系统审计准则,即围绕内部控制评价、信息系统开发和信息系统功能等规划信息系统审计准则的内容。
两种观点相比较而言,第一种观点更具有普遍适用性,准则的制定可以适应信息技术的飞速发展,而第二种观点要求准则制定面面俱到,不能有盲区出现。按照摩尔定律,集成电路板上可容纳的晶体管数目约每隔18个月便会增加一倍,性能也将提升一倍。在第二种观点下,现代信息技术的飞速发展可能会导致信息系统审计准则落后于审计实务,当审计人员面临新的信息系统问题或情况时可能会处于无所适从的状态。而按照审计工作流程制定的信息系统审计准则具有结构清晰与可扩展性强等特征。当信息系统审计准则落后于审计实务时,审计人员同样可根据基本准则以及对基本准则解析的审计指南执行审计工作。
综上对信息系统审计准则内容规划的论述可知,按审计工作流程规划信息系统审计准则的内容,是当前条件下信息系统审计准则制定的现实选择。
2.信息系统审计准则内容的具体规划。其应当包括基本准则、审计指南和作业程序三个组成部分。基本准则是审计指南和作业程序的基础,审计指南与作业程序的制定与发布应当符合基本准则的相关规定。
(1)信息系统审计基本准则应在借鉴isaca基本准则内容的基础上,根据我国的国情进行规划。基本准则的内容应力求全面、完整地体现审计理论的基本内容,对审计章程、信息系统审计业务承接以及审计业务三方关系、审计评价标准、审计本质、审计目标、审计假设、审计计划、审计工作的实施、审计报告、后续工作和审计质量控制准则等进行规范与解释。上述内容涉及对基础概念的解释,这些基础概念的清晰度直接关系到信息系统审计目标的实现。若在信息系统审计基本准则中对这些基础概念界定不清晰,则可能会将信息系统审计引入误区。例如,部分审计机关及审计人员将信息系统审计的目标理解为查错纠弊,则对信息系统审计的理解也只能停留在计算机辅助审计层次上,不能针对信息系统进行审计。
审计理论或信息系统审计理论主要是用于指导、评估和发展信息系统审计准则、指南和审计程序。信息系统审计基本准则是准则的准则,是对审计理论或信息系统审计理论的全面反映,若将审计理论的内容排除在基本准则之外,信息系统审计指南和作业程序的制定将缺乏理论指导,飞速发展的信息技术也很可能使审计人员在面临崭新问题时陷入盲目的境地。因此,在信息系统审计基本准则中,应全面、完整地体现信息系统审计的定义、本质、目标和假设、审计程序、审计报告等,使其成为信息系统审计准则体系不可分割的组成部分。此外,在信息系统审计基本准则中,我国应对信息系统审计的评价标准进行规范。在审计和评价标准的选择方面,我国一方面可以结合本国文化特点和制度差异等移植isaca的co-bit标准,另一方面可以开发适合我国国情的信息系统审计和评价标准。
(2)信息系统审计指南的具体内容分为两个层次,第一个层次是对信息系统审计基本准则的解释,第二个层次是信息系统审计的具体评审指南(如下图所示)。
在信息系统审计指南的具体内容方面,我国的信息系统审计指南应当与isaca所发布的审计指南保持基本一致,其最主要的区别在于信息系统基本审计准则的解释指南方面。在基本准则部分,笔者强调,应全面、完整地体现信息系统审计的定义、本质、目标和假设、审计程序、审计报告等内容,因此,在审计指南中也应有相关的解释指南。在信息系统审计指南方面,需要特别强调的是,isaca在2010年发布了《信息系统审计指南第41号--安全投资收益评审》,这表明isaca已经开始关注信息系统投资绩效的审计问题。随着我国经济的发展,企业或政府在信息化资金方面的投入呈现不断增长的趋势。在此背景下,企业不得不应对如何科学、准确、公正地评价企业的信息系统效率、效益和效果以及软硬件资产的保护问题。因此,信息系统的具体评审指南,应注重发布对信息系统投资收益评审与信息系统软硬件评审的相关指南。
(3)信息系统审计的作业程序不具有强制性,只是对审计实践中的网络入侵检测、防火墙、数字签名、电子资金转账等特殊问题提供指导性意见。截至2013年4月,isaca已经发布了11项作业程序,这11项作业程序主要是关于信息系统风险管控与安全问题的作业程序。我国可以对比这11项作业程序制定与发布同我国国情相适应的审计作业程序。同时,随着企业对知识管理能力重视程度的提高,对企业知识管理能力评估的作业程序也应当成为信息系统审计作业程序的重要组成部分,以指导企业对自我知识管理能力的评估。
3.信息系统审计准则制定需要注意的问题。信息系统审计准则的制定是一项庞大的系统工程,对于每一项基本准则、审计指南和审计程序具体内容的制定,都应当立足国情、广开言路,发挥审计准则制定机构、信息系统审计实践部门以及其他各方力量的作用,加强各方的沟通与协调工作,积极听取各方意见,尤其要注重吸收信息系统审计实践部门的意见。
在基本准则、审计指南与作业程序的各项具体内容上,除参考iia与isaca的审计准则之外,也应当积极借鉴我国现存的信息系统审计准则或规范,一些成熟的信息系统审计实践准则或规范可以在修订的基础上由信息系统审计准则制定机构发布。如审计署京津冀特派办发布的《信息系统审计操作规则》,该规则对信息系统审计阶段以及每个阶段的审计内容、步骤及方法等都做了深入、详细的规定。虽然该操作规则主要是针对检测信息系统的内部控制问题,而内部控制审计仅仅是信息系统审计的一个重要组成部分,因此该操作规则不能称为完整意义上的信息系统审计准则,但该操作规则对我国信息系统内部控制审计准则的构建具有重要的借鉴意义。这些信息系统审计准则或规范来源于我国信息系统审计实践,符合我国国情,因此应当予以借鉴。
(四)信息系统审计准则的制定与发布
1.信息系统审计准则制定与发布的规划。信息系统审计准则的制定、发布可以参照isaca的做法:首先制定与发布基本准则,然后在基本准则的基础上,有计划、有步骤地制定审计指南和作业程序,按照信息系统审计实践需求的轻重缓急制定审计准则,准则的制定与发布采用“完成一项、发布一项、实施一项”的方式(陈婉玲、杨文杰,2006)。
isaca基本准则的雏形在1997年就已经制定并发布。2005年随着审计指南与作业程序的制定与发布,isaca将1997年发布的信息系统审计准则拆分成八项,并对基本准则的内容进行了修订,2005年9月以后发布了相关的补充准则以弥补前面八项准则的不足。
审计指南是根据基本准则制定的,因此isaca发布的信息系统审计指南在时间上晚于基本准则,第1号审计指南的发布时间为1998年1月1日,生效日期为1998年6月1日。截止到2003年1月1日生效的前20项审计指南基本上都属于审计指南的第一个层次,即对信息系统审计的基本准则进行解释,这些审计指南也事关信息系统审计流程,是信息系统审计实践急需的,因此,isaca首先致力于与信息系统审计流程相关或实践急需的基本准则与审计指南的制定与发布。
随着b2c电子商务、erp系统、网上银行、计算机信息系统、互联网的广泛运用以及企业业务流程再造的开展,isaca陆续制定与发布了b2c电子商务审核、企业资源计划系评审计、网上银行、系统开发生命周期审核、虚拟专用网络评审、企业流程再造项目审核等具体项目审计指南。同时,为弥补前面所发布的审计指南在后续审计、责任、权利和义务、保密以及审计方法等方面的不足,isaca也根据信息系统审计实践,修订和发布了相关指南。
在isaca所发布的作业程序方面,第1号作业程序的生效时间相对更晚,这主要是考虑到作业程序需要基本审计准则与审计指南应用于实践之后,从信息系统审计实践中进行提炼。
由此可见,isaca信息系统审计准则的发布是根据先基本准则,后审计指南,最后才是作业程序的顺序来进行的。而在基本准则与审计指南中,先发布信息系统审计实践急需的规范,再发布具体项目的信息系统审计指南以及基本准则的补充准则。
2.信息系统审计准则制定与发布应注意的问题。在信息系统审计准则制定方面,我国没有现成的经验可供借鉴,且信息系统审计准则制定资源短缺(刘杰、黄忠莉,2013),所发布的基本准则或审计指南可能存在诸多不足之处,但并不影响信息系统审计基本准则的发布。准则制定机构随后可以根据审计实践的调查与反馈,采用补充准则的方式对基本准则加以完善。
在信息系统审计指南方面,制定有关审计工作流程方面的指南也是当务之急,即制定与发布利用其他审计人员的成果、审计取证、信息系统业务外包情况下的审计、审计业务承接、信息系统审计中的重要性概念、审计文档、审计抽样、信息系统控制的效果、审计计划中风险评估的运用、应用系统评审、审计计划修订、第三方对信息系统控制的影响、标准、it治理、审计报告以及后续审计等审计指南。
在具体项目的信息系统审计指南方面,准则制定机构应加强与实践机构或部门的沟通,调查当前急需的信息系统审计指南,对急需的审计指南首先制定与发布。例如,有关电子商务评审的审计指南,随着2005年《电子商务签名法》的发布以及电子商务在企业中的广泛应用,中注协制定了《中国注册会计师审计准则第1633号--电子商务对财务报表审计的影响》。该准则指出:注册会计师按照本准则的规定对电子商务进行考虑,旨在对财务报表形成审计意见,而非对电子商务系统或活动本身提出鉴证结论或咨询意见。该准则与isaca发布的第22号审计指南存在着巨大差距。在《b2c电子商务评审》中,isaca对b2c电子商务评审问题进行了深入、详细的阐述。我国应当结合审计实践尽早制定b2c电子商务评审等相关审计指南。
至于作业程序的制定与发布,准则制定机构应当加强对信息系统审计实践的调查研究,作业程序的内容应当借鉴国内信息系统审计实践中成熟的审计操作规则,而不是完全照搬、照抄isaca的信息系统审计作业程序,对当前审计实践急需的作业程序先制定、先发布。
综上对信息系统审计准则制定模式、具体内容以及制定与发布等问题的论述,准则制定机构应当立足于我国国情,谨慎对待信息系统审计准则制定过程中出现的方方面面问题,这样才能制定出符合我国国情的信息系统审计准则。
主要参考文献
1.王会金。论信息系统审计准则在我国的需求与发展。南京审计学院学报,2012;11
2.张文秀。国外信息系统审计规范、国家文化差异与制度移植。审计研究,2012;5
3.刘杰,信息系统审计准则的制度形成机制与体系结构。财会月刊,2012;3
4.刘杰,黄忠莉。我国信息系统审计准则制定的组织际资源整合。财会月刊,2013;7
5.李汉文,刘杰。我国信息系统审计规范的非均衡性研究。财会月刊,2010;4
6.应明来,阳杰。美国it控制的审计规范体系解读与启示。经济管理,2009;11
2、绩效审计准则的制定原则与框架设计论文
现代审计理论和审计职业界特别关注如何在审计工作中既能提高审计效率和质量,又能规避审计风险。大家在有关论文写作时,可以参考这篇“绩效审计准则的制定原则与框架设计”审计论文。
原标题:关于制定绩效审计准则的思考
摘要:近年来,财政部门陆续出台了系列财政支出绩效评价管理办法,效率观念和绩效理念深入人心。与此同时,审计工作发展规划指出,要着力构建绩效审计评价及方法体系。财政等审计的着力点已放到促进提高公共资金绩效上。尽管如此,当前我国绩效审计总体上还没有形成一套制度规范和值得全面推广的操作指南。为进一步规范绩效审计工作,提高绩效审计质量,我国亟须制定一部统一的绩效审计准则。在充分考虑我国审计机关现实情况的基础上,现提出绩效审计应与一般审计相结合,将绩效审计准则融入现有国家审计准则体系之中,在审计准则下一层次研究开发审计指南。
关键词:绩效;审计;准则
一、制定绩效审计准则的迫切要求
近些年来,党和国家高度重视政府绩效管理和绩效评价工作。从党的十六届三中全会提出“建立预算绩效评价体系”开始,党的十八届三中、四中全会分别提出“推行政府绩效管理和行政问责制度”、“完善政府绩效评估制度”、“构建一套符合我国实际的预算绩效评价体系”等要求。国务院《关于深化预算管理制度改革的决定》明确提出,健全预算绩效管理机制,全面推进预算绩效管理工作,并把绩效评价结果作为调整支出结构、完善财政政策和科学安排预算的重要依据。近几年,财政部门分别出台了《财政支出绩效评价管 理暂行办法》、《预算绩效管理工作规划(2012-2015年)》和《预算绩效评价共性指标体系框架》,对开展财政预算绩效管理和财政支出绩效评价的目标、内容、管理程序、指标体系和阶段性任务等提出了具体要求。
全面推进绩效审计已经成为实现国家良治、发挥审计在国家治理中的基石和重要保证作用的必然要求。审计署在“十一五”审计工作发展规划中指出,要着力构建绩效审计评价及方法体系。在“十二五”审计工作发展规划中进一步提出,全面推进绩效审计,提高财政资金和公共资源管理活动的经济性、效率性和效果性,推动建立健全政府绩效管理制度。刘家义审计长在 2015 年全国审计工作会议上的讲话提出,要把财政审计的着力点放到促进提高公共资金绩效上来。
尽管如此,当前我国绩效审计总体上还没有形成一套完整的制度规范和值得全面推广的操作指南,更没有一套作为开展绩效审计业务依据的审计准则。2010 年 7 月,审计署印发了新修订的《中华人民共和国审计准则》(以下简称国家审计准则),适用于审计机关开展的各项审计业务。该国家审计准则对审计机关和审计人员执行审计业务基本程序和流程作了系统规范,具有很好的指导性和很强的操作性。但对绩效审计而言,其在审计依据、审计目标、审计内容、审计范围、审计处理和审计报告的编制等方面与传统审计有很大区别,因此,现行国家审计准则有很多方面不适合绩效审计工作程序,不便于审计机关和审计人员遵循。为进一步规范绩效审计活动,提高绩效审计质量,我国亟需制定一部统一、规范、易于操作的绩效审计准则。
二、制定绩效审计准则的原则
(一)绩效审计准则应符合审计法律法规的要求
尽管我国目前没有一套完整的绩效审计法律规范,但绩效审计准则应以《审计法》、《审计法实施条例》及《国务院加强审计工作意见》为准绳,绩效审计工作不能偏离法律法规的基本要求。
(二)绩效审计准则应符合国际通用标准和规范
应在充分研究国际组织和先进国家经验和方法的基础上,制定符合我国实际的绩效审计准则,以便我们少走弯路并在国际上得到认可。
(三)绩效审计准则应易于操作
绩效审计准则要具有可操作性,易于理解、易于实施、简便易行,合理控制成本,能满足横向与纵向分析研究需要。
(四)绩效审计准则要在我国现有国家审计准则基础上进行构建
要充分考虑我国现有国家审计准则,并从绩效审计实务出发,按照统一、效率、符合实际原则,把绩效审计准则与国家审计准则有机结合。
三、绩效审计准则基本框架要素的设计
在现行国家审计准则的基础上,通用部分依据或适当修改调整原有准则,特殊业务单独设立具体条款或制定审计指南。
与国家审计准则一样,绩效审计准则也分为七章,即总则、审计机关和审计人员、审计计划、审计实施、审计报告、审计质量控制和责任、附则。以下我们只对不同于国家审计准则的部分提出自己的设计思路,其他部分按照国家审计准则规定执行。
(一)总则部分
在被审计单位和审计机关的责任及工作目标中增加“提高公共资金、国有资产、国有资源等配置使用、利用的经济性、效率性和效益性,推进政府预算绩效管理工作”等内容,明确经济性、效率性和效益性的具体内容。
(二)审计机关和审计人员部分
在审计人员胜任能力方面,增加“根据需要,绩效审计工作可委托专家、中介机构等第三方实施。审计机关和审计人员应当对第三方组织参与绩效审计的工作进行规范,并指导其开展工作”的内容。
(三)审计计划部分
绩效审计项目选择应充分考虑重要性和代表性,对社会关注、老百姓关心,有明显社会影响和经济影响的项目应优先纳入绩效审计计划。审计机关应建立绩效审计项目库,以信息化方法分类排序,逐个安排审计。同时审计计划制定还要充分考虑项目审计难度、审计人员胜任能力和审计成本问题。
(四)审计实施部分
1.审计实施方案制定
一要高度重视审前调查工作,全面了解被审计单位和审计项目基本情况;二要明确绩效审计目标,包括项目预期产出、预期效果、服务对象或项目受益人满意程度等;三要确定审计评价标准,包括计划标准、行业标准、历史标准等。
2.绩效审计证据
绩效审计证据收集要坚持科学规范、标准统一、分级分类、绩效相关的原则,对每项审计证据从客观性、相关性、充分性和合规性等几个方面进行分析鉴别。
(五)审计报告部分
1.绩效审计评价依据
绩效审计评价依据主要包括:国家相关法律、法规和规章制度,国民经济与社会发展规划和方针政策,预算管理制度、资金及财务管理办法、财务会计资料,相关行业政策、行业标准及专业技术规范,申请预算时提出的绩效目标及其他相关材料等。
2.绩效审计报告编写
绩效审计报告应当反映绩效审计评价标准的选择、确定及沟通过程等重要信息;绩效审计报告反映问题除进行相应的审计处理外,还应当侧重从绩效的角度对问题进行定性;绩效审计报告应当注重从体制、机制、制度上分析问题产生的根源,提出切实可行的审计建议。
(六)审计质量控制和责任部分
审计机关负责人应高度重视绩效审计工作,在审计机关机构设置、审计人员配备、审计质量控制制度制定等方面都要向有利于完成绩效审计工作倾斜。另外,绩效审计质量控制应贯穿于绩效审计每一个循环当中。
参考文献:
[1]蔡春,刘学华。绩效审计论[m].北京:中国时代经济出版社,2006.
[2]李士涛。我国财政绩效审计准则的基本框架研究[d].沈阳:沈阳理工大学,2011(8)。
[3]董大胜。审计技术方法[m].北京:中国时代经济出版社,2005.
3、信息系统工程监理论文
1信息系统工程监理主要构成
1.1控制进度、质量和成本
进度控制就是指根据已定开发计划开发软件产品,而监理人员的工作则是有效管理软件开发的进度,最终确保工程符合招标合同的进度计划,并且顺利完成。质量控制就是通过开发优良性能的软件,最终确保软件质量。在开发软件时,并需对合同有一个正确而又全面的认识,并监督控制好软件开发的各阶段,确保工程质量符合客户的要求,并很好的运行,做好软件产品事前、事中及事后的评估。成本控制的出现是因为软件开发需耗费大量的人力物力,并且因为这些投入很难控制,所以,监理人员必须控制好软件开发工程的成本。具体而言,就是控制好信息系统工程软硬件的购买成本,对工程中的实际人员配置和工程进程成本进行控制,确保开发造价在预计成本范围内。监理人员要做好成本控制必须控制好设计阶段和施工阶段的成本投入。
1.2组织协调
在工程的建设过程中,对承建单位、业主单位和相关单位进行关系协调,以便确保工程的顺利实施。组织协调的主要的工作内容有:协调施工单位与建设单位之间的工作,并且测试修改后的结果,在进行汇总后上报给建设单位;做好与建设单位的沟通,妥善处理工程施工过程中各种突发事件,并及时向投资方汇报系统测试的进度和事故的处理结果、过程。
1.3合同和信息管理
1.3.1合同管理
监理人员协调业主和相关开发人员的关系,并且有效调解合同中存在争议的地方,本着以客观事实为依据的心态,保护参建各方的利益,确保工程的顺利开展。
1.3.2信息管理
科学记录工程的整个过程,并且切实确保工程文档的完整性。有效管理相关的信息开发,以便为工程的后期检查和竣工后的维护提供参考依据。
2完善信息系统工程监理的对策
2.1做好咨询、监督和控制
监理工作最重要的一步就是管理并规范相关流程,首先是要做好咨询工作,并在此基础上做好施工管理。在具体的监理工作中,可以同时使用咨询与监督。咨询工作做的越好,越具体,就越能为监督工作打好基础。并且在做好咨询工作基础上,让监督工作更加协调和健康的发展。由于咨询工作必须重视执行基本工作,其中也涉及到熟练掌握和理解工程技术。总结并对施工方的需求、业主的需求、设计的概要内容和详细内容等文件做好整理归类,为以后工作的顺利开展打下基础。监理人员可以在利用这些文档的时候,就了解业主的具体需求和工程的实际情况,并在咨询相关文档内容的同时,能够制定出有效的监理报告,并把相关报告交给业主和施工方。一个工程项目总会存在一些这样或者那样的风险,只是风险的程度存在差异。从参与的第三方来说,这种风险就是一个挑战,要有效避免风险需要三方的协调配合,在工程项目的初始阶段就应预测导致风险的相关因素,以便在工程的实际进行过程中做到有针对性的规避。监理人员在工程的施工过程中一定要做好监理工作,并随时结合项目的实际情况和那个时候的外部因素,预测和综合分析工程项目进行中评可能存在的风险,以便有效控制风险,并强化整个工程对抗风险的能力。
2.2确定三方工作流程
由于软件开发工程的独特性,并且软件系统的建立时间不长,监理人员往往容易忽视工程细节。但是,细节在软件开发工程中,是一个会直接关系到工程质量的重要部分,所以,需要第三方在其中做好监督控制工作,并仔细审核软件开发中的细节问题,做好监理工作。在具体实施时,应该制定三方工作的流程规范,形成稳定的工作监理,并且规范必须得到业主的许可。3.3实施过程中的监理软件的开发过程包括很多个流程,需要将各个环节协调配合好,在进行软件开发时,需要各种技术人员和多种工序的密切配合,最终使得产品能满足相关要求。3.4系统初步检验软件系统的初验是为了在最短的时间里有效地使得用户适应软件系统,强化软件的生命力。这是开发软件中对于测试管理的较早形态,在初验后可以对软件的质量和性能进行有效了解,继而做到优化处理相关软件。初验必须严格遵循基本流程,才能真正彰显初验在监理中的功能。在进行初验时必须符合下列条件:必须是在集成方开发结束后;在监理人员完成了二次针对性的检验后;子系统已经处于上线试运行的过程中,并且已上线一个月的时间。
2.3成果展示法
成果展示法是让学生把学到的知识展示出来,从打字比赛、电脑绘画、拆卸或组装电脑等,看谁打字快,看谁懂得多,看谁做得好。从个体到班组,从班组到班级搞一些成果展览会,使电脑信息技术课从课堂搬到课外,从课外回归课堂共推进的效果,激发学生不甘落后,互帮互学的效果。
2.4研究学习法
电脑信息技术的学习过程,也是开启初中学生对电脑信息技术的创新活动开始。电脑信息技术的学习,不仅是让学生能够会用,如何把一个软件做得更好,也是激起学生对某一些看似深奥的东西,探索奥秘的过程。若老师能够诱导学生:如果是自己去制作这个工具或软件如何去创新?也可以促使学生创新能力,成为真正的电脑使用小专家到电脑创新小专家。因此,研究学习法是在学习掌握好使用的基础上,发挥学生的最高层次的学习伸出新推进过程。并不是现有的硬件或软件都很完美,尤其是一些常用工具,内容庞大并不实用。因此,初中生没有先天固有的思维模式,容易在学习中升腾无数个想法,虽然有些想法并不成熟,但是,却为学生以后潜移默化形成创新根基。研究学习法就是利用学生学到的自有知识,对某一节课程或内容进行升级学习的一种手段。比如,利用学到的word操作技能,去排版一篇文章,从字体选择,到字体颜色,到字体大小,整版布局,完成一个研究报告。还有,讲文件的“复制”与“移动”时,这部分内容是比较重要,也是很难掌握的。教师可以设置了一联串的任务,利用菜单栏操作,把文件从一个盘复制或移动到另一个盘,通过操作让学生掌握两者的区别与操作方法,并让学生根据前面所讲的菜单栏与工具栏的关系,自己探索其他的操作方法。又如在讲word制作电子小报时,让学生观看许多获奖的优秀作品,让学生在欣赏中去感知制作优美小报的方法,先剖析每个小报精美处的制作去模仿,再让学生在此基础上发挥想象,创新、探索,制作出自己风格的作品。与别人相比,差距在哪?为什么有的好看,有的打出来的整体并不好看,也是考验学生从信息技术本身升华的到美学艺术化过程。
2.5以合同管理作为核心
监理方要做到管理合同的科学性,确保工程能按期完成。在签订合同前,监理方应该协助业主方制定合同,最大限度的避免承建方对合同的异议和疑问;监理人员还应协助业主方对合同内容进行审核,认真研读每一个条款,防止歧义和纠纷的出现。在具体执行合同时,监理方必须立场公正、坚定,有条不紊的对施工中出现的纠纷进行处理。一旦双方存在争端,监理方就应该在协商的基础上,尽量早日解决,尽量不要延误合同的履行时间。
2.6质量保证机制的构建
建设信息系统工程跟制造产品的道理一样,都是为了最终获得一个高质量的信息系统工程。为了做到对工程质量和结果的有效衡量,监理方一定要在结合业主方的要求的基础上,搭建一个质量评价标准,再在这个的基础上构建一套完善的质量保障评价机制,以便确保产品的质量。总之,信息系统工程监理为工程的顺利开展提供了保证。监理人员要充分结合实际信息系统工程的特点,对工程开展有效的协调和监督,为确保建设方质量和进度的实现,提供优质服务,协助建设方构建一个优质、高性价比的信息系统,尽量做到以最少的钱找自己不会的问题,寻找解决问题的有效办法。老师也不妨让学生习惯于利用网络:百度一下,这样以来,有很多学生自然会把各自的问题,自觉地找到解决的办法,实在无法解决的,找同学或老师,共同去找到真正的处理方法。
3结语
总之,初中电脑信息技术课是一个丰富多彩的课堂内容,老师只有充分利用初中学生的可塑性强的特性,从激发兴趣入手,针对不同的教学内容,以不同的教学模式达到良好的教学效果。在新教改背景下,让学生牢固掌握信息技术课程,并能在以后学习中,让学以此为开端举一反三,利用信息技术技能服务于其他学科,为初中学生全面掌据该阶段学习任打下良好基础。
4、国际信息系统审计与控制协会基本准则分析论文
审计规范的完善程度可以反映一个国家审计理论研究的先进程度,这对信息系统审计准则也同样适用。自2008年中国内部审计协会颁布《内部审计具体准则第28号---信息系统审计》以来,我国信息系统审计准则的制定基本上处于停滞阶段。在信息系统审计准则的制定方面,仅仅是在2013将内审28号准则修改为《第2203号内部审计具体准则---信息系统审计》,内容没有进行大的修改。上述现象的出现,笔者认为同信息系统审计基本准则的缺失息息相关。基本准则是审计指南和审计程序制定的基础,是准则的准则,基本准则的优劣直接关系着审计准则体系的完善。到目前为止,我国信息系统审计准则体系依赖的基本准则主要是财务审计的基本准则,属于财务审计准则制定的附属品,与信息系统审计相关的准则都零星地散落于注册会计师审计准则、政府审计准则和内部审计准则中,没有形成一套逻辑严密的信息系统审计准则体系。因此,本文拟对国际信息系统审计与控制协会(informationsystems audit and control association,以下简称isaca)的基本准则进行分析和解读,提出我国信息系统审计基本准则制定与完善的思路与政策建议。
一、isaca信息系统审计基本准则现状
isaca主要致立于信息系统审计准则的制定与发布工作,截止2013年12月,isaca 共发布了16项基本准则、41项审计指南和11项作业程序,这些规范层次清晰,可操作性强。isaca的信息系统审计准则体系类似于注册会计师审计准则体系,isaca的信息系统审计准则体系由基本准则、审计指南和作业程序构成,此框架为信息系统审计人员执业提供了多层次的指引。虽然isaca成立于1969年,但其基本准则的制定经历了一段很长的时间,至1997年才发布信息系统审计基本准则,包括审计章程、独立性、职业道德和准则、职业技术、审计计划、实施审计工作、报告和后续工作八个部分,该准则于1997年7月25日开始生效。随着审计指南与作业程序的制定与发布以及对信息系统审计基本准则可扩展性的考虑,isaca于2005年将1997年所发布的信息系统审计准则拆分为八个基本准则,并对原有内容根据信息技术发展状况进行了修订。同时,于2005年9月之后陆续发布了s9到s16等其它八个基本准则。
二、isaca信息系统审计基本准则解读
信息系统审计基本准则是信息系统审计准则体系的基础,其完善与否直接关系着整个审计准则体系的完善。isaca是全球信息系统审计准则制定的领跑者,其在基本准则制定方面存在的诸多优势可供我国制定信息系统审计基本准则借鉴。
(一 )基 本准则与审计指南 、 审计程序的关系审计基本准则是isaca审计准则体系的总纲和基础,对信息系统审计指南和审计程序的制定起着指导作用。isaca的审计指南与审计程序都是在基本准则的指导下制定或推导出来的,基本准则是审计指南与审计程序制定的基础依据(如图1所示)。同时,根据isaca审计指南和审计程序的制定情况,将实际制定过程的情况反馈给基本准则的制定过程,对基本准则中的不足之处进行改善,从而实现isaca信息系统审计基本准则对信息系统审计指南和审计程序的指导作用。信息系统审计人员根据isaca发布的信息系统审计指南和审计程序开展审计工作,若审计指南和审计程序中没有明确规定的,审计人员可以根据isaca相关内容的规定开展信息和信息系统审计活动。
(二 )信息系统审计基本准则的主要内容isaca将16项信息系统审计基本准则分为四个部分,包括:(1)审计章程;(2)对注册信息系统审计师职业资格的要求,包括审计人员的独立性要求、职业道德要求和职业能力要求;(3)信息系统审计计划、审计实施、审计报告与后续审计等审计过程;(4)其它信息系统审计规定,包括不正当及非法行为、it治理、审计计划中风险评估的利用等。在isaca基本准则中,审计章程是对信息系统审计人员的职能、责任、权力以及义务进行规范,独立性、职业道德和标准和专业胜任能力则是对信息系统审计人员的要求,信息系统审计计划、审计实施、审计报告和后续审计对信息系统审计过程进行规范,而其它信息系统审计规定主要是对前三项内容进行后续补充,即isaca根据审计对象的特殊性,将it治理、it控制、电子商务等纳入到基本准则规定的范畴,并对基本准则的相关概念进行补充界定。总体上讲,isaca在信息系统审计的基本准则方面是比较全面的,从审计职能的责任、权力、义务到信息系统审计工作执行,审计报告的出具,isaca都做了规定,基本准则不仅考虑到了审计的一般性特点,同时也结合了信息系统审计的独特性。
(三 )isaca信息系统审计基本准则制定模式在基本准则的制定模式方式,isaca先根据审计工作的一般要求,先颁布s1到s8的基本准则,对审计人员的职业能力以及信息系统审计的程序进行规范,再结合信息系统审计的特点和要求,陆续颁布s9到s16等其它基本准则,以填补先前所颁布的准则的不足或缺陷(如表1)。这种基本准则的制定模式,可扩展性较强,适应信息技术飞速发展的要求,isaca可根据信息系统审计发展的要求弥补基本准则存在的不足与缺陷。
(四 )isaca信 息系统审计基本准则存在的问题isaca尽管在基本准则方面的内容比较全面,形成了较为系统的信息系统审计准则体系,但通过深入研究可以发现isaca的基本准则体系仍存在不足之处。这些不足之处也为我国制定专门的信息系统审计基本准则提供了指导。
(1)信息系统审计基本准则包含审计职业道德规范的内容,不利于信息系统审计职业道德规范的发展。在信息系统审计基本准则的制定过程中,isaca将审计独立性、职业道德以及职业能力等审计职业道德规范一并纳入基本准则中,这三项审计职业道德规范应从基本准则中独立出来。若将审计职业道德规范一并纳入到基本准则之中,不利于建立专门化的信息系统审计职业道德规范体系。信息系统审计职业道德规范同信息系统审计准则处于同样重要的地位,将其纳入信息系统审计基本准则的范畴会降低准则制定机构的重视程度,而将其单独出来有利于建立层次分明,自成体系的审计职业道德规范体系,体现审计职业道德在信息系统审计中的重要性。
(2)基本准则没有完整体现信息系统审计理论结构的内容。信息系统审计理论结构是信息系统审计规范制定的理论基础,isaca所颁布的基本准则没有完整体现信息系统审计理论结构的内容,即没有对信息系统审计进行定义,没有规定信息系统审计本质、审计目标、审计假设、审计质量控制等内容。具有摩尔定律发展速度的信息技术使信息系统变得越来越复杂,网络安全及信息系统安全问题也变得越来越重要。信息系统审计人员在面临新的审计环境时,需要审计规范加以引导和约束,而在信息系统审计基本准则中界定审计的本质、目标、假设以及信息系统审计质量控制等内容有利于正确引导信息系统审计人员的审计行为,界定信息系统审计以及审计范围,可以在飞速发展的信息社会中出现新信息技术问题时不至于使审计人员陷入判断新领域是否属于信息系统审计范畴的境地。审计质量控制是信息系统审计理论的重要组成部分,也是信息系统审计准则的主要构成内容之一。审计质量就是审计活动对公认审计准则或标准的遵循程度。非法使用者出于娱乐、报复或利益等目的而侵入计算机(palmer,2001),garg、curtis和hapler(2003)估计安全事件对普通的公开上市公司来说,其市场影响占到年销售额的0.5%到1.0%.除了病毒和蠕虫之外,组织还可能遭受dos攻击,这是21世纪代价第二昂贵的网络犯罪,估计其损失达6500万美元,而新发展的ddos的威胁很现实,每周有超过4000次的ddos攻击,新型的dos正在不断地被制造出来,例如,dros用伪造的有效数据包冲垮服务器 (joyce,2002)。bell实验室的网络研究副总裁krishan sabnani表示,最新的dos攻击将威胁无线网络。审计质量是信息系统审计的基础,没有质量保证的信息系统审计行为,不仅不能为企业信息系统的可靠性、安全性等提供保证,反而会给企业带来更大的损失。在isaca的基本准则中,尚不存在审计质量控制方面的规定,这有待于isaca审计准则制定机构完善审计质量控制方面的基本准则,或是单独建立信息系统审计质量控制准则体系。
三、对我国信息系统审计基本准则制定的借鉴与启示
我国信息系统审计准则的制定尚处于起步阶段,当前颁布的信息系统审计准则主要依附于财务审计准则。无论是在信息系统审计准则的数量上,还是质量上,我国与isaca发布的信息系统审计体系都存在相当大的差距。这与信息系统审计基本准则的缺失息息相关,信息系统审计基本准则的缺失使得具体审计准则或审计指南、审计程序的制定只能依附于财务审计准则的制定。为加快信息系统审计基本准则建设的步伐,笔者认为应当加快信息系统审计基本准则的制定步伐,借鉴isaca的信息系统审计基本准则,制定适合我国国情的信息系统审计基本准则,为信息系统审计准则体系的完善奠定基础。
(一 )借鉴isaca的准则制定模式 ,树立以信息系统审计基本准则为导向的审计准则制定理念在信息系统审计基本准则缺失的前提条件下,我国当前的信息系统审计准则只能依附于财务审计准则的制定,不能形成较为完善的信息系统审计规范体系。信息系统审计具体准则也只能由财务审计的基本准则推导出来,信息系统审计准则或规范的颁布主要是考虑到信息技术已经影响到财务报告生产过程,为了更好的进行财务审计,而不是单纯的为制定信息系统审计准则。信息化的浪潮正在席卷社会的各个角落,信息系统已经成为政府、企事业单位不可缺少的组成部分。企业信息化与政务信息化正在逐步扩大信息系统审计的范围,已经超出会计信息系统的范围,信息系统的安全、软硬件以及开发生命周期等都已成为信息系统审计的范围,而且这些审计范围变得越来越重要。因此,我国信息系统审计准则的制定,其审计目标不能再仅仅局限于财务审计的目标,需要一个完善的信息系统审计准则体系为审计人员审计信息系统安全、软硬件以及系统开发生命周期服务。依附于财务审计准则制定模式的转变需要建立属于信息系统审计准则体系构建的基本准则,树立以“以信息系统审计基本准则为导向”的理念,由基本准则推导具体准则、审计指南或审计程序的制定,由基本准则指导具体审计准则缺失的“真空地带”,有效指导信息系统审计人员的审计行为。
(二 )在审计署的推动下 ,成立类似 isaca的信息系统审计准则制定机构到目前为止,我国具有真正意义的信息系统审计准则是中国内审协会颁布的第2203号内部审计具体准则,该准则的基本准则为《内部审计基本准则》,而《内部审计基本准则》主要是为了规范内部审计工作,明确内部审计机构和审计人员职责,不是专门针对信息系统审计工作的。因此,中国内部审计协会制定信息系统审计准则,只是为完善内部审计准则体系,而不对信息系统审计准则体系进行系统型的研究。出现这些情况虽然同信息系统审计基本准则的缺失息息相关,但更深层次的原因在于我国没有类似isaca的信息系统审计准则制定专门机构。我国要建立完善的信息系统审计准则体系,其首要任务在于成立类似isaca的信息系统审计准则制定组织,由其统一制定与发布信息系统审计的基本准则、具体准则或审计指南、审计程序。isaca的成立是由同类职业团体组建而成的,在我国类似的职业团体几乎不存在。因此,信息系统审计准则制定机构的成立不能采用isaca的成立模式,应采取行政的力量或手段推动其成立,由中华人民共和国审计署整合中注协、内审计协会和审计署内部的信息系统审计准则制定资源,成立类似isaca的信息系统审计组织。这种依靠行政力量的模式,可以在短时期内完成组织的成立过程,从而避免信息系统审计组织长期缺失对我国信息系统审计准则体系完善的影响。
(三 )借鉴isaca基本准则 ,构建适合我国国情 的信息系统审计基本准则笔者认为信息系统审计规范包括正式制度安排和非正式制度安排。信息系统审计基本属于正式制度安排的范畴。虽然isaca基本准则存在着一些不足之处,但isaca在基本准则制定方面仍存在许多可供借鉴的地方。我国信息系统审计基本准则的制定应在借鉴isaca基本准则的基础上,根据我国的实际情况制定。笔者认为,信息系统审计基本准则的内容应包括:
(1) 审计章程;
(2)信息系统审计业务承接以及审计业务三方关系;
(3)审计评价标准;
(4)审计本质;
(5)审计目标;
(6)审计假设;
(7)审计计划;
(8)审计工作的实施;
(9)审计报告;
(10)后续工作;
(11)审计质量控制准则;
(12)其他。
需要特别指出的是,信息系统审计评价标准在信息系统审计过程中扮演着十分重要的角色。标准是指用于评价或计量鉴证对象的基准。标准可以是正式的规定,如国家颁布的相关法律、法规;也可以是某些非正式的规定,如单位内部制定的内部控制制度。信息系统审计人员在运用职业判断对信息系统做出合理一致的评价或计量时,需要有适当的标准。缺乏信息系统审计评价标准,将不利于指导信息系统审计人员选择判断标准,进行合理的职业判断。因此,我国构建信息系统审计基本准则,应当对信息系统审计的评价标准进行界定,以指导审计人员的信息系统审计行为。
( 四 ) 将 审 计职业道德 规范排除 在信息系统审计基本准则 之外, 构建专门的信息系统审计职业道德规范信息系统审计准则或信息系统审计规范的正式制定安排包括信息系统审计职业道德规范、信息系统审计准则和其他信息系统审计准则。由此可知,应当建立单独的信息系统审计职业道德规范,而不是同信息系统审计准则混合起来。信息系统审计基本准则是信息系统审计准则这种制度安排的主要内容之一。为建立合理的信息系统审计准则或偏私系统审计规范体系,应当剔除职业道德的内容,将职业道德的内容并入信息系统审计职业道德规范体系中,建立专门的信息系统审计职业道德规范。
(五 )建立具有可扩展性的信息系统审计基本准则现代信息技术以“摩尔定律”的速度正在飞速发展,信息系统审计基本准则的制定应当与之相适应,形成一种开放性的信息系统审计基本准则制定方式,以满足现代信息技术飞速发展的要求。在这个方面,我国可以借鉴isaca基本准则的制定模式,建立具有可扩展性的基本准则制定模式。这主要是考虑到基本准则在实际执行过程中会存在着许多问题和不足之处,若遇到现有信息系统审计基本准则的不足之处就重新制订新的基本准则会浪费大量资源。因此,我国应首先发布一批相对成熟的基本准则,后期若遇到问题时,再发布基本准则对前期发布的准则进行补充。这种开放性的、可扩展的审计准则制定模式不仅可以弥补前期基本准则的不足,同时也可以减少重新修订基本准则对信息系统审计人员的冲击和节约准则制定成本。
(六 )加强中注协 、内审 协 会 和国家 审计署的 沟通协调众所周之,信息系统审计业务可以单独开展,也可以和财务审计以及其他业务审计一起执行。但在当前审计实务中,信息系统审计业务工作的开展通常是和财务审计或其他业务审计一同开展的,这就要求在制定和颁布信息系统审计基本准则时,加强与中注协、中国内部审计协会和国家审计署的沟通协调工作,就基本准则的内容以及信息系统审计准则如何与注册会计师审计准则、内部审计准则和国家审计准则一致进行探讨,以增强信息系统审计基本准则的实用性。
随着现代信息技术的发展与运用,信息系统审计这一职业已经得到了一定程度的发展,理论界与实务界也越来越重视这一领域。笔者关于信息系统审计基本准则的许多观点尚不成熟,还有待进一步改进,希望通过本文的研究能引起理论界和实务界对于信息系统审计准则研究的关注,让更多的理论工作者与实务工作者参与到这一过程中,完善我国信息系统审计规范体系。
参考文献:
[1]马良渝、潘婉霞:《isaca信息系统审计准则体系浅析》,《中国管理信息化》2007年第3期。
[2]蔡春:《审计理论结构研究》,东北财经大学出版社2001年版。
[3]isaca is standards, guidelines and procedures for auditingand control professionals .isaca, 2009.
[4]g41-return on security investment.isaca, 2010.
[5]g42-continuous audit.isaca, 2010.
[6]joyce, j.disributed denial of service attacks.scientificcomputing & instrumentation, 2002, june:12-47
[7]palmer, c. c.ethical hacking .ibm system journal, 2001,(03):769-780.
[8]garg, a., j. curtis, and h. halper.the financial impact ofit security breaches: what do investors think? .informationsystems security, 2003, march/april:22-32.
