浅议信息系统审计实践中的法规准则困境

一、信息系统审计实践中审计法规准则的现况

　　（一）我国信息系统审计相关法规准则的现状

　　我国在传统审计业务方面已经建成了一套比较成熟规范的法规、准则体系，但在信息系统审计方面还没有形成系统的法规、准则和技术标准体系。

　　1.国内已颁布制定的信息系统审计相关法律、法规

　　（1） 第十届全国人民代表大会常务委员会2006年修正的《中华人民共和国审计法》第三十二条。

　　（2） 国务院1997年颁布的《中华人民共和国审计法实施条例》第三十条。

　　（3） 审计署1996年颁布了《审计机关计算机辅助审计方法》。

　　（4） 中国注册会计师协会1999 年颁布了《独立审计具体准则第 20 号——计算机信息系统环境下的审计》。

　　（5） 审计署2000年《审计机关审计证据准则》第三条明确规定被审计单位电子数据资料属审计证据。

　　（6） 国务院办公厅2001年颁发了《关于利用计算机信息系统开展审计工作有关问题的通知》。

　　（7） 江苏省政府办公厅2002年转发《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》的通知。

　　（8） 中国内部审计协会2008年颁布了《内部审计具体准则第28号——信息系统审计》。

　　2.国内信息系统审计可参照的相关信息技术法规、标准

　　（1） 《中华人民共和国保守国家秘密法》

　　（2） 《中华人民共和国计算机信息系统安全保护条例》

　　（3） 《计算机信息系统安全保护等级划分准则》以及与之配套的《计算机信息系统安全保护等级划分准则应用指南》和《计算机信息系统安全保护等级评估准则》。

　　（4） 《国家信息化领导小组关于加强信息安全保障工作的意见》

　　（5） 《关于加强信息安全保障工作中保密管理的若干意见的通知》

　　（6） 《信息安全等级保护管理办法》

　　（7） 《计算机信息系统安全专用产品检测和销售许可证管理办法》

　　（8） 《银行业金融机构信息系统风险管理指引》

　　（9） 《信息系统通用安全技术要求、网络基础安全技术要求、操作系统安全技术要求》等国标技术标准。

　　3.审计署对信息系统审计相关法规、准则的规划及研究

　　（1） 金审工程一期的标准规范建设中明确了“制定金审工程需要的审计准则、审计操作指南、审计机关、审计事项等标准。”

　　（2） 审计署在《2003至2007年审计信息化发展规划》中就明确提出要积极探索信息系统审计。

　　（3） 审计署在《2008至2012年审计工作发展规划》中提出“加强审计信息化制度建设和规范建设。建立健全计算机审计标准规范，总结形成计算机审计方法体系和操作制度体系”。

　　（4） 审计署在《2009至2010年9项重点科研课题》中将“信息系统审计指南，定向委托审计署计算机技术中心”进行研究。

　　（二）国外信息系统审计的相关准则

　　美国 EDP 审计师协会 1984 年发布的《EDP 控制的目标》及1987 年发布了《信息系统审计的基本准则》，日本通产省在 1985 年发表了《IT 审计标准》，美国的可信计算机系统评估准则(TCSEC)，以及英国、法国、德国和荷兰共同提出的《信息技术安全评估准则》( ITSEC)，基梅隆大学软件工程协会发布的能力成熟度集成模型CMMI（Capability Maturity Model Integration。

　　（三）国内现有法规、标准的缺陷和不足

　　1.现有的部分法规、标准只是在计算机审计的基础方面进行了一些简单的规定，没有实质性的解决方案，在审计实践中很难推广。

　　2.对会计信息系统外的管理和决策系统的审计，授权不明确严重影响信息系统审计工作的开展。

　　3.信息系统法规、审计准则和审计指南的缺失，不利于规范和指导信息系统审计实践，不利于衡量和评价信息系统审计工作质量，也不利于防范和规避信息系统审计风险。

　　4.审计准入标准缺失，审计水皮参差不齐，信息系统审计人员总体审计能力不强。

　　二、构建信息系统审计的法规准则保障体系

　　信息系统审计发展到一定阶段，必须将实践经验加以总结，并把有关概念、工作流程和技术方法固定、统一起来，形成法规、准则及指南，这是信息系统审计进一步发展的基础，这也是所有行业发展的共同规律。没有标准和规范，所有的实践活动只能局限在低水平上重复。目前我国尚没有一套完整的、成熟的信息系统审计法规，也缺少具备实际指导意义的相关审计准则和操作指南。