浅论信息系统审计研究论文

【摘要】本文在公司治理和公司管理整合的框架中，全面论述了会计的地位和作用：会计信息系统一方面是联系公司治理系统和公司管理系统的纽带，是治理系统和管理系统得以正常运转的基础；另一方面，会计信息系统的完善及其作用的发挥亦离不开企业内部科学、严密的组织管理和公司治理结构对其的引导和控制。三者之间形戚一互相影响，互相制约的关系。因此，会计改革不能局限于就会讨论会计，而是应站在管理的高度，通过健全公司治理结构和加强企业内部管理来使会计改革取得事半功倍的效果，以最终形成公司治理系统、公司管理系统和会计信息系统良性循环的局面。 【关键词】公司治理系统 公司管理系统 会计信息系统 一、引言： 纵观会计发展历史，会计已经从简单地记录事项并向所有者报告管理者经营业绩的阶段演变到向组织内部和外部的利益相关者提供决策有用信息。会计的目标相应地也从报告解除受托责任拓展到优化配置资源。但是，从我国会计信息质量现状来看，会计在很大程度上不仅没有起到优化资源配置的作用，甚至有时还误导了资源的流向，使投资者的利益受到了损害。会计信息质量不高，与会计人员素质。会计法规和准则等方面均有关系，这方面的研究已有诸多成果。本文试图另辟蹊径，立足公司治理、企业管理、会计信息系统的共生关系，从理论层面揭示会计信息质量是怎样受制于环境并积极地影响这些环境。作者的观点是，会计作为企业管理系统的一部分，它同公司的管理结构和治理结构是密不可分的。在一个管理有序、治理完善的企业中，会计必然运作良好，它为企业内部、外部决策者提供可靠、相关的会计信息。从经验来看，那些提供虚假会计信息的企业一般都在企业管理上比较薄弱，缺乏有效的公司治理结构。笔者进而认为会计信息失真的深层次原因是在于我国许多企业缺乏完善、健全的公司管理系统和有效的公司治理系统。会计职责的履行和作用的发挥离不开企业管理和治理结构，只有将会计置于公司管理和治理系统中加以考虑，才能理解会计在经济生活中的角色和地位，才能找出现实中所存在问题的症结，寻求对症之药。 二、公司治理和公司管理的整合分析摸型 目前，有关公司治理和公司管理的研究存在着两种倾向，即公司治理研究只考虑狭义的公司治理范围，其中主要研究内部监控机制和激励约束机制，而公司管理研究中，又只注意企业外部环境、公司文化、管理风格的影响，而很少把公司管理系统与公司治理系统结合起来综合研究。 其实，公司治理与管理是存在紧密关系的两个方面，按柯克兰和瓦提克（Cochran and Wartick）的研究结论：公司治理与公司管理之间潜在冲突是构成公司治理问题的内容之一，因此公司治理的目标就包括协调公司的治理和公司的管理。[1]治理与管理的区别依赖于经济学上定义股东与管理者关系的企业理论模型：股东拥有企业仅不参与经营管理，股东通过选举董事会作为他们在公司决策中的代理人来监督经营者的行为。据此，公司治理被看成与公司的内在性质、目的和整体形象有关，与该实体的重要性、持久性和诚信责任等内容有关，而公司管理则更多地与具体经营活动有关。可以认为，治理与管理的差别在于：（1）治理的中心是外部的，而管理的中心是内部的;（2）治理是一个计放系统；管理是一个封闭系统；（3）治理是战略导向的，管理是任务导向的。简言之，公司治理关心的是“公司向何处去”的问题，而公司管理关心的是“怎样使公司达到上述目标”的问题。同时，企业治理和管理又是密不可分的。公司治理和管理都可能直接对公司管理运作过程产生影响，但在通常情况下，公司治理系统主要是通过影响公司管理系统来达到间接影响公司管理运作的目的和提高公司的管理效率与管理效益的。在实践中，通常认为专司公司治理的董事会在很大程度上参与了企业管理。特别是在英美等国家的治理结构中，董事长往往又是公司的首席执行官（CEO），许多高层经理又是董事会成员。鉴于公司治理与公司管理这种交叉关系，国外有学者指出应该将公司治理与公司管理综合起来加以研究，并提出了一个描述性模型。我国有学者借鉴其思路，构造了一个公司治理与公司管理的整合分析模型[2]。 公司治理系统由内部监控机制和外部监控机制组成。我国公司法确定阶“三会四权”制衡机制就是典型的内部监督机制。外部监控机制是指一股股东、资本市场、经理市场、产品市场、社会舆论和国家法律法规等外部力量对企业管理行为的监督。 公司管理系统在这里被描述成由三个部分组成：一是企业战略目标与决策系统；二是企业组织结构与组织管理系统；三是企业文化与价值系统。按照著名的麦肯齐企业管理系统的7—S框架（因素包括结构、战略、体制与程序、人员与班子、技能、作风。共同价值）来分析，上述第一和第二部分主要是硬件要素，第三部分主要是软件要素。从控制角度看，在公司管理系统中，决策体制、管理组织体制、管理规程与制度以及会计、审计系统等构成了公司管理的自我调控机制，对企业管理行为形成了内在的和制度化的约束。 模型中还有两个相关的系统。一是企业外部环境系统，这包括政治、经济、社会文化、顾客、供应商。竞争对手、资本市场等因素，它们既影响公司治理系统，又影响公司管理系统，还构成公司治理系统的一部分。二是公司信息网络。它应是公司治理系统和管理系统的共同组成部分和赖以有效运作的基础。强调这一点，对于我国企业现阶段在企业建立有效的治理机制是至关重要的，因为我国很多股份企业治理结构发挥不了作用，除了制度上的缺陷，本身能力差之外，再就是缺少支持有效决策和有效行动的信息。而这些信息常常是企业管理的自我调控系统，特别是会计和审计系统提供的。 三．会计信息系统与公司治理和管理系统 当现代经济已客观地表现为实体经济、货币经济和数字经济的三重世界时，现代企业中的管理信息网络很大程度上就是以数字形式表现出来的会计信息系统[3]。会计是企业管理活动的一部分，它产生于企业管理系统中，以管理当局的名义向外披露会计信息，并对其可靠性、真实性负责。会计亦是公司治理结构中不可或缺的组成部分，公司内、外部利益相关者只有根据会计信息了解并监督企业管理活动，进而作出相关决策。会计信息系统和公司治理和管理系统的关系具体分析如下： （一） 会计信息系统与公司治理系统 公司治理系统由内部监控机制和外部监控机制组成。内部监控机制是主要股东①、董事会、监事会对企业经营者进行监控的机制。在一定情况下内部监控机制是公司治理的主体。它一方面利用企业管理当局披露的会计信息对企业管理者进行约束和激励。另一方面因为内部监控机制的特殊地位，它有义务保证企业的会计系统和审计系统向股东会、董事会、监事会及外界披露提供系统、及时、准确的会计信息。美国公司董事协会在描述董事会职责范围时就认为董事会在检查和监督企业内部管理控制工作方面的作用包括：“辨别董事会对信息的需求，并安排这些信息的及时提供；每年对流向董事的信息进行评价，以确保这些信息的准确性。完整性和合理性。”[4] 外部监控机制包括资本市场、产品市场和经理市场等外部力量对企业管理行为的监督。资本市场起着为通资金提供者和企业间的信息，在企业间配置资源的作用。资本市场上的决策者主要是中小股东和债权人，由于他们不直接监督经营者，因此要求公司向他们提供详细、可靠的财务数据，要求证券市场管理者制定公平交易规则，来规范会计信息的供给。而资本市场发挥作用的前提是企业积极地披露保留的信息，市场又能将企业披露的信息及时地反映出来实现对企业的正确评价。产品市场对企业的监控是通过企业与供应商和顾客之间的“纵向竞争”来实现的。现代企业间既存在竞争又有相互协调。竞争性是产品市场发挥作用的前提。而社会化大生产又要求企业间相互协调合作，保持一种长期稳定的交易关系。在交易过程中，合作双方提出的条件常常会直接影响另一方企业的经营方针和管理方式的具体内容，因此双方都需要全面收集对方的经营状况信息，以决定合作的内容和方式。而这种所需要的经营状况信息很大一部分是来自于企业向外披露的会计信息。在有效的经理市场上，企业经理是一种特殊的人力资本，其价值取决于市场评价，市场评价的标准除了知识、经验以及城信度之外，还有一个关键因素就是经理任期内的经营绩效。经营绩效又主要是通过企业反映财务状况、经营成果、现金流动状况的财务会计信息表现出来的。如果经营绩效良好，经理人员不仅可以获得优厚的回报，其在经理市场的价值也会大大上升，如果经理出现经营劣迹，其价值会一落千丈，最终会影响其职业生涯。综上所述，现代财务会计制度的建立与完善，完全可以看作是会计对现代企业冶钢结构的逐步健全完善而作出的一种积极响应。而有效的审计监督制度，又确保了这种相辅相成关系的正常秩序并发挥积极作用。 （二）会计信息系统与公司管理系统 从以上分析中可以看出，公司治理系统中内外监控机制的有效运作和作用发挥，主要取决于公司的会计信息系统。如果没有可靠、相关的会计信息支撑，董事会、监事会及外部监控机制的任何决策都可能盲目无效。为此，有必要在企业管理层面上，将产生并保证真实可靠的会计信息的系统称之为公司管理系统的自我调控机制。它从企业有效管理的角度在财务上对内部管理进行控制，主要强调管理行为与法规制度的一致性以及可靠财务信息的畅通。公司治理系统的重要功能之一就是确保公司内部存在一个有效运作的自我调控机制，这是达到公司目标的必要保障。 什么是公司管理的自我调控机制呢？美国管理会计协会（CIMA）的定义是：它是这样一个整体系统，由管理者建立的，旨在以一种有序的和有效的方式进行公司的业务，确保其与管理政策和规章的一致，保护资产、尽量确保记录的完整性和正确性[5]。因此公司管理的自我调控机制主要是指企业的会计系统和内部审计系统。完全可以认为，现代管理会计内部审计制度的确立并发挥日益显著的作用，是现代会计适应现代企业管理发展而作出的应对措施。实际上，公司管理系统中的一些硬件要素也构成了一定的约束控制作用。这些硬件包括（1）决策控制机制；（2）管理组织体制；（3）管理制度。它们与内部会计、审计系统一起构成了公司管理的自我调控机制。

信息系统审计与传统审计的区别

科技的迅猛开展曾经给整个社会的经济管理活动形成了宏大影响。信息系统审计是在原来传统审计的财务审计和管理审计根底上，由于科学技术向经济管理范畴的浸透而产生的。但是，到目前为止，信息系统审计在实质上并不是独立于财务审计和管理审计的第三大审计分支，而是其中的一类审计形态，其缘由在于网络环境的复杂性、实践操作的复杂性、与传统审计的交融水平等要素都限制着信息系统审计的开展，本文旨经过比拟，将两者有机分离，从而进步信息系统审计质量，拓展信息系统审计技术办法在企业审计中应用的深度和广度，促进企业在审计上的革新。

一、 信息系统审计与传统审计在重大方面上是一致的

（一） 信息系统审计体系与传统审计体系构造根本一致

传统审计体系在逻辑构造上具有较强的紧密性，“根本原则―详细原则―实务指南”是由笼统到详细的逻辑规则，这是会计原则、注册会计师鉴证业务原则等专业规范标准的常用构造，这使审计后续的详细工作便于寻觅相应的原则条款，为审计工作提供便利之处。信息系统审计所表述的“规范―指南―程序”原则框架在字面上与传统审计体系没有太大差异。其规范反响了信息系统范畴的纲要性问题，指南是规范的详细化，程序则是一些工作标准，这与传统审计体系的三个层次是逐个对应的。

（二）信息系统审计与传统审计在根本概念及程序上大致一致

“独立性与客观性”、“权威性与公正性”等传统审计的根本概念在信息系统审计中得到了很好的表现。另外，信息系统审计独立于信息系统自身、信息系统相关开发、运用人员，由信息系统审计师根据法律规则，采用客观规范独立行使审计监视权，这与审计的“独立性与客观性”完整相同。同时，国际信息系统审计和控制协会（ISACA）对实行审计制度、树立审计机关以及审计机构的位置和权利都做了明白规则，这样使审计组织具有法律的权威性，其与公正性相辅相成。

二、 信息系统审计详细内容方面存在两点点创新

（一） 信息系统审计的软件测试办法与电子取证办法

审计办法贯串于整个审计过程当中，而不只是存在于某一审计阶段或某个环节。随着信息系统审计系统理论的丰厚与信息系统审计理论的开展，信息系统审计处置运用传统审计的办法外，还大量自创了计算机学科的一些办法为我所用。其中“软件测试办法”是信息系统审计的重要办法之一，较为经典的测试办法是黑盒测试与白盒测试。另外，某些会计数据和其他信息只能以电子方式存在，或只能在某一时点或期间得到①，在信息系统审计时关于这些电子数据的获取极为重要，需求确保信息系统审计人员开掘和搜集充足牢靠的电子证据，最终生成审计报告。

（二） 安全性审计

在传统审计中，关于被审计对象的安全问题鲜有触及，而信息的安全性问题关系到企业的生存与开展，是坚持企业安康可持续开展的重要保证。信息系统审计中关于安全性审计做了细致的标准。安全性审计的主要目的就是检查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实牢靠的信息，因而安全性审计也是真实性审计的前提。

三、完善IT审计体系还应自创传统审计

（一）自创传统审计中的绩效审计，增强其理论可行性

传统审计将审计的真实性、合法性和效益性作为审计的目的。为顺应树立市场经济的需求，审计机关从2001年以前主要从事的真实、合法性审计到90年代初期，审计机关对国有企业的审计开端向检查内部控制和经济效益两方面的延伸，绩效审计的重要性逐渐凸显。②由于IT项目的功用复杂性、构造庞大性、周期延长性，使得IT绩效审计很难精确地评价如此综合性的信息系统项目效果，如何完善信息系统绩效审计在理论上的可行性是摆在我们面前的一项重要任务。

信息系统绩效审计应充沛自创传统绩效审计中的经济性、效果性、效率性特征，盘绕这“三性”停止展开。在“经济性”上，为了以最低的资源消耗取得一定数量和质量的产出，能够经过多方面的改进进步其节约水平。如美国Gartner Group Inc公司研发的ERP系统，其自动化水平很好，从而进步了信息系统绩效审计的科学性与可行性，防止不用要的开支。在“效果性”上，力图在信息系统项目上完成绩效监控动态化，为企业提供丰厚的管理信息，并在企业管理和决策过程中发挥作用，动态监控管理绩效变化，及时反应和纠正呈现的问题。在“效率性”上，进步企业物流、资金流、信息流一体化管理的效率并且要擅长管理信息系统，对信息系统应用价值的完成是IT绩效审计的最重要方面。

（二）自创传统审计的风险管理，发挥其限制性作用

《企业内部控制根本标准》把“应当关注研讨开发、技术投入、信息技术运用等自主创新要素”列为企业辨认内部风险时应当关注的六个要素之一。③随同信息系统而来的风险、利益和时机使得信息系统风险管理成为企业管理的重要内容，也是信息系统审计中应该完善的局部。

自创传统审计关于企业风险管理中风险评价、控制与防备的流程，分离IT风险管理的环境特殊性，程序复杂性和数据多样性等特性，对信息系统审计中的风险管理应依照“辨认信息资产―要挟的量化和定性―评价破绽―改良控制差距―管理剩余风险”的流程停止。首先，辨认组织业务职能并肯定每个流程的信息敏感度。然后辨认流程的每一个组成局部的现有控制措施，按重大水平将控制差距分类。最后，经过风险等级、本钱和有效性的选择，创立风险基准线，以便日后定期重新评价风险所用。

四、总结

经过对信息系统审计与传统审计的比拟研讨，我们发现：在根本内容、程序和体系构造等方面，传统审计与信息系统审计是谐和的。信息系统审计的软件测试办法与电子取证办法上，较传统审计来说更方便且具有先进性。

一、引言

信息系统审计（IS Audit）的概念最早出现于20世纪60年代，会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理，被人们称为EDP审计，这是信息系统审计的早期萌芽。20世纪90年代，信息系统日益复杂，如何保障信息系统的安全、可靠和有效变得越来越重要，信息系统审计开始在美、日、澳、英等国普及起来。2001年，国家审计署将注册信息系统审计师（CISA）考试引入我国，十余年来各行各业都开展了如火如荼的信息系统审计实践。准则是审计工作的基本规范，信息系统审计准则是信息系统审计师共同遵循的标准，对于促进信息系统审计行业发展具有重要意义。日本通产省 （Ministry of Economy Trade and Industry，简称METI）早在1985年就颁布了信息系统审计准则，还成立了日本系统审计师协会 （JSSA）。

美国也成立了信息系统审计与控制协会（ISACA），制定和颁布了一系列信息系统审计准则指南，并在全球

范围内应用推广。我国审计署以实务公告形式颁布了《信息系统审计指南》，中国内部审计协会也以具体准则形式颁布了信息系统审计准则，为规范我国的信息系统审计实践提供了重要参考。然而，由于信息系统审计的技术复杂性，以及我国信息化发展的阶段特征等客观原因，目前我国的信息系统审计理论与实务研究都尚处于百花争放时期，关于信息系统审计对象、范围和目标等基础概念的理解众口不一，更是缺少系统化的信息系统审计准则体系，严重制约了我国信息系统审计行业的发展。

二、信息系统审计概念内涵

信息系统审计概念，国内外尚没有统一定义。美国著名学者Ron A·Weber认为，IS审计是一个获取证据，对信息系统是否能保证资产的安全，数据的完整，以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。该定义得到较为广泛的流传，印度审计署颁布的IT审计手册也采用了该定义。ISACA协会则认为，信息系统审计是一个搜集和评估证据过程，以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息、是否有效使用组织资源以实现组织目标，并建立了有效内部控制体系可以合理保障组织运营和控制目标。日本通产省（METI）在1996年修订了信息系统审计准则，指出信息系统审计是为了信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价，向IT审计对象的最高领导，提出问题与建议的一连串的活动。中国内审协会颁布的《中国内部审计具体准则28号——信息系统审计》中指出，信息系统审计是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。国家审计署颁布的《信息系统审计指南———计算机审计实务公告第34号》认为，信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。

上述定义有差异，也有共同之处，本文从审计目标、审计对象和审计内容这些概念进行了对比分析。

目前学术界和业界对于信息系统审计的对象有较为统一认识，但学者们对审计目标、审计内容的理解存在较大分歧。信息系统审计是源于信息系统和审计理论的新兴交叉学科，观点分歧代表了信息系统审计的不同定位。日本的信息系统审计师考试是一种全国信息处理人员水平考试，因此日本信息系统审计强调对信息技术和软件规划开发等内容的审计，并不提及审计师的专业判断；其它观点多出自审计师视角，审计师们通常更多关注控制与风险，所以审计内容通常是一般控制和应用控制审计等；另外，审计又区分为国家审计，社会审计与内部审计，有着不同业务领域性质与要求，导致各领域对信息系统审计目标理解的多样化。

基于上述讨论，本文提出信息系统审计是审计主体遵循一定标准规范搜集与评估证据，判断信息系统及相关资产的安全性、可靠性和有效性，提出审计意见与建议，促进被审计单位信息系统实现组织目标的行为。从该定义可知，信息系统审计的对象是系统及相关资产，主要包括计算机硬件、软件、网络基础设施、数据、人和相关管理制度。信息系统审计有三大目标：安全性、可靠性和有效性。其中，系统安全性是指信息系统资源是否受到妥善保护，不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。系统可靠性包括三个方面的内涵：硬件、软件和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内，在给定的'控制条件下，硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中，在规定的运行时间内或规定的运行次数下，程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和完整，它取决于系统对数据的处理过程是否准确无误，以及确保数据可靠的控制措施是否有效。系统有效性也有三方而的内涵：一是指信息系统的处理过程是否符介国家法律和有关规章制度的要求（合规性）；二是指信息系统是否能够实现既定的业务目标（效益性）；三是指系统的效率性即系统利用各种资源输出用户所需要信息的及时程度和运行速度。

三、信息系统审计准则国际经验

目前，国际上影响力较大的信息系统审计准则有四个，分别是国际信息系统审计与控制协会（ISACA）、日本通产省信息系统审计标准，以及国际内部审计师协会（IIA）颁布的全球技术审计指南和美国审计总署（GAO）颁布的联邦信息系统控制审计手册。

（一）ISACA的信息系统审计准则体系1994年，电子数据审计师协会（EDPAA）更名为ISACA协会，该协会是目前最有影响力的信息系统审计专业人员的国际性组织。它在全世界许多国家举办注册信息系统审计师（CISA）考试，还制定和颁布信息系统审计准则体系来规范和指导CISA工作。ISACA的信息系统审计准则体系由ISA标准、指南和程序三部分构成。信息系统审计标准是整体准则体系的总纲，是制定指南和程序的基础。审计标准规定了审计章程、独立性、职业道德和胜任能力，以及审计工作执行的基本行为规范，是CISA执行审计业务必须遵循的标准，具有强制性。目前ISACA共颁布了16条审计标准，42项审计指南，为CISA执行审计业务中如何遵守审计标准提供指引，任何偏离指南的行为必须有充分的理由，属于“强烈推荐遵循”。审计程序是依据审计标准与审计指南制定的，为CISA提供审计业务的程序与步骤，类似一种工作范例，并不强制要求。到目前为止有效的ISA程序共有9 项。

（二）日本的信息系统审计准则日本通产省（METI）于1985年发布了信息系统审计准则，1996年进行了修订。该准则由一般标准、执行标准和报告标准三部分组成。一般标准描述了信息系统审计的目标、对象、人员和流程等。执行标准描述了信息系统审计的具体实施内容，强调系统审计师应关注信息系统规划、开发到运行全生命周期各阶段的风险。报告标准描述了信息系统审计结果的收集整理，以及根据审计结论应采取的措施。

（三）IIA的全球技术审计指南（GTAG） 国际内部审计师协会（IIA）的内部审计国际实务准则框架（IPPF）是内部审计规范体系的标杆。IIA非常重视信息系统审计，IPPF在“实务指南”层次用相当篇幅详细规范了信息系统审计的内容与方法。自从2005年发布第1号全球信息技术审计指南（GTAG）指南起至今，IIA已发布了16项信息系统审计指南，内容涉及信息系统控制、应用控制审计、制订IT审计计划、IT项目审计和信息安全治理等等。

（四 ）联邦 信息系统控制审计手册 （FISCAM）2009年美国审计总署（GAO）发布了联邦信息系统控制审计手册（FISCAM），在该手册的指导下，GAO每年还安排若干审计项目对政府部门信息系统控制进行审查评估。FISCAM的IT控制包括一般控制和应用控制。其中一般控制包括：实体安全控制、访问控制、应用软件开发和变更控制、职责分离控制、应急计划；应用控制包括：应用级一般控制、输入控制、处理控制、输出控制、接口控制、数据管理系统控制。FISCAM对以上各类控制的审计程序与步骤进行了详细说明。

ISACA作为专门的信息系统审计与控制协会，建立了较为完整的信息系统审计准则体系，它采用总分式分层体系，16项审计标准是总纲，自2005年发布后基本保持稳定，而42项审计指南一半以上是新增或新修订的，不断更新的审计指南赋予了审计标准新的内涵与外延，审计程序则重在描述审计程序与步骤。日本通产省的审计准则采取一体化形式，整套准则的内容相当于ISACA的审计标准层次。

从准则具体内容上看，日本的信息系统审计师属于计算机行业，其审计标准具有明显信息技术特征，主要规范了信息系统审计目标、审计对象、审计人员资质和审计方法，尤其详细明确了信息系统规划、开发和运行全过程的关键风险点；而ISACA的审计标准更多关注信息系统审计的审计特征，主要规范审计权力责任、审计人员职业道德规范、审计计划、审计证据、审计记录、审计抽样和审计报告等内容。ISACA协会的审计指南与IIA协会的GTAG指南的操作性程度不同，前者类似我国的具体准则，GTAG指南则围绕不同的审计业务详细描述审计工作思路，审计方法、技术与工具等。

从是否强制性要求来看，ISACA协会的准则体系中既包含强制性遵循的审计标准、强烈推荐遵循的审计指南和非强制性要求的审计程序，还包含ISACA制订或编写的出版物以支持实务工作。IIA协会的GTAG指南处于IPPF框架的实务指南层次，属于强烈推荐遵循；美国审计总署GAO颁布的FISACM是非强制性要求的手册，用以指导实务工作。

四、我国信息系统审计准则现状

我国目前颁布的信息系统审计准则规范屈指可数，主要有审计署以实务公告形式颁布的信息系统审计指南，中国内审协会发布的信息系统审计具体准则。

（一）信息系统审计指南为指导和规范国家审计机关组织开展信息系统审计，2012年，审计署发布了《信息系统审计指南———计算机审计实务公告第34号》。该指南在借鉴国外信息系统审计指南的基础上，结合国家审计机关依法审计的法定职能，以及我国目前信息系统审计实践现状，提出了包含应用控制审计、一般控制审计、项目管理审计3大块的信息系统审计内容框架，重点描述了89项审计事项的审计要点。此外，审计署还在2013年出版了与该指南配套的《信息系统审计实务》，针对指南的各审计事项，分别描述了审计目标、审计程序、应取得的资料和常见错弊与定性依据等。

（二）内部审计具体准则第28号———信息系统审计为规范组织内部审计机构及人员开展信息系统审计活动，保证审计质量，中国内审协会颁布了《内部审计具体准则第28号———信息系统审计》，自2009年1月1日起开始实施。该准则对信息系统审计的一般原则、信息技术风险评估、信息系统审计内容、信息系统审计方法，审计报告和后续工作共五个方面的内容进行了规定，明确提出信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。

综合来说，我国目前尚未建立信息系统审计行业协会，审计署发布了信息系统审计指南，属于非强制性要求，更高级别的强制性要求准则尚未发布；内审协会的信息系统审计具体准则虽属于强烈推荐遵循层次，但与IIA协会相比，其信息系统审计准则和相关指南还有极大的丰富与细化空间。总体来看，我国的信息系统审计准则体系缺少系统性与结构性，尚没有建立完整的信息系统审计准则体系。目前，国家审计、社会审计和独立审计都在各自业务领域内开展了一些信息系统审计实践探索，但各界人士对信息系统审计的基本原则与规范还缺少共识，长此以往将给我国信息系统审计行业发展带来混乱。

五、结论

信息系统审计准则是信息系统审计师共同遵循的标准，对促进我国信息系统审计行业发展具有重要意义。首先，从准则制定的社会背景来看，我国的社会信息化水平与美国、日本等国家存在客观的差距，ISACA，IIA和FISCAM等准则指南均基于相对完善的内部控制（IT控制）环境，而我国政府部门、企事业单位的信息化建设正处于飞速发展时期，大部分被审单位的IT控制体系尚在建立之中，如果按照国外规范开展我国信息系统审计，过于理想化的审计意见建议很难得到认同。

第二，从准则的框架结构来说，ISACA，IIA和日本通产省的框架结构，不太符合中国人的理解习惯。ISACA采用的审计标准、指南和程序的三层框架结构，跟我国的内部审计准则体系，注册会计师鉴证业务准则和国家审计准则采用的常用结构也不一样，不太符合我国审计师的认知习惯。

第三，从准则的具体内容来看，由于我国信息系统审计方面的法律法规还非常不完善。目前只有信息系统安全方面颁布了安全保护条例和强制性标准，IT运维服务、外包、信息资源开发利用，信息公开与政务服务等方面尚缺乏充分的审计依据。审计环境决定了我国信息系统审计准则在明确信息系统审计目标、规范信息系统审计内容等方面都需要充分考虑本土国情。但是，国外ISACA，IIA，FISACM等信息系统审计准则指南历经20多年的发展，已形成相对成熟的体系，相关观点已为我国审计师熟识。而且，国家的信息系统审计准则需要在国际舞台上相互交流与合作。

因此，制定我国信息系统审计准则需要遵循的重要原则是：坚持国际化与本土化相结合，既立足本土国情又实现国际接轨。本文借鉴ISACA，IIA和FISCAM等准则指南的优秀经验，参照我国国家审计准则的体系框架，考虑信息系统审计新业务的不同特征，尝试提出如下图1所示的中国信息系统审计准则体系框架。

该框架采用了审计准则、审计指南和实务手册三层结构。审计准则是强制性要求，审计指南是强烈推荐遵循，实务手册是非强制性要求。审计准则分成基本准则和具体准则两层，基本准则可包括五块内容，分别是总则、信息系统审计道德规范、信息系统审计作业准则、信息系统审计质量控制准则和附则。审计指南包括通用指南和专业指南两类，如面向一般信息系统的通用指南，针对电子政务、电子商务和ERP系统的专业指南，或者体现行业信息系统特征（如金融、通信行业）的专业指南等等。指南的内容框架可以采用一般控制和应用控制的基本框架，但在设计具体事项，或者明确审计内容重点时，应充分考虑我国企业或政府部门的信息化发展阶段及当前法律环境。实务手册是审计指南的具体化，详细规范审计内容、审计程序、审计依据、审计技术方法和典型错弊等相关知识点。实务手册可根据审计指南来加以制定，也可以针对某类突出问题（如电子银行、IT外包等）进行特别规范。

为逐步完善我国信息系统审计准则体系，我们建议采取如下策略：首先，以审计署为主导，协调整合中国注册会计师协会、内审协会以及高校的相关专家资源，组建信息系统审计准则研究课题组和专家咨询小组，激发信息系统审计职业界的积极讨论与参与。其次，成立类似ISACA的中国信息系统审计行业协会专门机构，以信息系统审计职业化建设为主线，组织修订与持续完善信息系统审计准则体系；组织信息系统审计师职业教育，提升信息系统审计师职业素质；总结我国信息系统审计优秀经验，积极开展与国外相关协会和政府机关之间的合作与交流。最后，人才是行业持续发展的源泉，也是准则规范有效实施的载体。建议增设我国信息系统审计师职业资格考试，明确我国信息系统审计师应具备的素质、知识与技能以及任职资格，既能保障准则规范的有效实施，也为促进我国信息系统审计行业发展提供人才支撑。

参考文献：

[1]张文秀：《国外信息系统审计规范、国家文化差异与制度移植》，《审计研究》2012年第5期。

[2]石爱中、周德铭、王智玉、杨蕴毅：《信息系统审计实务———中国计算机审计实务报告》，时代经济出版社2012年版。