浅议信息系统审计实践中的法规准则困境

　　（一）加快制定和修改适应信息系统审计需要的法律法规

　　1.明确信息系统审计中的权利与义务

　　要在法律法规上进一步明确信息系统审计中审计机构的权力，如有权审查被审计算机的信息系统的功能与安全措施，有权利用网络和审计软件进行审计，明确被审计单位的责任和的义务如被审单位应对审计人员的信息系统审计给予哪些协助。

　　2.明确审前调查为一个审计阶段

　　考虑到实践中审前调查需要做大量的数据分析工作，为突出其作可否以实施实际的数据分析为标准将审计阶段接划分为四个阶段，即审计准备阶段、审前调查阶段、审计实施阶段和审计报告阶段。

　　3.明确电子数据审计证据的法律效力

　　目前审计要求被审计单位将计算机记录的数据都要打印到纸张上，并由签章，方可作为审计的法律依据。应尽快制定电子会计数据作为与纸张记载的数据具有同等法律效力的法律。同时对审计对象的电子数据，进行的转换、清理和验证，建立审计中间表等过程中出现的数据采集转换风险应加以定义。

　　4.明确信息系统审计程序代码复核制度

　　在审计机关内部设立计算机程序复核部门，由其对数据计算方法和数据处理流程进行审核，以确保程序编制科学合理，据之得出的审计数据可靠无误，可以作为审计证据使用。

　　（二）尽快建立信息系统审计准则和指南

　　在建设信息系统审计准则体系时，对国际上已有的成文准则、习惯做法、专业术语，应当尽可能与国际惯例保持一致，尽量做到与国际惯例接轨。可以采用三个层次体系结构，以基本准则为核心，统领具体准则和执业指南，从而使整个准则体系不断扩展与完善。

　　1.信息系统审计基本准则可主要包括：信息系统审计内容、信息系统审计独立性、信息系统审计职业道德、信息系统审计准入等方面。

　　2.具体准则在基本准则的指导下可还包含以下内容：

　　（1）信息系统环境及系统开发过程的准则，如对硬件、软件、系统的安全性和可靠性及合法性，系统的开发过程、运行控制及维护控制的审查等。

　　（2）信息系统内部控制评价的准则，如对操作范围控制、人员权限控制、合法性控制、校验控制及预防出错控制系统，进行符合性测试及评价。

　　（3）信息系统输入输出及处理的档案和数据的符合性和实质性测试准则，对其可靠性、完整性、合法性、有效性、全面性的审查和评价。

　　（4）信息系统审计证据的准则，确定取得审计证据的时间、审计证据样本的大小等。

　　（5）信息系统审计保密准则，明确信息系统审计方式下的审计人员承担保密责任，有针对性地制定电子数据保密规范，与被审计单位形成互有权责义务的保密协议，避免审计风险，增强审计效果。

　　3.指南可以包含，信息系统审计计划、信息系统审计的重要性、信息系统审计的风险评估办法、信息系统审计取证、信息系统审计抽样、信息系统控制、应用系统评审办法、信息系统审计报告等。

　　（三）建立健全信息系统审计标准

　　从国际信息系统审计的实践看，COBIT标准已经逐步成为通行准则。我们应遵循国际标准或规范，以COBIT标准为核心，同时借鉴ISO／IEC17799、ITIL、PRINCE2、COSO、SOX法案等其他国际标准和原则，进而确立适合自己的信息系统审计标准。包括审计人员应具有的能力、应掌握的技能、应参加的培训、现场作业标准等。

　　三、构建信息系统审计的法规准则保障体系的意义

　　（一）在信息系统审计中进一步强化以《宪法》为根本依据，以审计法及其实施条例为核心内容，以审计准则等规章为基础的审计法律法规体系。

　　（二）按照信息系统审计自身发展规律，不断完善现有的审计法律法规体系和准则体系，以新的体系指导和规范信息系统审计的实践以及解决审计活动中出现的新情况、新问题和新纠纷。

　　（三）坚持审计准则是审计工作应遵循的规范和尺度，是评价审计工作质量的权威性规则，提高审计质量和效率，降低审计风险。

　　（四）坚持独创与沿袭传统相统一，充分利用和维护已有的适应于审计的维系共同利益的法律体系，充分体现审计独立性，确保信息系统审计将更加规范，更有保障。