国外审计研究领域论文

随着我国加入WTO和社会主义市场经济的深入发展，传统的内部审计面临巨大挑战，但它不可替代的作用又引起人们的高度关注。如何把握我国内部审计的发展方向，是一个理论和现实的重大课题。本文拟对内部审计的发展方向问题作一探讨。一、创建独立性、权威性强的内审组织要圆满地完成内部审计职责，客观需要设有独立的审计机构，拥有良好的组织环境，内部审计应向隶属董事会和审计委员会的环境模式化方向发展。这种模式的主要特征是独立性，内部审计负责人直接对高级管理层的董事长负责，并向董事长、董事会、内部审计委员会报告工作，其它各部门和个人不得干涉内审工作，内部审计部门的审计计划是独立的企业计划，并由董事会批准实施，可以对企业各部门、有关人员进行审计；能够直接与董事会交流信息；对审计意见，被审计者要在限期内予以落实并向审计部门反馈实施情况；内审部门负责人的任免，由董事会办公会议确定。二、内审职能价值化内部审计主要是管理控制。未来的内审发展方向是风险导向型审计，以风险评估为主，主要是为组织贡献附加价值。内市职能定位转向价值化，也就是内审必须考虑组织的风险和内审的风险防范，降低成本，提高组织的经济效益，使内审接近单位经营活动的价值键，不断提供附加服务。首先，职能价值化带来一系列的审计理念。内部审计是适应公司治理、风险管理。内部控制之需要，正如国际内部审计师协会现任主席杰奎琳·瓦格娜指出：环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理和公司治理。至于风险导向审计就是要改变内部审计人员对于控制与风险的思考，使内部审计人员关心组织的目标和风险，使审计的重点前移到目前和未来的规划，把目前的经营管理控制同计划、策略和风险的评估结合起来，内部审计的工作重点也随着转向经济效益审计和风险管理审计。其次，职能价值化使内部审计目标明确。内审的目标旨在提出规避风险的建议，使被审对象有效地履行他们的受托责任，以提高经济效益。内部审计的服务对象主要是董事会和最高层管理当局。内部审计在资源分配时着眼于组织的风险和审计的风险；内审项目考虑节省成本和投入产品的比例关系，比如德、法国家的投入产出之比为1：10.内部审计效益表现在以下十四个方面：维护资产安全和促进内部控制；有效的经营；管理工作有序协调；成本的节约；人力资源的开发；多种制度的建设和特殊问题的处理；审查合同，降低供应成衣公司成员道德水平的提高和正直风气的形成：降低外部审计费用；减少舞弊案的发生提供沟通管道；认定发评估企业风险；评估被审计单位管理业绩；符合反贪污行贿法的规定。由此可以看出，内部审计部门将成为一个直接创造价值的部门，内审的增加价值功能是内审强大生命力的根本所在。三、内审内容多元化既内审的内容以风险评估为主，涉及组织的所有领域的每个环节、每个系统。具体为：一是在全球一体化和市场竞争日趋激烈的情况下，如何进行风险管理已成为内部审计的主要内容。内审工作的重点就是风险存在的领域；要进行事前审计，及早发现风险；实施审计意见以最大限度地规避风险，内部审计成为组织风险管理的重要手段；二是内部审计评估组织经营管理的全过程；三是内部审计评估组织的发生因素，主要是人员、任务、管理三个基本组织部分，就产品企业来说，包括政策与目标、组织与权责、产品与生产、市场与销售、资金与财务、研究与开发、信息与商务、控制与管理等各个系统，有效规避体系风险；四是审计的类型，主要包括经营审计、绩效审计、遵循性审计、质量审计、财务控制审计、财务报表审计以及计算机审计和舞弊审计等。四、加强信息化管理内部审计方法信息化具有特别重要的意义，它迎合新经济发展潮时代需要，以知识和信息作为核心资源，融入世界经济主流；它代表最先进的生产力，降低成本、缩短时间、变窄空间，提高组织国际竞争力；有利于内部审计与最高管理当局的交流，突破时空限制，提供快捷而全面的服务。内部审计信息化的思路应着重考虑如下几点：一是从战略的高度进行整体规划。信息化规划实现资源最优配置，在认识上和行为上达成一致，本着统一规划、互联互用、资源共享的原则，统一信息目标，明确信息化方针政策，落实信息化任务，充分考虑内部审计信息化的资源共享；二是构建内部审计信息化的网络平台，在平台上通过计算机网络信息交换以实现内部审计目标；三是设计开发内部审计应用软件，涉及组织运行的全方位、全过程，提供多接口、多通道、安全可靠、快捷高效的信息网络体系；四是对信息化的网络基础建设、信息安全建设、内部审计师的信息化人才建设等提出更高的要求。五、依法规范运作应尽快规范法律制度、准则体系。内部审计准则是规范内部审计工作的权威性标准，是具体衡量内审质量的标准尺度。建立健全中国内部审计准则体系，将会推动我国内部审计事业的长远发展和规范化建设。尽快形成国徐审计和社会审计法规并行、前瞻性和操作性兼备的中国内部审计准则体系，包括内部审计基本准则、职业道德规范、基础工作规范、设计计划、审计通知书、证据、工作底稿、报告、质量、事项评价、内部控制、风险管理、舞弊的预防检查和报告、计算机审计、内审与外审协调等一系列准则，同时规范实务操作。一是严格程序，分步实施。基于对风险的考虑即选择风险最高的领域、重估风险、评估风险以提出审计发现和审计建议，分九个步骤：即选择被审者、制定审计计划、初步调查经营活动、描述和分析内部控制制度、扩大内部控制的测试范围。形成审计发现和审计建议及报告、后续审计、审计评价，从起点到终结，有组织地规范开展；二是做好审计工作底稿，严格审计质量控制制度，对工作底稿和审计报告进行层层把关，复合监督，以确保质量。综上所述，内部审计的发展必然按照自身的规律，形成独立性强、内容广泛、运作规范、行业自律，为组织提供价值服务和风险管理，为经济和社会发挥不可替代作用的发展业态，未来内部审计就是一种生产力。

一、引言

信息系统审计（IS Audit）的概念最早出现于20世纪60年代，会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理，被人们称为EDP审计，这是信息系统审计的早期萌芽。20世纪90年代，信息系统日益复杂，如何保障信息系统的安全、可靠和有效变得越来越重要，信息系统审计开始在美、日、澳、英等国普及起来。2001年，国家审计署将注册信息系统审计师（CISA）考试引入我国，十余年来各行各业都开展了如火如荼的信息系统审计实践。准则是审计工作的基本规范，信息系统审计准则是信息系统审计师共同遵循的标准，对于促进信息系统审计行业发展具有重要意义。日本通产省 （Ministry of Economy Trade and Industry，简称METI）早在1985年就颁布了信息系统审计准则，还成立了日本系统审计师协会 （JSSA）。

美国也成立了信息系统审计与控制协会（ISACA），制定和颁布了一系列信息系统审计准则指南，并在全球

范围内应用推广。我国审计署以实务公告形式颁布了《信息系统审计指南》，中国内部审计协会也以具体准则形式颁布了信息系统审计准则，为规范我国的信息系统审计实践提供了重要参考。然而，由于信息系统审计的技术复杂性，以及我国信息化发展的阶段特征等客观原因，目前我国的信息系统审计理论与实务研究都尚处于百花争放时期，关于信息系统审计对象、范围和目标等基础概念的理解众口不一，更是缺少系统化的信息系统审计准则体系，严重制约了我国信息系统审计行业的发展。

二、信息系统审计概念内涵

信息系统审计概念，国内外尚没有统一定义。美国著名学者Ron A·Weber认为，IS审计是一个获取证据，对信息系统是否能保证资产的安全，数据的完整，以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。该定义得到较为广泛的流传，印度审计署颁布的IT审计手册也采用了该定义。ISACA协会则认为，信息系统审计是一个搜集和评估证据过程，以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息、是否有效使用组织资源以实现组织目标，并建立了有效内部控制体系可以合理保障组织运营和控制目标。日本通产省（METI）在1996年修订了信息系统审计准则，指出信息系统审计是为了信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价，向IT审计对象的最高领导，提出问题与建议的一连串的活动。中国内审协会颁布的《中国内部审计具体准则28号——信息系统审计》中指出，信息系统审计是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。国家审计署颁布的《信息系统审计指南———计算机审计实务公告第34号》认为，信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。

上述定义有差异，也有共同之处，本文从审计目标、审计对象和审计内容这些概念进行了对比分析。

目前学术界和业界对于信息系统审计的对象有较为统一认识，但学者们对审计目标、审计内容的理解存在较大分歧。信息系统审计是源于信息系统和审计理论的新兴交叉学科，观点分歧代表了信息系统审计的不同定位。日本的信息系统审计师考试是一种全国信息处理人员水平考试，因此日本信息系统审计强调对信息技术和软件规划开发等内容的审计，并不提及审计师的专业判断；其它观点多出自审计师视角，审计师们通常更多关注控制与风险，所以审计内容通常是一般控制和应用控制审计等；另外，审计又区分为国家审计，社会审计与内部审计，有着不同业务领域性质与要求，导致各领域对信息系统审计目标理解的多样化。

基于上述讨论，本文提出信息系统审计是审计主体遵循一定标准规范搜集与评估证据，判断信息系统及相关资产的安全性、可靠性和有效性，提出审计意见与建议，促进被审计单位信息系统实现组织目标的行为。从该定义可知，信息系统审计的对象是系统及相关资产，主要包括计算机硬件、软件、网络基础设施、数据、人和相关管理制度。信息系统审计有三大目标：安全性、可靠性和有效性。其中，系统安全性是指信息系统资源是否受到妥善保护，不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。系统可靠性包括三个方面的内涵：硬件、软件和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内，在给定的'控制条件下，硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中，在规定的运行时间内或规定的运行次数下，程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和完整，它取决于系统对数据的处理过程是否准确无误，以及确保数据可靠的控制措施是否有效。系统有效性也有三方而的内涵：一是指信息系统的处理过程是否符介国家法律和有关规章制度的要求（合规性）；二是指信息系统是否能够实现既定的业务目标（效益性）；三是指系统的效率性即系统利用各种资源输出用户所需要信息的及时程度和运行速度。

三、信息系统审计准则国际经验

目前，国际上影响力较大的信息系统审计准则有四个，分别是国际信息系统审计与控制协会（ISACA）、日本通产省信息系统审计标准，以及国际内部审计师协会（IIA）颁布的全球技术审计指南和美国审计总署（GAO）颁布的联邦信息系统控制审计手册。

（一）ISACA的信息系统审计准则体系1994年，电子数据审计师协会（EDPAA）更名为ISACA协会，该协会是目前最有影响力的信息系统审计专业人员的国际性组织。它在全世界许多国家举办注册信息系统审计师（CISA）考试，还制定和颁布信息系统审计准则体系来规范和指导CISA工作。ISACA的信息系统审计准则体系由ISA标准、指南和程序三部分构成。信息系统审计标准是整体准则体系的总纲，是制定指南和程序的基础。审计标准规定了审计章程、独立性、职业道德和胜任能力，以及审计工作执行的基本行为规范，是CISA执行审计业务必须遵循的标准，具有强制性。目前ISACA共颁布了16条审计标准，42项审计指南，为CISA执行审计业务中如何遵守审计标准提供指引，任何偏离指南的行为必须有充分的理由，属于“强烈推荐遵循”。审计程序是依据审计标准与审计指南制定的，为CISA提供审计业务的程序与步骤，类似一种工作范例，并不强制要求。到目前为止有效的ISA程序共有9 项。

（二）日本的信息系统审计准则日本通产省（METI）于1985年发布了信息系统审计准则，1996年进行了修订。该准则由一般标准、执行标准和报告标准三部分组成。一般标准描述了信息系统审计的目标、对象、人员和流程等。执行标准描述了信息系统审计的具体实施内容，强调系统审计师应关注信息系统规划、开发到运行全生命周期各阶段的风险。报告标准描述了信息系统审计结果的收集整理，以及根据审计结论应采取的措施。

（三）IIA的全球技术审计指南（GTAG） 国际内部审计师协会（IIA）的内部审计国际实务准则框架（IPPF）是内部审计规范体系的标杆。IIA非常重视信息系统审计，IPPF在“实务指南”层次用相当篇幅详细规范了信息系统审计的内容与方法。自从2005年发布第1号全球信息技术审计指南（GTAG）指南起至今，IIA已发布了16项信息系统审计指南，内容涉及信息系统控制、应用控制审计、制订IT审计计划、IT项目审计和信息安全治理等等。

（四 ）联邦 信息系统控制审计手册 （FISCAM）2009年美国审计总署（GAO）发布了联邦信息系统控制审计手册（FISCAM），在该手册的指导下，GAO每年还安排若干审计项目对政府部门信息系统控制进行审查评估。FISCAM的IT控制包括一般控制和应用控制。其中一般控制包括：实体安全控制、访问控制、应用软件开发和变更控制、职责分离控制、应急计划；应用控制包括：应用级一般控制、输入控制、处理控制、输出控制、接口控制、数据管理系统控制。FISCAM对以上各类控制的审计程序与步骤进行了详细说明。

ISACA作为专门的信息系统审计与控制协会，建立了较为完整的信息系统审计准则体系，它采用总分式分层体系，16项审计标准是总纲，自2005年发布后基本保持稳定，而42项审计指南一半以上是新增或新修订的，不断更新的审计指南赋予了审计标准新的内涵与外延，审计程序则重在描述审计程序与步骤。日本通产省的审计准则采取一体化形式，整套准则的内容相当于ISACA的审计标准层次。

从准则具体内容上看，日本的信息系统审计师属于计算机行业，其审计标准具有明显信息技术特征，主要规范了信息系统审计目标、审计对象、审计人员资质和审计方法，尤其详细明确了信息系统规划、开发和运行全过程的关键风险点；而ISACA的审计标准更多关注信息系统审计的审计特征，主要规范审计权力责任、审计人员职业道德规范、审计计划、审计证据、审计记录、审计抽样和审计报告等内容。ISACA协会的审计指南与IIA协会的GTAG指南的操作性程度不同，前者类似我国的具体准则，GTAG指南则围绕不同的审计业务详细描述审计工作思路，审计方法、技术与工具等。

从是否强制性要求来看，ISACA协会的准则体系中既包含强制性遵循的审计标准、强烈推荐遵循的审计指南和非强制性要求的审计程序，还包含ISACA制订或编写的出版物以支持实务工作。IIA协会的GTAG指南处于IPPF框架的实务指南层次，属于强烈推荐遵循；美国审计总署GAO颁布的FISACM是非强制性要求的手册，用以指导实务工作。

四、我国信息系统审计准则现状

我国目前颁布的信息系统审计准则规范屈指可数，主要有审计署以实务公告形式颁布的信息系统审计指南，中国内审协会发布的信息系统审计具体准则。

（一）信息系统审计指南为指导和规范国家审计机关组织开展信息系统审计，2012年，审计署发布了《信息系统审计指南———计算机审计实务公告第34号》。该指南在借鉴国外信息系统审计指南的基础上，结合国家审计机关依法审计的法定职能，以及我国目前信息系统审计实践现状，提出了包含应用控制审计、一般控制审计、项目管理审计3大块的信息系统审计内容框架，重点描述了89项审计事项的审计要点。此外，审计署还在2013年出版了与该指南配套的《信息系统审计实务》，针对指南的各审计事项，分别描述了审计目标、审计程序、应取得的资料和常见错弊与定性依据等。

（二）内部审计具体准则第28号———信息系统审计为规范组织内部审计机构及人员开展信息系统审计活动，保证审计质量，中国内审协会颁布了《内部审计具体准则第28号———信息系统审计》，自2009年1月1日起开始实施。该准则对信息系统审计的一般原则、信息技术风险评估、信息系统审计内容、信息系统审计方法，审计报告和后续工作共五个方面的内容进行了规定，明确提出信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。

综合来说，我国目前尚未建立信息系统审计行业协会，审计署发布了信息系统审计指南，属于非强制性要求，更高级别的强制性要求准则尚未发布；内审协会的信息系统审计具体准则虽属于强烈推荐遵循层次，但与IIA协会相比，其信息系统审计准则和相关指南还有极大的丰富与细化空间。总体来看，我国的信息系统审计准则体系缺少系统性与结构性，尚没有建立完整的信息系统审计准则体系。目前，国家审计、社会审计和独立审计都在各自业务领域内开展了一些信息系统审计实践探索，但各界人士对信息系统审计的基本原则与规范还缺少共识，长此以往将给我国信息系统审计行业发展带来混乱。

五、结论

信息系统审计准则是信息系统审计师共同遵循的标准，对促进我国信息系统审计行业发展具有重要意义。首先，从准则制定的社会背景来看，我国的社会信息化水平与美国、日本等国家存在客观的差距，ISACA，IIA和FISCAM等准则指南均基于相对完善的内部控制（IT控制）环境，而我国政府部门、企事业单位的信息化建设正处于飞速发展时期，大部分被审单位的IT控制体系尚在建立之中，如果按照国外规范开展我国信息系统审计，过于理想化的审计意见建议很难得到认同。

第二，从准则的框架结构来说，ISACA，IIA和日本通产省的框架结构，不太符合中国人的理解习惯。ISACA采用的审计标准、指南和程序的三层框架结构，跟我国的内部审计准则体系，注册会计师鉴证业务准则和国家审计准则采用的常用结构也不一样，不太符合我国审计师的认知习惯。

第三，从准则的具体内容来看，由于我国信息系统审计方面的法律法规还非常不完善。目前只有信息系统安全方面颁布了安全保护条例和强制性标准，IT运维服务、外包、信息资源开发利用，信息公开与政务服务等方面尚缺乏充分的审计依据。审计环境决定了我国信息系统审计准则在明确信息系统审计目标、规范信息系统审计内容等方面都需要充分考虑本土国情。但是，国外ISACA，IIA，FISACM等信息系统审计准则指南历经20多年的发展，已形成相对成熟的体系，相关观点已为我国审计师熟识。而且，国家的信息系统审计准则需要在国际舞台上相互交流与合作。

因此，制定我国信息系统审计准则需要遵循的重要原则是：坚持国际化与本土化相结合，既立足本土国情又实现国际接轨。本文借鉴ISACA，IIA和FISCAM等准则指南的优秀经验，参照我国国家审计准则的体系框架，考虑信息系统审计新业务的不同特征，尝试提出如下图1所示的中国信息系统审计准则体系框架。

该框架采用了审计准则、审计指南和实务手册三层结构。审计准则是强制性要求，审计指南是强烈推荐遵循，实务手册是非强制性要求。审计准则分成基本准则和具体准则两层，基本准则可包括五块内容，分别是总则、信息系统审计道德规范、信息系统审计作业准则、信息系统审计质量控制准则和附则。审计指南包括通用指南和专业指南两类，如面向一般信息系统的通用指南，针对电子政务、电子商务和ERP系统的专业指南，或者体现行业信息系统特征（如金融、通信行业）的专业指南等等。指南的内容框架可以采用一般控制和应用控制的基本框架，但在设计具体事项，或者明确审计内容重点时，应充分考虑我国企业或政府部门的信息化发展阶段及当前法律环境。实务手册是审计指南的具体化，详细规范审计内容、审计程序、审计依据、审计技术方法和典型错弊等相关知识点。实务手册可根据审计指南来加以制定，也可以针对某类突出问题（如电子银行、IT外包等）进行特别规范。

为逐步完善我国信息系统审计准则体系，我们建议采取如下策略：首先，以审计署为主导，协调整合中国注册会计师协会、内审协会以及高校的相关专家资源，组建信息系统审计准则研究课题组和专家咨询小组，激发信息系统审计职业界的积极讨论与参与。其次，成立类似ISACA的中国信息系统审计行业协会专门机构，以信息系统审计职业化建设为主线，组织修订与持续完善信息系统审计准则体系；组织信息系统审计师职业教育，提升信息系统审计师职业素质；总结我国信息系统审计优秀经验，积极开展与国外相关协会和政府机关之间的合作与交流。最后，人才是行业持续发展的源泉，也是准则规范有效实施的载体。建议增设我国信息系统审计师职业资格考试，明确我国信息系统审计师应具备的素质、知识与技能以及任职资格，既能保障准则规范的有效实施，也为促进我国信息系统审计行业发展提供人才支撑。

参考文献：

[1]张文秀：《国外信息系统审计规范、国家文化差异与制度移植》，《审计研究》2012年第5期。

[2]石爱中、周德铭、王智玉、杨蕴毅：《信息系统审计实务———中国计算机审计实务报告》，时代经济出版社2012年版。