浅议信息系统审计实践中的法规准则困境
白永新(江苏省扬州市审计局)
一、信息系统审计实践中审计法规准则的现况
(一)我国信息系统审计相关法规准则的现状
我国在传统审计业务方面已经建成了一套比较成熟规范的法规、准则体系,但在信息系统审计方面还没有形成系统的法规、准则和技术标准体系。
1.国内已颁布制定的信息系统审计相关法律、法规
(1) 第十届全国人民代表大会常务委员会2006年修正的《中华人民共和国审计法》第三十二条。
(2) 国务院1997年颁布的《中华人民共和国审计法实施条例》第三十条。
(3) 审计署1996年颁布了《审计机关计算机辅助审计方法》。
(4) 中国注册会计师协会1999 年颁布了《独立审计具体准则第 20 号——计算机信息系统环境下的审计》。
(5) 审计署2000年《审计机关审计证据准则》第三条明确规定被审计单位电子数据资料属审计证据。
(6) 国务院办公厅2001年颁发了《关于利用计算机信息系统开展审计工作有关问题的通知》。
(7) 江苏省政府办公厅2002年转发《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》的通知。
(8) 中国内部审计协会2008年颁布了《内部审计具体准则第28号——信息系统审计》。
2.国内信息系统审计可参照的相关信息技术法规、标准
(1) 《中华人民共和国保守国家秘密法》
(2) 《中华人民共和国计算机信息系统安全保护条例》
(3) 《计算机信息系统安全保护等级划分准则》以及与之配套的《计算机信息系统安全保护等级划分准则应用指南》和《计算机信息系统安全保护等级评估准则》。
(4) 《国家信息化领导小组关于加强信息安全保障工作的意见》
(5) 《关于加强信息安全保障工作中保密管理的若干意见的通知》
(6) 《信息安全等级保护管理办法》
(7) 《计算机信息系统安全专用产品检测和销售许可证管理办法》
(8) 《银行业金融机构信息系统风险管理指引》
(9) 《信息系统通用安全技术要求、网络基础安全技术要求、操作系统安全技术要求》等国标技术标准。
3.审计署对信息系统审计相关法规、准则的规划及研究
(1) 金审工程一期的标准规范建设中明确了“制定金审工程需要的审计准则、审计操作指南、审计机关、审计事项等标准。”
(2) 审计署在《2003至2007年审计信息化发展规划》中就明确提出要积极探索信息系统审计。
(3) 审计署在《2008至2012年审计工作发展规划》中提出“加强审计信息化制度建设和规范建设。建立健全计算机审计标准规范,总结形成计算机审计方法体系和操作制度体系”。
(4) 审计署在《2009至2010年9项重点科研课题》中将“信息系统审计指南,定向委托审计署计算机技术中心”进行研究。
(二)国外信息系统审计的相关准则
美国 EDP 审计师协会 1984 年发布的《EDP 控制的目标》及1987 年发布了《信息系统审计的基本准则》,日本通产省在 1985 年发表了《IT 审计标准》,美国的可信计算机系统评估准则(TCSEC),以及英国、法国、德国和荷兰共同提出的《信息技术安全评估准则》( ITSEC),基梅隆大学软件工程协会发布的能力成熟度集成模型CMMI(Capability Maturity Model Integration。
(三)国内现有法规、标准的缺陷和不足
1.现有的部分法规、标准只是在计算机审计的基础方面进行了一些简单的规定,没有实质性的解决方案,在审计实践中很难推广。
2.对会计信息系统外的管理和决策系统的审计,授权不明确严重影响信息系统审计工作的开展。
3.信息系统法规、审计准则和审计指南的缺失,不利于规范和指导信息系统审计实践,不利于衡量和评价信息系统审计工作质量,也不利于防范和规避信息系统审计风险。
4.审计准入标准缺失,审计水皮参差不齐,信息系统审计人员总体审计能力不强。
二、构建信息系统审计的法规准则保障体系
信息系统审计发展到一定阶段,必须将实践经验加以总结,并把有关概念、工作流程和技术方法固定、统一起来,形成法规、准则及指南,这是信息系统审计进一步发展的基础,这也是所有行业发展的共同规律。没有标准和规范,所有的实践活动只能局限在低水平上重复。目前我国尚没有一套完整的、成熟的信息系统审计法规,也缺少具备实际指导意义的相关审计准则和操作指南。
(一)加快制定和修改适应信息系统审计需要的法律法规
1.明确信息系统审计中的权利与义务
要在法律法规上进一步明确信息系统审计中审计机构的权力,如有权审查被审计算机的信息系统的功能与安全措施,有权利用网络和审计软件进行审计,明确被审计单位的责任和的义务如被审单位应对审计人员的信息系统审计给予哪些协助。
2.明确审前调查为一个审计阶段
考虑到实践中审前调查需要做大量的数据分析工作,为突出其作可否以实施实际的数据分析为标准将审计阶段接划分为四个阶段,即审计准备阶段、审前调查阶段、审计实施阶段和审计报告阶段。
3.明确电子数据审计证据的法律效力
目前审计要求被审计单位将计算机记录的数据都要打印到纸张上,并由签章,方可作为审计的法律依据。应尽快制定电子会计数据作为与纸张记载的数据具有同等法律效力的法律。同时对审计对象的电子数据,进行的转换、清理和验证,建立审计中间表等过程中出现的数据采集转换风险应加以定义。
4.明确信息系统审计程序代码复核制度
在审计机关内部设立计算机程序复核部门,由其对数据计算方法和数据处理流程进行审核,以确保程序编制科学合理,据之得出的审计数据可靠无误,可以作为审计证据使用。
(二)尽快建立信息系统审计准则和指南
在建设信息系统审计准则体系时,对国际上已有的成文准则、习惯做法、专业术语,应当尽可能与国际惯例保持一致,尽量做到与国际惯例接轨。可以采用三个层次体系结构,以基本准则为核心,统领具体准则和执业指南,从而使整个准则体系不断扩展与完善。
1.信息系统审计基本准则可主要包括:信息系统审计内容、信息系统审计独立性、信息系统审计职业道德、信息系统审计准入等方面。
2.具体准则在基本准则的指导下可还包含以下内容:
(1)信息系统环境及系统开发过程的准则,如对硬件、软件、系统的安全性和可靠性及合法性,系统的开发过程、运行控制及维护控制的审查等。
(2)信息系统内部控制评价的准则,如对操作范围控制、人员权限控制、合法性控制、校验控制及预防出错控制系统,进行符合性测试及评价。
(3)信息系统输入输出及处理的档案和数据的符合性和实质性测试准则,对其可靠性、完整性、合法性、有效性、全面性的审查和评价。
(4)信息系统审计证据的准则,确定取得审计证据的时间、审计证据样本的大小等。
(5)信息系统审计保密准则,明确信息系统审计方式下的审计人员承担保密责任,有针对性地制定电子数据保密规范,与被审计单位形成互有权责义务的保密协议,避免审计风险,增强审计效果。
3.指南可以包含,信息系统审计计划、信息系统审计的重要性、信息系统审计的风险评估办法、信息系统审计取证、信息系统审计抽样、信息系统控制、应用系统评审办法、信息系统审计报告等。
(三)建立健全信息系统审计标准
从国际信息系统审计的实践看,COBIT标准已经逐步成为通行准则。我们应遵循国际标准或规范,以COBIT标准为核心,同时借鉴ISO/IEC17799、ITIL、PRINCE2、COSO、SOX法案等其他国际标准和原则,进而确立适合自己的信息系统审计标准。包括审计人员应具有的能力、应掌握的技能、应参加的培训、现场作业标准等。
三、构建信息系统审计的法规准则保障体系的意义
(一)在信息系统审计中进一步强化以《宪法》为根本依据,以审计法及其实施条例为核心内容,以审计准则等规章为基础的审计法律法规体系。
(二)按照信息系统审计自身发展规律,不断完善现有的审计法律法规体系和准则体系,以新的体系指导和规范信息系统审计的实践以及解决审计活动中出现的新情况、新问题和新纠纷。
(三)坚持审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则,提高审计质量和效率,降低审计风险。
(四)坚持独创与沿袭传统相统一,充分利用和维护已有的适应于审计的维系共同利益的法律体系,充分体现审计独立性,确保信息系统审计将更加规范,更有保障。
(一)我国信息系统审计相关法规准则的现状
我国在传统审计业务方面已经建成了一套比较成熟规范的法规、准则体系,但在信息系统审计方面还没有形成系统的法规、准则和技术标准体系。
1.国内已颁布制定的信息系统审计相关法律、法规
(1) 第十届全国人民代表大会常务委员会2006年修正的《中华人民共和国审计法》第三十二条。
(2) 国务院1997年颁布的《中华人民共和国审计法实施条例》第三十条。
(3) 审计署1996年颁布了《审计机关计算机辅助审计方法》。
(4) 中国注册会计师协会1999 年颁布了《独立审计具体准则第 20 号——计算机信息系统环境下的审计》。
(5) 审计署2000年《审计机关审计证据准则》第三条明确规定被审计单位电子数据资料属审计证据。
(6) 国务院办公厅2001年颁发了《关于利用计算机信息系统开展审计工作有关问题的通知》。
(7) 江苏省政府办公厅2002年转发《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》的通知。
(8) 中国内部审计协会2008年颁布了《内部审计具体准则第28号——信息系统审计》。
2.国内信息系统审计可参照的相关信息技术法规、标准
(1) 《中华人民共和国保守国家秘密法》
(2) 《中华人民共和国计算机信息系统安全保护条例》
(3) 《计算机信息系统安全保护等级划分准则》以及与之配套的《计算机信息系统安全保护等级划分准则应用指南》和《计算机信息系统安全保护等级评估准则》。
(4) 《国家信息化领导小组关于加强信息安全保障工作的意见》
(5) 《关于加强信息安全保障工作中保密管理的若干意见的通知》
(6) 《信息安全等级保护管理办法》
(7) 《计算机信息系统安全专用产品检测和销售许可证管理办法》
(8) 《银行业金融机构信息系统风险管理指引》
(9) 《信息系统通用安全技术要求、网络基础安全技术要求、操作系统安全技术要求》等国标技术标准。
3.审计署对信息系统审计相关法规、准则的规划及研究
(1) 金审工程一期的标准规范建设中明确了“制定金审工程需要的审计准则、审计操作指南、审计机关、审计事项等标准。”
(2) 审计署在《2003至2007年审计信息化发展规划》中就明确提出要积极探索信息系统审计。
(3) 审计署在《2008至2012年审计工作发展规划》中提出“加强审计信息化制度建设和规范建设。建立健全计算机审计标准规范,总结形成计算机审计方法体系和操作制度体系”。
(4) 审计署在《2009至2010年9项重点科研课题》中将“信息系统审计指南,定向委托审计署计算机技术中心”进行研究。
(二)国外信息系统审计的相关准则
美国 EDP 审计师协会 1984 年发布的《EDP 控制的目标》及1987 年发布了《信息系统审计的基本准则》,日本通产省在 1985 年发表了《IT 审计标准》,美国的可信计算机系统评估准则(TCSEC),以及英国、法国、德国和荷兰共同提出的《信息技术安全评估准则》( ITSEC),基梅隆大学软件工程协会发布的能力成熟度集成模型CMMI(Capability Maturity Model Integration。
(三)国内现有法规、标准的缺陷和不足
1.现有的部分法规、标准只是在计算机审计的基础方面进行了一些简单的规定,没有实质性的解决方案,在审计实践中很难推广。
2.对会计信息系统外的管理和决策系统的审计,授权不明确严重影响信息系统审计工作的开展。
3.信息系统法规、审计准则和审计指南的缺失,不利于规范和指导信息系统审计实践,不利于衡量和评价信息系统审计工作质量,也不利于防范和规避信息系统审计风险。
4.审计准入标准缺失,审计水皮参差不齐,信息系统审计人员总体审计能力不强。
二、构建信息系统审计的法规准则保障体系
信息系统审计发展到一定阶段,必须将实践经验加以总结,并把有关概念、工作流程和技术方法固定、统一起来,形成法规、准则及指南,这是信息系统审计进一步发展的基础,这也是所有行业发展的共同规律。没有标准和规范,所有的实践活动只能局限在低水平上重复。目前我国尚没有一套完整的、成熟的信息系统审计法规,也缺少具备实际指导意义的相关审计准则和操作指南。
(一)加快制定和修改适应信息系统审计需要的法律法规
1.明确信息系统审计中的权利与义务
要在法律法规上进一步明确信息系统审计中审计机构的权力,如有权审查被审计算机的信息系统的功能与安全措施,有权利用网络和审计软件进行审计,明确被审计单位的责任和的义务如被审单位应对审计人员的信息系统审计给予哪些协助。
2.明确审前调查为一个审计阶段
考虑到实践中审前调查需要做大量的数据分析工作,为突出其作可否以实施实际的数据分析为标准将审计阶段接划分为四个阶段,即审计准备阶段、审前调查阶段、审计实施阶段和审计报告阶段。
3.明确电子数据审计证据的法律效力
目前审计要求被审计单位将计算机记录的数据都要打印到纸张上,并由签章,方可作为审计的法律依据。应尽快制定电子会计数据作为与纸张记载的数据具有同等法律效力的法律。同时对审计对象的电子数据,进行的转换、清理和验证,建立审计中间表等过程中出现的数据采集转换风险应加以定义。
4.明确信息系统审计程序代码复核制度
在审计机关内部设立计算机程序复核部门,由其对数据计算方法和数据处理流程进行审核,以确保程序编制科学合理,据之得出的审计数据可靠无误,可以作为审计证据使用。
(二)尽快建立信息系统审计准则和指南
在建设信息系统审计准则体系时,对国际上已有的成文准则、习惯做法、专业术语,应当尽可能与国际惯例保持一致,尽量做到与国际惯例接轨。可以采用三个层次体系结构,以基本准则为核心,统领具体准则和执业指南,从而使整个准则体系不断扩展与完善。
1.信息系统审计基本准则可主要包括:信息系统审计内容、信息系统审计独立性、信息系统审计职业道德、信息系统审计准入等方面。
2.具体准则在基本准则的指导下可还包含以下内容:
(1)信息系统环境及系统开发过程的准则,如对硬件、软件、系统的安全性和可靠性及合法性,系统的开发过程、运行控制及维护控制的审查等。
(2)信息系统内部控制评价的准则,如对操作范围控制、人员权限控制、合法性控制、校验控制及预防出错控制系统,进行符合性测试及评价。
(3)信息系统输入输出及处理的档案和数据的符合性和实质性测试准则,对其可靠性、完整性、合法性、有效性、全面性的审查和评价。
(4)信息系统审计证据的准则,确定取得审计证据的时间、审计证据样本的大小等。
(5)信息系统审计保密准则,明确信息系统审计方式下的审计人员承担保密责任,有针对性地制定电子数据保密规范,与被审计单位形成互有权责义务的保密协议,避免审计风险,增强审计效果。
3.指南可以包含,信息系统审计计划、信息系统审计的重要性、信息系统审计的风险评估办法、信息系统审计取证、信息系统审计抽样、信息系统控制、应用系统评审办法、信息系统审计报告等。
(三)建立健全信息系统审计标准
从国际信息系统审计的实践看,COBIT标准已经逐步成为通行准则。我们应遵循国际标准或规范,以COBIT标准为核心,同时借鉴ISO/IEC17799、ITIL、PRINCE2、COSO、SOX法案等其他国际标准和原则,进而确立适合自己的信息系统审计标准。包括审计人员应具有的能力、应掌握的技能、应参加的培训、现场作业标准等。
三、构建信息系统审计的法规准则保障体系的意义
(一)在信息系统审计中进一步强化以《宪法》为根本依据,以审计法及其实施条例为核心内容,以审计准则等规章为基础的审计法律法规体系。
(二)按照信息系统审计自身发展规律,不断完善现有的审计法律法规体系和准则体系,以新的体系指导和规范信息系统审计的实践以及解决审计活动中出现的新情况、新问题和新纠纷。
(三)坚持审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则,提高审计质量和效率,降低审计风险。
(四)坚持独创与沿袭传统相统一,充分利用和维护已有的适应于审计的维系共同利益的法律体系,充分体现审计独立性,确保信息系统审计将更加规范,更有保障。
| 【关闭】 【打印】 |
