《国际信息系统审计与控制协会基本准则分析》由会员分享,可在线阅读,更多相关《国际信息系统审计与控制协会基本准则分析(18页珍藏版)》请在金锄头文库上搜索。
1、 精选公文范文管理资料 国际信息系统审计与控制协会基本准则分析审计规范的完善程度可以反映一个国家审计理论研究的先进程度,这对信息系统审计准则也同样适用。自2008年中国内部审计协会颁布内部审计具体准则第28号-信息系统审计以来,我国信息系统审计准则的制定基本上处于停滞阶段。在信息系统审计准则的制定方面,仅仅是在2013将内审28号准则修改为第2203号内部审计具体准则-信息系统审计,内容没有进行大的修改。上述现象的出现,笔者认为同信息系统审计基本准则的缺失息息相关。基本准则是审计指南和审计程序制定的基础,是准则的准则,基本准则的优劣直接关系着审计准则体系的完善。到目前为止,我国信息系统审计准则
2、体系依赖的基本准则主要是财务审计的基本准则,属于财务审计准则制定的附属品,与信息系统审计相关的准则都零星地散落于注册会计师审计准则、政府审计准则和内部审计准则中,没有形成一套逻辑严密的信息系统审计准则体系。因此,本文拟对国际信息系统审计与控制协会(InformationSystems Audit and Control Association,以下简称ISACA)的基本准则进行分析和解读,提出我国信息系统审计基本准则制定与完善的思路与政策建议。一、ISACA信息系统审计基本准则现状ISACA主要致立于信息系统审计准则的制定与发布工作,截止2013年12月,ISACA 共发布了16项基本准则、4
3、1项审计指南和11项作业程序,这些规范层次清晰,可操作性强。ISACA的信息系统审计准则体系类似于注册会计师审计准则体系,ISACA的信息系统审计准则体系由基本准则、审计指南和作业程序构成,此框架为信息系统审计人员执业提供了多层次的指引。虽然ISACA成立于1969年,但其基本准则的制定经历了一段很长的时间,至1997年才发布信息系统审计基本准则,包括审计章程、独立性、职业道德和准则、职业技术、审计计划、实施审计工作、报告和后续工作八个部分,该准则于1997年7月25日开始生效。随着审计指南与作业程序的制定与发布以及对信息系统审计基本准则可扩展性的考虑,ISACA于2005年将1997年所发布
4、的信息系统审计准则拆分为八个基本准则,并对原有内容根据信息技术发展状况进行了修订。同时,于2005年9月之后陆续发布了S9到S16等其它八个基本准则。二、ISACA信息系统审计基本准则解读信息系统审计基本准则是信息系统审计准则体系的基础,其完善与否直接关系着整个审计准则体系的完善。ISACA是全球信息系统审计准则制定的领跑者,其在基本准则制定方面存在的诸多优势可供我国制定信息系统审计基本准则借鉴。(一 )基 本准则与审计指南 、 审计程序的关系审计基本准则是ISACA审计准则体系的总纲和基础,对信息系统审计指南和审计程序的制定起着指导作用。ISACA的审计指南与审计程序都是在基本准则的指导下制
5、定或推导出来的,基本准则是审计指南与审计程序制定的基础依据(如图1所示)。同时,根据ISACA审计指南和审计程序的制定情况,将实际制定过程的情况反馈给基本准则的制定过程,对基本准则中的不足之处进行改善,从而实现ISACA信息系统审计基本准则对信息系统审计指南和审计程序的指导作用。信息系统审计人员根据ISACA发布的信息系统审计指南和审计程序开展审计工作,若审计指南和审计程序中没有明确规定的,审计人员可以根据ISACA相关内容的规定开展信息和信息系统审计活动。(二 )信息系统审计基本准则的主要内容ISACA将16项信息系统审计基本准则分为四个部分,包括:(1)审计章程;(2)对注册信息系统审计师
6、职业资格的要求,包括审计人员的独立性要求、职业道德要求和职业能力要求;(3)信息系统审计计划、审计实施、审计报告与后续审计等审计过程;(4)其它信息系统审计规定,包括不正当及非法行为、IT治理、审计计划中风险评估的利用等。在ISACA基本准则中,审计章程是对信息系统审计人员的职能、责任、权力以及义务进行规范,独立性、职业道德和标准和专业胜任能力则是对信息系统审计人员的要求,信息系统审计计划、审计实施、审计报告和后续审计对信息系统审计过程进行规范,而其它信息系统审计规定主要是对前三项内容进行后续补充,即ISACA根据审计对象的特殊性,将IT治理、IT控制、电子商务等纳入到基本准则规定的范畴,并对
7、基本准则的相关概念进行补充界定。总体上讲,ISACA在信息系统审计的基本准则方面是比较全面的,从审计职能的责任、权力、义务到信息系统审计工作执行,审计报告的出具,ISACA都做了规定,基本准则不仅考虑到了审计的一般性特点,同时也结合了信息系统审计的独特性。(三 )ISACA信息系统审计基本准则制定模式在基本准则的制定模式方式,ISACA先根据审计工作的一般要求,先颁布S1到S8的基本准则,对审计人员的职业能力以及信息系统审计的程序进行规范,再结合信息系统审计的特点和要求,陆续颁布S9到S16等其它基本准则,以填补先前所颁布的准则的不足或缺陷(如表1)。这种基本准则的制定模式,可扩展性较强,适应
8、信息技术飞速发展的要求,ISACA可根据信息系统审计发展的要求弥补基本准则存在的不足与缺陷。(四 )ISACA信 息系统审计基本准则存在的问题ISACA尽管在基本准则方面的内容比较全面,形成了较为系统的信息系统审计准则体系,但通过深入研究可以发现ISACA的基本准则体系仍存在不足之处。这些不足之处也为我国制定专门的信息系统审计基本准则提供了指导。(1)信息系统审计基本准则包含审计职业道德规范的内容,不利于信息系统审计职业道德规范的发展。在信息系统审计基本准则的制定过程中,ISACA将审计独立性、职业道德以及职业能力等审计职业道德规范一并纳入基本准则中,这三项审计职业道德规范应从基本准则中独立出
9、来。若将审计职业道德规范一并纳入到基本准则之中,不利于建立专门化的信息系统审计职业道德规范体系。信息系统审计职业道德规范同信息系统审计准则处于同样重要的地位,将其纳入信息系统审计基本准则的范畴会降低准则制定机构的重视程度,而将其单独出来有利于建立层次分明,自成体系的审计职业道德规范体系,体现审计职业道德在信息系统审计中的重要性。(2)基本准则没有完整体现信息系统审计理论结构的内容。信息系统审计理论结构是信息系统审计规范制定的理论基础,ISACA所颁布的基本准则没有完整体现信息系统审计理论结构的内容,即没有对信息系统审计进行定义,没有规定信息系统审计本质、审计目标、审计假设、审计质量控制等内容。
10、具有摩尔定律发展速度的信息技术使信息系统变得越来越复杂,网络安全及信息系统安全问题也变得越来越重要。信息系统审计人员在面临新的审计环境时,需要审计规范加以引导和约束,而在信息系统审计基本准则中界定审计的本质、目标、假设以及信息系统审计质量控制等内容有利于正确引导信息系统审计人员的审计行为,界定信息系统审计以及审计范围,可以在飞速发展的信息社会中出现新信息技术问题时不至于使审计人员陷入判断新领域是否属于信息系统审计范畴的境地。审计质量控制是信息系统审计理论的重要组成部分,也是信息系统审计准则的主要构成内容之一。审计质量就是审计活动对公认审计准则或标准的遵循程度。非法使用者出于娱乐、报复或利益等目
11、的而侵入计算机(Palmer,2001),Garg、Curtis和Hapler(2003)估计安全事件对普通的公开上市公司来说,其市场影响占到年销售额的0.5%到1.0%.除了病毒和蠕虫之外,组织还可能遭受DOS攻击,这是21世纪代价第二昂贵的网络犯罪,估计其损失达6500万美元,而新发展的DDOS的威胁很现实,每周有超过4000次的DDOS攻击,新型的DOS正在不断地被制造出来,例如,DROS用伪造的有效数据包冲垮服务器 (Joyce,2002)。Bell实验室的网络研究副总裁Krishan Sabnani表示,最新的DOS攻击将威胁无线网络。审计质量是信息系统审计的基础,没有质量保证的信息
12、系统审计行为,不仅不能为企业信息系统的可靠性、安全性等提供保证,反而会给企业带来更大的损失。在ISACA的基本准则中,尚不存在审计质量控制方面的规定,这有待于ISACA审计准则制定机构完善审计质量控制方面的基本准则,或是单独建立信息系统审计质量控制准则体系。三、对我国信息系统审计基本准则制定的借鉴与启示我国信息系统审计准则的制定尚处于起步阶段,当前颁布的信息系统审计准则主要依附于财务审计准则。无论是在信息系统审计准则的数量上,还是质量上,我国与ISACA发布的信息系统审计体系都存在相当大的差距。这与信息系统审计基本准则的缺失息息相关,信息系统审计基本准则的缺失使得具体审计准则或审计指南、审计程
13、序的制定只能依附于财务审计准则的制定。为加快信息系统审计基本准则建设的步伐,笔者认为应当加快信息系统审计基本准则的制定步伐,借鉴ISACA的信息系统审计基本准则,制定适合我国国情的信息系统审计基本准则,为信息系统审计准则体系的完善奠定基础。(一 )借鉴ISACA的准则制定模式 ,树立以信息系统审计基本准则为导向的审计准则制定理念在信息系统审计基本准则缺失的前提条件下,我国当前的信息系统审计准则只能依附于财务审计准则的制定,不能形成较为完善的信息系统审计规范体系。信息系统审计具体准则也只能由财务审计的基本准则推导出来,信息系统审计准则或规范的颁布主要是考虑到信息技术已经影响到财务报告生产过程,为
14、了更好的进行财务审计,而不是单纯的为制定信息系统审计准则。信息化的浪潮正在席卷社会的各个角落,信息系统已经成为政府、企事业单位不可缺少的组成部分。企业信息化与政务信息化正在逐步扩大信息系统审计的范围,已经超出会计信息系统的范围,信息系统的安全、软硬件以及开发生命周期等都已成为信息系统审计的范围,而且这些审计范围变得越来越重要。因此,我国信息系统审计准则的制定,其审计目标不能再仅仅局限于财务审计的目标,需要一个完善的信息系统审计准则体系为审计人员审计信息系统安全、软硬件以及系统开发生命周期服务。依附于财务审计准则制定模式的转变需要建立属于信息系统审计准则体系构建的基本准则,树立以“以信息系统审计
15、基本准则为导向”的理念,由基本准则推导具体准则、审计指南或审计程序的制定,由基本准则指导具体审计准则缺失的“真空地带”,有效指导信息系统审计人员的审计行为。(二 )在审计署的推动下 ,成立类似 ISACA的信息系统审计准则制定机构到目前为止,我国具有真正意义的信息系统审计准则是中国内审协会颁布的第2203号内部审计具体准则,该准则的基本准则为内部审计基本准则,而内部审计基本准则主要是为了规范内部审计工作,明确内部审计机构和审计人员职责,不是专门针对信息系统审计工作的。因此,中国内部审计协会制定信息系统审计准则,只是为完善内部审计准则体系,而不对信息系统审计准则体系进行系统型的研究。出现这些情况
16、虽然同信息系统审计基本准则的缺失息息相关,但更深层次的原因在于我国没有类似ISACA的信息系统审计准则制定专门机构。我国要建立完善的信息系统审计准则体系,其首要任务在于成立类似ISACA的信息系统审计准则制定组织,由其统一制定与发布信息系统审计的基本准则、具体准则或审计指南、审计程序。ISACA的成立是由同类职业团体组建而成的,在我国类似的职业团体几乎不存在。因此,信息系统审计准则制定机构的成立不能采用ISACA的成立模式,应采取行政的力量或手段推动其成立,由中华人民共和国审计署整合中注协、内审计协会和审计署内部的信息系统审计准则制定资源,成立类似ISACA的信息系统审计组织。这种依靠行政力量的模式,可以在短时期内完成组
