国际信息系统审计与控制协会基本准则分析.docVIP

国际信息系统审计与控制协会基本准则分析 审计规范的完善程度可以反映一个国家审计理论研究的先进程度，这对信息系统审计准则也同样适用。自2008年中国内部审计协会颁布《内部审计具体准则第28号---信息系统审计》以来，我国信息系统审计准则的制定基本上处于停滞阶段。在信息系统审计准则的制定方面，仅仅是在2013将内审28号准则修改为《第2203号内部审计具体准则---信息系统审计》，内容没有进行大的修改。上述现象的出现，笔者认为同信息系统审计基本准则的缺失息息相关。基本准则是审计指南和审计程序制定的基础，是准则的准则，基本准则的优劣直接关系着审计准则体系的完善。到目前为止，我国信息系统审计准则体系依赖的基本准则主要是财务审计的基本准则，属于财务审计准则制定的附属品，与信息系统审计相关的准则都零星地散落于注册会计师审计准则、政府审计准则和内部审计准则中，没有形成一套逻辑严密的信息系统审计准则体系。因此，本文拟对国际信息系统审计与控制协会（InformationSystems Audit and Control Association,以下简称ISACA）的基本准则进行分析和解读，提出我国信息系统审计基本准则制定与完善的思路与政策建议。 　　 　　一、ISACA信息系统审计基本准则现状 　　 　　ISACA主要致立于信息系统审计准则的制定与发布工作，截止2013年12月，ISACA 共发布了16项基本准则、41项审计指南和11项作业程序，这些规范层次清晰，可操作性强。ISACA的信息系统审计准则体系类似于注册会计师审计准则体系，ISACA的信息系统审计准则体系由基本准则、审计指南和作业程序构成，此框架为信息系统审计人员执业提供了多层次的指引。虽然ISACA成立于1969年，但其基本准则的制定经历了一段很长的时间，至1997年才发布信息系统审计基本准则，包括审计章程、独立性、职业道德和准则、职业技术、审计计划、实施审计工作、报告和后续工作八个部分，该准则于1997年7月25日开始生效。随着审计指南与作业程序的制定与发布以及对信息系统审计基本准则可扩展性的考虑，ISACA于2005年将1997年所发布的信息系统审计准则拆分为八个基本准则，并对原有内容根据信息技术发展状况进行了修订。同时，于2005年9月之后陆续发布了S9到S16等其它八个基本准则。 　　 　　二、ISACA信息系统审计基本准则解读 　　 　　信息系统审计基本准则是信息系统审计准则体系的基础，其完善与否直接关系着整个审计准则体系的完善。ISACA是全球信息系统审计准则制定的领跑者，其在基本准则制定方面存在的诸多优势可供我国制定信息系统审计基本准则借鉴。 　　 　　（一 ）基 本准则与审计指南 、 审计程序的关系审计基本准则是ISACA审计准则体系的总纲和基础，对信息系统审计指南和审计程序的制定起着指导作用。ISACA的审计指南与审计程序都是在基本准则的指导下制定或推导出来的，基本准则是审计指南与审计程序制定的基础依据（如图1所示）。同时，根据ISACA审计指南和审计程序的制定情况，将实际制定过程的情况反馈给基本准则的制定过程，对基本准则中的不足之处进行改善，从而实现ISACA信息系统审计基本准则对信息系统审计指南和审计程序的指导作用。信息系统审计人员根据ISACA发布的信息系统审计指南和审计程序开展审计工作，若审计指南和审计程序中没有明确规定的，审计人员可以根据ISACA相关内容的规定开展信息和信息系统审计活动。 　　　　　　 　　（二 ）信息系统审计基本准则的主要内容ISACA将16项信息系统审计基本准则分为四个部分，包括：（1）审计章程；（2）对注册信息系统审计师职业资格的要求，包括审计人员的独立性要求、职业道德要求和职业能力要求；（3）信息系统审计计划、审计实施、审计报告与后续审计等审计过程；（4）其它信息系统审计规定，包括不正当及非法行为、IT治理、审计计划中风险评估的利用等。在ISACA基本准则中，审计章程是对信息系统审计人员的职能、责任、权力以及义务进行规范，独立性、职业道德和标准和专业胜任能力则是对信息系统审计人员的要求，信息系统审计计划、审计实施、审计报告和后续审计对信息系统审计过程进行规范，而其它信息系统审计规定主要是对前三项内容进行后续补充，即ISACA根据审计对象的特殊性，将IT治理、IT控制、电子商务等纳入到基本准则规定的范畴，并对基本准则的相关概念进行补充界定。总体上讲，ISACA在信息系统审计的基本准则方面是比较全面的，从审计职能的责任、权力、义务到信息系统审计工作执行，审计报告的出具，ISACA都做了规定，基本准则不仅考虑到了审计的一般性特点，同时也结合了信息系统审计的独特性。 　　 　　（三 ）ISACA信息系统审计基本准则制定模式在基本准则的