“财务审计导向”的信息系统审计规范制定模式研究

2017-03-23 01:34刘杰张梦艺

中国注册会计师 2017年2期

刘杰张梦艺

刘杰张梦艺

本文在分析我国“财务审计导向”信息系统审计规范制定模式的基础上，剖析了“财务审计导向”信息系统审计规范制定模式产生的原因；其次，对美国信息系统审计规范制定模式进行了探计；最后，提出了我国信息系统审计规范制定模式改革的思路和政策建议，即我国信息系统审计规范制定应同时采用“财务审计导向”和“业务审计导向”两种思路。

财务审计导向业务审计导向信息系统审计规范

一、引言

信息系统审计是计算机审计的重要组成部分，大数据环境下的数据式审计离不开信息系统审计。若将信息处理过程视为生产过程，则信息系统是生产信息的机器，开展数据式审计的前提条件为数据是真实、可靠的，而信息系统的可靠性是数据真实、可靠的前提条件。由此可见，信息系统审计在计算机审计中扮演着十分重要的角色，但理论界对于信息系统审计的研究却不能匹配信息系统审计地位的提升。同财务审计研究相比，信息系统审计研究相对落后，国内学者对信息系统审计的研究文献相对较少。近年来，随着“大数据”、“互联网+”等新研究内容的出现，信息系统审计研究本应呈现递增趋势，但国内学者对信息系统审计的关注较少，而专门研究信息系统审计规范的文章更少。

目前，信息系统审计规范仍散落于各项审计规定之中，国家尚未颁布一套完善的信息系统审计规范，信息系统审计人员迫切需要一套完善、成熟的信息系统审计规范指导。我国与信息系统审计相关的规范主要采用以“财务审计导向”的制定模式，制定信息系统审计规范的目的主要是满足财务审计的需要，这或多或少影响着信息系统审计规范的发展。鉴于此，本文以“‘财务审计导向’的信息系统审计规范制定模式”为研究对象，研究“财务审计导向”制定模式存在的弊端，以期能为我国信息系统审计规范的制定提供相应的政策建议，提升信息系统审计规范的适用性。

二、“财务审计导向”的信息系统审计规范制定模式及其弊端分析

（一）当前我国信息系统审计规范制定的模式

我国颁布的与信息系统相关的审计准则基本上都出于“真实、合法、效益”的审计目标。我国的审计规范分为国家审计规范、内部审计规范和注册会计师审计规范三大类。在国家审计规范层面，为适应现代信息技术的发展，1993年国家审计署颁布了《审计署关于计算机审计的暂行规定》，该暂行规定的第二条中指出，凡使用计算机管理财政、财务收支及其有关经济活动的被审计单位，审计机关有权采用计算机技术，依法独立对其计算机财务系统进行审计监督。1996年，国家审计署又颁布了《审计机关计算机辅助审计办法》，该办法的第二条中指出，本办法所称计算机辅助审计，是指审计机关、审计人员将计算机作为辅助审计工具，对被审计单位财政、财务收支及其计算机应用系统实施的审计。2006年，我国修订了《审计法》，其二十二条中规定，审计机关有权检查财政财务收支信息系统。在上述审计法规的指引下，审计署及审计署驻各地特派办纷纷开展了信息系统审计的实务研究，并制定了信息系统审计的相关操作规则，操作规则的制定主要是为了满足数据式审计的需要，而其数据式审计仍然没有偏离财政、财务审计的方向。因此，国家审计规范的制定模式是“财务审计导向”的制定模式，信息系统审计准则或规范的颁布主要是考虑到信息技术已经影响到财务报告生产过程，为了更好进行财务审计，而不是单纯为制定信息系统审计准则。

在注册会计师审计规范层面，中国注册会计师协会（以下简称“中注协”）在《中国注册会计师审计准则第1101号——注册会计师的总体目标和审计工作的基本要求》中明确规定，中国注册会计师审计准则适用于注册会计师开展财务报表审计业务。在该思想的指导下，中注协颁布了《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》，研究电子商务对财务报表审计的影响。注册会计师审计规范中与信息系统审计相关的规范，其制定模式依然是“财务审计导向”的，并没有系统性的研究信息系统审计规范，而是当信息系统审计影响到财务报表审计时，才开始着手制定和发布信息系统审计规范。

在内部审计规范层面，中国内部审计协会（以下简称“中国内审协会”）发布了中国第一个真正意义的信息系统审计规范《第2203号内部审计具体准则——信息系统审计》，在一定程度上弥补了我国信息系统审计规范存在的缺失。在《第1101号——内部审计基本准则》中，中国内审协会强调，内部审计准则是依据《审计法》制定的，这表明内部审计准则依然无法摆脱“财务审计导向”的思维模式。

综上所述，我国信息系统审计规范制定模式始终秉承“财务审计导向”的思路，这同我国长期以来相当重视财政、财务审计的思维模式息息相关，这一点在注册会计师审计中更为明显。

（二）当前我国信息系统审计规范制定的弊端分析

1.不利于形成相对较为完善的信息系统审计规范体系

同国外信息系统审计规范相比，我国并未形成类似于ISACA的信息系统审计规范体系，与信息系统审计相关的规范散落于国家审计规范、内部审计规范和注册会计师审计规范之中。国际内部审计师协会（IIA）、国际会计师联合会（IFAC）和国际信息系统审计协会（ISACA）在信息系统审计方面建立了相对较为完善的信息系统审计规范体系。IIA发布了GAIT（IT风险评估指南）和GTAG（全球信息技术审计指南），其目的在于满足管理层首席审计师和审计主管的需求，以解决董事会关心的信息系统审计问题，ISACA发布信息系统审计规范的目的在于指导审计人员开展信息系统审计活动。IIA、IFAC和ISACA形成了较为严密的信息系统审计规范体系。中国内审协会发布的2203号内部审计准则并未全面、系统地考虑董事会、管理层所关心的信息系统审计问题，所制定的信息系统审计规范也没有建立类似于ISACA的审计准则、审计指南和审计程序的体系结构。信息系统审计规范的供给不足使得财务审计人员与信息系统审计人员的合作、信息系统审计人员与企事业单位内部管理人员的合作匮乏，不能推动信息系统审计工作的有效开展。

2.不利于信息系统审计规范制定资源的整合

无论是国家审计、内部审计，还是注册会计师审计，其信息系统审计目标仅仅存在文字上的差异，其本质并不存在任何差异，都是对信息系统的安全、可靠、效率和效果发表审计意见（刘杰、黄忠莉，2013）。然而，当前我国的信息系统审计规范制定资源分散于国家审计署、中国内审协会和中国注册会计师协会，没有形成资源整合的信息系统审计规范制定力量，不利于制定体系的信息系统审计规范。“财务审计导向”的信息系统审计规范制定模式加剧了信息系统审计规范制定资源的分散。注册会计师审计规范偏重于指导企业财务报表发表审计意见，内部审计规范偏重于指导政府或企业业务活动、内部控制以及风险管理等审计，而国家审计规范偏重于指导财政收支审计和国家企业审计，这三者在审计目标上存在差异性。若采用“财务审计导向”的信息系统审计规范制定模式，这必然会导致信息系统审计服务的对象存在差异，不利于整合国家审计、内部审计和注册会计师审计的信息系统审计规范制定资源。

3.不利于非财务审计工作的开展

随着企业信息化、政务信息化等的发展，信息系统的安全审计、生命周期审计以及软硬件审计等变得越来越重要，其重要程度在很多时候已经超过了出于“真实、合法、效益”审计目标的信息系统审计。

信息系统不仅仅是输出财务报告的会计信息系统，信息系统审计所涵盖的内容包括内部控制审计、系统生命周期审计、信息系统软硬件审计、安全审计和信息系统绩效审计等。如果信息系统审计准则的制定仅仅是为更好地进行财务审计，那么当系统生命周期审计、信息系统软硬件审计、安全审计以及信息系统绩效审计等提上日程时，现有的信息系统审计准则远远不能起到发挥引导和约束信息系统审计行为功能的作用。而在国外，存在如ISACA这样的机构专门制定信息系统审计准则，当面对服务于财务审计之外的信息系统审计时，ISACA有相应的审计准则、指南与程序用以引导和约束信息系统审计人员的审计行为，如美国审计署在对联邦存款保险计算机病毒保护程序进行审计时，ISACA所颁布的审计程序病毒及其它恶意代码（P4）审计程序可以为其提供依据。在我国，信息系统审计准则制定的源动力来自于财务审计的需要。当面临其它类型的信息系统审计时，审计人员往往陷入不知所措的困境。因此，要使我国的信息系统审计准则赶上国外先进的信息系统审计准则，必须摆脱以财务审计为主的信息系统审计准则制定模式。

三、“财务审计导向”信息系统审计规范制定模式的根源

在信息系统审计发展的初期，“财务审计导向”的信息系统审计规范制定模式起到了推动信息系统审计工作的作用，但到现代信息技术广泛应用于政府和企事业单位的阶段，信息系统审计规范供给不足必然处于常态。笔者认为，“财务审计导向”的信息系统审计规范制定模式主要受到以下几方面因素的影响：

（一）我国信息系统审计起步较晚

国外早在20世纪50年代就对信息系统审计技术进行了研究，IBM公司在1956年出版的《The Auditor Encounters Electronic Data Processing》手册中制定了电子数据环境下的内部审计规则和组织方法，介绍了许多诸如测试数据、并行模拟等新的审计技术。美国内部审计师协会在1977年发表了著名的《系统可审计性及控制制度的研究》，简称SAC报告，提出了多种计算机辅助审计技术，是利用计算机对计算机信息系统直接进行审核检查的开创性探索。Wand & Weber（1989）提出了信息系统中不同层次子系统如何追踪传输变化的模型。这个模型为审计人员提供了一个结构化的方法用于识别控制和审计程序需要修正的地方。ISACA（1998，2008）对计算机辅助审计技术（简称CAATs）运用的范围、采用CAATs需要考虑的因素以及CAATs运用的步骤及范围等进行了详细的论述，认为CAATs可运用于交易的详细测试、分析性复核程序、一般控制与应用控制测试以及穿透性测试之中。ISACA（2010）对CAATs与持续审计、持续认证进行了区别，提出CAATs是各种各样的自动化审计技术，而持续审计、持续认证是一种审计方法，同时，ISACA在其审计指南《持续认证》（G42）中对持续审计与持续认证在审计计划、审计实施与审计报告中运用的相关问题进行了深入详细的规定。

国内对于信息系统审计的理论研究与实务研究相对较晚。张毅（1989）对电算化会计信息系统审计问题进行了研究，结合计算机软件测试方法介绍了黑盒测试法和白盒测试法。陈婉玲、杨文杰（2006）系统性地介绍了ISACA的信息系统审计规范。国家审计署2005年对某航空公司的收入结算系统进行审计时审计人员对信息系统到底怎么审，怎么评价缺乏类似经验，也无现成的案例和信息系统审计规范可借鉴（刘汝焯，2006）。国内信息系统审计理论与实务研究开展较晚直接影响着信息系统审计规范的研究。与此同时，我国财务审计研究相对较早，财务审计在整个审计活动中占据着十分重要的位置，因此，国内审计规范制定机构自然就形成“财务审计导向”的信息系统审计规范制定模式。

（二）财务审计在审计活动中占据主导地位

我国2006年修订的《审计法》中指出，审计是对财政收支或者财务收支的真实、合法和效益发表审计意见。财务审计在整个审计活动中占据着十分重要的位置。在传统的审计思维模式中，审计主要是指财务审计，业务审计仅仅在财务审计需要涉及时才开展。近年来，随着审计范围的扩大以及财务欺诈向业务端前移，业务审计才逐步受到重视。信息系统审计不仅服务于财务审计，而且服务于业务审计。重视财务审计活动，而忽视业务审计的发展模式导致信息系统审计主要服务于财务审计，因此，信息系统审计规范体系的制定呈现“财务审计导向”的现象。我国信息系统审计实践与国外信息系统审计实践在这方面的差异，除了在信息系统审计的人力、物力等方面赶不上诸如美国、加拿大等西方国家之后，最主要的原因还是我国没有相对完善的信息系统审计规范，信息系统审计还处于依附财务审计的状态。在遵从SOX法案的过程中，尤其是在规范企业管理方面，信息系统起着极为重要的作用，因此，信息系统审计与内部管理审计相融合成为历史的必然（时现、李庭僚，2009），过渡依赖财务审计的信息系统审计规范制定模式将得到改善。

（三）受到ERP发展路径的影响

自1990年，美国甘特公司提出ERP概念以来，我国也开始致立于该方面的研究。但我国ERP软件的发展路径有别于国外，尤其是首次提出ERP概念的美国。美国ERP 软件遵循财务业务一体化的思路，财务子系统与业务子系统是ERP软件不可分离的重要组成部分。我国ERP软件是以总账子系统为核心，根据企业经营管理的需要不断加入销售与收款循环子系统、采购与付款循环子系统、生产循环子系统等，并没有完全按照ERP思想设计软件。因此，我国信息系统审计首先也是对会计信息系统的影响，而后才开始涉足业务系统的审计活动。信息系统审计规范的制定也必然会采用“财务审计导向”的模式。

图1 美国信息系统审计规范体系

四、国外信息系统审计规范制定模式的借鉴与启示

（一）国外信息系统审计规范体系

国外计算机辅助审计和信息系统审计起步较早，早在上世纪50年代美国政府就开始探索信息系统审计。经过近60多年的发展，国外形成了较为完善的信息系统审计规范体系（如图1所示）。

国外信息系统审计规范的体系包括信息系统审计准则和会计信息系统审计准则。会计信息系统审计准则由国际会计师联合会（IFAC）下属的国际审计实务委员会（IAPC）制定，其目的是指导注册会计师开展会计信息系统审计，以确保财务报表审计结果的可靠性。信息系统审计准则包括国际内部审计师协会（IIA）和国际信息系统审计协会（ISACA）。IIA发布GAIT和GTAG旨在解决董事会和高级经理所关心信息系统审计问题，便于外部信息系统审计人员与董事会以及高级经理进行沟通。ISACA审计准则由国际信息系统审计协会制定。ISACA所颁布的信息系统审计准则不仅仅是为了满足更好地进行财务审计的需要，这也决定了在执行信息系统审计时所涵盖的范围广泛。如，2001年澳大利亚联邦政府互联网安全的审计，2003年多伦多审计局对该市政府的ORACLE数据库安全问题进行了审计，加拿大审计署对2002年加拿大政府IT安全审计的后续审计等，这些信息系统审计实践不是依附于财务审计的信息系统审计，而是完全意义上的信息系统审计。这同我国信息系统审计出于“真实、合法、效益”的审计目标相比，信息系统审计的范围扩大了许多。

（二）国外信息系统审计规范制定模式的借鉴与启示

总体来讲，国外信息系统审计规范制定模式并没有完全采用“财务审计导向”的规范制定模式，而是混合采用“财务审计导向”和“业务审计导向”的规范制定模式。IFAC制定审计规范的目的在于规范财务审计行为，因此，IFAC采用了“财务审计导向”的规范制定模式，而ISACA和IIA则将信息系统混合采用了上述两种模式，其制定的信息系统审计规范不仅可以用于指导审计人员审计财务信息系统，也可以用于指导审计人员审计非财务信息系统。国外信息系统审计规范还呈现如下两方面的特点：

1.信息系统审计规范来源于审计实践

ISACA的基本准则自1997年7月25日后陆续生效，审计指南自1998年6月1日后陆续生效，审计程序自2002年7月1日后陆续生效。虽然ISACA基本准则生效的最早时间为1997年7月25日，但这并没有妨碍美国的信息系统审计实践。例如，美国审计署1996年11月对美国联邦存款保险公司时间和出勤处理系统进行了审计，并出具了审计报告。在此次审计实践中，审计人员有明确的审计目标、审计范围等，这与ISACA后来所颁布的基本准则——审计计划（S5）中的规定基本一致，即在S5中要求“信息系统审计师必须起草并以书面形式记录一份审计计划书，详述审计目标及其性质、审计时间和范围、以及所需相关资源”。同时，美国审计署还针对美国联邦存款保险公司时间和出勤处理系统的开发情况，提出了系统开发需要完善的流程，并在1998年再次对美国联邦存款保险公司中止开发时间和出勤处理系统的具体情况进行了审计。美国审计署对该项目的后续跟踪也蕴涵着ISACA所颁布的基本准则——后续工作（S8）的基本思想，即在报告审计发现和建议后，信息系统审计师必须获取和评估相关信息，对管理层是否已及时采取恰当的措施做出结论。虽然不能说ISACA所颁布的基本准则、审计指南和作业程序全部来自于审计实践，但可以肯定的是，ISACA所颁布的准则中部分来自于信息系统审计实践，这是值得我国借鉴的，在完善信息系统审计规范体系的过程中，除了借鉴国外先进的信息系统审计规范之后，还以从国家审计、注册会计师审计以及内部审计的实践中发掘有价值的审计规范，使其成为信息系统审计规范的成文法典，引导和约束信息系统审计行为。

2.权威的信息系统审计规范是信息系统审计成功实践的指南

国外信息系统审计规范体系虽然不存在成熟的信息系统审计质量控制准则，却有着相对完善的信息系统审计准则、指南和作业程序。从TALLAHASSEE市审计局对本市局域网逻辑安全审计的案例、多伦多审计局2003年对该市政府的Oracle数据库安全问题审计的案例以及美国审计署2000年关于SBA财务管理信息安全审计的案例等可以看出，审计组在整个审计过程中有明确的审计目标、审计范围、审计方法，同时审计组还根据审计过程中发现的问题提出有建设性的改进意见。管理层在整个审计过程中也并非置身事外，在审计工作开始阶段与审计组人员交换意见，介绍现有的逻辑进入控制，提出认为还需要改进的方面；在后续审计阶段，根据审计组所提的建议进行整改，并将整改结果回复给有关信息系统审计部门。在整个审计过程中，ISACA的审计准则、审计指南与作业程序都能为其提供从审计计划、实施、审计报告和后续审计方面的指导，如在审计过程中，审计组成员要进行薄弱点评价，而ISACA所颁布的作业程序——安全性评估-穿透测试和弱点分析（P8）可以引导审计人员进行薄弱点分析，而不至于让审计人员在审计过程中处于无序状态。

图2 信息系统审计协会组织际关系图

（三）缺陷：信息系统审计质量控制准则亟待发布

审计质量是信息系统审计的生命，审计质量达不到规定要求，信息系统审计较强的技术性也使得没有人敢去相信经审计人员审计过的信息系统是质量好的信息系统。健全完善的质量控制制度是保证信息系统审计人员遵守法律法规、职业道德规范以及信息系统审计程序的保障。国外的财务审计质量控制准则相对于信息系统审计的质量控制准则而言是比较完善的，信息系统审计的质量控制准则，除了在ISACA所颁布的审计指南——审计章程（G5）中有粗略的阐述之外，还基本上处于空白状态。信息系统审计较强的技术性决定了审计人员掌握的信息会优于委托人，更容易导致审计师在审计过程中与被审计机构勾结欺骗委托人，被审计过的信息系统并不一定会被认可为质量好的信息系统，会产生高质量的信息，内部没有嵌入非法的内部控制规范等等。从而失去对信息系统审计的信任。为确保信息系统审计的质量，审计规范制定机构不仅仅要制定信息系统审计准则，而且还要加快制定信息系统审计质量控制准则的步伐。

五、我国信息系统审计规范制定模式改革的政策建议

（一）改变“财务审计导向”信息系统审计规范制定的单一模式

“财务审计导向”信息系统审计规范制定的单一模式是特殊历史条件下的产物，是财务审计占主导地位下的产物。随着财务欺诈向业务端前移，业务系统的审计变得越来越重要，忽视业务系统的审计将直接影响财务审计结果的可靠性。因此，有必要改变当前“财务审计导向”的信息系统审计规范制定模式，混合采用“财务审计导向”和“业务审计导向”的信息系统审计规范制定模式。结合国家审计、内部审计和注册会计师审计目标、人力资源等等，国家审计署、中国内审协会以及中注协在制定信息系统审计准则时，可以采用“财务审计导向”的信息系统审计规范制定模式，以满足其会计信息系统审计的需求，但专门的信息系统审计准则制定机构应当混合采用“财务审计导向”和“业务审计导向”两种模式。此外，为避免审计规范资源的浪费，国家审计署、中国内审协会以及中注协应当加强沟通与协调工作，互相承认其所制定的信息系统审计规范。

（二）加强资源整合，成立专门的信息系统审计规范制定机构

国外信息系统审计规范体系的完善得益于其存在专门的信息系统审计准则制定机构ISACA，而我国并没有专门的信息系统审计规范制定机构，信息系统审计规范分别由国家审计署、中国内审协会和中注协制定。上述三家机构的性质就决定了其不能完全致立于信息系统审计规范的完善与发展。因此，为完善我国信息系统审计规范的制定，应加强信息系统审计规范制定资源的整合。这种资源整合包括两个方面：

1.整合信息系统审计规范制定的人力、物力与财务，成立专门的信息系统审计规范制定机构。

从国家审计署、中国内审协会和中注协抽调信息系统审计规范制定的资源，成立类似ISACA的信息系统审计规范制定机构（刘杰、黄忠莉，2013）。从中注协、国家审计署和中国内部审计协会抽调信息系统审计规范制定资源能在一定程度上满足审计规范制定的需要，但距离制定一个相对较为完善的信息系统审计规范体系还是远远不够的，这还需要信息系统审计规范制定机构吸引外部信息系统审计人才，尤其是参与制定ISACA信息系统审计规范的人才。

2.整合现有与信息系统审计相关的规范，同时借鉴国外信息系统审计准则和国内先进的信息系统审计实践经验，制定与发布适合中国国情的信息系统审计规范。

制定机构发布的信息系统审计规范应包括两个方面，即一方面发布用于指导信息系统审计人员的信息系统审计准则，另一方面发布用于指导企事业单位和政府组织内部管理人员或高级审计人员的信息系统审计准则。此外，我国在信息系统审计规范体系的构建方面，应当按照信息系统审计职业道德规范、信息系统审计准则和信息系统审计质量控制准则的架构构建信息系统审计规范体系，以规避信息系统审计制定质量控制准则的弊端。

作者单位：贵州财经大学会计学院

1.IAPS1001, IT Enviroments—Stand-alone Personal Computers [Z]．IFAC，2001．

2.IAPS1002, IT Enviroments—On-line Computer Systems [Z]．IFAC，2001．

3.IAPS1003, IT Enviroments—Database Systems [Z]．IFAC，2001．

4.IAPS1008, Risk Assessments and Internal Control—CIS Characteristics and Considerations [Z]．IFAC, 2001．

5.IAPS1009，Computer-Assisted Audit Techniques [Z]．IFAC, 2001．

6.ISA401Auditing in a Computer Information Systems Evironment[Z]．IFAC．1994

7.IIA．Data Processing Audit Practices Report, Systems Auditability & Control [R]．Institute of Internal Auditors, Altamonte Springs, FL., 1977．

8.张毅．电算化会计信息系统的审计.财经研究.1989（05）

9.刘汝焯等编著．计算机审计情景案例.清华大学出版社.2006

10.陈婉玲，杨文杰．ISACA信息系统审计准则及其启示.审计研究.2006年增刊

11.刘杰，黄忠莉．中国信息系统审计规范制定的组织际资源整合问题研究.财会朋刊.2013（14）