一、信息系統(tǒng)審計實踐中審計法規(guī)準則的現(xiàn)況

　?。ㄒ唬┪覈畔⑾到y(tǒng)審計相關(guān)法規(guī)準則的現(xiàn)狀

　　我國在傳統(tǒng)審計業(yè)務(wù)方面已經(jīng)建成了一套比較成熟規(guī)范的法規(guī)、準則體系，但在信息系統(tǒng)審計方面還沒有形成系統(tǒng)的法規(guī)、準則和技術(shù)標準體系。

　　1.國內(nèi)已頒布制定的信息系統(tǒng)審計相關(guān)法律、法規(guī)

　?。?） 第十屆全國人民代表大會常務(wù)委員會2006年修正的《中華人民共和國審計法》第三十二條。

　?。?） 國務(wù)院1997年頒布的《中華人民共和國審計法實施條例》第三十條。

　?。?） 審計署1996年頒布了《審計機關(guān)計算機輔助審計方法》。

　?。?） 中國注冊會計師協(xié)會1999 年頒布了《獨立審計具體準則第 20 號——計算機信息系統(tǒng)環(huán)境下的審計》。

　?。?） 審計署2000年《審計機關(guān)審計證據(jù)準則》第三條明確規(guī)定被審計單位電子數(shù)據(jù)資料屬審計證據(jù)。

　　（6） 國務(wù)院辦公廳2001年頒發(fā)了《關(guān)于利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》。

　?。?） 江蘇省政府辦公廳2002年轉(zhuǎn)發(fā)《國務(wù)院辦公廳關(guān)于利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》的通知。

　?。?） 中國內(nèi)部審計協(xié)會2008年頒布了《內(nèi)部審計具體準則第28號——信息系統(tǒng)審計》。

　　2.國內(nèi)信息系統(tǒng)審計可參照的相關(guān)信息技術(shù)法規(guī)、標準

　　（1） 《中華人民共和國保守國家秘密法》

　?。?） 《中華人民共和國計算機信息系統(tǒng)安全保護條例》

　?。?） 《計算機信息系統(tǒng)安全保護等級劃分準則》以及與之配套的《計算機信息系統(tǒng)安全保護等級劃分準則應(yīng)用指南》和《計算機信息系統(tǒng)安全保護等級評估準則》。

　　（4） 《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》

　?。?） 《關(guān)于加強信息安全保障工作中保密管理的若干意見的通知》

　　（6） 《信息安全等級保護管理辦法》

　?。?） 《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》

　?。?） 《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》

　　（9） 《信息系統(tǒng)通用安全技術(shù)要求、網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求、操作系統(tǒng)安全技術(shù)要求》等國標技術(shù)標準。

　　3.審計署對信息系統(tǒng)審計相關(guān)法規(guī)、準則的規(guī)劃及研究

　　（1） 金審工程一期的標準規(guī)范建設(shè)中明確了“制定金審工程需要的審計準則、審計操作指南、審計機關(guān)、審計事項等標準。”

　　（2） 審計署在《2003至2007年審計信息化發(fā)展規(guī)劃》中就明確提出要積極探索信息系統(tǒng)審計。

　　（3） 審計署在《2008至2012年審計工作發(fā)展規(guī)劃》中提出“加強審計信息化制度建設(shè)和規(guī)范建設(shè)。建立健全計算機審計標準規(guī)范，總結(jié)形成計算機審計方法體系和操作制度體系”。

　　（4） 審計署在《2009至2010年9項重點科研課題》中將“信息系統(tǒng)審計指南，定向委托審計署計算機技術(shù)中心”進行研究。

　?。ǘ﹪庑畔⑾到y(tǒng)審計的相關(guān)準則

　　美國 EDP 審計師協(xié)會 1984 年發(fā)布的《EDP 控制的目標》及1987 年發(fā)布了《信息系統(tǒng)審計的基本準則》，日本通產(chǎn)省在 1985 年發(fā)表了《IT 審計標準》，美國的可信計算機系統(tǒng)評估準則(TCSEC)，以及英國、法國、德國和荷蘭共同提出的《信息技術(shù)安全評估準則》( ITSEC)，基梅隆大學軟件工程協(xié)會發(fā)布的能力成熟度集成模型CMMI（Capability Maturity Model Integration。

　　（三）國內(nèi)現(xiàn)有法規(guī)、標準的缺陷和不足

　　1.現(xiàn)有的部分法規(guī)、標準只是在計算機審計的基礎(chǔ)方面進行了一些簡單的規(guī)定，沒有實質(zhì)性的解決方案，在審計實踐中很難推廣。

　　2.對會計信息系統(tǒng)外的管理和決策系統(tǒng)的審計，授權(quán)不明確嚴重影響信息系統(tǒng)審計工作的開展。

　　3.信息系統(tǒng)法規(guī)、審計準則和審計指南的缺失，不利于規(guī)范和指導(dǎo)信息系統(tǒng)審計實踐，不利于衡量和評價信息系統(tǒng)審計工作質(zhì)量，也不利于防范和規(guī)避信息系統(tǒng)審計風險。

　　4.審計準入標準缺失，審計水皮參差不齊，信息系統(tǒng)審計人員總體審計能力不強。

　　二、構(gòu)建信息系統(tǒng)審計的法規(guī)準則保障體系

　　信息系統(tǒng)審計發(fā)展到一定階段，必須將實踐經(jīng)驗加以總結(jié)，并把有關(guān)概念、工作流程和技術(shù)方法固定、統(tǒng)一起來，形成法規(guī)、準則及指南，這是信息系統(tǒng)審計進一步發(fā)展的基礎(chǔ)，這也是所有行業(yè)發(fā)展的共同規(guī)律。沒有標準和規(guī)范，所有的實踐活動只能局限在低水平上重復(fù)。目前我國尚沒有一套完整的、成熟的信息系統(tǒng)審計法規(guī)，也缺少具備實際指導(dǎo)意義的相關(guān)審計準則和操作指南。

　　（一）加快制定和修改適應(yīng)信息系統(tǒng)審計需要的法律法規(guī)

　　1.明確信息系統(tǒng)審計中的權(quán)利與義務(wù)

　　要在法律法規(guī)上進一步明確信息系統(tǒng)審計中審計機構(gòu)的權(quán)力，如有權(quán)審查被審計算機的信息系統(tǒng)的功能與安全措施，有權(quán)利用網(wǎng)絡(luò)和審計軟件進行審計，明確被審計單位的責任和的義務(wù)如被審單位應(yīng)對審計人員的信息系統(tǒng)審計給予哪些協(xié)助。

　　2.明確審前調(diào)查為一個審計階段

　　考慮到實踐中審前調(diào)查需要做大量的數(shù)據(jù)分析工作，為突出其作可否以實施實際的數(shù)據(jù)分析為標準將審計階段接劃分為四個階段，即審計準備階段、審前調(diào)查階段、審計實施階段和審計報告階段。

　　3.明確電子數(shù)據(jù)審計證據(jù)的法律效力

　　目前審計要求被審計單位將計算機記錄的數(shù)據(jù)都要打印到紙張上，并由簽章，方可作為審計的法律依據(jù)。應(yīng)盡快制定電子會計數(shù)據(jù)作為與紙張記載的數(shù)據(jù)具有同等法律效力的法律。同時對審計對象的電子數(shù)據(jù)，進行的轉(zhuǎn)換、清理和驗證，建立審計中間表等過程中出現(xiàn)的數(shù)據(jù)采集轉(zhuǎn)換風險應(yīng)加以定義。

　　4.明確信息系統(tǒng)審計程序代碼復(fù)核制度

　　在審計機關(guān)內(nèi)部設(shè)立計算機程序復(fù)核部門，由其對數(shù)據(jù)計算方法和數(shù)據(jù)處理流程進行審核，以確保程序編制科學合理，據(jù)之得出的審計數(shù)據(jù)可靠無誤，可以作為審計證據(jù)使用。

　?。ǘ┍M快建立信息系統(tǒng)審計準則和指南

　　在建設(shè)信息系統(tǒng)審計準則體系時，對國際上已有的成文準則、習慣做法、專業(yè)術(shù)語，應(yīng)當盡可能與國際慣例保持一致，盡量做到與國際慣例接軌?？梢圆捎萌齻€層次體系結(jié)構(gòu)，以基本準則為核心，統(tǒng)領(lǐng)具體準則和執(zhí)業(yè)指南，從而使整個準則體系不斷擴展與完善。

　　1.信息系統(tǒng)審計基本準則可主要包括：信息系統(tǒng)審計內(nèi)容、信息系統(tǒng)審計獨立性、信息系統(tǒng)審計職業(yè)道德、信息系統(tǒng)審計準入等方面。

　　2.具體準則在基本準則的指導(dǎo)下可還包含以下內(nèi)容：

　?。?）信息系統(tǒng)環(huán)境及系統(tǒng)開發(fā)過程的準則，如對硬件、軟件、系統(tǒng)的安全性和可靠性及合法性，系統(tǒng)的開發(fā)過程、運行控制及維護控制的審查等。

　?。?）信息系統(tǒng)內(nèi)部控制評價的準則，如對操作范圍控制、人員權(quán)限控制、合法性控制、校驗控制及預(yù)防出錯控制系統(tǒng)，進行符合性測試及評價。

　?。?）信息系統(tǒng)輸入輸出及處理的檔案和數(shù)據(jù)的符合性和實質(zhì)性測試準則，對其可靠性、完整性、合法性、有效性、全面性的審查和評價。

　　（4）信息系統(tǒng)審計證據(jù)的準則，確定取得審計證據(jù)的時間、審計證據(jù)樣本的大小等。

　?。?）信息系統(tǒng)審計保密準則，明確信息系統(tǒng)審計方式下的審計人員承擔保密責任，有針對性地制定電子數(shù)據(jù)保密規(guī)范，與被審計單位形成互有權(quán)責義務(wù)的保密協(xié)議，避免審計風險，增強審計效果。

　　3.指南可以包含，信息系統(tǒng)審計計劃、信息系統(tǒng)審計的重要性、信息系統(tǒng)審計的風險評估辦法、信息系統(tǒng)審計取證、信息系統(tǒng)審計抽樣、信息系統(tǒng)控制、應(yīng)用系統(tǒng)評審辦法、信息系統(tǒng)審計報告等。

　?。ㄈ┙⒔∪畔⑾到y(tǒng)審計標準

　　從國際信息系統(tǒng)審計的實踐看，COBIT標準已經(jīng)逐步成為通行準則。我們應(yīng)遵循國際標準或規(guī)范，以COBIT標準為核心，同時借鑒ISO／IEC17799、ITIL、PRINCE2、COSO、SOX法案等其他國際標準和原則，進而確立適合自己的信息系統(tǒng)審計標準。包括審計人員應(yīng)具有的能力、應(yīng)掌握的技能、應(yīng)參加的培訓(xùn)、現(xiàn)場作業(yè)標準等。

　　三、構(gòu)建信息系統(tǒng)審計的法規(guī)準則保障體系的意義

　?。ㄒ唬┰谛畔⑾到y(tǒng)審計中進一步強化以《憲法》為根本依據(jù)，以審計法及其實施條例為核心內(nèi)容，以審計準則等規(guī)章為基礎(chǔ)的審計法律法規(guī)體系。

　?。ǘ┌凑招畔⑾到y(tǒng)審計自身發(fā)展規(guī)律，不斷完善現(xiàn)有的審計法律法規(guī)體系和準則體系，以新的體系指導(dǎo)和規(guī)范信息系統(tǒng)審計的實踐以及解決審計活動中出現(xiàn)的新情況、新問題和新糾紛。

　?。ㄈ﹫猿謱徲嫓蕜t是審計工作應(yīng)遵循的規(guī)范和尺度，是評價審計工作質(zhì)量的權(quán)威性規(guī)則，提高審計質(zhì)量和效率，降低審計風險。

　?。ㄋ模﹫猿知殑?chuàng)與沿襲傳統(tǒng)相統(tǒng)一，充分利用和維護已有的適應(yīng)于審計的維系共同利益的法律體系，充分體現(xiàn)審計獨立性，確保信息系統(tǒng)審計將更加規(guī)范，更有保障。